本節書摘來異步社群《cisco安全防火牆服務子產品(fwsm)解決方案》一書中的第1章,第1.4節,作者:【美】ray blair ,arvind durai,更多章節内容可以通路雲栖社群“異步社群”公衆号檢視
cisco安全防火牆服務子產品(fwsm)解決方案
包檢測防火牆檢視各裝置間的會話資訊。會話資訊通常是協定、建立或現有連接配接、源/目的ip位址和端口号、ip校驗和、序列号和特殊應用資訊,例如簡單郵件傳輸協定(smtp)中的指令與響應條件。
從用戶端到伺服器的典型流量,通常是由用戶端發起到web伺服器ip位址的http連接配接開始(端口80)。包檢測防火牆根據目前的規則集判斷是否允許資料包通過防火牆。如果防火牆能夠檢測ip包的資料部分,并确定其是否為合法的超文本傳輸協定(http)流量,那麼這個過程就叫做深度包檢測,原因是它能夠對資料包的淨荷進行驗證。如果滿足了所有條件,防火牆就會基于會話資訊建立一條流量條目,并允許資料包通過防火牆。web伺服器就會收到資料包并進行響應。防火牆的outside接口接收傳回流量。防火牆使用本地轉換表中包含的資訊來比較傳回流量的會話資訊(源和 目的ip、端口号、序列号等),來決定是否允許傳回流量通過。如果傳回流量符合上述條件,然後對ip資料包的淨荷進行驗證,看是否是http資料包(深度包檢測),如果是,則将其轉發回用戶端。
圖1-4所示為該過程的圖形化表示。
由于包檢測防火牆不需要托管用戶端應用程式,是以其執行速度通常要比應用防火牆快。如今的大多數包檢測防護牆也支援應用層或深度包檢測。這使得防火牆能夠深入檢測資料包的資料部分、基于協定一緻性進行比對、掃描病毒等,而且運作速度還非常快。
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)