趣能一姐
2
CISAW安全運維(專業級)
高級信息系統項目管理師
趣能一姐2
CISAW安全運維(專業級)
高級信息系統項目管理師
狀態檢測機制
狀態檢測是在通信發起連接時就檢查規則是否允許建立連接,然后在緩存的狀態檢測表中添加一條記錄,以后就不必去檢查規則了只要查看狀態監測表就OK了,速度上有了很大的提升。
狀態檢測機制開啟狀態下,只有首包通過設備才能建立會話表項,后續包直接匹配會話表項進行轉發。狀態檢測機制關閉狀態下,即使首包沒有經過設備,后續包只要通過設備也可以生成會話表項。
包過濾機制
包過濾過濾規則簡單,只能檢查到第三層網絡層,只對源或目的IP做檢查,防火墻的能力遠不及狀態檢測防火墻,連最基本的黑客攻擊手法IP偽裝都無法解決,并且要對所經過的所有數據包做檢查,所以速度比較慢。
NAT
內網中的設備使用私有地址,它們無法和使用公有地址的公網設備直接通信,而是通過一種特別的機制進行連接,這個機制就叫NAT。
NAT設備(如防火墻、路由器等)內部會維護一張表,上面記錄了公有地址(地址轉換設備的公網地址)和端口號與私有地址和端口號的對應關系,而NAT的基本原理就是在轉發網絡包時對包頭部中的IP地址和端口號進行改寫。
推薦文章
