狀態(tài)化包過濾防火墻:
定義:硬件防火墻的主流技術��,為穿越TCP和UDP流維護狀態(tài)花表項���。
基本上每一個防火墻的廠商都有狀態(tài)化包過濾的功能�,比如說checkpoint netscreen,ASA 等等
特點:
*為每一個TCP和UDP流維護stateful session flow table(狀態(tài)化表項)
*返回的數(shù)據(jù)包首先查詢狀態(tài)化表項��,如果是此前連接的一部分�����,就算被ACL拒絕�,也可以穿越防火墻,全部放行���。
*狀態(tài)化表項維護:TCP源目端口����,源目IP�����,序列號,flag位(這也是狀態(tài)化表項所包含的部分)
(flag位:主要有SYN ACK RST FIN SYN ACK是主要TCP建立連接的時候所需要的包��,RST是異常終止會話�,F(xiàn)IN是正常終止會話,除了這四個包之外��,還有兩個包�,一個是URG,和PSH)
(序列號:TCP是可靠傳輸協(xié)議�����,確保保證傳輸�,如果成功傳輸一次,序列號會增加1位)這樣來確?�?煽啃院桶踩?/p>
這里面提到一點���,也就是如果想劫持TCP會話����,那么不僅需要源目IP�����,源目端口號,還需要序列號��。
*高性能��,硬件防火墻的特性�。
