什么是狀態檢查(Stateful Inspection)?
狀態檢測是計算機網絡防火墻中用來防止未經授權的訪問的一種技術。有時也稱為動態過濾,這種方法能夠在數據包進入網絡之前檢查整個數據包。這樣,每一個進入防火墻上任何接口的包都會被徹底檢查針對允許傳遞到另一方的連...
狀態檢測是計算機網絡防火墻中用來防止未經授權的訪問的一種技術。有時也稱為動態過濾,這種方法能夠在數據包進入網絡之前檢查整個數據包。這樣,每一個進入防火墻上任何接口的包都會被徹底檢查針對允許傳遞到另一方的連接類型的有效性。進程獲得其名稱是因為它不僅檢查數據包,而且還監視已建立并允許通過防火墻的連接的狀態
與電腦倒立的女人狀態檢查的概念首先由Check Point?軟件設計,早在20世紀90年代中期。在檢查點~s?Firewall-1之前,檢查? 引擎軟件,防火墻監控應用層,位于開放系統互連(OSI)模型的頂部。這在計算機處理器上往往非常繁重,因此數據包檢查從OSI模型層向下移動到第三層,即網絡層。早期的數據包檢查只檢查報頭信息,數據包的尋址和協議信息,無法區分數據包的狀態,例如是否是新的連接請求,資源友好和快速的包過濾方法與更詳細的應用信息相結合這為數據包提供了一些上下文,從而提供了更多的信息來作為安全決策的依據。要存儲所有這些信息,防火墻需要建立一個表,然后該表定義連接的狀態。每個連接的詳細信息,包括地址信息、端口和協議,數據包的排序信息也被存儲在表中,資源緊張的唯一時間是在初始進入狀態表的過程中;之后,與該狀態匹配的所有其他數據包幾乎不使用任何計算資源狀態檢查過程從第一個請求連接的數據包被捕獲和檢查時開始。該數據包根據防火墻規則進行匹配,在防火墻規則中,根據一系列可能的授權參數進行檢查,這些參數可以無限定制,以支持以前未知的,或軟件、服務和協議尚待開發。捕獲的數據包初始化握手,防火墻將響應發送回請求用戶確認連接。現在表中已填充了連接的狀態信息,來自客戶端的下一個數據包與連接狀態相匹配。這將持續到連接超時或終止,表中的連接狀態信息也被清除了。這導致了狀態檢查防火墻面臨的一個問題,即拒絕服務攻擊。對于這種類型的攻擊,安全性沒有受到損害,因為防火墻被大量請求連接的初始數據包轟炸,迫使狀態表充滿請求一旦滿了,狀態表就不能再接受任何請求,因此所有其他連接請求都會被阻止。另一種針對有狀態防火墻的攻擊方法利用防火墻的規則來阻止傳入的流量,但允許任何傳出流量。攻擊者可以欺騙防火墻安全端的主機從外部請求連接,從而有效地打開主機上的任何服務供攻擊者使用。
與電腦倒立的女人狀態檢查的概念首先由Check Point?軟件設計,早在20世紀90年代中期。在檢查點~s?Firewall-1之前,檢查? 引擎軟件,防火墻監控應用層,位于開放系統互連(OSI)模型的頂部。這在計算機處理器上往往非常繁重,因此數據包檢查從OSI模型層向下移動到第三層,即網絡層。早期的數據包檢查只檢查報頭信息,數據包的尋址和協議信息,無法區分數據包的狀態,例如是否是新的連接請求,資源友好和快速的包過濾方法與更詳細的應用信息相結合這為數據包提供了一些上下文,從而提供了更多的信息來作為安全決策的依據。要存儲所有這些信息,防火墻需要建立一個表,然后該表定義連接的狀態。每個連接的詳細信息,包括地址信息、端口和協議,數據包的排序信息也被存儲在表中,資源緊張的唯一時間是在初始進入狀態表的過程中;之后,與該狀態匹配的所有其他數據包幾乎不使用任何計算資源狀態檢查過程從第一個請求連接的數據包被捕獲和檢查時開始。該數據包根據防火墻規則進行匹配,在防火墻規則中,根據一系列可能的授權參數進行檢查,這些參數可以無限定制,以支持以前未知的,或軟件、服務和協議尚待開發。捕獲的數據包初始化握手,防火墻將響應發送回請求用戶確認連接。現在表中已填充了連接的狀態信息,來自客戶端的下一個數據包與連接狀態相匹配。這將持續到連接超時或終止,表中的連接狀態信息也被清除了。這導致了狀態檢查防火墻面臨的一個問題,即拒絕服務攻擊。對于這種類型的攻擊,安全性沒有受到損害,因為防火墻被大量請求連接的初始數據包轟炸,迫使狀態表充滿請求一旦滿了,狀態表就不能再接受任何請求,因此所有其他連接請求都會被阻止。另一種針對有狀態防火墻的攻擊方法利用防火墻的規則來阻止傳入的流量,但允許任何傳出流量。攻擊者可以欺騙防火墻安全端的主機從外部請求連接,從而有效地打開主機上的任何服務供攻擊者使用。
- 發表于 2020-07-31 07:31
- 閱讀 ( 1474 )
- 分類:電腦網絡
admin
0 篇文章
作家榜 ?
-
xiaonan123
189 文章
-
湯依妹兒
97 文章
-
luogf229
46 文章
-
jy02406749
45 文章
-
小凡
34 文章
-
Daisy萌
32 文章
-
我的QQ3117863681
24 文章
-
華志健
23 文章