Che cos'è un firewall stateful?

I firewall stateful intercettano i pacchetti a livello di rete e poi ricavano e analizzano i dati da tutti i livelli di comunicazione per migliorare la sicurezza. Le informazioni sullo stato della connessione e altri dati contestuali vengono memorizzati e aggiornati dinamicamente. Questo fornisce un contesto prezioso per valutare i futuri tentativi di comunicazione.

Richiedi una Demo Legga il Rapporto Frost & Sullivan

Come funziona il firewall Stateful?

I computer utilizzano protocolli ben definiti per comunicare sulla rete locale e su Internet.

Questi includono i protocolli di trasporto di basso livello, come TCP e UDP, e anche i protocolli di livello applicativo superiore, come HTTP e FTP.

I firewall stateful ispezionano i pacchetti di rete, tracciando lo stato delle connessioni in base alle conoscenze sui protocolli utilizzati nella connessione di rete. Per esempio, il TCP è un protocollo orientato alla connessione, con controllo degli errori per garantire la consegna dei pacchetti.

Una connessione TCP tra client e server inizia con un handshake a tre vie per stabilire la connessione. Un pacchetto viene inviato da un client con un flag SYN (sincronizzazione) impostato nel pacchetto. Il server che riceve il pacchetto capisce che si tratta di un tentativo di stabilire una connessione e risponde con un pacchetto con i flag SYN e ACK (acknowledge) impostati. Quando il client riceve questo pacchetto, risponde con un ACK per iniziare la comunicazione sulla connessione.

Questo è l'inizio di una connessione che altri protocolli utilizzano poi per trasmettere dati o comunicare.

Per esempio, il browser del cliente può utilizzare la connessione TCP stabilita per trasportare il protocollo web, HTTP GET, per ottenere il contenuto di una pagina web.

 

Quando la connessione viene effettuata, si dice che lo stato è stabilito. Al termine della connessione, il client e il server interrompono la connessione utilizzando i flag del protocollo, come FIN (finish). Quando la connessione cambia stato, da aperta a stabilita, i firewall stateful memorizzano le informazioni sullo stato e sul contesto in tabelle e aggiornano queste informazioni dinamicamente man mano che la comunicazione procede. Le informazioni memorizzate nelle tabelle di stato forniscono dati cumulativi che possono essere utilizzati per valutare i collegamenti futuri.

 

Per i protocolli stateless come UDP, il firewall stateful crea e memorizza dati di contesto che non esistono all'interno del protocollo stesso. Ciò consente al firewall di tracciare una connessione virtuale in cima alla connessione UDP, anziché trattare ogni pacchetto di richiesta e risposta tra un'applicazione client e server come una comunicazione individuale.

Esempio FTP

Le sessioni FTP utilizzano più di una connessione. Una è una connessione di comando e l'altra è una connessione di dati su cui passano i dati.

I firewall stateful esaminano la connessione di comando FTP per le richieste dal client al server. Ad esempio, il client può creare una connessione dati utilizzando un comando FTP PORT. Questo pacchetto contiene il numero di porta della connessione dati, che un firewall stateful estrarrà e salverà in una tabella insieme agli indirizzi IP del client e del server e alla porta del server.

 

Quando la connessione dati viene stabilita, deve utilizzare gli indirizzi IP e le porte contenuti in questa tabella di connessione. Un firewall stateful utilizzerà questi dati per verificare che qualsiasi tentativo di connessione dati FTP sia in risposta a una richiesta valida. Una volta chiusa la connessione, il record viene rimosso dalla tabella e le porte vengono bloccate, impedendo il traffico non autorizzato.

Stateful vs. Stateless

Un firewall stateless valuta ogni pacchetto su base individuale. Può ispezionare gli indirizzi IP di origine e di destinazione e le porte di un pacchetto e filtrarlo in base a semplici liste di controllo degli accessi (ACL). Ad esempio, un firewall stateless può implementare una politica di "negazione predefinita" per la maggior parte del traffico in entrata, consentendo solo le connessioni a particolari sistemi, come i server web ed e-mail. Ad esempio, consentendo le connessioni a indirizzi IP specifici sulla porta TCP 80 (HTTP) e 443 (HTTPS) per il web e sulla porta TCP 25 (SMTP) per le e-mail.

I firewall stateful, invece, tracciano ed esaminano una connessione nel suo complesso. Tracciano lo stato attuale dei protocolli stateful, come il TCP, e creano un overlay di connessione virtuale per le connessioni come l'UDP.

I firewall stateful hanno le stesse capacità di quelli stateless, ma sono anche in grado di rilevare dinamicamente e di consentire le comunicazioni applicative che quelli stateless non potrebbero fare. I firewall stateless non sono consapevoli delle applicazioni, ossia non possono comprendere il contesto di una determinata comunicazione.

Stateful firewall con Check Point

Il firewall stateful di Check Point è integrato nello stack di rete del kernel del sistema operativo. Si colloca al livello software più basso tra la scheda di interfaccia di rete fisica (Livello 2) e il livello più basso della pila di protocolli di rete, in genere IP.

Inserendosi tra i componenti fisici e software dello stack di rete di un sistema, il firewall stateful di Check Point garantisce la piena visibilità di tutto il traffico in entrata e in uscita dal sistema. Nessun pacchetto viene elaborato da nessuno dei livelli di stack di protocollo superiori, finché il firewall non verifica prima che il pacchetto sia conforme alla politica di controllo dell'accesso alla sicurezza di rete.

 

Il firewall stateful di Check Point offre una serie di vantaggi preziosi, tra cui:

  • Estensibile: L'implementazione dell'ispezione stateful di Check Point supporta centinaia di applicazioni, servizi e protocolli predefiniti, più di qualsiasi altro fornitore di firewall.
  • Performance: Il design semplice ed efficace del firewall Check Point raggiunge prestazioni ottimali grazie all'esecuzione all'interno del kernel del sistema operativo. Questo riduce il sovraccarico di elaborazione ed elimina la necessità di cambiare contesto. Inoltre, la cache e le tabelle hash vengono utilizzate per archiviare e accedere ai dati in modo efficiente. Infine, l'ispezione dei pacchetti del firewall è ottimizzata per garantire un utilizzo ottimale delle moderne interfacce di rete, CPU e design OS.
  • Scalabile: hyperscalein poche parole, è la capacità di un'architettura tecnologica di scalare quando si aggiungono altre richieste al sistema. Check Point Maestro porta l'agilità, la scalabilità e l'elasticità del cloud in azienda con un efficace clustering N+1 basato sulla tecnologia Check Point HyperSync, che massimizza le capacità dei firewall esistenti. Diversi firewall Check Point possono essere impilati insieme, aggiungendo guadagni di prestazioni quasi lineari con ogni firewall aggiuntivo aggiunto al cluster.

Check Point’s next-generation firewalls (NGFW) integrano le caratteristiche di un firewall stateful con altre funzionalità di sicurezza di rete essenziali. Per saperne di più su cosa cercare in un NGFW, consulti il sito questa guida all'acquisto. È anche il benvenuto a RICHIEDI UNA DEMO GRATUITA per vedere i NGFW di Check Point in azione.

Per iniziare

Firewall di Nuova Generazione

Hyperscale Network Security

Piccole imprese firewall

Argomenti correlati

Diversi tipi di firewall

Che cos'è un NGFW?

Confronto tra i 4 migliori Next Generation Firewall

Software firewall

Le migliori pratiche del firewall

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK