防火墙:深度包检测技术的演进历程和技术反思防火墙技术

下面小编给大家整理防火墙:深度包检测技术的演进历程和技术反思防火墙技术，本文共5篇，希望大家喜欢！本文原稿由网友“davidlark”提供。

篇1：防火墙:深度包检测技术的演进历程和技术反思防火墙技术

从最简单的分组过滤防火墙到应用层网关，自诞生之日开始，防火墙日益承担起越来越多的网络安全角色，近年来，一项创新的防火墙技术正广泛的获得应用，这就是被称为深度包检测的dip（deep packet inspection）技术。

历史回顾

在深入了解深度包检测技术之前，我们首先来回顾一下防火墙检测技术发展的历史。这些检测技术并没有随着科技的前进而消失。相反，正是以这些技术为基础，才发展出了更多先进的功能元素。

最早出现并获得广泛应用的分组过滤式防火墙可以被称为第一代防火墙。最基本的分组过滤防火墙会根据第三层的参数（如源ip地址和目标ip地址）检查通过网络的数据包，再由内建在防火墙中的分组过滤规则依据这些参数来确定哪些数据包被放行，哪些数据包被阻隔。之后又出现了应用层网关防火墙，这种防火墙经常被称为基于代理服务器的防火墙，因为它会代表各种网络客户端执行应用层连接，即提供代理服务。应用层网关的工作方式与分组过滤技术有很大的不同，其所有访问都在应用层（osi模型的第七层）中控制，并且也没有任何网络客户端能直接与服务端进行通信，如图1所示。

图1 防火墙检测原理

而在目前，得到最广泛应用的主流过滤技术是状态检测（stateful inspection）。它的工作方式类似于分组过滤防火墙，只是采用了更复杂的访问控制算法。状态检测型防火墙和分组过滤防火墙实质上都是通过控制决策来提供安全保护的，只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外，还可以利用网络连接及应用服务的各种状态来执行决策。另外，所执行的决策也不仅限于数据包的放行与阻隔，类似加密这样的处理也可以作为一种控制决策被执行，如图2所示。

图2 状态检测

状态检测型防火墙不仅可以根据第三层参数决定有关信息传输是放行还是拒绝，还能够理解连接的当前状态（例如相关连接是处于建立阶段还是数据传输阶段）。防火墙处理的所有数据传输都会被传送到一个状态检测引擎，其中汇集了相应的访问规则。

通过维护一个连接状态表，标识出通过防火墙的每条活动连接以及与之关联的第三层参数。如果连接状态表中确实含有一条连接的记录，状态检测引擎才允许该连接的返回信息通过。而且在连接建立之后，防火墙可以通过检查tcp顺序号这样更高级的连接属性，来验证相关的信息传输确实与基本的第三层参数匹配，是合法且没有欺诈的。

就状态检测型防火墙与应用层网关相比较而言，由于状态检测引擎了解应用层的情况，因此状态检测型防火墙所具有的安全保护水平与应用层网关基本相同，且状态检测型防火墙更加灵活，比应用层网关具有更好的扩展能力。因为它可以在应用程序一级保证通信的完整性，而不需要代表客户机/服务器在连接的两端对所有连接进行代理处理。所以说，利用状态检测技术设计的防火墙既提供了分组过滤防火墙的处理速度和灵活性，又兼具应用层网关理解应用程序状态的能力与高度的安全性。

深度包检测技术综述

通常，深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷。虽然只检测包头部分是一种更加经济的方式，但是很多恶意行为可能隐藏在数据载荷中，通过防御边界在安全体系内部产生严重的危害。因为数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的p2p传输，而各种电子商务程序的html和xml格式数据中也可能夹带着后门和木马程序在网络节点之间交换，

所以，在应用形式及其格式以爆炸速度增长的今天，仅仅依照数据包的第三层信息决定其是否准入，实在无法满足安全的要求。

深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包。举例来说，检测引擎将数据包载

关 键 字：防火墙

篇2：深度包检测技术的演进历程和技术反思服务器教程

从最简单的分组过滤防火墙到应用层网关，自诞生之日开始，防火墙日益承担起越来越多的网络安全角色，近年来，一项创新的防火墙技术正广泛的获得应用，这就是被称为深度包检测的DIP（Deep Packet Inspection）技术。

历史回顾

在深入了解深度包检测技术之前，我们首先来回顾一下防火墙检测技术发展的历史。这些检测技术并没有随着科技的前进而消失。相反，正是以这些技术为基础，才发展出了更多先进的功能元素。

最早出现并获得广泛应用的分组过滤式防火墙可以被称为第一代防火墙。最基本的分组过滤防火墙会根据第三层的参数（如源IP地址和目标IP地址）检查通过网络的数据包，再由内建在防火墙中的分组过滤规则依据这些参数来确定哪些数据包被放行，哪些数据包被阻隔。之后又出现了应用层网关防火墙，这种防火墙经常被称为基于代理服务器的防火墙，因为它会代表各种网络客户端执行应用层连接，即提供代理服务。应用层网关的工作方式与分组过滤技术有很大的不同，其所有访问都在应用层（OSI模型的第七层）中控制，并且也没有任何网络客户端能直接与服务端进行通信，如图1所示。

图1 防火墙检测原理

而在目前，得到最广泛应用的主流过滤技术是状态检测（Stateful Inspection）。它的工作方式类似于分组过滤防火墙，只是采用了更复杂的访问控制算法。状态检测型防火墙和分组过滤防火墙实质上都是通过控制决策来提供安全保护的，只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外，还可以利用网络连接及应用服务的各种状态来执行决策。另外，所执行的决策也不仅限于数据包的放行与阻隔，类似加密这样的处理也可以作为一种控制决策被执行，如图2所示。

图2 状态检测

状态检测型防火墙不仅可以根据第三层参数决定有关信息传输是放行还是拒绝，还能够理解连接的当前状态（例如相关连接是处于建立阶段还是数据传输阶段），

防火墙处理的所有数据传输都会被传送到一个状态检测引擎，其中汇集了相应的访问规则。

通过维护一个连接状态表，标识出通过防火墙的每条活动连接以及与之关联的第三层参数。如果连接状态表中确实含有一条连接的记录，状态检测引擎才允许该连接的返回信息通过。而且在连接建立之后，防火墙可以通过检查TCP顺序号这样更高级的连接属性，来验证相关的信息传输确实与基本的第三层参数匹配，是合法且没有欺诈的。

就状态检测型防火墙与应用层网关相比较而言，由于状态检测引擎了解应用层的情况，因此状态检测型防火墙所具有的安全保护水平与应用层网关基本相同，且状态检测型防火墙更加灵活，比应用层网关具有更好的扩展能力。因为它可以在应用程序一级保证通信的完整性，而不需要代表客户机/服务器在连接的两端对所有连接进行代理处理。所以说，利用状态检测技术设计的防火墙既提供了分组过滤防火墙的处理速度和灵活性，又兼具应用层网关理解应用程序状态的能力与高度的安全性。

深度包检测技术综述

通常，深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷。虽然只检测包头部分是一种更加经济的方式，但是很多恶意行为可能隐藏在数据载荷中，通过防御边界在安全体系内部产生严重的危害。因为数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的P2P传输，而各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在网络节点之间交换。所以，在应用形式及其格式以爆炸速度增长的今天，仅仅依照数据包的第三层信息决定其是否准入，实在无法满足安全的要求。

深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包。举例来说，检测引擎将数据包载荷中的数据与预先定义的攻击指纹进行对比，以判定数据传输中是否含有恶意攻击行为，同时引擎利用已有的统计学数据执行模式匹配，辅助这种判断的执行。利用深度包检测技术可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒。从本质上来讲，深度包检测将入侵检测（IDS）功能融入防火墙当中，从而使我们有条件创建一种一体化的安全设备，如图3所示。

篇3：深度检测，随芯所示防火墙技术

传统的防火墙不能做到的，o2micro新型智能防火墙却可以做到，

o2micro产品应用拓扑图

随着经济全球化的发展以及信息系统建设的发展，网络已成为我们身边工作和生活中不可缺少的元素。而自从网络诞生之日起，病毒，垃圾邮件以及网络 的攻击就从未停止过，而且随着网络规模和复杂程度的提高，这些不和谐的因素成为网络中越来越让人感到头疼的成分络的成长必定会促进应用系统和软件的同步增长，网络已经从当初的互联互通发展到多数据多业务承载。传统的防火墙产品已经无法对目前非常流行的p2p软件bittorrent等进行检测了，更不用说在速度上进行限制了，我们今天来看看如何使用新型智能防火墙来对这类软件等进行访问控制。

bittorrent 是一款多点下载的源码公开的p2p软件，专门为大容量文件的共享而设计。简单地说，其特点就是：下载的人越多，速度越快。那么bittorrent与我们传统上传和下载的软件有什么不同呢？一般来讲，下载是把文件由服务器端传送到客户端，例如ftp，http，pub等等。但是这种下载方式存在一个问题――随着用户的增多，带宽的要求也会随之增多，用户过多就会造成服务器的网络瓶颈。所以很多的服务器会都有下载用户人数和下载速度的限制，这样就给下载用户造成了诸多不便。bittorrent的出现解决了这个问题。由于bittorrent用的是一种传播的方式来达到文件资源共享的，用bittorrent下载反而是用户越多，下载越快。bittorrent软件工作过程由几部分组成，首先是客户端获取到. torrent文件，该文件包含发布服务器地址等信息，客户端连接后，由分布服务器获取到tracker程序，该程序能够追踪到底有多少人同时在下载同一个文件。 客户端 连上 tracker服务器，就会获得一个下载人员得名单，根据这个，bt会自动连上别人的机器进行下载。最后客户端利用scokets连接下载peer端的内容。这样客户端会跟所有的peer建立sockets连接，连接越多，下载越快，但同时消耗网络带宽也就越多。这种数据传输的模式，对运营商和用户网络都造成了巨大压力，矛盾也随之而来。传统意义上的防火墙产品，由于其设计架构的先天不足，无法对bittorrent这类的p2p软件进行检测，更是无法做到在速度上进行限制。目前运营商网通、长城宽带等通过封掉bittorrent常用端口（6881-6889、8881-8899或6969）来进行对bittorrent软件的限制，但是通过修改注册表或者bittorrent设置，用户可以很轻易地修改bittorrent端口，来逃避isp对bittorrent端口的封锁，

因此简单的靠传统防火墙的封锁是没有任何意义的。另外bittorrent这类软件如果客户端在内网，他也可以为其他人提供下载服务，客户端首先报告给发布服务器，peer端也报告发布服务器公网的信息，客户端在等待一段时间后，连接服务器获得peer端的信息，然后它使用反向sockets连接后，可以为外网peer端提供下载服务，这样极大地对网络安全构成威胁。进近依靠传统防火墙是无法对这样结构的访问进行限制的。

而o2micro公司使用自主研发asic芯片的sifoworks防火墙则在根本上解决了上述问题，真正达到了深度检测，随芯所 。首先，依靠良好设计的asic处理芯片，sifoworks防火墙能够在100万连接建满的情况下，依然保持千兆线速处理能力。其次，sifoworks有很好的anti-ddos功能，能够对网络中的攻击行为提前进行检测和防范，保证网络的畅通，决不堵塞。最重要的是，sifoworks防火墙内置的四层智能防御系统，通过界面配置的修改传递给asic芯片微码处理阵列，能够对数据包进行深层次的过滤和检测，通过对bittorrent客户端与tracker服务器之间的tcp连接进行过滤监控，从而有效的控制了客户端和peer端建立sockets连接的过程。通过sifoworks的qos功能，能够具体对每个端口产生的连接按优先级产生对列，保证了网络关键数据的带宽和速度。从上面sifoworks防火墙

关 键 字：防火墙

篇4：复合防火墙技术的新演进

以往的复合防火墙主要是通过将各类技术（如包过滤、应用网关、服务代理和状态检测等）组合来形成，最新的复合防火墙技术则从软件、系统防护的层面上提出，因此更符合现代网络安全市场的要求，

目前的防火墙主要有包过滤型、应用网关型、服务代理型和状态检测型等几种，其中包过滤型防火墙最为普遍。许多行业用户除希望防火墙产品具有一般的防护功能外，还希望它能提供其他功能，如防病毒、入侵检测、认证、加密、远程管理、代理等。为此，许多厂商提出了复合防火墙的概念：将多种应用功能组合在一起形成功能强大的复合防火墙。现在市面上绝大多数复合防火墙都只是技术复合而成，但随着网络应用的不断增多和变化，传统的复合防火墙在许多场合已不能满足用户的要求，因为它是以牺牲效率为代价，这可能是它最大的弊病，也是用户不能接受的。有鉴于此，一些厂商便提出了新型复合防火墙的概念，它包括软件、系统防护2个层面，是能满足现代网络安全需求的技术。

防火墙是软件

新型的复合型防火墙使用了状态检测包过滤、应用代理等多种先进的安全技术。先进的状态包过滤技术可以有效地对信息流进行安全过滤，避免了用户的非法登录，

采用多穴主机结构提高了对网络的保护能力，支持多网络端口以及多LAN的管理实现了内部私有网络的安全划分。当然，动态NAT功能和端口重定向也是复合型防火墙具备的。内置的入侵检测系统能够根据设定的规则检测出端口扫描、源路由攻击、IP碎片攻击及DoS、DDoS等多种攻击行为，保障了网络安全。另外，通过网络接口、IP地址、协议进行带宽管理可以实现对IP地址及特殊服务进行带宽控制，确保带宽合理分配。一些新型复合防火墙，如首创前锋的红旗防火墙还具有基于Web的管理机制，不需专门的管理软件就可在不同地方进行管理控制

防火墙最终是系统

采用自行构造防火墙方式，虽然费用低一些，但仍需要时间和经费开发、配置防火墙系统，需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。防火墙的配备需要相当的费用，如何以最小的费用来最大限度地满足企业网用户的安全需求是企业网决策者应该周密考虑的问题。

从另外一个层面来说，即使是最先进的防火墙，如果没有良好的管理，其本身也有很大的危险性，比如对不经过防火墙的入侵，防火墙是无能为力的。同时，硬件方式构建的防火墙不够灵活，所以在一个实际的网络运行环境中，仅仅依靠防火墙来保证网络的安全显然是不够的，应该根据实际需求采取相应的安全策略，而这不仅仅是软件或者硬件所能完成的，它还需要优良的权限设计和复杂细心的管理，这些都需要做大量的需求分析、按需定制以及持续的售后培训才能达到，所以许多用户常常将防火墙的采购直接放入一个系统集成方案中，这样可以通过协同工作来降低包括采购、整合和服务的成本。

篇5：掌握防火墙高级检测技术服务器教程

多年来，企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全，但是情况在迅速改变，那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击，安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护，在防火墙中多个前沿的检测技术组合在一起，提供启发式扫描和异常检测，增强防病毒、反垃圾邮件和其它相关的功能。

新一代攻击的特点

1、混合型攻击使用多种技术的混合－—如病毒、蠕虫、木马和后门攻击，往往通过Email和被感染的网站发出，并很快的传递到下一代攻击或攻击的变种，使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。

2、现在针对新漏洞的攻击产生速度比以前要快得多，

防止各种被称之为“零小时”（zero-hour）或“零日”（zero-day）的新的未知的威胁变得尤其重要。

3、带有社会工程陷阱元素的攻击，包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。

图1 Gartner发布的漏洞与补丁时间表

传统的安全方法正在失效

如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头，分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于 已经研究出大量的方法来绕过防火墙策略。这些方法包括：

浅谈建筑材料的检测技术

汽车检测与维修技术个人简历

管理会计技术方法演进之研究

我国油菜生产机械化技术的发展历程

探析桥梁工程常见病害及检测技术

防火墙:深度包检测技术的演进历程和技术反思防火墙技术.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档