狀態防火牆如何運作?
電腦使用明確定義的協定透過本地網路和網際網路進行通信
其中包括低層傳輸協定(例如 TCP 和 UDP)以及較高的應用程式層協定(例如 HTTP 和 FTP)。
狀態防火牆檢查網路封包,使用網路連線中使用的協定的已知資訊來追蹤連線狀態。例如,TCP 是一個以連線為導向的協議,具有錯誤檢查以確保數據包傳遞。
用戶端與伺服器之間的 TCP 連線首先以三方式握手開始,以建立連線。 一個封包是從用戶端傳送,並在封包中設置了 SYN(同步)旗標。 接收封包的伺服器明白這是建立連線的嘗試,並使用設定 SYN 和 ACK (確認) 旗標的封包進行回覆。 當用戶端接收此封包時,它會以 ACK 回复以開始通過連接進行通信。
這是其他通訊協定之後用來傳輸資料或通訊的連線的開始。
例如,用戶端的瀏覽器可能會使用建立的 TCP 連線來傳輸 Web 通訊協定 HTTP GET,以取得網頁的內容。
建立連接時,據說狀態已建立。 在連接結束時,用戶端和服務器使用協議中的旗標(如 FIN(完成)拆除連接。 當連線狀態從開啟狀態變更為已建立狀態時,狀態防火牆會將狀態和上下文資訊儲存在表中,並隨著通訊的進行動態更新此資訊。儲存在狀態表格中的資訊提供可用於評估未來連線的累積資料。
對於無狀態協定(例如 UDP),有狀態防火牆建立並儲存協定本身不存在的上下文資料。這允許防火牆追蹤 UDP 連接之上的虛擬連接,而不是將客戶端和伺服器應用程式之間的每個請求和回應資料包視為單獨的通訊。
FTP 範例
FTP 工作階段使用多個連線。 一個是命令連接,另一個是數據傳遞的數據連接。
狀態防火牆檢查 FTP 命令連線以尋找從客戶端到伺服器的請求。例如,用戶端可以使用 FTP PORT 命令建立資料連線。 此封包包含資料連線的連接埠號碼,狀態防火牆將提取該連接埠號碼並將其與用戶端和伺服器 IP 位址以及伺服器連接埠一起保存在表中。
建立資料連線時,應使用此連線表中包含的 IP 位址和連接埠。 狀態防火牆將使用此資料來驗證任何 FTP 資料連線嘗試是否是對有效請求的回應。連線關閉後,記錄將從表格中移除,並封鎖連接埠,以防止未經授權的流量。
狀態與無國家
無狀態防火牆單獨評估每個資料包。它可以檢查數據包的源和目標 IP 地址和端口,並根據簡單的訪問控制列表 (ACL) 進行過濾。 例如,無狀態防火牆可以對大多數入站流量實施「預設拒絕」策略,只允許連接到特定係統,例如 Web 和電子郵件伺服器。例如,允許連接到 TCP 連接埠 80 (HTTP) 和 443 (HTTPS) 上的特定 IP 位址以及電子郵件的 TCP 連接埠 25 (SMTP)。
另一方面,狀態防火牆則追蹤並檢查整個連線。它們追蹤 TCP 等狀態通訊協定的目前狀態,並為 UDP 等連線建立虛擬連線覆疊。
有狀態防火牆具有與無狀態防火牆相同的功能,但也能夠動態偵測並允許無狀態防火牆無法進行的應用程式通訊。無狀態防火牆無法識別應用程序,也就是說,它們無法理解給定通訊的上下文。
帶Check Point的狀態防火牆
Check Point 狀態防火牆整合到作業系統核心的網路堆疊。它位於實體網路介面卡(第 2 層)和網路協定堆疊最低層(通常是 IP)之間的最低軟體層。
透過將自身插入系統網路堆疊的實體和軟體元件之間,Check Point 狀態防火牆可確保其對進出系統的所有流量具有完全可見度。在防火牆首先驗證封包是否符合網路安全存取控制策略之前,任何較高協定堆疊層都不會處理任何封包。
Check Point 狀態防火牆提供了許多有價值的優勢,包括:
- 可擴展: Check Point 狀態偵測實作支援數百種預定義應用程式、服務和協議,比任何其他防火牆供應商都多。
- Performance: Check Point 防火牆的設計簡單而有效,透過在作業系統核心中運作來實現最佳效能。這可減少處理費用,並消除前後關聯切換的需求。 此外,緩存和雜湊表可用於有效地存儲和訪問數據。 最後,對防火牆資料包檢查進行了最佳化,以確保現代網路介面、中央處理器和作業系統設計的最佳利用。
- 可擴展: 簡而言之,超大規模是技術架構隨著系統需求增加而擴展的能力。Check Point Maestro 透過基於 Check Point HyperSync 技術的有效 N+1 集群,帶來本地雲端的敏捷性、可擴展性和彈性,從而最大限度地發揮現有防火牆的功能。各種 Check Point 防火牆可以堆疊在一起,隨著添加到叢集中的每個附加防火牆增加近乎線性的效能增益。
Check Point’s next-generation firewalls (NGFW) 將狀態防火牆的功能與其他基本網路安全功能整合在一起。要了解有關 NGFW 中需要尋找什麼的更多信息,請查看 this buyer’s guide. You’re also welcome to 申請免費示範 查看 Check Point 的 NGFW 的運作。
反映意見