防火墙安全机制有哪些

状态检测机制

状态检测是在通信发起连接时就检查规则是否允许建立连接，然后在缓存的状态检测表中添加一条记录，以后就不必去检查规则了只要查看状态监测表就OK了，速度上有了很大的提升。

状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。

包过滤机制

包过滤过滤规则简单，只能检查到第三层网络层，只对源或目的IP做检查，防火墙的能力远不及状态检测防火墙，连最基本的黑客攻击手法IP伪装都无法解决，并且要对所经过的所有数据包做检查，所以速度比较慢。

NAT

内网中的设备使用私有地址，它们无法和使用公有地址的公网设备直接通信，而是通过一种特别的机制进行连接，这个机制就叫NAT。

NAT设备（如防火墙、路由器等）内部会维护一张表，上面记录了公有地址（地址转换设备的公网地址）和端口号与私有地址和端口号的对应关系，而NAT的基本原理就是在转发网络包时对包头部中的IP地址和端口号进行改写。