Может, кто-нибудь объяснить, что такое Statefull Firewall и как он работает? Также было бы полезно сравнить его с межсетевым экраном без сохранения состояния.
-8
1 ответ
2
Stateful означает, что он отслеживает соединения, смотрит на 3-х стороннее рукопожатие, SYN, ACK и т.д. Он знает, собирается ли пакет установить новое соединение. Он знает, является ли пакет частью существующего соединения.
Безгражданство означает, что это не так. Он просто смотрит на IP, PORT, входящий или исходящий пакет (направление пакета). Stateful может сделать это и многое другое
Если он не имеет состояния, это означает, что вы не можете указать, разрешить ли в установленных подключениях или разрешить вход / выход новых подключений. Вы можете просто указать, например, разрешить все пакеты на этом порту с этого / этих IP-адресов.
Если вы запускаете сервер и хотите, чтобы брандмауэр пропускал пакеты для этого сервера, то это нормально для пропуска пакетов на сервер. Вы разрешаете все пакеты и разрешаете все пакеты, и вы можете ограничить некоторые IP-адреса. Так что нет никакой разницы, будь то государство или государство.
Но если вы хотите просматривать веб-страницы, то, если это был межсетевой экран с сохранением состояния, вы можете сказать: Разрешить все пакеты на порт 80 и разрешить УСТАНОВЛЕННЫЕ входящие или исходящие. (это характерно для iptables) Таким образом, единственные входящие пакеты - это те, которые являются частью уже установленного соединения. Выходящие пакеты предназначены для создания нового соединения или являются частью существующего соединения, или, скорее, все может выйти, а не отрицать правило. это обычная конфигурация. Правило в iptables разрешить в пакетах от установленных соединений -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT из статьи iptables "На пути к идеальному набору правил" http://inai.de/documents/Perfect_Ruleset.pdf
Или, что сделано с ipfw, разрешите исходящее соединение через порт 80, и любые пакеты, связанные с этим соединением, могут входить или выходить. Это с состоянием. allow tcp from any to any 80 out setup keep-state
Брандмауэр без сохранения состояния не отслеживает соединения. Я не использовал его, поэтому, хотя я знаю его ограничения, из-за этого я не уверен, что с его помощью лучше всего настроить веб-браузер, но я полагаю, что вам придется разрешать пакеты от порта 80 на любой порт> 1023. И разрешить все пакеты на порт 80. Если вы используете сервер на высоком порту (некоторые делают это для безопасности), то это будет довольно небезопасно, потому что любой может подключиться к нему из-за такого непринужденного правила для просмотра веб-страниц, поэтому я полагаю, вы бы поставили любой сервер на низком порту. Тем не менее, я не использовал правило без состояния, чтобы разрешить просмотр веб-страниц. Я не уверен в самых безопасных способах сделать это. Хотя я не думаю, что кто-то будет использовать брандмауэр без сохранения состояния, особенно не для этого.