檢測型防火牆介紹
檢測型防火牆是什麼?想必很多電腦新手只聽過防毒軟體防火牆!那麼今天小編就給大家說說什麼是檢測型防火牆。下面具體內容!!!
檢測型防火牆***狀態檢測型防火牆***
簡介
狀態檢測防火牆採用了狀態檢測包過濾的技術,是傳統包過濾上的功能擴充套件。狀態檢測防火牆在網路層有一個檢查引擎截獲資料包並抽取出與應用層狀態有關的資訊,並以此為依據決定對該連線是接受還是拒絕。這種技術提供了高度安全的解決方案,同時具有較好的適應性和擴充套件性。狀態檢測防火牆一般也包括一些代理級的服務,它們提供附加的對特定應用程式資料內容的支援。狀態檢測技術最適合提供對UDP協議的有限支援。它將所有通過防火牆的UDP分組均視為一個虛連線,當反向應答分組送達時,就認為一個虛擬連線已經建立。狀態檢測防火牆克服了包過濾防火牆和應用代理伺服器的侷限性,不僅僅檢測“to”和“from”的地址,而且不要求每個訪問的應用都有代理。
這是第三代防火牆技術,能對網路通訊的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、埠號以及TCP標記,過濾進出的資料包。它允許受信任的客戶機和不受信任的主機建立直接連線,不依靠
與應用層有關的代理,而是依靠某種演算法來識別進出的應用層資料,這些演算法通過己知合法資料包的模式來比較進出資料包,這樣從理論上就能比應用級代理在過濾資料包上更有效。狀態監視器的監視模組支援多種協議和應用程式,可方便地實現應用和服務的擴充。此外,它還可監測RPC和UDP埠資訊,而包過濾和代理都不支援此類埠。這樣,通過對各層進行監測,狀態監視器實現網路安全的目的。目前,多使用狀態監測防火牆,它對使用者透明,在OSI最高層上加密資料,而無需修改客戶端程式,也無需對每個需在防火牆上執行的服務額外增加一個代理。
狀態檢測防火牆基本保持了簡單包過濾防火牆的優點,效能比較好,同時對應用是透明的,在此基礎上,對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的資料包,不關心資料包狀態的缺點,在防火牆的核心部分建立狀態連線表,維護了連線,將進出網路的資料當成一個個的事件來處理。可以這樣說,狀態檢測包過濾防火牆規範了網路層和傳輸層行為,而應用代理型防火牆則是規範了特定的應用協議上的行為。
優點
1. 安全性好
狀態檢測防火牆工作在資料鏈路層和網路層之間,它從這裡擷取資料包,因為資料鏈路層是網絡卡工作的真正位置,網路層是協議棧的第一層,這樣防火牆確保了擷取和檢查所有通過網路的原始資料包。防火牆擷取到資料包就處理它們,首先根據安全策略從資料包中提取有用資訊,儲存在記憶體中;然後將相關資訊組合起來,進行一些邏輯或數學運算,獲得相應的結論,進行相應的操作,如允許資料包通過、拒絕資料包、認證連線、加密資料等。狀態檢測防火牆雖然工作在協議棧較低層,但它檢測所有應用層的資料包,從中提取有用資訊,如IP地址、埠號、資料內容等,這樣安全性得到很大提高。
2. 效能高效
狀態檢測防火牆工作在協議棧的較低層,通過防火牆的所有的資料包都在低層處理,而不需要協議棧的上層處理任何資料包,這樣減少了高層協議頭的開銷,執行效率提高很多;另外在這種防火牆中一旦一個連線建立起來,就不用再對這個連線做更多工作,系統可以去處理別的連線,執行效率明顯提高。
3. 擴充套件性好
狀態檢測防火牆不像應用閘道器式防火牆那樣,每一個應用對應一個服務程式,這樣所能提供的服務是有限的,而且當增加一個新的服務時,必須為新的服務開發相應的服務程式,這樣系統的可擴充套件性降低。狀態檢測防火牆不區分每個具體的應用,只是根據從資料包中提取出的資訊、對應的安全策略及過濾規則處理資料包,當有一個新的應用時,它能動態產生新的應用的新的規則,而不用另外寫程式碼,所以具有很好的伸縮性和擴充套件性。
4. 配置方便,應用範圍廣
狀態檢測防火牆不僅支援基於TCP的應用,而且支援基於無連線協議的應用,如RPC、基於UDP的應用***DNS 、WAIS、 Archie等***等。對於無連線的協議,連線請求和應答沒有區別,包過濾防火牆和應用閘道器對此類應用要麼不支援,要麼開放一個大範圍的UDP埠,這樣暴露了內部網,降低了安全性。
狀態檢測防火牆實現了基於UDP應用的安全,通過在UDP通訊之上保持一個虛擬連線來實現。防火牆儲存通過閘道器的每一個連線的狀態資訊,允許穿過防火牆的UDP請求包被記錄,當UDP包在相反方向上通過時,依據連線狀態表確定該UDP包是否被授權的,若已被授權,則通過,否則拒絕。如果在指定的一段時間內響應資料包沒有到達,連線超時,則該連線被阻塞,這樣所有的攻擊都被阻塞.狀態檢測防火牆可以控制無效連線的連線時間,避免大量的無效連線佔用過多的網路資源,可以很好的降低DOS和DDOS攻擊的風險。
狀態檢測防火牆也支援RPC,因為對於RPC服務來說,其埠號是不定的,因此簡單的跟蹤埠號是不能實現該種服務的安全,狀態檢測防火牆通過動態埠對映圖記錄埠號,為驗證該連線還儲存連線狀態、程式號等,通過動態埠對映圖來實現此類應用的安全。
狀態檢測防火牆缺點
包過濾防火牆得以進行正常工作的一切依據都在於過濾規則的實施,但又不能滿足建立精細規則的要求,並不能分析高階協議中的資料。應用網路關防火牆的每個連線都必須建立在為之建立的有一套複雜的協議分析機制的代理程式程序上,這會導致資料延遲的現象。
狀態檢測防火牆雖然繼承了包過濾防火牆和應用閘道器防火牆的優點,克服了它們的缺點,但它仍只是檢測資料包的第三層資訊,無法徹底的識別資料包中大量的垃圾郵件、廣告以及木馬程式等等。
包過濾防火牆和閘道器代理防火牆以及狀態檢測防火牆都有固有的無法克服的缺陷,不能滿足使用者對於安全性的不斷的要求,於是深度包檢測防火牆技術被提出了。