答案1
我不知道“gen2”和“gen3”有什么区别,但我可以告诉你的是:
SPI 防火墙过滤会话“状态”
此防火墙会跟踪 TCP 或 UDP 会话的状态。这比简单的防火墙更有优势,例如
如果恶意用户窥探两个节点之间的流量,他可以使用节点 B 的欺骗 IP 将流量发送到节点 A通过防火墙,因为防火墙已经同意为特定的“会话”打开允许端口 B 流量通过。
即使在会话据称已经结束之后,通过制作与会话相同的详细信息的数据包,这种情况也可能发生。状态防火墙依赖于两个节点之间的三方握手来进行 TCP 连接,如果未进行握手,则不会让流量通过(当然,握手数据包本身除外)。对于 UDP 流量,使用一种称为 UDP 打洞的技术,会话通常会立即获得 ESTABLISHED 状态。虽然没有什么是万无一失的,但 SPI 防火墙确实证明了它们的价值。
应用层防火墙过滤“协议签名”
那么这意味着什么呢?考虑以下几点:
B 公司通过限制对 22 端口的出站访问来“阻止” ssh
好吧,我们知道这实际上没什么用,因为我在端口 443 上运行我的 ssh 服务器,因为最多网络允许 443 用于一般的 https Web 流量。SPI 防火墙会允许这种情况,因为会话状态通常与协议无关。
另一方面,应用层防火墙会查看流量并说嘿,这看起来更像是 SSH 流量,不是https 流量,我停止此对话,因为我们不允许 ssh 流量。
简而言之,每个协议都有自己的签名,如果你愿意的话。应用层防火墙查看签名并“尝试”确定使用它的应用程序,然后从那里进行过滤。
我知道你没有问这个,但这一切都取决于你的需求。你可能需要其中一个,另一个,或者两个都。