br> 举个例子来说,一个携带攻击特征的URL访问可能有256个字节,如果它们在一个数据包中传送,那么两种技术的防火墙都能够发现并拦截,但是如果这个URL被TCP协议栈分解成10个小的IP数据包,并且以乱序的方式发送给目标服务器,则包过滤防火墙根本无法识别这个攻击的企图。而应用代理则完全不会受到干扰,依然能够识别并进行拦截,因为数据包在网关的TCP协议栈中被按照正确的顺序有效的重新组合成数据流后才到达防火墙的过滤模块,它看到的仍然是完整的数据流。
NetEye防火墙3.0之所以能够提供等同于代理防火墙的应用层保护能力,关键在于其“流过滤”架构中的专用TCP协议栈。这个协议栈是个标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效的识别并拦截应用层的攻击企图。
中网“黑客愁TM”防火墙除了提供动态地址转换,同时还提供端口和TCP、UDP协议转换功能。它能根据用户需要,将一组外部IP地址动态地分配给内部主机使用。内部主机与外部IP地址的绑定是动态的,在会话发起时开始,在随后的会话过程中保持,并在最后一个会话结束后取消。这种应用主要用于多台内部主机共享少量外部IP地址的情况。它也支持反向NAT,并且这种动态NAT能与DNS应用网关(DNS-ALG)配合使用。<页码:[1] [2] [3] [4] [5] [6] [7] [8] 第5页、共8页 |
