什么是狀態(tài)檢測防火墻?狀態(tài)檢測防火墻采用了狀態(tài)檢測包過濾的技術，是傳統(tǒng)包過濾上的功能擴展。網(wǎng)絡安全防范措施與應用是什么?一起和佰佰安全網(wǎng)看看吧。

狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網(wǎng)絡的數(shù)據(jù)包，不關心數(shù)據(jù)包狀態(tài)的缺點，在防火墻的核心部分建立狀態(tài)連接表，維護了連接，將進出網(wǎng)絡的數(shù)據(jù)當成一個個的事件來處理?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡層和傳輸層行為，而應用代理型防火墻則是規(guī)范了特定的應用協(xié)議上的行為。

優(yōu)點

1. 安全性好

狀態(tài)檢測防火墻工作在數(shù)據(jù)鏈路層和網(wǎng)絡層之間，它從這里截取數(shù)據(jù)包，因為數(shù)據(jù)鏈路層是網(wǎng)卡工作的真正位置，網(wǎng)絡層是協(xié)議棧的第一層，這樣防火墻確保了截取和檢查所有通過網(wǎng)絡的原始數(shù)據(jù)包。防火墻截取到數(shù)據(jù)包就處理它們，首先根據(jù)安全策略從數(shù)據(jù)包中提取有用信息，保存在內(nèi)存中;然后將相關信息組合起來，進行一些邏輯或數(shù)學運算，獲得相應的結(jié)論，進行相應的操作，如允許數(shù)據(jù)包通過、拒絕數(shù)據(jù)包、認證連接、加密數(shù)據(jù)等。狀態(tài)檢測防火墻雖然工作在協(xié)議棧較低層，但它檢測所有應用層的數(shù)據(jù)包，從中提取有用信息，如IP地址、端口號、數(shù)據(jù)內(nèi)容等，這樣安全性得到很大提高。

2. 性能高效

狀態(tài)檢測防火墻工作在協(xié)議棧的較低層，通過防火墻的所有的數(shù)據(jù)包都在低層處理，而不需要協(xié)議棧的上層處理任何數(shù)據(jù)包，這樣減少了高層協(xié)議頭的開銷，執(zhí)行效率提高很多;另外在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統(tǒng)可以去處理別的連接，執(zhí)行效率明顯提高。

3. 擴展性好

狀態(tài)檢測防火墻不像應用網(wǎng)關式防火墻那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發(fā)相應的服務程序，這樣系統(tǒng)的可擴展性降低。狀態(tài)檢測防火墻不區(qū)分每個具體的應用，只是根據(jù)從數(shù)據(jù)包中提取出的信息、對應的安全策略及過濾規(guī)則處理數(shù)據(jù)包，當有一個新的應用時，它能動態(tài)產(chǎn)生新的應用的新的規(guī)則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。

以上是小編整理的狀態(tài)檢測防火墻，多學習網(wǎng)絡安全小知識，使用瑞星殺毒軟件，關注佰佰安全網(wǎng)。

責任編輯:慕丹萍