包过滤与状态检测防火墙的区别浅述包过滤防火墙与状态检测防火墙的区别
前段时间有朋友谈到路由器/防火墙的安全策略配置,说他公司路由器中的防火墙规则主要是在内网到外网、外网到内网的方向上屏蔽135、445等关键端口,其他默认允许。从他给出的配置规则的例子来看,之所以这么配置使用的包过滤方式,是怕他们把不该屏蔽的端口屏蔽掉,导致内部无法上网。在网上查了他们公司相应路由器型号的技术手册,这个路由器型号支持状态检测防火墙。如果是配置在状态检测模式,那么根据他们单位的需要,外网到内网只能配置为默认拒绝,这样可以大大降低外网对内网的安全威胁。
让我们以图1为例来看看包过滤和状态检测防火墙的主要区别。
图1
默认情况下,图中路由器/防火墙的安全策略是内网到外网,外网到内网的双向访问拒绝。当内部LAN中的PC1(IP地址10.1.1.1)访问外部Internet中的Web服务器(IP地址39.156.66.14,端口80)时
1.要采用包过滤,需要在路由器/防火墙中配置以下规则:
即:
1.从内部网络到外部网络,允许源IP地址为10.1.1.1 (PC1)、任意源端口(一般是大于1024~65535的随机端口)、TCP协议、目的IP地址为39.156.66.14(Web服务器)、目的端口为80的数据包通过。
2.从外部网络到内部网络,允许源IP地址为39.156.66.14(Web服务器)、源端口为80、协议为TCP、目的IP地址为PC1 (310.1.1.1)和目的端口为any(客户端无法预先分配的随机端口)的数据包通过。
可以看出,包过滤防火墙需要配置从内到外和从外到内两种规则,并且这两种规则是静态的,一直在工作。此外,由于PC1访问服务器的端口号是随机的,所有目的端口都被允许在从外网到内网的方向上通过,这进一步增加了风险。
其次,使用状态检测方法,您只需要在路由器/防火墙中配置一个从内部网络到外部网络的规则,如下所示:
但是,不需要手动配置从外部网络到内部网络的方向。相反,从PC1到Web服务器的数据包通过后,防火墙会动态建立一个临时会话,允许从Web服务器到PC1的数据包通过。当PC1和服务器之间没有数据通信时,定时器超时后临时会话将被删除;此外,由于PC1通过Web服务器的数据包的端口号已经确定,因此允许的目的端口号是明确的,但在从外部网络到内部网络的方向上并不都是开放的,这进一步降低了风险。
因此,包过滤和状态检测防火墙之间的主要区别是:
1.包过滤防火墙需要双向静态配置,配置后一直存在;状态检测防火墙只需要单向静态配置,另一个方向由防火墙自动动态建立临时会话释放——使用后会自动删除。
2.包过滤防火墙,从服务器到客户端的所有目的端口都需要打开;检查状态防火墙,从服务器到客户端的目的端口只按需开放。
以上输入和描述可能存在遗漏或错误。请在下方评论区留言!
如果以上文字有帮助,请随意转发!
头条:https://m.toutiao.com/is/J9jM5MW/