流过滤技术
状态检测技术是根据会话信息来决定单个数据包是否可以通过,不实际处理应用层协议。
东软公司NetEye防火墙3.0首创“流过滤”技术,以包过滤的外部形态提供了应用级的保护能力,带给用户最大好处在于对应用层保护能力大幅度提升,是在状态检测包过滤的架构上发展起来的新一代防火墙技术。
流过滤技术核心是专门设计的TCP协议栈,该协议栈根据TCP协议的定义对出入防火墙的数据包进行了完全的*,并根据应用层的安全规则对组合后的数据流进行检测。
由于这个协议栈的存在,网络通信在防火墙内部由链路层上升到了应用层。数据包不再直接到达目的端,而是完全受防火墙中的应用协议模块的控制。
这种应用协议模块的工作方式非常类似于代理防火墙针对不同协议的代理程序,代替服务器接受来自客户端的访问,再代替客户端去获取访问的结果,所不同的是,这种模块能够支持更多的协议种类和更大规模的并发访问。
状态检测技术主要特点
①安全性。
状态检测防火墙工作在数据链路层和网络层之间,监测所有应用层的数据包并从中提取有用信息,如IP地址、端口号和数据内容。
首先根据安全策略保存有用信息在内存中;然后对信息组合进行逻辑或数学运算、相应操作,如允许或拒绝数据包通过、认证连接和加密数据,安全性得到很大提高。
②高效性。
通过状态检测防火墙的所有数据包都在低层处理,减少了高层协议头的开销,执行效率提高很多。
一个连接建立起来,就不用再对该连接做更多的工作。
例如,一个通过身份验证的用户打开另一个浏览器,防火墙会自动授予该计算机建立其它会话的权限,不提示用户输人密码。
③可伸缩性和易扩展性。
状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取的信息、对应的安全策略及过滤规则处理数据包。
当有一个新的应用时,它能动态产生并应用新的规则,而不用另外写代码,所以具有很好的伸缩性和扩展性。
④应用范围广。
状态检测防火墙不仅基于TCP的应用,并且也持基于无连接(如RPC、UDP)协议的应用。
状态检测防火墙视所有通过防火墙的UDP分组为一个虚拟连接,通过网关的每一个连接的状态信息都会被记录。
当UDP包在相反方向上通过时,依据连接状态表确定该包是否被授权和通过。每个虚拟连接具有一定的生存期,较长时间没有数据传送的连接将被终止。
4) 网络地址转换技术
防火墙网络地址转换技术涉及到公用地址和专用地址。公用地址又称为合法IP地址,是指由Internet网络信息中心(InterNIC)分配的IP地址,在Internet上通信必须有一个公用地址。
为了解决IP地址短缺问题,InterNIC为公司专用网络提供了保留网络IP专用的方案。
这些专用网络地址包括:子网掩码为255.0.0.0的10.0.0.0(一个A类地址),子网掩码为255.240.0.0的172.160.0.0(一个B类地址),子网掩码为255.255.0.0的192.168.0.0(一个C类地址)。
专用地址不能直接与Internet通信,使用专用地址的内部网络与Internet进行通信,专用地址必须转换成公用地址。
网络地址转换器NAT(Network Address Translator)是完成地址转换的一个部件,如图5-10所示。NAT位于使用专用地址的Intranet和使用公用地址的Internet之间,其任务:
①把从Intranet传出数据包的端口号和专用IP地址换成自己的端口号和公用IP地址,然后将数据包发给外部网络的目的主机,同时记录一个跟踪信息在映像表中,并向客户机发送回答信息;
②将从Internet传入数据包的目的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。
网络地址转换技术优点
在内网中使用未注册的专用IP地址,与外部网络通信时使用注册的公用IP地址,大大降低了连接成本;同时,NAT将内部网络隐藏起来,保护内部网络的作用,对外部用户来说只有使用公用IP地址的NAT是可见的。
NAT地址转换过程实例
内部网使用虚拟地址空间为10.0.0.0~10.255.255.255,对外拥有注册真实IP地址为202.119.1.0 ~202.119.1.255,内部主机IH1、IH2地址分别设为10.0.1.1和10.0.2.2,另一外部网主机OH1地址为202.112.196.7,网络拓扑结构如图5-11所示。
当内部网主机IH1与外部网主机OH1建立联系时,由于网关对外将其映射为一注册的真实地址202.119.1.23,所以它的IP包头中的IP地址在网关处被转换成这一地址。于是会产生如图5-12所示的IP数据包:
①图5-12(a)为IH1发出的IP包。
②经过网关后被转换为图5-12(b)的形式。
③图5-12(c)为其返回的IP包形式。
④进入网关后转换为图5-12(d)的形式。
