Khái niệm từ Wikipedia stateful firewall inspection là gì?

Trong máy mạng tính, tường lửa stateful firewall là tường lửa mạng theo dõi trạng thái hoạt động và các đặc tính của nhiều kết nối mạng đi qua nó. Tường lửa được cấu hình để phân biệt các gói hợp pháp cho những loại kết nối khác nhau. Chỉ các gói phù phù hợp với một kết nối hoạt động đã biết mới được phép vượt qua tường lửa.

Bạn Đang Xem: Spi Firewall Là Gì ? Stateful Firewall Là Gì

Đang xem: Spi firewall là gì

Sản phẩm tiêu biểu: Thiết bị firewall cứng

Juniper SRX300, Juniper SRX340

Fortigate 100F , Fortigate 400E, Fortigate 600E

Kiểm tra gói trạng thái (SPI), còn được gọi là lọc gói động, là một tính năng bảo mật thông tin thường được gồm có trong các mạng nghiệp vụ.

stateful firewall là gì

Trọng tâm của chương này là trên tường lửa stateful, một loại tường lửa nỗ lực cố gắng theo dõi trạng thái kết nối mạng khi lọc gói. Các khả năng của tường lửa stateful có phần nào đó là việc giao nhau giữa các chức năng của một bộ lọc gói và thông tin giao thức cấp ứng dụng bổ sung của một proxy. Do kiến ​​thức giao thức bổ sung này, nhiều vấn đề gặp phải khi nỗ lực cố gắng cấu hình tường lửa lọc gói cho những giao thức hoạt động theo các phương pháp không sẵn sàng bỏ qua.

Nội dung bài viết này thảo luận về lọc trạng thái, kiểm tra trạng thái và kiểm tra gói sâu, cũng như trạng thái khi xử lý các giao thức vận tải và cấp ứng dụng khác nhau. Chúng tôi cũng trình bày một số ví dụ thực tế về phong thái một số nhà cung cấp thực hiện theo dõi trạng thái cũng như xem xét các ví dụ về tường lửa như vậy.

Tường lửa stateful có thể giám sát trạng thái hoạt động và các đặc tính của nhiều kết nối mạng từ trên đầu đến cuối. Đây Firewall được lập trình để phân biệt giữa các gói tin hợp pháp với nhiều loại khác nhau của kết nối. Về mặt kỹ thuật, tường lửa trạng thái có thể đã cho chúng ta biết thời đoạn kết nối TCP đang mở, mở được gửi, đồng bộ hóa, đồng bộ hóa xác nhận hoặc thiết lập. Nó cũng tồn tại thể đã cho chúng ta biết nếu MTU được thay đổi, cho dù các gói đã phân mảnh, vv

Statefull firewall hoạt động thế nào?

Tường lửa stateful dành hồ hết các chu kỳ luân hồi của nó kiểm tra thông tin gói trong lớp 4 (transport) và thấp hơn. Tuy nhiên, nó cũng cung cấp khả năng kiểm tra nâng lơn hơn bằng phương pháp nhắm mục tiêu các gói quan trọng để kiểm tra lớp 7 (ứng dụng), ví như gói khởi tạo kết nối. Nếu gói được kiểm tra phù phù hợp với quy tắc tường lửa hiện có được chấp nhận nó, gói tin được truyền và một mục được thêm vào bảng trạng thái. Từ thời điểm lúc đó trở đi, vì các gói trong phiên giao tiếp cụ thể đó khớp với một mục nhập bảng trạng thái hiện có, chúng được phép truy cập mà không cần gọi để kiểm tra lớp ứng dụng thêm nữa. Những gói này chỉ việc có thông tin lớp 3 và 4 (địa chỉ IP và số cổng TCP / UDP) được xác minh dựa vào thông tin được lưu trữ trong bảng trạng thái để xác nhận rằng chúng thực sự là một phần của trao đổi ngày nay.

Xem Thêm : Sán chó, bệnh sán chó, dấu hiệu bị sán chó, dấu hiệu bệnh sán chó, sán dây, giun lươn, Toxocara, Toxoplasma

Trái lại, vì các tường lửa này sử dụng các kỹ thuật lọc như vậy, chúng không xem xét các lệnh lớp ứng dụng cho toàn bộ phiên truyền thông, như một tường lửa proxy. Điều này tương đương với việc không có khả năng thực sự kiểm soát các phiên dựa trên lưu lượng truy cập cấp ứng dụng, làm cho nó trở thành một thay thế kém an toàn hơn khi đối chiếu với proxy. Tuy nhiên, do lợi thế tốc độ của tường lửa của stateful và khả năng xử lý bất kỳ lưu lượng liên lạc nào (ngược với số giao thức hạn chế được tương trợ bởi proxy cấp ứng dụng), nó có thể là một lựa chọn tuyệt vời. một website hoặc như một trình phát vai trò trong một môi trường tự nhiên mạng phức tạp hơn.

stateful inspection là gì

Chú thích:

Sử dụng một thiết bị bảo vệ chu vi duy nhất thường là một điều cấp thiết về tài chính cho những website nhỏ hơn. Tuy nhiên, mặc dù thực tế chỉ có một tường lửa đang rất được triển khai, các tùy chọn bảo vệ chuyên sâu khác ví như mạng lưới hệ thống phát hiện xâm nhập (IDS), sever ghi nhật ký và giám sát cũng như bảo vệ cấp sever cũng được sử dụng để triển khai mạng an toàn hơn .

Hiện nay tất cả chúng ta đã thảo luận tường lửa stateful, để nắm rõ hơn về chức năng của nó, hãy thảo luận ý nghĩa của trạng thái và cách nó được theo dõi trong truyền thông mạng.

Sử dụng Firewall làm phương tiện kiểm soát

Một điểm quan trọng cần được xem xét khi thảo luận về an toàn chu vi là khái niệm về tường lửa như một điểm ngắt mạng. Một chokepoint là điều truy cập đơn, có thể tinh chỉnh và điều khiển, nơi một chiếc gì này được kênh để bảo mật thông tin tốt hơn. Tuy nhiên, như tên gọi của nó, khu vực hạn chế này cũng tồn tại thể là nơi băng thông bị hạn chế. Một ví dụ tiêu biểu của một checkpoint trong thế giới thực là một máy dò kim loại tại sân bay.

Hãy tưởng tượng nếu máy dò kim loại có kích thước của toàn bộ hành lang trong sân bay, và 20 người trở lên có thể đi qua một cánh cổng cùng một lúc. Nếu máy dò bị tắt, sẽ rất khó cho những thanh tra viên xác định xem đảng nào đã kích hoạt nó và có thể ngăn người đó kiểm tra thêm. Kiểm soát liên lạc rõ ràng hơn là cấp thiết trong tình huống như vậy.

Đó là lý do vì sao khái niệm của một chokepoint là cấp thiết trong trường hợp này; nó được chấp nhận một thanh tra để xem một bên đi qua một máy dò kim loại tại một thời khắc. Chokepoint cung cấp thêm quyền kiểm soát các bên tham gia sân bay. Giống như những điểm khác nhau, việc phân luồng người này để kiểm soát thêm cũng tồn tại thể dẫn tới việc chậm lại trong quá trình; do đó, các đường thường hình thành tại những máy dò kim loại sân bay.

Tương tự như một máy dò kim loại sân bay, tường lửa cung cấp một chokepoint cho phân đoạn mạng của bạn. Tất cả lưu lượng truy cập đi vào hoặc rời khỏi mạng của bạn phải phải vượt qua nó để kiểm tra. Tinh chỉnh và điều khiển bổ sung này sẽ không chỉ giúp bảo vệ luồng liên lạc trong và ngoài mà còn được chấp nhận một điểm duy nhất để kiểm tra và ghi lại lưu lượng truy cập như vậy, xác minh rằng nếu vi phạm tồn tại, nó được ghi lại.

Xem thêm: Vào Sổ Tàu Là Gì ?Những Lưu Ý Và Quy Định Về Close Time Closing Time Là Gì

Việc lọc gói một mình không được xem là cung cấp đủ sự bảo vệ. Để ngăn chặn hiệu quả lưu lượng mạng ngang hàng ngang hàng , điều cấp thiết là tường lửa lọc ứng dụng , có thể được xem là phần mở rộng để kiểm tra gói trạng thái. Kiểm tra gói trạng thái có thể xác định loại giao thức nào đang rất được gửi qua mỗi cổng, nhưng các bộ lọc mức ứng dụng xem xét giao thức đang rất được sử dụng. Ví dụ, một bộ lọc mức ứng dụng có thể đã cho chúng ta biết sự khác biệt giữa lưu lượng HTTP được sử dụng để truy cập vào một trong những trang Web và lưu lượng HTTP được sử dụng để san sẻ tệp, trong những lúc tường lửa chỉ thực hiện lọc gói sẽ xử lý tất cả lưu lượng HTTP bằng nhau.

Tường lửa lớp ứng dụng thường chậm hơn kiểm tra trạng thái. Tường lửa lớp ứng dụng thỉnh thoảng được triển khai bằng proxy ứng dụng. Hai kết nối TCP được thiết lập: một kết nối giữa nguồn gói và tường lửa, một giữa tường lửa và đích đến gói tin. Proxy ứng dụng chặn các gói tin đến thay mặt đích, kiểm tra trọng tải của ứng dụng và sau đó chuyển các gói tin được phép tới đích. Tài liệu đáng ngờ bị xóa và máy khách và sever không bao giờ giao tiếp trực tiếp với nhau. Proxy nhất thiết liên quan đến nhiều giao thức trên không hơn là kiểm tra các gói trên tầng mạng. Hơn nữa, bởi vì một proxy duy nhất là cấp thiết cho từng ứng dụng, tường lửa proxy có thể ít linh hoạt và chậm hơn để nâng cấp hơn tường lửa kiểm tra trạng thái. Tuy nhiên, vì các proxy cấp ứng dụng nhận thức được ứng dụng, các proxy có thể dễ dàng xử lý các giao thức phức tạp như H.323 hoặc SIP, được sử dụng cho hội nghị truyền hình và VoIP (Voice over IP).

Xem Thêm : Hoan hỉ là gì? Ý nghĩa thế nào? Cách để hoan hỷ theo đạo Phật

Có một rủi ro mà các lỗ hổng trong các bộ lời giải giao thức riêng lẻ có thể được chấp nhận kẻ tiến công giành quyền kiểm soát tường lửa. Mối quan tâm này nhấn mạnh vấn đề sự cấp thiết phải update phần mềm tường lửa.

Một số tường lửa trạng thái cũng làm tăng khả năng các sever thành viên có thể bị lừa gây ra các kết nối phía bên ngoài. Khả năng này chỉ có thể được loại bỏ hoàn toàn bằng phương pháp kiểm tra phần mềm sever. Một số bức tường lửa có thể bị vượt qua Theo phong cách này bằng phương pháp chỉ việc xem một website.

Kiểm tra trạng thái, còn được gọi là lọc gói động, là công nghệ tường lửa giám sát trạng thái của nhiều kết nối đang hoạt động và sử dụng thông tin này để xác định gói mạng nào được chấp nhận thông qua tường lửa.

Kiểm tra trạng thái đã thay thế phần lớn công nghệ cũ, lọc gói tĩnh. Trong lọc gói tĩnh, chỉ có những tiêu đề của gói tin được kiểm tra – điều đó có nghĩa là người tiến công thỉnh thoảng có thể lấy thông tin thông qua tường lửa đơn giản bằng phương pháp chỉ ra “trả lời” trong tiêu đề. Mặt khác, kiểm tra stateful phân tích các gói xuống tầng ứng dụng. Bằng phương pháp ghi lại thông tin phiên như địa chỉ IP và số cổng, bộ lọc gói động có thể thực hiện tư thế bảo mật thông tin chặt chẽ hơn nhiều so với bộ lọc gói tĩnh.

Kiểm tra trạng thái giám sát các gói truyền thông trong một khoảng tầm thời kì và kiểm tra cả những gói gửi đến và đi. Các gói gửi đi yêu cầu các loại gói tin đến cụ thể sẽ tiến hành theo dõi và chỉ những gói tài liệu đến đó cấu thành một đáp ứng thích hợp được được chấp nhận thông qua tường lửa.

Trong tường lửa sử dụng kiểm tra trạng thái, quản trị viên mạng có thể đặt các thông số để đáp ứng các nhu cầu cụ thể. Trong một mạng tiêu biểu, các cổng được đóng lại trừ khi một gói gửi đến yêu cầu kết nối đến một cổng cụ thể và sau đó chỉ cổng này được mở. Thực hiện này ngăn chặn quét cổng, một kỹ thuật hacking nổi tiếng. Check Point Software Technologies phát triển kiểm tra quốc gia vào đầu trong thời gian 1990

So sánh stateful firewall và stateless firewall

Một tường lửa có thể được mô tả như thể một trong hai Stateful hay Stateless.

StatelessTường lửa Stateless firewall xem lưu lượng mạng và hạn chế hoặc chặn các gói dựa trên địa chỉ nguồn và đích hoặc các giá trị tĩnh khác. Chúng không phải là ‘nhận thức’ về các mẫu lưu lượng truy cập hoặc luồng tài liệu. Một bức tường lửa không trạng thái sử dụng các bộ quy tắc đơn giản mà không tính đến khả năng một gói tin có thể được trao bởi tường lửa ‘vờ vịt’ là thứ mà bạn yêu cầu.

Stateful

Tường lửa Stateful firewall có thể xem luồng lưu lượng truy cập từ trên đầu đến cuối. Họ đang nhận thức được những đường dẫn truyền thông và có thể thực hiện các chức năng IP Security (IPsec) khác nhau như đường hầm và mã hóa. Về mặt kỹ thuật, điều này còn có tức là tường lửa trạng thái có thể đã cho chúng ta biết kết nối TCP ở thời đoạn nào (mở, mở, đồng bộ hóa, đồng bộ hóa xác nhận hoặc thiết lập), nó có thể đã cho chúng ta biết MTU đã thay đổi hay là không, cho dù gói có phân mảnh hay là không.

Xem thêm: Cách Luộc Trứng Vịt Lộn Luộc Bao Nhiêu Phút, Trứng Vịt Lộn Luộc Bao Lâu

Không phải là thực sự vượt trội và có những đối số tốt cho tất cả hai loại tường lửa. Tường lửa Stateless firewall thường nhanh hơn và hoạt động tốt hơn dưới tải lưu lượng nặng hơn. Tường lửa Stateful firewall tốt hơn trong việc xác định thông tin liên lạc trái phép và mạo.

Các từ khóa: thiết bị firewall, thiết bị firewall là gì, thiết bị tường lửa fortigate, firewall cisco, firewall fortinet, cấu hình tường lửa fortigate trong mạng doanh nghiệp, thiết bị bảo mật thông tin firewall, firewall fortinet giá, fortigate toàn tập, thiết bị tường lửa, thiết bị tường lửa fortigate, thiết bị tường lửa là gì, firewall fortinet, thiết bị tường lửa asa, thiết bị tường lửa fortigate fg 200e, thiết bị tường lửa fortigate fg 100e, thiết bị tường lửa fortigate fg 100e bdl, firewall fortinet giá