專門的狀態(tài)檢測防火墻早已成為歷史，現(xiàn)今所有的下一代防火墻都是由狀態(tài)檢測防火墻演變而來，它消失在歷史的舞臺，它也無處不在，這就是技術(shù)的迭代更新。寫到這里，讓我想起了來一行禪師與一位小姑娘的對話。

為呂梁等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及呂梁網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都做網(wǎng)站、網(wǎng)站設(shè)計、呂梁網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

小姑娘問：我有一只可愛的小狗，有一天它死了，怎樣才能不傷心？

一行禪師回答：你看到天邊美麗的云朵，你好喜歡這朵云，就像喜歡你的小狗一樣，突然這朵云不見了，你以為云死了，云朵去哪兒了？如果你花時間想想，你會看到云沒有死，沒有消失，只是化為了雨水，看到雨水，你就會看到那朵云；當你喝茶時看到熱騰騰的水汽，你也會看到云，云并沒有消失，它以新的形式活著，小狗也一樣，如果你看的深一點，你就會看到它的新形體。

當我們學某種技能的時候，有時就會產(chǎn)生一些“火花”，技術(shù)也可以上升至哲學層面，比如LINUX系統(tǒng)的設(shè)計就有非常明確的哲學思想。有時相近的技術(shù)之間也會產(chǎn)生一些“火花”，比如以前無論是聽老師說，還是自己看書，其實對單臂路由和vlanif的理解都比較淺，但是自己還以為自己是真的懂了，直到最近，在給同學寫答案講解時才發(fā)現(xiàn)自己其實并沒有真正理解，但當我仔細想想的時候，就突然想通了，認為自己明白了并不是真正的明白，只有能說明白，寫明白才是真正的明白，那一瞬間的感覺真是很奇妙，我想這就是很多大神堅持寫博客的原因。

好了，言歸正傳，下面我們就正兒八經(jīng)地說說狀態(tài)檢測防火墻的那些事兒！

狀態(tài)檢測是防火墻的一個功能，這個功能非常重要，它是在防火墻在發(fā)展過程當中的里程碑，此后的防火墻都集成了此功能。我們先分析沒有狀態(tài)檢測功能的防火墻是怎樣工作的，然后再分析有了狀態(tài)檢測功能的防火墻是怎樣工作的.

沒有狀態(tài)檢測防火墻的時期

如上圖所示，PC和WEB服務(wù)器位于不同的網(wǎng)絡(luò)，分別與防火墻相連，PC與WEB服務(wù)器之間的通信受到防火墻的控制。

當PC需要訪問WEB服務(wù)器網(wǎng)頁時，在防火墻上必須配置下表當中列出的一條規(guī)則：允許PC訪問訪問WEB服務(wù)器的報文通過。這里說的規(guī)則其實就是指防火墻上的安全策略。只不過本節(jié)重點講解狀態(tài)檢測和會話機制，安全策略不是重點，所以通過規(guī)則來簡化描述。關(guān)于安全策略的內(nèi)容我們將在后面的文章當中講解。

編號	源地址	源端口	目的地址	目的端口	動作
1	192.168.0.1	ANY	172.16.0.1	80	允許通過

在這條規(guī)則當中，源端口處的ANY表示任意端口，這是因為PC在訪問WEB的時候端口是操作系統(tǒng)隨機指定的，并不是確定的，所以這里設(shè)定為任意端口。

配置了這條規(guī)則之后，PC發(fā)出的報文就可以順利的通過防火墻，到達WEB服務(wù)器，然后WEB服務(wù)器會向PC發(fā)送回應(yīng)報文，這個報文也要穿過防火墻，在狀態(tài)檢測防火墻出現(xiàn)之前，包過濾防火墻（包過濾防火墻在監(jiān)制檢測防火墻之前）還必須配置下表當中的規(guī)則，允許反方向的報文通過防火墻。

編號	源地址	源端口	目的地址	目的端口	動作
2	172.16.0.1	80	192.168.0.1	any	允許通過

在規(guī)則2當中，目的端口也沒有設(shè)定為任意端口，因為我們無法確定PC訪問WEB到底用的哪個端口，要想使得WEB服務(wù)器的回應(yīng)報文順利通過防火墻到達PC，只能將規(guī)則2當中的目的端口設(shè)定為任意端口。

任意端口其實也就是所有端口，這樣會有很大的安全隱患，外部的惡意***者偽裝成WEB服務(wù)器，就可以暢通無阻的穿過防火墻，PC將會面臨嚴重的安全風險。

我們好好看一下，其實造成安全隱患的原因就是防火墻不知道PC訪問WEB服務(wù)器的源端口到底是哪個？為了保證通信，不得以放行了在入方向的任意端口。那么我們可不可以想辦法讓防火墻知道PC訪問WEB服務(wù)器用的到底是哪個端口，然后讓WEB服務(wù)器的回應(yīng)包回復之前自動添加規(guī)則放行源IP是PC出方向的目標IP，源端口是PC的目的端口，目標端口就是PC的源端口。當然可以實現(xiàn)，其實狀態(tài)監(jiān)測機制就是這樣實現(xiàn)的。那么我們下面再看一看有了狀態(tài)檢測機制之后，兩者的訪問過程是怎樣的？

使用狀態(tài)檢測防火墻之后

還是以上面的網(wǎng)絡(luò)環(huán)境為例，首先還是需要在防火墻設(shè)定規(guī)則1，允許PC訪問WEB服務(wù)器的報文通過。當報文到達防火墻之后，防火墻允許報文通過，同時還會針對PC訪問WEB服務(wù)器的這個行為建立會話，會話當中包含PC發(fā)出的報文信息如地址和端口等。

當WEB服務(wù)器回應(yīng)PC的報文到達防火墻后，防火墻會把報文中的信息與會話中的信息進行比對。如果發(fā)現(xiàn)報文當中的信息與會話當中的信息相匹配，并且該報文符合HTTP協(xié)議規(guī)定的規(guī)范，則認為這個報文屬于PC訪問WEB服務(wù)器行為的后續(xù)回應(yīng)報文，直接允許這個報文通過，如下圖所示：

為了便于說明，在本節(jié)當中我們將PC和WEB服務(wù)器與防火墻之間直接相連。實際環(huán)境當中，如果PC、WEB服務(wù)器與防火墻之間跨網(wǎng)絡(luò)相連，則必須要防火墻上配置路由，保證PC和WEB服務(wù)器兩者之間相互路由可達。即使WEB服務(wù)器回應(yīng)給PC的報文已經(jīng)匹配了會話，防火墻也必須存在去往PC的的路由，這樣才能保證回應(yīng)報文正常發(fā)送到PC。

惡意***即使偽裝成WEB服務(wù)器向PC發(fā)起訪問，由于這類報文不屬于PC訪問WEB服務(wù)器行為的后續(xù)報文，防火墻就不會允許這些報文通過，這樣即保證了PC可以正常訪問WEB服務(wù)器，也避免了大范圍開放端口帶來的風險。

總結(jié)一下，在狀態(tài)檢測防火墻出現(xiàn)之前，包過濾防火墻只會根據(jù)設(shè)定好的靜態(tài)規(guī)則為判斷是否允許報文通過，它認為報文都是無狀態(tài)的孤立個體，不關(guān)注報文產(chǎn)生的前因后果，這就要求包過濾防火墻都必須針對每一個方向的報文都配置一條規(guī)則，轉(zhuǎn)發(fā)效率低而且容易帶來安全風險。

而狀態(tài)檢測防火墻的出現(xiàn)正好彌補了包過濾防火墻這個缺陷。狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機制，將通信雙方之間交互的屬于同一連接的所有報文都作為整體的數(shù)據(jù)流來對待。在狀態(tài)狀態(tài)防火墻看來，同一個數(shù)據(jù)流內(nèi)的報文不再是孤立的個體，而是存在聯(lián)系的。例如，為數(shù)據(jù)流的第一個報文建立會話，數(shù)據(jù)流內(nèi)的后續(xù)報文就會直接匹配會話轉(zhuǎn)發(fā)，不需要再進行規(guī)則的檢測，提高了轉(zhuǎn)發(fā)效率。

包過濾防火墻認為數(shù)據(jù)包之間是割裂的個體，更網(wǎng)絡(luò)更容易受到***。而狀態(tài)監(jiān)測防火墻認為報文與報文之間是存在聯(lián)系的，從而尋求數(shù)據(jù)包之間的“合作發(fā)展”，最后實現(xiàn)高效率、高安全、可持續(xù)發(fā)展，現(xiàn)在也的確是狀態(tài)監(jiān)測防火墻的天下了，但并不是說包過濾防火墻就不好，它還是有它的“用武之地”的，我們后面再細說。

 

在當今社會生活，我們也像防火墻一樣恰當?shù)刈非蠛献鳎粦?yīng)該一味追求獨立，將自己封閉。那么到底是追求是獨立好？還是追求合作好？這個問題類似于能力重要還是人脈重要？理想重要還是財富重要？我們的人生是有時間概念的，我們只需要把兩者放置到合適的時間段，比如我們把獨立放置到比較靠前的時間段，而把合作放置獨立的時間段之后，亦或者獨立和合作并行也未嘗不可，一個有心人是可以平衡的很好的。寫到最后，中庸又出現(xiàn)了，我認為用中庸去結(jié)尾很合適，因為根本沒有絕對答案，人生也并不是非黑即白，檢測一流智力的標準就是大腦當中同時存在兩種截然相反的想法，還能維持正常行事的能力，這不是中庸又是什么呢？

老羅英語的LOG當中，一個眼睛代表理想，另一個眼睛代表財富，在理想和財富之間是一個微笑。

網(wǎng)頁標題：狀態(tài)檢測那些事兒
瀏覽地址：http://chinadenli.net/article12/jogdgc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供、響應(yīng)式網(wǎng)站、關(guān)鍵詞優(yōu)化、小程序開發(fā)、軟件開發(fā)、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)