我不知道“gen2”与“gen3”,但我可以告诉你的是:
此防火墙跟踪 TCP 或 UDP 会话的状态。例如,这提供了优于更简单防火墙的优势
如果恶意用户正在窥探两个节点之间的流量,他可以使用节点 B 的欺骗 IP通过防火墙将流量发送到节点 A ,b/c 防火墙已经同意为特定的'开放允许端口 B 流量通过'会议'。
即使通过制作与会话具有相同详细信息的数据包,会话也可能会发生这种情况。状态防火墙依赖于 TCP 连接的两个节点之间的三向握手,如果没有发生握手,则不会让流量通过(当然,握手包本身除外)。对于 UDP 流量,使用一种称为 UDP 打孔的技术,会话通常会立即获得 ESTABLISHED 状态。虽然没有什么是万无一失的,但 SPI 防火墙确实证明了它们的价值。
现在,这是什么意思?考虑以下:
公司 B 通过限制对端口 22 出站的访问来“阻止”ssh
好吧,我们知道这并没有多大作用,因为我在端口 443 上运行我的 ssh 服务器,因为大多数网络允许 443 用于一般 https 网络流量。这将被 SPI 防火墙允许,因为会话状态通常独立于协议。
另一方面,应用层防火墙查看流量并说,嘿,这看起来更像是 SSH 流量而不是https 流量,我停止此对话,因为我们不允许 ssh 流量。
简而言之,如果您愿意,每个协议都有自己的签名。应用层防火墙查看签名并“尝试”确定使用它的应用程序,并从那里进行过滤。
我知道你没有问这个,但这一切都取决于你的需求。您可能需要一个、另一个或两者。
| 归档时间: |
|
| 查看次数: |
1294 次 |
| 最近记录: |