狀態檢測防火墻有哪些技術優點

狀態檢測防火墻有以下技術優點：

• 安全性較好：狀態檢測防火墻工作在數據鏈路層和網絡層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，網絡層是協議棧的第一層，這樣就確保了防火墻能夠截取和監測所有通過網絡的原始數據包。防火墻在截取到數據包之后就開始處理它們。首先，根據安全策略從數據包中提取有用信息，保存在內存中；然后，將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許數據包通過、拒絕數據包、認證連接、加密數據等。狀態檢測防火墻雖然工作在協議棧的較底層，但它卻可以檢測所有數據包的內容，并從中提取有用信息，如IP地址、端口號等，這樣安全性得到了很大的提高。

• 性能高效：狀態檢測防火墻工作在協議棧的較底層，通過防火墻的所有的數據包都在底層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多；另外，在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。

• 擴展性好：狀態檢測防火墻不像應用網關式防火墻那樣，每一個應用都要對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性就會降低。狀態檢測防火墻不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則來處理數據包，當有一個新的應用時，它能動態產生新的規則，而不用另外編寫代碼，所以具有很好的伸縮性和擴展性。

• 配置方便，應用范圍廣：狀態檢測防火墻不僅支持基于TCP的應用，而且支持基于無連接協議的應用，如RPC、基于UDP的應用(DNS、WAIS、Archie等)。對于無連接的協議，連接請求和應答沒有區別，包過濾防火墻和應用網關對此類應用要么不支持，要么開放一個大范圍的UDP端口，這樣就暴露了內部網，從而降低了安全性。狀態檢測防火墻實現了基于UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現。防火墻保存通過網關的每一個連接的狀態信息，允許穿過防火墻的UDP請求包被記錄，當UDP包在相反方向上通過時，依據連接狀態表確定該UDP包是否被授權，若已被授權，則通過，否則拒絕。如果在指定的一段時間內響應數據包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都會被阻塞。狀態檢測防火墻可以控制無效連接的連接時間，避免大量的無效連接占用過多的網絡資源，可以很好地降低DoS和DDoS攻擊的風險。

回答所涉及的環境：聯想天逸510S、Windows 10。