TCP/IP网络的信息安全与防火墙技术

核心提示： SPFs对于包处理的规则是动态的，采用SPFs技术的防火墙正如在安全网络上加了一道动态的门，TCP/IP网络的信息安全与防火墙技术(8)，即使是对于同一个服务端口，它也可能根据状态检测结果适时的打开或关闭，应用代理网关此时充当了访问的中介，一个典型的应用代理网关不将IP数据报转发给内部网络

SPFs对于包处理的规则是动态的，采用SPFs技术的防火墙正如在安全网络上加了一道动态的门，即使是对于同一个服务端口，它也可能根据状态检测结果适时的打开或关闭。它监视每一个有效连接的状态，并把当前数据包及其状态信息与前一时刻的数据包及状态信息进行比较，即经过一系列严密的算法分析，根据分析结果实施相应的操作，如允许数据包通过、拒绝通过、认证连接、加密数据等。 SPFs技术不仅支持TCP，同时也支持UDP等无连接的应用，SPFs防火墙对基于UDP应用安全的实现是通过在UDP通信之上保持一个虚拟连接来实现的。防火墙保存通过网关的每一个连接的状态信息，允许通过防火墙的UDP请求包被记录。当UDP包在相反方向上通过时，防火墙依据连接状态表确定该UDP 包是否被授权，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到达，即连接超时，则该连接被阻塞。采取这种原理可以阻塞所有的攻击，从而实现UDP应用的安全性。

在Check Point公司的产品中，SPFs技术被称之为Stateful Inspection，其核心技术已取得专利并被植入OS内核，其工作模块位于数据链路层和网络层之间，保证了防火墙对于原始数据包的截取和检查，事实上，Check Point 公司的产品也混合使用了应用代理服务，Fore公司甚至直接购买Stateful Inspection的专利形成ASIC芯片直接植入其高端交换机设备中，NetGuard产品也采用了类似的技术。

2 应用代理技术

应用代理防火墙（有时也称为应用网关）的工作方式和以包过滤技术为主的防火墙的工作方式稍有不同。它是基于软件的；当某远程用户想和一个运行应用网关的网络建立联系时，此应用网关会阻塞这个远程联接，然后对联接请求的各个域（包括应用层协议、用户帐号等等）进行检查。如果此联接请求符合预定的规则，应用代理网关即可向外部发出连接请求、建立连接，而同时内部主机仅仅是与网关主机有着连接，也就是说，应用代理网关此时充当了访问的中介。一个典型的应用代理网关不将IP数据报转发给内部网络，而是自己作为转换器和解释器完成整个访问过程。