防火墙深度包检测技术的研究与实现.docVIP

防火墙深度包检测技术的研究与实现 摘要：传统的防火墙主要在访问控制列表为基础进行过滤的，它有专门的内部网络入口，也被人称作“边界防火墙”。技术的发展在很大的程度上也促进了防火墙技术的发展，当前社会中出现了电路级网关、应用网关技术、动态包过滤等技术。但在实际的应用中，但这些技术在运用起来有着一定的差距。本文主要就是针对最新防火墙技术――深度包检测技术进行分析与研究的。 关键词：防火墙 深度检测 研究分析 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2016）04-0000-00 传统的防火墙主要在访问控制列表为基础进行过滤的，它有专门的内部网络入口，也被人称作“边界防火墙”。在近几年来防火墙技术的地位越来越重要，其最新改进的技术――深度包检测技术，是可以看到传统防火墙的入侵检测与阻止的整合，也是解决传统防火墙所遇到问题的新技术，在防火墙发展过程中具有重要的作用。 1 防火墙技术发展历程 1.1 包过滤防火墙 第一代防护墙包过滤是没有相关状态的概念，管理工作人员只需要通过过滤就可以允许或是禁止访问控制列表中的选项。包过滤防火墙在发展中其安全属性具有一定的缺陷，应用层的信息是系统没有办法获取的，防火墙没有办法理解通信的内容是非常容易被黑客攻击的。正是因为这个原因，人们更多的人们包过滤防火墙技术不够安全，在发展中慢慢被状态检测防火墙技术取代了。 2.2 状态检测防火墙 相对于包过滤防火墙技术来说，状态防火墙技术在性能、扩展等方面的表现出来的优势使其很快就成为防火墙技术的佼佼者。在上个世纪九十年代推出第一台商用的状态检测防火墙产品，随后得到快速的发展。状态检测防火墙主要是在网络层工作，对包过滤防火墙比较看，它所做出的决策是在会话信息基础上而不是包的信息。状态检测防火墙在验证数据包时候会先判定这个数据是否符合当前的会话，同时还可以在状态中保存这些信息。状态检测防火墙技术对异常的TCP网络层的攻击有着一定的阻止作用。有些网络设备是可以将数据包分解成更小的数据帧。该种防火墙技术在一定的时间内是人们使用最广泛的技术，用来保护计算机网络不受到黑客的攻击，但是专门对应用层网络攻击的现象越来越多时候，状态检测防火墙技术的有效性也在不断的下降。由于状态防火墙在设计的时候并没有专门的根据Web应用程序的攻击进行设计，这样深度包检测防火墙技术应用而生。 2.3 深度包检测防火墙 深度包检测防火墙技术可以更好的处理应用程序上的流量问题，可以很好的防范目标系统受到各种复杂的攻击，将状态检测的优势很好的结合起来。它可以对数据流量进行分析同时还可以做出访问的控制判决，根据允许的数据流量对负载做出相关的决策。 3 深度包检测技术特点 随着科技的发展，深度包检测技术在不断的更新换代中进而实现深度包检测的功能。深度包检测防火墙技术在一定的程度上融合了包过滤与状态检测防火墙技术的功能，主要具有以下4个功能特征。 3.1 应用层加密与解密 SSL通常被运用在Web浏览器与服务器之间认证身份的加密数据传输，进而确保数据的安全性。该种技术在运用的时候对防火墙也就提出了更高的要求――要对数据的加密与解密进行处理。若是不能够对SSL加密的数据进行解密的话吗，那么防火墙就没有办法对负载的信息进行相关的分析，更没有办法判断出数据中是否具有相关应用层的攻击信息，同时没有办法体现出深度包检测的优势。SSL的加密性能非常高，当前很多企业使用来保证应用程序数据的安全，若是深度包检测技术没有办法对企业中的关键应用程序提高安全性能的化，那么也就是说整个深度包检测失去它的意义。 3.2 正常化技术 为了可以很好的防范应用层的攻击通常情况下主要是依赖字符串的匹配，但是不正常的匹配在很大的程度上会造成安全漏洞。例如，为了能知道某种请求是否可以启用，防火墙的请求就会与安全策略来匹配，只有匹配成功了，防火墙才会采用安全策略。在解决字符匹配的时候是需要利用正常化技术的，只有深度包检测才具备这样的功能，可以识别与阻止大量的危险攻击。 3.3 协议一致性 应用层协议一致性通常在应用程序中会用到，协议都是由RFC进行规范建设的。因为深度包检测是在应用层中进行状态检测的，因而就必须要明确应用层中的数据是否与这些协议一致，这样才会防止隐藏的攻击。 3.4 双向负载检测 与包过滤检测、状态检测来说，深度包检测具有很强大的功能，它是可以允许与拒绝数据包的通过，通常主要是检查与修改四到七层的数据包，主要有包头、负载。深度检测防火墙是可以自动的进行匹配，这样能正确检测出服务质量如何。若是请求不匹配那么深度包检测就会自动将其丢掉，同时将其写入到日志中，也会向管理员发出警告。另外，深度包检测技术是可以进行修改URL，这一点是与应用层的NAT相似。在复杂的网络环境中，为了可以提供全面的防护，进行深度包