Брандмауэр с отслеживанием состояния

В вычислительной технике межсетевой экран с отслеживанием состояния — это сетевой межсетевой экран , который индивидуально отслеживает сеансы проходящих через него сетевых подключений. Проверка пакетов с отслеживанием состояния , также называемая динамической фильтрацией пакетов. ^[1] — это функция безопасности, часто используемая в некоммерческих и деловых сетях.

Описание

Межсетевой экран с отслеживанием состояния отслеживает состояние сетевых подключений, таких как TCP потоки , датаграммы UDP и сообщения ICMP , и может применять такие метки, как LISTEN , ESTABLISHED или CLOSING . ^[2] Записи таблицы состояний создаются для потоков TCP или датаграмм UDP, которым разрешен обмен данными через брандмауэр в соответствии с настроенной политикой безопасности. Попадая в таблицу, все СВЯЗАННЫЕ пакеты сохраненного сеанса оптимизируются, занимая меньше циклов ЦП, чем стандартная проверка. Связанным пакетам также разрешено возвращаться через брандмауэр, даже если не настроено правило, разрешающее связь с этим хостом. Если трафик не наблюдается в течение определенного времени (зависит от реализации тайм-аута), соединение удаляется из таблицы состояний. Это может привести к неожиданным отключениям приложений или полуоткрытым TCP-соединениям . Можно написать приложения для отправки поддержки активности . сообщений ^[3] периодически, чтобы брандмауэр не разрывал соединение в периоды бездействия или для приложений, которые по своей конструкции имеют длительные периоды молчания.

Метод поддержания состояния сеанса зависит от транспортного используемого протокола. TCP — это протокол, ориентированный на соединение. ^[4] Сеансы устанавливаются трехэтапным рукопожатием с использованием пакетов SYN и завершаются отправкой уведомления FIN . ^[5] Межсетевой экран может использовать эти уникальные идентификаторы подключения, чтобы знать, когда следует удалить сеанс из таблицы состояний, не дожидаясь истечения времени ожидания. UDP — это протокол без установления соединения, ^[4] это означает, что он не отправляет уникальные идентификаторы, связанные с соединением, во время связи. По этой причине сеанс будет удален из таблицы состояний только по истечении настроенного времени ожидания. UDP-дырка — это технология, которая использует эту особенность для динамической настройки туннелей данных через Интернет. ^[6] Сообщения ICMP отличаются от TCP и UDP и передают управляющую информацию самой сети. Хорошо известным примером этого является утилита ping . ^[7] Ответы ICMP будут разрешены обратно через брандмауэр. В некоторых сценариях связь UDP может использовать ICMP для предоставления информации о состоянии сеанса, поэтому ответы ICMP, относящиеся к сеансу UDP, также будут разрешены обратно.

Преимущества брандмауэра с проверкой состояния

Отслеживает весь сеанс на предмет состояния соединения, а также проверяет IP-адреса и полезную нагрузку для более тщательной безопасности.
Предлагает высокую степень контроля над тем, какой контент попадает в сеть или выходит из нее.
Не нужно открывать многочисленные порты для пропуска входящего или исходящего трафика.
Обеспечивает существенные возможности ведения журнала

Недостатки межсетевого экрана с проверкой состояния

Ресурсоемок и влияет на скорость сетевых коммуникаций.
Более дорогой, чем другие варианты брандмауэра.
Не предоставляет возможности аутентификации для проверки того, что источники трафика не подделаны.
Не работает с асимметричной маршрутизацией (противоположные направления используют разные пути)
Может привести к неожиданным отключениям или полуоткрытым соединениям, если соединения простаивают дольше времени ожидания.

См. также

Ссылки

^ Горальски, Вальтер (12 мая 2017 г.). Иллюстрированная сеть: как TCP/IP работает в современной сети . Эльзевир Наука. ISBN 978-0-12-811027-0 . OCLC 986540207 .
^ «Состояние TCP-соединения» . Центр знаний IBM . 12 февраля 2015 года . Проверено 6 сентября 2020 г.
^ «Руководство по поддержанию активности TCP» . Проект документации Linux . Проверено 6 сентября 2020 г.
^ Jump up to: ^а ^б Митчелл, Брэдли (1 апреля 2020 г.). «TCP против UDP» . Жизненный провод . Проверено 6 сентября 2020 г.
^ «Трёхстороннее рукопожатие TCP» . Исследование-CCNA . 6 сентября 2018 года . Проверено 6 сентября 2020 г.
^ «Автоматический обход NAT для автоматического VPN-туннелирования между узлами Cisco Meraki» . Мераки . Проверено 6 сентября 2020 г.
^ Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)» . Жизненный провод . Проверено 6 сентября 2020 г.

[1] Горальски, Вальтер (12 мая 2017 г.). Иллюстрированная сеть: как TCP/IP работает в современной сети . Эльзевир Наука. ISBN 978-0-12-811027-0 . OCLC 986540207 .

[2] «Состояние TCP-соединения» . Центр знаний IBM . 12 февраля 2015 года . Проверено 6 сентября 2020 г.

[3] «Руководство по поддержанию активности TCP» . Проект документации Linux . Проверено 6 сентября 2020 г.

[TvU-4] Jump up to: ^а ^б Митчелл, Брэдли (1 апреля 2020 г.). «TCP против UDP» . Жизненный провод . Проверено 6 сентября 2020 г.

[5] «Трёхстороннее рукопожатие TCP» . Исследование-CCNA . 6 сентября 2018 года . Проверено 6 сентября 2020 г.

[6] «Автоматический обход NAT для автоматического VPN-туннелирования между узлами Cisco Meraki» . Мераки . Проверено 6 сентября 2020 г.

[7] Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)» . Жизненный провод . Проверено 6 сентября 2020 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

v т и Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Bombs Fork Logic Time Zip Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Fraudulent dialers Hacktivism Infostealer Insecure direct object reference Keystroke loggers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Information security management Information risk management Security information and event management (SIEM) Runtime application self-protection Site isolation