NetEye3.1用流过滤提升应用保护能力--《中国计算机报》

NetEye3.1用流过滤提升应用保护能力--《中国计算机报》
原文参见这里

(转载自 2002年4月15日《中国计算机报》（第26期，总1109期）网络与通信版

　　传统的防火墙技术对针对应用协议的攻击手段几乎没有任何的防御能力。2001年大出风头的“Red Code”和“Nimda”病毒代表了新的网络攻击技术的发展趋势。随着应用系统安全漏洞日益增多，将出现越来越多的针对应用系统安全漏洞的黑客攻击工具和结合了这些工具的病毒，几乎没有任何产品能够针对这类病毒或攻击行为提供有效的防御。应用级保护能力的缺乏明显降低了防火墙产品的效能。
??
??“流过滤”技术是在状态检测包过滤的架构上发展起来的新一代防火墙技术，以包过滤的外部形态，提供了应用级的保护能力。　　

??·包过滤+应用级的保护技术

　　流过滤技术的核心部件是专门设计的TCP协议栈，该协议栈根据TCP协议的定义对出入防火墙的数据包进行了完全的重组，并根据应用层的安全规则对组合后的数据流进行检测。因此网络通信在防火墙内部由链路层上升到了应用层。 ??

　　·三大优势

??－ 应用保护能力大大加强
　　
??包过滤位于网络的IP层或链路层，其最大缺陷是缺乏对应用级的保护，即使是状态检测技术也仅仅是根据会话的信息来决定单个数据包是否可以通过，而不能实际处理应用层协议。“流过滤”则完全重组了TCP数据流，因此它对应用级的保护能力完全可以与代理防火墙相媲美。

　　－ 对应用协议完全透明
　　
??代理防火墙的最大缺陷是必须改造网络的结构甚至应用系统，在复杂的网络环境中部署一个代理防火墙产品往往非常困难，很多时候甚至完全没有可能。
??
??流过滤的关键部件是内部的专用协议栈，它无需IP地址和端口，可以完全代替通信的一端与另一端在会话层上通信，对应用协议完全透明。用户无需改变网络结构和应用系统的结构就可实现应用层保护，甚至防火墙的运行模式改变时，应用层的保护策略也完全不需要调整。所以，部署一个具有类似防范邮件炸弹这样复杂的保护特性的流过滤产品，就像在网络上安装一个Hub那样简单。

　　－更高的带宽与并发连接数
　　
??多数代理防火墙只适于小规模应用，受操作系统平台的限制，往往只能提供不足50M的带宽和1000左右的并发访问能力。
??
??流过滤中专为防火墙进行数据流转发而设计的TCP协议栈，在数据分析过程中的拷贝次数、内存资源的开销方面都优于普通操作系统的TCP协议栈。流过滤与应用过程控制模块间的衔接不使用通常的Socket接口，而是采用了一种事件驱动的内核接口，一个内核进程可以使用很小的开销同时处理几万甚至几十万的并发连接。

??·流过滤的代言人NetEye 　?

??2001年由东软软件股份有限公司在其NetEye防火墙3.0版中首创了“流过滤”技术，在其最新发布的升级版本3.1中进行了完善、加强。NetEye3.1在流过滤基础上实现了一个可扩展的应用保护平台，该平台提供了向“流过滤”引擎注册应用保护插件的机制，使得用户在不需要完全升级版本的情况下增加更多的应用保护特性，这些保护特性将以“应用保护升级包（APP: Application Protect Package）”的形态不断地补充到产品之中。

　　应用保护是对各种应用服务的保护，必须针对各种应用协议，寻找安全漏洞、提取安全控制要素。“流过滤”引擎使得以透明的方式在应用层分析和控制任何一种应用协议成为可能，而3.1版本中的可加载的应用保护升级包则提供了一种增加或改进应用保护特性的更方便和直接的方式。 流过滤技术兼顾了应用保护、部署的容易、性能可靠等多方面的因素，必将成为新一代防火墙的最重要的技术特征。