【IT专家网独家】在防火墙领域中,思科的PIX防火墙系列产品,是其中的领头羊。他以其出色的性能与安全性,坐稳了第一把交椅。而自适应安全算法,在其中起着关键的作用。
Cisco PIX防火墙,它有一个单独的操作环境。而自适应安全算法则是这个操作环境的关键组成部分。这个算法比其他算法,如分组过滤机制,更加的安全、有效;在性能上也有突出的表现。自适应算法可以把连接到防火墙的网络段隔离开,维持周边的安全,并且可以控制这些网络段间的流量。
一、六步走完自适应算法
其实,自适应安全算法并没有想象中的那么复杂。他跟其他的算法相比,就是多了一个“状态表”。自适应安全算法就是围绕这个状态表展开的。如图,这就是自适应算法的全部过程。
第一步:内部主机发起连接的请求。
若企业内部主机要跟企业外部网络上的主机进行通信的话,则首先内部主机要发出一个连接的请求。在这个数据包中,往往会记录着一些内部主机的相关信息。如内部主机的IP地址与通信端口,目的IP地址与目的端口,TCP顺序信息等等。这些内容是保持双方通信的必要信息。
作为防火墙,就是对这些信息进行分析判断,该通过的就通过,该拒绝的就拒绝,从而来保障企业内部网络与信息的安全。
第二步:防火墙将相关信息写入到状态表中。
当企业内部主机发出的数据包到达防火墙之后,防火墙操作系统会把一些关键信息写入到一个状态表中。这些信息主要包括源IP地址与源端口、目的IP地址与目的端口、TCP顺序信息、应用一个随机生成的TCP序列号等等。
这个状态表是防火墙工作时的关键信息来源。像访问控制列表、VPN等等,都要一来这个状态表才能够正常工作。
第三步:利用安全策略进行判断。
在这一个步骤中,主要是利用在防火墙上配置的安全策略来进行判断,这个数据包是否要被转发。如果在防火墙上配置了“拒绝访问www.qq.com网站”这么一个安全策略。则当内部主机试图访问这个被禁止的网站时,防火墙就会禁止这个数据包转发,并且,这个会话对象会被删除,跟内部主机的连接也会被取消。除非,其再次发出连接的请求。
第四步:转发数据包。
若企业内部主机发出的连接请求,是企业防火墙所允许的。则防火墙就会把这个数据包转发出去。不过,为了内部主机的安全性,防火墙会进行一些保护措施,如把源IP地址进行转换。如此的话,外部主机只能够看到防火墙的地址,而不知道内部主机的具体IP地址信息。这就在一定程度上保护了内部主机的安全性。
第五步:外部主机响应。
当内部主机连接的请求被转发到外部目的主机之后,外部主机就会响应这个连接请求。当然,如果外部主机所在的网络,也部属了防火墙,则仍然需要一系列的验证。若允许这个连接的话,则最后会向企业防火墙发生一个响应信息,表示可以进行连接。
第六步:企业防火墙的后续处理。
当这个响应信息到达企业防火墙之后,自适应安全算法会把这个响应信息跟会话对象进行比较。如果响应信息与会话对象相匹配的话,目的地址就会被转换为初始地址,即内部主机的IP地址。然后这个数据包就会被转发给内部主机。如果不匹配的话,这个会话就会被删除,连接被取消。
这个步骤完成后,自适应安全算法的周期也就完成了。
