网络安全
状态化防火墙
别称: 状态检测防火墙
定义
通过连接状态表跟踪活动连接的防火墙,自动放行与已建立会话匹配的返回流量。
状态化防火墙维护一张连接表,记录每个流的五元组(源 IP、目的 IP、源端口、目的端口、协议),并跟踪 TCP 标志或 UDP/ICMP 的伪状态。一旦出站会话被允许,与表项匹配的返回数据包会被自动放行,无需显式的反向规则。这显著简化了规则集,也阻止了许多能绕过无状态过滤器的伪造数据包,但需要更多内存与 CPU,且可能被 SYN flood 或会话表攻击耗尽。状态化检测是任何现代企业级防火墙的基础,也是 NGFW 中应用识别等功能的前提。
示例
- Linux iptables 使用 conntrack 放行 ESTABLISHED、RELATED 的回程流量。
- Cisco ASA 跟踪出站 HTTP 流,自动放行响应包。
相关术语
防火墙
一种网络安全设备或软件,依据预定义的规则集监控和控制入站与出站流量,将可信网络与不可信网络隔离开来。
无状态防火墙
对每个数据包独立按静态规则进行评估、且不跟踪连接状态的防火墙。
包过滤
一种网络安全技术,根据静态规则集检查每个数据包的报头字段,从而决定放行或丢弃。
下一代防火墙(NGFW)
在状态化检测基础上引入应用识别、集成 IPS、用户身份控制和 TLS 解密,从而实施更精细策略的高级防火墙。
SYN 洪水攻击
基于 TCP 的拒绝服务攻击,通过大量发送未完成三次握手的 SYN 包,耗尽目标的连接状态资源。
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。