(一)包过滤防火墙简介包过滤防火墙是一种通用、廉价、有效的安全手段。包过滤防火墙不针对各个具体的网络服务采取特殊的处理方式,而且大多数路由器都提供分组过滤功能,同时能够很大程度地满足企业的安全要求。包过滤防火墙的依据是分包传输技术。图7-1包过滤防火墙的工作原理包过滤防火墙对收到的每一数据包做许可或拒绝决定。......
2023-10-18
状态检测防火墙-计算机网络与信息安全-简介
【摘要】:(一)状态检测防火墙简介基于状态检测技术的防火墙是由CheckPoint软件技术有限公司率先提出的,也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。状态检测防火墙监视和跟踪每个有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。状态检测防火墙具有以下优点。
(一)状态检测防火墙简介
基于状态检测技术的防火墙是由CheckPoint软件技术有限公司率先提出的,也称为动态包过滤防火墙。基于状态检测技术的防火墙通过一个在网关处执行网络安全策略的检测引擎而获得非常好的安全特性。检测引擎在不影响网络正常运行的前提下,采取抽取有关数据的方法对网络通信的各层实施检测。检测引擎维护一个动态的状态信息表,并对后续的数据包进行检查,一旦发现某个连接的参数有意外变化,则立即将其终止。
状态检测防火墙监视和跟踪每个有效连接的状态,并根据这些信息决定是否允许网络数据包通过防火墙。它在协议栈底层截取数据包,然后分析这些数据包的当前状态,并将其与前一时刻相应的状态信息进行对比,从而得到对该数据包的控制信息。
检测引擎支持多种协议和应用程序,并可以方便地实现应用和服务的扩充。当用户访问请求到达网关操作系统前,检测引擎通过状态监视器收集有关状态信息,结合网络配置和安全规则做出接纳、拒绝、身份认证和报警等处理动作。一旦有某个访问违反了安全规则,该访问就会被拒绝,记录并报告有关状态信息。
状态检测防火墙试图跟踪通过防火墙的网络连接和数据包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。
在包过滤防火墙中,所有数据包都被认为是孤立存在的,不关心数据包的历史和未来,数据包的允许和拒绝的决定完全取决于包自身所包含的信息,如源地址、目的地址和端口号等。状态检测防火墙跟踪的则不仅仅是数据包所包含的信息,还包括数据包的状态信息。为了跟踪数据包的状态,状态检测防火墙还记录有用的信息以帮助识别包,如已有的网络连接、数据的传出请求等。
状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的配合,对表中的各个连接状态因素加以识别。
(二)状态检测技术跟踪连接状态的方式
状态检测技术跟踪连接状态的方式取决于数据包的协议类型。
1.TCP包
当建立起一个TCP连接时,通过的第一个包被标记上包的SYN标志。通常情况下,防火墙丢弃所有外部的连接企图,除非已经建立起某条特定规则来处理它们。对内部主机试图连接到外部主机的数据包,防火墙标记该连接包,允许响应及随后在两个系统之间的数据包通过,直到连接结束为止。在这种方式下,传入的包只有在它是响应一个已经建立的连接时,才允许通过。
2.UDP包
UDP包比TCP包简单,因为它们不包含任何连接或序列信息。它们只包含源地址、目的地址、校验和携带的数据。这种信息的缺乏使得防火墙确定包的合法性很困难,因为没有打开的连接可以利用,以测试传输的包是否应被允许通过。如果防火墙跟踪包的状态,就可以确定。对传入的包,若它所使用的地址和UDP包携带的协议与传出的连接请求匹配,该包就被允许通过。与TCP包一样,没有传入的UDP包会被允许通过,除非它是响应传出的请求或已经建立了制定的规则来处理它。对其他类型的包,情况与UDP包类似。防火墙仔细地跟踪传出的请求,记录下所使用的地址、协议和包的类型,然后对照保存过的信息核对传入的包,以确保这些包是被请求的。(www.chuimin.cn)
(三)状态检测防火墙的特点
状态检测防火墙结合了包过滤防火墙和代理防火墙的优点,克服了两者的不足,能够根据协议、端口以及源地址和目的地址等信息决定数据包是否被允许通过。状态检测防火墙具有以下优点。
1.高安全性
状态检测防火墙工作在数据链路层和网络层之间,因为数据链路层是网卡工作的真正位置,网络层是协议栈的第一层,这样防火墙就能确保截取和检查所有通过网络的所有原始数据包。
2.高效性
状态检测防火墙工作在协议栈较低层,通过防火墙的数据包都在低层处理,不需要协议栈上层处理任何数据包,这样就减少了高层协议的开销,使执行效率提高了很多。
3.可伸缩性和易扩展性
状态检测防火墙不像代理防火墙那样,每个应用对应一个服务程序,这样所能提供的服务是有限的。状态检测防火墙不区分具体的应用,只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数据包。当有一个新的应用时,它能动态产生新规则,而不用另写代码。
4.应用范围广
状态检测防火墙不仅支持基于TCP的应用,还支持无连接的应用,如RPC和UDP的应用。对无连接协议,包过滤防火墙和应用代理防火墙要么不支持,要么开放一个大范围的UDP端口,这样就会暴露内部网,降低安全性。
在带来高安全性的同时,状态检测技术也存在着不足,主要体现在对大量状态信息的处理过程可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活时,或者有大量的过滤网络通信规则存在时。不过随着硬件处理能力的不断提高,这个问题会变得越来越不重要。
有关计算机网络与信息安全的文章
- 详细阅读
-
计算机网络与信息安全:防火墙的分类详细阅读
(一)按防火墙软硬件形式分类如果从软硬件形式来分,防火墙可以分为软件防火墙、硬件防火墙和芯片级防火墙。之所以加上“所谓”二字,是针对芯片级防火墙来说的。目前市场上大多数防火墙都是这种所谓的硬件防火墙,它们都基于PC架构。值得注意的是,由于此类防火墙采用的依然是别人的内核,因此会受到OS本身的安全性影响。应用代理型防火墙工作在OSI的最高层,即应用层。......
2023-10-18
-
计算机网络与信息安全:应用代理防火墙优劣详细阅读
(二)应用代理防火墙的优缺点1.应用代理防火墙的优点应用代理易于配置因为代理是一个软件,所以比过滤路由器容易配置。(三)应用代理防火墙的分类代理服务器工作在应用层,针对不同的应用协议,需要建立不同的服务代理。......
2023-10-18
-
防火墙的特性和功能-计算机网络与信息安全详细阅读
防火墙应具备以下3个基本特性。防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计与控制。防火墙应该可以拒绝所有以上类型攻击的报文并通知管理员。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到探测和攻击的详细信息。......
2023-10-18
-
常用入侵检测系统介绍-《计算机网络与信息安全详细阅读
(一)Snort入侵检测系统Snort系统是一个以开放源代码形式发行的网络入侵检测系统,由Martin Roesch编写,并由遍布世界各地的众多程序员共同维护和升级。Snort不仅是一个网络入侵检测系统,还可以作为网络数据包分析器和记录器来使用。网络入侵检测系统网络入侵检测系统模式是Snort的最主要功能。(二)OSSEC HIDSOSSEC HIDS是一个基于主机的开源入侵检测系统,它可以执行日志分析、完整性检查,Windows注册表监视、Rootkit检测、实时警告及动态的适时响应。......
2023-10-18
-
计算机网络与信息安全:入侵检测系统发展趋势详细阅读
目前入侵检测分析方法主要有统计分析、模式匹配、数据重组、协议分析、行为分析等。但由于目前算法处理和规则制定的难度很大,还不是非常成熟,但却是入侵检测技术发展的趋势。(二)内容恢复和网络审计功能的引入入侵检测的最高境界是行为分析。所以,入侵检测产品集成网管功能,扫描器、嗅探器等功能是以后研究发展的重要方向。......
2023-10-18
-
计算机网络与信息安全:入侵检测系统模型详细阅读
为了更好地研究入侵检测系统,人们将其各个组成部分抽象出来,形成各种入侵检测模型。模型中,入侵检测系统分为4个基本组件,即事件产生器、事件分析器、响应单元和事件数据库。其中的事件是指入侵检测系统需要分析的数据。如果入侵检测系统也能够像攻击者那样合作,就有可能检测到。......
2023-10-18
-
计算机网络与信息安全:入侵检测技术的发展详细阅读
这是入侵检测历史上的又一力作,入侵检测领域的研究工作由此开始广泛地展开,关于入侵检测的首次专题研讨会也于同年由SRI公司召开。改进后的IDES模型采用了异常入侵检测技术,至此,入侵检测技术两大阵营都登上了历史的舞台,分别是:误用入侵检测技术和异常入侵检测技术。1996年,美国新墨西哥大学的Forrest小组提出了基于计算机免疫学的入侵检测技术。......
2023-10-18
相关推荐