标签:路由 特定 应用层协议 连接状态 使用 会话 internet 安全 消息
无状态包过滤防火墙技术?最基本的防火墙过滤方式
?根据L3/L4信息进行过滤
·源和目的IP
·协议
·ICMP消息和类型
·TCP/UDP源和目的端口
?处理速度快
?无法阻止应用层***
?部署复杂,维护量大
?部署方式
·作为Internet边界的第一层防线
·隐式拒绝,显示允许
?示例
·使用ACL过滤的路由器
有状态包过滤防火墙技术
?与无状态包过滤防火墙执行相似的操作
?保持对连接状态的跟踪,状态表
·无需开放高端口访问权限
·不属于现有会话的访问将被拒绝
?检查更高级的信息
·TCPFlag、TCPSeq.
·更多的DoS防护
·特定应用层协议检测
?不能阻止应用层***
?状态表导致的系统开销
?部署方式
·作为主要的防御措施
·需要更加严格的控制
标签:路由 特定 应用层协议 连接状态 使用 会话 internet 安全 消息
原文地址:https://blog.51cto.com/14803275/2490587