Tường lửa kiểm tra trạng thái (Stateful Inspection Firewalls) là gì ?

Tường lửa kiểm tra trạng thái (Stateful Inspection Firewalls)

Hầu hết tất cả các tường lửa mạng hiện đại đều kết hợp kiến trúc “kiểm tra trạng thái”. Hãy mô tả chính xác điều đó có nghĩa là gì bằng cách sử dụng giao tiếp mẫu bên dưới:

Trong giao tiếp TCP giữa máy khách và máy chủ (ví dụ: người dùng có trình duyệt web giao tiếp với máy chủ web như hình trên), trình duyệt máy khách bắt đầu giao tiếp HTTP tại cổng 80 với máy chủ web Internet.

Giả sử rằng Tường lửa kiểm tra trạng thái (Stateful Inspection Firewall) ở giữa cho phép lưu lượng HTTP gửi đi này đi qua. Do đó, các gói sẽ đến được Máy chủ Web, máy chủ sẽ trả lời lại máy khách (như xảy ra với mọi giao tiếp TCP).

Bây giờ, Tường lửa trạng thái (Stateful Inspection Firewall) bên dưới sẽ lưu các chi tiết của kết nối bắt đầu từ máy khách đến máy chủ trong một “bảng trạng thái”. Bảng này sẽ bao gồm các chi tiết như IP nguồn và cổng nguồn, IP đích và cổng đích, cờ TCP, số thứ tự TCP, v.v.

Do đó, bất kỳ gói trả lời nào đến từ máy chủ web bên ngoài khớp với kết nối ban đầu bắt đầu từ máy khách, sẽ vượt qua tường lửa và đến máy khách mà không cần bất kỳ cấu hình bổ sung nào.

Điều này làm cho việc cấu hình dễ dàng hơn vì người quản trị không cần phải cấu hình bất kỳ quy tắc nào trên tường lửa để cho phép các gói trả về / trả lời từ bên ngoài vào bên trong. Các gói này sẽ được cho phép tự động nếu chúng thuộc một kết nối đã được thiết lập từ máy khách đến máy chủ.

Tường lửa trạng thái (stateful firewall) có hiệu quả vì ba lý do.

• Nó hoạt động cả trên các gói và trên các kết nối.
• Nó hoạt động ở mức hiệu suất cao hơn so với lọc gói hoặc sử dụng máy chủ proxy.
• Nó ghi lại dữ liệu trong một bảng cho mọi kết nối và giao dịch không kết nối. Bảng này phục vụ như một điểm tham chiếu để xác định xem các gói thuộc về một kết nối hiện có hay đến từ một nguồn trái phép.

Chi tiết xem tại: Tìm hiểu các loại công nghệ tường lửa phổ biến hiện nay