| 基于状态的防火墙通过利用TCP会话和UDP“伪”会话的状态信息进行网络访问机制。采用状态检查技术的防火墙首先建立并维护一张会话表,当有符合已定义安全策略的TCP连接或UDP流时,防火墙会创建会话项,然后依据状态表项检查,与这些会话相关联的包才允许通过防火墙。如下图所示为某公司的状态防火墙处理包的流程。
|
|
|
|
|
|
|
|
|
|
|
| (2)检查数据包的有效性,若无效,则丢掉数据包并审计。
|
|
|
| (3)查找会话表;若找到,则进一步检查数据包的序列号和会话状态,如有效,则进行地址转换和路由,转发该数据包;否则,丢掉数据包并审计。
|
|
|
| (4)当会话表中没有新到的数据包信息时,则查找策略表,如符合策略表,则增加会话条目到会话表中,并进行地址转换和路由,转发该数据包;否则,丢掉该数据包并审计。
|
|
|
