📌  相关文章
📜  无状态与有状态数据包过滤防火墙

📅  最后修改于: 2022-05-13 01:57:02.969000             🧑  作者: Mango

无状态与有状态数据包过滤防火墙

包过滤防火墙还会检查源和目标 IP 地址、协议(用户数据报协议 (UDP) 和传输控制协议 (TCP))以及端口地址。如果两个 IP 地址匹配,则认为数据包是安全的并经过验证。

包过滤防火墙分为两类

  1. 无状态包过滤防火墙
  2. 状态包过滤防火墙

在进入无状态和有状态防火墙之前,让我们了解两个术语的含义:

  1. 状态
  2. 语境

这些解释如下。

1. 状态——
简而言之,状态是指进程的最后已知或当前状态,管理状态是指跟踪进程。我们以基于 TCP 的通信为例。在 TCP 中,九个可分配控制位中的四位用于控制连接的状态。四个控制位是- 1. SYN 2. ACK 3. FIN 和 4. RST

  • 首先,客户端使用三次握手来发起连接。 TCP 堆栈设置 SYN 标志以指示新连接的开始。
  • 然后连接收到服务器的 SYN+ACK,此时防火墙检查了来自双方的数据包,并将其内部连接状态提升为ESTABLISHED 。但是,当防火墙看到 RST 或 FIN+ACK 数据包时,它会将连接状态标记为删除。此连接的任何未来数据包都将被拒绝。

2. 背景——
连接的上下文由与数据包相关的元数据组成。它包括源和目标的 IP 地址和端口号。它还包括数据包长度、与重组和分片相关的第 3 层信息、第 4 层的 TCP 序列号、标志等。

状态防火墙:
此防火墙位于开放系统互连 (OSI) 模型的第 3 层和第 4 层。顾名思义,有状态防火墙始终跟踪网络连接的状态。一旦有状态防火墙批准了特定类型的流量,它就会被添加到状态表中。状态表条目是为 TCP(传输控制协议)流或 UDP(用户数据报协议)数据报创建的,这些数据报允许根据配置的安全策略通过防火墙进行通信。如果在指定时间内(取决于实现)没有看到流量,则从状态表中删除连接。

优点-

  1. 状态防火墙非常擅长检测伪造的消息或未经授权的访问。
  2. 这些防火墙具有强大的内存来保留网络连接的关键方面。
  3. 它们是智能系统。他们根据过去和现在的结果做出未来的过滤决策。这意味着它可以在未来遇到特定的网络攻击时自动阻止它,而无需更新。
  4. 这些防火墙不需要打开许多端口即可正常通信。
  5. 状态防火墙提供广泛的日志记录功能和更强的攻击缓解。

缺点-

  1. 状态防火墙可能容易受到分布式拒绝服务 (DDoS) 攻击。
  2. 这些防火墙必须使用最新的软件版本进行更新,否则,漏洞可能允许黑客控制防火墙。
  3. 他们可能会被愚弄而允许有害的网络连接,并且可以通过查看网页等简单操作来实现。
  4. 这些防火墙可能对中间人 (MITM) 攻击更为敏感,这种攻击涉及攻击者拦截两个人之间的通信以监视流量或对其进行更改。

无状态防火墙:
它也称为访问控制列表 (ACL),不存储有关连接状态的信息。无状态 ACL 适用于网络层和物理层,有时也适用于传输层,以找出源端口和目标端口号。当发送方发送数据包并通过防火墙过滤时,设备会检查是否与防火墙中配置的任何 ACL 规则匹配,然后相应地丢弃或拒绝数据包。

优点-

  1. 无状态防火墙不像有状态防火墙那样考虑太多,它们通常被认为不那么严格。这就是为什么他们很快。
  2. 由于它没有涉及太多细节,因此在交通繁忙的情况下表现相当不错。
  3. 它们通常比有状态防火墙便宜。

缺点-

  1. 无状态防火墙无法分析所有网络流量(或数据包),使其无法识别流量类型。与状态防火墙相比,这导致其安全性降低。
  2. 在许多情况下,这些防火墙可能需要由熟悉影响网络的流量和攻击类型的人员仔细配置。这可能需要额外的时间和精力来执行。

无状态防火墙和有状态防火墙的区别:

 Stateless Packet Filtering Firewalls Stateful Packet Filtering Firewalls
1.The stateless firewalls are designed to protect networks based on static information such as source and destination.Stateful firewalls filter packets based on the full context of the connection.
2.It uses some predefined packet filtering rules, the packets are judged based on that, if it conforms to the predefined rules then it is considered to be “safe” and allowed to pass through.  If the conditions are not met, the packet is considered to be “unidentified” or “malicious” and it will be blocked.It uses the concept of a state table where it stores the state of legitimate connections. Stateless firewall filters are only based on header information in a packet but stateful firewall filter inspects everything inside data packets, the characteristics of the data, and its channels of communication.
3.Less secure than stateless firewalls.Stateful firewalls are more secure.
4.Cheaper or cost-efficient. Expensive as compared to stateless firewall
5.Faster than Stateful packet filtering firewall.Slower in speed when compared to Stateless firewall.
6.For small businesses, a stateless firewall could be a better option, as they face fewer threats and also have a limited budget in hand.For larger enterprises, a stateful firewall would be a smarter option, as they have larger outgoing traffic that needs monitoring and enough money to afford it. Stateful firewalls offer dynamic packet filtering, so they can provide a thick security layer to mitigate attacks.

注意:防火墙可以是有状态的也可以是无状态的,但不能两者兼有。