Le regole del firewall devono essere simmetriche? Cioè, un firewall deve bloccare un particolare tipo di traffico sia in entrata (verso il sito protetto) che in uscita (dal sito)? Perché o perché no?
Devo rispondere alla domanda di cui sopra. Qual è il significato delle regole simmetriche nel firewall? qualcuno può spiegarmelo per favore
Q: Le regole del firewall devono essere simmetriche?
Risposta breve e semplice: No, NON DEVONO esserlo. Ma ciò non significa che NON POSSONO essere.
Perché?
Dipende dal traffico che dovrebbe passare attraverso il firewall, ma la maggior parte delle volte le regole non saranno simmetriche.
Ad esempio, se non si dispone di un server DNS all'interno della rete, probabilmente si bloccherà il traffico DNS in entrata, ma se si blocca il traffico DNS in uscita, non sarà possibile accedere a qualsiasi cosa utilizzi i nomi di dominio. Da siti Web a server ftp, server ssh, account di backup nel cloud, ecc.
Ma ha senso se non vuoi che i dipendenti accedano a qualcosa che non è nella tua rete interna. Ovviamente, ci sono modi per bypassarlo (per memorizzare l'indirizzo IP del server ...), ma sicuramente renderà le cose più difficili per loro.
Quindi, le regole simmetriche potrebbero rompere le cose per te. Ma forse è esattamente quello che vuoi fare.
Credo che tu abbia degli errori terminologici nella tua domanda, ma penso ancora che io possa rispondere. Per rispondere alla tua domanda spiegherò entrambi i tipi comuni di firewall, stateful e stateless. Entrambi i tipi di firewall confrontano i pacchetti con i loro set di regole. Entrambi funzionano da una serie di dati spesso denominata tupla, che in genere include IP di origine, IP di destinazione, Porta di origine e Porta di destinazione. Ci sono alcune importanti differenze che descriverò di seguito.
I firewall con stato mantengono una tabella di connessioni. Ciò significa che una volta stabilita una connessione, il traffico che corrisponde a quella sessione è consentito attraverso il firewall. Ad esempio, se è stata creata una regola che consentiva la porta 80 da Internet a un sistema dietro il firewall, il pacchetto inviato al server come parte dell'handshake TCP sarebbe consentito. Poiché un firewall di stato è a conoscenza dello stato TCP, è in grado di filtrare pacchetti con informazioni di intestazione TCP non valide.
I firewall senza stato sono limitati nelle loro capacità di filtraggio rispetto a un firewall con stato, ma generalmente sono molto più veloci a causa della loro logica di elaborazione delle regole più semplice. Ogni direzione di una connessione deve essere esplicitamente consentita poiché nessuno stato viene salvato e ogni pacchetto viene controllato ogni volta contro le regole del firewall. Ad esempio, se hai creato una regola che consentiva la porta 80 da Internet a un sistema dietro il firewall, il pacchetto sarebbe stato consentito come prima. Tuttavia, senza una regola corrispondente per il pacchetto dal server al client, il pacchetto di risposta verrebbe eliminato. Questi firewall non sono generalmente in grado di filtrare i pacchetti con informazioni di intestazione TCP non valide.
Il significato della parola simmetrica è nella tua domanda, regola in entrata e in uscita per il traffico. Per quanto riguarda il blocco della parte del traffico, in realtà è il contrario. Tutto il traffico è bloccato per impostazione predefinita e deve essere consentito un particolare traffico. Se rispondo alla parte relativa al permettere il traffico simmetricamente, allora la risposta sarebbe sì per i firewall stateless (pacchetti di filtri) che hanno bisogno di mantenere le informazioni sulle sessioni. Ma non devi per i firewall statefull che mantengono le informazioni sulla sessione.
Suona sospettosamente come una domanda a casa, ma risponderò comunque .....
Do firewall rules have to be symmetric?
No.
That is, does a firewall have to block a particular traffic type both inbound (to the protected site) and outbound (from the site)?
No.
Why or why not?
In qualche modo ho risposto a questa domanda qui: Firewall & Traffico TCP
Il motivo è che i firewall moderni sono stateful , il che significa che la comunicazione è libera di fluire in entrambe le direzioni una volta avviata dall'origine consentita alla destinazione consentita oltre la porta e / o il servizio consentiti.
Questo è il motivo per cui una regola simmetrica non è necessaria.
Leggi altre domande sui tag firewalls