我正在查看我们的web服务器的ipfw规则,并且让我感到我们对所有传出的stream量使用了check / keep-state。 我们只有less数港口在两个方向开放。 我们没有太多输出stream量,其中99%是在端口80(例如PHP / CURL)。 填充状态表可能会有潜在的风险,所以我想也许根本不需要使用保持状态。 我们不使用它在ingoing(显而易见的原因)。 一般来说,使用保持状态的目的是什么?
出站保持状态会dynamic打开端口以答复出站stream量。 这些回复数据包可以回到任何端口,所以保持状态减less了暴露,同时打开外部服务使用的随机端口,允许回复数据包。在特殊情况下,服务器可以运行时没有保持状态,没有外部绑定的stream量,但实际上大多数系统使用外部服务。 多层系统可以设置为在特定的端口上回复,但是大多数通用服务的默认configuration是; 已知端口入站 – 随机端口出站。 DNS,出站电子邮件,远程日志logging,ping,负载平衡或看门狗心跳,寻呼机/手机通知,部分或全部是“没有出站stream量”的服务器上常见的出站stream量。