В вычислительной технике межсетевой экран с отслеживанием состояния — это сетевой межсетевой экран , который индивидуально отслеживает сеансы проходящих через него сетевых подключений. Проверка пакетов с отслеживанием состояния , также называемая динамической фильтрацией пакетов, [1] — это функция безопасности, часто используемая в некоммерческих и деловых сетях.
Межсетевой экран с отслеживанием состояния отслеживает состояние сетевых подключений, таких как потоки TCP , датаграммы UDP и сообщения ICMP , и может применять такие метки, как LISTEN , ESTABLISHED или CLOSING . [2] Записи таблицы состояний создаются для потоков TCP или дейтаграмм UDP, которым разрешен обмен данными через брандмауэр в соответствии с настроенной политикой безопасности. Попав в таблицу, все СВЯЗАННЫЕ пакеты сохраненного сеанса оптимизируются, занимая меньше циклов ЦП , чем стандартная проверка. Связанным пакетам также разрешено возвращаться через брандмауэр, даже если ни одно правило не разрешает обмен данными с этого хоста. Если трафик не наблюдается в течение определенного времени (зависит от реализации тайм-аута), соединение удаляется из таблицы состояний. Это может привести к неожиданным отключениям приложений или полуоткрытым TCP-соединениям . Приложения могут быть написаны для периодической отправки сообщений поддержки активности [3] для предотвращения разрыва соединения брандмауэром в периоды бездействия или для приложений, которые по своей конструкции имеют длительные периоды молчания.
Метод поддержания состояния сеанса зависит от используемого транспортного протокола. TCP — это протокол, ориентированный на соединение [4], и сеансы устанавливаются трехэтапным рукопожатием с использованием пакетов SYN и завершаются отправкой уведомления FIN . [5] Межсетевой экран может использовать эти уникальные идентификаторы подключения, чтобы знать, когда следует удалить сеанс из таблицы состояний, не дожидаясь истечения тайм-аута. UDP — это протокол без установления соединения [4] , что означает, что он не отправляет уникальные идентификаторы, связанные с соединением, во время связи. По этой причине сеанс будет удален из таблицы состояний только по истечении настроенного времени ожидания. UDP-дырка — это технология, которая использует эту особенность для динамической настройки туннелей данных через Интернет. [6] Сообщения ICMP отличаются от TCP и UDP и передают управляющую информацию самой сети. Хорошо известным примером этого является утилита ping . [7] Ответы ICMP будут пропускаться через брандмауэр. В некоторых сценариях связь UDP может использовать ICMP для предоставления информации о состоянии сеанса, поэтому ответы ICMP, связанные с сеансом UDP, также будут разрешены обратно.