無狀態包過濾防火牆技術
➢最基本的防火牆過濾方式
➢根據L3/L4信息進行過濾
·源和目的IP
·協議
·ICMP消息和類型
·TCP/UDP源和目的端口
➢處理速度快
➢無法阻止應用層***
➢部署複雜,維護量大
➢部署方式
·作爲Internet邊界的第一層防線
·隱式拒絕,顯示允許
➢示例
·使用ACL過濾的路由器
有狀態包過濾防火牆技術
➢與無狀態包過濾防火牆執行相似的操作
➢保持對連接狀態的跟蹤,狀態表
·無需開放高端口訪問權限
·不屬於現有會話的訪問將被拒絕
➢檢查更高級的信息
·TCPFlag、TCPSeq.
·更多的DoS防護
·特定應用層協議檢測
➢不能阻止應用層***
➢狀態表導致的系統開銷
➢部署方式
·作爲主要的防禦措施
·需要更加嚴格的控制