状态防火墙 & 深度检测防火墙

状态式防火墙检测

    为了保护所有网络连接的安全性，Juniper网络公司设备使用了一种名为状态式检测的动态数据包过滤方法。利用这种方法，防火墙就可以在一个数据包报头中收集有关各种组件的信息--源和目的IP地址、源和目的端口编号以及数据包序列号。然后，设备可以保存通过防火墙的每个TCP会话或UDP伪会话的状态信息，同时在必要时进行TCP重组以确保对通信会话的正确解释。当有响应数据包到达时，防火墙将对照检测表中保存的相关会话的状态信息来对比数据包报头中包含的信息。如果二者匹配，响应数据包就被允许通过防火墙。如果不匹配，该数据包就会被丢弃。通过检测然后允许或拒绝要求通过一个接口接入网络的所有连接尝试，Juniper网络公司的防火墙可以保护网络的安全。

    在缺省情况下，Juniper网络公司防火墙会拒绝所有方向上的任何流量。利用基于策略的集中管理，企业可以制定一系列安全策略，这些策略通过定义在规定时间内允许从特定源发往特定目的地的流量类型，从而控制从网络到网络的流量流量。在最宽松的情况下，所有流量类型都可从安全区域的任何源发送到其它所有区域的任何目的地而不受任何限制。而在最严格的情况下，您可以将策略制定为只允许在规定的时间段内，在一个区域的一台特定主机和另一个区域内另一台特定主机之间，只能传输一种流量类型。

    状态式检测比数据包过滤等其它防火墙技术更为安全，因为其允许流量通过的"孔"要小一些。例如，状态式检测防火墙可以确保数据包属于某个现有的会话，而不是允许任何主机或程序都可以在端口80上发送任何类型的TCP流量。此外，它还可以在会话建立后对用户进行认证，以确定该数据包是否真正带有HTTP，并在应用层进行细粒度的限制 (如过滤URL来拒绝对黑名单上站点的接入等)。

    为了防止网络周边的应用级攻击，NetScreen的深度检测防火墙可以为最常用的互联网协议提供应用层保护，如HTTP、SMTP、IMAP、POP、FTP和DNS。深度检测防火墙具有状态式检测的所有优点，它可以迅速进行网络级分析来为流量作出接入控制决策。对于允许进入网络的流量，它可以更深入地查看流量以根据应用级信息作出其他决策。

深度检测防火墙 - 应用级攻击防护

    如果没有在整个网络中部署应用级保护，那么保护所有网络资源的能力可能会受到网络中某一个站点的影响而减弱。为了保护企业总部及大型地区办事处的敏感资源，企业可以在状态式检测防火墙之后和关键服务器之前部署一套Juniper网络公司NetScreen-IDP，因为这个位置的主要问题是保护应用级数据免受内部和外部攻击。但是企业也需要在整个网络中部署应用级攻击防护。小型办公室、远程办公室、分支机构以及使用家庭网络的远程工作者也需要应用级攻击缓解解决方案。通过为防火墙添加更深入的保护功能来抵御这些威胁网络分段安全的攻击类型，企业将能够在网络边缘化解这些威胁并增强总体安全性。

    Juniper网络公司的深度检测防火墙充分利用了状态式检测的优点，而且在防火墙中集成了入侵检测技术，从而可在网络周边提供应用级攻击防护。利用这些技术的效能，Juniper网络公司的深度检测防火墙就可以高效地执行网络安全功能，并分析应用信息来决定是否接受或拒绝流量。

    Juniper网络公司的深度检测技术利用更深一层应用来了解流量，从而根据该流量的目的作出接入控制决策。部署在网络周边时，Juniper网络公司的深度检测防火墙主要用于防止针对互联网应用的应用级攻击，如Web、电子邮件、FTP和DNS。它消除了应用级不明确性，同时执行取消分段、重组、擦写和标准化，从而将网络数据包转换为在客户机和服务器之间传输的应用级信息。然后，它查看协议遵守情况，并从判定为发起攻击的应用"业务字段"中提取相关数据，然后进行攻击模式匹配。接下来，它根据影响较大的协议异常情况，或某一个应用业务字段中的特定攻击模式来决定是接受还是拒绝该流量。深度检测防火墙可以在互联网网关中阻止应用级攻击，使他们无法到达目的地。

    深度检测防火墙还可以保护企业网络中的较小站点，这些站点通常是整体安全策略中的"薄弱环节"。这将使NetScreen-IDP可以专门检测那些对更大型、更多样化的网络分段所发起的更复杂攻击。