浅析自适应算法提升企业防火墙的安全途径

在防火墙领域，思科的PIX防火墙系列产品处于领先地位。凭借其出色的性能和安全性，他稳获第一。自适应安全算法在其中起着关键作用。
Cisco PIX防火墙，具有独立的操作环境。自适应安全算法是该操作环境的关键组成部分。该算法比其他算法(如包过滤机制)更安全、更有效。在性能上也有突出表现。自适应算法可以隔离连接到防火墙的网段，维护外围的安全，控制这些网段之间的流量。
一六步完成自适应算法
其实自适应安全算法并没有想象中那么复杂。与其他算法相比，它多了一个“状态表”。自适应安全算法是围绕这个状态表建立的。这就是自适应算法的全过程。
第一步:内部主机发起连接请求。
如果企业内部主机想要与企业外部网络上的主机进行通信，内部主机必须首先发出连接请求。在这个数据包中，往往记录了内部主机的一些信息。如内部主机的IP地址和通信端口、目的IP地址和目的端口、TCP序列信息等。这些内容是保持双方沟通的必要信息。
作为防火墙，就是要对这些信息进行分析判断。该通过的就通过，该拒绝的就拒绝，保证企业内部网络和信息安全。
第二步:防火墙将相关信息写入状态表。
当企业内部主机发送的数据包到达防火墙时，防火墙操作系统会将一些关键信息写入一个状态表。这些信息主要包括源IP地址和源端口、目的IP地址和目的端口、TCP序列信息、随机生成的TCP序列号的应用等等。
该状态表是防火墙工作时的关键信息源。如访问控制列表、VPN等。，都需要这个状态表才能正常工作。
第三步:使用安全策略进行判断。
在此步骤中，防火墙上配置的安全策略主要用于判断该数据包是否需要转发。如果在防火墙上配置了“拒绝访问www.11com网站”的安全策略。当内部主机试图访问被禁网站时，防火墙会禁止包转发，会话对象会被删除，与内部主机的连接会被取消。除非它再次发送连接请求。
第四步:转发数据包。
如果企业防火墙允许来自企业内部主机的连接请求。防火墙将转发该数据包。但是为了内部主机的安全，防火墙会采取一些保护措施，比如翻译源IP地址。这样，外部主机只能看到防火墙的地址，而不知道内部主机的具体IP地址信息。这在一定程度上保护了内部主机的安全。
第五步:外部主机响应。
当内部主机连接请求被转发到外部目的主机时，外部主机将响应连接请求。当然，如果外部主机所在的网络也安装了防火墙，还是需要一系列的验证。如果允许此连接，最终将向企业防火墙发送一条响应消息，表明可以建立连接。
第六步:企业防火墙后续处理。
当此响应消息到达企业防火墙时，自适应安全算法会将此响应消息与会话对象进行比较。如果响应信息与会话对象匹配，目的地址将被转换为初始地址，即内部主机的IP地址。然后，该数据包将被转发到内部主机。如果不匹配，会话将被删除，连接将被取消。
完成这一步后，自适应安全算法的循环就完成了。
二。自适应算法的优势
自适应算法的优势非常明显，在安全性和性能上都很突出。
1。通过自适应安全算法，可以防止TCP会话被拦截。
在黑客攻击中，拦截TCP会话以获取特定资源的访问权限是一种非常常见的手段。其他防火墙算法，如包过滤，不能有效地消除这种威胁。但是，在自适应安全算法中，它可以帮助企业网络管理员有效地消除TCP拦截的安全威胁。
自适应安全算法被设计为有状态的和面向连接的安全过程。在防火墙的bar表中，将保存所有当前会话信息。通过防火墙的所有信息都通过应用相关的安全策略和状态表中的地址转换来控制。这样，在企业网络边界部署防火墙后，所有内部主机和外部网络通信都将得到有效管理。
自适应算法的特点是在会话开始前会生成一个随机的TCP序列号，并将相关信息写入状态表。外部主机响应后，会像企业防火墙一样发回响应消息。返回的信息将与状态表中的信息进行比较。如果信息不匹配，防火墙将删除该连接，并且状态表中的该信息也将被删除。显然，安全算法强调的是对连接的控制，而不是分组。该功能可以有效防止黑客劫持TCP会话。这为黑客通过拦截TCP会话拒绝访问资源关上了大门。
2。配置管理更加智能
PIX防火墙的每个接口都分配有相应的安全级别。防火墙允许流量从高安全性接口流向低安全性接口。考试。提示相关人员定义每个界面的显示规则。例如，一般情况下，企业不需要对内部信息进行过多的控制。从数据安全方面，主要是考虑对外部连接访问的控制，防止外部非法访问内部网络。这样，防火墙无需额外配置即可工作。只需要通过企业内部网络连接到高安全性接口；并将外部网络连接到低安全扇区的接口。
这个连接之后，不需要配置具体的规则，内网可以畅通无阻的向外网发送信息。但外网要想访问企业的内网资源(流量从低安全级别接口流向高安全级别接口)，必须满足一定的条件。首先，必须有到目的地的静态转换。也就是说，网络安全人员必须在防火墙上显示的定义允许外部主机访问企业的内部主机。其次，在适当的位置必须有一个访问列表或管道(如VPN隧道),以允许此流量通过。只有同时满足这两个条件，才会允许外部主机访问内部主机。
当然，在需要的时候，也可以通过访问控制列表来管理从高安全级别到低安全级别的流量。如果想控制内部主机对外部特定网站的访问，可以通过访问控制列表来解决。
可见，自适应安全算法在安全管理上更加灵活；配置也更简单，更智能。
三。分享管理经验
虽然防火墙也提供了其他算法，比如包过滤、穿透代理等等，但是也各有特点。但是，我更喜欢这种自适应算法的防火墙。其下属相对简单灵活。
但是，能够实现这种自适应算法的防火墙产品并不多。企业在选择网络防火墙时，应根据自己的操作偏好选择合适的防火墙产品。如果你更喜欢带自适应算法的防火墙，在购买的时候一定要注意，看看防火墙是否支持这种算法。