《Cisco安全防火墙服务模块(FWSM)解决方案》——1.4 利用包检测技术-阿里云开发者社区

开发者社区> 安全> 正文

《Cisco安全防火墙服务模块(FWSM)解决方案》——1.4 利用包检测技术

简介:

本节书摘来异步社区《Cisco安全防火墙服务模块(FWSM)解决方案》一书中的第1章,第1.4节,作者:【美】Ray Blair ,Arvind Durai,更多章节内容可以访问云栖社区“异步社区”公众号查看

1.4 利用包检测技术

Cisco安全防火墙服务模块(FWSM)解决方案
包检测防火墙查看各设备间的会话信息。会话信息通常是协议、新建或现有连接、源/目的IP地址和端口号、IP校验和、序列号和特殊应用信息,例如简单邮件传输协议(SMTP)中的命令与响应条件。

从客户端到服务器的典型流量,通常是由客户端发起到Web服务器IP地址的HTTP连接开始(端口80)。包检测防火墙根据当前的规则集判断是否允许数据包通过防火墙。如果防火墙能够检测IP包的数据部分,并确定其是否为合法的超文本传输协议(HTTP)流量,那么这个过程就叫做深度包检测,原因是它能够对数据包的净荷进行验证。如果满足了所有条件,防火墙就会基于会话信息建立一条流量条目,并允许数据包通过防火墙。Web服务器就会收到数据包并进行响应。防火墙的Outside接口接收返回流量。防火墙使用本地转换表中包含的信息来比较返回流量的会话信息(源和 目的IP、端口号、序列号等),来决定是否允许返回流量通过。如果返回流量符合上述条件,然后对IP数据包的净荷进行验证,看是否是HTTP数据包(深度包检测),如果是,则将其转发回客户端。

图1-4所示为该过程的图形化表示。

910e0fa238f4238dd9d38900dfa03081de3fe8ff

由于包检测防火墙不需要托管客户端应用程序,因此其执行速度通常要比应用防火墙快。如今的大多数包检测防护墙也支持应用层或深度包检测。这使得防火墙能够深入检测数据包的数据部分、基于协议一致性进行匹配、扫描病毒等,而且运行速度还非常快。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章