Algunos protocolos de red tienen un estado y otros no. Un firewall con estado rastreará las conexiones para asegurarse de que la secuencia de eventos en una conexión coincida con lo que se espera que suceda.
El ejemplo más simple de esto sería una solicitud de ping ICMP y una respuesta de ping ICMP.
Las respuestas de ping siempre se envían en respuesta a las solicitudes de ping. Entonces, cuando una solicitud de ping atraviesa un firewall, se crea una entrada en la tabla de estado. Cuando vuelve la respuesta, se corresponde con la solicitud saliente y se permite volver a través del firewall.
- Cómo aprender la red de área de almacenamiento
- ¿Es posible una red P2P pura y existe una?
- ¿Cómo se interceptan los tráficos de red en los dispositivos proxy y firewall?
- ¿La velocidad de la red tiene algo que ver con el consumo de datos?
- ¿Qué debo saber sobre las redes de área de almacenamiento?
Cualquier respuesta que no tenga una solicitud coincidente no es válida y debe descartarse.
Una sesión TCP es un asunto más complejo. Una sesión TCP se configura con tres paquetes, denominados apretón de manos, que definen el origen y el destino y el puerto de origen y el puerto de destino. El originador envía un paquete SYN, un paquete SYN-ACK viene en respuesta, y luego se vuelve a enviar un paquete ACK (más datos potencialmente). Cada uno de los paquetes está marcado con un número de secuencia, y cada paquete posterior a los primeros estados a qué paquete está respondiendo.
Al final de una sesión, se envía una secuencia FIN o un RST en caso de errores.
Un firewall con estado rastrea cada uno de estos elementos para asegurarse de que la sesión TCP sea válida.
Si algo de esto no sucede, la sesión TCP no es válida y debe descartarse, independientemente de si hay reglas que permitan el acceso. Si los paquetes vienen con números de secuencia que no coinciden, o los paquetes tienen ACK sin ver primero un SYN, o los paquetes que vienen después de la secuencia FIN-ACK o el paquete RST. Todo debe dejarse caer.
Entonces esta es otra capa de protección más allá de las reglas. Con un firewall con estado, estamos diciendo “Cualquier cosa puede llegar a este servidor en el puerto tcp / 80, * siempre * que cada paquete se ajuste al protocolo TCP”. Un firewall sin estado permitiría la entrada de cualquier paquete, independientemente de su conformidad.