奇安信下一代防火墙

    • 产品
    • 品牌360
    1. 详情
      奇安信下一代防火墙处理流程:
      一体化引擎数据包处理流程大致分为以下几个阶段:
      数据包入站处理阶段
      入站主要完成数据包的接收及L2-L4层的数据包解析过程,并且根据解析结果决定是否需要进入防火墙安全策略处理流程,否则该数据包就会被丢弃。在这个过程中还会判断是否经过VPN数据加密,如果是,则会先进行解密后再做进一步解析。
      主引擎处理阶段
      主引擎处理大致会经历三个过程:防火墙策略匹配及创建会话、应用识别、内容检测。
      创建会话信息
      当数据包进入主引擎后,首先会进行会话查找,看是否存在该数据包相关的会话。如果存在,则会依据已经设定的防火墙策略进行匹配和对应。否则就需要创建会话。具体步骤简述为:进行转发相关的信息查找;而后进行NAT相关的策略信息查找;最后进行防火墙的策略查找,检查策略是否允许。如果允许则按照之前的策略信息建立对应的会话,如果不允许则丢弃该数据包。
      应用识别
      数据包进行完初始的防火墙安全策略匹配并创建对应会话信息后,会进行应用识别检测和处理,如果该应用为已经可识别的应用,则对此应用进行识别和标记并直接进入下一个处理流程。如果该应用为未识别应用,则需要进行应用识别子流程,对应用进行特征匹配,协议解码,行为分析等处理从而标记该应用。应用标记完成后,会查找对应的应用安全策略,如果策略允许则准备下一阶段流程;如果策略不允许,则直接丢弃。
      内容检测
      主引擎工作的最后一个流程为内容检测流程,主要是需要对数据包进行深层次的协议解码、内容解析、模式匹配等操作,实现对数据包内容的完全解析;然后通过查找相对应的内容安全策略进行匹配,最后依据安全策略执行诸如:丢弃、报警、记录日志等动作。
      数据包出站处理阶段
      当数据包经过内容检测模块后,会进入出站处理流程。首先系统会路由等信息查找,然后执行QOS,IP数据包分片的操作,如果该数据走VPN通道的话,还需要通过VPN加密,最后进行数据转发。
      与统一策略的关系
      统一策略实际上是通过同一套安全策略将处于不同层级的安全模块有效地整合在一起,在策略匹配顺序及层次上实现系统智能匹配,其主要的目的是为了提供更好的可用性。举个例子:有些产品HTTP的检测,URL过滤是通过代理模块做的,而其他协议的入侵检测是用另外的引擎。 用户必须明白这些模块间的依赖关系,分别做出正确的购置才能达到需要的功能,而统一策略可以有效的解决上述问题。