返回
体系结构基于状态包过滤流过滤

体系结构基于状态包过滤流过滤

ID:36467966

大小:218.21 KB

页数:12页

时间:2019-05-10

体系结构基于状态包过滤流过滤_第1页
体系结构基于状态包过滤流过滤_第2页
体系结构基于状态包过滤流过滤_第3页
体系结构基于状态包过滤流过滤_第4页
体系结构基于状态包过滤流过滤_第5页
资源描述:

《体系结构基于状态包过滤流过滤》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第一章概述第二章体系结构:基于状态包过滤的流过滤第三章功能介绍3.1创新的高性能核心保护能力,基于状态包过滤的流过滤3.2可扩展的模块化的应用层协议支持3.3集成的VPN功能,方便快捷部署各种VPN3.4与IDS联动,构建实时、动态防御体系3.5高可靠性和高可用性保护网络永不间断3.6人性化的GUI管理工具3.7身份认证,角色划分3.8完备的审计功能3.9其他重要特性第一章概述目前市场上存在着各种各样的网络安全工具,而技术最成熟、最早产品化的就是防火墙,由于防火墙技术的针对性很强,它已成为实现网络安全的最重要的保障之一。NetEye防火墙系统无论在性能、可靠性和可管

2、理性等方面都已经达到了运营级的水准,是一个“运营级的防火墙”。经国家权威部门检测,NetEye防火墙符合GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》标准的各项要求。NetEye防火墙3.2.1是东软NetEye系列防火墙中的最新版本,是基于状态包过滤的“流过滤”体系结构的第四个版本。经过几年的市场考验,东软围绕“流过滤”核心技术构建了强大的研发体系:网络安全实验室、应急响应团队、应用升级包开发团队,从而实现了能够动态保护用户的网络安全。基于“流过滤”的防火墙带给了用户其他防火墙所无法比拟的优越性:保证从数据链路层到应用层的完全高性能过滤,使

3、系统能够在多种模式下(路由模式,透明模式,VLANTRUNK模式)实现对应用层的安全防护,能够对应用层协议进行细粒度的访问控制,并对特殊的应用协议进行动态的支持,以及对新的攻击进行应急相应;线速的转发性能,零丢包率,强大的缓冲能力,带内、带外双重通道管理,低于一秒的双机热备自动切换完全满足高速、对性能要求苛刻网络的应用需求。NetEye防火墙3.2.1系统具备了高可靠性和高可用性的特点,从硬件体系结构的设计,系统内关键部件的冗余,带内、带外双重通道管理到低于一秒的双机热备自动切换,确保了网络永不间断,真正实现了24×7的不间断运行。NetEye防火墙3.2.1具备的

4、简单强大的管理功能,保证了您在10分钟内完成防火墙的配置,同时不影响原有网络的运行;丰富的GUI方式的管理和监控工具,能够方便的对系统进行安全策略配置、用户管理、在线监控、审计查询、流量管理等操作,方便用户进行故障检测、故障定位、性能检测、安全响应。NetEye防火墙3.2.1系统携带的对攻击的识别模块,能够有效的防范多种DoS的攻击手段,并能够对攻击事件进行各种方式的报警。同时能够实现与IDS的联动,形成动态的、自适应的安全防护体系。NetEye防火墙3.2.1系统集成了VPN功能,延伸了防火墙保护的范围,可以方便、快捷的部署各种模式的VPN应用,包括外联网VPN

5、、内联网VPN以及远程访问VPN。第二章体系结构:基于状态包过滤的流过滤防火墙对网络保护能力的大小与其体系结构和运行机制有很大的关系,每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。包过滤是历史最久远的防火墙技术,从实现上分,可以分为简单包过滤和状态检测的包过滤两种。简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配置了仅允许从内到外的TC

6、P访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,1999年开始已经很少在主流产品中出现了。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,通常的表现形式是一组代理的集合。代理的原理是彻底

7、隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,但两种技术正在形成一种融合的趋势。东软的NetEye防火墙自3.0版本以来以状态检测包过滤为基础实现了一种被称之为“流过滤”的结构,其基本的原理是以状态包过滤的形态实现对应用层的保护。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。