有關(guān)防火墻新技術(shù)的分析

危　云　周　英　趙建軍　賀愛玲（內(nèi)蒙古呼和浩特鐵路局包頭電務(wù)段 ，內(nèi)蒙古 包頭 014040）

有關(guān)防火墻新技術(shù)的分析

危云周英趙建軍賀愛玲
（內(nèi)蒙古呼和浩特鐵路局包頭電務(wù)段 ，內(nèi)蒙古 包頭 014040）

摘要：本文主要從防火墻技術(shù)的狀態(tài)檢測入手，探討防火墻發(fā)展趨勢的兩種主要新技術(shù)——深度包檢測和安全設(shè)備聯(lián)動，以期對這一問題作出有益思考。

關(guān)鍵詞：狀態(tài)檢測；深度包檢測技術(shù)；安全設(shè)備聯(lián)動技術(shù)

防火墻技術(shù)是基礎(chǔ)性的計算機技術(shù)之一，其中主流的狀態(tài)檢測技術(shù)又起到關(guān)鍵性的作用，對狀態(tài)檢測包進行原理分析和實例分析一直是這一領(lǐng)域的重點內(nèi)容。狀態(tài)檢測包技術(shù)與傳統(tǒng)包過濾技術(shù)不同，前者有更大的技術(shù)優(yōu)勢，在此基礎(chǔ)上，基于其連接和數(shù)據(jù)包內(nèi)容分析的實現(xiàn)方法，產(chǎn)生了深度包檢測和安全設(shè)備聯(lián)動這兩種新技術(shù)。

一、狀態(tài)檢測

狀態(tài)檢測又稱動態(tài)包過濾檢測，區(qū)別于以往的傳統(tǒng)過濾包檢測，是其功能上的拓展，并取代它成為主流的的防火墻技術(shù)。狀態(tài)檢測包過濾防火墻又可以稱之為第三代防火墻。相較于傳統(tǒng)的靜態(tài)包過濾技術(shù)，這一代防火墻更加注重多個數(shù)據(jù)包的整體分析，在根據(jù)其包頭信息進行匹配時，并不固定，而是靈活應(yīng)對，以防止在過濾包遇到利用動態(tài)端口的應(yīng)用協(xié)議時，因為傳統(tǒng)的靜態(tài)包過濾而發(fā)生分析上的困難。

二、深度包檢測技術(shù)

深度包檢測技術(shù)相比較于傳統(tǒng)的網(wǎng)絡(luò)層包過濾技術(shù)來講，有著更加明顯的優(yōu)勢，其表現(xiàn)在于：傳統(tǒng)的網(wǎng)絡(luò)層包過濾技術(shù)主要應(yīng)用與網(wǎng)絡(luò)層面，所分析的數(shù)據(jù)信息大部分是包頭信息，也就是數(shù)據(jù)信息本身，而并沒有對數(shù)據(jù)包內(nèi)的具體內(nèi)容進行分析。這種方法在防火墻技術(shù)發(fā)展之初是非常有效的，但是隨著網(wǎng)絡(luò)服務(wù)和協(xié)議越來越多樣化，越來越復(fù)雜化，這種方法所提供的包頭信息不能夠滿足防火墻技術(shù)發(fā)展的需要，不能為網(wǎng)絡(luò)提供足夠的安全性與可用性。

深度包檢測技術(shù)正是在這種情況下發(fā)展起來的，它對數(shù)據(jù)包的分析不僅僅局限于包頭信息，而是具體分析數(shù)據(jù)包的內(nèi)容，對于各種應(yīng)用協(xié)議的流程和缺陷做出反饋，進而提出針對性的檢測方式與保護措施。具體來講，深度包檢測是一種關(guān)聯(lián)性的技術(shù)，它將多個數(shù)據(jù)包聯(lián)接起來，形成一個數(shù)據(jù)流，在實時檢測異常行為的同時，檢測整體的數(shù)據(jù)流狀態(tài)。需要特別提到的是，這種檢測技術(shù)對于分析速度的要求極高，對于應(yīng)用瀏覽的檢測和重組要實時更新，最大限度地避免延時。

（一）會話終止部分

深度包檢測技術(shù)區(qū)別于傳統(tǒng)的包顧慮技術(shù)，不再以數(shù)據(jù)包為分析單位，在進行數(shù)據(jù)流控制的過程中，不再通過對單個數(shù)據(jù)包的丟棄來實現(xiàn)過濾，避免因此帶來的網(wǎng)絡(luò)中斷，用最小的運行成本達(dá)到過濾的目的。TCP傳輸連接有超時重傳的機制，其他大部分的應(yīng)用協(xié)議的運行機制也基本相似，深度包檢測技術(shù)很好地應(yīng)用這一機制，基于連接，根據(jù)特定的協(xié)議，采用最合理、最安全、最有效的方式來終止整個會話，例如一個TCP連接，或者是一整個的應(yīng)用層次的會話。

（二）內(nèi)容過濾部分

防火墻技術(shù)所要防范的惡意數(shù)據(jù)，基本包含在數(shù)據(jù)包的具體內(nèi)容中，而不是包頭信息，這些而惡意數(shù)據(jù)通過刻意構(gòu)造的URL、破壞性控件、病毒等形式，對整個網(wǎng)絡(luò)構(gòu)成危害。深度包檢測正是針對這一問題，發(fā)揮其自身的運行速度優(yōu)勢，對惡意數(shù)據(jù)進行分析，對內(nèi)容進行過濾，檢測及重新組裝應(yīng)用流量，最大限度地避免延時。

（三）加密數(shù)據(jù)分析部分

這一部分是深度包檢測技術(shù)的重點內(nèi)容，因為現(xiàn)在的安全應(yīng)用中，大部分都會使用SSL技術(shù)，來確保通信的保密性，或者用IPSEC協(xié)議，通過公共網(wǎng)絡(luò)提供VPN 的加密連接。這些加密的數(shù)據(jù)流需要特殊的加密技術(shù)，也就是端到端的加密方式，但是，這種加密方式有其弊端，對中途攔截的防火墻和被動探測器來講，這種保護方式并不完善，會造成檢測系統(tǒng)被入侵。

針對上述問題，需要對數(shù)據(jù)流進行解碼，解碼之后的數(shù)據(jù)內(nèi)容與內(nèi)部網(wǎng)絡(luò)的安全策略設(shè)定密切相關(guān)，這樣所形成的防火墻更加牢靠，各個不容易破解，因為只有具有了更高安全級別，才可以對加密的數(shù)據(jù)流進行解密。深度包檢測技術(shù)是防火墻技術(shù)發(fā)展的關(guān)鍵性內(nèi)容，面對網(wǎng)絡(luò)環(huán)境下越來越大的攻擊危險，需要深度包檢測防火墻不斷升級，以應(yīng)對危機四伏的網(wǎng)絡(luò)環(huán)境。因此，我們需要改善傳統(tǒng)的檢測技術(shù)，添加特征檢測等功能，更準(zhǔn)確地阻攔惡意信息，阻擋異常行為的發(fā)生。

三、安全設(shè)備聯(lián)動技術(shù)

防火墻是內(nèi)部網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間重要的，也是唯一的通道，這個特殊的位置，使得防火墻成為重要的訪問可控制節(jié)點.也成為進行查尋惡意信息和網(wǎng)絡(luò)監(jiān)控的理想位置，并成為網(wǎng)絡(luò)安全審計工作和網(wǎng)絡(luò)數(shù)據(jù)收集的重要場所。如今，網(wǎng)絡(luò)環(huán)境越來越多樣，也越來越復(fù)雜，隨之而來的網(wǎng)絡(luò)攻擊和破壞行為的方法更是層出不窮，通過單個節(jié)點所構(gòu)成的安全防護已經(jīng)不能滿足安全保護的需求。在這種情況下，我們提倡建立以防火墻為核心的網(wǎng)絡(luò)安全體系，也就是安全設(shè)備的聯(lián)動技術(shù)。

對于被入侵系統(tǒng)的保護并不簡單是檢測技術(shù)的應(yīng)用，而是在發(fā)生入侵行為之后，對入侵檢測系統(tǒng)本身的對入侵行為及時遏止。為了達(dá)到這一目的，處于旁路偵聽的入侵檢測系統(tǒng)所形成的防護體系是不全面的，而主鏈路所連接的設(shè)備并不充足，不能夠?qū)λ腥肭中袨檫M行防護 。安全設(shè)備的聯(lián)動技術(shù)就是聯(lián)合相關(guān)的安全產(chǎn)品，進行整體的入侵檢測和病毒檢測，各取所需，建立起一個安全的、整體的、有效的防范體系。

具體來講，主要有兩種方法：第一種是直接運用入侵病毒，將對病毒的檢測放入到防火墻之中，形成自體的病毒檢測功能和體系，發(fā)揮安全檢測設(shè)備的防范功能；第二種方法是把各個檢測產(chǎn)品分立，再運用相關(guān)的手段進行聯(lián)接和整合，換句話說，也就是各個檢測產(chǎn)品各司其事，專門防范某一類安全事件，一旦發(fā)生安全事件，馬上通知給防火墻，通過防火墻進行分析判斷。進行過濾和防范。這兩種方法中，第二種方法的使用更加廣泛，在其應(yīng)用過程中，存在一些用于安全產(chǎn)品之間協(xié)同工作的聯(lián)動模式及協(xié)議。

結(jié)語

綜上所述，本文從防火墻技術(shù)的狀態(tài)檢測入手，具體探討了防火墻發(fā)展趨勢的兩種主要新技術(shù)：深度包檢測技術(shù)和安全設(shè)備聯(lián)動技術(shù)。

參考文獻(xiàn)

[1]張晶．網(wǎng)絡(luò)安全與防火墻設(shè)計及實現(xiàn)[D]．中國科學(xué)院成都計算機應(yīng)用研究所，2011．

[2]金曉倩．基于計算機防火墻安全屏障的網(wǎng)絡(luò)防范技術(shù)[J]．素質(zhì)教育論壇，2010 （11）．

[3]于婷婷．淺談Internet防火墻技術(shù)[J]．計算機光盤軟件與應(yīng)用，2012（04）：55-56．

中圖分類號：TP393

文獻(xiàn)標(biāo)識碼：A