状态检测防火墙主要检测哪些信息
状态检测防火墙主要检测的信息如下:
应用状态:能够理解并学习各种协议和应用,以支持各种最新的应用;能从应用程序中收集状态信息并存入状态表中,以供其他应用或协议做检测策略。
操作信息:状态监测技术采用强大的面向对象的方法。
通信信息:防火墙的检测模块位于操作系统的内核,在网络层之下,能在数据包到达网关操作系统之前对它们进行分析。
通信状态:状态检测防火墙在状态表中保存以前的通信信息,记录从受保护网络发出的数据包的状态信息。
状态检测防火墙的优点如下:
安全性好:状态检测防火墙工作在数据链路层和网络层之间,它从这里截取数据包,因为数据链路层是网卡工作的真正位置,这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们,首先根据安全策略从数据包中提取有用信息,保存在内存中;然后将相关信息组合起来,进行一些逻辑或数学运算,获得相应的结论,进行相应的操作。状态检测防火墙虽然工作在协议栈较低层,但它检测所有应用层的数据包,从中提取有用信息,如IP地址、端口号等,这样安全性得到很大提高。
性能高效:状态检测防火墙工作在协议栈的较低层,通过防火墙的所有的数据包都在低层处理,而不需要协议栈的上层处理任何数据包,这样减少了高层协议头的开销,执行效率提高很多;另外在这种防火墙中一旦一个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。
扩展性好:状态检测防火墙不像应用网关式防火墙那样,每一个应用对应一个服务程序,这样所能提供的服务是有限的,而且当增加一个新的服务时,必须为新的服务开发相应的服务程序,这样系统的可扩展性降低。状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包,当有一个新的应用时,它能动态产生新的应用的新的规则,而不用另外写代码,所以具有很好的伸缩性和扩展性。
配置方便,应用范围广:状态检测防火墙不仅支持基于TCP的应用,而且支持基于无连接协议的应用。状态检测防火墙实现了基于UDP应用的安全,通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,避免大量的无效连接占用过多的网络资源,可以很好的降低DOS和DDOS攻击的风险。