东方龙马防火墙解决方案
防火墙是一种将局域网和广域网分开的方法,它能限制被保护的内网与外网之间的信息存
取和交换操作。防火墙可以作为不同网络或网络安全域之间交换信息的出入 口,能根据企
业的安全策略控制出入网络的信息流,且本身就有较强的抗攻击能力,它是提供信息安全
服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是 一个分离器,一个限制器,
也是一个分析器,有效的控制了内部网和外部网之间的活动,保证了内部网络的安全。
防火墙技术包括包过滤技术,网络地址转换(NAT)技术及代理技术等等。下面,我们将
以新近上市的东方龙马防火墙为例做一简单介绍,看看防火墙是怎样来防“火”的。
实时的连接状态下的包过滤
包过滤是防火墙中的一项主要安全技术,它通过防火墙对进出网络的数据流进行控制与操
作。系统管理员可以设定一系列规则,允许指定的哪些类型的数据包 可以流入或流出内部
网络;哪些类型的数据包传输应该被拦截。龙马卫士防火墙不仅根据数据包的地址、方向、
协议、服务、端口、访问时间进行访问控制,同时还 对任何网络连接和当前的会话状态进
行分析和监控。
传统防火墙的包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则
的丢弃。由于是基于规则的检查,属于同一连接的不同包毫无任何联 系,每个包都要依据
规则顺序过滤,这样随着安全规则的增加,势必会使防火墙的性能大幅度的降低,造成网
络拥塞。甚至黑客会采用 IP Spoong 的办法将自己的非法包伪装成属于某个合法的连接。
这样的包过滤既缺乏效率又容易产生安全漏洞。
龙马卫士防火墙采用了基于连接状态检查的包过滤,将属于同一连接的所有包作为一个整
体的数据流看待,通过规则表与连接状态表的共同配合,大大地提高 了系统的性能和安全
性。龙马卫士防火墙在进行包的检测时不仅将其看成是独立的单元,同时还要考虑与它的
前面包的关联性。例如,在基于 TCP 协议的连接中, 每个包在传输时都包括了 IP 源地址,
IP 目的地址,源端口和目的端口等信息,还包括了对在允许的时间间隔内是否发生了 TCP
握手消息的监视信息等。这些信 息与每个数据包都是有关联的。换句话说,对于属于同一
个连接的数据包来说并不是完全孤立的,它们存在内部的关联信息。无连接的包过滤规则
没有考虑这些内在 的关联信息,而是对每个数据包都进行孤立的规则检测,这样就降低了
传输效率和安全性。
尤其值得一提的是,对于基于 UDP 协议、ICMP 的应用来说,是很难用简单的包过滤技术
进行处理的,因为 UDP 协议本身对于顺序错误或丢失的包,是 不做纠错或重传的。而
ICMP 与 IP 位于同一层,它被用来传送 IP 的差错和控制信息。龙马卫士防火墙在对基于
UDP 协议的连接处理时,会为 UDP 建立虚拟 的连接,同样能够对连接过程状态进行监控。
通过规则与连接状态的共同配合,达到包过滤的高效与安全。可以这么说,能够实现对
UDP、ICMP 协议的实时状 态监控,这是龙马卫士防火墙有别于其它厂商防火墙的显著特
点之一。
评论0
最新资源