危　云　周　英　赵建军　贺爱玲（内蒙古呼和浩特铁路局包头电务段 ，内蒙古 包头 014040）

有关防火墙新技术的分析

危云周英赵建军贺爱玲
（内蒙古呼和浩特铁路局包头电务段 ，内蒙古 包头 014040）

摘要：本文主要从防火墙技术的状态检测入手，探讨防火墙发展趋势的两种主要新技术——深度包检测和安全设备联动，以期对这一问题作出有益思考。

关键词：状态检测；深度包检测技术；安全设备联动技术

防火墙技术是基础性的计算机技术之一，其中主流的状态检测技术又起到关键性的作用，对状态检测包进行原理分析和实例分析一直是这一领域的重点内容。状态检测包技术与传统包过滤技术不同，前者有更大的技术优势，在此基础上，基于其连接和数据包内容分析的实现方法，产生了深度包检测和安全设备联动这两种新技术。

一、状态检测

状态检测又称动态包过滤检测，区别于以往的传统过滤包检测，是其功能上的拓展，并取代它成为主流的的防火墙技术。状态检测包过滤防火墙又可以称之为第三代防火墙。相较于传统的静态包过滤技术，这一代防火墙更加注重多个数据包的整体分析，在根据其包头信息进行匹配时，并不固定，而是灵活应对，以防止在过滤包遇到利用动态端口的应用协议时，因为传统的静态包过滤而发生分析上的困难。

二、深度包检测技术

深度包检测技术相比较于传统的网络层包过滤技术来讲，有着更加明显的优势，其表现在于：传统的网络层包过滤技术主要应用与网络层面，所分析的数据信息大部分是包头信息，也就是数据信息本身，而并没有对数据包内的具体内容进行分析。这种方法在防火墙技术发展之初是非常有效的，但是随着网络服务和协议越来越多样化，越来越复杂化，这种方法所提供的包头信息不能够满足防火墙技术发展的需要，不能为网络提供足够的安全性与可用性。

深度包检测技术正是在这种情况下发展起来的，它对数据包的分析不仅仅局限于包头信息，而是具体分析数据包的内容，对于各种应用协议的流程和缺陷做出反馈，进而提出针对性的检测方式与保护措施。具体来讲，深度包检测是一种关联性的技术，它将多个数据包联接起来，形成一个数据流，在实时检测异常行为的同时，检测整体的数据流状态。需要特别提到的是，这种检测技术对于分析速度的要求极高，对于应用浏览的检测和重组要实时更新，最大限度地避免延时。

（一）会话终止部分

深度包检测技术区别于传统的包顾虑技术，不再以数据包为分析单位，在进行数据流控制的过程中，不再通过对单个数据包的丢弃来实现过滤，避免因此带来的网络中断，用最小的运行成本达到过滤的目的。TCP传输连接有超时重传的机制，其他大部分的应用协议的运行机制也基本相似，深度包检测技术很好地应用这一机制，基于连接，根据特定的协议，采用最合理、最安全、最有效的方式来终止整个会话，例如一个TCP连接，或者是一整个的应用层次的会话。

（二）内容过滤部分

防火墙技术所要防范的恶意数据，基本包含在数据包的具体内容中，而不是包头信息，这些而恶意数据通过刻意构造的URL、破坏性控件、病毒等形式，对整个网络构成危害。深度包检测正是针对这一问题，发挥其自身的运行速度优势，对恶意数据进行分析，对内容进行过滤，检测及重新组装应用流量，最大限度地避免延时。

（三）加密数据分析部分

这一部分是深度包检测技术的重点内容，因为现在的安全应用中，大部分都会使用SSL技术，来确保通信的保密性，或者用IPSEC协议，通过公共网络提供VPN 的加密连接。这些加密的数据流需要特殊的加密技术，也就是端到端的加密方式，但是，这种加密方式有其弊端，对中途拦截的防火墙和被动探测器来讲，这种保护方式并不完善，会造成检测系统被入侵。

针对上述问题，需要对数据流进行解码，解码之后的数据内容与内部网络的安全策略设定密切相关，这样所形成的防火墙更加牢靠，各个不容易破解，因为只有具有了更高安全级别，才可以对加密的数据流进行解密。深度包检测技术是防火墙技术发展的关键性内容，面对网络环境下越来越大的攻击危险，需要深度包检测防火墙不断升级，以应对危机四伏的网络环境。因此，我们需要改善传统的检测技术，添加特征检测等功能，更准确地阻拦恶意信息，阻挡异常行为的发生。

三、安全设备联动技术

防火墙是内部网络与公共网络之间重要的，也是唯一的通道，这个特殊的位置，使得防火墙成为重要的访问可控制节点.也成为进行查寻恶意信息和网络监控的理想位置，并成为网络安全审计工作和网络数据收集的重要场所。如今，网络环境越来越多样，也越来越复杂，随之而来的网络攻击和破坏行为的方法更是层出不穷，通过单个节点所构成的安全防护已经不能满足安全保护的需求。在这种情况下，我们提倡建立以防火墙为核心的网络安全体系，也就是安全设备的联动技术。

对于被入侵系统的保护并不简单是检测技术的应用，而是在发生入侵行为之后，对入侵检测系统本身的对入侵行为及时遏止。为了达到这一目的，处于旁路侦听的入侵检测系统所形成的防护体系是不全面的，而主链路所连接的设备并不充足，不能够对所有入侵行为进行防护 。安全设备的联动技术就是联合相关的安全产品，进行整体的入侵检测和病毒检测，各取所需，建立起一个安全的、整体的、有效的防范体系。

具体来讲，主要有两种方法：第一种是直接运用入侵病毒，将对病毒的检测放入到防火墙之中，形成自体的病毒检测功能和体系，发挥安全检测设备的防范功能；第二种方法是把各个检测产品分立，再运用相关的手段进行联接和整合，换句话说，也就是各个检测产品各司其事，专门防范某一类安全事件，一旦发生安全事件，马上通知给防火墙，通过防火墙进行分析判断。进行过滤和防范。这两种方法中，第二种方法的使用更加广泛，在其应用过程中，存在一些用于安全产品之间协同工作的联动模式及协议。

结语

综上所述，本文从防火墙技术的状态检测入手，具体探讨了防火墙发展趋势的两种主要新技术：深度包检测技术和安全设备联动技术。

参考文献

[1]张晶．网络安全与防火墙设计及实现[D]．中国科学院成都计算机应用研究所，2011．

[2]金晓倩．基于计算机防火墙安全屏障的网络防范技术[J]．素质教育论坛，2010 （11）．

[3]于婷婷．浅谈Internet防火墙技术[J]．计算机光盘软件与应用，2012（04）：55-56．

中图分类号：TP393

文献标识码：A