狀態(tài)檢測防火墻

1. 安全性好

狀態(tài)檢測防火墻工作在數(shù)據(jù)鏈路層和網(wǎng)絡層之間，它從這里截取數(shù)據(jù)包，因為數(shù)據(jù)鏈路層是網(wǎng)卡工作的真正位置，網(wǎng)絡層是協(xié)議棧的第一層，這樣防火墻確保了截取和檢查所有通過網(wǎng)絡的原始數(shù)據(jù)包。防火墻截取到數(shù)據(jù)包就處理它們，首先根據(jù)安全策略從數(shù)據(jù)包中提取有用信息，保存在內(nèi)存中；然后將相關信息組合起來，進行一些邏輯或數(shù)學運算，獲得相應的結論，進行相應的操作，如允許數(shù)據(jù)包通過、拒絕數(shù)據(jù)包、認證連接、加密數(shù)據(jù)等。狀態(tài)檢測防火墻雖然工作在協(xié)議棧較低層，但它檢測所有應用層的數(shù)據(jù)包，從中提取有用信息，如IP地址、端口號等，這樣安全性得到很大提高。

2. 性能高效

狀態(tài)檢測防火墻工作在協(xié)議棧的較低層，通過防火墻的所有的數(shù)據(jù)包都在低層處理，而不需要協(xié)議棧的上層處理任何數(shù)據(jù)包，這樣減少了高層協(xié)議頭的開銷，執(zhí)行效率提高很多；另外在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統(tǒng)可以去處理別的連接，執(zhí)行效率明顯提高。

3. 擴展性好

狀態(tài)檢測防火墻不像應用網(wǎng)關式防火墻那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發(fā)相應的服務程序，這樣系統(tǒng)的可擴展性降低。狀態(tài)檢測防火墻不區(qū)分每個具體的應用，只是根據(jù)從數(shù)據(jù)包中提取出的信息、對應的安全策略及過濾規(guī)則處理數(shù)據(jù)包，當有一個新的應用時，它能動態(tài)產(chǎn)生新的應用的新的規(guī)則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。

4. 配置方便,應用范圍廣

狀態(tài)檢測防火墻不僅支持基于TCP的應用，而且支持基于無連接協(xié)議的應用，如RPC、基于UDP的應用(DNS 、WAIS、 Archie等)等。對于無連接的協(xié)議，連接請求和應答沒有區(qū)別，包過濾防火墻和應用網(wǎng)關對此類應用要么不支持，要么開放一個大范圍的UDP端口，這樣暴露了內(nèi)部網(wǎng)，降低了安全性。

狀態(tài)檢測防火墻實現(xiàn)了基于UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現(xiàn)。防火墻保存通過網(wǎng)關的每一個連接的狀態(tài)信息，允許穿過防火墻的UDP請求包被記錄，當UDP包在相反方向上通過時，依據(jù)連接狀態(tài)表確定該UDP包是否被授權的，若已被授權，則通過，否則拒絕。如果在指定的一段時間內(nèi)響應數(shù)據(jù)包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都被阻塞.狀態(tài)檢測防火墻可以控制無效連接的連接時間，避免大量的無效連接占用過多的網(wǎng)絡資源，可以很好的降低DOS和DDOS攻擊的風險。

狀態(tài)檢測防火墻也支持RPC，因為對于RPC服務來說，其端口號是不定的，因此簡單的跟蹤端口號是不能實現(xiàn)該種服務的安全，狀態(tài)檢測防火墻通過動態(tài)端口映射圖記錄端口號，為驗證該連接還保存連接狀態(tài)、程序號等，通過動態(tài)端口映射圖來實現(xiàn)此類應用的安全。

狀態(tài)檢測防火墻缺點

包過濾防火墻得以進行正常工作的一切依據(jù)都在于過濾規(guī)則的實施，但又不能滿足建立精細規(guī)則的要求，并不能分析高級協(xié)議中的數(shù)據(jù)。應用網(wǎng)絡關防火墻的每個連接都必須建立在為之創(chuàng)建的有一套復雜的協(xié)議分析機制的代理程序進程上，這會導致數(shù)據(jù)延遲的現(xiàn)象。

狀態(tài)檢測防火墻雖然繼承了包過濾防火墻和應用網(wǎng)關防火墻的優(yōu)點，克服了它們的缺點，但它仍只是檢測數(shù)據(jù)包的第三層信息，無法徹底的識別數(shù)據(jù)包中大量的垃圾郵件、廣告以及木馬程序等等。

包過濾防火墻和網(wǎng)關代理防火墻以及狀態(tài)檢測防火墻都有固有的無法克服的缺陷，不能滿足用戶對于安全性的不斷的要求，于是深度包檢測防火墻技術被提出了。2100433B

狀態(tài)檢測防火墻在網(wǎng)絡層有一個檢查引擎截獲數(shù)據(jù)包并抽取出與應用層狀態(tài)有關的信息，并以此為依據(jù)決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態(tài)檢測防火墻一般也包括一些代理級的服務，它們提供附加的對特定應用程序數(shù)據(jù)內(nèi)容的支持。狀態(tài)檢測技術最適合提供對UDP協(xié)議的有限支持。它將所有通過防火墻的UDP分組均視為一個虛連接，當反向應答分組送達時，就認為一個虛擬連接已經(jīng)建立。狀態(tài)檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，不僅僅檢測“to”和“from”的地址，而且不要求每個訪問的應用都有代理。

這是第三代防火墻技術，能對網(wǎng)絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數(shù)據(jù)包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過己知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應用程序，可方便地實現(xiàn)應用和服務的擴充。此外，它還可監(jiān)測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監(jiān)測，狀態(tài)監(jiān)視器實現(xiàn)網(wǎng)絡安全的目的。目前，多使用狀態(tài)監(jiān)測防火墻，它對用戶透明，在OSI最高層上加密數(shù)據(jù)，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。

狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。