前段时间一位朋友聊到路由器/防火墙的安全策略配置,说他单位的路由器中的防火墙规则是在内网到外网、外网到内网两个方向主要封堵了135、445之类的关键端口,其它则是默认允许。从他给的配置规则示例看,沿用的包过滤方式,之所以如此配置,是因为他们怕封了不该封的端口,造成单位内部无法访问互联网。通过在网上查看他们单位路由器对应型号的技术手册,该路由器型号是支持状态检测防火墙的。如果配置成状态检测方式,那么按他们单位的需求,外网到内网则可仅配置成默认拒绝即可,能够大幅降低外网对内网的安全威胁。

下面我们以图1为例,来看看包过滤与状态检测防火墙的主要区别在哪里。

图1

图中路由器/防火墙的安全策略默认是内网到外网、外网到内网双向拒绝访问。当内部局域网中的PC1(IP地址10.1.1.1)访问外部互联网中的Web服务器(IP地址39.156.66.14,端口80)时

一、采用包过滤方式,需要在路由器/防火墙中配置如下规则:

即:

1、由内网向外网的方向允许(PC1的)源IP地址为10.1.1.1、源端口为任意(一般是大于1024~65535之间的一个随机端口)、协议为TCP,到(Web服务器的)目的IP地址为39.156.66.14、目的端口为80的数据包通过。

2、由外网向内网的方向允许(Web服务器的)源IP地址为39.156.66.14、源端口为80、协议为TCP,到(PC1的)目的IP地址为310.1.1.1、目的端口为任意(事先无法客户端分配的随机端口)的数据包通过。

可见,包过滤防火墙需要配置由内向外和由外向内的两条规则,且这两条规则是静态的一直起作用。另外因为PC1访问服务器时的端口号是随机的,因此在由外网向内网的方向上,允许全部目的端口通过,进一步增加了风险。

二、采用状态检测方式,则仅需要在路由器/防火墙中配置由内网向外网方向的一条规则,如下所示:

而由外网向内网的方向不需要手工进行配置,而是在PC1到Web服务器的数据包通过后,由防火墙动态的建立一条临时会话——允许Web服务器到PC1的数据包通过。当PC1与服务器之间没有数据通信后,该临时会话会在定时器超时后被删除;另外因为PC1通过Web服务器的数据包的端口号已确定,因此在由外网向内网的方向上,允许的目的端口号是明确的而不是全部开放,进一步减小了风险。

因此包过滤与状态检测防火墙的主要区别是:

1、包过滤防火墙需要双向静态配置,配置后一直存在;状态检测防火墙仅需单向静态配置,另外一个方向由防火墙自动动态建立临时会话放行——用过后会自动删除。

2、包过滤防火墙,服务器到客户端的目的端口需要全部打开;状态检测防火墙,服务器到客户端的目的端口仅按需开放。

以上输入和描述可能有疏漏、错误,欢迎大家在下方评论区留言指正!

另以上文字如有帮助,望不吝转发!

头条主页:https://m.toutiao.com/is/J9jM5MW/