在
维护网络安全的过程中,防火墙是越来越受欢迎。作为一种信息安全
服务、网络与信息安全基础设施,防火墙采用内部网络与公共网络如Internet的
方法,可以作为不同网络或网络安全域之间的访问
控制信息,根据接入网络对企业信息流的
安全策略,防火墙本身具有抗攻击能力强,它能有效地监测Intranet和Internet之间的任何活动,从而为内部网络安全的有力保障。
然而,在防火墙内部网络带来的安全,也产生了一定的
反应mdash;mdash;它降低了网络的
运行效率。作为防火墙应用的主要安全技术,在传统的包过滤防火墙的设计与规则表的匹配,
处理数据包符合规则,抛弃那些不符合规则,因为它是一个基于规则的
检查,有不同的包装,属于同一个
连接之间没有连接,每个分组是根据规则的
顺序过滤。由于网络安全涉及到很多领域,且技术复杂,其安全规则往往达到数百甚至数千几千种。随着安全规则的增加,许多防火墙产品将大大降低
性能,网络资源的破坏等,从而造成网络拥塞。因此,安全与效率的两难困境是面对传统防火墙的最大问题。此外,在本设计中,黑客可能使用IP欺骗来伪装自己非法包属于一个合法的连接,然后侵入
用户的内部网络
系统,因此,传统的包过滤技术不仅效率低、易产生安全漏洞。
今天,科技的发展使网络逐步融入人们的生活,人们享受到网络带来的便利。同时,他们不仅要求安全系数高,但也需要更高的数据
传输速率,以满足这一要求,防火墙产品必须
解决传输速率的瓶颈,提高安全绩效,实现安全和效率的突破。为了实现这一
目标,基于包过滤技术连接应运而生。前一天,东方龙马防火墙产品的自主
核心技术与该
公司推出的,采用这种技术的产品,将所有属于同一个包作为一个整体的数据流在规则和连接状态表,大大提高了传输效率和系统的安全性。解决防火墙固有的安全与效率之间的矛盾。
与传统的包过滤连接的
检测技术,基于链路状态数据包过滤不仅是作为一个
独立的单元,在检查包,还要考虑它的历史
关联。例如,基于TCP协议的连接,每个包中包含的信息如IP源
地址、目的IP地址、源和目标接口的接口协议。它还包括监测信息如在允许的时间间隔TCP握手的信息。这些信息与每个数据包相关联。换句话说,数据包属于相同的连接,它们不是孤立的;他们有内部的相关信息。无连接的包过滤规则忽略了内在的关联信息和检测每一个数据包孤立的规则,使得传输效率大大降低。
作为一个基于连接的数据包过滤
处理方法的结果,东方龙马防火墙规则检查的同时,可以将包的连接记录,包装后不规则检查所需的连接,只有通过状态表的包是连接检查记录。如果有一个相应的状态标识,表明该包是一个合法的连接已经建立,可以接受。经过检查连接状态的记录将被刷新。这允许数据包具有相同的连接状态,避免重复检查。以规则表的
排序是固定不变,只采用线性的方法进行
搜索,和连接状态表重新线,可随意
设置,并可作为二元树或哈希算法进行快速搜索,从而大大提高了系统的传输效率。同时,实时连接状态监控技术可以用来
识别连接状态因素在状态表通过ACK(应答反应)不,和防止包通过,增强了系统的安全性。
此外,基于UDP协议的应用,由于协议本身是不纠缠或转发
错误的
命令或数据包的丢失,很难用简单的包过滤技术处理它。东方龙马防火墙基于UDP协议的连接处理,将
创建UDP虚拟连接,还可以监控连接的过程中,通过规则和连接状态的合作,实现高效的数据包过滤和安全。