2009年11月18日星期三
有关spi防火墙
from baidu baike:
SPI(Stateful Packet Inspection) 全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态,只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。
只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
在Linux系统下估计是Netfilter/Iptables实现的。
SPI防火墙是在外网的数据包进入内网之前先对其进行检查的一种技术。它在默认情况下拒绝所有来自外网的请求,并且通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有对内网请求回复的连接并符合安全要求的数据包才能通过防火墙进入内网。相比NAT防火墙, SPI防火墙的安全性更高。
几个要点
1、只有与一个已知连接状态匹配的数据包才允许通过防火墙。
2、单纯的包过滤没有状态的概念,容易导致欺骗攻击和其他破坏方式。
3、举例:ftp协议在PASV传输模式中,服务器端需要在大于1024的任意可用端口上开启连接。如果对于stateless防火墙,一个发往被保护网络4970端口的数据包无法被认为合法的,所以会被丢弃,状态包检测防火墙由于维护了所有通信的状态,它会将新的网络连接请求与已有的合法连接相匹配,从而做出正确的选择。
4、连接建立的时候最消耗cpu计算资源。
5、状态包检测防火墙依赖于tcp连接三次握手的建立。已经建立tcp连接,outgoing的包都可以通过防火墙,属于established连接的包才允许进入防火墙。
6、防火墙对保存的连接状态会进行超时删除,所以有些应用会定期向发送keepalive数据包,防火墙经过配置也可为应用发这些包。
7、由于状态包检测防火墙只需匹配连接状态,而无需匹配防火墙规则集,所以状态包检测防火墙一定程度上可以提高防火墙的性能。
8、当防火墙规则集升级的时候会带来新的开销,因为此时状态表会被清空。
9、dpi与spi没关系,可以将dpi看作应用层防火墙。
10、应用层防火墙可为透明或非透明代理。
11、Windows等操作系统与spi防火墙存在不兼容现象。
SPI(Stateful Packet Inspection) 全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态,只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。
只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
实现方法
在Linux系统下估计是Netfilter/Iptables实现的。 与NAT防火墙的区别
NAT防火墙虽然和SPI防火墙同为防火墙,但它们的实现途径不尽相同。NAT防火墙是一种常用的网络安全工具,它建立专用网,网内的计算机可以主动跟外网建立连接、收发数据,但来自外网的连接通常会被阻止。NAT防火墙隐藏了内网上的计算机,保护它们免受外网的入侵和未授权访问,提高了安全性。SPI防火墙是在外网的数据包进入内网之前先对其进行检查的一种技术。它在默认情况下拒绝所有来自外网的请求,并且通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有对内网请求回复的连接并符合安全要求的数据包才能通过防火墙进入内网。相比NAT防火墙, SPI防火墙的安全性更高。
几个要点
1、只有与一个已知连接状态匹配的数据包才允许通过防火墙。
2、单纯的包过滤没有状态的概念,容易导致欺骗攻击和其他破坏方式。
3、举例:ftp协议在PASV传输模式中,服务器端需要在大于1024的任意可用端口上开启连接。如果对于stateless防火墙,一个发往被保护网络4970端口的数据包无法被认为合法的,所以会被丢弃,状态包检测防火墙由于维护了所有通信的状态,它会将新的网络连接请求与已有的合法连接相匹配,从而做出正确的选择。
4、连接建立的时候最消耗cpu计算资源。
5、状态包检测防火墙依赖于tcp连接三次握手的建立。已经建立tcp连接,outgoing的包都可以通过防火墙,属于established连接的包才允许进入防火墙。
6、防火墙对保存的连接状态会进行超时删除,所以有些应用会定期向发送keepalive数据包,防火墙经过配置也可为应用发这些包。
7、由于状态包检测防火墙只需匹配连接状态,而无需匹配防火墙规则集,所以状态包检测防火墙一定程度上可以提高防火墙的性能。
8、当防火墙规则集升级的时候会带来新的开销,因为此时状态表会被清空。
9、dpi与spi没关系,可以将dpi看作应用层防火墙。
10、应用层防火墙可为透明或非透明代理。
11、Windows等操作系统与spi防火墙存在不兼容现象。
标签: spi firewall
// 发贴者:放牛娃的春天 @ 十一月 18, 2009 
订阅 博文 [Atom]