Брандмауэры с фильтрацией пакетов без сохранения состояния и с сохранением состояния
Брандмауэры с фильтрацией пакетов проверяют IP-адреса источника и получателя, протоколы (протокол пользовательских дейтаграмм (UDP) и протокол управления передачей (TCP)), а также адреса портов. Если оба IP-адреса совпадают, пакет считается защищенным и проверенным.
Брандмауэры с фильтрацией пакетов делятся на две категории:
- Брандмауэры с фильтрацией пакетов без сохранения состояния
- Брандмауэры с фильтрацией пакетов с отслеживанием состояния
Прежде чем перейти к межсетевым экранам без сохранения состояния и с сохранением состояния, давайте узнаем значение двух терминов:
- Состояние
- Контекст
Они объясняются следующим образом.
1. Состояние –
Проще говоря, состояние означает последнее известное или текущее состояние процесса, а управление состоянием означает отслеживание процесса. В качестве примера возьмем связь на основе TCP. В TCP четыре бита из девяти назначаемых управляющих битов используются для управления состоянием соединения. Четыре бита управления: 1. SYN 2. ACK 3. FIN и 4. RST .
- Сначала клиент инициирует соединение, используя трехстороннее рукопожатие. Стек TCP устанавливает флаг SYN, чтобы указать на начало нового соединения.
- Затем соединение получает SYN+ACK от сервера в тот момент, когда брандмауэр проверяет пакеты с обеих сторон и продвигает свое внутреннее состояние соединения к ESTABLISHED . Однако, когда брандмауэр видит пакет RST или FIN+ACK, он помечает состояние соединения для удаления. Любые будущие пакеты для этого соединения будут отклонены.
2. Контекст –
Контекст соединения состоит из метаданных, относящихся к пакетам. Он включает IP-адреса и номер порта источника и получателя. Он также включает длину пакета, информацию уровня 3, связанную с повторной сборкой и фрагментацией, порядковые номера TCP уровня 4, флаги и т. д.
Брандмауэры с отслеживанием состояния:
Этот брандмауэр расположен на уровнях 3 и 4 модели взаимодействия открытых систем (OSI). Как следует из названия, межсетевой экран с отслеживанием состояния всегда отслеживает состояние сетевых подключений. Как только определенный вид трафика одобрен брандмауэром с отслеживанием состояния, он добавляется в таблицу состояний. Записи таблицы состояний создаются для потоков TCP (протокол управления передачей) или дейтаграмм UDP (протокол пользовательских дейтаграмм), которым разрешен обмен данными через брандмауэр в соответствии с настроенной политикой безопасности. Если трафик отсутствует в течение определенного времени (зависит от реализации), соединение удаляется из таблицы состояний.
Плюсы-
- Брандмауэры с отслеживанием состояния хорошо умеют обнаруживать поддельные сообщения или несанкционированный доступ.
- Эти брандмауэры имеют мощную память для сохранения ключевых аспектов сетевых подключений.
- Это интеллектуальные системы. Они принимают будущие решения по фильтрации на основе прошлых и настоящих результатов. Это означает, что он может автоматически останавливать конкретную кибератаку в будущем, как только она столкнется с ней, без необходимости обновлений.
- Этим брандмауэрам не требуется много открытых портов для правильной связи.
- Брандмауэры с отслеживанием состояния предлагают расширенные возможности ведения журналов и более надежное подавление атак.
Минусы-
- Брандмауэры с отслеживанием состояния могут быть уязвимы для распределенных атак типа «отказ в обслуживании» (DDoS).
- Эти брандмауэры должны быть обновлены до последних версий программного обеспечения, иначе уязвимости могут позволить хакерам получить контроль над брандмауэром.
- Их можно обмануть, заставив разрешить вредоносное подключение к сети, и это может произойти с помощью простого действия, такого как просмотр веб-страницы.
- Эти брандмауэры могут быть более чувствительными к атакам «человек посередине» (MITM), когда злоумышленник перехватывает сообщения между двумя людьми, чтобы либо шпионить за трафиком, либо вносить в него изменения.
Межсетевые экраны без сохранения состояния:
Он также известен как список контроля доступа (ACL), не хранит информацию о состоянии соединения. ACL без сохранения состояния применимы к сетевому и физическому уровням, а иногда и к транспортному уровню, чтобы узнать номера портов источника и получателя. Когда отправитель отправляет пакет и фильтруется брандмауэром, устройство проверяет соответствие любому из правил ACL, настроенных в брандмауэре, а затем соответствующим образом отбрасывает или отклоняет пакет.
Плюсы-
- Брандмауэры без сохранения состояния не принимают во внимание так много, как брандмауэры с отслеживанием состояния, они обычно считаются менее строгими. Именно поэтому они быстрые.
- Поскольку он не вдается в подробности, он довольно хорошо работает в условиях интенсивного трафика.
- Как правило, они дешевле, чем межсетевые экраны с отслеживанием состояния.
Минусы-
- Брандмауэр без сохранения состояния не может анализировать весь сетевой трафик (или пакеты), поэтому он не может идентифицировать тип трафика. Это делает его менее безопасным по сравнению с межсетевыми экранами с отслеживанием состояния.
- Эти брандмауэры во многих случаях должны быть тщательно настроены кем-то, кто знаком с типами трафика и атак, влияющих на сеть. Это может потребовать дополнительного времени и энергии для выполнения.
Различия между межсетевыми экранами без сохранения состояния и с сохранением состояния:
Брандмауэры с фильтрацией пакетов без сохранения состояния | Брандмауэры с фильтрацией пакетов с отслеживанием состояния | |
---|---|---|
1. | Брандмауэры без сохранения состояния предназначены для защиты сетей на основе статической информации, такой как источник и место назначения. | Межсетевые экраны с отслеживанием состояния фильтруют пакеты на основе полного контекста соединения. |
2. | Он использует некоторые предопределенные правила фильтрации пакетов, пакеты оцениваются на основе этого, если он соответствует предопределенным правилам, то считается «безопасным» и разрешается проходить. Если условия не выполняются, пакет считается «неопознанным» или «вредоносным» и блокируется. | Он использует концепцию таблицы состояний, в которой хранится состояние законных соединений. Фильтры брандмауэра без сохранения состояния основаны только на информации заголовка в пакете, но фильтр брандмауэра с отслеживанием состояния проверяет все внутри пакетов данных, характеристики данных и каналы их передачи. |
3. | Менее безопасный, чем межсетевые экраны без сохранения состояния. | Брандмауэры с отслеживанием состояния более безопасны. |
4. | Дешевле или экономичнее. | Дорогой по сравнению с межсетевым экраном без сохранения состояния |
5. | Быстрее, чем брандмауэр с фильтрацией пакетов с отслеживанием состояния. | Медленнее по скорости по сравнению с межсетевым экраном без сохранения состояния. |
6. | Для малых предприятий брандмауэр без сохранения состояния может быть лучшим вариантом, поскольку они сталкиваются с меньшим количеством угроз, а также имеют ограниченный бюджет. | Для более крупных предприятий брандмауэр с отслеживанием состояния был бы более разумным вариантом, так как у них больше исходящего трафика, который необходимо отслеживать, и достаточно денег, чтобы позволить его себе. Брандмауэры с отслеживанием состояния предлагают динамическую фильтрацию пакетов, поэтому они могут обеспечить толстый уровень безопасности для смягчения атак. |
Примечание. Брандмауэр может быть либо с отслеживанием состояния, либо без него, но не с обоими одновременно.