危云 周英 趙建軍 賀愛玲

摘 要：本文主要從防火墻技術(shù)的狀態(tài)檢測(cè)入手，探討防火墻發(fā)展趨勢(shì)的兩種主要新技術(shù)——深度包檢測(cè)和安全設(shè)備聯(lián)動(dòng)，以期對(duì)這一問題作出有益思考。

關(guān)鍵詞：狀態(tài)檢測(cè)；深度包檢測(cè)技術(shù)；安全設(shè)備聯(lián)動(dòng)技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

防火墻技術(shù)是基礎(chǔ)性的計(jì)算機(jī)技術(shù)之一，其中主流的狀態(tài)檢測(cè)技術(shù)又起到關(guān)鍵性的作用，對(duì)狀態(tài)檢測(cè)包進(jìn)行原理分析和實(shí)例分析一直是這一領(lǐng)域的重點(diǎn)內(nèi)容。狀態(tài)檢測(cè)包技術(shù)與傳統(tǒng)包過濾技術(shù)不同，前者有更大的技術(shù)優(yōu)勢(shì)，在此基礎(chǔ)上，基于其連接和數(shù)據(jù)包內(nèi)容分析的實(shí)現(xiàn)方法，產(chǎn)生了深度包檢測(cè)和安全設(shè)備聯(lián)動(dòng)這兩種新技術(shù)。

一、狀態(tài)檢測(cè)

狀態(tài)檢測(cè)又稱動(dòng)態(tài)包過濾檢測(cè)，區(qū)別于以往的傳統(tǒng)過濾包檢測(cè)，是其功能上的拓展，并取代它成為主流的的防火墻技術(shù)。狀態(tài)檢測(cè)包過濾防火墻又可以稱之為第三代防火墻。相較于傳統(tǒng)的靜態(tài)包過濾技術(shù)，這一代防火墻更加注重多個(gè)數(shù)據(jù)包的整體分析，在根據(jù)其包頭信息進(jìn)行匹配時(shí)，并不固定，而是靈活應(yīng)對(duì)，以防止在過濾包遇到利用動(dòng)態(tài)端口的應(yīng)用協(xié)議時(shí)，因?yàn)閭鹘y(tǒng)的靜態(tài)包過濾而發(fā)生分析上的困難。

二、深度包檢測(cè)技術(shù)

深度包檢測(cè)技術(shù)相比較于傳統(tǒng)的網(wǎng)絡(luò)層包過濾技術(shù)來講，有著更加明顯的優(yōu)勢(shì)，其表現(xiàn)在于：傳統(tǒng)的網(wǎng)絡(luò)層包過濾技術(shù)主要應(yīng)用與網(wǎng)絡(luò)層面，所分析的數(shù)據(jù)信息大部分是包頭信息，也就是數(shù)據(jù)信息本身，而并沒有對(duì)數(shù)據(jù)包內(nèi)的具體內(nèi)容進(jìn)行分析。這種方法在防火墻技術(shù)發(fā)展之初是非常有效的，但是隨著網(wǎng)絡(luò)服務(wù)和協(xié)議越來越多樣化，越來越復(fù)雜化，這種方法所提供的包頭信息不能夠滿足防火墻技術(shù)發(fā)展的需要，不能為網(wǎng)絡(luò)提供足夠的安全性與可用性。

深度包檢測(cè)技術(shù)正是在這種情況下發(fā)展起來的，它對(duì)數(shù)據(jù)包的分析不僅僅局限于包頭信息，而是具體分析數(shù)據(jù)包的內(nèi)容，對(duì)于各種應(yīng)用協(xié)議的流程和缺陷做出反饋，進(jìn)而提出針對(duì)性的檢測(cè)方式與保護(hù)措施。具體來講，深度包檢測(cè)是一種關(guān)聯(lián)性的技術(shù)，它將多個(gè)數(shù)據(jù)包聯(lián)接起來，形成一個(gè)數(shù)據(jù)流，在實(shí)時(shí)檢測(cè)異常行為的同時(shí)，檢測(cè)整體的數(shù)據(jù)流狀態(tài)。需要特別提到的是，這種檢測(cè)技術(shù)對(duì)于分析速度的要求極高，對(duì)于應(yīng)用瀏覽的檢測(cè)和重組要實(shí)時(shí)更新，最大限度地避免延時(shí)。

（一）會(huì)話終止部分

深度包檢測(cè)技術(shù)區(qū)別于傳統(tǒng)的包顧慮技術(shù)，不再以數(shù)據(jù)包為分析單位，在進(jìn)行數(shù)據(jù)流控制的過程中，不再通過對(duì)單個(gè)數(shù)據(jù)包的丟棄來實(shí)現(xiàn)過濾，避免因此帶來的網(wǎng)絡(luò)中斷，用最小的運(yùn)行成本達(dá)到過濾的目的。TCP傳輸連接有超時(shí)重傳的機(jī)制，其他大部分的應(yīng)用協(xié)議的運(yùn)行機(jī)制也基本相似，深度包檢測(cè)技術(shù)很好地應(yīng)用這一機(jī)制，基于連接，根據(jù)特定的協(xié)議，采用最合理、最安全、最有效的方式來終止整個(gè)會(huì)話，例如一個(gè)TCP連接，或者是一整個(gè)的應(yīng)用層次的會(huì)話。

（二）內(nèi)容過濾部分

防火墻技術(shù)所要防范的惡意數(shù)據(jù)，基本包含在數(shù)據(jù)包的具體內(nèi)容中，而不是包頭信息，這些而惡意數(shù)據(jù)通過刻意構(gòu)造的URL、破壞性控件、病毒等形式，對(duì)整個(gè)網(wǎng)絡(luò)構(gòu)成危害。深度包檢測(cè)正是針對(duì)這一問題，發(fā)揮其自身的運(yùn)行速度優(yōu)勢(shì)，對(duì)惡意數(shù)據(jù)進(jìn)行分析，對(duì)內(nèi)容進(jìn)行過濾，檢測(cè)及重新組裝應(yīng)用流量，最大限度地避免延時(shí)。

（三）加密數(shù)據(jù)分析部分

這一部分是深度包檢測(cè)技術(shù)的重點(diǎn)內(nèi)容，因?yàn)楝F(xiàn)在的安全應(yīng)用中，大部分都會(huì)使用SSL技術(shù)，來確保通信的保密性，或者用IPSEC協(xié)議，通過公共網(wǎng)絡(luò)提供VPN 的加密連接。這些加密的數(shù)據(jù)流需要特殊的加密技術(shù)，也就是端到端的加密方式，但是，這種加密方式有其弊端，對(duì)中途攔截的防火墻和被動(dòng)探測(cè)器來講，這種保護(hù)方式并不完善，會(huì)造成檢測(cè)系統(tǒng)被入侵。

針對(duì)上述問題，需要對(duì)數(shù)據(jù)流進(jìn)行解碼，解碼之后的數(shù)據(jù)內(nèi)容與內(nèi)部網(wǎng)絡(luò)的安全策略設(shè)定密切相關(guān)，這樣所形成的防火墻更加牢靠，各個(gè)不容易破解，因?yàn)橹挥芯哂辛烁甙踩?jí)別，才可以對(duì)加密的數(shù)據(jù)流進(jìn)行解密。深度包檢測(cè)技術(shù)是防火墻技術(shù)發(fā)展的關(guān)鍵性內(nèi)容，面對(duì)網(wǎng)絡(luò)環(huán)境下越來越大的攻擊危險(xiǎn)，需要深度包檢測(cè)防火墻不斷升級(jí)，以應(yīng)對(duì)危機(jī)四伏的網(wǎng)絡(luò)環(huán)境。因此，我們需要改善傳統(tǒng)的檢測(cè)技術(shù)，添加特征檢測(cè)等功能，更準(zhǔn)確地阻攔惡意信息，阻擋異常行為的發(fā)生。

三、安全設(shè)備聯(lián)動(dòng)技術(shù)

防火墻是內(nèi)部網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間重要的，也是唯一的通道，這個(gè)特殊的位置，使得防火墻成為重要的訪問可控制節(jié)點(diǎn).也成為進(jìn)行查尋惡意信息和網(wǎng)絡(luò)監(jiān)控的理想位置，并成為網(wǎng)絡(luò)安全審計(jì)工作和網(wǎng)絡(luò)數(shù)據(jù)收集的重要場(chǎng)所。如今，網(wǎng)絡(luò)環(huán)境越來越多樣，也越來越復(fù)雜，隨之而來的網(wǎng)絡(luò)攻擊和破壞行為的方法更是層出不窮，通過單個(gè)節(jié)點(diǎn)所構(gòu)成的安全防護(hù)已經(jīng)不能滿足安全保護(hù)的需求。在這種情況下，我們提倡建立以防火墻為核心的網(wǎng)絡(luò)安全體系，也就是安全設(shè)備的聯(lián)動(dòng)技術(shù)。

對(duì)于被入侵系統(tǒng)的保護(hù)并不簡(jiǎn)單是檢測(cè)技術(shù)的應(yīng)用，而是在發(fā)生入侵行為之后，對(duì)入侵檢測(cè)系統(tǒng)本身的對(duì)入侵行為及時(shí)遏止。為了達(dá)到這一目的，處于旁路偵聽的入侵檢測(cè)系統(tǒng)所形成的防護(hù)體系是不全面的，而主鏈路所連接的設(shè)備并不充足，不能夠?qū)λ腥肭中袨檫M(jìn)行防護(hù) 。安全設(shè)備的聯(lián)動(dòng)技術(shù)就是聯(lián)合相關(guān)的安全產(chǎn)品，進(jìn)行整體的入侵檢測(cè)和病毒檢測(cè)，各取所需，建立起一個(gè)安全的、整體的、有效的防范體系。

具體來講，主要有兩種方法：第一種是直接運(yùn)用入侵病毒，將對(duì)病毒的檢測(cè)放入到防火墻之中，形成自體的病毒檢測(cè)功能和體系，發(fā)揮安全檢測(cè)設(shè)備的防范功能；第二種方法是把各個(gè)檢測(cè)產(chǎn)品分立，再運(yùn)用相關(guān)的手段進(jìn)行聯(lián)接和整合，換句話說，也就是各個(gè)檢測(cè)產(chǎn)品各司其事，專門防范某一類安全事件，一旦發(fā)生安全事件，馬上通知給防火墻，通過防火墻進(jìn)行分析判斷。進(jìn)行過濾和防范。這兩種方法中，第二種方法的使用更加廣泛，在其應(yīng)用過程中，存在一些用于安全產(chǎn)品之間協(xié)同工作的聯(lián)動(dòng)模式及協(xié)議。

結(jié)語

綜上所述，本文從防火墻技術(shù)的狀態(tài)檢測(cè)入手，具體探討了防火墻發(fā)展趨勢(shì)的兩種主要新技術(shù)：深度包檢測(cè)技術(shù)和安全設(shè)備聯(lián)動(dòng)技術(shù)。

參考文獻(xiàn)

[1]張晶.網(wǎng)絡(luò)安全與防火墻設(shè)計(jì)及實(shí)現(xiàn)[D].中國(guó)科學(xué)院成都計(jì)算機(jī)應(yīng)用研究所，2011.

[2]金曉倩.基于計(jì)算機(jī)防火墻安全屏障的網(wǎng)絡(luò)防范技術(shù)[J].素質(zhì)教育論壇，2010（11）.

[3]于婷婷.淺談Internet防火墻技術(shù)[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（04）：55-56.