Брандмауэр с отслеживанием состояния

Система сетевой безопасности с отслеживанием подключений

В вычислительной технике межсетевой экран с отслеживанием состояния — это сетевой межсетевой экран , который индивидуально отслеживает сеансы проходящих через него сетевых подключений. Проверка пакетов с отслеживанием состояния , также называемая динамической фильтрацией пакетов, ^[1] — это функция безопасности, часто используемая в некоммерческих и деловых сетях.

Описание

Межсетевой экран с отслеживанием состояния отслеживает состояние сетевых подключений, таких как потоки TCP , датаграммы UDP и сообщения ICMP , и может применять такие метки, как LISTEN , ESTABLISHED или CLOSING . ^[2] Записи таблицы состояний создаются для потоков TCP или дейтаграмм UDP, которым разрешен обмен данными через брандмауэр в соответствии с настроенной политикой безопасности. Попав в таблицу, все СВЯЗАННЫЕ пакеты сохраненного сеанса оптимизируются, занимая меньше циклов ЦП , чем стандартная проверка. Связанным пакетам также разрешено возвращаться через брандмауэр, даже если ни одно правило не разрешает обмен данными с этого хоста. Если трафик не наблюдается в течение определенного времени (зависит от реализации тайм-аута), соединение удаляется из таблицы состояний. Это может привести к неожиданным отключениям приложений или полуоткрытым TCP-соединениям . Приложения могут быть написаны для периодической отправки сообщений поддержки активности ^[3] для предотвращения разрыва соединения брандмауэром в периоды бездействия или для приложений, которые по своей конструкции имеют длительные периоды молчания.

Метод поддержания состояния сеанса зависит от используемого транспортного протокола. TCP — это протокол, ориентированный на соединение ^[4], и сеансы устанавливаются трехэтапным рукопожатием с использованием пакетов SYN и завершаются отправкой уведомления FIN . ^[5] Межсетевой экран может использовать эти уникальные идентификаторы подключения, чтобы знать, когда следует удалить сеанс из таблицы состояний, не дожидаясь истечения тайм-аута. UDP — это протокол без установления соединения ^[4] , что означает, что он не отправляет уникальные идентификаторы, связанные с соединением, во время связи. По этой причине сеанс будет удален из таблицы состояний только по истечении настроенного времени ожидания. UDP-дырка — это технология, которая использует эту особенность для динамической настройки туннелей данных через Интернет. ^[6] Сообщения ICMP отличаются от TCP и UDP и передают управляющую информацию самой сети. Хорошо известным примером этого является утилита ping . ^[7] Ответы ICMP будут пропускаться через брандмауэр. В некоторых сценариях связь UDP может использовать ICMP для предоставления информации о состоянии сеанса, поэтому ответы ICMP, связанные с сеансом UDP, также будут разрешены обратно.

Преимущества брандмауэра с проверкой состояния

• Отслеживает весь сеанс на предмет состояния соединения, а также проверяет IP-адреса и полезную нагрузку для более тщательной безопасности.
• Предлагает высокую степень контроля над тем, какой контент попадает в сеть или выходит из нее.
• Не нужно открывать многочисленные порты для пропуска входящего или исходящего трафика.
• Обеспечивает широкие возможности ведения журнала.

Недостатки межсетевого экрана с проверкой состояния

• Ресурсоемок и влияет на скорость сетевых коммуникаций.
• Более дорогой, чем другие варианты брандмауэра.
• Не предоставляет возможности аутентификации для проверки того, что источники трафика не подделаны.
• Не работает с асимметричной маршрутизацией (противоположные направления используют разные пути)
• Может привести к неожиданным отключениям или полуоткрытым соединениям, если соединения простаивают дольше времени ожидания.

Смотрите также

• Компьютерная безопасность
• Сетевой фильтр

Рекомендации

1. Горальски, Уолтер (12 мая 2017 г.). Иллюстрированная сеть: как TCP/IP работает в современной сети. Эльзевир Наука. ISBN 978-0-12-811027-0. ОСЛК  986540207.
2. «Состояние TCP-соединения». Центр знаний IBM . 12 февраля 2015 года . Проверено 6 сентября 2020 г.
3. "Руководство по поддержанию активности TCP" . Проект документации Linux . Проверено 6 сентября 2020 г.
4. Митчелл, Брэдли (1 апреля 2020 г.). «TCP против UDP». Жизненный провод . Проверено 6 сентября 2020 г.
5. «Трехстороннее рукопожатие TCP» . Исследование-CCNA . 6 сентября 2018 года . Проверено 6 сентября 2020 г.
6. «Автоматический обход NAT для автоматического туннелирования VPN между узлами Cisco Meraki» . Мераки . Проверено 6 сентября 2020 г.
7. Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)». Жизненный провод . Проверено 6 сентября 2020 г.