狀態檢測防火墻的優缺點有哪些

狀態檢測防火墻的優點：

• 檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規則。

• 識別帶有欺騙性源 IP 地址包的能力。

• 包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

• 基于應用程序信息驗證一個包的狀態的能力，例如基于一個已經建立的FTP連接，允許返回的FTP包通過。

• 基于應用程序信息驗證一個包狀態的能力，例如允許一個先前認證過的連接繼續與被授予的服務通信。

• 記錄有關通過的每個包的詳細信息的能力。基本上，防火墻用來確定包狀態的所有信息都可以被記錄，包括應用程序對包的請求，連接的持續時間，內部和外部系統所做的連接請求等。

狀態檢測防火墻的缺點：

• 無法擴展深度檢測功能，基于狀態檢測的網絡防火墻，如果希望只擴展深度檢測功能，而沒有相應增加網絡性能，是不行的。

• 所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網絡通信的規則存在時。可是，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產品的速度。

• 狀態檢測防火墻只是檢測數據包的第三層信息，無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。