防火墙产品技术要求0926
信息安全技术 防火墙安全技术要求和测试评价方法
信息安全技术防火墙安全技术要求和测试评价方法
在当今数字化时代,信息安全问题变得越来越重要。
防火墙是保护网络安全的重要设备之一。
本文将介绍防火墙的安全技术要求和测试评价方法。
首先,防火墙应该具备以下安全技术要求:
1. 访问控制:防火墙应该能够对进出网络的流量进行访问控制,可以通过IP地址、端口号、协议等方式进行限制和过滤。
2. 支持加密:防火墙应该支持加密协议,如SSL/TLS等,以保护数据的机密性和完整性。
3. 检测和防范攻击:防火墙应该能够检测和防范各种网络攻击,如拒绝服务攻击、恶意软件攻击等。
4. 日志记录:防火墙应该能够记录网络活动日志,以便审计和安全事件调查。
5. 远程管理:防火墙应该支持安全的远程管理,以方便管理员进行管理和配置。
其次,防火墙的测试评价方法包括以下几个方面:
1. 性能测试:测试防火墙的吞吐量、延迟、带宽等性能指标。
2. 安全性能测试:测试防火墙的访问控制、加密、攻击检测和日志记录等安全性能指标。
3. 兼容性测试:测试防火墙与其他网络设备和应用程序的兼容性,以确保其可以无缝集成在现有网络环境中。
4. 可用性测试:测试防火墙的可用性、可靠性和稳定性,以确
保其能够稳定运行并保护网络安全。
总之,防火墙的安全技术要求和测试评价方法是网络安全领域中非常重要的部分。
通过加强防火墙的安全性能和测试评价,可以更有效地保护网络安全,提高网络安全的保障能力。
硬件防火墙技术参数及要求
采用基于流引擎的病毒扫描机制;支持对HTTP、FTP、SMTP、POP3、IMAP协议的应用进行病毒扫描和过滤;支持防恶意网站功能,防止用户点击恶意链接并访问恶意网站;对携带病毒的邮件以及HTTP协议进行信息替换,提醒用户该数据流携带病毒已经被阻断。
带宽管理
支持基于用户、IP地址和应用的保证带宽、最大带宽、优先级控制的带宽管理。
采用同厂家的专用集中管理硬件平台进行统一管理。
统计
要求支持基于IP地址、基于应用的流量统计功能,包括短时间周期和长时间周期;要求支持基于IP地址的会话统计和基于应用协议的会话统计或者自定义统计审计,包括短时间周期和长时间周期(提供官方界面截图,招标时投标单位提供)
建议具备资质要求
中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》(必备)
策略管理
支持对防火墙策略命中次数的统计功能(提供官方界面截图,招பைடு நூலகம்时投标单位提供)
网络地址转换能力
具有完善的地址转换能力,可以支持正向、反向地址/端口转换、双向地址转换等,能够提供完整的地址转换解决方案。
身份认证方式
防火墙系统要支持多种身份认证技术,至少包括Radius/LDAP/本地认证等;支持与AD域控服务器认证后实现IP+MAC+用户的三重绑定
网络吞吐量
不少于2Gbps
并发连接数
不少于100万
每秒最大新建连接数
不少于3万
IPS吞吐量
不少于450Mbps
AV吞吐量
不少于250Mbps
IPSec VPN吞吐量
不少于1Gbps
灵活的接入方式
防火墙系统可以提供对复杂环境的接入支持,包括路由、透明、混合三种接入模式。
防火墙技术参数及相关要求的有关说明(精)
安全操作系统
采用自主研发的安全操作系统,要求TOS一主一备双系统,主操作系统出现异常或由于升级失败而不能正常引导系统的情况下,可以手工选择使用备份操作系统。
安全集中管理
支持多种安全管理方式,同时支持WEB、GUI、SSH等多种安全管理,并且支持远程集中安全管理。
模块化设计
防火墙系统硬件、软件系统为模块化设计,可以提供VPN模块、防病毒模块等,能够按照用户的要求,选择适当的模块,灵活配置,以适应要求。
服务器负载均衡
支持服务器负载均衡,提供轮询、加权轮叫、最少连接、加权最少链接等多种负载均衡方式供用户选择
管理软件
防火墙管理
提供防火墙集中管理软件。
日志审计管理
提供专门的防火墙日志审计系统管理软件。
二、供货周期十五天,交货地点为陕西科技大学咸阳校区;
三、由厂家负责本项目所含设备的安装调试;并提供网络相关设备的系统集成和软件升级;
防火墙技术参数及相关要求的有关说明
一、产品技术参数:
指标
指标项
技术规格要求
千兆防火墙性能
网络吞吐量
2.5Gbps
最大并发连接数不少Βιβλιοθήκη 200万每秒最大建立连接数
不少于8万
MTBF
不少于60000小时
端口数量和扩展能力
4个10/100/1000BASE-T端口;6个千兆SFP插槽;2个10/100BASE-T端口;最多可支持12个端口
四、产品培训课程1名。
防火墙技术要求
防火墙技术要求一、设备清单二、参数要求三、项目实施要求3.1.项目实施周期要求中标方需在合同签订后2个月内,完成设备采购、安装调试,并且配合完成所有应用系统的联调测试。
3.2.项目实施工作要求3.2.1.供货中标人须在不迟于合同签订后的10个工作日内完成所有招标设备到指定地点的供货。
投标人应确保其技术建议以及所提供的软硬件设备的完整性、实用性,保证全部系统及时投入正常运行。
若出现因投标人提供的软硬件设备不满足要求、不合理,或者其所提供的技术支持和服务不全面,而导致系统无法实现或不能完全实现的状况,投标人负全部责任。
3.2.2.安装调试中标单位必须提供安装、配线以及软硬件的测试和调整,实施过程由专业的系统集成人员进行安装、检测和排除故障。
3.2.3.验收设备到货后,用户单位与中标单位共同配合有关部门对所有设备进行开箱检查,出现损坏、数量不全或产品不对等问题时,由中标单位负责解决。
根据标书要求对本次所有采购设备的型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)进行验收。
设备安装完成,由中标单位制定测试方案并经用户确认后,对产品的性能和配置进行测试检查,并形成测试报告。
测试过程中出现设备产品性能指标或功能上不符合标书要求时,用户有拒收的权利。
3.2.4.特别工具中标单位必须提供用于系统安装与配置的介质(光盘、磁盘或其他)。
如果必须提供特殊工具来维护硬件和软件,投标人必须列出特殊工具的清单、价格、名称和数量,但不包括在总价格中。
3.2.5.文档要求验收完成后,中标单位必须如数提供完整的系统软硬件安装、操作、使用、测试、控制和维护手册。
手册必须包括下列内容:系统和操作手册必须包括(但不局限于):系统安装与配置手册系统维护,包括:诊断手册、故障排除指南。
用户手册包括(但不局限):系统竣工文档用户使用手册等3.3.培训要求中标方应提供包括相应主机存储、网络安全等设备的培训,包括技术培训和操作培训。
信息安全技术 防火墙技术要求和测试评价方法
信息安全技术防火墙技术要求和测试评价方法随着信息安全威胁的不断增加,防火墙技术作为一种重要的网络安全设备,扮演着越来越重要的角色。
防火墙技术的质量和性能对于保障网络安全至关重要,因此需要具备一定的技术要求和测试评价方法。
防火墙技术要求包括:
1. 安全性要求:防火墙需要具备保护网络免受外部攻击和内部非法访问的能力。
2. 可靠性要求:防火墙需要具备稳定的运行性能和高可用性,以确保网络的连续性。
3. 灵活性要求:防火墙需要具备可扩展性和可定制化的能力,以满足不同用户的需求。
4. 性能要求:防火墙需要具备高性能的处理能力,以满足高流量和高并发的网络环境。
防火墙技术测试评价方法包括:
1. 安全测试:对防火墙的防御能力进行测试,包括漏洞测试、攻击测试和安全策略测试等。
2. 性能测试:对防火墙的吞吐量、响应时间、并发能力等性能指标进行测试。
3. 可靠性测试:对防火墙的稳定性和可靠性进行测试,包括重启测试、负载测试和异常情况测试等。
4. 适配性测试:对防火墙的适配性进行测试,包括对不同网络
环境和网络设备的适配性测试。
总之,防火墙技术是信息安全领域中的重要组成部分,其技术要求和测试评价方法需要不断提升和完善,以保障网络安全。
应用防火墙技术要求
应用防火墙技术要求一、设备清单二、参数要求所有打“★”为必须满足技术条件,如无法满足则视为非实质性响应。
三、项目实施要求3.1.项目实施周期要求中标方需在合同签订后2个月内,完成设备采购、安装调试,并且配合完成所有应用系统的联调测试。
3.2.项目实施工作要求3.2.1.供货中标人须在不迟于合同签订后的30个工作日内完成所有招标设备到指定地点的供货。
投标人应确保其技术建议以及所提供的软硬件设备的完整性、实用性,保证全部系统及时投入正常运行。
若出现因投标人提供的软硬件设备不满足要求、不合理,或者其所提供的技术支持和服务不全面,而导致系统无法实现或不能完全实现的状况,投标人负全部责任。
3.2.2.安装调试中标单位必须提供安装、配线以及软硬件的测试和调整,实施过程由专业的系统集成人员进行安装、检测和排除故障。
3.2.3.验收设备到货后,用户单位与中标单位共同配合有关部门对所有设备进行开箱检查,出现损坏、数量不全或产品不对等问题时,由中标单位负责解决。
根据标书要求对本次所有采购设备的型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)进行验收。
设备安装完成,由中标单位制定测试方案并经用户确认后,对产品的性能和配置进行测试检查,并形成测试报告。
测试过程中出现设备产品性能指标或功能上不符合标书要求时,用户有拒收的权利。
3.2.4.特别工具中标单位必须提供用于系统安装与配置的介质(光盘、磁盘或其他)。
如果必须提供特殊工具来维护硬件和软件,投标人必须列出特殊工具的清单、价格、名称和数量,但不包括在总价格中。
3.2.5.文档要求验收完成后,中标单位必须如数提供完整的系统软硬件安装、操作、使用、测试、控制和维护手册。
手册必须包括下列内容:系统和操作手册必须包括(但不局限于):系统安装与配置手册系统维护,包括:诊断手册、故障排除指南。
用户手册包括(但不局限):系统竣工文档用户使用手册等3.3.培训要求中标方应提供包括相应主机存储、网络安全等设备的培训,包括技术培训和操作培训。
1、防火墙参数需求
★中标人在中标后7个工作日内需提供样机测试,并进行所承诺的所有功能测试,提供测试报告,如经测试发现与标书要求或投标单位有意拖延测试,则视为欺诈行为,招标人将不授予合同,投标单位将承担一切后果与责任
2、核心交换机参数需求:
支持并配置IEEE 802.3ad(链路聚合)和跨板链路聚合功能
IPv4协议
支持并配置RIP、OSPF V2、IS-IS和BGP协议功能,组播协议必须支持IGMP V1/V2/V3 Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP,支持并配置等价路由功能
支持策略路由、支持路由策略
QoS
支持802.1p和DSCP优先级分类;支持SP、WRR队列调度机制;每端支持优先级队列≥8个;
设备管理维护
支持命令行接口(CLI),Telnet,Console口进行配置;支持SNMPv1/v2/v3,WEB网管;支持中文图形界面网管
认证和资质
提供信息产业部入网证,且能在信产部网站查询。入网证上申请单位与生产企业必须为同一厂商,以保证该产品非OEM产品;
具有初装向导,支持策略复制、搜索、分组、命中查询等便捷功能;
(要求提供界面截图)
支持界面上保存不少于五个配置文件、指定启动使用的配置文件、配置文件的备份与恢复(要求提供界面截图)
支持通过设备面板的HA指示灯查看HA状态
必须具备静态环比报表功能,可以基于日、月进行流量/攻击防护/URL访问/应用阻断等的环比统计分析,对一个周期的管理策略提供依据。(投标时必须提供环比报表截图)
至少具备8个QoS优先级,通过服务质量策略(特别是优先权规则和算法)为关键业务和特定应用预留带宽;支持Ingress/Egress CAR,粒度可达8Kbps提供广播风暴抑制功能;支持VLAN聚合CAR,MAC聚合CAR功能
防火墙参数要求
★2.产品应采用业界领先的入侵检测技术,拥有入侵检测方法的相关专会话维持1.支持基于协议、端口、策略的会话维持功能网络适应性6. 支持冗余心跳线机制7•支持VRRP 和STP 协议8.支持链路状态检测的双机热备★1.支持基于路由转发的接入方式★2.支持基于透明网桥的接入方式3. 支持路由转发和透明网桥转发两种模式同时具备的混合接入方式4.支持VLANTRUNK日志扌报表★安全审计3.求支持记录任何试图穿越或到达防火墙的违反安全策略的访问请1.支持网络负载均衡到多台服务器负载均衡2.支持集群工作模式的负载均衡1.支持IPSEC协议支持标准IPSec、SSL、GRE、PPTP、L2TP等VPN2.支持建立"防火墙至防火墙”和"防火墙至客户端”两种形式的VPN3.支持基于预共享密钥和X.509数字证书等方式的VPN用户访问认证4.加密算法和验证算法符合国家密码管理的有关规定1、支持IPv6静态路由2、支持IPv6包过滤3、支持IPv6环境下的网络应用IPv64、支持双栈功能5、支持IPv4和IPv6地址的转换功能6、支持IPv6隧道技术1.支持记录来自外部网络的被安全策略允许的访问请求2.支持记录来自内部网络和DMZ的被安全策略允许的访问请求4.支持记录防火墙的管理行为管理要求管理要求5.审计记录内容完整6•支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控7.支持日志的管理8.提供日志管理工具9.支持记录对防火墙系统的自身操作。
10.支持记录在防火墙管理端口的认证请求11.支持对日志事件和防火墙所采取的相应技术措施的描述12.支持日志记录存储和备份的安全13.支持日志管理工具管理日志14.支持日志的统计分析和报表生成15.支持日志集中管理16.支持日志存储耗尽处理机制★1.支持对授权管理员的口令鉴别方式★2.支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽★3.支持本地和远程管理★4.支持通过USB导出关键信息时可选择信息列表,日志可按照模块存储在USB设备中,并可设定定时自动导出5.支持设置和修改安全管理相关的数据参数★6.支持按功能模块的配置导入导出功能★7.可提供专用的集中管理系统,实现对安全网关接入用户认证的集中 管理,至少可同时管理1000台防火墙抗渗透 恶意代码防御 1.支持恶意代码防御功能 产口口安1.支撑系统不提供多余的网络服务 支撑系统安全性 非正常关机 1.防火墙应对非正常关机做出正确处理 资质要求 8.支持管理审计日志 ★9.支持管理员权限划分 1.抵抗各种典型的拒绝服务攻击,如SYNFLOOD ,UDPFLOOD , ICMPFLOOD ,IP 碎片包攻击,源IP 地址欺骗攻击2.支撑系统不含任何高、中风险安全漏洞 ★设备原厂商应具备安全服务二级资质和应急响应一级资质,同时需为微软MAPP 成员;★产品具有中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》,且认证等级为三级★产品具有中国国家信息安全认证中心颁发的《中国国家信息安全产品认证证书》,且认证等级为 三级★产品具有中国国家信息安全测评认证中心颁发的《信息技术产品安全测评证书EAL3+级别》★产品具有全球IPv6测试中心颁发的《IPv6Ready 》金牌认证证书(IPv6Phase2认证)★产品具有中国国家保密局测评中心颁发的《涉密信息系统产品检测证书》★产品具有国家版权局颁发的《计算机软件著作权登记证书》★中国信息安全测评中心颁发的信息安全产品自主原创证明。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国移动防火墙产品技术要求(讨论稿)中国移动通信集团公司研发中心2002 年 9 月目录1、防火墙产品综述 (3)1.2、产品体系结构分析 (4)1.2.1、总体类别分析 (4)1.2.2、基于工作机制的体系结构分析 (4)1.2.3、基于硬件实现的体系结构分析 (7)1.2.4、比较分析与相关结论 (8)2、防火墙产品功能需求 (9)2.1、设备物理特性 (9)2.2、基本网络级功能 (9)2.2.1、链路层(Layer2)功能 (9)2.2.2、网络层(Layer3)功能 (10)2.3、基本管理工具与界面 (10)2.4、网络地址转换(NETWORK ADDRESS TRANSLATION) (11)2.5、日志和报告功能 (11)2.6、内容安全功能 (12)2.7、认证功能 (12)2.8、服务类型支持能力 (12)2.9、对DOS/DDOS攻击的防御功能 (15)2.10、系统高可靠性(HA)实现 (15)2.11、与其它安全系统集成与联动功能 (15)2.12、带宽管理功能 (16)3、防火墙产品性能需求 (16)3.1、吞吐量(Throughput) (16)3.2、丢包率(Frame Lose Rate) (16)3.3、时延(Latency) (16)3.4、连接/会话指标 (16)3.4.1、并发连接数(Concurrent Session Number) (16)3.4.2、连接建立速度(New Session Rate) (17)3.5、缓存能力(Back to Back) (17)3.6、有效通过率(GoodPUT) (17)1、防火墙产品综述防火墙是目前最为流行也是使用最为广泛的一种网络安全技术。
在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。
防火墙是一个系统,主要用来执行两个网络之间的访问控制策略。
它可为各类企业网络提供必要的访问控制,但又不造成网络的瓶颈,并通过安全策略控制进出系统的数据,保护企业的关键资源。
在构建安全网络环境的过程中,防火墙作为第一道安全防线,正受到越来越多用户的关注。
通常一个公司在购买网络安全设备时,总是把防火墙放在首位。
目前,防火墙已经成为世界上用得最多的网络安全产品之一。
防火墙是一种综合性的技术,涉及到计算机网络技术。
密码技术、安全技术、软件技术、安全协议、网络标准化组织(ISO)的安全规范以及安全操作系统等多方面。
防火墙并不是真正的墙,它是一类防范措施的总称,是一种有效的网络安全模型,是机构总体安全策略的一部分。
它阻挡的是对内、对外的非法访问和不安全数据的传递。
在因特网上,通过它隔离风险区域(即Internet或有一定风险的网络)与安全区域(内部网)的连接,能够增强内部网络的安全性。
防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器、一个限制器、也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙保护着内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志,如通信发生的时间和进行的操作等等。
新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输。
通常应用防火墙的目的有以下几方面:过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警。
1.2、产品体系结构分析1.2.1、总体类别分析防火墙产品体系结构的类别划分可以从两个不同的角度来进行:•从工作机制角度从防火墙产品的工作机制角度,其体系结构主要可以分为三类:包过滤型防火墙、应用代理型防火墙和状态检测型防火墙。
•从产品硬件实现角度从防火墙产品的硬件实现角度,其体系结构主要可以分为三类:基于通用服务器平台、基于ASIC技术的专用硬件平台、分布式基于交换加速技术的硬件平台下面,分别对两种不同类别划分标准及相关类别的技术框架进行分析。
1.2.2、基于工作机制的体系结构分析一、包过滤型防火墙包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。
通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。
包过滤型防火墙的工作原理如下图所示:图1、包过滤型防火墙工作原理分组过滤或包过滤,是一种通用、廉价、有效的安全手段。
包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。
但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。
二、应用代理型防火墙代理防火墙也叫应用层网关(Application Gateway)防火墙。
这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程。
从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。
这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。
它的核心技术就是代理服务器技术。
所谓代理服务器,是指代表客户处理在服务器连接请求的程序。
当代理服务器得到一个客户的连接意图时,它们将核实客户请求,并经过特定的安全化的Proxy应用程序处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并做进一步处理后,将答复交给发出请求的最终客户。
代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。
应用代理型防火墙的工作原理如下图所示:图2、应用代理型防火墙工作原理应用代理型防火墙的最大缺点就是速度相对比较慢,当用户对内外网络网关的吞吐量要求比较高时,(比如要求达到75-100Mbps时)代理防火墙就会成为内外网络之间的瓶颈。
所幸的是,目前用户接入Internet的速度一般都远低于这个数字。
在现实环境中,要考虑使用包过滤类型防火墙来满足速度要求的情况,大部分是高速网(ATM或千兆位以太网等)之间的防火墙。
三、状态检测型防火墙状态检测(Stateful Inspection)技术是防火墙近几年才应用的新技术。
传统的包过滤防火墙只是通过检测IP包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。
这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。
状态检测型防火墙的工作原理如下图所示:动态图3、状态检测型防火墙工作原理先进的状态检测防火墙读取、分析和利用了全面的网络通信信息和状态,包括:•通信信息:即所有7层协议的当前信息。
防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。
防火墙先在低协议层上检查数据包是否满足企业的安全策略,对于满足的数据包,再从更高协议层上进行分析。
它验证数据的源地址、目的地址和端口号、协议类型、应用信息等多层的标志,因此具有更全面的安全性。
•通信状态:即以前的通信信息。
举例来讲,对于简单的包过滤防火墙,如果要允许FTP通过,就必须作出让步而打开许多端口,这样就降低了安全性。
状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息,例如FTP请求的服务器地址和端口、客户端地址和为满足此次FTP临时打开的端口,然后,防火墙根据该表内容对返回受保护网络的数据包进行分析判断,这样,只有响应受保护网络请求的数据包才被放行。
这里,对于UDP或者RPC等无连接的协议,检测模块可创建虚会话信息用来进行跟踪。
•应用状态:即其他相关应用的信息。
状态检测模块能够理解并学习各种协议和应用,以支持各种最新的应用,它比代理服务器支持的协议和应用要多得多;并且,它能从应用程序中收集状态信息存入状态表中,以供其他应用或协议做检测策略。
例如,已经通过防火墙认证的用户可以通过防火墙访问其他授权的服务。
•操作信息:即在数据包中能执行逻辑或数学运算的信息。
状态监测技术,采用强大的面向对象的方法,基于通信信息、通信状态、应用状态等多方面因素,利用灵活的表达式形式,结合安全规则、应用识别知识、状态关联信息以及通信数据,构造更复杂的、更灵活的、满足用户特定安全要求的策略规则。
1.2.3、基于硬件实现的体系结构分析防火墙产品从硬件实现角度也可以大体分为三类不同的体系结构,依次经历了以下不同阶段的技术演进:在第一代防火墙中,需要在工作站或服务器上运行的专用操作系统中部署防火墙软件。
这种完全基于通用服务器的防火墙解决方案存在一定的问题,如操作系统的安全性漏洞及低劣的性能都要求进行演进。
第2代防火墙基于ASIC芯片技术,在性能上较之第1代防火墙有明显提升,克服了基于服务器的防火墙解决方案的一些缺点。
后来,越来越多的以Web交换机为负载平衡器实现扩展防火墙工具成了主要的防火墙解决方案。
然而,即使使用防火墙负载平衡功能,这种第2代体系结构在扩展到一定性能级别以上时也会变得无法管理;同时,第2代防火墙在安全功能的支持程度上往往较第1代防火墙差。
现在,第3代交换防火墙体系结构继承了第2代防火墙的简便性,同时增加了可扩展性、可管理性和交换性能--从而可以满足高性能IT数据中心的主要要求。
第3代防火墙突破性的基于硬件交换原理的加速结构将带来一种防火墙工作模式的变化,这种变化正如第3层交换功能刚推出时一样。
第3层交换为LAN路由带来了高性能,同样,交换防火墙也将同样提高外围安全性性能。
同时,为最大限度地提高系统性能,第3代防火墙往往采用分布式处理的体系结构;另外,第3代防火墙系统集成了负载分担的特性,充分保证了系统的未来扩展性;最后,为克服第2代防火墙在功能性上的不足,第3代防火墙往往与强大的防火墙软件系统进行全面的整合。
1.2.4、比较分析与相关结论根据上面对各个防火墙类别的分析与归纳总结,可以得出以下相关的类别特性对照表。