В чем разница между брандмауэром SPI и брандмауэром прикладного уровня?

Question

В чем разница между брандмауэром SPI и брандмауэром прикладного уровня?

В чем разница между брандмауэром SPI и брандмауэром прикладного уровня? При каких обстоятельствах я бы предпочел одно другому?

1

firewall web-application-firewall application-firewall

Источник

ton.yeung 05 июн '14 в 18:47

1 ответ

Решение

Другие вопросы по тегам firewall web-application-firewall application-firewall

MDMoore313 05 июн '14 в 19:29 2014-06-05 19:29 · Accepted Answer · 2014-06-05 19:29

Я не знаю о 'gen2' против 'gen3', но я могу сказать вам следующее:

Фильтр межсетевых экранов SPI в сеансе "Состояния"

Этот брандмауэр отслеживает состояние сеанса TCP или UDP. Это обеспечивает преимущество перед более простыми брандмауэрами, например

Если злонамеренный пользователь отслеживал трафик между двумя узлами, он мог бы отправлять трафик на узел A с поддельным IP-адресом узла B через брандмауэр, b/c брандмауэр уже согласился открыть пропуск разрешенного трафика порта B для определенного ' сессия.

Это может произойти даже после того, как сеанс предположительно завершился созданием пакетов с теми же деталями, что и сеанс. Межсетевые экраны с сохранением состояния зависят от трехстороннего рукопожатия между двумя узлами для соединений TCP и не пропускают трафик, если рукопожатие не состоялось (за исключением, конечно, самих пакетов рукопожатия). Для трафика UDP используется метод, называемый UDP Hole Punching, и сеансы обычно сразу получают состояние ESTABLISHED. Хотя ничто не является полностью защищенным, брандмауэры SPI, безусловно, доказали свою ценность.

Фильтр брандмауэров прикладного уровня на "Подписи протокола"

Теперь, что это значит? Учтите следующее:

Компания B 'блокирует' ssh, ограничивая доступ к исходящему порту 22

Что ж, мы знаем, что на самом деле это мало что дает, так как я запускаю свой ssh-сервер через порт 443, так как большинство сетей разрешают 443 для общего веб-трафика https. Это было бы разрешено межсетевыми экранами SPI, поскольку состояние сеанса обычно не зависит от протокола.

Брандмауэры прикладного уровня, с другой стороны, смотрят на трафик и говорят: " Эй, это больше похоже на трафик SSH, а не на трафик https. Я прекращаю этот разговор, потому что мы не разрешаем трафик ssh".

Короче говоря, каждый протокол имеет свою собственную подпись, если хотите. Брандмауэры уровня приложений просматривают сигнатуры и "пытаются" определить приложения, использующие его, и отфильтровать их.

Я знаю, что вы не спрашивали об этом, но все зависит от ваших потребностей. Вам может понадобиться один, другой или оба.