状态检测包过滤可以根据历史的连接信息,生成状态表,并据此对后续数据包进行动态的访问控制。这种方式的好处在于不需要对每个数据包进行规则检查,从而使性能得到了较大提高。同时由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步的提高。
AngellPRO防火墙采用了一个检测模块(一个在网关上执行网络安全策略的软件引擎)。检测模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各层实施监测,抽取部分数据(状态信息)并动态地保存起来,作为以后制定安全决策的参考。检测模块支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充,可以快速实现基于源/目的IP地址、源MAC地址、服务/端口、用户、时间、组(网络,服务,用户,时间)的精细粒度的访问控制。
