防火墙技术之--(ASPF)1
2009-08-22 19:06:52
标签:
防火墙状态ASPF技术
应用状态防火墙技术介绍
前面讲到了包过滤防火墙的一些细节东西,大家可以发现我一直强调包过滤的核心在于ACL,ACL起源于防火墙的需要,但是应用远远不止于防火墙。ACL需要提前定义分类数据包,然后跟packetfiltering进行接口绑定然后对流经接口的数据包进行ACL匹配,如果匹配便根据firewall定义的permit还是deny对数据包进行允许还是拒绝(丢弃)处理,如果不匹配ACL那么就将数据包丢给全局防火墙默认策略处理,对于默认策略各家厂商定义不同,也可以自定义.
那么从包过滤技术的分析中大家可以看到,包过滤是静态的,静态的原因在于提前需要定义ACL及策略,而且包过滤关注协议的IP层,也就是三层以下.这样来说她的处理就显的简单而单一.熟悉网络技术的人都知道,其实我们的业务应用更加复杂,除了复杂的协议状态机转换,许多的协议都是多通道的,这样来说这些状态及应用层信息一般来说都非静态的,会根据报文的交互进行状态机转换.所以包过滤将显的心有余而力不足.在这样的需求下基于应用状态的防火墙技术(ASPF)诞生了.
那么ASPF采用什么样的方式来处理数据包呢?首先ASPF所关心的对象已经发生变化,不再是IP包头,不再是单纯的五元组信息,而是关心技术IP层的连接的数据流信息,当然这个数据流信息包括如TCP的三次握手建连接,四次握手终结连接的状态机FSM变化,还包括应用层如FTP协议的控制与数据通道的建立及解除等等.那么在这个过程中有这样几个问题需要注意:
1)ASPF关注数据流,那么如何识别一条数据流?
ASPF的处理一般是基于session(会话)的,所有属于同一会话的所有数据包都被堪称一条流并统一对待.那么会话是一个什么的东西呢?会话一般包括如下这样信息:
协议状态(老化时间)源IP(源端口)-->目的IP(目的端口)目的IP(目的端口)<--源IP(源端口)
如上所示一条会话是有如上七元组来标示的,如果一个数据包可以匹配会话的话就称为同一数据流.
2)如何确定一应用性连接的正确性?
所谓的状态防火墙就是对协议的状态进行动态监控,如果状态转化不符合协议定义,那么这样的报文将被DROP掉.只有那些完全匹配符合协议状态机的报文将会呗正确投递到相应的模块进行处理.那么如何来上面就详细的表述了TCP的FSM状态机转换及触发条件,会话会维护每种支持协议的状态机,ASPF会依赖会话管理模块进行状态动态监控以实现动态防火墙处理.还有一点需要注意的是,不同的系统可能对如UDP,ICMP这样的无状态的协议的定义是不同的,处理上也有一些差异,在这里不再详细讲述,轻关注会话管理详细讲解.3)如何检测应用层内容的合法性(如Javaapplets)?ASPF还可以对应用层的报文的内容加以检测,如Java blocking等,对不信任站点的java阻断功能,当然这方面的ASPF检测是有限的,对于应用层数据的合法性的检测更多的依赖WEB过滤技术进行.Java Blocking是对通过HTTP协议传输的Java Applets程序进行阻断。当配臵了Java Blocking后,用户为试图在Web页面中获取包含Java Applets程序而发送的请求指令将会被阻断。
4)如何保证传输层(应用层)数据通道的正确建立?
传输层协议检测一般指通用的TCP/UDP检测,与应用层数据不同,传输层协议检测主要关注传输层数据(插口地址).对于ASPF要求返回aspf外部接口的报文要跟出ASPF接口报文完全匹配,也就是说五元组要完全匹配。否则返回的数据报文将被丢弃处理。
至此介绍了一些ASPF实现需要的一些概念,准备,那么下面将详细的介绍ASPF的细节.
(未完待续,尽请关注防火墙技术之--状态防火墙2)
防火墙技术之--状态防火墙ASPF(2)
2009-08-22 21:07:11
标签:
防火墙状态ASPF技术
应用状态防火墙功能介绍
前面介绍了ASPF的基本原理,跟踪协议状态机以实现对应用层状态的动态监控,所以状态防火墙被称为动态防火墙。动态就在于状态机是动态变化的,这样的处理使得对数据的过滤更加周全,更加深入。本文想细致区分状态防火墙的功能,以期能更深入的了解状态防火墙技术。
综合来说ASPF可以具有如下几个方面的功能:
支持应用层协议检测,包括:
FTP,HTTP,SMTP,RSTP,H323,SIP等
支持通用TCP、UDP通道检测
支持会话状态动态管理
支持IP分片报文检测
支持端口到应用的映射(PAM)
支持Java阻塞
支持会话xx与调试跟踪
下面将逐个对这些功能进行分析:
1.应用层协议检测
a.SMTP(简单邮件传输协议):
ASPF检测基于TCP/IP传输的SMTP应用,包括对SMTP协议状态机转换的检测,错误的状态报文将被阻塞或丢弃.
b.HTTP检测:
HTTP是超文本传输协议,ASPF检测基于TCP/IP传输的HTTP应用,HTTP是无状态的协议因此ASPF检测应用协议的状态完全等同于通用TCP检测.对于HTTP协议,ASPF提供的对来自制定网段或主机的HTTP传输的Javaapplets的检测和过滤.
c.FTP检测:
ASPF检测基于TCP/IP的FTP应用,包括对FTP控制通道的状态机进行检测,错误的状态转换报文将被阻塞丢弃.支持对PASV和PORT两种方式的数据通道协商的检测,并根据协商参数动态创建数据通道的会话状态表和临时访问控制列表.d.RSTP检测:
RSTP实时流传输协议.ASPF检测基于TCP/IP传输的RSTP应用.包括对RSTP控制通道重媒体传输通道(基于UDP的RTP/RTCP)参数协商的检测,并动态创建媒体通道的会话状态表和临时访问控制列表.
e.H323检测:
H323是ITU-U制定的分组网络的多媒体传输协议.ASPF检测基于TCP/IP传输的H323应用,包括对Q931呼叫信令的检测,用于检测和维护动态创建H245媒体控制通道,ASPF检测基于H245媒体控制通道重媒体传输通道(基于UDP的RTP/RTCP)参数协商的检测,并动态创建媒体通道的状态表和临时访问控制列表.
2.通用的TCP/UDP协议检测
ASPF检测TCP会话的发起和结束的状态转换过程,包括会话发起的3次握手和关闭的4次握手,根据这些状态来创建.更新和删除会话状态表和临时访问控制表.当检测到第一个临时访问控制和允许表项,以允许该会话所有的相关的报文能通过防火墙,而且它非相关报文则呗阻塞和丢弃,TCP检测是其他基于TCP应用层协议的基础.UDP协议没有连接和状态的概念.当ASPF检测到UDP会话发起的第一个数据包时,ASPF开始维护这些会话相关的状态,并创建一个TACL(临时访问控制列表)允许表项,ASPF以为发起方收到的第一个接受方回送的UDP数据流的时候,此会话建立其他的与此回话无关的报文则被阻塞和丢弃,UDP检测是其他基于UDP的应用层协议检测的基础。
3.会话状态动态管理
ASPF支持通过配臵会话超时时间实现会话状态信息的管理。用户可以通过对TCP的SYN等状态等待超时老化时间进行配臵管理,达到根据会话时间对会话状态进行管理的目的。此外,在应用层协议检测中提到,对于存在状态机转换的应用层协议,ASPF也支持根据FSM的正确性与否管理会话状态信息的目的。ASPF可以实现会话状态的自动创建与删除。
4.IP分片报文检测
如果IP报文内容大于接口MTU的大小,数据包将会被分片,形成多个更小的IP包,在所有分片后的IP数据包中只有第一个分片包含了完整的IP包信息,其他分片只有IP地址信息。ASPF检测根据TCP的分片标识把收到的报文区分为非分片和分片首片及非首片报文三类报文。
ASPF记录所有被分片报文的状态信息以提供对分片报文正常检测和过滤的支持,对于首片报文,ASPF根据报文的IP层信息及IP层以外的信息创建会话状态表与TACL表,当所有后续分片到达时,ASPF使用保存的会话信息和TACL中的每一匹配条件进行精确匹配。
5.端口到应用的映射(PAM)
应用层协议使用通用的端口进行通信,PAM允许用户对不同应用定义一组新的端口号,用于应用使用非通用端口时的情况,如应用在81号端口提供
http,就可以用PAM指定,从而知道81端口是http数据。6.Java阻塞功能
由于恶意的applets对用户计算机资源造成破坏,用户需要限制未经用户允许的Javaapplets下载至用户网络中,Javablocking功能便可以实现对来自不可信任站点的applets的过滤。
而实现上是采用ACL定义站点的信任与否,当检测到报文是不可信任的站点的applets时采取丢弃操作。
(未完待续--请关注防火墙之--状态防火墙(3))
防火墙技术之---状态防火墙ASPF
(3)
2009-08-23 09:41:09
标签:
防火墙ASPF状态技术
状态防火墙ASPF工作原理一般来说跟其他安全业务一样,ASPF也是基于会话管理模块的,我们知道会话session是动态的,所以ASPF也是动态的,有状态跟踪的,另外ASPF的精髓还在于出报文打开一个安全的通道,返回报文在这个安全的通道中传输,而维护这个安全通道的依然是访问控制列表ACL,当然这儿的ACL称为临时访问控制列表TACL,之所以称为临时,因为它是动态的用过即删,首报文动态创建TACL,然后返回报文检查是否匹配TACL,如果完全匹配责放行,如果不匹配责丢弃。说来说去,大家也许可以看到之所以称状态防火墙ASPF是动态防火墙,原因在于两点:1.ASPF是以session为基础的,session 的动态性决定了ASPF的动态性。
2.ASPF需要创建TACL打开报文返回的安全通道,TACL是动态创建和删除的,所以注定ASPF是动态的。
理解了以上两点,那么你也就从心里开始接受ASPF了,因为这是ASPF的精华核心。下面介绍一下ASPF维护的两个表:
a 会话状态表
前面也讲到了会话表项是一个七元组:
协议状态(老化时间)源IP(源端口)--目的IP(目的端口)目的IP(目的端口)--源IP(源端口)(用于返回报文匹配)
可以看出一条会话其实就可以理解为一个TCP连接(当然不一定是TCP会话),会话状态表维护了一个会话中某一个时刻会话所处的状态,用于匹配后续的发送报文,并检测会话状态的转换是否是正确的。
session table是在检测到第一个报文时创建的,随着不同的状态触发条件会进入到不同的状态中并维护。ASPF于包过滤的最大区别就在于ASPF考虑到会话的上下文,不仅包括当前的会话状态,还记录了本次会话之前的通信信息,具有更好的灵活性与安全性,这也是ASPF动态过滤的关键。b 临时访问控制列表TACL
虽然被称为TACL,但是它独立于ACL,更确切的说是利用了ACL访问控制的思想,是动态的,非静态配臵指定的。TACL在创建session table时创建,会话结束后自动删除,依赖于session的,从功能上说它相当于一个扩展的ACL的permit项,用于匹配一个会话中所有应答报文。
下面以FTP为例来说明一下ASPF多通道应用层协议检测的过程:
如上图所示假设FTP client向FTP server的21号端口发起FTP控制通道的连接,通过协商由服务器端的21端口想客户端的20号端口发起数据通道的连接,数据传输超时或结束连接删除。
FTP检测在FTP连接建立到关闭的过程中的处理如下:
1.检查从出接口向外发送的IP报文,确认为基于TCP的IP报文
2.检查端口号确认连接为控制连接,建立返回报文的TACL和session table
3.检查FTP控制连接报文,解析FTP指令,根据指令更新状态表,如果包含数据通道建立指令,则创建数据连接的临时访问控制列表,对数据连接不进行状态处理。
4.对于返回报文,根据协议类型做相应的匹配检查,检查将根据ingredients 的协议的状态表和TACL决定报文是否允许通过。
5.FTP连接删除时,会话状态表及TACL随之删除。
以上介绍了ASPF是如何处理多通道协议的应用协议检查的。对于像SMTP.HTTP等单通道协议的检测过程就相对较为简单,当发起连接时建立会话状态表和TACL,连接删除是系统自动删除。
而对于传输层协议TCP/UDP检测,跟应用层协议检测不同,传输层协议检测只是简单的五元组信息检查,要求返回报文必须完全跟原报文sip,sport,dip,dport和proto一致才可以放行,否则直接丢弃。
上面介绍就是ASPF的工作原理。
防火墙的功能 防火墙是网络安全的屏障: 一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略: 通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上,而集中在防火墙一身上。 对网络存取和访问进行监控审计: 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄: 通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger,DNS等服务。Finger显示了主机的所有用户的注册名、真名,最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度,这个系统是否有用户正在连线上网,这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息,这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
一、选择题 1、下列哪些是防火墙的重要行为?(AB ) A、准许 B、限制 C、日志记录 D、问候访问者 2、最简单的防火墙结构是( A ) A、路由器 B、代理服务器 C、日志工具 D、包过滤器 3、绝大多数WEB站点的请求使用哪个TCP端口?(C ) A、21 B、25 C、80 D、1028 三、选择题 1.常用的加密算法包括(ABCD ) A.DES B.3DES C.RSA D.AES E.MD5 F.MAC 2.常用的散列算法有(EF ) A.DES B.3DES C.RSA D.AES E.MD5 F.MAC 一、选择题 1.传统上,公司的多个机构之间进行数据通信有众多不同的方式,主要有(ABCD) A.帧中继线路 B.ATM线路 C.DDN线路 D.PSTN 2.IPSec的应用方式有(ABCD) A.端对端安全 B.远程访问 C.VPNs D.多提供商VPNs 3. IPSec 可以使用两种模式,分别是(AB) A.Transport mode B. Tunnel mode C. Main mode D. Aggressive mode
4.在IPSec中,使用IKE建立通道时,使用的端口号是(B)A.TCP 500 B.UDP 500 C.TCP 50 D. UDP 50 5.在IKE阶段1的协商中,可以有两种模式。当两个对端都有静态的IP地址时,采用(C)协商;当一端实动态分配的IP地址时候,采用(D)协商. A.Transport mode B. Tunnel mode C. Main mode D. Aggressive mode 一、填空题 1.密码学从其发展来看,分为传统密码学和计算机密码学两大阶段。 2.密码学做为数学的一个分支,包括密码编码学和密码分析学。 3.计算机密码学包括对称密钥密码体制和公开密钥密码体制。 4.常用的加密算法包括:DES,3DES,AES;常用的散列算法有MD5,MA C 一、填空题 1.目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。 2.基于PC架构的防火墙上运行一些经过裁剪和简化的操作系统,最常用的有UNIX、Linux和FreeBSD系统。 3.芯片级防火墙的核心部分是ASIC芯片。 4.目前市场上常见的防火墙架构有X86,ASIC,NP。
智能变压器状态监测系统技术方案 一、智能变压器状态监测系统 智能变压器作为智能变电站的核心组成部分,其建设获得了越来越多的关注。根据现行的标准,智能变电站是指采用先进、可靠、集成、低碳、环保的智能设备,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,自动完成信息采集、测量、控制、保护、计量和监测等基本功能,并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能,实现与相邻变电站互动的变电站。智能变压器在线监测系统是保证变压器正常工作并预估设备的损耗以建立合理的检修计划,智能变压器在线监测系统是实现智能变电站的基础设备之一。 变压器是电力系统中重要的也是昂贵的关键设备,它承担着电压变换,电能分配和转移的重任,变压器的正常运行是电力系统安全、可靠地经济运行和供用电的重要保证,因此,必须最大限度地防止和减少变压嚣故障或事故的发生。但由于变压器在长期运行中,故障和事故是不可能完全避免的。引发变压器故障和事故的原因繁多,如外部的破坏和影响,不可抗拒的自然灾害,安装、检修、维护中存在的问题和制造过程中留下的设备缺陷等事故隐患,特别是电力变压器长期运行后造成的绝缘老化、材质劣化等等,已成为故障发生的主要因素。同时,客观上存在的部分工作人员素质不高、技术水平不够或违章作业等,也会造成变压器损坏而造成事故或导致事故的扩大,从而危及电力系统的安全运行。 正因为变压器故障的不可完全避免,对故障的正确诊断和及早预测,就具有更迫切的实用性和重要性。但是,变压器的故障诊断是个非常复杂的问题,许多因素如变压器容量、电压等级、绝缘性能、工作环境、运行历史甚至不同厂家的产品等等均会对诊断结果产生影响。 智能变压器状态监测系统构架如图1-1所示:
关于各类防火墙的介绍 信息安全,历来都是计算机应用中的重点话题。在计算机网络日益扩展与普及的今天,计算机信息安全的要求更高了,涉及面也更广了。 计算机信息安全主要研究的是计算机病毒的防治和系统的安全。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。 在防治网络病毒方面,主要防范在下载可执行软件如:*.exe ,*.zip,等文件时,病毒的潜伏与复制传播。 对于系统本身安全性,主要考虑服务器自身稳定性、健壮性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要商业应用,必须加上防火墙和数据加密技术加以保护。 在数据加密方面,更重要的是不断提高和改进数据加密技术,使心怀叵测的人在网络中难有可乘之机。 计算机信息安全是个很大的研究范畴,本文主要讨论保障网络信息安全时,作为防火墙的用户如何来评测自身的业务需求,如何来通过产品的对比选型,选择合适自己的防火墙产品。 众所周知,我们目前保护计算机系统信息安全的主要手段,就是部署和应用防火墙。可是,我们在使用防火墙时会遇到许多问题,最具代表性的为以下三个:其一,防火墙是用硬件防火墙呢,还是用软件防火墙?这个对于许多人都是难以确定的。硬、软件防火墙,各有各的优势,可是谁的优势大一些,作为普通用户,很难深入了解。 其二,防火墙如何选型?防火墙产品的种类如此之多,而各防火墙厂商的技术水平参差不齐,到底选谁的?要知道,若是选错了产品,投资回报低是小事,如果系统因此而受到攻击,导致重要信息泄密或受损,则用户的损失就大了。 其三,若是选定了某种软件防火墙,它和用户目前的操作系统的兼容性如何,有没有集成的优势?这也是防火墙用户常问的问题。 下面列举一些防火墙的主流产品,从其各自的特点、功能、处理性能及操作复杂程度等方面进行比较,并将实际使用中遇到的一些问题提出来,供大家借鉴。
防火墙的高级检测技术IDS 更多防火墙相关文章:防火墙应用专区 多年来,企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全。但是情况在迅速改变,那些传统的单点防御安全设备面临新型攻击已难以胜任。为了检测出最新的攻击,安全设备必须提高检测技术。本文着重介绍针对未知的威胁和有害流量的检测与防护,在防火墙中多个前沿的检测技术组合在一起,提供启发式扫描和异常检测,增强防病毒、反垃圾邮件和其它相关的功能。 新一代攻击的特点 1、混合型攻击使用多种技术的混合-—如病毒、蠕虫、木马和后门攻击,往往通过Email 和被感染的网站发出,并很快的传递到下一代攻击或攻击的变种,使得对于已知或未知的攻击难以被阻挡。这种混合型攻击的例子有Nimda、CodeRed和Bugbear等。 2、现在针对新漏洞的攻击产生速度比以前要快得多。防止各种被称之为“零小时”(zero-hour)或“零日”(zero-day)的新的未知的威胁变得尤其重要。 3、带有社会工程陷阱元素的攻击,包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加。攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们。 图1 Gartner发布的漏洞与补丁时间表 传统的安全方法正在失效 如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。但是它们面对新一代的安全威胁却作用越来越小。状态检测防火墙是通过跟踪会话的发起和状态来工作的。状态检测防火墙通过检查数据包头,分析和监视网络层(L3)和协议层(L4),基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略。这些方法包括: (1)利用端口扫描器的探测可以发现防火墙开放的端口。 (2)攻击和探测程序可以通过防火墙开放的端口穿越防火墙。 (3)PC上感染的木马程序可以从防火墙的可信任网络发起攻击。由于会话的发起方来自于内部,所有来自于不可信任网络的相关流量都会被防火墙放过。当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等,它们产生非授权访问或将私密信息发送给攻击者。 较老式的防火墙对每一个数据包进行检查,但不具备检查包负载的能力。病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过。 当攻击者将攻击负载拆分到多个分段的数据包里,并将它们打乱顺序发出时,较新的深度包检测防火墙往往也会被愚弄。 对深度检测的需求 现今为了成功的保护企业网络,安全防御必须部署在网络的各个层面,并采用更新的检测和防护机制。用于增强现有安全防御的一些新型安全策略包括: 设计较小的安全区域来保护关键系统。 增加基于网络的安全平台,以提供在线(“in-line”)检测和防御。 采用统一威胁管理(Unified Threat Management,简称UTM),提供更好的管理、攻击关联,降低维护成本。 研究有效的安全策略,并培训用户。 增加基于网络的安全 基于网络的安全设备能够部署在现有的安全体系中来提高检测率,并在有害流量进入公
状态监测技术国内外研究现状调查报告
目录 1 检修的定义与检修体制的发展历程 (1) 2 状态监测国内外研究现状 (2) 2.1状态检修业务流程 (2) 2.2状态监测技术的分类与发展 (3) 2.2.1变压器在线监测技术 (3) 2.2.2电容型设备在线监测技术 (5) 2.2.3金属氧化物避雷器在线监测技术 (6) 2.2.4断路器和GIS设备在线监测技术 (6) 2.2.5交联聚乙烯电缆在线监测技术 (7) 2.2.6输电线路在线监测技术 (7) 2.2.7带电检测技术 (7) 2.3在线监测及带电检测技术在中国的应用现状 (8) 3 状态监测技术存在的问题 (8) 参考文献 (10) 附录A (12)
1 检修的定义与检修体制的发展历程 正常运行的设备可能会发生故障,要求对设备进行检修,日本工业标准JIS 对检修做了如下定义:“所谓检修,是指把产品保持在使用及运用状态以及为排除故障和缺陷所进行的一切处置及活动”。有效的检修应该能够降低设备故障的频率,减小设备故障的影响,延长设备使用寿命,对于电网企业来说,输变电设备的有效检修还可以提高供电可靠性,保证良好的供电质量,减少停电造成的经济损失,提升企业的社会影响与形象。因此,确保经济、合理、有效的设备检修方式对电网企业的发展意义深远。 工业发展从手工作坊到机械化和电气化,各个时期的设备管理与检修方式有很大的变化,一般来说可以概括为四个阶段,各阶段特点见表A-1。第一次产业革命时期对设备实行事后维修,运行人员兼做维修工作。第二次产业革命时期开始实行预防性计划检修,检修从生产中分离出来,形成相对独立的专业工作,产生了检修人员,有了专业性检修队伍。第三次产业革命时期推行考虑经济目标的检修,开始应用设备寿命周期费用概念进行设备管理。第四次产业革命时期正逐渐实施以设备状态监测和故障诊断为基础的状态检修,即基于设备状态的检修。从该表可以清楚地看到,设备检修体制是随着生产力的发展、科学技术的进步而不断演变的。它在很大程度上反映出生产力发展水平和技术管理水平的高低。在检修体制演变的过程中,根据不同的行业特点、不同的设备管理要求,出现了各种追求不同具体目标的检修方式。 事后维修(Corrective Maintenance)是当设备发生故障或其它失效时进行的非计划性维修。在现代管理设备要求下,事后维修仅用于对生产影响极小的非重点设备、有冗余配置的设备或采用其它检修方式不经济的设备。这种检修方式又称为故障维修。 预防性计划检修(Preventive Maintenance)是一种以时间为基础的预防检修方式,也称计划检修。它是根据设备磨损的统计规律或经验,事先确定检修类别、检修周期、设备检修内容、检修备件及材料等的检修方式。定期检修适合于已知设备磨损规律的设备,以及难以随时停机进行检修的流程工业、自动生产线设备。 状态检修(Condition Based Maintenance)是从预防性检修发展而来的更高层次的检修体制,是一种以设备状态为基础、以预测设备状态发展趋势为依据的检修方式。它根据设备的巡检、例行试验、在线监测、诊断性试验等方式提供的信息、经过分析处理,判断设备的健康和性能劣化状况及其发展趋势,并在设备故障发生前及性能降低到不允许极限前有计划地安排检修。 根据以上的定义可以看出,状态检修与事故检修均着眼于设备故障发生的时
深信服下一代防火墙高校数据中心差异优势 支持对不同部门的业务流量进行实时流量分析,发现存在的漏洞威胁,并对发现漏洞次数最多的服务器进行排名,分析攻击类型,详情以及建议方案。 背景:对于高校用户来说,目前事先发现自身业务漏洞的方式只能借助漏洞扫描设备,而漏扫设备存在两个不足,一是扫描时发出的攻击包可能影响正常业务开展;二是扫描都是阶段性、分批次的,无法实时监控所有业务系统的动态漏洞信息;一旦出现0day,响应还是不够及时;同时由于托管了很多二级学院及部门系统,需要分别分析分别处理,因此需要针对每个系统/部门生成单独的报表,包括系统存在哪些漏洞、外部如何攻击他的,哪些攻击真正有效等。 价值:深信服可以提供一种更加高效的解决方案,通过对业务流的全流量分析,能够提供被动式[不主动发包,不影响业务]的7*24小时业务漏洞检测手段,帮助用户更好的对可能存在对风险进行预警。
支持异常流量检测功能,能够区分正常业务流量和潜藏在其中的危险流量。能够有效识别RDP(3389)、SSH (22)、FTP(20,21)、DNS(53)、HTTP(80)、HTTS(443)、SMTP(25)、POP3(110)等常见应用,常用
端口中的未知应用,可疑流量,能区分出占用这些正常应用的合法端口的危险行为。 背景:目标对象被黑客控制后,会在后端被开放一些端口进行数据的通信,而为了绕过安全设备的检测,黑客往往会采用一些知名端口来进行数据通信,所以如何能够识别知名端口是否跑了未知应用,已知应用跑在非标准端口就成了事后防护的主要检测手段; 价值:可检测知名端口是否跑了未知流量,已知应用是否运行在非标准端口,提供异常流量检测预警。 支持ASP,JSP,PHP语言编写的Webshell文件上传检测,支持对已被上传Webshell服务器的检测(单独检测工具)。 背景:Webshell 是黑客进行Web入侵常用的脚本工具,通常情况下是一个ASP、PHP或者JSP程序页面,也叫作网站后门木马,在入侵一个网站后,常常将这些木马放置在服务器WEB目录中,与正常网页混在一起。通过Webshell长期操纵和控制受害者网站; 价值:深信服可针对Webshell文件上传提供事前和事后全面的解决方案,内置独立的语义解析引擎结合常见Webshell后门特征规则,使得深信服的Webshell后门识别率达到99%以上。针对疑似被植入Webshell后门的服务器,深信服也具备事后检测工具,一键解决安全隐患。
1)设备状态监测的概念 对运转中的设备整体或其零部件的技术状态进行检查鉴定,以判断其运转是否正常,有无异常与劣化征兆,或对异常情况进行追踪,预测其劣化趋势,确定其劣化及磨损程度等,这种活动就称为状态监测(Condition Monitoring)。状态检测的目的在于掌握设备发生故障之前的异常征兆与劣化信息,以便事前采取针对性措施控制和防止故障地发生,从而减少故障停机时间与停机损失,降低维修费用和提高设备有效利用率。 对于在使用状态下的设备进行不停机或在线监测,能够确切掌握设备的实际特性有助于判定需要修复或更换的零部件和元器件,充分利用设备和零件的潜力,避免过剩维修,节约维修费用,减少停机损失。特别是对自动线、程式、流水式生产线或复杂的关键设备来说,意义更为突出。 (2)设备状态监测与定期检查的区别 设备的定期检查是针对实施预防维修的生产设备在一定时期内所进行的较为全面的一般性检查,间隔时间较长(多在半年以上),检查方法多靠主观感觉与经验,目的在于保持设备的规定性能和正常运转。而状态监测是以关键的重要的设备(如生产联动线、精密、大型、稀有设备,动力设备等)为主要对象,检测范围较定期检查小,要使用专门的检测仪器针对事先确定的监测点进行间断或连续的监测检查,目的在于定量地掌握设备的异常征兆和劣化的动态参数,判断设备的技术状态及损伤部位和原因,以决定相应的维修措施。 设备状态监测是设备诊断技术的具体实施,是一种掌握设备动态特性的检查技术。它包括了各种主要的非破坏性检查技术,如振动理论,噪音控制,振动监测,应力监测,腐蚀监测,泄漏监测,温度监测,磨粒测试(铁谱技术),光谱分析及其他各种物理监测技术等。 设备状态监测是实施设备状态维修(Condition Based Maintenance)的基础,状态维修根据设备检查与状态监测结果,确定设备的维修方式。所以,实行设备状态监测与状态维修的优点有:①减少因机械故障引起的灾害;②增加设备运转时间;③减少维修时间;④提高生产效率;⑤提高产品和服务质量。 设备技术状态是否正常,有无异常征兆或故障出现,可根据监测所取得的设备动态参数(温度、振动、应力等)与缺陷状况,与标准状态进行对照加以鉴别。表5-9列出了判断设备状态的一般标准。 表5-9 判断设备状态的一般标准
防火墙分析及校园网防火墙选择 主流防火墙分析报告 一.防火墙产品类型发展趋势 防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。 (一.)包过滤防火墙 传统的包过滤对包的检测是工作在网络层,它只是通过逐个检查单个包的地址,协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置,因此尽管包过滤的安全性低,许多厂家仍然不放弃包过滤类型,而且对包过滤进行了大量的功能扩展,如添加代理功能,用户认证,对话层的状态检测等以提高包过滤的安全性能,以求做到保证速度和安全性兼得。 (二.)应用代理防火墙 应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出,首先它对网络性能影响很大,其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力,另一方面也逐步向透明代
理过渡以方便用户的使用。 (三.)混合型防火墙(Hybrid) 由于希望防火墙在功能和处理上能进行融合,保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合,可以做到用户无需知道给他提供服务的到底是用了那些技术,而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。 (四.)全状态检测防火墙(Full State Inspection) 这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙,据Checkpoint关于firewall-1的技术文档介绍,该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块(Inspection Model),该模块可以分析所有的包通信层,并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心,位于链路层和网络层之间,因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序,如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如RealAudio,VDOLive。 (五.)自适应代理防火墙 这是Network Associate公司提出的号称新一代防火墙——“自适应代理防火墙“。在自适应防火墙中,在每个连接通信的开始仍然需
防火墙的主要类型 按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。 1.包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表(又叫规则表),规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上,在进行路由选择的同时完成数据包的选择与过滤,也可以由一台单独的计算机来完成数据包的过滤。 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用,网络性能和通明度好,广泛地用于Cisco 和Sonic System等公司的路由器上。缺点是配置困难,容易出现漏洞,而且为特定服务开放的端口存在着潜在的危险。 例如:“天网个人防火墙”就属于包过滤类型防火墙,根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理,有效地提高了计算机的抗攻击能力。
2、应用代理防火墙 应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段,使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用;缺点是执行速度慢,操作系统容易遭到攻击。 代理服务在实际应用中比较普遍,如学校校园网的代理服务器一端接入Internet,另一端介入内部网,在代理服务器上安装一个实现代理服务的软件,如WinGate Pro、Microsoft Proxy Server等,就能起到防火墙的作用。 3、状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查,一旦发现任何连接的参数有意外变化,该连接就被终止。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性,能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。
摘要 随着计算机网络的发展,上网的人数不断地增大,网上的资源也不断地增加,网络的开放性、共享性、互连程度也随着扩大,所以网络的安全问题也是现在注重考虑的问题。本文介绍网络安全可行的解决方案——防火墙技术,防火墙技术是近年来发展起来的一种保护计算机网络安全的技术性措施,它实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问, 也可以使用它阻止保密信息从受保护网络上被非法输出。 关键词:防火墙网络安全外部网络内部网络
防火墙技术 1、什么是防火墙 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。 2、防火墙的类型和各个类型的特点及原理 防火墙的类型有个人防火墙、网络层防火墙、应用层防火墙。 2.1、个人防火墙 个人防火墙是防止您电脑中的信息被外部侵袭的一项技术,在您的系统中监控、阻止任何未经授权允许的数据进入或发出到互联网及其他网络系统。个人防火墙产品如著名Symantec公司的诺顿、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能帮助您对系统进行监控及管理,防止特洛伊木马、spy-ware 等病毒程序通过网络进入您的电脑或在您未知情况下向外部扩散。这些软件都能够独立运行于整个系统中或针对对个别程序、项目,所以在使用时十分方便及实用。 2.2、网络层防火墙 网络层防火墙可视为一种 IP 封包过滤器,运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
防火墙测试方案 一、引言 防火墙是实现网络安全体系的重要设备,其目的是要在内部、外部两个网络之间建立
一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。 随着网上黑客活动的日益猖獗,越来越多的上网企业开始重视网络安全问题。特别是近两三年来,以防火墙为核心的安全产品需求市场迅速成长起来,瞬间出现了众多提供防火墙产品的厂家,光国内就有几十家。各种防火墙品种充斥市场,良莠不齐,有软件的防火墙,硬件的防火墙,也有软硬一体化的防火墙;有面向个人的防火墙,面向小企业的低档防火墙,也有中高档的防火墙,技术实现上有包过滤的防火墙、应用代理的防火墙,也有状态检测的防火墙。由于防火墙实现方式灵活,种类多,而且往往要与复杂的网络环境整合在一起使用,因此,对防火墙进行测试评估是选购防火墙产品的一个重要环节。 评估测试防火墙是一个十分复杂的工作。一般说来,防火墙的安全和性能是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。但是安全和性能之间似乎常常构成一对矛盾。在防火墙技术的发展方面,业界一直在致力于为用户提供安全性和性能都高的防火墙产品。沿着这一方向,防火墙产品经历了以软件实现为主的代理型防火墙,以硬件实现为主的包过滤防火墙,以及兼有包过滤型防火墙的高速性特点和代理性防火墙高安全性特点的状态检测防火墙。另外,为了使灵活多变,难以掌握的防火墙安全技术能更有效地被广大用户使用,直观易用的界面和详尽明晰的报表审计能力被越来越多的防火墙产品采用,同时,防火墙产品在与网络应用环境整合的过程中也在不断地集成和加入新的网络功能。因此,当前必须从安全性、性能、可管理性和辅助功能等方面综合进行评测,才能客观反映一个防火墙产品的素质。 测试的背景和目的 在防火墙产品市场上,产品一般分为高、中、低三档。考虑到,高档防火墙普遍是各公司最新或计划推出的产品,证券作为大型的安全产品使用者,使用的防火墙产品以中、高档为主,为了便于横向比较各公司的产品,在本次测试中将统一以中档防火墙产品作为测评的对象。 为了较全面地评估各公司的防火墙产品,本次防火墙产品的测试分成以下几个部分:功能测试、安全防范能力测试、性能测试和设备可靠性测试。 参考资料 GB/T 18020-1999信息技术应用级防火墙安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 FWPD:Firewall Product Certification Criteria Version 3.0a 测试项目 一.测试项目 包过滤,NA T,地址绑定,本地访问控制,多播,TRUNK,代理路由,内容过滤,报警,审计实时监控,攻击,双机热备,性能。 二.测试环境简略拓扑图
购买指引: 防火墙特性与优点说明 1.天网防火墙工作组型: 天网防火墙工作组级防火墙,是适合中小型企业上网用的防火墙,适用于用户数量规模不大的网络环境(大约有十几到几十台内部工作站)。它包括了基本的防火墙系统,具体功能特性如下: ●自行开发的优良的防火墙内核 在系统设计时参考了NetBSD、OpenBSD、Linux、FreeBSD等系统的体系结构,吸取以上的系统的优点进行系统网络核心的优化处理,同时还针对CPU的计算核心进行了优化处理。能支持到大量的并发连接和高性能的IP Packet处理,我们以纯汇编编写这部分的程序,并充分使用CPU的能力,使程序效率平均提高20%,在某些情况下可以提高60%。 ●基于状态检测的包过滤功能 天网防火墙在核心部分实现了基于状态检测的包过滤功能,通过建立连接状态表的方式,提高安全控制表项的轮询速度,从而提高了包过滤系统的性能和安全性。 ●具有包过滤功能的虚拟网桥功能,可以支持IPTV等多点广播的网络服务,并且可以网 桥与路由混合的工作模式进行工作,方便灵活天网防火墙系统还支持桥接功能,可以实现局域网之间基于数据链路层的连接,满足IPTV等基于多点广播的多媒体应用,而且对于某些已定型的网络结构,可以在不改变网络拓扑的情况下加入防火墙,实现包过滤等应用。 ●具有国际首创的DOS防御网关技术,能有效的防止各种类型的DOS攻击 Internet上DOS攻击暴虐一时,由于可以通过使用一些公开的软件进行攻击,它的发动较为简单,同时要防止这种攻击又非常困难。DoS全称是Denial of Service,中文意思是拒绝服务攻击。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。"拒绝服务"的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器无法动弹,瘫痪在地。 天网防火墙系统针对各种DOS攻击做出了防御措施。在信息到达网站服务器之前拦截信息,系统可以根据设置智能化地对访问信息进行检查,从而阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国内同类产品尚无同样功能。 ●具有TCP标志位检测功能 在大多数的防火墙里,都缺少对连接是从哪方主动发起进行判断的选项,这将导致一个潜在的安全隐患是攻击者可能可以从一个外部主机的某个常用服务端口连入内部主机的高端口。例如,如果允许内部主机访问外部主机的telnet服务,这个方向连接的所有包应该是必须包含ACK位的,也就是说,不是主动发起的连接。但通常的防火墙的包过滤功能里并
<<浅谈防火墙的包过滤技术>>一文通俗地讲解了防火墙中最基础的包过滤技术部分,防火墙发展到今天,虽然不断有新的技术产生,但从网络协议分层的角度,仍然可以归为以下三类: 1.包过滤防火墙; 2.基于状态检测技术(Stateful-inspection)的防火墙; 3.应用层防火墙。 这三类防火墙都是向前兼容的,即基于状态检测的防火墙也有一般包过滤防火墙的功能,而基于应用层的防火墙也包括前两种防火墙的功能。由于<<浅>>文已讲了第一类防火墙,在这里我就讲讲基于状态检测技术的防火墙的实现原理。 为什么会有基于状态检测的防火墙呢?这就要先看看第一类普通包过滤防火墙的主要缺点,比如我们要允许内网用户访问公网的WEB服务,来看看第一类普通包过滤防火墙是怎样处理的呢?那首先我们应该建立一条类似图1所示的规则: 图1 但这就行了吗?显然是不行的,因为这只是允许我向外请求WEB服务,但WEB服务响应我的数据包怎么进来呢?所以还必须建立一条允许相应响应数据包进入的规则。好,就按上面的规则加吧,在动作栏中我们填允许,由于现在数据包是从外进来,所以源地址应该是所有外部的,这里不做限制,在源端口填80,目标地址也不限定,这个这个目标端口怎么填呢?因为当我访问网站时本地端口是临时分配的,也就是说这个端口是不定的,只要是1023以上的端口都有可能,所以没有办法,那只有把这些所有端口都开放了,于是在目标端口填上1024-65535,这样规则就如图2所示了,实际上这也是某些第一类防火墙所采用的方法。 图2 想一想这是多么危险,因为入站的高端口全开放了,而很多危险的服务也是使用的高端口啊,比如微软的终端服务/远程桌面监听的端口就是3389,当然对这种固定的端口还好说,把进站的3389封了就行,但对于同样使用高端口但却是动态分配端口的RPC服务就没那么容易处理了,因为是动态的,你不便封住某个特定的RPC服务。 上面说了这是某些普通包过滤防火墙所采用的方法,为了防止这种开放高端口的风险,于是一些防火墙又根据TCP连接中的ACK位值来决定数据包进出,
防火墙的类型概念以及主要优缺点 2008年10月27日星期一下午03:22 什么是防火墙 对于企业的网络而言,未加特别安全保护而放臵在internet上,危险性是显而易见的。随着决策层对安全认识的逐步加强,防火墙,作为一种应用非常广泛,技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多,这就给使用者选择和应用防火墙带来了一定的误解和困难。那么什么是防火墙,主要的防火墙之间如何区别呢? 对于防火墙的概念,我们可以这样理解:防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性。 那么如何理解种类众多的防火墙呢,下面来做个介绍。 防火墙的类型 如果我们从OSI分层模式来考察及分类防火墙,会比较容易的把握住防火墙的脉络,个人认为,目前主要的防火墙可以分为三类,它们分别是:包过滤防火墙、基于状态的包过滤防火墙、应用代理(网关)防火墙,而由这三类防火墙可以推导和演绎出其它可能的变化。 下面我们来逐一说明。 包过滤防火墙 首先,我们要提到的是最基本的报文过滤的防火墙,这个层次的防火墙通常工作在OSI的三层及三层以下,由此我们可以看出,可控的内容主要包括报文的源地址、报文的目标地址、服务类型,以及第二层数据链路层可控的MAC地址等。除此以外,随着包过滤防火墙的发展,部分OSI四层的内容也被包括进来,如报文的源端口和目的端口。 本层次最常见的实际应用的例子就是互联网上的路由设备,比如常见的cisco路由器,使用者可以通过定制访问控制列(ACL)来对路由器进出端口的数据包进行控制,如针对rfc1918的保留地址进屏蔽,在路由器上可以进行如下配臵: interface x ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 从上面这个例子可以很明显的看出,路由器这里的配臵完全是针对OSI的三层ip地址,也就是ip的包头进行过滤,至于这些IP数据包里携带的具体有什么内容,路由器完全不会去关心。
目录 摘要 ................................................................................................................................... III ABSTRACTOR ..................................................................................................................... IV 引言 ....................................................................................................................................... V 第一章防火墙技术的概论.................................................................................................... 7 1.1 防火墙的概念 .......................................................................................................... 7 1.2 防火墙的功能 .......................................................................................................... 8 1.3 防火墙的特性 .......................................................................................................... 9 1.4 防火墙技术的发展 .............................................................................................. 10第二章多层防火墙技术的研究背景................................................................................ 11 2.1 多层防火墙技术的研究背景 .............................................................................. 11 2.2 多层防火墙技术的概论 ...................................................................................... 12第三章多层防火墙系统的功能及其组成........................................................................ 14 3.1 地址转换技术 ...................................................................................................... 14 3.2 数据包过滤技术 .................................................................................................. 15 3.3 状态检测技术 ...................................................................................................... 17 3.4 电路级网关技术 .................................................................................................. 19 3.5 应用代理网关技术 .............................................................................................. 20第四章状态检测技术概论................................................................................................ 23 4.1 状态检测技术的优点 .......................................................................................... 23 4.2 状态检测技术的原理 .......................................................................................... 24 4.3 状态检测技术的工作机制 .................................................................................. 25 4.4状态检测技术的新技术 ...................................................................................... 30第五章防火墙系统的设计................................................................................................ 35 5.1 防火墙的分层技术 .............................................................................................. 35 5.2防火墙系统设计工具 .......................................................................................... 38 5.3 防火墙系统设计与实现 ...................................................................................... 40 5.3.1 系统概要设计 .............................................................................................. 40