三九宝宝网宝宝百科宝宝知识

浅析自适应算法提升企业防火墙的安全途径

11月25日 编辑 39baobao.com

[浅析如何让刚入园的孩子尽快适应新环境]新生入园时,都会有一个相当长的适应期。幼儿入园不适应现象,不仅给老师带来许多麻烦,同时也使家长非常担心和忧虑,更影响了幼儿的身心健康成长。为了能缩短孩子的适应期,减轻和降...+阅读

在防火墙领域中,思科的PIX防火墙系列产品,是其中的领头羊。他以其出色的性能与安全性,坐稳了第一把交椅。而自适应安全算法,在其中起着关键的作用。

Cisco PIX防火墙,它有一个单独的操作环境。而自适应安全算法则是这个操作环境的关键组成部分。这个算法比其他算法,如分组过滤机制,更加的安全、有效;在性能上也有突出的表现。自适应算法可以把连接到防火墙的网络段隔离开,维持周边的安全,并且可以控制这些网络段间的流量。

一、六步走完自适应算法

其实,自适应安全算法并没有想象中的那么复杂。他跟其他的算法相比,就是多了一个“状态表”。自适应安全算法就是围绕这个状态表展开的。这就是自适应算法的全部过程。

第一步:内部主机发起连接的请求。

若企业内部主机要跟企业外部网络上的主机进行通信的话,则首先内部主机要发出一个连接的请求。在这个数据包中,往往会记录着一些内部主机的相关信息。如内部主机的IP地址与通信端口,目的IP地址与目的端口,TCP顺序信息等等。这些内容是保持双方通信的必要信息。

作为防火墙,就是对这些信息进行分析判断,该通过的就通过,该拒绝的就拒绝,从而来保障企业内部网络与信息的安全。

第二步:防火墙将相关信息写入到状态表中。

当企业内部主机发出的数据包到达防火墙之后,防火墙操作系统会把一些关键信息写入到一个状态表中。这些信息主要包括源IP地址与源端口、目的IP地址与目的端口、TCP顺序信息、应用一个随机生成的TCP序列号等等。

这个状态表是防火墙工作时的关键信息来源。像访问控制列表、VPN等等,都要一来这个状态表才能够正常工作。

第三步:利用安全策略进行判断。

在这一个步骤中,主要是利用在防火墙上配置的安全策略来进行判断,这个数据包是否要被转发。如果在防火墙上配置了“拒绝访问.11网站”这么一个安全策略。则当内部主机试图访问这个被禁止的网站时,防火墙就会禁止这个数据包转发,并且,这个会话对象会被删除,跟内部主机的连接也会被取消。除非,其再次发出连接的请求。

第四步:转发数据包。

若企业内部主机发出的连接请求,是企业防火墙所允许的。则防火墙就会把这个数据包转发出去。不过,为了内部主机的安全性,防火墙会进行一些保护措施,如把源IP地址进行转换。如此的话,外部主机只能够看到防火墙的地址,而不知道内部主机的具体IP地址信息。这就在一定程度上保护了内部主机的安全性。

第五步:外部主机响应。

当内部主机连接的请求被转发到外部目的主机之后,外部主机就会响应这个连接请求。当然,如果外部主机所在的网络,也部属了防火墙,则仍然需要一系列的验证。若允许这个连接的话,则最后会向企业防火墙发生一个响应信息,表示可以进行连接。

第六步:企业防火墙的后续处理。

当这个响应信息到达企业防火墙之后,自适应安全算法会把这个响应信息跟会话对象进行比较。如果响应信息与会话对象相匹配的话,目的地址就会被转换为初始地址,即内部主机的IP地址。然后这个数据包就会被转发给内部主机。如果不匹配的话,这个会话就会被删除,连接被取消。

这个步骤完成后,自适应安全算法的周期也就完成了。

二、自适应算法的优点

自适应算法的优越性是非常明显的,无论在安全性方面,还是在性能上,都有非常突出的表现。

1、通过自适应安全算法,可以防止TCP会话被拦截

在黑客攻击中,通过拦截TCP会话而获得特定资源的访问权,这是非常常见的一种手段。在防火墙的其他算法中,如分组过滤中,不能够有效的杜绝这种威胁。但是,在自适应安全算法中,则可以帮助企业网络管理员有效的消除TCP被拦截的安全威胁。

自适应安全算法被设计成一个有状态的、面向连接的安全过程。在防火墙的状条表中,会保存当前的所有会话信息。通过在状态表中应用相关的安全策略与地址转换来控制通过防火墙的所有信息。如此的话,在企业网络边界部署防火墙后,企业所有内部主机与外部网络通信都将会受到有效的管理。

自适应算法的特点就是在会话开始前会生成一个随机的TCP序列号,并将相关的信息写入到状态表中。外部主机响应后,会像企业防火墙传回一个响应信息。返回信息与状态表中的信息将进行比较。如果信息不匹配的话,则防火墙将会删除这个连接,并且,状态表中的这条信息也将会被删除。很明显,安全算法强调的是对连接的控制,而不是分组。这个特性就可以有效的杜绝黑客对TCP会话的挟持。这关闭了黑客想通过拦截TCP会话而却资源的访问权的大门。

2、配置管理更加的智能化

在PIX防火墙的各个接口上,都分配了对应的安全等级。防火墙允许流量从高安全等级接口流向低安全等级接口。考试.大提示相关人员对各个接口定义显示的规则。如企业一般情况下,不需要对内部的信息进行过多的控制。从数据安全性方面出发,主要是考虑对外部连接访问的控制,杜绝外部对内部网络的非法访问。如此的话,不需要对防火墙进行额外的配置,就可以起作用。只需要被企业内部网络接到高安全级别的接口上;而把外部网络接到低安全界别的接口中。

如此连接后,不需要配置具体的规则,内部网络向外部网络发送信息,可以畅通无阻。但是,若外部网络要访问企业内部网络资源的话(流量从低安全等级接口到高安全等级接口),则必须满足一定的条件。一是必须存在对目的地的静态转换。也就是说,网络安全人员必须在防火墙上显示的定义允许外部主机对企业内部主机的访问。二是在适当的位置必须有一个访问列表或者管道(如VPN隧道)允许这个流量通过。只有同时满足这两个条件后,外部主机访问企业内部的主机才会被允许。

当然,在有必要的时候,也可以通过访问控制列表来管理从高安全级别向低安全级别的流量。如要控制企业内部主机对外部特定网站的访问,就可以通过访问控制列表来解决。

可见,利用自适应安全算法,在安全管理上,更加的灵活;管理配置也更加的简单、智能化。

三、管理心得共享

虽然说,防火墙还提供了其他的算法,如分组过滤、贯穿式代理等等,而且他们也各有各的特点。不过还是倾向于这个自适应算法的防火墙。其部属起来相对来说比较简单,而且,也比较灵活。

不过现在能够实现这个自适应算法的防火墙产品还不是很多。企业在选择网络防火墙的时候,要根据自己的操作偏好,选择合适的防火墙产品。若你比较钟爱自适应算法的防火墙的话,则选购的时候,就一定要注意,看看防火墙是否支持这种算法。

以下为关联文档:

小居Uhouzz异乡好居浅析之奥兰多买房的投资价值奥兰多是佛罗里达州的第二大城市,全球第一的迪斯尼乐园就在奥兰多。据相关数据显示,奥兰多超过纽约成为游客接待最多的美国城市。虽然随着旅游人数的增长房价也在不断走高。...

舞在诗词间——浅析诗歌与舞蹈融合教学提高学生学习力摘要:近年来,教育界也越来越重视学科间的交叉融合。本文试以从舞蹈教学引入诵读经典的方式促进学科教育融合,浅析诗歌与舞蹈融合教学提升学生学习力的意义和路径方法。关键词:...

732例聋儿心理浅析与早期干预对策聋儿由于听力障碍,造成语言发育迟缓,他们心理发展的特点、规律有一定的特殊性。聋儿康复就是对聋儿进行早期干预,全面康复,其中对聋儿心理康复是一个不容忽视的重要课题。 本文...

房地产企业进行税收筹划的思路浅析摘要:房地产企业涉税违法的代价不断加大,税收筹划成为其在低纳税风险下降低税负的一个重要选择。本文就房地产企业如何做税收筹划提供一些思路。 关键词:房地产企业;税收筹划;思...

浅析房地产抵押中存在的风险及控制房地产开发贷款、个人住房贷款,以及其他贷款,通常将房地产作为抵押物。而房地产抵押价值如果过高,就容易造成信贷风险,如果过低,抵押物的担保作用就得不到充分发挥。《关于规范与...

防洪堤堤线布置和堤基防渗问题浅析随着工农业生产的快速发展,防洪问题对国民经济的影响及可持续发展的制约越来越突出,特别是淮河、长江两大流域相继发生特大洪水后,更是引起国家和各级政府部门的高度重视,引发了...

浅析如何完善和加强新形势下水利行业技术工人队伍建设当今,我国正处在一个经济转型的新时期,随着社会主义市场经济体制的逐步建立和完善,在促进我国经济发展和社会的进步带来勃勃生机和强大动力的同时,也给中国社会和经济、尤其是新...

幼师队伍“逆淘汰”现象浅析及对策教师被誉为“人类灵魂工程师”,教师职业被视为“太阳底下最光辉的职业”。随着社会对知识的尊重、对人才的尊重,必定带来对教育的重视、对教师的尊重。教师地位不再是“臭老九...

算理、算法比翼齐飞、有效融合—评《两、三位数除以一武进区奔牛实验小学 卢晶晶, 一、竖式计算教学与算理有效融合。算理与算法既有联系,又有区别,算理主要回答 为什么这样算 的问题,算法主要是解决 怎么算的问题 两者在计算教学...

推荐阅读
图文推荐