在捍卫网络安全的过程中,防火墙受到人们越来越多的青睐。作为一种提供信息安全服务、实现网络和信息安全的基础设施,防火墙采用将内部网和公众网如Inte.net分开的方法,可以作为不同网络或网络安全域之间信息的出入口,根据企业的安全策略控制出入网络的信息流。
再加上防火墙本身具有较强的抗攻击能力,能有效地监控内部网和Internet之间的任何活动,从而为内部网络的安全提供了有力的保证。
但是,防火墙在为内部网络带来安全的同时,也产生了一定的反作用——它降低了网络运行效率。作为防火墙应用的主要安全技术,在传统防火墙的设计中,包过滤只是与规则表进行匹配,对符合规则的数据包进行处理,不符合规则的就丢弃。由于是基于规则的检查,同属于同一连接的不同包毫无任何联系,每个包都要依据规则顺序过滤。由于网络安全涉及领域很多,技术复杂,安全规则往往要达到数百甚至上千种。随着安全规则的增加,很多防火墙产品都会出现性能大幅度降低,网络资源衰竭等问题,从而造成网络拥塞。所以,安全与效率的两难选择成为传统防火墙面临的最大问题。此外,在这种设计中,黑客可能会采用IP Spoofing的办法将自己的非法包伪装成属于某个合法的连接,进而侵入用户的内部网络系统。因此,传统的包过滤技术既缺乏效率又容易产生安全漏洞。
今天,技术的发展已使得网络逐渐融入人们的生活。人们在享受网络带来的方便的同时,不仅要求其具有较高的安全系数,同时对其数据传输速度提出了更高的要求。适应这一需求,防火墙产品必须在提高安全性能的同时,解决传输速率瓶颈,实现安全、效率上的双方突破。为达到这一目标,基于连接的包过滤技术应运而生。日前,东方龙马公司推出了具有自主核心技术的防火墙新品,该产品就利用这一技术,将属于同一连接的所有包作为一个整体的数据流看待,通过规则表与连接状态表的共同配合,大大的提高了系统的传输效率和安全性,从而较好的解决了防火墙固有的安全与效率的矛盾问题。
与传统包过滤的无连接检测技术不同,基于连接状态的包过滤在进行包的检查时,不仅将其看成是独立的单元,同时还要考虑它的历史关联性。例如,在基于TCP协议的连接中,每个包在传输时都包括了IP源地址、IP目的地址、协议的源接口和目的接口等信息,还包括了对在允许的时间间隔内是否发生了TCP握手消息的监视信息等。这些信息与每个数据包都是有关联的。换句话说,对于属于同一个连接的数据包来说并不是孤立的,它们存在内部的关联信息。无连接的包过滤规则由于忽略了这些内在的关联信息,对每个数据包都进行孤立的规则检测,所以大大降低了传输效率。
由于采用了基于连接的包过滤处理方法,东方龙马防火墙在进行规则检查的同时,可以将包的连接状态记录下来,该连接以后的包则无需再通过规则检查,而只需通过状态表里对该包所属的连接的记录来检查即可。如果有相应的状态标识,则说明该包属于已经建立的合法连接,可以接受。检查通过后该连接状态的记录将被刷新。这样就使具有相同连接状态的包避免了重复检查。同时由于规则表的排序是固定的,只能采用线性的方法进行搜索,而连接状态表里的记录是可以随意排列的,于是可采用诸如二叉树或hash等算法进行快速搜索,这就提高了系统的传输效率。同时,采用实时的连接状态监控技术,可以在状态表中通过诸如ACK(应答响应)、NO等连接状态因素加以识别,阻止该包通过,增强了系统的安全性。
另外,对于基于UDP协议的应用来说,由于该协议本身对于顺序错误或丢失的包并不做纠缠或重传,所以很难用简单的包过滤技术对其处理。东方龙马防火墙在对基于UDP协议的连接处理时,会为UDP建立虚拟的连接,同样能够对连接过程状态进行监控,通过规则与连接状态的共同配合,达到包过滤的高效与安全。