ton.yeung Asked: 2014-06-06 10:47:54 +0800 CST2014-06-06 10:47:54 +0800 CST 2014-06-06 10:47:54 +0800 CST SPI 防火墙和应用层防火墙有什么区别? 772 SPI 防火墙和应用层防火墙有什么区别?在什么情况下我会更喜欢其中一种? firewall 1 个回答 Voted Best Answer MDMoore313 2014-06-06T11:29:39+08:002014-06-06T11:29:39+08:00 我不知道“gen2”和“gen3”,但我可以告诉你的是: SPI 防火墙过滤会话“状态” 此防火墙跟踪 TCP 或 UDP 会话的状态。这比简单的防火墙提供了一个优势,例如 如果恶意用户正在窥探两个节点之间的流量,他可以使用节点 B 的欺骗 IP通过防火墙将流量发送到节点 A,b/c 防火墙已经同意打开允许端口 B 流量通过的特定 '会议'。 即使在会话通过制作具有与会话相同细节的数据包而结束后,这种情况也可能发生。状态防火墙依赖于两个节点之间的三向握手来进行 TCP 连接,如果没有发生握手,则不会让流量通过(当然,握手数据包本身除外)。对于 UDP 流量,使用一种称为 UDP Hole Punching 的技术,会话通常会立即获得 ESTABLISHED 状态。虽然没有什么是万无一失的,但 SPI 防火墙确实证明了它们的价值。 应用层防火墙过滤“协议签名” 现在,这是什么意思?考虑以下: B 公司通过限制对 22 端口出站的访问来“阻止”ssh 好吧,我们知道这并没有多大作用,因为我在端口 443 上运行我的 ssh 服务器,因为大多数网络允许 443 用于一般的 https 网络流量。这将被 SPI 防火墙允许,因为会话状态通常独立于协议。 另一方面,应用层防火墙查看流量并说嘿,这看起来更像是 SSH 流量而不是https 流量,我要停止这个对话,因为我们不允许 ssh 流量。 简而言之,如果您愿意,每个协议都有自己的签名。应用层防火墙查看签名并“尝试”确定使用它的应用程序,并从那里过滤。 我知道你没有问这个,但这完全取决于你的需要。您可能需要一个、另一个或两者。
我不知道“gen2”和“gen3”,但我可以告诉你的是:
SPI 防火墙过滤会话“状态”
此防火墙跟踪 TCP 或 UDP 会话的状态。这比简单的防火墙提供了一个优势,例如
即使在会话通过制作具有与会话相同细节的数据包而结束后,这种情况也可能发生。状态防火墙依赖于两个节点之间的三向握手来进行 TCP 连接,如果没有发生握手,则不会让流量通过(当然,握手数据包本身除外)。对于 UDP 流量,使用一种称为 UDP Hole Punching 的技术,会话通常会立即获得 ESTABLISHED 状态。虽然没有什么是万无一失的,但 SPI 防火墙确实证明了它们的价值。
应用层防火墙过滤“协议签名”
现在,这是什么意思?考虑以下:
好吧,我们知道这并没有多大作用,因为我在端口 443 上运行我的 ssh 服务器,因为大多数网络允许 443 用于一般的 https 网络流量。这将被 SPI 防火墙允许,因为会话状态通常独立于协议。
另一方面,应用层防火墙查看流量并说嘿,这看起来更像是 SSH 流量而不是https 流量,我要停止这个对话,因为我们不允许 ssh 流量。
简而言之,如果您愿意,每个协议都有自己的签名。应用层防火墙查看签名并“尝试”确定使用它的应用程序,并从那里过滤。
我知道你没有问这个,但这完全取决于你的需要。您可能需要一个、另一个或两者。