狀態(tài)檢測(cè)防火墻簡(jiǎn)介

狀態(tài)檢測(cè)防火墻在網(wǎng)絡(luò)層有一個(gè)檢查引擎截獲數(shù)據(jù)包并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此為依據(jù)決定對(duì)該連接是接受還是拒絕。這種技術(shù)提供了高度安全的解決方案，同時(shí)具有較好的適應(yīng)性和擴(kuò)展性。狀態(tài)檢測(cè)防火墻一般也包括一些代理級(jí)的服務(wù)，它們提供附加的對(duì)特定應(yīng)用程序數(shù)據(jù)內(nèi)容的支持。狀態(tài)檢測(cè)技術(shù)最適合提供對(duì)UDP協(xié)議的有限支持。它將所有通過(guò)防火墻的UDP分組均視為一個(gè)虛連接，當(dāng)反向應(yīng)答分組送達(dá)時(shí)，就認(rèn)為一個(gè)虛擬連接已經(jīng)建立。狀態(tài)檢測(cè)防火墻克服了包過(guò)濾防火墻和應(yīng)用代理服務(wù)器的局限性，不僅僅檢測(cè)“to”和“from”的地址，而且不要求每個(gè)訪問(wèn)的應(yīng)用都有代理。

這是第三代防火墻技術(shù)，能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過(guò)濾技術(shù)一樣，它能夠檢測(cè)通過(guò)IP地址、端口號(hào)以及TCP標(biāo)記，過(guò)濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶(hù)機(jī)和不受信任的主機(jī)建立直接連接，不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來(lái)識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過(guò)己知合法數(shù)據(jù)包的模式來(lái)比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過(guò)濾數(shù)據(jù)包上更有效。狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序，可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外，它還可監(jiān)測(cè)RPC和UDP端口信息，而包過(guò)濾和代理都不支持此類(lèi)端口。這樣，通過(guò)對(duì)各層進(jìn)行監(jiān)測(cè)，狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前，多使用狀態(tài)監(jiān)測(cè)防火墻，它對(duì)用戶(hù)透明，在OSI最高層上加密數(shù)據(jù)，而無(wú)需修改客戶(hù)端程序，也無(wú)需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。

狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理?？梢赃@樣說(shuō)，狀態(tài)檢測(cè)包過(guò)濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

1. 安全性好

狀態(tài)檢測(cè)防火墻工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，它從這里截取數(shù)據(jù)包，因?yàn)閿?shù)據(jù)鏈路層是網(wǎng)卡工作的真正位置，網(wǎng)絡(luò)層是協(xié)議棧的第一層，這樣防火墻確保了截取和檢查所有通過(guò)網(wǎng)絡(luò)的原始數(shù)據(jù)包。防火墻截取到數(shù)據(jù)包就處理它們，首先根據(jù)安全策略從數(shù)據(jù)包中提取有用信息，保存在內(nèi)存中；然后將相關(guān)信息組合起來(lái)，進(jìn)行一些邏輯或數(shù)學(xué)運(yùn)算，獲得相應(yīng)的結(jié)論，進(jìn)行相應(yīng)的操作，如允許數(shù)據(jù)包通過(guò)、拒絕數(shù)據(jù)包、認(rèn)證連接、加密數(shù)據(jù)等。狀態(tài)檢測(cè)防火墻雖然工作在協(xié)議棧較低層，但它檢測(cè)所有應(yīng)用層的數(shù)據(jù)包，從中提取有用信息，如IP地址、端口號(hào)等，這樣安全性得到很大提高。

2. 性能高效

狀態(tài)檢測(cè)防火墻工作在協(xié)議棧的較低層，通過(guò)防火墻的所有的數(shù)據(jù)包都在低層處理，而不需要協(xié)議棧的上層處理任何數(shù)據(jù)包，這樣減少了高層協(xié)議頭的開(kāi)銷(xiāo)，執(zhí)行效率提高很多；另外在這種防火墻中一旦一個(gè)連接建立起來(lái)，就不用再對(duì)這個(gè)連接做更多工作，系統(tǒng)可以去處理別的連接，執(zhí)行效率明顯提高。

3. 擴(kuò)展性好

狀態(tài)檢測(cè)防火墻不像應(yīng)用網(wǎng)關(guān)式防火墻那樣，每一個(gè)應(yīng)用對(duì)應(yīng)一個(gè)服務(wù)程序，這樣所能提供的服務(wù)是有限的，而且當(dāng)增加一個(gè)新的服務(wù)時(shí)，必須為新的服務(wù)開(kāi)發(fā)相應(yīng)的服務(wù)程序，這樣系統(tǒng)的可擴(kuò)展性降低。狀態(tài)檢測(cè)防火墻不區(qū)分每個(gè)具體的應(yīng)用，只是根據(jù)從數(shù)據(jù)包中提取出的信息、對(duì)應(yīng)的安全策略及過(guò)濾規(guī)則處理數(shù)據(jù)包，當(dāng)有一個(gè)新的應(yīng)用時(shí)，它能動(dòng)態(tài)產(chǎn)生新的應(yīng)用的新的規(guī)則，而不用另外寫(xiě)代碼，所以具有很好的伸縮性和擴(kuò)展性。

4. 配置方便,應(yīng)用范圍廣

狀態(tài)檢測(cè)防火墻不僅支持基于TCP的應(yīng)用，而且支持基于無(wú)連接協(xié)議的應(yīng)用，如RPC、基于UDP的應(yīng)用(DNS 、WAIS、 Archie等)等。對(duì)于無(wú)連接的協(xié)議，連接請(qǐng)求和應(yīng)答沒(méi)有區(qū)別，包過(guò)濾防火墻和應(yīng)用網(wǎng)關(guān)對(duì)此類(lèi)應(yīng)用要么不支持，要么開(kāi)放一個(gè)大范圍的UDP端口，這樣暴露了內(nèi)部網(wǎng)，降低了安全性。

狀態(tài)檢測(cè)防火墻實(shí)現(xiàn)了基于UDP應(yīng)用的安全，通過(guò)在UDP通信之上保持一個(gè)虛擬連接來(lái)實(shí)現(xiàn)。防火墻保存通過(guò)網(wǎng)關(guān)的每一個(gè)連接的狀態(tài)信息，允許穿過(guò)防火墻的UDP請(qǐng)求包被記錄，當(dāng)UDP包在相反方向上通過(guò)時(shí)，依據(jù)連接狀態(tài)表確定該UDP包是否被授權(quán)的，若已被授權(quán)，則通過(guò)，否則拒絕。如果在指定的一段時(shí)間內(nèi)響應(yīng)數(shù)據(jù)包沒(méi)有到達(dá)，連接超時(shí)，則該連接被阻塞，這樣所有的攻擊都被阻塞.狀態(tài)檢測(cè)防火墻可以控制無(wú)效連接的連接時(shí)間，避免大量的無(wú)效連接占用過(guò)多的網(wǎng)絡(luò)資源，可以很好的降低DOS和DDOS攻擊的風(fēng)險(xiǎn)。

狀態(tài)檢測(cè)防火墻也支持RPC，因?yàn)閷?duì)于RPC服務(wù)來(lái)說(shuō)，其端口號(hào)是不定的，因此簡(jiǎn)單的跟蹤端口號(hào)是不能實(shí)現(xiàn)該種服務(wù)的安全，狀態(tài)檢測(cè)防火墻通過(guò)動(dòng)態(tài)端口映射圖記錄端口號(hào)，為驗(yàn)證該連接還保存連接狀態(tài)、程序號(hào)等，通過(guò)動(dòng)態(tài)端口映射圖來(lái)實(shí)現(xiàn)此類(lèi)應(yīng)用的安全。

狀態(tài)檢測(cè)防火墻缺點(diǎn)

包過(guò)濾防火墻得以進(jìn)行正常工作的一切依據(jù)都在于過(guò)濾規(guī)則的實(shí)施，但又不能滿(mǎn)足建立精細(xì)規(guī)則的要求，并不能分析高級(jí)協(xié)議中的數(shù)據(jù)。應(yīng)用網(wǎng)絡(luò)關(guān)防火墻的每個(gè)連接都必須建立在為之創(chuàng)建的有一套復(fù)雜的協(xié)議分析機(jī)制的代理程序進(jìn)程上，這會(huì)導(dǎo)致數(shù)據(jù)延遲的現(xiàn)象。

狀態(tài)檢測(cè)防火墻雖然繼承了包過(guò)濾防火墻和應(yīng)用網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)，克服了它們的缺點(diǎn)，但它仍只是檢測(cè)數(shù)據(jù)包的第三層信息，無(wú)法徹底的識(shí)別數(shù)據(jù)包中大量的垃圾郵件、廣告以及木馬程序等等。

包過(guò)濾防火墻和網(wǎng)關(guān)代理防火墻以及狀態(tài)檢測(cè)防火墻都有固有的無(wú)法克服的缺陷，不能滿(mǎn)足用戶(hù)對(duì)于安全性的不斷的要求，于是深度包檢測(cè)防火墻技術(shù)被提出了。2100433B