网络安全
无状态防火墙
别称: 包过滤防火墙
定义
对每个数据包独立按静态规则进行评估、且不跟踪连接状态的防火墙。
无状态防火墙将每个数据包孤立检查,根据源/目的 IP、端口和协议等报头字段应用规则,但不保存任何流或连接状态信息。这种设计速度极快、内存占用低,非常适合 ISP 边界、路由器/交换机 ACL 或 AWS Network ACL 等高吞吐场景,但要求管理员为每条流显式编写双向规则。无状态过滤器更容易受到伪造源地址、分片技巧以及利用缺乏会话上下文的攻击影响。现代架构通常在网络边界使用无状态 ACL,在其后部署有状态防火墙形成纵深防御。
示例
- AWS Network ACL 阻止来自 0.0.0.0/0 的入站 22 端口流量。
- 路由器 ACL 仅允许两个子网之间的 TCP/443,需要在两个方向上分别显式配置。
相关术语
防火墙
一种网络安全设备或软件,依据预定义的规则集监控和控制入站与出站流量,将可信网络与不可信网络隔离开来。
状态化防火墙
通过连接状态表跟踪活动连接的防火墙,自动放行与已建立会话匹配的返回流量。
包过滤
一种网络安全技术,根据静态规则集检查每个数据包的报头字段,从而决定放行或丢弃。
IP 欺骗
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。
Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ) — definition coming soon.
Network Segmentation
Network Segmentation — definition coming soon.