狀態檢測技術是防火牆近幾年才套用的新技術。傳統的包過濾防火牆只是通過檢測IP包頭的相關信息來決定數據流的通過還是拒絕,而狀態檢測技術採用的是一種基於連線的狀態檢測機制,將屬於同一連線的所有包作為一個整體的數據流看待,構成連線狀態表,通過規則表與狀態表的共同配合,對表中的各個連線狀態因素加以識別。這裡動態連線狀態表中的記錄可以是以前的通信信息,也可以是其他相關應用程式的信息,因此,與傳統包過濾防火牆的靜態過濾規則表相比,它具有更好的靈活性和安全性。
狀態檢測包過濾和套用代理這兩種技術目前仍然是防火牆市場中普遍採用的主流技術,但兩種技術正在形成一種融合的趨勢,演變的結果也許會導致一種新的結構名稱的出現。
先進的狀態檢測防火牆讀取、分析和利用了全面的網路通信信息和狀態。
基本介紹
- 中文名:狀態檢測技術
- 解釋:防火牆套用的新技術
- 優勢:更好的靈活性和安全性
- 信息和狀態:通信信息及狀態、套用狀態等
狀態檢測技術原理,通信信息,通信狀態,套用狀態,操作信息,相關套用,
狀態檢測技術原理
通信信息
即所有7層協定的當前信息。防火牆的檢測模組位於作業系統的核心,在網路層之下,能在數據包到達網關作業系統之前對它們進行分析。防火牆先在低協定層上檢查數據包是否滿足企業的安全策略,對於滿足的數據包,再從更高協定層上進行分析。它驗證數據的源地址、目的地址和連線埠號、協定類型、套用信息等多層的標誌,因此具有更全面的安全性。
通信狀態
即以前的通信信息。對於簡單的包過濾防火牆,如果要允許FTP通過,就必須作出讓步而打開許多連線埠,這樣就降低了安全性。狀態檢測防火牆在狀態表中保存以前的通信信息,記錄從受保護網路發出的數據包的狀態信息,例如FTP請求的伺服器地址和連線埠、客戶端地址和為滿足此次FTP臨時打開的連線埠,然後,防火牆根據該表內容對返回受保護網路的數據包進行分析判斷,這樣,只有回響受保護網路請求的數據包才被放行。這裡,對於UDP或者RPC等無連線的協定,檢測模組可創建虛會話信息用來進行跟蹤。
套用狀態
即其他相關套用的信息。狀態檢測模組能夠理解並學習各種協定和套用,以支持各種最新的套用,它比代理伺服器支持的協定和套用要多得多;並且,它能從應用程式中收集狀態信息存入狀態表中,以供其他套用或協定做檢測策略。例如,已經通過防火牆認證的用戶可以通過防火牆訪問其他授權的服務。
操作信息
即在數據包中能執行邏輯或數學運算的信息。狀態監測技術,採用強大的面向對象的方法,基於通信信息、通信狀態、套用狀態等多方面因素,利用靈活的表達式形式,結合安全規則、套用識別知識、狀態關聯信息以及通信數據,構造更複雜的、更靈活的、滿足用戶特定安全要求的策略規則。
相關套用
原理圖示說明
