有關防火墻新技術的分析

危云 周英 趙建軍 賀愛玲

摘 要：本文主要從防火墻技術的狀態檢測入手，探討防火墻發展趨勢的兩種主要新技術——深度包檢測和安全設備聯動，以期對這一問題作出有益思考。

關鍵詞：狀態檢測；深度包檢測技術；安全設備聯動技術

中圖分類號：TP393 文獻標識碼：A

防火墻技術是基礎性的計算機技術之一，其中主流的狀態檢測技術又起到關鍵性的作用，對狀態檢測包進行原理分析和實例分析一直是這一領域的重點內容。狀態檢測包技術與傳統包過濾技術不同，前者有更大的技術優勢，在此基礎上，基于其連接和數據包內容分析的實現方法，產生了深度包檢測和安全設備聯動這兩種新技術。

一、狀態檢測

狀態檢測又稱動態包過濾檢測，區別于以往的傳統過濾包檢測，是其功能上的拓展，并取代它成為主流的的防火墻技術。狀態檢測包過濾防火墻又可以稱之為第三代防火墻。相較于傳統的靜態包過濾技術，這一代防火墻更加注重多個數據包的整體分析，在根據其包頭信息進行匹配時，并不固定，而是靈活應對，以防止在過濾包遇到利用動態端口的應用協議時，因為傳統的靜態包過濾而發生分析上的困難。

二、深度包檢測技術

深度包檢測技術相比較于傳統的網絡層包過濾技術來講，有著更加明顯的優勢，其表現在于：傳統的網絡層包過濾技術主要應用與網絡層面，所分析的數據信息大部分是包頭信息，也就是數據信息本身，而并沒有對數據包內的具體內容進行分析。這種方法在防火墻技術發展之初是非常有效的，但是隨著網絡服務和協議越來越多樣化，越來越復雜化，這種方法所提供的包頭信息不能夠滿足防火墻技術發展的需要，不能為網絡提供足夠的安全性與可用性。

深度包檢測技術正是在這種情況下發展起來的，它對數據包的分析不僅僅局限于包頭信息，而是具體分析數據包的內容，對于各種應用協議的流程和缺陷做出反饋，進而提出針對性的檢測方式與保護措施。具體來講，深度包檢測是一種關聯性的技術，它將多個數據包聯接起來，形成一個數據流，在實時檢測異常行為的同時，檢測整體的數據流狀態。需要特別提到的是，這種檢測技術對于分析速度的要求極高，對于應用瀏覽的檢測和重組要實時更新，最大限度地避免延時。

（一）會話終止部分

深度包檢測技術區別于傳統的包顧慮技術，不再以數據包為分析單位，在進行數據流控制的過程中，不再通過對單個數據包的丟棄來實現過濾，避免因此帶來的網絡中斷，用最小的運行成本達到過濾的目的。TCP傳輸連接有超時重傳的機制，其他大部分的應用協議的運行機制也基本相似，深度包檢測技術很好地應用這一機制，基于連接，根據特定的協議，采用最合理、最安全、最有效的方式來終止整個會話，例如一個TCP連接，或者是一整個的應用層次的會話。

（二）內容過濾部分

防火墻技術所要防范的惡意數據，基本包含在數據包的具體內容中，而不是包頭信息，這些而惡意數據通過刻意構造的URL、破壞性控件、病毒等形式，對整個網絡構成危害。深度包檢測正是針對這一問題，發揮其自身的運行速度優勢，對惡意數據進行分析，對內容進行過濾，檢測及重新組裝應用流量，最大限度地避免延時。

（三）加密數據分析部分

這一部分是深度包檢測技術的重點內容，因為現在的安全應用中，大部分都會使用SSL技術，來確保通信的保密性，或者用IPSEC協議，通過公共網絡提供VPN 的加密連接。這些加密的數據流需要特殊的加密技術，也就是端到端的加密方式，但是，這種加密方式有其弊端，對中途攔截的防火墻和被動探測器來講，這種保護方式并不完善，會造成檢測系統被入侵。

針對上述問題，需要對數據流進行解碼，解碼之后的數據內容與內部網絡的安全策略設定密切相關，這樣所形成的防火墻更加牢靠，各個不容易破解，因為只有具有了更高安全級別，才可以對加密的數據流進行解密。深度包檢測技術是防火墻技術發展的關鍵性內容，面對網絡環境下越來越大的攻擊危險，需要深度包檢測防火墻不斷升級，以應對危機四伏的網絡環境。因此，我們需要改善傳統的檢測技術，添加特征檢測等功能，更準確地阻攔惡意信息，阻擋異常行為的發生。

三、安全設備聯動技術

防火墻是內部網絡與公共網絡之間重要的，也是唯一的通道，這個特殊的位置，使得防火墻成為重要的訪問可控制節點.也成為進行查尋惡意信息和網絡監控的理想位置，并成為網絡安全審計工作和網絡數據收集的重要場所。如今，網絡環境越來越多樣，也越來越復雜，隨之而來的網絡攻擊和破壞行為的方法更是層出不窮，通過單個節點所構成的安全防護已經不能滿足安全保護的需求。在這種情況下，我們提倡建立以防火墻為核心的網絡安全體系，也就是安全設備的聯動技術。

對于被入侵系統的保護并不簡單是檢測技術的應用，而是在發生入侵行為之后，對入侵檢測系統本身的對入侵行為及時遏止。為了達到這一目的，處于旁路偵聽的入侵檢測系統所形成的防護體系是不全面的，而主鏈路所連接的設備并不充足，不能夠對所有入侵行為進行防護 。安全設備的聯動技術就是聯合相關的安全產品，進行整體的入侵檢測和病毒檢測，各取所需，建立起一個安全的、整體的、有效的防范體系。

具體來講，主要有兩種方法：第一種是直接運用入侵病毒，將對病毒的檢測放入到防火墻之中，形成自體的病毒檢測功能和體系，發揮安全檢測設備的防范功能；第二種方法是把各個檢測產品分立，再運用相關的手段進行聯接和整合，換句話說，也就是各個檢測產品各司其事，專門防范某一類安全事件，一旦發生安全事件，馬上通知給防火墻，通過防火墻進行分析判斷。進行過濾和防范。這兩種方法中，第二種方法的使用更加廣泛，在其應用過程中，存在一些用于安全產品之間協同工作的聯動模式及協議。

結語

綜上所述，本文從防火墻技術的狀態檢測入手，具體探討了防火墻發展趨勢的兩種主要新技術：深度包檢測技術和安全設備聯動技術。

參考文獻

[1]張晶.網絡安全與防火墻設計及實現[D].中國科學院成都計算機應用研究所，2011.

[2]金曉倩.基于計算機防火墻安全屏障的網絡防范技術[J].素質教育論壇，2010（11）.

[3]于婷婷.淺談Internet防火墻技術[J].計算機光盤軟件與應用，2012（04）：55-56.