無狀態防火牆是一種不儲存有關網路連線目前狀態資訊的防火牆。相反,它會個別評估每個封包,並嘗試根據包含的數據確定它是授權還是未經授權的。
防火牆的目標是限制對受保護網路的存取。根據進入和離開受保護網路的流量安裝防火牆,使其能夠檢查每個入站或出站資料包。防火牆根據其內建規則集決定是否允許或丟棄資料包。
雖然有幾種不同類型的防火牆,但無狀態防火牆僅根據每個資料包包含的資料(通常是資料包標頭)來評估每個資料包。封包標頭包含 IP 位址、連接埠號碼以及防火牆可用於確定封包是否經過授權的其他資訊。
防火牆可以設定有限制允許存取受保護網路的IP位址集或僅允許某些網路協定進入或離開網路的規則。例如,無狀態防火牆可以設定為允許入站 HTTPS 連接,但阻止入站 SSH。類似地,防火牆可以設定為阻止來自某些地理區域或來自已知不良 IP 位址的流量。
無狀態防火牆通常是與有狀態防火牆相對對照定義的。它們之間的主要區別在於,有狀態防火牆追蹤有關活動網路連接當前狀態的一些信息,而無狀態防火牆則不會。
這很重要,因為它使狀態防火牆能夠識別和阻止看似合法但惡意的流量。例如,TCP 握手涉及來自用戶端的 SYN 封包,然後是來自伺服器的 SYN/ACK 封包,然後再來自用戶端的 ACK 封包。 如果攻擊者向未回應 SYN/ACK 的公司伺服器發送 ACK 封包,有狀態防火牆會阻止它,但無狀態防火牆不會。這表示無狀態防火牆將忽略有狀態防火牆會擷取和封鎖的某些類型的網路掃描和其他攻擊。
無狀態防火牆僅處理封包標頭,不儲存任何狀態。這提供了一些優點,包括以下:
然而,雖然無狀態防火牆有其優點,但也有明顯的缺點。無狀態防火牆無法偵測許多常見類型的攻擊,包括:
無狀態防火牆可能比有狀態防火牆更有效。但是,它們對大多數現代攻擊完全盲目,並為組織提供有限的價值。
選擇正確的防火牆對於組織網路安全計畫的成功至關重要。為了防禦現代威脅,唯一的選擇是整合多種安全能力的次世代防火牆(NGFW),以實現深入的安全可視性和有效的威脅防護。請參閱本NGFW 買家指南,以詳細了解防火牆中需要尋找的內容。
Check Point 提供一系列 NGFW ,旨在滿足任何組織的獨特需求。若要詳細了解 Check Point NGFW 的功能並確定適合您組織的正確選擇,請立即註冊免費演示。
反映意見