In der Computerwissenschaft ist eine stateful Brandmauer (jede Brandmauer, die Stateful-Paket-Inspektion (SPI) oder stateful Inspektion durchführt) eine Brandmauer, die den Staat von Netzverbindungen (wie TCP-Ströme, UDP Kommunikation) nachgeht, darüber reisend. Die Brandmauer wird programmiert, um legitime Pakete für verschiedene Typen von Verbindungen zu unterscheiden. Nur Paketen, die eine bekannte aktive Verbindung vergleichen, wird durch die Brandmauer erlaubt; andere werden zurückgewiesen.

Geschichte

Vor dem Advent von stateful Brandmauern, einer staatenlosen Brandmauer, war eine Brandmauer, die jeden Netzrahmen (oder Paket) in der Isolierung behandelt, normal. Solche Paket-Filter funktionieren an der Netzschicht (Schicht 3) und fungieren effizienter, weil sie nur auf den Kopfball-Teil eines Pakets schauen. Ein Nachteil von reinen Paket-Filtern besteht darin, dass sie staatenlos sind; sie haben kein Gedächtnis von vorherigen Paketen, das sie verwundbar für Manipulationsangriffe macht. Solch eine Brandmauer hat keine Weise zu wissen, ob ein gegebenes Paket ein Teil einer vorhandenen Verbindung ist, versucht, eine neue Verbindung herzustellen, oder gerade ein Schelm-Paket ist. Moderne Brandmauern sind der Verbindung bewusst (oder zustandbewusst), Netzverwaltern feinere-grained Kontrolle des Netzverkehrs anbietend.

Das klassische Beispiel einer Netzoperation, die mit einer staatenlosen Brandmauer scheitern kann, ist File Transfer Protocol (FTP). Durch das Design müssen solche Protokolle im Stande sein, Verbindungen zu willkürlichen hohen Häfen zu öffnen, um richtig zu fungieren. Da eine staatenlose Brandmauer keine Weise hat zu wissen, dass das Paket, das zum geschützten Netz (zu Bestimmungsort-Hafen eines Gastgebers 4970, zum Beispiel) bestimmt ist, ein Teil einer legitimen FTP Sitzung ist, wird es das Paket fallen lassen. Brandmauern von Stateful beheben dieses Problem durch das Aufrechterhalten eines Tisches von offenen Verbindungen und intelligent das Verbinden neuer Verbindungsbitten mit vorhandenen legitimen Verbindungen.

Die Erfindung der stateful Brandmauer wird gewöhnlich Nir Zuk und seiner Mannschaft am Kontrollpunkt Mitte der 1990er Jahre kreditiert.

Frühe Versuche des Produzierens von Brandmauern haben an der Anwendungsschicht funktioniert, die das sehr oberste vom OSI Sieben-Schichten-Modell ist. Diese Methode hat maßlose Beträge der Rechenmacht verlangt und wird in modernen Durchführungen selten verwendet.

Beschreibung

Eine stateful Brandmauer ist im Stande, bedeutende Attribute jeder Verbindung im Gedächtnis von Anfang bis Ende zu halten. Diese Attribute, die als der Staat der Verbindung insgesamt bekannt sind, können solche Details als die IP-Adressen und Häfen einschließen, die an der Verbindung und den Folge-Zahlen der Pakete beteiligt sind, die die Verbindung überqueren.

Der grösste Teil der Zentraleinheit intensive Überprüfung wird zur Zeit der Einstellung der Verbindung durchgeführt. Alle Pakete danach (für diese Sitzung) werden schnell bearbeitet, weil es einfach und schnell ist, um zu bestimmen, ob es einer vorhandenen, vorgeschirmten Sitzung gehört. Sobald die Sitzung geendet hat, wird sein Zugang im Zustandtisch verworfen.

Die stateful Brandmauer hängt vom dreiseitigen Händedruck des TCP Protokolls ab, wenn das Protokoll, das wird verwendet, TCP ist; wenn das Protokoll UDP ist, hängt die stateful Brandmauer von nichts Verbundenem mit TCP ab.

Wenn ein Kunde eine neue Verbindung beginnt, sendet sie ein Paket mit dem SYN Bohrersatz im Paket-Kopfball. Alle Pakete mit dem SYN Bohrersatz werden durch die Brandmauer als NEUE Verbindungen betrachtet. Wenn der Dienst, um den der Kunde gebeten hat, auf dem Server verfügbar ist, wird der Dienst dem SYN Paket mit einem Paket antworten, in dem sowohl der SYN als auch der ACK gebissen haben, werden gesetzt. Der Kunde wird dann mit einem Paket erwidern, in dem nur der ACK gebissen hat, wird gesetzt, und die Verbindung wird in den FESTSTEHENDEN Staat eingehen. Solch eine Brandmauer wird alle aus dem Amt scheiden Pakete durchführen, aber wird nur eingehende Pakete erlauben, wenn sie ein Teil einer HERGESTELLTEN Verbindung sind, sicherstellend, dass Hacker freiwillige Verbindungen mit der geschützten Maschine nicht anfangen können.

Um den Zustandtisch davon abzuhalten sich zu füllen, werden Sitzungen Unterbrechung, wenn kein Verkehr seit einer bestimmten Periode gegangen ist.

Diese alten Verbindungen werden vom Zustandtisch entfernt. Viele Anwendungen senden deshalb keepalive Nachrichten regelmäßig, um eine Brandmauer zu verhindern, die Verbindung während Perioden keiner Benutzertätigkeit fallen zu lassen, obwohl einige Brandmauern beauftragt werden können, diese Nachrichten für Anwendungen zu senden.

Viele stateful Brandmauern sind im Stande, den Staat von Flüssen in connectionless Protokollen zu verfolgen. Das UDP Loch-Lochen ist die mit UDP vereinigte Technik.

Solche Sitzungen bekommen gewöhnlich den FESTSTEHENDEN Staat sofort, nachdem das erste Paket durch die Brandmauer gesehen wird.

Sitzungen in connectionless Protokollen können nur durch die Pause enden.

Durch das Nachgehen den Verbindungsstaat, stateful Brandmauern stellen hinzugefügte Leistungsfähigkeit in Bezug auf die Paket-Inspektion zur Verfügung.

Das ist, weil für vorhandene Verbindungen die Brandmauer nur den Zustandtisch überprüfen muss, anstatt das Paket gegen den Regel-Satz der Brandmauer zu überprüfen, der umfassend sein kann.

Außerdem ist das Konzept der tiefen Paket-Inspektion zu stateful Brandmauern wegen seiner Stateful-Eigenschaft ohne Beziehung, die ankommenden Verkehr gegen seinen Zustandtisch zuerst überprüft, anstatt zum Regel-Satz der Brandmauer zu springen. In diesem Fall, wenn der Zustandtisch verglichen wird, dann braucht er tiefe Paket-Inspektion nicht.

Paket-Inspektion von Stateful wird normalerweise durch das Verwenden von ASIC-beschleunigten Geräten erreicht, die spezifisch konstruiert werden, um Anwendungsschicht-Transaktionen zu behandeln.

Anwendungsniveau-Filter

Jedoch wird Paket-Entstörung allein als Versorgung von genug Schutz nicht betrachtet. Um Gleichen effektiv zu blockieren, um verwandter Netzverkehr zu spähen, was erforderlich ist, ist eine Brandmauer, die Anwendungsentstörung tut, die als eine Erweiterung auf die stateful Paket-Inspektion betrachtet werden kann. Paket-Inspektion von Stateful kann bestimmen, welches Protokoll über jeden Hafen gesandt wird, aber Anwendungsniveau-Filterblick darauf, wofür ein Protokoll verwendet wird. Zum Beispiel könnte ein Anwendungsniveau-Filter im Stande sein zu sagen, dass der Unterschied zwischen dem HTTP Verkehr gepflegt hat, auf eine Webseite und HTTP für das Dateiteilen verwendeten Verkehr zuzugreifen, wohingegen eine Brandmauer, die nur Paket-Entstörung durchführt, den ganzen HTTP Verkehr ebenso behandeln würde.

Anwendungsschicht-Brandmauern unterscheiden sich von der stateful Paket-Entstörung und den Toren des Stromkreis-Niveaus auf mehrere Weisen. Anwendungsschicht-Brandmauern unterstützen vielfache Anwendungsvertretungen auf einer einzelnen Brandmauer. Die Vertretungen sitzen zwischen dem Kunden und dem Server, den vorübergehenden Daten zwischen den zwei Endpunkten. Misstrauische Daten sind fallen gelassen, und der Kunde und Server kommunizieren nie direkt mit einander. Weil Anwendungsniveau-Vertretungen der Anwendung bewusst sind, können die Vertretungen leichter komplizierte Protokolle wie H.323 behandeln, der für die Videokonferenzführung und VoIP (Begleitkommentar IP) verwendet wird. Anwendungsvertretungen können dem Kunden und Server durchsichtig sein, weil keine Konfiguration auf dem Kunden oder dem Server erforderlich ist; oder kann nichtdurchsichtig sein, das Lassen des Kunden und Servers richtet den Proxyserver direkt. Die Durchsichtigkeit gegen die Nichtdurchsichtigkeit ist eine Sache der Durchführung und Adresse verbergend, aber nicht über die Sicherheit.

Fallen

Verwundbarkeit

Es gibt eine Gefahr, dass die Verwundbarkeit in individuellen Protokoll-Decodern einem Angreifer erlauben konnte, Kontrolle über die Brandmauer zu gewinnen. Diese Sorge hebt das Bedürfnis hervor, Brandmauer-Software aktualisiert zu halten.

Brandmauern von Stateful erheben auch die Möglichkeit, dass individuelle Gastgeber ins Anbieten außerhalb Verbindungen beschwindelt werden können. Diese Möglichkeit kann nur durch die Rechnungsprüfung der Gastgeber-Software völlig beseitigt werden. Einige Brandmauern können auf diese Weise durch die einfache Betrachtung einer Webseite (entweder mit JavaScript ermöglicht, oder nach dem Klicken auf einem Knopf) vereitelt werden.

Siehe auch

• Kontrollpunkt VPN-1
• Cisco ASA
• Computersicherheit
• Cyberoam
• Endian Brandmauer
• Brandmauer 1
• IPCop
• IPFire
• IPFilter
• ipfirewall
• Kerio Brandmauer von WinRoute
• Monowand
• Netfilter
• Netzschicht-Brandmauer
• PF
• pfSense
• Vyatta