@Lemon
2年前 提问
1个回答

动态包过滤防火墙的优点

Anna艳娜
2年前

动态包过滤防火墙的优点有以下五点:

  • 对网络通信的各层实施监测分析,提取相关的通信和状态信息,并在动态连接表中进行状态及上下文信息的存储和更新,这些表被持续更新,为下一个通信检查提供累积的数据。

  • 安全性比静态包过滤高。对于用户来说是透明的,用户的应用层不受影响。

  • 处理速度较快。

  • 利用路由器本身的包过滤功能,以ACL方式实现。减少了端口的开放时间,提供了对几乎所有服务的支持。

  • 能够提供对基于无连接的协议(UDP)的应用(DNS、WAIS等)及基于端口动态分配的协议(RPC)的应用(如NFS、NIS)的安全支持。静态的包过滤和代理网关都不支持此类应用。

动态包过滤防火墙基本原理:

  • 动态包过滤防火墙的特征与静态包过滤防火墙的特征非常相似。但多出一项工作,即对外出数据包的身份做一个标记,对相同连接的进入的数据包也被允许通过。也就是说,它捕获了一个“连接”,而不是单个数据包头中的信息。因此,它可以用来处理TCP协议和UDP协议。动态包过滤防火墙工作在传输层,它对已建连接和规则表进行动态维护,因此是动态的和有状态的。典型的动态包过滤防火墙能够感觉到新建连接与已建连接之间的差别。