firewallcon stato e senza stato

Lo scopo di un firewall è quello di gestire i tipi di traffico che possono entrare e uscire da una rete protetta. Il firewall si trova sul confine della rete e ispeziona tutto il traffico che tenta di attraversarlo, sia in entrata che in uscita. In base al set di regole definito, il firewall consentirà o bloccherà il traffico che attraversa quel confine.

I firewall sono disponibili in varie forme e possono essere classificati in diversi modi. Sebbene conoscere la differenza tra un firewall per piccole imprese e un firewall aziendale sia importante, ci sono distinzioni ancora più fondamentali, come ad esempio se un firewall è stateful o stateless.

Richiedi una Demo Guida all'acquisto NGFW

Che cos'è un firewall stateful?

Un firewall stateful è un firewall che mantiene uno 'stato' o memorizza informazioni sulle connessioni di rete attive. Quando viene aperta una connessione, il firewall inizia a tracciarla e aggiorna il suo stato interno man mano che i nuovi pacchetti vengono ispezionati ed elaborati dal firewall.

La capacità di mantenere lo stato consente al firewall di identificare i pacchetti apparentemente legittimi che arrivano fuori sequenza e non sono validi. Ad esempio, la maggior parte delle organizzazioni consente il traffico DNS in entrata, perché i computer all'interno dell'organizzazione devono eseguire richieste DNS per determinare l'indirizzo IP associato a vari siti web. Un firewall stateful che ispeziona l'intestazione di un pacchetto di risposta DNS in entrata vedrà che ha un numero di porta 53, che è un numero di porta consentito per il traffico in entrata secondo le sue regole definite.

Tuttavia, un pacchetto di risposte DNS è valido solo se arriva in risposta a una query corrispondente. Un firewall stateful avrà un registro delle query DNS effettuate dal sistema di destinazione che non hanno ricevuto risposta. Se un firewall stateful vede una risposta DNS senza una richiesta corrispondente, sa che deve bloccare quella risposta dannosa.

What is a Stateless Firewall?

Un firewall stateless si differenzia da uno stateful perché non mantiene uno stato interno da un pacchetto all'altro. Invece, ogni pacchetto viene valutato in base ai dati che contiene nella sua intestazione.

Questo consente al firewall di eseguire un filtraggio di base delle connessioni in entrata e in uscita. L'ispezione dell'indirizzo IP di un pacchetto può determinare se è consentito o meno dalla politica. Allo stesso modo, un firewall stateless blocca i pacchetti che utilizzano protocolli di rete che non sono autorizzati a entrare o uscire dalla rete protetta.

La differenza tra i firewall Stateful e Stateless

I firewall stateful e stateless si differenziano in gran parte per il fatto che un tipo tiene traccia dello stato tra i pacchetti, mentre l'altro non lo fa. Per il resto, entrambi i tipi di firewall funzionano allo stesso modo, ispezionando le intestazioni dei pacchetti e utilizzando le informazioni che contengono per determinare se il traffico è valido o meno in base a regole predefinite. Lo stato mantenuto dai firewall stateful gli consente di identificare varie minacce che i firewall stateless non possono identificare.

Alcuni tipi di attacchi utilizzano e abusano di pacchetti legittimi per raggiungere i loro obiettivi, tra cui i seguenti:

  • Scansioni TCP: Alcune scansioni inviano un pacchetto TCP fuori sequenza e osservano la risposta. Gli esempi includono le scansioni ACK e FIN.
  • Attacchi DDoS (Distributed Denial of Service): Gli attacchi DDoS utilizzano comunemente pacchetti legittimi. L'attacco deriva dal fatto che questi vengono inviati in grandi volumi per sopraffare l'applicazione o il sistema di destinazione.

In entrambi questi casi, ogni singolo pacchetto è legittimo, il che significa che un firewall stateless ne consentirà il passaggio. L'identificazione dell'attacco richiede un contesto, che solo un firewall stateful può avere.

Come scegliere un firewall

Un firewall stateful può fare tutto ciò che può fare un firewall stateless, ma non è vero il contrario. Alcuni attacchi possono essere rilevati solo con il contesto fornito dal tracciamento degli stati, quindi le aziende dovrebbero sempre scegliere un firewall stateful rispetto a uno stateless.

Tuttavia, quando si sceglie un firewall, è importante considerare anche altri fattori. Ad esempio, sia i firewall stateful che quelli stateless in genere ispezionano solo le intestazioni dei pacchetti quando prendono le loro decisioni. Di conseguenza, possono essere ciechi agli attacchi in cui il contenuto dannoso viene trasportato nel payload del pacchetto. Nel panorama moderno delle minacce informatiche, la maggior parte dei cyberattacchi rientra in questa categoria.

Di conseguenza, un Next Generation Firewall (NGFW) - che ha la capacità di ispezionare il contenuto dei pacchetti e integra altre funzioni di sicurezza, come ad esempio un Intrusion Prevention System (IPS) - è la scelta giusta per le organizzazioni che vogliono proteggersi dalle moderne minacce informatiche.

NGFW con Quantum

I firewall sono di diversi tipi e la scelta di quello giusto per la sua organizzazione è essenziale per una cybersecurity efficace. Sebbene un NGFW sia essenziale per proteggersi dalle minacce moderne, è importante sapere cosa cercare e come valutare le opzioni. Scopra di più in questa guida all'acquisto di NGFW.

La gamma di NGFW di Check Point comprende una soluzione per ogni organizzazione. Per saperne di più su come un NGFW di Check Point può migliorare la sicurezza informatica della sua organizzazione e per ricevere assistenza nella scelta di quello giusto per i suoi casi d'uso, si registri oggi stesso per una demo gratuita.

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK