奇安信下一代防火墻處理流程:
一體化引擎數(shù)據(jù)包處理流程大致分為以下幾個階段:
數(shù)據(jù)包入站處理階段
入站主要完成數(shù)據(jù)包的接收及L2-L4層的數(shù)據(jù)包解析過程,并且根據(jù)解析結(jié)果決定是否需要進入
防火墻安全策略處理流程,否則該數(shù)據(jù)包就會被丟棄。在這個過程中還會判斷是否經(jīng)過VPN數(shù)據(jù)加密,如果是,則會先進行解密后再做進一步解析。
主引擎處理階段
主引擎處理大致會經(jīng)歷三個過程:
防火墻策略匹配及創(chuàng)建會話、應用識別、內(nèi)容檢測。
創(chuàng)建會話信息
當數(shù)據(jù)包進入主引擎后,首先會進行會話查找,看是否存在該數(shù)據(jù)包相關(guān)的會話。如果存在,則會依據(jù)已經(jīng)設定的
防火墻策略進行匹配和對應。否則就需要創(chuàng)建會話。具體步驟簡述為:進行轉(zhuǎn)發(fā)相關(guān)的信息查找;而后進行NAT相關(guān)的策略信息查找;最后進行
防火墻的策略查找,檢查策略是否允許。如果允許則按照之前的策略信息建立對應的會話,如果不允許則丟棄該數(shù)據(jù)包。
應用識別
數(shù)據(jù)包進行完初始的
防火墻安全策略匹配并創(chuàng)建對應會話信息后,會進行應用識別檢測和處理,如果該應用為已經(jīng)可識別的應用,則對此應用進行識別和標記并直接進入下一個處理流程。如果該應用為未識別應用,則需要進行應用識別子流程,對應用進行特征匹配,協(xié)議解碼,行為分析等處理從而標記該應用。應用標記完成后,會查找對應的應用安全策略,如果策略允許則準備下一階段流程;如果策略不允許,則直接丟棄。
內(nèi)容檢測
主引擎工作的最后一個流程為內(nèi)容檢測流程,主要是需要對數(shù)據(jù)包進行深層次的協(xié)議解碼、內(nèi)容解析、模式匹配等操作,實現(xiàn)對數(shù)據(jù)包內(nèi)容的完全解析;然后通過查找相對應的內(nèi)容安全策略進行匹配,最后依據(jù)安全策略執(zhí)行諸如:丟棄、報警、記錄日志等動作。
數(shù)據(jù)包出站處理階段
當數(shù)據(jù)包經(jīng)過內(nèi)容檢測
模塊后,會進入出站處理流程。首先系統(tǒng)會路由等信息查找,然后執(zhí)行QOS,IP數(shù)據(jù)包分片的操作,如果該數(shù)據(jù)走VPN通道的話,還需要通過VPN加密,最后進行數(shù)據(jù)轉(zhuǎn)發(fā)。
與統(tǒng)一策略的關(guān)系
統(tǒng)一策略實際上是通過同一套安全策略將處于不同層級的安全
模塊有效地整合在一起,在策略匹配順序及層次上實現(xiàn)系統(tǒng)智能匹配,其主要的目的是為了提供更好的可用性。舉個例子:有些產(chǎn)品HTTP的檢測,URL過濾是通過代理
模塊做的,而其他協(xié)議的入侵檢測是用另外的引擎。 用戶必須明白這些
模塊間的依賴關(guān)系,分別做出正確的購置才能達到需要的功能,而統(tǒng)一策略可以有效的解決上述問題。