2024年5月23日发(作者:)

深度检测技术简介

推荐文章

防火墙的高级检测技术IDS详解 热度: 关于退休的经典散文诗歌 热度: 大学生入党

志愿书1500字 热度: 参观国家博物馆心得 热度: 语文教师个人成长总结优秀文章 热

度:

状态检测防火墙是目前使用最广泛的防火墙,用来防护黑客攻击。但是,随着专门针

对应用层的Web攻击现象的增多,在攻击防护中,状态检测防火墙的有效性越来越低。

设计状态检测防火墙时,并没有专门针对Web应用程序攻击,为了适应不断增长的

Web应用程序的威胁,新一代的深度检测防火墙出现了。

本文先介绍了防火墙技术的演变过程,然后介绍了深度检测技术的四个基本特征。

1、防火墙技术的演变过程

防火墙技术的演变过程,如图1所示。到目前为止,主要有包过滤防火墙、状态检测

防护墙和深度检测防火墙三种类型。

1.1 包过滤防火墙(Packet Filter Firewall)

包过滤防火墙----第一代防火墙,没有状态的概念。通过包过滤,管理员能够允许或

禁止ACLs(Access Control Lists,访问控制列表)中的选项,包过滤防火墙主要具有以下

属性:

数据包到达的物理网络接口;

源IP地址和端口;

目标IP地址和端口;

但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是

说,防火墙不理解通信的内容,所以可能被黑客所攻破。

由于种种原因,人们认为包过滤防火墙不过安全,于是逐渐被状态检测防火墙所取代。

1.2 状态检测防火墙(Stateful Inspection Firewall)

状态检测防火墙出现,并成为市场上的绝对领导者,主要有以下原因,包括性能,部

署能力和扩展能力。他们在90年代中期得到了迅速发展。1993年,Check Point公司成

功推出了世界上第一台商用的状态检测防火墙产品。

状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检测防火墙判断允许还是

禁止数据流的依据也是源IP地址,目的IP地址,源端口,目的端口和通讯协议等。与包

过滤防火墙不同的是,状态检测防火墙是基于会话信息做出决策的,而不是包的信息;

状态检测防火墙验证进来的数据包时,判断当前数据包是否符合先前允许的会话,并

在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。

网络设备,比如路由器,会将数据包分解成更小的数据帧,因此,状态检测设备,通常需