|
知识路径: > 防火墙技术原理与应用 > 防火墙类型与实现技术 >
|
相关知识点:11个
|
|
|
|
基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙。如下图所示为某公司的状态防火墙处理包的流程。
|
|
|
|
|
|
|
(2)检查数据包的有效性,若无效,则丢掉数据包并审计。
|
|
|
(3)查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计。
|
|
|
(4)当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉该数据包并审计。
|
|
|