В чем разница между Межсетевой экран SPI и Брандмауэр прикладного уровня? В каких обстоятельствах я бы предпочел одно другому?
Я не знаю, что такое gen2 и gen3, но могу вам сказать следующее:
Этот брандмауэр отслеживает состояние сеанса TCP или UDP. Это дает преимущество перед более простыми межсетевыми экранами, например.
Если злоумышленник отслеживал трафик между двумя узлами, он мог отправить трафик на узел A с поддельным IP-адресом узла B. через брандмауэр, b / c брандмауэр уже согласился открыть разрешающий трафик порта B для определенного «сеанса».
Это может произойти даже после того, как якобы завершился сеанс, путем создания пакетов с теми же деталями, что и сеанс. Межсетевые экраны с отслеживанием состояния зависят от трехстороннего рукопожатия между двумя узлами для TCP-соединений и не пропустят трафик, если рукопожатие не произошло (за исключением, конечно, самих пакетов подтверждения). Для UDP-трафика используется метод, называемый UDP Hole Punching, и сеансы обычно сразу получают состояние ESTABLISHED. Хотя ничто не является полностью защищенным, межсетевые экраны SPI, безусловно, доказали свою ценность.
Что это значит? Обратите внимание на следующее:
Компания B блокирует ssh, ограничивая доступ к исходящему порту 22
Что ж, мы знаем, что на самом деле это не так много, так как я запускаю свой ssh-сервер на порту 443, поскольку большинство сети разрешают 443 для общего веб-трафика https. Это разрешено межсетевыми экранами SPI, потому что состояние сеанса обычно не зависит от протокола.
Брандмауэры прикладного уровня, с другой стороны, смотрят на трафик и говорят Эй, это больше похоже на трафик SSH и не https-трафик, я прекращаю этот разговор, потому что мы не разрешаем ssh-трафик.
Короче говоря, у каждого протокола свой подпись, если вы будете. Брандмауэры уровня приложений просматривают подписи и «пытаются» определить приложения, использующие их, и оттуда фильтруют.
Я знаю, что вы не спрашивали об этом, но все зависит от ваших потребностей. Вам может понадобиться один, другой или обе.