SPI 防火墙和应用层防火墙有什么区别?

SPI 防火墙和应用层防火墙有什么区别?

有什么区别SPI 防火墙应用层防火墙? 在什么情况下我会选择其中一个而不是另一个?

答案1

我不知道“gen2”和“gen3”有什么区别,但我可以告诉你的是:

SPI 防火墙过​​滤会话“状态”

此防火墙会跟踪 TCP 或 UDP 会话的状态。这比简单的防火墙更有优势,例如

如果恶意用户窥探两个节点之间的流量,他可以使用节点 B 的欺骗 IP 将流量发送到节点 A通过防火墙,因为防火墙已经同意为特定的“会话”打开允许端口 B 流量通过。

即使在会话据称已经结束之后,通过制作与会话相同的详细信息的数据包,这种情况也可能发生。状态防火墙依赖于两个节点之间的三方握手来进行 TCP 连接,如果未进行握手,则不会让流量通过(当然,握手数据包本身除外)。对于 UDP 流量,使用一种称为 UDP 打洞的技术,会话通常会立即获得 ESTABLISHED 状态。虽然没有什么是万无一失的,但 SPI 防火墙确实证明了它们的价值。

应用层防火墙过滤“协议签名”

那么这意味着什么呢?考虑以下几点:

B 公司通过限制对 22 端口的出站访问来“阻止” ssh

好吧,我们知道这实际上没什么用,因为我在端口 443 上运行我的 ssh 服务器,因为最多网络允许 443 用于一般的 https Web 流量。SPI 防火墙会允许这种情况,因为会话状态通常与协议无关。

另一方面,应用层防火墙会查看流量并说嘿,这看起来更像是 SSH 流量,不是https 流量,我停止此对话,因为我们不允许 ssh 流量

简而言之,每个协议都有自己的签名,如果你愿意的话。应用层防火墙查看签名并“尝试”确定使用它的应用程序,然后从那里进行过滤。

我知道你没有问这个,但这一切都取决于你的需求。你可能需要其中一个,另一个,或者两个都

相关内容