Брандмауэр с отслеживанием состояния
В вычислительной технике межсетевой экран с отслеживанием состояния — это сетевой межсетевой экран , который индивидуально отслеживает сеансы проходящих через него сетевых подключений. Проверка пакетов с отслеживанием состояния , также называемая динамической фильтрацией пакетов. [1] — это функция безопасности, часто используемая в некоммерческих и деловых сетях.
Описание
[ редактировать ]Межсетевой экран с отслеживанием состояния отслеживает состояние сетевых подключений, таких как TCP потоки , датаграммы UDP и сообщения ICMP , и может применять такие метки, как LISTEN , ESTABLISHED или CLOSING . [2] Записи таблицы состояний создаются для потоков TCP или датаграмм UDP, которым разрешен обмен данными через брандмауэр в соответствии с настроенной политикой безопасности. Попадая в таблицу, все СВЯЗАННЫЕ пакеты сохраненного сеанса оптимизируются, занимая меньше циклов ЦП, чем стандартная проверка. Связанным пакетам также разрешено возвращаться через брандмауэр, даже если не настроено правило, разрешающее связь с этим хостом. Если трафик не наблюдается в течение определенного времени (зависит от реализации тайм-аута), соединение удаляется из таблицы состояний. Это может привести к неожиданным отключениям приложений или полуоткрытым TCP-соединениям . Можно написать приложения для отправки поддержки активности . сообщений [3] периодически, чтобы брандмауэр не разрывал соединение в периоды бездействия или для приложений, которые по своей конструкции имеют длительные периоды молчания.
Метод поддержания состояния сеанса зависит от транспортного используемого протокола. TCP — это протокол, ориентированный на соединение. [4] Сеансы устанавливаются трехэтапным рукопожатием с использованием пакетов SYN и завершаются отправкой уведомления FIN . [5] Межсетевой экран может использовать эти уникальные идентификаторы подключения, чтобы знать, когда следует удалить сеанс из таблицы состояний, не дожидаясь истечения времени ожидания. UDP — это протокол без установления соединения, [4] это означает, что он не отправляет уникальные идентификаторы, связанные с соединением, во время связи. По этой причине сеанс будет удален из таблицы состояний только по истечении настроенного времени ожидания. UDP-дырка — это технология, которая использует эту особенность для динамической настройки туннелей данных через Интернет. [6] Сообщения ICMP отличаются от TCP и UDP и передают управляющую информацию самой сети. Хорошо известным примером этого является утилита ping . [7] Ответы ICMP будут разрешены обратно через брандмауэр. В некоторых сценариях связь UDP может использовать ICMP для предоставления информации о состоянии сеанса, поэтому ответы ICMP, относящиеся к сеансу UDP, также будут разрешены обратно.
Преимущества брандмауэра с проверкой состояния
[ редактировать ]- Отслеживает весь сеанс на предмет состояния соединения, а также проверяет IP-адреса и полезную нагрузку для более тщательной безопасности.
- Предлагает высокую степень контроля над тем, какой контент попадает в сеть или выходит из нее.
- Не нужно открывать многочисленные порты для пропуска входящего или исходящего трафика.
- Обеспечивает существенные возможности ведения журнала
Недостатки межсетевого экрана с проверкой состояния
[ редактировать ]- Ресурсоемок и влияет на скорость сетевых коммуникаций.
- Более дорогой, чем другие варианты брандмауэра.
- Не предоставляет возможности аутентификации для проверки того, что источники трафика не подделаны.
- Не работает с асимметричной маршрутизацией (противоположные направления используют разные пути)
- Может привести к неожиданным отключениям или полуоткрытым соединениям, если соединения простаивают дольше времени ожидания.
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Горальски, Вальтер (12 мая 2017 г.). Иллюстрированная сеть: как TCP/IP работает в современной сети . Эльзевир Наука. ISBN 978-0-12-811027-0 . OCLC 986540207 .
- ^ «Состояние TCP-соединения» . Центр знаний IBM . 12 февраля 2015 года . Проверено 6 сентября 2020 г.
- ^ «Руководство по поддержанию активности TCP» . Проект документации Linux . Проверено 6 сентября 2020 г.
- ^ Jump up to: а б Митчелл, Брэдли (1 апреля 2020 г.). «TCP против UDP» . Жизненный провод . Проверено 6 сентября 2020 г.
- ^ «Трёхстороннее рукопожатие TCP» . Исследование-CCNA . 6 сентября 2018 года . Проверено 6 сентября 2020 г.
- ^ «Автоматический обход NAT для автоматического VPN-туннелирования между узлами Cisco Meraki» . Мераки . Проверено 6 сентября 2020 г.
- ^ Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)» . Жизненный провод . Проверено 6 сентября 2020 г.