Nel caso di un dispositivo firewall separato da un host server, credo che ci sia un chiaro vantaggio nell'utilizzo di un firewall stateful.
Ma nel caso di un firewall host , dove i servizi in ambito sono ben definiti, quali scenari specifici verrebbero prevenuti da un firewall stateful che non verrebbe bloccato da un firewall stateless?
Considera una politica per un server web e ssh, collegandosi a un database ...
- consente qualsiasi IP / porta di origine all'indirizzo IP locale sulle porte 80 e 22 (locale come server)
- consente le porte 80 e 22 sull'IP locale a qualsiasi IP / porta di destinazione (locale come server)
- consenti l'IP / porta locale a mydbserver.example.com, porta 3306 (locale come client)
- consenti mydbserver.example.com, porta 3306 a qualsiasi IP / porta locale (locale come client)
Un firewall stateless configurato come sopra potrebbe teoricamente essere sovvertito. Uno spammer può associare un client mailgun alla porta 80 su un IP locale e generare il traffico SMTP attraverso il firewall. Tuttavia, il privilegio richiesto per raggiungere questo obiettivo, in tutti i casi in cui mi sono imbattuto, gli conferisce anche i diritti di modificare una configurazione di firewall stateful sull'host . Quindi, per questa modalità di minaccia, non vi è alcun vantaggio.