r> 五、如何区分包过滤和状态监测
一些小公司为了推销自己的防火墙产品,往往宣称采用的是状态监测技术; 从表面上看,我们往往容易被迷惑。这里给出区分这两种技术的小技巧。
1. 是否提供实时连接状态查看?
状态监测防火墙可以提供查看当前连接状态的功能和界面,并且可以实时断掉当前连接,这个连接应该具有丰富的信息,包括连接双方的IP、端口、连接状态、连接时间等等,而简单包过滤却不具备这项功能。
2. 是否具备动态规则库?
某些应用协议不仅仅使用一个连接和一个端口,往往通过一系列相关联的连接完成一个应用层的操作。比如FTP协议,用户命令是通过对21端口的连接传输,而数据则通过另一个临时建立的连接(缺省的源端口是20,在PASSIVE模式下则是临时分配的端口)传输。对于这样的应用,包过滤防火墙很难简单设定一条安全规则,往往不得不开放所有源端口为20的访问。
状态监测防火墙则可以支持动态规则,通过跟踪应用层会话的过程自动允许合法的连接进入,禁止其他不符合会话状态的连接请求。对于FTP来说,只需防火墙中设定一条对21端口的访问规则,就可以保证FTP传输的正常,包括PASSIVE方式的数据传输。这一功能不仅使规则更加简单,同时消除了必须开放所有20端口页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
