Я просто знаю, что есть два типа межсетевых экранов. Без гражданства и с сохранением состояния. Трудно определить, какой брандмауэр мне нужно использовать. В настоящее время мне нужно запустить брандмауэр на том же компьютере, на котором запущены службы. В основном я хочу без сохранения состояния из-за меньшего потребления ресурсов. Однако, если этого недостаточно для безопасности, это бессмысленно. Я буду запускать HTTP, SSH, NFS (только через SSH) и какой-нибудь заказной сервер на нескольких портах TCP / UDP. Стоит ли использовать брандмауэр с отслеживанием состояния?
(править) Может быть, вопрос можно принять как «Следует ли мне использовать правила с отслеживанием состояния?».
В наши дни есть очень простой ответ на этот вопрос: все надлежащие брандмауэры теперь отслеживают состояние.
правила с отслеживанием состояния значительно упрощают разработку политики межсетевого экрана и повышают безопасность. HTTP и SSH работают с сеансами tcp, которые используют один порт. Любой межсетевой экран с отслеживанием состояния может справиться с этим, и все, что вам нужно сделать, это написать одно правило, разрешающее исходный пакет, открывающий сеанс, и другое правило, разрешающее ответные пакеты, соответствующие известным состояниям. В случае с iptables последнее выглядит как
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
(при условии, что брандмауэр работает на сервере, отсюда следует цепочка INPUT).
Более сложные протоколы, такие как, например, ftp, могут потребовать нескольких сеансов, а механизм состояний в брандмауэре должен иметь возможность отслеживать эти отдельные сеансы для сопоставления пакетов. Обычно межсетевые экраны с отслеживанием состояния поддерживают большинство популярных протоколов, но маловероятно, что они поддерживают настраиваемые протоколы. Проблема с настраиваемыми протоколами не в том, что они используют уникальные порты tcp или udp, а в том, что они могут использовать несколько соединений, которые динамически создаются и разрываются. Брандмауэр может динамически открывать и закрывать «дыры» для канала данных ftp, поскольку он может отслеживать и интерпретировать команды, проходящие через канал команд fto. Если протокол является проприетарным и уникальным, брандмауэр не сможет его интерпретировать, и чтобы заставить его работать, вам придется написать правила без сохранения состояния и попытаться сделать их настолько жесткими, насколько позволяет протокол.
Однако, если протокол использует одно TCP-соединение, то правило с отслеживанием состояния будет работать нормально.
Единственный случай, когда вам может понадобиться брандмауэр без сохранения состояния в настоящее время, - это повышение скорости.