企业级软件防火墙系统解决方案.docx
- 文档编号:14037535
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:53
- 大小:222.89KB
企业级软件防火墙系统解决方案.docx
《企业级软件防火墙系统解决方案.docx》由会员分享,可在线阅读,更多相关《企业级软件防火墙系统解决方案.docx(53页珍藏版)》请在冰点文库上搜索。
企业级软件防火墙系统解决方案
企业级软件防火墙系统解决方案
第一章:
企业现状分析
Internet的发展给政府机构、企事业单位带来了革命性的改革和开放。
他们正努力通过利用Internet来提高办事效率和市场反应速度,以便更具竞争力。
通过Internet,企业可以从异地取回重要数据,同时又要面对Internet开放带来的数据安全的新挑战和新危险:
即客户、销售商、移动用户、异地员工和内部员工的安全访问;以及保护企业的机密信息不受黑客和商业间谍的入侵。
因此企业必须加筑安全的战壕,而这个战壕就是防火墙。
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为最甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙的功能:
1.防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。
3.对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。
当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
另外,收集一个网络的使用和误用情况也是非常重要的。
首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。
而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4.防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。
使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。
Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。
但是Finger显示的信息非常容易被攻击者所获悉。
攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。
防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。
通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。
不仅省去了专用通信线路,而且为信息共享提供了技术保障。
我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。
防火可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。
典型的防火墙具有以下三个方面的基本特性:
(一)内部网络和外部网络之间的所有网络数据流都必须经过防火墙
这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。
所谓网络边界即是采用不同安全策略的两个网络连接处,比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
(二)只有符合安全策略的数据流才能通过防火墙
防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
防火墙将网络上的流量通过相应的网络接口接收上来,按照OSI协议栈的七层结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
因此,从这个角度上来说,防火墙是一个类似于桥接或路由器的、多端口的(网络接口>=2)转发设备,它跨接于多个分离的物理网段之间,并在报文转发过程之中完成对报文的审查工作。
(三)防火墙自身应具有非常强的抗攻击免疫力
防火墙之所以能担当企业内部网络安全防护重任,是因为防火墙自身具备非常强的抗攻击免疫力。
防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。
它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。
其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。
随着企业信息化进程的逐步深入,企业内部依然存在不少问题。
一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:
二是应急反应体系没有经常化、制度化:
三是企业、单位信息安全的标准、制度建设滞后。
而贵公司目前存在的问题有:
1.网络共享与恶意代码防控
贵公司原有系统网络共享资源为了方便不同用户、不同部门、不同单位等之间的进行信息交换,共享资源方便之门大开,使得恶意代码利用信息共享、网络环境扩散等漏洞,侵入企业内部网络,造成企业内部网络运行越来越慢,网络经常中断,并且影响越来越大。
恶意信息交换没有得到限制,直接导致网络的QoS下降,甚至有时致使系统瘫痪不可用。
2.信息化建设超速与安全规范不协调
贵公司原有网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,留下安全隐患。
3.IT产品类型繁多和安全管理滞后矛盾
贵公司信息系统部署了众多的IT产品,包括操作系统、数据库平台、应用系统。
而由于不同类型的信息产品之间缺乏协同,特别是不同厂商的产品,不仅产品之间安全管理数据缺乏共享,而且各种安全机制缺乏协同,各产品缺乏统一的服务接口,从而造成信息安全工程建设困难,系统中安全功能重复开发,安全产品难以管理,给信息系统管理留下安全隐患。
4.IT系统复杂性和漏洞管理
贵公司网络结构复杂,由多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。
而企业内部操作系统均存在安全漏洞。
且由于管理、软件工程难度等问题,新的漏洞不断地引入到网络环境中,所有这些漏洞都将会是攻击切入点,攻击者则利用这些漏洞入侵系统,窃取信息。
而企业IT人员为了解决来自漏洞的攻击,都是通过打补丁的方式来增强系统安全。
但是,由于系统运行不可间断性及漏洞修补风险不可确定性,而由于企业的信息系统错种复杂,使得漏洞修补变得极为困难。
即使发现网络系统存在安全漏洞,系统管理员也不敢轻易地安装补丁。
这就给黑客攻击者留下了切入点,使得企业数据时刻面临着被窃取、恶意修改、删除的危险。
5.业务快速发展与安全建设滞后
在企业信息化建设过程中,贵公司由于业务急需要开通,做法常是“业务优先,安全靠边”,这就使得安全建设缺乏规划和整体设计,留下安全隐患。
安全建设只能是“亡羊补牢”,出了安全事件后才去做。
而由于市场环境的动态变化,使得业务需要不断地更新,业务变化超过了企业网络现有安全保障能力。
6.网络资源没有保障
复杂的网络世界,充斥着各种不良信息内容,常见的就是垃圾邮件。
在贵公司单位中,网络的带宽资源被员工用来在线聊天,浏览新闻娱乐、股票行情、色情网站,这些网络活动严重消耗了带宽资源,导致正常业务得不到应有的资源保障。
7.安全岗位设置和安全管理策略实施困难
根据安全原则,一个系统应该设置多个人员来共同负责管理,贵公司由于受成本、技术等限制,一个管理员既要负责系统的配置,又要负责安全管理,安全设置和安全审计都是“一肩挑”。
这种情况使得安全权限过于集中,
第二章:
企业需求
随着网络经济和网络社会时代的到来,信息系统安全已经成为企业最为关注并亟待解决的问题,作用和影响力已扩散到企业与组织的每一个领域。
由于企业网络有内部网络、外部网络和企业广域网组成,网络结构复杂,因此企业中的数据丢失、内部网络缺陷、计算机病毒的侵袭和黑客非法闯入等等为当前企业的现状弊端。
数据丢失
在企业中,数据中心扮演着越来越重要的角色,数据是企业的生存之本,数据丢失是企业无法承受之痛,轻则造成企业的经济损失,重则让企业陷入倒闭危机。
企业终于认识到,一旦发生重大安全事故,数据才是企业能否尽快恢复运转的关键和核心。
因此贵企业需要解决本地数据访问的安全、远程数据访问的安全、数据库变慢、数据库高度消耗、口令中包含@导致无法连接数据库、数据库失真等问题。
内部网络缺陷
由于企业当初建立网络不够规规范,各个区域没有进行一定的设置权限,这样的网络比较乱,也比较复杂,从而难以进行有效管理企业的网络,加上网络管理员技术不高,系统漏洞比较多,没能及时打补丁。
企业存在这样的网络缺陷,很容易受到不良的攻击,就没有安全性可言。
因此贵公司需要建立分布式防火墙系统,主要由主防火墙,主机防火墙和中央控制平台组成,分布式防火墙系统采用集中控制管理的模式进行,可对不同的内部用户赋予不同的访问权限,防止来之内部的攻击,从而大大提高了系统的安全性。
另外在采用入侵检测技术IDS与分布式防火墙系统结合,能有效的防止发生拒绝服务攻击、提防IP欺骗、漏洞扫描等入侵行为。
最重要的是能有效的防范内部攻击,解决的传统系统的痼疾。
并且它还可以自适应的修改安全策略,当发生入侵行为时,入侵检测系统会自动警告并提供反馈信息,中央控制平台根据反馈信息及时的改变安全策略,这使得在最初配置防火墙时,可以更多的考虑网络的性能。
计算机病毒的侵袭
随着病毒技术的发展,病毒的入口点越来越多。
因此计算机病毒就像苍蝇一样无孔不入地侵袭,肆意地在企业的网络中传播,进而感染更多的文件,从而使系统崩溃,导致整个网络瘫痪,所有业务无法正常运转,造成无数的经济损失。
贵公司需要利用防火墙进行访问控制和网络隔离,根据业务内容、网络逻辑划分现有网络,然后根据网络功能和业务制定完善的安全策略。
确定业务数据流程、访问权限、网络应用、相关网络服务和协议等。
还需要根据重要等级和整体安全策略对网络进行区域划分和隔离,调整网络结构,重新规划业务流程或者网络构成。
此外,将数据区分为不同安全等级,采取相应的安全措施,如访问权限控制、加密存储、加密传输、备份与恢复等。
还应当注意:
始终保持操作系统、WEB浏览器、电子邮件和应用程序的最新版本;定期审查主要软件供应商产品安全方面的情况,并且预订实用的电子通讯,以便了解新的安全缺陷以及解决方法
黑客攻击
随着越来越多黑客案件的报道,企业不得不意识到黑客的存在。
黑客的非法闯入是指黑可利用企业网络的安全漏洞,不经允许非法访问企业内部网络或数据资源,从事删除、复制甚至毁坏数据的活动。
一般来说,黑客常用入侵动机和形式可以分为两种。
黑客通过寻找未设防的路径进入网络或个人计算机,一旦进入,他们便能够窃取数据、毁坏文件和应用、阻碍合法用户使用网络,所有这些都会对企业造成危害。
黑客非法闯入僵局被企业杀手的潜力,企业不得不加以谨慎预防。
从以上的网络信息安全的弊端可以看出,网络安全威胁给企业用户带来危害最直接的表现就是经济损失。
由于安全导致的工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等间接损失恐怕更让企业担心,这种损失往往是无法用数字来衡量的。
由此可以看出安装防火墙的重要性。
1.网络地址转换功能(NAT)
进行地址转换有两个好处:
其一是隐藏内部网络真正的IP,这可以使黑客无法直接攻击内部网络,还可以让内部使用保留的IP,
2.双重DNS
当内部网络使用没有注册的IP地址,或是防火墙进行IP转换时,DNS也必须经过转换,因为,同样的一个主机在内部的IP与给予外界的IP将会不同,而防火墙会提供双重DNS,
3.虚拟专用网络(VPN)
VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取。
4.扫毒功能
由防火墙与防病毒软件搭配实现扫毒功能。
5.特殊控制需求
设置特别的控制需求,如限制特定使用者才能发送Email,FTP只能下载文件不能上传文件,限制同时上网人数,限制使用时间或阻塞Java、ActiveX控件等,依需求不同而定。
根据贵公司以上需求,为了维护数据不被丢失和内部网络缺陷,为了保护企业网络内部不被计算机病毒的侵袭和黑客非法闯入,构建一个好的防火墙系统是很重要的。
第三章:
方案设计
3.1.方案设计目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。
本方案在保证网络安全可以满足各种用户的需求,比如:
可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。
具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
3.2.方案设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.分步实施原则:
分级管理分步实施。
3.3.拓扑图
3.4.拓扑图说明
下面是拓扑图中各个模块的介绍:
(1)客户端
为企业内部员工工作客户机。
即在企业内部的整块网络的终端,这些终端为交流协作所用。
企业的高效信息流转主要在终端上体现,可实现企业内部信息安全交流的,数据的传输各种沟通交流提供好安全保障等等。
(2)路由器、交换机
路由器是第一套防护系统,负责网络安全。
起到了保障信息安全的作用。
由交换机分配指派IP给各个终端,结合传输介质传输信息。
数据流就是通过交换机传输到各个终端上,使整个企业内部的信息安全有序的进行。
(4)企业内部局域网
连接INTERNET互联网,公司内部可访问互联网。
整个企业内部安全、高效信息流转平台在企业局域网内部运营。
3.5.技术选型
3.5.1.防火墙技术分类
防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。
3.5.2.防火墙技术对比分析及选择
1)包过滤技术
包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息,如下图所示。
现在的路由器、SwitchRouter以及某些操作系统已经具有用PacketFilter控制的能力。
由于只对数据包的IP地址、TCP/UDP协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。
包过滤防火墙具有根本的缺陷:
不能防范黑客攻击。
包过滤防火墙的工作基于一个前提,就是网管知道哪些IP是可信网络,哪些是不可信网络的IP地址。
但是随着远程办公等新应用的出现,网管不可能区分出可信网络与不可信网络的界限,对于黑客来说,只需将源IP包改成合法IP即可轻松通过包过滤防火墙,进入内网,而任何一个初级水平的黑客都能进行IP地址欺骗。
不支持应用层协议。
假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用HTTP协议),不允许去外网下载电影(一般使用FTP协议)。
包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。
不能处理新的安全威胁。
它不能跟踪TCP状态,所以对TCP层的控制有漏洞。
如当它配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。
综上可见,包过滤技术的缺陷也是明显的。
包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。
有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。
2)应用代理型
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。
所有通信都必须经应用层代理软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
自适应代理技术的出现让应用代理防火墙技术出现了新的转机,它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将代理防火墙的性能提高了10倍。
工作机制
代理服务型防火墙按如下标准步骤对接收的数据包进行处理:
(1)接收数据包
(2)检查源地址和目标地址
(3)检查请求类型
(4)调用相应的程序
(5)对请求进行处理
性能特点
(1)提供的安全级别高于包过滤型防火墙
(2)代理服务型防火墙可以配置成唯一的可被外部看见的主机以保护内部主机免受外部攻击
(3)可以强制执行用户认证
(4)代理工作在客户机和真实服务器之间,完全控制会话,所以能提供较详细的审计日志
(5)代理的速度比包过滤慢
(6)代理服务型防火墙中的佼佼者AXENTRaptor完全是基于代理技术的软件防火墙。
应用程序代理防火墙可以配置成允许来自内部网络的任何连接,它也可以配置成要求用户认证后才建立连接。
要求认证的方式由只为已知的用户建立连接的这种限制,为安全性提供了额外的保证。
如果网络受到危害,这个特征使得从内部发动攻击的可能性大大减少。
代理型的优点:
架设简单容易,且架设所需的费用是最少的。
指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问。
通过限制某些协议的传出请求,来减少网络中不必要的服务。
大多数代理防火墙能够记录所有的连接,包括地址和持续时间。
这些信息对追踪攻击和发生的未授权访问的事件事很有用的。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。
3)状态检测技术
我们知道,Internet上传输的数据都必须遵循TCP/IP协议,根据TCP协议,每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段,我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。
这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个的会话,利用状态表跟踪每一个会话状态。
状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
网关防火墙的一个挑战就是能处理的流量,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。
状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤其是在一些规则复杂的大型网络上。
任何一款高性能的防火墙,都会采用状态检测技术。
状态检测技术是防火墙近几年才应用的新技术。
传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。
这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态,包括:
通信信息:
即所有7层协议的当前信息。
防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。
防火墙先在低协议层上检查数据包是否满足企业的安全策略,对于满足的数据包,再从更高协议层上进行分析。
它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。
通信状态:
即以前的通信信息。
对于简单的包过滤防火墙,如果要允许FTP通过,就必须作出让步而打开许多端口,这样就降低了安全性。
状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息,例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口,然后,防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
这里
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业级 软件 防火墙 系统 解决方案