理在某些方面天生有着比包过滤路由器更高的安全性。包过滤路由器曾经受到执行缺陷及操作系统漏洞的困扰。由于包过滤能力是“附加”到路由功能上的,因此它们无法更正或补偿某些特定类型的路由失败。
由于要进行更复杂的过滤和访问控制,,应用代理需要占用大量的系统资源,并且需要更为昂贵的主机来运行它。比如,如果一个UNIX平台采用了某种防火墙技术,并且需要支持200个并行会话,这台机器必须能够支持200个HTTP代理进程并提供合理的性能。再加上100个FTP会话,25个SMTP会话,一些LDAP会话和一些DNS事务,那么,你就需要一台能够处理500至1000个代理进程的主机。某些代理通过内核线程来实现(这样可以明显的减少资源需求),但是资源需求依旧很高。
状态验证和动态包过滤
我们使用术语“状态验证或动态包过滤”来指代路由器上一组更有能力的过滤功能。包过滤的限制在于它的过滤决策只基于每个单独的包的包头信息,而不考虑任何之前的包。状态验证过滤允许有效负荷(信息内容)的集合和前面的包提供的上下文作用于过滤决策。和包过滤一样,状态验证也是作为路由功能的“附加”而实现的,因此执行状态验证的主机也必须作为路由器。
数据载入中...
页码:[1] [2] [3] [4] [5] [6] [7] [8] 第8页、共8页 |
