它具有较好的系统性能和安全性。
“流过滤”是Neteye的首创,是在“状态包过滤”基础上的发展。“状态包过滤”是Check Point最先使用的一种防火墙核心架构。“状态包过滤”是检测一个个数据包,而“流过滤”则是把一个个数据包重新整合成数据流,然后再进行过滤检测。举个例子来说:你发出一个邮件,这个邮件就会被分解成一个个数据包传输到网上某个地址,这些数据包在传输过程中可能没有顺序,或者被分成许多碎片传输。“状态包过滤”在数据包通过防火墙时,仅仅判断单个碎片能否通过检测,而这样做的安全性是比较差的。防火墙用户如果要检测这个邮件的内容如附件、关键字等部分是否有问题,单纯通过碎片是很难分析出来的。如果采用“流过滤”,防火墙用户不仅可以检测出这个邮件有无问题,而且还能在阻止该邮件通过的同时不让发送者知道。
到目前为止,大量的包过滤防火墙仍完全不具备应用层保护能力,有些产品甚至连状态检测都不具备。所谓“内容过滤”其实并不能提供真正意义上的应用层保护。而应用代理之所以能够对应用层进行完整的保护,在于其借助操作系统的TCP协议栈对于出入网络的应用数据包进行完全重组,并从操作系统提供的接口中以数据流的方式提取应用层数据;而包过滤防火墙中的数据包内容过滤仅能对当前正在通过的单一数据包的内容进行分析和判断,这两者在保护能力上存在本质的不同。
<页码:[1] [2] [3] [4] [5] [6] [7] [8] 第4页、共8页 |
