Phần lớn công nghệ fw ngày nay là công nghệ lọc gói tin statefull. Điều này là 1 phần không nhỏ liên quan đến thực tế rằng, công nghệ fw statefull rất linh hoạt. Khả năng tự động lọc gói tin thì được cung cấp qua trạng thái loc statefull. Statefull inspection là công nghệ fw làm việc tại lớp network. Không giống như static packet filter, static filter chỉ kiểm tra một gói tin đựa vào thông tin header của gói tin, statefull inspection có thể theo dõi mỗi kết nối đi qua tất cả interface của fw và xác thực rằng chúng hợp lệ.
Statefull packet filter and the State Table
Statefull packet filter duy trì bảng trạng thái, bảng trạng thái là một phần của cấu trúc bên trong firewall. Nó kiểm tra tất cả các phiên và kiểm tra tất cả những packets đi qua fw. Nếu một gói tin có những thuộc tính khớp với danh sách đã được định nghĩa trong bảng state table, fw sẽ cho phép gói tin đi qua. Phụ thuộc vào điều khiển luồng (traffic flow), bảng trạng thái state table thay đổi tự động. Sơ đồ dưới dây hiển thị làm ntn stateful packet filtering làm việc trên mô hình OSI.
Statefull fw sử dụng bảng trạng thái để giữ dấu vết của qua trình giao tiếp hiện tại. FW hoạt động tại lớp 3,4 và lớp 5 của mô hình OSI. Tại lớp transport layer, fw kiểm tra thông tin trong phần header của packet lớp 3 và những segments của lớp 4 transport. Stateful firewall sẽ kiểm tra TCP HEADER về cờ SYN, RST, ACK, FIN, và những luật điều khiển để xác định trạng thái của kết nối. Trong ví dụ trên, lớp session chịu trách nghiệm cho cả hai trạng thái kết nối establishing and tearing down.
Bất cứ khi nào một dịch vụ bên ngoài được phép truy cập stateful packet filter fw nhớ những chi tiết đó. Nói cách khác nó lưu chi tiết những yêu cầu trong bảng trạng thái. Khi một kết nối TCP hoặc UDP được thược hiện từ bên trong hoặc bên ngoài. FW ghi log những thông tin này trong bảng STATEFULL SESSION FLOW. Thông tin này sau đó được sử dụng khi hệ thống bên ngoài trả lời request. Firewall so sánh những packet nhận được với trạng thái được lưu trong state table để cho phép hoặc từ trối truy cập.
Địa chỉ nguồn và địa chỉ đích, port, số sequencing number tcp và thêm cờ flags hoặc mỗi kết nối phiên tcp hoặc udp
Không có nhận xét nào:
Đăng nhận xét