状态检测防火墙原理
对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。通过对一条连接的首包进行检测并建立会话后,该条连接的绝大部分报文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”,相对于包过滤防火墙的“逐包检测机制”的改进之处。这种改进使得状态检测防火墙在检测和转发效率上大有提升。
会话是状态检测防火墙的基础,每一个通过防火墙的数据流都会在防火墙上建立一个会话表,以五元组(源目IP地址、源目端口、协议号)为Key值,通过建立动态的会话表提供域间转发数据流更高的安全性。下一代防火墙在五元组基础上增加用户、应用字段扩展为七元组。
安全策略匹配原则
首包会做安全策略过滤,后续包不做安全策略过滤。
NGFW配置安全策略时不要忽略内容过滤,能够通过安全策略实现内容安全检测,阻断病毒、黑客等入侵,更好的保护内部网络。
