防火墙技术解析与配置指南
1. 有状态检查(Stateful Inspection)
有状态包过滤的第二种类型是Check Point技术在其Firewall - 1和VPN - 1产品中使用的有状态检查。这种技术将通用的TCP状态跟踪和一定程度的应用层智能相结合。
当Check Point防火墙检查HTTP事务的数据包时,它不仅查看IP头和TCP握手信息,还会检查数据有效负载,以验证事务发起者确实是在尝试合法的HTTP会话,而非对TCP 80端口进行某种拒绝服务攻击。
Check Point的应用层智能依赖于内置在其各种服务过滤器中的INSPECT代码(Check Point专有的数据包检查语言)。对于TCP服务,特别是像FTP、Telnet和HTTP这样常见的服务,背后有相当复杂的INSPECT代码。而像NTP和RTTP这样的UDP服务,其INSPECT代码则相对较少。此外,向防火墙添加自定义服务的Check Point用户通常不会添加任何INSPECT代码,而是严格通过端口号来定义新服务。
Check Point技术有点像包过滤和应用层代理的混合体。不过,由于它处理不同服务的复杂程度差异明显,其整体强度可能更接近“通用”的有状态包过滤器,而非更好的代理防火墙(即应用网关防火墙)。
下面是有状态包过滤的相关信息表格:
| 信息类型 | 详情 |
| — | — |
| IP头 | 源和目的IP地址 |
| TCP头 | 源和目的端口 |
| 其他头信息 | 忽略 |
| 数据 | 忽略 |
示例源IP端口和目的IP端口及状态:
| 源IP端口 |
