|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)�����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�����,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息�����。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源�����、數(shù)據(jù)資源、信息資源�����、知識資源�����、專家資源�����、大型數(shù)據(jù)庫�����、網(wǎng)絡(luò)、傳感器等�����。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�����,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�����。 防火墻作為一種提供信息安全服務(wù)�����、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施�����,作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口�����,根據(jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的信息流。再加上防火墻本身具有較強(qiáng)的抗攻擊能力�����,能有效地監(jiān)控內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)�����,從而為內(nèi)部網(wǎng)絡(luò)的安全提供了有力的安全保證。
防火墻在為內(nèi)部網(wǎng)絡(luò)帶來安全的同時(shí)�����,也產(chǎn)生了一定的反作用——降低網(wǎng)絡(luò)運(yùn)行效率�����。在傳統(tǒng)防火墻的設(shè)計(jì)中�����,包過濾只是與規(guī)則表進(jìn)行匹配�����,對符合規(guī)則的數(shù)據(jù)包進(jìn)行處理�����,不符合規(guī)則的就丟棄�����。由于是基于規(guī)則的檢查�����,同屬于同一連接的不同包毫無任何聯(lián)系�����,每個(gè)包都要依據(jù)規(guī)則順序過濾�����。由于網(wǎng)絡(luò)安全涉及領(lǐng)域很多�����,技術(shù)復(fù)雜,安全規(guī)則往往要達(dá)到數(shù)百甚至上千種�����。隨著安全規(guī)則的增加,很多防火墻產(chǎn)品都會(huì)出現(xiàn)性能大幅度降低�����,網(wǎng)絡(luò)資源衰竭等問題�����,從而造成網(wǎng)絡(luò)擁塞�����。所以�����,安全與效率的兩難選擇成為傳統(tǒng)防火墻面臨的最大問題�����。此外�����,在這種設(shè)計(jì)中,入侵者可能會(huì)采用IP Spoofing的辦法將自己的非法包偽裝成屬于某個(gè)合法的連接�����,進(jìn)而侵入用戶的內(nèi)部網(wǎng)絡(luò)系統(tǒng)�����。因此�����,傳統(tǒng)的包過濾技術(shù)既缺乏效率又容易產(chǎn)生安全漏洞�����。
日前,具有自主核心技術(shù)的防火墻新品已產(chǎn)生�����,該產(chǎn)品就利用這一技術(shù)�����,將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待�����,通過規(guī)則表與連接狀態(tài)表的共同配合,大大提高了系統(tǒng)的傳輸效率和安全性�����,從而較好地解決了防火墻固有的安全與效率的矛盾問題�����。
與傳統(tǒng)包過濾的無連接檢測技術(shù)不同�����,基于連接狀態(tài)的包過濾在進(jìn)行包的檢查時(shí),不僅將其看成是獨(dú)立的單元�����,同時(shí)還要考慮它的歷史關(guān)聯(lián)性�����。例如�����,在基于TCP協(xié)議的連接中,每個(gè)包在傳輸時(shí)都包括了IP源地址�����、目的地址�����、協(xié)議的源接口和目的接口等信息�����,還包括了對在允許的時(shí)間間隔內(nèi)是否發(fā)生了TCP握手消息的監(jiān)視信息等�����,這些信息與每個(gè)數(shù)據(jù)包都是有關(guān)聯(lián)的�����。換句話說�����,對于屬于同一個(gè)連接的數(shù)據(jù)包來說并不是孤立的�����,它們存在內(nèi)部的關(guān)聯(lián)信息�����。無連接的包過濾規(guī)則由于忽略了這些內(nèi)在的關(guān)聯(lián)信息�����,對每個(gè)數(shù)據(jù)包都進(jìn)行孤立的規(guī)則檢測�����,所以大大降低了傳輸效率�����。
由于采用了基于連接的包過濾處理方法�����,該防火墻在進(jìn)行規(guī)則檢查的同時(shí),可以將包的連接狀態(tài)記錄下來�����,該連接以后的包則無需再通過規(guī)則檢查�����,而只需通過狀態(tài)表里對該包所屬的連接的記錄來檢查即可。如果有相應(yīng)的狀態(tài)標(biāo)識�����,則說明該包屬于已經(jīng)建立的合法連接�����,可以接受�����。檢查通過后該連接狀態(tài)的記錄將被刷新�����。這樣就使具有相同連接狀態(tài)的包避免了重復(fù)檢查�����。同時(shí)由于規(guī)則表的排序是固定的�����,只能采用線性的方法進(jìn)行搜索�����,而連接狀態(tài)表內(nèi)的記錄是可以隨意排列的,于是可采用諸如二叉樹或Hash等算法進(jìn)行快速搜索�����,這就提高了系統(tǒng)的傳輸效率�����。同時(shí)�����,采用實(shí)時(shí)的連接狀態(tài)監(jiān)控技術(shù)�����,可以在狀態(tài)表中通過諸如ACK(應(yīng)答響應(yīng))�����、NO等連接狀態(tài)因素加以識別�����,阻止該包通過,增強(qiáng)了系統(tǒng)的安全性�����。
另外�����,對于基于UDP協(xié)議的應(yīng)用來說�����,由于該協(xié)議本身對于順序錯(cuò)誤或丟失的包并不做糾纏或重傳�����,所以很難用簡單的包過濾技術(shù)對其處理�����。防火墻在對基于UDP協(xié)議的連接處理時(shí)�����,會(huì)為UDP建立虛擬連接�����,同樣能夠?qū)B接過程狀態(tài)進(jìn)行監(jiān)控�����,通過規(guī)則與連接狀態(tài)的共同配合�����,達(dá)到包過濾的高效與安全�����。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中�����,正因如此�����,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上�����、軟件上�����、所用標(biāo)準(zhǔn)上......�����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢�����,對應(yīng)發(fā)展�����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑�����。
|
溫馨提示:喜歡本站的話�����,請收藏一下本站!
