状态防火墙
外观
系列条目 |
资讯安全 |
---|
相关安全分类 |
威胁 |
防御 |
状态防火墙(英语:Stateful firewall),一种能够提供状态数据包检查(stateful packet inspection,缩写为SPI)或状态查看(stateful inspection)功能的防火墙,能够持续追踪穿过这个防火墙的各种网络连线(例如TCP与UDP连线)的状态。这种防火墙被设计来区分不同连线种类下的合法数据包。只有符合主动连线的数据包才能够被允许穿过防火墙,其他的数据包都会被拒绝。[需要解释]
状态数据包检查也被称为动态数据包过滤(Dynamic Packet Filtering)。[1]
原理
[编辑]状态防火墙监视网络连接的“状态”,比如TCP流、UDP数据和ICMP消息可能被分为LISTEN, ESTABLISHED, 或者CLOSING状态[2]。按照相应的安全策略,状态防火墙在状态表中为各TCP流或者UDP数据创建记录。凡在表中的session,所有相关数据包都被允许通过,不再检测,因此比一般的检测使用更少CPU。
维持一个session的状态取决于其传输层协议。比如TCP是面向连接的协议[3],其session是由三路握手的SYN消息建立,由FIN消息终止。[4]状态防火墙由此可以知道何时从表中移除session,而不必等待超时再移除。UDP是无连接的协议[3],它不会发送特别的连接消息,因此一个UDP的session只有等待超时才会被移除,UDP打洞就利用了这一特性设立隧道。[5] ICMP消息与TCP和UDP不同,它传递网络本身的控制资讯,比如ping命令。[6]ICMP回复一般会被允许。有时UDP通信会使用ICMP来提供session的状态资讯,因此和某UDP session有关的ICMP回复也是允许的。
历史
[编辑]此章节尚无任何内容,需要扩充。 |
缺点
[编辑]- 无法处理应用层协议
参考文献
[编辑]- ^ Goralski, Walter, author. The illustrated network : how TCP/IP works in a modern network. ISBN 978-0-12-811027-0. OCLC 986540207.
- ^ TCP connection status. IBM Knowledge Center. [2020-09-06]. (原始内容存档于2020-11-11).
- ^ 3.0 3.1 Mitchell, Bradley. TCP vs UDP. Lifewire. 2020-04-01 [2020-09-06]. (原始内容存档于2021-10-04).
- ^ TCP three-way handshake. Study-CCNA. [2020-09-06]. (原始内容存档于2021-12-23).
- ^ Automatic NAT Traversal for Auto VPN Tunneling between Cisco Meraki Peers. Meraki. [2020-09-06]. (原始内容存档于2021-10-04).
- ^ Mitchell, Bradley. Guide to Internet Control Message Protocol (ICMP). Lifewire. 2018-12-03 [2020-09-06]. (原始内容存档于2020-11-25).