| 近年来,随着网络安全形式的日益严峻,防火墙的应用得到了充分的拓展。从传统的包过滤防火墙到应用网关防火墙再到状态检测防火墙,防火墙的技术越来越先进,而目前防火墙技术中比较流行的深度包检测技术则可以看做是IDS(入侵检测)和IPS(入侵防御)技术的结合。 对于缺少IDS的防火墙来说(即使是状态检测防火墙),它无法为网络提供完全意义上的防御(仍然只能被动的防御),而IDS技术的应用则为防火墙技术提供了极大的补充。IDS监视流过防火墙的数据(即使它们在防火墙策略中允许通过)和含有恶意企图的网络活动。而将IDS融入防火墙当中的就是深度包检测防火墙。 在谈深度包检测防火墙技术之前先让我们先来分析一下传统的包过滤防火墙和网关代理防火墙以及状态检测防火墙的缺点 包过滤防火墙得以进行正常工作的一切依据都在于过滤规则的实施,但又不能满足建立精细规则的要求,并不能分析高级协议中的数据。应用网络关防火墙的每个连接都必须建立在为之创建的有一套复杂的协议分析机制的代理程序进程上,这会导致数据延迟的现象。 状态检测l防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点,克服了它们的缺点,但它仍只是检测数据包的第三层信息,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。 包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷,不能满足用户对于安全性的不断的要求,于是深度包检测防火墙技术被提出了。 深度包检测防火墙通过指纹匹配、启发式、异常检测等技术来决定处理数据包的方式。它可以比状态检测防火墙更为有效的辨识缓冲区溢出攻击、DOS攻击以及各种蠕虫病毒的侵扰。它真正的将IDS技术完全融入其中。 让我们以client和Mail服务器通讯为例来比较一下传统的防火墙和深度包检测防火墙的不同 图1是传统的防火墙在通讯中所起的作用  client与Mail服务器通过三次握手后建立连接,显然,防火墙是允许这个连接的(不用再详细解释原理了吧),在下图中防火墙已经将这个连接记录了下来。 图2是深度检测防火墙在通讯中所起的作用  client建立了连接后,发出helo请求,然后等待Mail服务器的回应,服务器回应后,client就可以发出具体的邮件了。在下图中client发出了一个VRFY请求,这时防火墙检测到了这个请求,它会发出警报或者拒绝这个请求。而client可能接着会试图发送一个地址溢出的邮件以取得对服务器的shell访问权,由于有深度包检测防火墙的存在,防火墙可以检测到这个企图,并拒绝这个发送连接,甚至会拒绝由这个client所发出的所有连接请求。 通过以上的比较我们可以看出深度包检测防火墙的安全性远远大于传统的防火墙 随着深度包检测防火墙技术的不断完善,防火墙也技术也在不断的成熟,它也必将会替代状态检测防火墙,成为防火墙市场的主流。 感谢:zonelabs的"Hoov",谢谢你给予提供的指导 感谢:好友林静逸帮我制作的图片 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-9-30 23:23 , Processed in 0.130556 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
