就狀態檢測防火牆而言,我在交換機上做包過濾相比有什麼根本性的優勢。?

時間 2021-05-29 23:55:48

1樓:N戒-It

交換機本身也可以實現包過濾和狀態防火牆,區別是簡單的ACL包過濾需做雙向配置,而雙向流量模型複雜時配置量很大,且某些場景下幾乎無法實現。就出現了狀態牆。思科的交換機上有IP Intercept功能也是狀態防火牆模式,會維持乙個會話表,這樣回包就不用寫ACL放通。

另外專門的狀態防火牆側重安全防護,優化的硬體使得在效能引數上強大多了。每秒新建連線數是硬指標。

2樓:薄荷紅茶

說下我的看法,防火牆相對於交換機除了做acl訪問控制外,還可以支援路由、NAT、抗DDOS等,當然這些都是從功能上來講的優勢。

對於交換機而言,

資料報命中ACL後,執行相應動作(丟棄、放行),來乙個資料報,查一次ACL rule。也就是包過濾。

防火牆呢,

對於TCP的資料報而言,第乙個包也就是TCP SYN包,會查詢ACL rule,然後執行動作(丟棄、放行、NAT、Route),接著會在連線表建立乙個連線,當第二個、第三個...資料報到達以後,不用再去查詢ACL rule,找連線表就行了。這也就是為何叫狀態檢測的包過濾原因了。

對於UDP資料報而言,由於UDP是無連線的,但UDP和TCP一樣有埠,所以也可以在連線表裡面建立連線,只是叫虛連線,或者偽連線,因為它本身無連線嘛。

對於ICMP包而言,由於沒有埠,但可以用ICMP報文type欄位,當作埠使用,也是偽造的,所以也可以建立乙個偽連線。

優勢

從上面可以可以看出來,交換機會對每乙個資料報都查一次ACL rule,但防火牆只對首包查詢ACL rule,後面的包查連線表,也就是連線表優先,首包由於在連線表裡找不到,就找ACL rule了。

查連線表所需要消耗的效能可是遠低於查ACL rule所配置的規則,這算是乙個優勢吧。

3樓:

因為防火牆有狀態跟蹤的機制,而交換機 ACL 沒有,這個就是本質區別。

對應到實際運用效果上,就是前者可以輕易實現只允許 A 集合中的主機單向連線 B 集合的,而後者則很難實現。

關於windows防火牆已經阻止此程式的部分功能的問題 ?

出現 公共網路 被強制勾選,且處於 不可取消 狀態表明 一 點開 網路和Internet設定 二 更改 連線屬性 三 選擇 專用網路 執行 secpol.msc 開啟 本地安全策略 到 網路列表管理器策略 裡面,双及 所有網路 進行設定,全部配置成 使用者可以更改 然後重複文頭的操作。 Window...

既然路由交換可以實現負載均衡和防火牆,為什麼還會有專門的負載裝置?

這個問題問得好。兩天前我還在和乙個Oracle東南亞的技術總監扯淡這個事情。F5可以做負載均衡,硬路由可以做,軟路由也可以做,乃至於apache也可以做。想來F5完全碾壓apache,結果那個總監還是叫我在F5後面加個apache。我嘲笑他,他反過來嘲笑我,你打算改乙個設定花2小時生效嗎?最簡單的說...

常見ARP防火牆的攻擊源追蹤功能可靠嗎?追蹤原理是什麼?

莫失莫忘 檢視ARP攻擊的IP位址。用360的ARP防火牆。360安全衛士裡面有個木馬防火牆,其中有一項是區域網防護ARP,預設是關閉的,需要手動開啟。追蹤就是確定出哪台電腦是處於混雜模式,然後再確定下哪個IP或者MAC是發出最多ARP包的。不過現在的arp攻擊都是會先偽裝自己,然後再進行攻擊的,所...