防火墙新技术——深度检测(1)

　　状态检测防火墙是目前使用最广泛的防火墙，用来防护黑客攻击。但是，随着专门针对应用层的Web攻击现象的增多，在攻击防护中，状态检测防火墙的有效性越来越低。

　　设计状态检测防火墙时，并没有专门针对Web应用程序攻击，为了适应不断增长的Web应用程序的威胁，新一代的深度检测防火墙出现了。

　　本文先介绍了防火墙技术的演变过程，然后介绍了深度检测技术的四个基本特征。

　　1、防火墙技术的演变过程

　　防火墙技术的演变过程，如图1所示。到目前为止，主要有包过滤防火墙、状态检测防护墙和深度检测防火墙三种类型。

　　1.1 包过滤防火墙（Packet Filter Firewall）

　　包过滤防火墙----第一代防火墙，没有状态的概念。通过包过滤，管理员能够允许或禁止ACLs（Access Control Lists，访问控制列表）中的选项，包过滤防火墙主要具有以下属性：

　　★ 数据包到达的物理网络接口；

　　★ 源IP地址和端口；

　　★ 目标IP地址和端口；

　　但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

　　由于种种原因，人们认为包过滤防火墙不过安全，于是逐渐被状态检测防火墙所取代。

　　1.2 状态检测防火墙（Stateful Inspection Firewall）

　　状态检测防火墙出现，并成为市场上的绝对领导者，主要有以下原因，包括性能，部署能力和扩展能力。他们在90年代中期得到了迅速发展。1993年，Check Point公司成功推出了世界上第一台商用的状态检测防火墙产品。

　　状态检测防火墙工作于网络层，与包过滤防火墙相比，状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址，目的IP地址，源端口，目的端口和通讯协议等。与包过滤防火墙不同的是，状态检测防火墙是基于会话信息做出决策的，而不是包的信息；

　　状态检测防火墙验证进来的数据包时，判断当前数据包是否符合先前允许的会话，并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备，比如路由器，会将数据包分解成更小的数据帧，因此，状态检测设备，通常需要进行IP数据帧的重组，按其原来顺序组装成完整的数据包。