Каково различие между Брандмауэром SPI и Брандмауэром прикладного уровня?
Каково различие между Брандмауэром SPI и Брандмауэром прикладного уровня? При каких обстоятельствах я предпочел бы один по другому?
Я не знаю о 'gen2' против 'gen3', но вот что я могу вам сказать:
SPI брандмауэры фильтруют на 'состояния' сеанса
Этот брандмауэр отслеживает состояние сеанса TCP или UDP. Это дает преимущество перед более простыми брандмауэрами, например
Если злоумышленник шпионил за трафиком между двумя узлами, он мог посылать трафик на узел A с поддельным IP узла B через брандмауэр, b/c брандмауэр уже согласился открыть разрешающий трафик порта B для определенной "сессии".
Это может произойти даже после того, как сеанс предположительно завершится созданием пакетов с теми же самыми подробностями, что и сеанс. Статусные брандмауэры зависят от трехстороннего квитирования между двумя узлами для TCP соединений и не пропускают трафик, если квитирование не произошло (за исключением, конечно, самих квитирующих пакетов). Для UDP-трафика используется метод, называемый UDP Hole Punching, и сеансы обычно сразу же получают состояние ESTABLISHED (ЭСТАБЛИЗИРОВАННОЕ). Хотя ничто не является полной защитой, брандмауэры SPI определенно доказали свою ценность.
Брандмауэры прикладного уровня фильтруют 'Подписи протокола'
Теперь, что это значит? Рассмотрим следующее:
Компания B 'блокирует' ssh, ограничивая доступ к исходящему порту 22
Ну, мы знаем, что это не так уж и много, так как я запускаю свой ssh сервер на порту 443, так как большинство сетей разрешают 443 для общего https веб-трафика. Это было бы разрешено SPI брандмауэрами, поскольку состояние сеанса обычно не зависит от протокола.
Брандмауэры прикладного уровня, с другой стороны, рассматривают трафик и говорят Эй, это больше похоже на SSH трафик и не https трафик, я останавливаю этот разговор, потому что мы не разрешаем ssh трафик .
Короче говоря, каждый протокол имеет свою собственную подпись , если хотите. Брандмауэры прикладного уровня смотрят на сигнатуры и 'пытаются' определить приложения, которые их используют, и отфильтровывают оттуда.
Я знаю, что вы не спрашивали об этом, но все зависит от ваших потребностей. Вам может понадобиться один, другой, или оба .
.