无状态包过滤防火墙技术
? 最基本的防火墙过滤方式
? 根据 L3/L4 信息进行过滤
. 源和目的 IP
. 协议
.ICMP 消息和类型
.TCP/UDP 源和目的端口
? 处理速度快
? 无法阻止应用层 ***
? 部署复杂, 维护量大
? 部署方式
. 作为 Internet 边界的第一层防线
. 隐式拒绝, 显示允许
? 示例
. 使用 ACL 过滤的路由器
有状态包过滤防火墙技术
? 与无状态包过滤防火墙执行相似的操作
? 保持对连接状态的跟踪, 状态表
. 无需开放高端口访问权限
. 不属于现有会话的访问将被拒绝
? 检查更高级的信息
.TCPFlag,TCPSeq.
. 更多的 DoS 防护
. 特定应用层协议检测
? 不能阻止应用层 ***
? 状态表导致的系统开销
? 部署方式
. 作为主要的防御措施
. 需要更加严格的控制
来源: http://www.bubuko.com/infodetail-3507986.html