狀態檢測防火墻的特點

狀態檢測防火墻的特點如下：

• 安全性好：狀態檢測防火墻工作在數據鏈路層和網絡層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，網絡層是協議棧的第一層，這樣防火墻確保了截取和檢查所有通過網絡的原始數據包。防火墻截取到數據包就處理它們，首先根據安全策略從數據包中提取有用信息，保存在內存中;然后將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許數據包通過、拒絕數據包、認證連接、加密數據等。狀態檢測防火墻雖然工作在協議棧較低層，但它檢測所有應用層的數據包，從中提取有用信息，如IP地址、端口號、數據內容等，這樣安全性得到很大提高。

• 性能效率高：狀態檢測防火墻工作在協議棧的較低層，通過防火墻的所有的數據包都在低層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多;另外在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。

• 擴展性好：狀態檢測防火墻不像應用網關式防火墻那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性降低。狀態檢測防火墻不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包，當有一個新的應用時，它能動態產生新的應用的新的規則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。

• 配置方便且應用范圍廣：狀態檢測防火墻不僅支持基于TCP的應用，而且支持基于無連接協議的應用，如RPC、基于UDP的應用(DNS 、WAIS、 Archie等)等。對于無連接的協議，連接請求和應答沒有區別，包過濾防火墻和應用網關對此類應用要么不支持，要么開放一個大范圍的UDP端口，這樣暴露了內部網，降低了安全性。