什麼是狀态化包過濾防火牆

每日小知識伴你晚睡：

狀态化包過濾防火牆：

   定義：硬體防火牆的主流技術，為穿越TCP和UDP流維護狀态花表項。

基本上每一個防火牆的廠商都有狀态化包過濾的功能，比如說checkpoint  netscreen，ASA 等等

特點：

       *為每一個TCP和UDP流維護stateful session flow table（狀态化表項）

       *傳回的資料包首先查詢狀态化表項，如果是此前連接配接的一部分，就算被ACL拒絕，也可以穿越防火牆，全部放行。

       *狀态化表項維護：TCP源目端口，源目IP，序列号，flag位（這也是狀态化表項所包含的部分）

（flag位：主要有SYN ACK RST FIN   SYN ACK是主要TCP建立連接配接的時候所需要的包，RST是異常終止會話，FIN是正常終止會話，除了這四個包之外，還有兩個包，一個是URG，和PSH）

（序列号：TCP是可靠傳輸協定，確定保證傳輸，如果成功傳輸一次，序列号會增加1位）這樣來確定可靠性和安全性

這裡面提到一點，也就是如果想劫持TCP會話，那麼不僅需要源目IP，源目端口号，還需要序列号。

        *高性能，硬體防火牆的特性。

本文轉自EnderJoe 51CTO部落格，原文連結:http://blog.51cto.com/enderjoe/1431800