|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 防火墻作為一種提供信息安全服務、實現網絡和信息安全的基礎設施,作為不同網絡或網絡安全域之間信息的出入口,根據企業的安全策略控制出入網絡的信息流。再加上防火墻本身具有較強的抗攻擊能力,能有效地監控內部網和Internet之間的任何活動,從而為內部網絡的安全提供了有力的安全保證。 防火墻在為內部網絡帶來安全的同時,也產生了一定的反作用——降低網絡運行效率。在傳統防火墻的設計中,包過濾只是與規則表進行匹配,對符合規則的數據包進行處理,不符合規則的就丟棄。由于是基于規則的檢查,同屬于同一連接的不同包毫無任何聯系,每個包都要依據規則順序過濾。由于網絡安全涉及領域很多,技術復雜,安全規則往往要達到數百甚至上千種。隨著安全規則的增加,很多防火墻產品都會出現性能大幅度降低,網絡資源衰竭等問題,從而造成網絡擁塞。所以,安全與效率的兩難選擇成為傳統防火墻面臨的最大問題。此外,在這種設計中,入侵者可能會采用IP Spoofing的辦法將自己的非法包偽裝成屬于某個合法的連接,進而侵入用戶的內部網絡系統。因此,傳統的包過濾技術既缺乏效率又容易產生安全漏洞。 日前,具有自主核心技術的防火墻新品已產生,該產品就利用這一技術,將屬于同一連接的所有包作為一個整體的數據流看待,通過規則表與連接狀態表的共同配合,大大提高了系統的傳輸效率和安全性,從而較好地解決了防火墻固有的安全與效率的矛盾問題。 與傳統包過濾的無連接檢測技術不同,基于連接狀態的包過濾在進行包的檢查時,不僅將其看成是獨立的單元,同時還要考慮它的歷史關聯性。例如,在基于TCP協議的連接中,每個包在傳輸時都包括了IP源地址、目的地址、協議的源接口和目的接口等信息,還包括了對在允許的時間間隔內是否發生了TCP握手消息的監視信息等,這些信息與每個數據包都是有關聯的。換句話說,對于屬于同一個連接的數據包來說并不是孤立的,它們存在內部的關聯信息。無連接的包過濾規則由于忽略了這些內在的關聯信息,對每個數據包都進行孤立的規則檢測,所以大大降低了傳輸效率。 由于采用了基于連接的包過濾處理方法,該防火墻在進行規則檢查的同時,可以將包的連接狀態記錄下來,該連接以后的包則無需再通過規則檢查,而只需通過狀態表里對該包所屬的連接的記錄來檢查即可。如果有相應的狀態標識,則說明該包屬于已經建立的合法連接,可以接受。檢查通過后該連接狀態的記錄將被刷新。這樣就使具有相同連接狀態的包避免了重復檢查。同時由于規則表的排序是固定的,只能采用線性的方法進行搜索,而連接狀態表內的記錄是可以隨意排列的,于是可采用諸如二叉樹或Hash等算法進行快速搜索,這就提高了系統的傳輸效率。同時,采用實時的連接狀態監控技術,可以在狀態表中通過諸如ACK(應答響應)、NO等連接狀態因素加以識別,阻止該包通過,增強了系統的安全性。 另外,對于基于UDP協議的應用來說,由于該協議本身對于順序錯誤或丟失的包并不做糾纏或重傳,所以很難用簡單的包過濾技術對其處理。防火墻在對基于UDP協議的連接處理時,會為UDP建立虛擬連接,同樣能夠對連接過程狀態進行監控,通過規則與連接狀態的共同配合,達到包過濾的高效與安全。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
