6.6 在应用层网关使用状态检查来监视RFID数据流
6.6.1 概述
状态检查是Check Point Software公司在1993年提出的,被称为动态信息包过滤防火墙技术,它首先在同一年的Check Point公司的第一代防火墙产品中得到了实现。动态信息包过滤是两种现有的更容易执行和更高效率的防火墙之间的折衷做法。让我们首先了解一下这种防火墙技术,然后我们会更详细地介绍状态检查工作。
6.6.2 应用层网关
第二种防火墙技术被称为是应用层网关技术。这种技术比信息包过滤更加先进,因为它检查的对象是整个信息包,而且它通过基础的指定规则决定应该做什么(例如,通过一个应用层网关,如果一个远程登陆的信息包通过标准文件传输协议(FTP)端口发送,防火墙可以检验这种活动的有效性,而且如果防火墙规则定义它是不可接受的远程登陆信息,则防火墙就可以对其进行拦截)。
应用层网关技术中一个最大的好处是其应用层是可知的。因为它能够确定的来自数据包的信息比信息包过滤要多,它能够用更复杂的规则去定义任何接收的信息包的合法性。因此,它提供比信息包过滤更好的安全性。
虽然应用层网关背后的技术比信息包过滤技术更先进,但也存在一定的缺点。因为每个信息包是完全分散的,而且通过一系列复杂的规则来进行检验,应用层网关技术比信息包过滤要慢很多。另外,它所采用的一系列限制性应用规则是预先定义的,而且任何不包含在清单中的应用程序需要用户自行定义规则并载入防火墙。最后,应用层网关实际在OSI模式的应用层处理信息包。这样,应用层网关必须从上到下重新建立信息包并把它发回出去。这样就打破了客户/服务器的观念,同时也使防火墙速度更慢。
应用层网关技术的工作原理如图6-12所示。
如上所述,进行状态检查是两种现存的技术的折衷做法。它克服了简单信息过滤和应用层网关的缺点,而且增加了防火墙提供的安全性。状态检查技术支持在不打破客户/服务器架构的情况下通过分解并重组信息。此外,因为信息包是已知的,它比应用层网关速度要快很多,从而导致应用层网关和申请——通信——状态获取是可知的,因而,它也比信息包过滤防火墙更为安全。
状态检查的最主要特征是监视应用程序和通信状态。这意味着防火墙知道指定的程序通信请求并可以预先计算出对于任何给定的通信段来讲,其预期输出是什么。这些信息储存在动态更新的状态表中,任何没有被明确允许的通信请求都会被这个表中所定义的规则所拒绝。这满足了防火墙遵守动态规则的需求,这样,防火墙在需要时候可以及时开启或关闭通信端口。因为通信端口会在请求的处理完成后自动关闭,此外,一些特殊的端口也会及时关闭,这样就为系统提供了另外一层安全保护。
