.
状态检测技术以及竞争厂商对比
为什么所有的状态检测防火墙并不完全相同?
提纲
概述:防火墙安全
状态检测概念
不同防火墙实现状态检测的不同之处
防火墙安全之缺陷
防火墙安全之缺陷
状态检测处理的公共服务和协议
检测攻击和防护攻击
的方法
在检测攻击和防护攻击上的局限性
在检测攻击和防护攻击上的局限性
攻击的防护能力
总结 的状态检测技术是防火墙的工业标准
概述:防火墙安全
很多的防火墙产品的出现给网络安全管理者进行产品选型过程中出现困难。为了决定哪个产品是最安全的
而翻阅大量的市场和销售的文档令人头疼。本文针对防火墙选择过程提供一些技术背景,解释并比较
、、 提出的安全解决方案。
状态检测概念
状态检测由 公司发明,是企业防火墙的事实上的技术标准。为了提供全面的安全解决方案 ,
一个防火墙必须能跟踪和控制所有会话的 !,与原始的“包过滤”技术不同,状态检测分析流入和流出网
络的“流”,因此可以基于通讯会话信息(也可基于应用信息)做出实时的安全判断, 这个结果通过跟踪穿
越防火墙网关的通讯会话的状态 和上下文来实现,不管这个连接 包含多么复杂的协议。
不同防火墙实现状态检测的不同之处
状态防火墙所能提供的安全级别由是否能跟踪大量的数据和对数据是否进行了彻底的分析来决定。防火墙
只有跟踪每一个通讯会话 的实际状态和许可会话所动态打开的 " 或 #$ 端口 。如果防火墙
没有这个能力,就必须打开一个很大的端口 围来支持哪怕是最基本的 服务。防火墙如果不加
鉴别地打开一定 围的端口将会在在安全配置上出现严重的可被利用的漏洞。为了跟踪上下文,一个防火
墙必须检查包的内容以确保每个进入网络的数据包能匹配通讯会话原有的的参数或属性,这就能确保可疑
的或恶意的数据包与正常通讯数据包的上下文区别开来,因此不会威胁防火墙的安全,为了跟踪和处理某
一应用的状态 信息和上下文 % 信息,应用的信息被看作具有一定状态的 &,以下是一
个防火墙所应该跟踪和分析的状态和上下文关系的例子:
状态和上下文信息
''数据包的头信息 (源地址、目的地址、协议、源端口、目的端口、包长度)
''连接状态信息 (哪一个连接打开了哪一个端口)
''"和 分段数据 (例如:分段号、顺序号)
''''数据包重组、应用类型、上下文校验 (即:包属于哪个通讯会话 )
WORD.