性。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性不要求每个被访问的应用都有代理,状态检测模块能够理解各种协议和应用以支持各种最新的应用服务。状态检测模块截获分析并处理所有试图通过防火墙的数据包,保证网络的高度安全和数据完整网络和各种应用的通信状态动态存储更新到动态状态表中,结合预定义好的规则实现安全策略,状态检测不仅仅对网络层检测而对 OSI 七层模型的所有层进行检测,它与前面两种防火墙技术不同,当用户访问请求到达网关的操作系统前,状态监器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳拒绝,身份认证,报警或给该通信加密等处理动作。状态检测技术的特点:安全性、高效性、可伸缩性和易扩展性。 6.4 防火墙系统的优点可以对网络安全进行集中控制和管理;防火墙将受信任的专用网与不受信任的公用网隔离开来,将承担风险的范围从整个内部网络缩小到组成防火墙系统的一台或几台主机上在结构上形成了一个控制中心,大大加强了网络安全性,并且简化了网络管理。由于防火墙在结构上的特殊位置,使其方便地提供了监视管理与审计网络的使用及预警。为解决 IP 的地址危机提供了可行方案。由于 的日益发展及其 IP 地址空间的有限,使用户无法获得足够的注册 IP地址,防火墙系统则正处于设置网络地址转换 NAT 的最佳位置, NAT 有助于缓和 IP 地址空间的不足,并使得一个结构改变 服务提供商时而不必重新编址。防火墙系统可以作为 信息服务器的安装地点,对外发布信息。 6.5 防火墙系统的局限性防火墙系统存在着如下局限性:常常需要有特殊的较为封闭的网络拓扑结构来支持,对网络安全功能的加强往往以网络服务的灵活性、多样性和开放性为代价。防火墙系统的防范对象来自外部对内部网络攻击,而不能防范不经由防火墙的攻击。比如通过 SLIP 或PPP 的拨号攻击,绕过了防火墙系统而直接拨号进入内部网络,防火墙对这样的
全文预览
