過濾防火牆和狀態防火牆

1. 動態包過濾型防火牆和靜態包過濾防火牆有什麼區別

靜態包過濾防火牆是根據定義好的過濾規則審查每個數據包，以便確定其是否與某一內條包過濾規則匹配。過容濾規則基於數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標埠、ICMP消息類型等。包過濾類型的防火牆要遵循的一條基本原則是「最小特權原則」，即明確允許那些管理員希望通過的數據包，禁止其他的數據包。
動態包過濾防火牆是就是後來的包狀態監測（Stateful Inspection）技術，監控每一個連接，自動臨時增加適當的規則。

2. 狀態檢測防火牆的技術特點是什麼

狀態檢測防火牆在網路層有一個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息，並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。

狀態檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程序數據內容的支持。狀態檢測技術最適合提供對UDP協議的有限支持。

它將所有通過防火牆的UDP分組均視為一個虛連接，當反向應答分組送達時，就認為一個虛擬連接已經建立。狀態檢測防火牆克服了包過濾防火牆和應用代理伺服器的局限性，不僅僅檢測"to"和"from"的地址，而且不要求每個訪問的應用都有代理。

1. 安全性好

狀態檢測防火牆工作在數據鏈路層和網路層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，網路層是協議棧的第一層，這樣防火牆確保了截取和檢查所有通過網路的原始數據包。防火牆截取到數據包就處理它們，首先根據安全策略從數據包中提取有用信息，保存在內存中;然後將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許數據包通過、拒絕數據包、認證連接、加密數據等。狀態檢測防火牆雖然工作在協議棧較低層，但它檢測所有應用層的數據包，從中提取有用信息，如IP地址、埠號、數據內容等，這樣安全性得到很大提高。

2. 性能高效

狀態檢測防火牆工作在協議棧的較低層，通過防火牆的所有的數據包都在低層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多;另外在這種防火牆中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。

3. 擴展性好

狀態檢測防火牆不像應用網關式防火牆那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性降低。狀態檢測防火牆不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包，當有一個新的應用時，它能動態產生新的應用的新的規則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。

4. 配置方便,應用范圍廣

狀態檢測防火牆不僅支持基於TCP的應用，而且支持基於無連接協議的應用，如RPC、基於UDP的應用(DNS 、WAIS、 Archie等)等。對於無連接的協議，連接請求和應答沒有區別，包過濾防火牆和應用網關對此類應用要麼不支持，要麼開放一個大范圍的UDP埠，這樣暴露了內部網，降低了安全性。

狀態檢測防火牆實現了基於UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現。防火牆保存通過網關的每一個連接的狀態信息，允許穿過防火牆的UDP請求包被記錄，當UDP包在相反方向上通過時，依據連接狀態表確定該UDP包是否被授權的，若已被授權，則通過，否則拒絕。如果在指定的一段時間內響應數據包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都被阻塞.狀態檢測防火牆可以控制無效連接的連接時間，避免大量的無效連接佔用過多的網路資源，可以很好的降低DOS和DDOS攻擊的風險。

狀態檢測防火牆也支持RPC，因為對於RPC服務來說，其埠號是不定的，因此簡單的跟蹤埠號是不能實現該種服務的安全，狀態檢測防火牆通過動態埠映射圖記錄埠號，為驗證該連接還保存連接狀態、程序號等，通過動態埠映射圖來實現此類應用的安全。

3. 狀態檢測和數據包過濾防火牆有何區別

問:在什麼情況下應用使用狀態檢測防火牆，和在什麼情況下應該使用數據包過濾防火牆? 答:總的來說，使用狀態檢測的防火牆是行業標准。狀態檢測防火牆幾年前就在大多數情況下取代了數據包過濾防火牆。大多數現代的防火牆系統都利用狀態監測技術的優勢。 這兩種防火牆的主要區別是，狀態監測系統維護一個狀態表，讓這些系統跟蹤通過防火牆的全部開放的連接。而數據包過濾防火牆就沒有這個功能。當通訊到達時，這個系統把這個通訊與狀態表進行比較，確定這個通訊是不是一個已經建立起來的通訊的一部分。 你可能看到數據包過濾防火牆在目前的環境中惟一使用的地方就是面向互聯網的路由器。這些設備通常執行基本的數據包過濾規則以消除明顯的不需要的通訊並且減輕緊跟在這台路由器後面的狀態監測防火牆的工作負荷。點擊此處查看本文國際來源

4. 代理伺服器型防火牆和包過濾型防火牆的主要區別在哪裡哪種用得更普遍些

包過濾防火牆工作在網路協議IP層，它只對IP包的源地址、目標地址及內相應埠進行處理，因此容速度比較快，能夠處理的並發連接比較多，缺點是對應用層的攻擊無能為力。

代理伺服器防火牆將收到的IP包還原成高層協議的通訊數據，比如http連接信息，因此能夠對基於高層協議的攻擊進行攔截。缺點是處理速度比較慢，能夠處理的並發數比較少。

代理伺服器是防火牆技術的發展方向，眾多廠商都在提高處理速度的同時基於代理開發防火牆的更高級防護功能。

但是現在總的來說還是包過濾的防火牆更普遍一些，因為很多代理功能的已經被伺服器取代叻！

5. 靜態包過濾防火牆、動態（狀態檢測）包過濾防火牆、應用層（代理）防火牆這三類防火牆適用情況

//ok，我改
//包過濾的防火牆最簡單，你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過]，它不支持應用層的過濾，不支持數據包內容的過濾。
//狀態防火牆更復雜一點，按照TCP基於狀態的特點，在防火牆上記錄各個連接的狀態，這可以彌補包過濾防火牆的缺點，比如你允許了ip為1.1.1.1的數據包通過防火牆，但是惡意的人偽造ip的話，沒有通過tcp的三次握手也可以闖過包過濾防火牆。
//應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。
//

一、當前防火牆技術分類
防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。

1.1 包過濾技術
包過濾防火牆工作在網路層，對數據包的源及目地 IP 具有識別和控製作用，對於傳輸層，也只能識別數據包是 TCP 還是 UDP 及所用的埠信息，如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析，包過濾防火牆的處理速度較快，並且易於配置。

包過濾防火牆具有根本的缺陷：
1 ．不能防範黑客攻擊。包過濾防火牆的工作基於一個前提，就是網管知道哪些 IP 是可信網路，哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現，網管不可能區分出可信網路與不可信網路的界限，對於黑客來說，只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆，進入內網，而任何一個初級水平的黑客都能進行 IP 地址欺騙。
2 ．不支持應用層協議。假如內網用戶提出這樣一個需求，只允許內網員工訪問外網的網頁（使用 HTTP 協議），不允許去外網下載電影（一般使用 FTP 協議）。包過濾防火牆無能為力，因為它不認識數據包中的應用層協議，訪問控制粒度太粗糙。
3 ．不能處理新的安全威脅。它不能跟蹤 TCP 狀態，所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時，一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。
綜上可見，包過濾防火牆技術面太過初級，就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他（她）進入一樣，難以履行保護內網安全的職責。

1.2 應用代理網關技術
應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。

缺點也非常突出，主要有：
· 難於配置。由於每個應用都要求單獨的代理進程，這就要求網管能理解每項應用協議的弱點，並能合理的配置安全策略，由於配置繁瑣，難於理解，容易出現配置失誤，最終影響內網的安全防範能力。
· 處理速度非常慢。斷掉所有的連接，由防火牆重新建立連接，理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行，因為對於內網的每個 Web 訪問請求，應用代理都需要開一個單獨的代理進程，它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器，及業務程序等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內網用戶的正常 Web 訪問不能及時得到響應。
總之，應用代理防火牆不能支持大規模的並發連接，在對速度敏感的行業使用這類防火牆時簡直是災難。另外，防火牆核心要求預先內置一些已知應用程序的代理，使得一些新出現的應用在代理防火牆內被無情地阻斷，不能很好地支持新應用。
在 IT 領域中，新應用、新技術、新協議層出不窮，代理防火牆很難適應這種局面。因此，在一些重要的領域和行業的核心業務應用中，代理防火牆正被逐漸疏遠。
但是，自適應代理技術的出現讓應用代理防火牆技術出現了新的轉機，它結合了代理防火牆的安全性和包過濾防火牆的高速度等優點，在不損失安全性的基礎上將代理防火牆的性能提高了 10 倍。

1.3 狀態檢測技術
我們知道， Internet 上傳輸的數據都必須遵循 TCP/IP 協議，根據 TCP 協議，每個可靠連接的建立需要經過 「 客戶端同步請求 」 、 「 伺服器應答 」 、 「 客戶端再應答 」 三個階段，我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的，而是前後之間有著密切的狀態聯系，基於這種狀態變化，引出了狀態檢測技術。
狀態檢測防火牆摒棄了包過濾防火牆僅考查數據包的 IP 地址等幾個參數，而不關心數據包連接狀態變化的缺點，在防火牆的核心部分建立狀態連接表，並將進出網路的數據當成一個個的會話，利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀態，因此提供了完整的對傳輸層的控制能力。
網關防火牆的一個挑戰就是能處理的流量，狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術，使防火牆性能大幅度提升，能應用在各類網路環境中，尤其是在一些規則復雜的大型網路上。
任何一款高性能的防火牆，都會採用狀態檢測技術。
從 2000 年開始，國內的著名防火牆公司，如北京天融信等公司，都開始採用這一最新的體系架構，並在此基礎上，天融信 NGFW4000 創新推出了核檢測技術，在操作系統內核模擬出典型的應用層協議，在內核實現對應用層協議的過濾，在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。

二、防火牆發展的新技術趨勢

2.1 新需求引發的技術走向
防火牆技術的發展離不開社會需求的變化，著眼未來，我們注意到以下幾個新的需求。
· 遠程辦公的增長。這次全國主要城市先後受到 SARS 病毒的侵襲，直接促成大量的企事業在家辦公，這就要求防火牆既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。現在一些廠商推出的 VPN （虛擬專用網）技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火牆，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。
· 內部網路 「 包廂化 」 （ compartmentalizing ）。人們通常認為處在防火牆保護下的內網是可信的，只有 Internet 是不可信的。由於黑客攻擊技術和工具在 Internet 上隨手可及，使得內部網路的潛在威脅大大增加，這種威脅既可以是外網的人員，也可能是內網用戶，不再存在一個可信網路環境。
由於無線網路的快速應用以及傳統撥號方式的繼續存在，內網受到了前所未有的威脅。企業之前的合作將合作夥伴納入了企業網路里，全國各地的分支機構共享一個論壇，都使可信網路的概念變得模糊起來。應對的辦法就是將內部網細分成一間間的 「 包廂 」 ，對每個 「 包廂 」 實施獨立的安全策略。

2.2 黑客攻擊引發的技術走向
防火牆作為內網的貼身保鏢，黑客攻擊的特點也決定了防火牆的技術走向。
 80 埠的關閉。從受攻擊的協議和埠來看，排在第一位的就是 HTTP 協議（ 80 埠）。

根據 SANS 的調查顯示，提供 HTTP 服務的 IIS 和 Apache 是最易受到攻擊，這說明 80 埠所引發的威脅最多。
因此，無論是未來的防火牆技術還是現在應用的防火牆產品，都應盡可能將 80 埠關閉。
· 數據包的深度檢測。 IT 業界權威機構 Gartner 認為代理不是阻止未來黑客攻擊的關鍵，但是防火牆應能分辨並阻止數據包的惡意行為，包檢測的技術方案需要增加簽名檢測 (signature inspection) 等新的功能，以查找已經的攻擊，並分辨出哪些是正常的數據流，哪些是異常數據流。
· 協同性。從黑客攻擊事件分析，對外提供 Web 等應用的伺服器是防護的重點。單單依靠防火牆難以防範所有的攻擊行為，這就需要將防火牆技術、入侵檢測技術、病毒檢測技術有效協同，共同完成保護網路安全的任務。早在 2000 年，北京天融信公司就已經認識到了協同的必要性和緊迫性，推出了 TOPSEC 協議，與 IDS 等其他安全設備聯動，與其他安全設備配合組成一個有機的可擴展的安全體系平台。目前主要支持和 IDS 的聯動和認證伺服器進行聯動。如支持國內十幾家知名的 IDS 、安全管理系統、安全審計、其他認證系統等等組成完整的 TOPSEC 解決方案。 2002 年 9 月，北電、思科和 Check Point 一道宣布共同推出安全產品，也體現了廠商之間優勢互補、互通有無的趨勢。

6. 靜態包過濾防火牆和狀態檢測防火牆有何區別

狀態檢測防火牆基於防火牆所維護的狀態表的內容轉發或拒絕數據包的傳送，比普內通的包過濾有容著更好的網路性能和安全性。普通包過濾防火牆使用的過濾規則集是靜態的。而採用狀態檢測技術的防火牆在運行過程中一直維護著一張狀態表，這張表記錄了從受保護網路發出的數據包的狀態信息，然後防火牆根據該表內容對返回受保護網路的數據包進行分析判斷，這樣，只有響應受保護網路請求的數據包才被放行。對用戶來說，狀態檢測不但能提高網路的性能，還能增強網路的安全性。
希望可以幫到你，謝謝！

7. 狀態檢測防火牆的優點

1. 安全性好
狀態檢測防火牆工作在數據鏈路層和網路層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，網路層是協議棧的第一層，這樣防火牆確保了截取和檢查所有通過網路的原始數據包。防火牆截取到數據包就處理它們，首先根據安全策略從數據包中提取有用信息，保存在內存中；然後將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許數據包通過、拒絕數據包、認證連接、加密數據等。狀態檢測防火牆雖然工作在協議棧較低層，但它檢測所有應用層的數據包，從中提取有用信息，如IP地址、埠號、數據內容等，這樣安全性得到很大提高。
2. 性能高效
狀態檢測防火牆工作在協議棧的較低層，通過防火牆的所有的數據包都在低層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多；另外在這種防火牆中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。
3. 擴展性好
狀態檢測防火牆不像應用網關式防火牆那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性降低。狀態檢測防火牆不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包，當有一個新的應用時，它能動態產生新的應用的新的規則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。
4. 配置方便,應用范圍廣
狀態檢測防火牆不僅支持基於TCP的應用，而且支持基於無連接協議的應用，如RPC、基於UDP的應用(DNS 、WAIS、 Archie等)等。對於無連接的協議，連接請求和應答沒有區別，包過濾防火牆和應用網關對此類應用要麼不支持，要麼開放一個大范圍的UDP埠，這樣暴露了內部網，降低了安全性。
狀態檢測防火牆實現了基於UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現。防火牆保存通過網關的每一個連接的狀態信息，允許穿過防火牆的UDP請求包被記錄，當UDP包在相反方向上通過時，依據連接狀態表確定該UDP包是否被授權的，若已被授權，則通過，否則拒絕。如果在指定的一段時間內響應數據包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都被阻塞.狀態檢測防火牆可以控制無效連接的連接時間，避免大量的無效連接佔用過多的網路資源，可以很好的降低DOS和DDOS攻擊的風險。
狀態檢測防火牆也支持RPC，因為對於RPC服務來說，其埠號是不定的，因此簡單的跟蹤埠號是不能實現該種服務的安全，狀態檢測防火牆通過動態埠映射圖記錄埠號，為驗證該連接還保存連接狀態、程序號等，通過動態埠映射圖來實現此類應用的安全。
狀態檢測防火牆缺點
包過濾防火牆得以進行正常工作的一切依據都在於過濾規則的實施，但又不能滿足建立精細規則的要求，並不能分析高級協議中的數據。應用網路關防火牆的每個連接都必須建立在為之創建的有一套復雜的協議分析機制的代理程序進程上，這會導致數據延遲的現象。
狀態檢測防火牆雖然繼承了包過濾防火牆和應用網關防火牆的優點，克服了它們的缺點，但它仍只是檢測數據包的第三層信息，無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。
包過濾防火牆和網關代理防火牆以及狀態檢測防火牆都有固有的無法克服的缺陷，不能滿足用戶對於安全性的不斷的要求，於是深度包檢測防火牆技術被提出了。

8. 包過濾防火牆 狀態防火牆 應用網關防火牆 分別工作在幾層 急 求指教 謝謝 感激不盡

應用層 --------應用網關防火牆
表示層
會話層
傳輸層 ---------狀態監測防火牆
網路層 ---------包過濾防火牆、狀態監測防火牆
數據鏈路層
物理層

9. 急!請教:Linux狀態包過濾防火牆與Linux包過濾防火牆有何主要區別

你在規則中加入-m state 就是狀態防火牆了,沒有就不是啦
區別在於是否可以區分連接狀態