Firewall

SPI 防火牆和應用層防火牆有什麼區別?

  • June 6, 2014

SPI 防火牆應用層防火牆有什麼區別?在什麼情況下我會更喜歡其中一種?

我不知道“gen2”和“gen3”,但我可以告訴你的是:

SPI 防火牆過濾會話“狀態”

此防火牆跟踪 TCP 或 UDP 會話的狀態。這比簡單的防火牆提供了一個優勢,例如

如果惡意使用者正在窺探兩個節點之間的流量,他可以通過防火牆將流量發送到節點 B 的欺騙 IP 的節點 A ,b/c 防火牆已經同意打開允許埠 B 流量通過的特定’會議’。

即使在會話通過製作具有與會話相同細節的數據包而結束後,這種情況也可能發生。狀態防火牆依賴於兩個節點之間的三向握手來進行 TCP 連接,如果沒有發生握手,則不會讓流量通過(當然,握手數據包本身除外)。對於 UDP 流量,使用一種稱為 UDP Hole Punching 的技術,會話通常會立即獲得 ESTABLISHED 狀態。雖然沒有什麼是萬無一失的,但 SPI 防火牆確實證明了它們的價值。

應用層防火牆過濾“協議簽名”

現在,這是什麼意思?考慮以下:

B 公司通過限制對 22 埠出站的訪問來“阻止”ssh

好吧,我們知道這並沒有多大作用,因為我在埠 443 上執行我的 ssh 伺服器,因為大多數網路允許 443 用於一般的 https 網路流量。這將被 SPI 防火牆允許,因為會話狀態通常獨立於協議。

另一方面,應用層防火牆查看流量並說嘿,這看起來更像 SSH 流量而不是https 流量,我要停止這個對話,因為我們不允許 ssh 流量

簡而言之,如果您願意,每個協議都有自己的*簽名。*應用層防火牆查看簽名並“嘗試”確定使用它的應用程序,並從那裡過濾。

我知道你沒有問這個,但這完全取決於你的需要。您可能需要一個、另一個或兩者

引用自:https://serverfault.com/questions/602151