Co oznacza zwrota Firewall Pełnostanowy ?

0

Witam was wszystkich tak sobie krążę po sieci na temat firewalli i trafiłem na pewną wzmiankę o pełnostanowym filtrowaniu pakietów jak i pełnostanowym firewallu czy ktoś z was mógłby mi cokolwiek na ten temat powiedzieć czy taki pełnostanowy firewall różni się czymś szczególnym od zwykłego firewalla ?

0

Sprobuje powiedziec jak ja bym to rozumial.
Polaczenia TCP maja jakis stan: SYN, ACK, FIN itp
Zalozmy, ze firewall nie ma przyjmowac zadnych pakietow przychodzacych z sieci zewnetrznej. Teraz, polaczyles sie z jakims serwerem HTTP i wyslales zadanie, ale ono nie dochodzi, bo zablokowales taka mozliwosc. To "zwykly" firewall.
Firewall "stanowy" moze miec reguly, ze jesli Ty rozpoczales polaczenie, rowniez mozesz odbierac z takiego polaczenia pakiety. Dzieje sie tak ze pakiety sa badane pod wzgledem pewnych flag (wspomniane SYN, ACK itp). Firewall wie, ze dany pakiet jest odpowiedzia na zadanie, a nie proba polaczenia sie z neta z Twoja maszyna.
Przykladowo, inicjalizacja polaczenia TCP dziala mniej wiecej tak:

  • kleint wysyla pakiet z hostem, portem i flaga SYN do serwera, i specjalny numerek porzadkowy (zdaje sie ze jest losowy)
  • servew odsyla SYN i ACK, oraz ten numerek zwiekszony o 1 - jesli tak jest, firewall jest w stanie stwierdzic ze to jest odpoweidz na twoje zadanie, bo: flagi SYN i ACK sa razem uzyte, i numerek jest o 1 wiekszy niz ten ktory ty wyslales, host zrodlowy i port tez odpowiadaja sobe

Przykladowo, iptables (dawniej ipchains) pozwala na takie rzeczy. Mozesz ustalic zeby komp odrzucal wszystkie polaczenia przychodzace na porcie X, chyba, ze te spelnione sa pewne reguly (te ktore opisalem powyzej), wtedy pozwala jako ze to jest odpowiedz na twoje polaczenie wychodzace. Oczywiscie, wydaje mi sie ze taki "stanowy" firewall ma (duzo?) wieksze wymagania co do pamieci / procka itp.

To tylko moja interpretacja, nie znam sie na tym za bardzo, wiem tylko ze takie stany mozna sprawdzac w iptables.

0

Dziękuję bardzo za odpowiedz.

1 użytkowników online, w tym zalogowanych: 0, gości: 1