狀態檢測防火牆

狀態檢測防火牆

狀態檢測防火牆採用了狀態檢測包過濾的技術,是傳統包過濾上的功能擴展。

簡介

狀態檢測防火牆在網路層有一個檢查引擎截獲數據包並抽取出與套用層狀態有關的信息,並以此為依據決定對該連線是接受還是拒絕。這種技術提供了高度安全的解決方案,同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務,它們提供附加的對特定應用程式數據內容的支持。狀態檢測技術最適合提供對UDP協定的有限支持。它將所有通過防火牆的UDP分組均視為一個虛連線,當反向應答分組送達時,就認為一個虛擬連線已經建立。狀態檢測防火牆克服了包過濾防火牆和套用代理伺服器的局限性,不僅僅檢測“to”和“from”的地址,而且不要求每個訪問的套用都有代理。

這是第三代防火牆技術,能對網路通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP位址、連線埠號以及TCP標記,過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連線,不依靠與套用層有關的代理,而是依靠某種算法來識別進出的套用層數據,這些算法通過己知合法數據包的模式來比較進出數據包,這樣從理論上就能比套用級代理在過濾數據包上更有效。狀態監視器的監視模組支持多種協定和應用程式,可方便地實現套用和服務的擴充。此外,它還可監測RPC和UDP連線埠信息,而包過濾和代理都不支持此類連線埠。這樣,通過對各層進行監測,狀態監視器實現網路安全的目的。目前,多使用狀態監測防火牆,它對用戶透明,在OSI最高層上加密數據,而無需修改客戶端程式,也無需對每個需在防火牆上運行的服務額外增加一個代理。

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對套用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的數據包,不關心數據包狀態的缺點,在防火牆的核心部分建立狀態連線表,維護了連線,將進出網路的數據當成一個個的事件來處理。可以這樣說,狀態檢測包過濾防火牆規範了網路層和傳輸層行為,而套用代理型防火牆則是規範了特定的套用協定上的行為。

優點

1. 安全性好

狀態檢測防火牆工作在數據鏈路層和網路層之間,它從這裡截取數據包,因為數據鏈路層是網卡工作的真正位置,網路層是協定棧的第一層,這樣防火牆確保了截取和檢查所有通過網路的原始數據包。防火牆截取到數據包就處理它們,首先根據安全策略從數據包中提取有用信息,保存在記憶體中;然後將相關信息組合起來,進行一些邏輯或數學運算,獲得相應的結論,進行相應的操作,如允許數據包通過、拒絕數據包、認證連線、加密數據等。狀態檢測防火牆雖然工作在協定棧較低層,但它檢測所有套用層的數據包,從中提取有用信息,如IP位址、連線埠號等,這樣安全性得到很大提高。

2. 性能高效

狀態檢測防火牆工作在協定棧的較低層,通過防火牆的所有的數據包都在低層處理,而不需要協定棧的上層處理任何數據包,這樣減少了高層協定頭的開銷,執行效率提高很多;另外在這種防火牆中一旦一個連線建立起來,就不用再對這個連線做更多工作,系統可以去處理別的連線,執行效率明顯提高。

3. 擴展性好

狀態檢測防火牆不像套用網關式防火牆那樣,每一個套用對應一個服務程式,這樣所能提供的服務是有限的,而且當增加一個新的服務時,必須為新的服務開發相應的服務程式,這樣系統的可擴展性降低。狀態檢測防火牆不區分每個具體的套用,只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包,當有一個新的套用時,它能動態產生新的套用的新的規則,而不用另外寫代碼,所以具有很好的伸縮性和擴展性。

4. 配置方便,套用範圍廣

狀態檢測防火牆不僅支持基於TCP的套用,而且支持基於無連線協定的套用,如RPC、基於UDP的套用(DNS 、WAIS、 Archie等)等。對於無連線的協定,連線請求和應答沒有區別,包過濾防火牆和套用網關對此類套用要么不支持,要么開放一個大範圍的UDP連線埠,這樣暴露了內部網,降低了安全性。

狀態檢測防火牆實現了基於UDP套用的安全,通過在UDP通信之上保持一個虛擬連線來實現。防火牆保存通過網關的每一個連線的狀態信息,允許穿過防火牆的UDP請求包被記錄,當UDP包在相反方向上通過時,依據連線狀態表確定該UDP包是否被授權的,若已被授權,則通過,否則拒絕。如果在指定的一段時間內回響數據包沒有到達,連線逾時,則該連線被阻塞,這樣所有的攻擊都被阻塞.狀態檢測防火牆可以控制無效連線的連線時間,避免大量的無效連線占用過多的網路資源,可以很好的降低DOS和DDOS攻擊的風險。

狀態檢測防火牆也支持RPC,因為對於RPC服務來說,其連線埠號是不定的,因此簡單的跟蹤連線埠號是不能實現該種服務的安全,狀態檢測防火牆通過動態連線埠映射圖記錄連線埠號,為驗證該連線還保存連線狀態、程式號等,通過動態連線埠映射圖來實現此類套用的安全。

狀態檢測防火牆缺點

包過濾防火牆得以進行正常工作的一切依據都在於過濾規則的實施,但又不能滿足建立精細規則的要求,並不能分析高級協定中的數據。套用網路關防火牆的每個連線都必須建立在為之創建的有一套複雜的協定分析機制的代理程式進程上,這會導致數據延遲的現象。

狀態檢測防火牆雖然繼承了包過濾防火牆和套用網關防火牆的優點,克服了它們的缺點,但它仍只是檢測數據包的第三層信息,無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程式等等。

包過濾防火牆和網關代理防火牆以及狀態檢測防火牆都有固有的無法克服的缺陷,不能滿足用戶對於安全性的不斷的要求,於是深度包檢測防火牆技術被提出了。

相關詞條

相關搜尋

熱門詞條

聯絡我們