什么是状态检查(Stateful Inspection)？

状态检测是计算机网络防火墙中用来防止未经授权的访问的一种技术。有时也称为动态过滤，这种方法能够在数据包进入网络之前检查整个数据包。这样，每一个进入防火墙上任何接口的包都会被彻底检查针对允许传递到另一方的连接类型的有效性。进程获得其名称是因为它不仅检查数据包，而且还监视已建立并允许通过防火墙的连接的状态与电脑倒立的女人状态检查的概念首先由Check Point®软件设计，早在20世纪90年代中期。在检查点~s®Firewall-1之前，检查™ 引擎软件，防火墙监控应用层，位于开放系统互连（OSI）模型的顶部。这在计算机处理器上往往非常繁重，因此数据包检查从OSI模型层向下移动到第三层，即网络层。早期的数据包检查只检查报头信息，数据包的寻址和协议信息，无法区分数据包的状态，例如是否是新的连接请求，资源友好和快速的包过滤方法与更详细的应用信息相结合这为数据包提供了一些上下文，从而提供了更多的信息来作为安全决策的依据。要存储所有这些信息，防火墙需要建立一个表，然后该表定义连接的状态。每个连接的详细信息，包括地址信息、端口和协议，数据包的排序信息也被存储在表中，资源紧张的唯一时间是在初始进入状态表的过程中；之后，与该状态匹配的所有其他数据包几乎不使用任何计算资源状态检查过程从第一个请求连接的数据包被捕获和检查时开始。该数据包根据防火墙规则进行匹配，在防火墙规则中，根据一系列可能的授权参数进行检查，这些参数可以无限定制，以支持以前未知的，或软件、服务和协议尚待开发。捕获的数据包初始化握手，防火墙将响应发送回请求用户确认连接。现在表中已填充了连接的状态信息，来自客户端的下一个数据包与连接状态相匹配。这将持续到连接超时或终止，表中的连接状态信息也被清除了。这导致了状态检查防火墙面临的一个问题，即拒绝服务攻击。对于这种类型的攻击，安全性没有受到损害，因为防火墙被大量请求连接的初始数据包轰炸，迫使状态表充满请求一旦满了，状态表就不能再接受任何请求，因此所有其他连接请求都会被阻止。另一种针对有状态防火墙的攻击方法利用防火墙的规则来阻止传入的流量，但允许任何传出流量。攻击者可以欺骗防火墙安全端的主机从外部请求连接，从而有效地打开主机上的任何服务供攻击者使用。