@信仰
3年前 提问
1个回答

状态检测防火墙的优缺点有哪些

Simon
3年前

状态检测防火墙的优点:

  • 检查IP包的每个字段的能力,并遵从基于包中信息的过滤规则。

  • 识别带有欺骗性源 IP 地址包的能力。

  • 包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。

  • 基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过。

  • 基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信。

  • 记录有关通过的每个包的详细信息的能力。基本上,防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。

状态检测防火墙的缺点:

  • 无法扩展深度检测功能,基于状态检测的网络防火墙,如果希望只扩展深度检测功能,而没有相应增加网络性能,是不行的。

  • 所有这些记录、测试和分析工作可能会造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是,硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。

  • 状态检测防火墙只是检测数据包的第三层信息,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。