SPI防火墙和应用层防火墙有什么区别? 在什么情况下我会比另一个更喜欢?
我不知道“gen2”与“gen3”,但我可以告诉你的是:
该防火墙会跟踪TCP或UDP会话的状态。 这比简单的防火墙提供了一个优点
如果恶意用户窥探到两个节点之间的stream量,他可以通过防火墙向节点A发送带有节点B的伪造IP的stream量,b / c防火墙已经同意打开允许的端口Bstream量通过特定的“会话”。
即使在会话结束之后,也可能会发生这种情况,即通过制作与会话具有相同详细信息的数据包。 有状态的防火墙依赖于两个节点之间的TCP连接的三次握手,如果握手没有发生(当然,握手包本身除外),不会让stream量通过。 对于UDPstream量,使用了一种名为UDP Hole Punching的技术,会话通常会立即获得ESTABLISHED状态。 虽然没有什么是完全的,SPI防火墙已经certificate了自己的价值。
那么这是什么意思? 考虑以下:
公司B通过限制对出站端口22的访问来阻塞ssh
那么我们知道这并没有什么太大的作用,因为我在端口443上运行我的ssh服务器,因为大多数networking允许443用于一般的httpsnetworkingstream量。 SPI防火墙允许这样做,因为会话状态通常独立于协议。
另一方面,应用层防火墙查看stream量,并说嘿,这看起来更像是SSHstream量,而不是 HTTPSstream量,因为我们不允许SSHstream量,所以我停止了这个对话 。
简而言之,如果你愿意,每个协议都有自己的签名 。 应用层防火墙查看签名并尝试确定使用它的应用程序,然后从中进行过滤。
我知道你没有问这个,但这一切都取决于你的需求。 你可能需要一个,另一个或两个 。