硬件防火墙
01. 状态防火墙的认识
1.1 基本概念
状态防火墙(英语:Stateful firewall),一种能够提供状态数据包检查(stateful packet inspection,缩写为SPI)或状态查看(stateful inspection)功能的防火墙,能够持续追踪穿过这个防火墙的各种网络连接(例如TCP与UDP连接)的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙,其他的数据包都会被拒绝。
1.2 Conn表
状态化防火墙维护一个关于用户 信息的连接表,称为Conn表
Conn表中的关键信息:
- 源IP地址
- 目的IP地址
- IP协议 (例如TCP或UDP)
- IP协议信息 (例如TCP/UDP端口号,TCP序列号,TCP控制位)
默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的1