-
狀態檢測技術
鎖定
狀態檢測技術是防火牆近幾年才應用的新技術。傳統的包過濾防火牆只是通過檢測IP包頭的相關信息來決定數據流的通過還是拒絕,而狀態檢測技術採用的是一種基於連接的狀態檢測機制,將屬於同一連接的所有包作為一個整體的數據流看待,構成連接狀態表,通過規則表與狀態表的共同配合,對錶中的各個連接狀態因素加以識別。這裏動態連接狀態表中的記錄可以是以前的通信信息,也可以是其他相關應用程序的信息,因此,與傳統包過濾防火牆的靜態過濾規則表相比,它具有更好的靈活性和安全性。
狀態檢測包過濾和應用代理這兩種技術仍然是防火牆市場中普遍採用的主流技術,但兩種技術正在形成一種融合的趨勢,演變的結果也許會導致一種新的結構名稱的出現。
先進的狀態檢測防火牆讀取、分析和利用了全面的網絡通信信息和狀態。
- 中文名
- 狀態檢測技術
- 解 釋
- 防火牆應用的新技術
- 優 勢
- 更好的靈活性和安全性
- 信息和狀態
- 通信信息及狀態、應用狀態等
狀態檢測技術技術原理
狀態檢測技術通信信息
即所有7層協議的當前信息。防火牆的檢測模塊位於操作系統的內核,在網絡層之下,能在數據包到達網關操作系統之前對它們進行分析。防火牆先在低協議層上檢查數據包是否滿足企業的安全策略,對於滿足的數據包,再從更高協議層上進行分析。它驗證數據的源地址、目的地址和端口號、協議類型、應用信息等多層的標誌,因此具有更全面的安全性。
狀態檢測技術通信狀態
即以前的通信信息。對於簡單的包過濾防火牆,如果要允許FTP通過,就必須作出讓步而打開許多端口,這樣就降低了安全性。狀態檢測防火牆在狀態表中保存以前的通信信息,記錄從受保護網絡發出的數據包的狀態信息,例如FTP請求的服務器地址和端口、客户端地址和為滿足此次FTP臨時打開的端口,然後,防火牆根據該表內容對返回受保護網絡的數據包進行分析判斷,這樣,只有響應受保護網絡請求的數據包才被放行。這裏,對於UDP或者RPC等無連接的協議,檢測模塊可創建虛會話信息用來進行跟蹤。
狀態檢測技術應用狀態
即其他相關應用的信息。狀態檢測模塊能夠理解並學習各種協議和應用,以支持各種最新的應用,它比代理服務器支持的協議和應用要多得多;並且,它能從應用程序中收集狀態信息存入狀態表中,以供其他應用或協議做檢測策略。例如,已經通過防火牆認證的用户可以通過防火牆訪問其他授權的服務。
狀態檢測技術操作信息
即在數據包中能執行邏輯或數學運算的信息。狀態監測技術,採用強大的面向對象的方法,基於通信信息、通信狀態、應用狀態等多方面因素,利用靈活的表達式形式,結合安全規則、應用識別知識、狀態關聯信息以及通信數據,構造更復雜的、更靈活的、滿足用户特定安全要求的策略規則。
狀態檢測技術相關應用
原理圖示説明
