Брандмауэры с фильтрацией пакетов без сохранения состояния и с сохранением состояния

Опубликовано: 16 Сентября, 2022

Брандмауэры с фильтрацией пакетов проверяют IP-адреса источника и получателя, протоколы (протокол пользовательских дейтаграмм (UDP) и протокол управления передачей (TCP)), а также адреса портов. Если оба IP-адреса совпадают, пакет считается защищенным и проверенным.

Брандмауэры с фильтрацией пакетов делятся на две категории:

  1. Брандмауэры с фильтрацией пакетов без сохранения состояния
  2. Брандмауэры с фильтрацией пакетов с отслеживанием состояния

Прежде чем перейти к межсетевым экранам без сохранения состояния и с сохранением состояния, давайте узнаем значение двух терминов:

  1. Состояние
  2. Контекст

Они объясняются следующим образом.

1. Состояние –
Проще говоря, состояние означает последнее известное или текущее состояние процесса, а управление состоянием означает отслеживание процесса. В качестве примера возьмем связь на основе TCP. В TCP четыре бита из девяти назначаемых управляющих битов используются для управления состоянием соединения. Четыре бита управления: 1. SYN 2. ACK 3. FIN и 4. RST .

  • Сначала клиент инициирует соединение, используя трехстороннее рукопожатие. Стек TCP устанавливает флаг SYN, чтобы указать на начало нового соединения.
  • Затем соединение получает SYN+ACK от сервера в тот момент, когда брандмауэр проверяет пакеты с обеих сторон и продвигает свое внутреннее состояние соединения к ESTABLISHED . Однако, когда брандмауэр видит пакет RST или FIN+ACK, он помечает состояние соединения для удаления. Любые будущие пакеты для этого соединения будут отклонены.

2. Контекст –
Контекст соединения состоит из метаданных, относящихся к пакетам. Он включает IP-адреса и номер порта источника и получателя. Он также включает длину пакета, информацию уровня 3, связанную с повторной сборкой и фрагментацией, порядковые номера TCP уровня 4, флаги и т. д.

Брандмауэры с отслеживанием состояния:
Этот брандмауэр расположен на уровнях 3 и 4 модели взаимодействия открытых систем (OSI). Как следует из названия, межсетевой экран с отслеживанием состояния всегда отслеживает состояние сетевых подключений. Как только определенный вид трафика одобрен брандмауэром с отслеживанием состояния, он добавляется в таблицу состояний. Записи таблицы состояний создаются для потоков TCP (протокол управления передачей) или дейтаграмм UDP (протокол пользовательских дейтаграмм), которым разрешен обмен данными через брандмауэр в соответствии с настроенной политикой безопасности. Если трафик отсутствует в течение определенного времени (зависит от реализации), соединение удаляется из таблицы состояний.

Плюсы-

  1. Брандмауэры с отслеживанием состояния хорошо умеют обнаруживать поддельные сообщения или несанкционированный доступ.
  2. Эти брандмауэры имеют мощную память для сохранения ключевых аспектов сетевых подключений.
  3. Это интеллектуальные системы. Они принимают будущие решения по фильтрации на основе прошлых и настоящих результатов. Это означает, что он может автоматически останавливать конкретную кибератаку в будущем, как только она столкнется с ней, без необходимости обновлений.
  4. Этим брандмауэрам не требуется много открытых портов для правильной связи.
  5. Брандмауэры с отслеживанием состояния предлагают расширенные возможности ведения журналов и более надежное подавление атак.

Минусы-

  1. Брандмауэры с отслеживанием состояния могут быть уязвимы для распределенных атак типа «отказ в обслуживании» (DDoS).
  2. Эти брандмауэры должны быть обновлены до последних версий программного обеспечения, иначе уязвимости могут позволить хакерам получить контроль над брандмауэром.
  3. Их можно обмануть, заставив разрешить вредоносное подключение к сети, и это может произойти с помощью простого действия, такого как просмотр веб-страницы.
  4. Эти брандмауэры могут быть более чувствительными к атакам «человек посередине» (MITM), когда злоумышленник перехватывает сообщения между двумя людьми, чтобы либо шпионить за трафиком, либо вносить в него изменения.

Межсетевые экраны без сохранения состояния:
Он также известен как список контроля доступа (ACL), не хранит информацию о состоянии соединения. ACL без сохранения состояния применимы к сетевому и физическому уровням, а иногда и к транспортному уровню, чтобы узнать номера портов источника и получателя. Когда отправитель отправляет пакет и фильтруется брандмауэром, устройство проверяет соответствие любому из правил ACL, настроенных в брандмауэре, а затем соответствующим образом отбрасывает или отклоняет пакет.

Плюсы-

  1. Брандмауэры без сохранения состояния не принимают во внимание так много, как брандмауэры с отслеживанием состояния, они обычно считаются менее строгими. Именно поэтому они быстрые.
  2. Поскольку он не вдается в подробности, он довольно хорошо работает в условиях интенсивного трафика.
  3. Как правило, они дешевле, чем межсетевые экраны с отслеживанием состояния.

Минусы-

  1. Брандмауэр без сохранения состояния не может анализировать весь сетевой трафик (или пакеты), поэтому он не может идентифицировать тип трафика. Это делает его менее безопасным по сравнению с межсетевыми экранами с отслеживанием состояния.
  2. Эти брандмауэры во многих случаях должны быть тщательно настроены кем-то, кто знаком с типами трафика и атак, влияющих на сеть. Это может потребовать дополнительного времени и энергии для выполнения.

Различия между межсетевыми экранами без сохранения состояния и с сохранением состояния:

Брандмауэры с фильтрацией пакетов без сохранения состояния Брандмауэры с фильтрацией пакетов с отслеживанием состояния
1. Брандмауэры без сохранения состояния предназначены для защиты сетей на основе статической информации, такой как источник и место назначения. Межсетевые экраны с отслеживанием состояния фильтруют пакеты на основе полного контекста соединения.
2. Он использует некоторые предопределенные правила фильтрации пакетов, пакеты оцениваются на основе этого, если он соответствует предопределенным правилам, то считается «безопасным» и разрешается проходить. Если условия не выполняются, пакет считается «неопознанным» или «вредоносным» и блокируется. Он использует концепцию таблицы состояний, в которой хранится состояние законных соединений. Фильтры брандмауэра без сохранения состояния основаны только на информации заголовка в пакете, но фильтр брандмауэра с отслеживанием состояния проверяет все внутри пакетов данных, характеристики данных и каналы их передачи.
3. Менее безопасный, чем межсетевые экраны без сохранения состояния. Брандмауэры с отслеживанием состояния более безопасны.
4. Дешевле или экономичнее. Дорогой по сравнению с межсетевым экраном без сохранения состояния
5. Быстрее, чем брандмауэр с фильтрацией пакетов с отслеживанием состояния. Медленнее по скорости по сравнению с межсетевым экраном без сохранения состояния.
6. Для малых предприятий брандмауэр без сохранения состояния может быть лучшим вариантом, поскольку они сталкиваются с меньшим количеством угроз, а также имеют ограниченный бюджет. Для более крупных предприятий брандмауэр с отслеживанием состояния был бы более разумным вариантом, так как у них больше исходящего трафика, который необходимо отслеживать, и достаточно денег, чтобы позволить его себе. Брандмауэры с отслеживанием состояния предлагают динамическую фильтрацию пакетов, поэтому они могут обеспечить толстый уровень безопасности для смягчения атак.

Примечание. Брандмауэр может быть либо с отслеживанием состояния, либо без него, но не с обоими одновременно.

Компьютерные сети Picked

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023