奇安信下一代防火墙处理流程:
一体化引擎数据包处理流程大致分为以下几个阶段:
数据包入站处理阶段
入站主要完成数据包的接收及L2-L4层的数据包解析过程,并且根据解析结果决定是否需要进入
防火墙安全策略处理流程,否则该数据包就会被丢弃。在这个过程中还会判断是否经过VPN数据加密,如果是,则会先进行解密后再做进一步解析。
主引擎处理阶段
主引擎处理大致会经历三个过程:
防火墙策略匹配及创建会话、应用识别、内容检测。
创建会话信息
当数据包进入主引擎后,首先会进行会话查找,看是否存在该数据包相关的会话。如果存在,则会依据已经设定的
防火墙策略进行匹配和对应。否则就需要创建会话。具体步骤简述为:进行转发相关的信息查找;而后进行NAT相关的策略信息查找;最后进行
防火墙的策略查找,检查策略是否允许。如果允许则按照之前的策略信息建立对应的会话,如果不允许则丢弃该数据包。
应用识别
数据包进行完初始的
防火墙安全策略匹配并创建对应会话信息后,会进行应用识别检测和处理,如果该应用为已经可识别的应用,则对此应用进行识别和标记并直接进入下一个处理流程。如果该应用为未识别应用,则需要进行应用识别子流程,对应用进行特征匹配,协议解码,行为分析等处理从而标记该应用。应用标记完成后,会查找对应的应用安全策略,如果策略允许则准备下一阶段流程;如果策略不允许,则直接丢弃。
内容检测
主引擎工作的最后一个流程为内容检测流程,主要是需要对数据包进行深层次的协议解码、内容解析、模式匹配等操作,实现对数据包内容的完全解析;然后通过查找相对应的内容安全策略进行匹配,最后依据安全策略执行诸如:丢弃、报警、记录日志等动作。
数据包出站处理阶段
当数据包经过内容检测
模块后,会进入出站处理流程。首先系统会路由等信息查找,然后执行QOS,IP数据包分片的操作,如果该数据走VPN通道的话,还需要通过VPN加密,最后进行数据转发。
与统一策略的关系
统一策略实际上是通过同一套安全策略将处于不同层级的安全
模块有效地整合在一起,在策略匹配顺序及层次上实现系统智能匹配,其主要的目的是为了提供更好的可用性。举个例子:有些产品HTTP的检测,URL过滤是通过代理
模块做的,而其他协议的入侵检测是用另外的引擎。 用户必须明白这些
模块间的依赖关系,分别做出正确的购置才能达到需要的功能,而统一策略可以有效的解决上述问题。