複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/狀態檢測防火牆/3106862
複製
複製成功

狀態檢測防火牆

鎖定
狀態檢測防火牆採用了狀態檢測包過濾的技術,是傳統包過濾上的功能擴展。
中文名
狀態檢測防火牆
優點1
安全性好
優點2
性能高效
優點3
擴展性好

目錄

  1. 1 簡介
  2. 2 優點

狀態檢測防火牆簡介

狀態檢測防火牆在網絡層有一個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息,並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案,同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務,它們提供附加的對特定應用程序數據內容的支持。狀態檢測技術最適合提供對UDP協議的有限支持。它將所有通過防火牆的UDP分組均視為一個虛連接,當反向應答分組送達時,就認為一個虛擬連接已經建立。狀態檢測防火牆克服了包過濾防火牆和應用代理服務器的侷限性,不僅僅檢測“to”和“from”的地址,而且不要求每個訪問的應用都有代理。
這是第三代防火牆技術,能對網絡通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數據包。它允許受信任的客户機和不受信任的主機建立直接連接,不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過己知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。狀態監視器的監視模塊支持多種協議和應用程序,可方便地實現應用和服務的擴充。此外,它還可監測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監測,狀態監視器實現網絡安全的目的。目前,多使用狀態監測防火牆,它對用户透明,在OSI最高層上加密數據,而無需修改客户端程序,也無需對每個需在防火牆上運行的服務額外增加一個代理。
狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,性能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火牆的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。可以這樣説,狀態檢測包過濾防火牆規範了網絡層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。

狀態檢測防火牆優點

1. 安全性好
狀態檢測防火牆工作在數據鏈路層網絡層之間,它從這裏截取數據包,因為數據鏈路層是網卡工作的真正位置,網絡層是協議棧的第一層,這樣防火牆確保了截取和檢查所有通過網絡的原始數據包。防火牆截取到數據包就處理它們,首先根據安全策略從數據包中提取有用信息,保存在內存中;然後將相關信息組合起來,進行一些邏輯或數學運算,獲得相應的結論,進行相應的操作,如允許數據包通過、拒絕數據包、認證連接、加密數據等。狀態檢測防火牆雖然工作在協議棧較低層,但它檢測所有應用層的數據包,從中提取有用信息,如IP地址端口號等,這樣安全性得到很大提高。
2. 性能高效
狀態檢測防火牆工作在協議棧的較低層,通過防火牆的所有的數據包都在低層處理,而不需要協議棧的上層處理任何數據包,這樣減少了高層協議頭的開銷,執行效率提高很多;另外在這種防火牆中一旦一個連接建立起來,就不用再對這個連接做更多工作,系統可以去處理別的連接,執行效率明顯提高。
3. 擴展性好
狀態檢測防火牆不像應用網關式防火牆那樣,每一個應用對應一個服務程序,這樣所能提供的服務是有限的,而且當增加一個新的服務時,必須為新的服務開發相應的服務程序,這樣系統的可擴展性降低。狀態檢測防火牆不區分每個具體的應用,只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包,當有一個新的應用時,它能動態產生新的應用的新的規則,而不用另外寫代碼,所以具有很好的伸縮性和擴展性。
4. 配置方便,應用範圍
狀態檢測防火牆不僅支持基於TCP的應用,而且支持基於無連接協議的應用,如RPC、基於UDP的應用(DNS 、WAIS、 Archie等)等。對於無連接的協議,連接請求和應答沒有區別,包過濾防火牆應用網關對此類應用要麼不支持,要麼開放一個大範圍的UDP端口,這樣暴露了內部網,降低了安全性。
狀態檢測防火牆實現了基於UDP應用的安全,通過在UDP通信之上保持一個虛擬連接來實現。防火牆保存通過網關的每一個連接的狀態信息,允許穿過防火牆的UDP請求包被記錄,當UDP包在相反方向上通過時,依據連接狀態表確定該UDP包是否被授權的,若已被授權,則通過,否則拒絕。如果在指定的一段時間內響應數據包沒有到達,連接超時,則該連接被阻塞,這樣所有的攻擊都被阻塞.狀態檢測防火牆可以控制無效連接的連接時間,避免大量的無效連接佔用過多的網絡資源,可以很好的降低DOS和DDOS攻擊的風險。
狀態檢測防火牆也支持RPC,因為對於RPC服務來説,其端口號是不定的,因此簡單的跟蹤端口號是不能實現該種服務的安全,狀態檢測防火牆通過動態端口映射圖記錄端口號,為驗證該連接還保存連接狀態、程序號等,通過動態端口映射圖來實現此類應用的安全。
狀態檢測防火牆缺點
包過濾防火牆得以進行正常工作的一切依據都在於過濾規則的實施,但又不能滿足建立精細規則的要求,並不能分析高級協議中的數據。應用網絡關防火牆的每個連接都必須建立在為之創建的有一套複雜的協議分析機制的代理程序進程上,這會導致數據延遲的現象。
狀態檢測防火牆雖然繼承了包過濾防火牆應用網關防火牆的優點,克服了它們的缺點,但它仍只是檢測數據包的第三層信息,無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。
包過濾防火牆和網關代理防火牆以及狀態檢測防火牆都有固有的無法克服的缺陷,不能滿足用户對於安全性的不斷的要求,於是深度包檢測防火牆技術被提出了。