В вычислениях брандмауэр с отслеживанием состояния - это сетевой брандмауэр, который индивидуально отслеживает сеансы сетевых подключений, проходящих через него. Проверка пакетов с отслеживанием состояния , также называемая динамической фильтрацией пакетов [1], представляет собой функцию безопасности, часто используемую в некоммерческих и деловых сетях.
Описание
Брандмауэр с отслеживанием состояния отслеживает состояние сетевых подключений, таких как потоки TCP , дейтаграммы UDP и сообщения ICMP , и может применять такие метки, как LISTEN , ESTABLISHED или CLOSING . [2] Записи таблицы состояний создаются для потоков TCP или дейтаграмм UDP, которым разрешено обмениваться данными через брандмауэр в соответствии с настроенной политикой безопасности. Попав в таблицу, все СВЯЗАННЫЕ пакеты сохраненного сеанса упрощаются и разрешаются, занимая меньше циклов ЦП, чем стандартная проверка. Связанным пакетам также разрешено возвращаться через брандмауэр, даже если не настроено правило, разрешающее обмен данными с этого хоста. Если в течение определенного времени (зависит от реализации) трафик не наблюдается, соединение удаляется из таблицы состояний. Приложения могут периодически отправлять сообщения keepalive [3], чтобы брандмауэр не прерывал соединение в периоды бездействия или для приложений, которые по своей природе имеют длительные периоды молчания.
Метод поддержания состояния сеанса зависит от используемого транспортного протокола. TCP - это протокол, ориентированный на соединение [4], и сеансы устанавливаются с помощью трехстороннего рукопожатия с использованием пакетов SYN и заканчиваются отправкой уведомления FIN . [5] Межсетевой экран может использовать эти уникальные идентификаторы подключения, чтобы знать, когда удалить сеанс из таблицы состояний, не дожидаясь тайм-аута. UDP - это протокол без установления соединения [4], что означает, что он не отправляет уникальные идентификаторы, связанные с подключением, во время связи. По этой причине сеанс будет удален из таблицы состояний только по истечении заданного времени ожидания. Пробивка отверстий UDP - это технология, которая злоупотребляет этим свойством, позволяя динамически настраивать туннели данных через Интернет. [6] Сообщения ICMP отличаются от TCP и UDP и передают управляющую информацию самой сети. Хорошо известным примером этого является утилита ping . [7] Ответы ICMP будут разрешены обратно через брандмауэр. В некоторых сценариях связь UDP может использовать ICMP для предоставления информации о состоянии сеанса, поэтому ответы ICMP, относящиеся к сеансу UDP, также будут разрешены обратно.
Смотрите также
Рекомендации
- ^ Горальский, Вальтер, автор. Иллюстрированная сеть: как TCP / IP работает в современной сети . ISBN 978-0-12-811027-0. OCLC 986540207 .CS1 maint: несколько имен: список авторов ( ссылка )
- ^ «Статус TCP-соединения» . Центр знаний IBM . Проверено 6 сентября 2020 года .
- ^ "TCP Keepalive HOWTO" . Проект документации Linux . Проверено 6 сентября 2020 года .
- ^ а б Митчелл, Брэдли (1 апреля 2020 г.). «TCP против UDP» . Lifewire . Проверено 6 сентября 2020 года .
- ^ «Трехстороннее рукопожатие TCP» . Исследование-CCNA . Проверено 6 сентября 2020 года .
- ^ «Автоматический обход NAT для автоматического туннелирования VPN между одноранговыми узлами Cisco Meraki» . Мераки . Проверено 6 сентября 2020 года .
- ^ Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)» . Lifewire . Проверено 6 сентября 2020 года .