Межсетевой экран с отслеживанием состояния

Система сетевой безопасности отслеживания подключений

В вычислительной технике межсетевой экран с отслеживанием состояния — это сетевой межсетевой экран , который индивидуально отслеживает сеансы сетевых подключений, проходящих через него. Проверка пакетов с отслеживанием состояния , также называемая динамической фильтрацией пакетов, ^[1] — это функция безопасности, часто используемая в некоммерческих и деловых сетях.

Описание

Межсетевой экран с отслеживанием состояния отслеживает состояние сетевых подключений, таких как потоки TCP , датаграммы UDP и сообщения ICMP , и может применять метки, такие как LISTEN , ESTABLISHED или CLOSING . ^[2] Записи таблицы состояний создаются для потоков TCP или датаграмм UDP, которым разрешено взаимодействовать через межсетевой экран в соответствии с настроенной политикой безопасности. После попадания в таблицу все СВЯЗАННЫЕ пакеты сохраненного сеанса упрощаются, занимая меньше циклов ЦП , чем стандартная проверка. Связанным пакетам также разрешено возвращаться через межсетевой экран, даже если не настроено правило, разрешающее связь с этого хоста. Если в течение определенного времени (зависит от реализации тайм-аута) трафик не отображается, соединение удаляется из таблицы состояний. Это может привести к тому, что приложения будут испытывать неожиданные отключения или полуоткрытые соединения TCP . Приложения могут быть написаны для периодической отправки сообщений keepalive ^[3] , чтобы предотвратить разрыв соединения межсетевым экраном в периоды бездействия или для приложений, которые по своей конструкции имеют длительные периоды молчания.

Метод поддержания состояния сеанса зависит от используемого транспортного протокола. TCP — это протокол, ориентированный на соединение ^[4], и сеансы устанавливаются с помощью трехстороннего рукопожатия с использованием пакетов SYN и завершаются отправкой уведомления FIN . ^[5] Брандмауэр может использовать эти уникальные идентификаторы соединений, чтобы знать, когда следует удалить сеанс из таблицы состояний, не дожидаясь истечения времени ожидания. UDP — это протокол без установления соединения, ^[4] что означает, что он не отправляет уникальные идентификаторы, связанные с соединением, во время связи. Из-за этого сеанс будет удален из таблицы состояний только по истечении настроенного времени ожидания. UDP hole punching — это технология, которая использует эту особенность для динамической настройки туннелей данных через Интернет. ^[6] Сообщения ICMP отличаются от TCP и UDP и передают управляющую информацию самой сети. Известным примером этого является утилита ping . ^[7] Ответы ICMP будут разрешены обратно через брандмауэр. В некоторых сценариях UDP-коммуникация может использовать ICMP для предоставления информации о состоянии сеанса, поэтому ответы ICMP, связанные с UDP-сеансом, также будут разрешены.

Преимущества межсетевого экрана с проверкой состояния

Отслеживает состояние соединения в течение всего сеанса, а также проверяет IP-адреса и полезные данные для более надежной защиты.
Обеспечивает высокую степень контроля над тем, какой контент впускается в сеть или выводится из нее.
Не нужно открывать множество портов для пропуска входящего или исходящего трафика
Обеспечивает существенные возможности регистрации

Недостатки межсетевого экрана с проверкой состояния

Ресурсоемкий и снижает скорость сетевых коммуникаций.
Дороже, чем другие варианты брандмауэров
Не предоставляет возможности аутентификации для проверки того, что источники трафика не поддельные.
Не работает с асимметричной маршрутизацией (противоположные направления используют разные пути)
Может привести к неожиданным отключениям или полуоткрытым соединениям, если соединения простаивают дольше, чем указано в тайм-ауте.

Смотрите также

Ссылки

^ Горальски, Вальтер (12 мая 2017 г.). Иллюстрированная сеть: как TCP/IP работает в современной сети. Elsevier Science. ISBN 978-0-12-811027-0. OCLC 986540207.
^ "Состояние соединения TCP". IBM Knowledge Center . 12 февраля 2015 г. Получено 6 сентября 2020 г.
^ "TCP Keepalive HOWTO". Проект документации Linux . Получено 6 сентября 2020 г.
^ ab Mitchell, Bradley (1 апреля 2020 г.). "TCP против UDP". Lifewire . Получено 6 сентября 2020 г. .
^ "TCP three-way handshake". Study-CCNA . 6 сентября 2018 . Получено 6 сентября 2020 .
^ "Автоматический обход NAT для автоматического туннелирования VPN между одноранговыми узлами Cisco Meraki". Meraki . Получено 6 сентября 2020 г. .
^ Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)». Lifewire . Получено 6 сентября 2020 г. .

[1] Горальски, Вальтер (12 мая 2017 г.). Иллюстрированная сеть: как TCP/IP работает в современной сети. Elsevier Science. ISBN 978-0-12-811027-0. OCLC 986540207.

[2] "Состояние соединения TCP". IBM Knowledge Center . 12 февраля 2015 г. Получено 6 сентября 2020 г.

[3] "TCP Keepalive HOWTO". Проект документации Linux . Получено 6 сентября 2020 г.

[TvU-4] Mitchell, Bradley (1 апреля 2020 г.). "TCP против UDP". Lifewire . Получено 6 сентября 2020 г. .

[5] "TCP three-way handshake". Study-CCNA . 6 сентября 2018 . Получено 6 сентября 2020 .

[6] "Автоматический обход NAT для автоматического туннелирования VPN между одноранговыми узлами Cisco Meraki". Meraki . Получено 6 сентября 2020 г. .

[7] Митчелл, Брэдли (3 декабря 2018 г.). «Руководство по протоколу управляющих сообщений Интернета (ICMP)». Lifewire . Получено 6 сентября 2020 г. .