过滤防火墙和状态防火墙

1. 动态包过滤型防火墙和静态包过滤防火墙有什么区别

静态包过滤防火墙是根据定义好的过滤规则审查每个数据包，以便确定其是否与某一内条包过滤规则匹配。过容滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。
动态包过滤防火墙是就是后来的包状态监测（Stateful Inspection）技术，监控每一个连接，自动临时增加适当的规则。

2. 状态检测防火墙的技术特点是什么

状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。

状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。

它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测"to"和"from"的地址，而且不要求每个访问的应用都有代理。

1. 安全性好

状态检测防火墙工作在数据链路层和网络层之间，它从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中;然后将相关信息组合起来，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接、加密数据等。状态检测防火墙虽然工作在协议栈较低层，但它检测所有应用层的数据包，从中提取有用信息，如IP地址、端口号、数据内容等，这样安全性得到很大提高。

2. 性能高效

状态检测防火墙工作在协议栈的较低层，通过防火墙的所有的数据包都在低层处理，而不需要协议栈的上层处理任何数据包，这样减少了高层协议头的开销，执行效率提高很多;另外在这种防火墙中一旦一个连接建立起来，就不用再对这个连接做更多工作，系统可以去处理别的连接，执行效率明显提高。

3. 扩展性好

状态检测防火墙不像应用网关式防火墙那样，每一个应用对应一个服务程序，这样所能提供的服务是有限的，而且当增加一个新的服务时，必须为新的服务开发相应的服务程序，这样系统的可扩展性降低。状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新的规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。

4. 配置方便,应用范围广

状态检测防火墙不仅支持基于TCP的应用，而且支持基于无连接协议的应用，如RPC、基于UDP的应用(DNS 、WAIS、 Archie等)等。对于无连接的协议，连接请求和应答没有区别，包过滤防火墙和应用网关对此类应用要么不支持，要么开放一个大范围的UDP端口，这样暴露了内部网，降低了安全性。

状态检测防火墙实现了基于UDP应用的安全，通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息，允许穿过防火墙的UDP请求包被记录，当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权的，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到达，连接超时，则该连接被阻塞，这样所有的攻击都被阻塞.状态检测防火墙可以控制无效连接的连接时间，避免大量的无效连接占用过多的网络资源，可以很好的降低DOS和DDOS攻击的风险。

状态检测防火墙也支持RPC，因为对于RPC服务来说，其端口号是不定的，因此简单的跟踪端口号是不能实现该种服务的安全，状态检测防火墙通过动态端口映射图记录端口号，为验证该连接还保存连接状态、程序号等，通过动态端口映射图来实现此类应用的安全。

3. 状态检测和数据包过滤防火墙有何区别

问:在什么情况下应用使用状态检测防火墙，和在什么情况下应该使用数据包过滤防火墙? 答:总的来说，使用状态检测的防火墙是行业标准。状态检测防火墙几年前就在大多数情况下取代了数据包过滤防火墙。大多数现代的防火墙系统都利用状态监测技术的优势。 这两种防火墙的主要区别是，状态监测系统维护一个状态表，让这些系统跟踪通过防火墙的全部开放的连接。而数据包过滤防火墙就没有这个功能。当通讯到达时，这个系统把这个通讯与状态表进行比较，确定这个通讯是不是一个已经建立起来的通讯的一部分。 你可能看到数据包过滤防火墙在目前的环境中惟一使用的地方就是面向互联网的路由器。这些设备通常执行基本的数据包过滤规则以消除明显的不需要的通讯并且减轻紧跟在这台路由器后面的状态监测防火墙的工作负荷。点击此处查看本文国际来源

4. 代理服务器型防火墙和包过滤型防火墙的主要区别在哪里哪种用得更普遍些

包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及内相应端口进行处理，因此容速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。

代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。

代理服务器是防火墙技术的发展方向，众多厂商都在提高处理速度的同时基于代理开发防火墙的更高级防护功能。

但是现在总的来说还是包过滤的防火墙更普遍一些，因为很多代理功能的已经被服务器取代叻！

5. 静态包过滤防火墙、动态（状态检测）包过滤防火墙、应用层（代理）防火墙这三类防火墙适用情况

//ok，我改
//包过滤的防火墙最简单，你可以指定让某个IP或某个端口或某个网段的数据包通过[或不通过]，它不支持应用层的过滤，不支持数据包内容的过滤。
//状态防火墙更复杂一点，按照TCP基于状态的特点，在防火墙上记录各个连接的状态，这可以弥补包过滤防火墙的缺点，比如你允许了ip为1.1.1.1的数据包通过防火墙，但是恶意的人伪造ip的话，没有通过tcp的三次握手也可以闯过包过滤防火墙。
//应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。
//

一、当前防火墙技术分类
防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。

1.1 包过滤技术
包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。
由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。

包过滤防火墙具有根本的缺陷：
1 ．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。
2 ．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。
3 ．不能处理新的安全威胁。它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。
综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。

1.2 应用代理网关技术
应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。

缺点也非常突出，主要有：
· 难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。
· 处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个 Web 访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的 Web 服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常 Web 访问不能及时得到响应。
总之，应用代理防火墙不能支持大规模的并发连接，在对速度敏感的行业使用这类防火墙时简直是灾难。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。
在 IT 领域中，新应用、新技术、新协议层出不穷，代理防火墙很难适应这种局面。因此，在一些重要的领域和行业的核心业务应用中，代理防火墙正被逐渐疏远。
但是，自适应代理技术的出现让应用代理防火墙技术出现了新的转机，它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了 10 倍。

1.3 状态检测技术
我们知道， Internet 上传输的数据都必须遵循 TCP/IP 协议，根据 TCP 协议，每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段，我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。
网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。
任何一款高性能的防火墙，都会采用状态检测技术。
从 2000 年开始，国内的著名防火墙公司，如北京天融信等公司，都开始采用这一最新的体系架构，并在此基础上，天融信 NGFW4000 创新推出了核检测技术，在操作系统内核模拟出典型的应用层协议，在内核实现对应用层协议的过滤，在实现安全目标的同时可以得到极高的性能。目前支持的协议有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的应用协议。

二、防火墙发展的新技术趋势

2.1 新需求引发的技术走向
防火墙技术的发展离不开社会需求的变化，着眼未来，我们注意到以下几个新的需求。
· 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭，直接促成大量的企事业在家办公，这就要求防火墙既能抵抗外部攻击，又能允许合法的远程访问，做到更细粒度的访问控制。现在一些厂商推出的 VPN （虚拟专用网）技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙，这样可以确保信息的保密性，又能成为识别入侵行为的手段。
· 内部网络 “ 包厢化 ” （ compartmentalizing ）。人们通常认为处在防火墙保护下的内网是可信的，只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及，使得内部网络的潜在威胁大大增加，这种威胁既可以是外网的人员，也可能是内网用户，不再存在一个可信网络环境。
由于无线网络的快速应用以及传统拨号方式的继续存在，内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业网络里，全国各地的分支机构共享一个论坛，都使可信网络的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ，对每个 “ 包厢 ” 实施独立的安全策略。

2.2 黑客攻击引发的技术走向
防火墙作为内网的贴身保镖，黑客攻击的特点也决定了防火墙的技术走向。
 80 端口的关闭。从受攻击的协议和端口来看，排在第一位的就是 HTTP 协议（ 80 端口）。

根据 SANS 的调查显示，提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击，这说明 80 端口所引发的威胁最多。
因此，无论是未来的防火墙技术还是现在应用的防火墙产品，都应尽可能将 80 端口关闭。
· 数据包的深度检测。 IT 业界权威机构 Gartner 认为代理不是阻止未来黑客攻击的关键，但是防火墙应能分辨并阻止数据包的恶意行为，包检测的技术方案需要增加签名检测 (signature inspection) 等新的功能，以查找已经的攻击，并分辨出哪些是正常的数据流，哪些是异常数据流。
· 协同性。从黑客攻击事件分析，对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为，这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同，共同完成保护网络安全的任务。早在 2000 年，北京天融信公司就已经认识到了协同的必要性和紧迫性，推出了 TOPSEC 协议，与 IDS 等其他安全设备联动，与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。如支持国内十几家知名的 IDS 、安全管理系统、安全审计、其他认证系统等等组成完整的 TOPSEC 解决方案。 2002 年 9 月，北电、思科和 Check Point 一道宣布共同推出安全产品，也体现了厂商之间优势互补、互通有无的趋势。

6. 静态包过滤防火墙和状态检测防火墙有何区别

状态检测防火墙基于防火墙所维护的状态表的内容转发或拒绝数据包的传送，比普内通的包过滤有容着更好的网络性能和安全性。普通包过滤防火墙使用的过滤规则集是静态的。而采用状态检测技术的防火墙在运行过程中一直维护着一张状态表，这张表记录了从受保护网络发出的数据包的状态信息，然后防火墙根据该表内容对返回受保护网络的数据包进行分析判断，这样，只有响应受保护网络请求的数据包才被放行。对用户来说，状态检测不但能提高网络的性能，还能增强网络的安全性。
希望可以帮到你，谢谢！

7. 状态检测防火墙的优点

1. 安全性好
状态检测防火墙工作在数据链路层和网络层之间，它从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中；然后将相关信息组合起来，进行一些逻辑或数学运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接、加密数据等。状态检测防火墙虽然工作在协议栈较低层，但它检测所有应用层的数据包，从中提取有用信息，如IP地址、端口号、数据内容等，这样安全性得到很大提高。
2. 性能高效
状态检测防火墙工作在协议栈的较低层，通过防火墙的所有的数据包都在低层处理，而不需要协议栈的上层处理任何数据包，这样减少了高层协议头的开销，执行效率提高很多；另外在这种防火墙中一旦一个连接建立起来，就不用再对这个连接做更多工作，系统可以去处理别的连接，执行效率明显提高。
3. 扩展性好
状态检测防火墙不像应用网关式防火墙那样，每一个应用对应一个服务程序，这样所能提供的服务是有限的，而且当增加一个新的服务时，必须为新的服务开发相应的服务程序，这样系统的可扩展性降低。状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新的规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。
4. 配置方便,应用范围广
状态检测防火墙不仅支持基于TCP的应用，而且支持基于无连接协议的应用，如RPC、基于UDP的应用(DNS 、WAIS、 Archie等)等。对于无连接的协议，连接请求和应答没有区别，包过滤防火墙和应用网关对此类应用要么不支持，要么开放一个大范围的UDP端口，这样暴露了内部网，降低了安全性。
状态检测防火墙实现了基于UDP应用的安全，通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息，允许穿过防火墙的UDP请求包被记录，当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权的，若已被授权，则通过，否则拒绝。如果在指定的一段时间内响应数据包没有到达，连接超时，则该连接被阻塞，这样所有的攻击都被阻塞.状态检测防火墙可以控制无效连接的连接时间，避免大量的无效连接占用过多的网络资源，可以很好的降低DOS和DDOS攻击的风险。
状态检测防火墙也支持RPC，因为对于RPC服务来说，其端口号是不定的，因此简单的跟踪端口号是不能实现该种服务的安全，状态检测防火墙通过动态端口映射图记录端口号，为验证该连接还保存连接状态、程序号等，通过动态端口映射图来实现此类应用的安全。
状态检测防火墙缺点
包过滤防火墙得以进行正常工作的一切依据都在于过滤规则的实施，但又不能满足建立精细规则的要求，并不能分析高级协议中的数据。应用网络关防火墙的每个连接都必须建立在为之创建的有一套复杂的协议分析机制的代理程序进程上，这会导致数据延迟的现象。
状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。
包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷，不能满足用户对于安全性的不断的要求，于是深度包检测防火墙技术被提出了。

8. 包过滤防火墙 状态防火墙 应用网关防火墙 分别工作在几层 急 求指教 谢谢 感激不尽

应用层 --------应用网关防火墙
表示层
会话层
传输层 ---------状态监测防火墙
网络层 ---------包过滤防火墙、状态监测防火墙
数据链路层
物理层

9. 急!请教:Linux状态包过滤防火墙与Linux包过滤防火墙有何主要区别

你在规则中加入-m state 就是状态防火墙了,没有就不是啦
区别在于是否可以区分连接状态