什麼是狀態檢視防火牆?
狀態防火牆是維護「狀態」或儲存有關活動網路連線資訊的防火牆。當連線開啟時,防火牆開始追蹤它,並在防火牆檢查和處理新資料包時更新其內部狀態。
維護狀態的能力使防火牆能夠識別看似合法但無序且無效的資料包。例如,大多數組織允許輸入 DNS 流量,因為組織內的電腦需要執行 DNS 請求來判斷與各種網站關聯的 IP 位址。 檢查入站DNS 回應封包標頭的狀態防火牆將發現其連接埠號碼為 53,這是根據其定義的規則允許入站流量的連接埠號碼。
但是,DNS 答案封包只有在回應對應的查詢時才有效。 狀態防火牆將記錄目標系統發出的缺少答案的 DNS 查詢。如果狀態防火牆看到沒有對應請求的 DNS 回應,它就會阻止該惡意回應。
What is a Stateless Firewall?
無狀態防火牆與有狀態防火牆的不同之處在於,它不維護從一個封包到另一個封包的內部狀態。相反,每個封包都會根據其標頭中包含的數據進行評估。
這使得防火牆能夠對入站和出站連線執行基本過濾。檢查封包的 IP 位址可以判斷政策是否允許它。 同樣,無狀態防火牆會阻止使用不允許進入或離開受保護網路的網路協定的封包。
有狀態防火牆和無狀態防火牆之間的區別
有狀態防火牆和無狀態防火牆的主要區別在於,一種類型追蹤封包之間的狀態,而另一種則不追蹤。否則,兩種類型的防火牆都以相同的方式運行,檢查資料包標頭並使用它們包含的資訊根據預先定義的規則確定流量是否有效。有狀態防火牆維護的狀態使其能夠識別無狀態防火牆無法識別的各種威脅。
某些類型的攻擊會使用和濫用合法的封包來實現其目標,包括以下內容:
- TCP 掃描:某些掃描會發送 TCP 封包異序,並觀察回應。 範例包括 ACK 和 FIN 掃描。
- 分散式阻斷服務 (DDoS) 攻擊: DDoS 攻擊通常使用合法的封包。 攻擊的起因是這些訊息被大量發送以壓垮目標應用程式或系統。
在這兩種情況下,每個單獨的資料包都是合法的,這意味著無狀態防火牆將允許它通過。識別攻擊需要上下文,只有狀態防火牆才具備。
如何選擇防火牆
有狀態防火牆可以做無狀態防火牆可以做的所有事情,但反之則不然。某些攻擊只能透過狀態追蹤提供的上下文來檢測,因此公司應始終選擇有狀態防火牆而不是無狀態防火牆。
然而,在選擇防火牆時,考慮其他因素也很重要。例如,有狀態和無狀態防火牆在做出決策時通常只檢查封包的標頭。因此,他們可能會對惡意內容被傳輸在封包有效負載中的攻擊而盲目。 在現代網絡威脅環境中,大多數網絡攻擊都屬於此類別。
因此,次世代防火牆 (NGFW) 能夠檢查資料包內容並整合入侵防禦系統(IPS) 等其他安全功能,是希望保護自己免受現代網路威脅的組織的正確選擇。
反映意見