Каково различие между Брандмауэром SPI и Брандмауэром прикладного уровня? При каких обстоятельствах я предпочел бы один по другому?
Я не знаю о 'gen2' против 'gen3', но вот что я могу вам сказать:
Этот брандмауэр отслеживает состояние сеанса TCP или UDP. Это дает преимущество перед более простыми брандмауэрами, например
Если злоумышленник шпионил за трафиком между двумя узлами, он мог посылать трафик на узел A с поддельным IP узла B через брандмауэр, b/c брандмауэр уже согласился открыть разрешающий трафик порта B для определенной "сессии".
Это может произойти даже после того, как сеанс предположительно завершится созданием пакетов с теми же самыми подробностями, что и сеанс. Статусные брандмауэры зависят от трехстороннего квитирования между двумя узлами для TCP соединений и не пропускают трафик, если квитирование не произошло (за исключением, конечно, самих квитирующих пакетов). Для UDP-трафика используется метод, называемый UDP Hole Punching, и сеансы обычно сразу же получают состояние ESTABLISHED (ЭСТАБЛИЗИРОВАННОЕ). Хотя ничто не является полной защитой, брандмауэры SPI определенно доказали свою ценность.
Теперь, что это значит? Рассмотрим следующее:
Компания B 'блокирует' ssh, ограничивая доступ к исходящему порту 22
Ну, мы знаем, что это не так уж и много, так как я запускаю свой ssh сервер на порту 443, так как большинство сетей разрешают 443 для общего https веб-трафика. Это было бы разрешено SPI брандмауэрами, поскольку состояние сеанса обычно не зависит от протокола.
Брандмауэры прикладного уровня, с другой стороны, рассматривают трафик и говорят Эй, это больше похоже на SSH трафик и не https трафик, я останавливаю этот разговор, потому что мы не разрешаем ssh трафик .
Короче говоря, каждый протокол имеет свою собственную подпись , если хотите. Брандмауэры прикладного уровня смотрят на сигнатуры и 'пытаются' определить приложения, которые их используют, и отфильтровывают оттуда.
Я знаю, что вы не спрашивали об этом, но все зависит от ваших потребностей. Вам может понадобиться один, другой, или оба .
.