Межсетевой экран FireWall-1, Stateful Inspection Firewall Technology Tech Note

Технология Firewall Stateful Inspection.

Техническое замечание

Требования к безопасности, обеспечиваемой Firewall

Для того, что бы надежно обеспечивать безопасность, firewall должен отслеживать и управлять всеми соединениями, проходящими через него. Для выработки окончательных решений о разрешении того или иного соединения для служб TCP/IP (то есть пропустить, запретить, аутентифицировать или зашифровать данную попытку соединения, сделать запись об этом в журнале), firewall должен уметь получать, хранить, извлекать и манипулировать информацией со всех уровней сетевой модели и из других приложений.

Не достаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из состоявшихся ранее соединений и других приложений, является основным фактором при принятии окончательного решения для текущей попытки установления соединения. В зависимости от типа проверяемого пакета, для принятия конечного решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.

Таким образом, для обеспечения наивысшего уровня безопасности, firewall должен уметь считывать, анализировать и использовать следующую информацию:

Информация о соединении – информация со всех семи уровней пакета.
Состояние соединения – состояние, полученное из предыдущих пакетов. Например, исходящая команда PORT сессии FTP могла бы быть запомнена для последующей проверки входящего соединения FTP data.
Состояние приложения – информация о состоянии, полученная из других приложений. Например, когда-либо авторизованному пользователю будет разрешен доступ через firewall только для разрешенных типов сетевых протоколов.
Действия над передаваемой информацией – выполнение различных действий в зависимости от всех вышеизложенных факторов.

Технология Stateful Inspection.

Stateful Inspection –архитектура firewall нового поколения, реализованная в Check Point FireWall-1, - удовлетворяет всем требованиям к безопасности, приведенным выше. Возможностей традиционных технологий firewall недостаточно для выполнения всех этих требований. Для более подробного анализа смотрите Таблицу 1 или “Сравнение технологий Firewall” на следующей странице.

Таблица 1. Сравнение возможностей трех основных архитектур Firewall.

Функция	Пакетные фильтры	Шлюзы уровня приложения	Stateful inspection
Информация из пакета	Частично	Частично	Да
Предыстория соединения	Нет	Частично	Да
Состояние приложения	Нет	Да	Да
Модифицирование информации	Частично	Да	Да

[Page 1] [Page 2][Page 3]