为了克服基本包过滤模式所带有的明显安全问题,一些包过滤防火墙厂商提出了所谓的状态检测概念。上面提到的包过滤技术只是简单地查看每一个单一的输入包信息,而状态检测模式则增加了更多的包和包之间的安全上下文检查,以达到与应用代理防火墙相类似的安全性能。状态检测防火墙在网络层拦截输入包,并利用足够的状态信息做出决策(通过对高层的信息进行某种形式的逻辑或数学运算),如图5-6所示。
图5-6 状态检测防火墙
状态检测防火墙的具体机制是查看完前面的包后,把它记在状态信息库中,并与后面的包建立联系,来确定对后面包采取的动作。例如,状态检测防火墙可以实现这样的功能:只有在内部网中的计算机A向因特网上的计算机B发送UDP报文段后,才允许B向A发送的UDP报文段进入内部网,而包过滤防火墙无法实现这样的功能。
状态检测防火墙可以抵御SYN洪水攻击,如果接收到的TCP第一次握手数据速率超过设定值,就阻止TCP第一次握手数据通过。状态检测防火墙还可以抵御TCP端口扫描,如果发现某个IP地址向另一IP地址的多个不同端口发送TCP报文段的速率超过设定值,就阻止来自该IP地址的TCP报文段。
状态检测防火墙工作在协议栈的较低层,通过防火墙的所有数据包都在网络层与运输层处理,不需要应用层来处理任何数据包,因此减少了开销,执行效率也大大提高了。另外,一旦一个连接在防火墙中建立起来,就不用再对该连接进行更多的处理,系统就可以去处理其他连接,执行效率可以得到进一步的提高。(www.xing528.com)
尽管状态检测防火墙显著地增强了简单包过滤防火墙的安全性,但它仍然不能提供与应用代理防火墙相似的安全性。这是因为应用代理防火墙对应用层内容有足够的能见度,从而可以准确地知道它的意图,而状态检测防火墙必须在没有这些信息的情况下做出安全决策。
以上几种防火墙的简单比较如表5-1所示。
表5-1 几种防火墙的简单比较
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
