1章节 流过滤器技术融合了包在过滤器和应用于代理安全性和优点,解决了包在过滤器和应用于代理的诸多缺失,代表了一种全新的防火墙技术结构。在大家争相开始注目应用层安全性的今天,流过滤器技术架构更为表明了其前瞻性和先进性。经过近几年的不断完善和实际用于中的调教,新产品的流过滤器引擎早已非常成熟期和完备,在性能和稳定性方面获得了大幅的提高,使其需要符合关键业务领域的长年平稳运营的拒绝。
但这都是针对IPv4防火墙的,随着IPv6网络[1]的普及,对基于流过滤器技术的IPv6防火墙设计和分析则是一个新的研究热点。 2流过滤器技术研究 流过滤器技术[2]是以状态检测包在过滤器的形态构建对应用层维护的一种防火墙过滤器技术,基本原理是在状态检测包在过滤器的基础上,针对明确应用层协议使用专门设计的TCP/IP协议栈构建对链路层数据流在应用层重组并在此基础上展开过滤器,以包在过滤器的形态获取应用层维护能力,使得规则给定在防火墙内部由数据链路层往返应用层。 2.1流过滤器处置策略 在流过滤器报文处置策略中,要对有所不同报文区别对待,一部分类型的报文用于流过滤器技术,其它类型的报文用于包在过滤器技术,比如说ARP报文、UDP报文、非用来传输数据的TCP报文都用于包在过滤器技术,这些报文可根据MAC首部、IP首部、TCP首部展开辨别。
但辨别用来传输数据的TCP报文中哪些用于流过滤器技术哪些用于包在过滤器技术的判断依据是TCP报文中的首部端口号、某些标志字段及应用层协议首部某些字段。用于流过滤器技术的报文称作关键报文,而其它的报文总称为非关键报文。 2.2流过滤器的处置步骤 当对关键报文应用于流过滤器技术处置时,流过滤器技术逻辑上插入数据发送到末端与数据拒绝接受末端之间的必要网络连接,即发送到末端与拒绝接受末端之间在传输数据之前创建的网络连接依然不存在,但发送到末端与拒绝接受末端之间的数据传输必需通过用于流过滤器技术的防火墙货运。如图1右图。
图1防火墙利用流过滤器技术对关键报文展开处置的过程,按照时间先后顺序可分成三个步骤: (1)对发送到末端发送到接收者报文,并将同一不会话中的全部关键报文在应用层数据重组。 (2)按照流过滤器规则对重组后的原始数据展开合法性检查,并做到适当处置。 (3)对通过合法性检查的数据发送给拒绝接受末端,并处置拒绝接受末端收到的接收者报文。
本文来源:开云体育app下载手机版-voteyun.com