防火墙技术分为三种:包过滤防火墙、代理服务器和状态包过滤;
包过滤防火墙,使用ACL 控制进入或离开网络的流量,ACL 可以根据匹配包的类型或其他参数(如:源IP
地址、目的IP 地址、端口号等)来制定;
该类防火墙有以下不足,ACL 制定的维护比较困难;可以使用IP 欺骗很容易的绕过ACL;
代理防火墙,也叫做代理服务器。它在OSI 的高层检查数据包,然后和制定的规则相比较,如果数据包的内
容符合规则并且被允许,那么代理服务器就代替源主机向目的地址发送请求,从外部主机收到请求后,再转发给
被保护的源请求主机。
代理防火墙的主要缺点就是性能问题,由于代理防火墙会对每个经过它的包都会深度检查,即使这个包以前
检查过,所以说对系统和网络的性能都有很大的影响。
状态包过滤防火墙,Cisco ASA 就是使用的状态包过滤防火墙,该防火墙会维护每个会话的状态信息,这些
状态信息写在状态表里,状态表的条目有:源地址、目的地址、端口号、TCP 序列号信息以及每个TCP 或UDP
的额外的标签信息。所有进入或外出的流量都会和状态表中的连接状态进行比较,只有状态表中的条目匹配的时
候才允许流量通过。
防火墙收到一个流量后,首先查看是否已经存在于连接表中,如果没有存在,则看这个连接是否符合安全策
略,如果符合,则处理后将该连接写入状态表;如果不符合安全策略,那么就将包丢弃。
状态表,也叫Fast Path,防火墙只处理第一个包,后续的属于该连接的包都会直接按照Fast Path 转发,因此
性能就有很高的提升。
链接 密码:fltq