Per prima cosa, definiamo sia ciò che un filtro non statico e un stateful firewall o filtro è:
Firewall non statico: questo era il metodo firewall originale. Date le regole del firewall su quali porte IP sono aperte o meno. Se un pacchetto in entrata (di solito da internet) non specifica una porta consentita dalle regole, viene eliminato / interrotto dal firewall.
Firewall di stato: tutte le porte sono bloccate dal firewall (per impostazione predefinita, e questo si applica solo al traffico dall'esterno / Internet). Quando un computer dietro / all'interno del firewall vuole stabilire una connessione attraverso il firewall, il firewall controlla che il primo pacchetto si spenga (su qualunque porta venga selezionata dal computer) su un computer remoto (web). Il firewall memorizza l'indirizzo IP a cui è stato inviato il pacchetto e quale porta è stata utilizzata dal computer di invio / interno e (per un periodo di tempo limitato) consente ai pacchetti provenienti da quell'indirizzo IP esterno che utilizzano quella porta) di passare attraverso il firewall per raggiungere la rete interna. Stateful in questo caso indica che lo stato del filtro (regole) del firewall dipende da quale traffico è stato avviato dai computer sul lato interno (nominalmente sicuro) del firewall. Per impostazione predefinita, tutti i pacchetti dall'esterno vengono arrestati dal firewall a meno che non facciano parte di una conversazione in corso avviata dal computer interno.
Entrambi i precedenti richiedono solo la visualizzazione delle intestazioni dei pacchetti in entrata e in uscita, che includono gli IP di invio e indirizzati (da e verso gli indirizzi) e la porta IP.
In seguito, i firewall iniziarono anche a fare "deep packet inspection" dove guardavano anche il contenuto dei pacchetti.
Se capisco la tua domanda, stai chiedendo alla possibilità di un firewall di sapere quale applicazione sta tentando di connettersi attraverso il firewall.
Molte applicazioni utilizzano alcune porte predefinite . Ad esempio, HTTP (pagine Web) utilizzano la porta 80, mentre HTTPS (pagine Web protette / crittografate) utilizzano la porta 443. Quindi, solo guardando la porta utilizzata si dice al firewall quale applicazione viene probabilmente utilizzata. Mentre Internet si muove sempre di più verso le comunicazioni crittografate (HTTPS ovunque e l'uso di VPN o altri collegamenti di comunicazione crittografati), i firewall sono sempre meno in grado di esaminare il contenuto del traffico IP, quindi vedere la porta IP diventerà nel tempo l'unica modo il firewall può dire quale applicazione sta comunicando. Esistono modi per consentire a un firewall sofisticato di di esaminare i pacchetti crittografati, ma normalmente saranno utilizzati solo da organizzazioni di grandi dimensioni (e alcuni ISP snoopy) ma non dagli utenti domestici.
Firstly, why is cannot see application data being one of the disadvantages of Stateful Packet Filter?
L'analisi del livello delle applicazioni è importante per filtrare il malware perché devi capire il protocollo delle applicazioni per estrarre il potenziale malware per l'analisi.
Tuttavia, questo è ovviamente solo uno svantaggio rispetto a un gateway / proxy a livello di applicazione. Un filtro di pacchetti (non statici) non può vedere neanche i dati dell'applicazione.
Secondly, how can stateful packet filter monitor the track of connection?
Le connessioni TCP sono definite dall'IP e dalla porta di origine / destionazione, ma anche da numeri di sequenza, ecc. Una connessione TCP ha un inizio e una fine che sono segnalati con SYN, FIN flag. Avendo una tabella interna dello stato per ciascuna connessione, il filtro dei pacchetti stateful può tenere traccia di queste connessioni. In questo modo, ad esempio, può essere utilizzato per assicurarsi che i pacchetti provenienti dall'esterno vengano passati solo all'interno se corrispondono a una connessione esistente stabilita dall'interno all'esterno.
Leggi altre domande sui tag internet access-control network packet network-access-control