本节书摘来异步社区《Cisco安全防火墙服务模块(FWSM)解决方案》一书中的第1章,第1.4节,作者:【美】Ray Blair ,Arvind Durai,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.4 利用包检测技术
Cisco安全防火墙服务模块(FWSM)解决方案
包检测防火墙查看各设备间的会话信息。会话信息通常是协议、新建或现有连接、源/目的IP地址和端口号、IP校验和、序列号和特殊应用信息,例如简单邮件传输协议(SMTP)中的命令与响应条件。
从客户端到服务器的典型流量,通常是由客户端发起到Web服务器IP地址的HTTP连接开始(端口80)。包检测防火墙根据当前的规则集判断是否允许数据包通过防火墙。如果防火墙能够检测IP包的数据部分,并确定其是否为合法的超文本传输协议(HTTP)流量,那么这个过程就叫做深度包检测,原因是它能够对数据包的净荷进行验证。如果满足了所有条件,防火墙就会基于会话信息建立一条流量条目,并允许数据包通过防火墙。Web服务器就会收到数据包并进行响应。防火墙的Outside接口接收返回流量。防火墙使用本地转换表中包含的信息来比较返回流量的会话信息(源和 目的IP、端口号、序列号等),来决定是否允许返回流量通过。如果返回流量符合上述条件,然后对IP数据包的净荷进行验证,看是否是HTTP数据包(深度包检测),如果是,则将其转发回客户端。
图1-4所示为该过程的图形化表示。
由于包检测防火墙不需要托管客户端应用程序,因此其执行速度通常要比应用防火墙快。如今的大多数包检测防护墙也支持应用层或深度包检测。这使得防火墙能够深入检测数据包的数据部分、基于协议一致性进行匹配、扫描病毒等,而且运行速度还非常快。
