3.狀態監視技術
這是繼“包過濾”技術和“應用代理”技術後發展的防火牆技術,它是CheckPoint技術公司在基於“包過濾”原理的“動態包過濾”技術發展而來的,與之類似的有其他廠商聯合發展的“深度包偵測”(Deep Packet Inspection)技術。這種防火牆技術透過一種被稱為“狀態監視”的模組,在不影響網路安全正常工作的前提下採用抽取相關數據的方法對網路通信的各個層次實行監測,並根據各種過濾規則作出安全決策。
“狀態監視”(Stateful Inspection)技術在保留了對每個數據包的頭部、協議、地址、連接埠、類型等資訊進行分析的基礎上,進一步發展了“會話過濾”(Session Filtering)功能,在每個連接建立時,防火牆會為這個連接構造一個會話狀態,裏面包含了這個連接數據包的所有資訊,以後這個連接都基於這個狀態資訊進行,這種偵測的高明之處是能對每個數據包的內容進行監視,一旦建立了一個會話狀態,則此後的數據傳輸都要以此會話狀態作為依據,例如一個連接的數據包源連接埠是8000,那麼在以後的數據傳輸過程裏防火牆都會審核這個包的源連接埠還是不是8000,否則這個數據包就被攔截,而且會話狀態的保留是有時間限制的,在超時的範圍內如果沒有再進行數據傳輸,這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析,從而襬脫了傳統防火牆僅侷限於幾個包頭部資訊的偵測弱點,而且這種防火牆不必開放過多連接埠,進一步杜絕了可能因為開放連接埠過多而帶來的安全隱患。
由於狀態監視技術相當於結合了包過濾技術和應用代理技術,因此是最先進的,但是由於實現技術複雜,在實際應用中還不能做到真正的完全有效的數據安全偵測,而且在一般的電腦硬體系統上很難設計出基於此技術的完善防禦措施(市面上大部分軟體防火牆使用的其實只是包過濾技術加上一點其他新特性而已)。
四. 技術展望
防火牆作為維護網路安全的關鍵設備,在目前採用的網路安全的防範體系中,佔據著舉足輕重的位置。伴隨電腦技術的發展和網路應用的普及,越來越多的企業與個體都遭遇到不同程度的安全難題,因此市場對防火牆的設備需求和技術要求都在不斷提升,而且越來越嚴峻的網路安全問題也要求防火牆技術有更快的提高,否則將會在面對新一輪入侵手法時束手無策。
多功能、高安全性的防火牆可以讓用戶網路更加無憂,但前提是要確保網路的運行效率,因此在防火牆發展過程中,必須始終將高性能放在主要位置,目前各大廠商正在朝這個方向努力,而且豐富的產品功能也是用戶選擇防火牆的依據之一,一款完善的防火牆產品,應該包含有訪問控制、網路地址轉換、代理、認證、日誌審計等基礎功能,並擁有自己特色的安全相關技術,如規則簡化方案等,明天的防火牆技術將會如何發展,讓我們拭目以待。
來源