Jump to content

Брандмауэр с отслеживанием состояния

(Перенаправлено с проверки состояния )

В вычислительной технике межсетевой экран с отслеживанием состояния — это сетевой межсетевой экран , который индивидуально отслеживает сеансы проходящих через него сетевых подключений. Проверка пакетов с отслеживанием состояния , также называемая динамической фильтрацией пакетов. [1] — это функция безопасности, часто используемая в некоммерческих и деловых сетях.

Описание

[ редактировать ]

Межсетевой экран с отслеживанием состояния отслеживает состояние сетевых подключений, таких как TCP потоки , датаграммы UDP и сообщения ICMP , и может применять такие метки, как LISTEN , ESTABLISHED или CLOSING . [2] Записи таблицы состояний создаются для потоков TCP или датаграмм UDP, которым разрешен обмен данными через брандмауэр в соответствии с настроенной политикой безопасности. Попадая в таблицу, все СВЯЗАННЫЕ пакеты сохраненного сеанса оптимизируются, занимая меньше циклов ЦП, чем стандартная проверка. Связанным пакетам также разрешено возвращаться через брандмауэр, даже если не настроено правило, разрешающее связь с этим хостом. Если трафик не наблюдается в течение определенного времени (зависит от реализации тайм-аута), соединение удаляется из таблицы состояний. Это может привести к неожиданным отключениям приложений или полуоткрытым TCP-соединениям . Можно написать приложения для отправки поддержки активности . сообщений [3] периодически, чтобы брандмауэр не разрывал соединение в периоды бездействия или для приложений, которые по своей конструкции имеют длительные периоды молчания.

Метод поддержания состояния сеанса зависит от транспортного используемого протокола. TCP — это протокол, ориентированный на соединение. [4] Сеансы устанавливаются трехэтапным рукопожатием с использованием пакетов SYN и завершаются отправкой уведомления FIN . [5] Межсетевой экран может использовать эти уникальные идентификаторы подключения, чтобы знать, когда следует удалить сеанс из таблицы состояний, не дожидаясь истечения времени ожидания. UDP — это протокол без установления соединения, [4] это означает, что он не отправляет уникальные идентификаторы, связанные с соединением, во время связи. По этой причине сеанс будет удален из таблицы состояний только по истечении настроенного времени ожидания. UDP-дырка — это технология, которая использует эту особенность для динамической настройки туннелей данных через Интернет. [6] Сообщения ICMP отличаются от TCP и UDP и передают управляющую информацию самой сети. Хорошо известным примером этого является утилита ping . [7] Ответы ICMP будут разрешены обратно через брандмауэр. В некоторых сценариях связь UDP может использовать ICMP для предоставления информации о состоянии сеанса, поэтому ответы ICMP, относящиеся к сеансу UDP, также будут разрешены обратно.

Преимущества брандмауэра с проверкой состояния

[ редактировать ]
  • Отслеживает весь сеанс на предмет состояния соединения, а также проверяет IP-адреса и полезную нагрузку для более тщательной безопасности.
  • Предлагает высокую степень контроля над тем, какой контент попадает в сеть или выходит из нее.
  • Не нужно открывать многочисленные порты для пропуска входящего или исходящего трафика.
  • Обеспечивает существенные возможности ведения журнала

Недостатки межсетевого экрана с проверкой состояния

[ редактировать ]
  • Ресурсоемок и влияет на скорость сетевых коммуникаций.
  • Более дорогой, чем другие варианты брандмауэра.
  • Не предоставляет возможности аутентификации для проверки того, что источники трафика не подделаны.
  • Не работает с асимметричной маршрутизацией (противоположные направления используют разные пути)
  • Может привести к неожиданным отключениям или полуоткрытым соединениям, если соединения простаивают дольше времени ожидания.

См. также

[ редактировать ]
  1. ^ Горальски, Вальтер (12 мая 2017 г.). Иллюстрированная сеть: как TCP/IP работает в современной сети . Эльзевир Наука. ISBN  978-0-12-811027-0 . OCLC   986540207 .
  2. ^ «Состояние TCP-соединения» . Центр знаний IBM . 12 февраля 2015 года . Проверено 6 сентября 2020 г.
  3. ^ «Руководство по поддержанию активности TCP» . Проект документации Linux . Проверено 6 сентября 2020 г.
  4. ^ Jump up to: а б Митчелл, Брэдли (1 апреля 2020 г.). «TCP против UDP» . Жизненный провод . Проверено 6 сентября 2020 г.
  5. ^ «Трёхстороннее рукопожатие TCP» . Исследование-CCNA . 6 сентября 2018 года . Проверено 6 сентября 2020 г.
  6. ^ «Автоматический обход NAT для автоматического VPN-туннелирования между узлами Cisco Meraki» . Мераки . Проверено 6 сентября 2020 г.
  7. ^ Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)» . Жизненный провод . Проверено 6 сентября 2020 г.
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 692f6579f3938178147bfc03f1202e7a__1713011400
URL1:https://arc.ask3.ru/arc/aa/69/7a/692f6579f3938178147bfc03f1202e7a.html
Заголовок, (Title) документа по адресу, URL1:
Stateful firewall - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)