狀態(tài)檢測那些事兒

專門的狀態(tài)檢測防火墻早已成為歷史，現(xiàn)今所有的下一代防火墻都是由狀態(tài)檢測防火墻演變而來，它消失在歷史的舞臺，它也無處不在，這就是技術(shù)的迭代更新。寫到這里，讓我想起了來一行禪師與一位小姑娘的對話。

小姑娘問：我有一只可愛的小狗，有一天它死了，怎樣才能不傷心？

一行禪師回答：你看到天邊美麗的云朵，你好喜歡這朵云，就像喜歡你的小狗一樣，突然這朵云不見了，你以為云死了，云朵去哪兒了？如果你花時間想想，你會看到云沒有死，沒有消失，只是化為了雨水，看到雨水，你就會看到那朵云；當(dāng)你喝茶時看到熱騰騰的水汽，你也會看到云，云并沒有消失，它以新的形式活著，小狗也一樣，如果你看的深一點，你就會看到它的新形體。

當(dāng)我們學(xué)某種技能的時候，有時就會產(chǎn)生一些“火花”，技術(shù)也可以上升至哲學(xué)層面，比如LINUX系統(tǒng)的設(shè)計就有非常明確的哲學(xué)思想。有時相近的技術(shù)之間也會產(chǎn)生一些“火花”，比如以前無論是聽老師說，還是自己看書，其實對單臂路由和vlanif的理解都比較淺，但是自己還以為自己是真的懂了，直到最近，在給同學(xué)寫答案講解時才發(fā)現(xiàn)自己其實并沒有真正理解，但當(dāng)我仔細(xì)想想的時候，就突然想通了，認(rèn)為自己明白了并不是真正的明白，只有能說明白，寫明白才是真正的明白，那一瞬間的感覺真是很奇妙，我想這就是很多大神堅持寫博客的原因。

好了，言歸正傳，下面我們就正兒八經(jīng)地說說狀態(tài)檢測防火墻的那些事兒！

狀態(tài)檢測是防火墻的一個功能，這個功能非常重要，它是在防火墻在發(fā)展過程當(dāng)中的里程碑，此后的防火墻都集成了此功能。我們先分析沒有狀態(tài)檢測功能的防火墻是怎樣工作的，然后再分析有了狀態(tài)檢測功能的防火墻是怎樣工作的.

沒有狀態(tài)檢測防火墻的時期

如上圖所示，PC和WEB服務(wù)器位于不同的網(wǎng)絡(luò)，分別與防火墻相連，PC與WEB服務(wù)器之間的通信受到防火墻的控制。

當(dāng)PC需要訪問WEB服務(wù)器網(wǎng)頁時，在防火墻上必須配置下表當(dāng)中列出的一條規(guī)則：允許PC訪問訪問WEB服務(wù)器的報文通過。這里說的規(guī)則其實就是指防火墻上的安全策略。只不過本節(jié)重點講解狀態(tài)檢測和會話機(jī)制，安全策略不是重點，所以通過規(guī)則來簡化描述。關(guān)于安全策略的內(nèi)容我們將在后面的文章當(dāng)中講解。

在這條規(guī)則當(dāng)中，源端口處的ANY表示任意端口，這是因為PC在訪問WEB的時候端口是操作系統(tǒng)隨機(jī)指定的，并不是確定的，所以這里設(shè)定為任意端口。

配置了這條規(guī)則之后，PC發(fā)出的報文就可以順利的通過防火墻，到達(dá)WEB服務(wù)器，然后WEB服務(wù)器會向PC發(fā)送回應(yīng)報文，這個報文也要穿過防火墻，在狀態(tài)檢測防火墻出現(xiàn)之前，包過濾防火墻（包過濾防火墻在監(jiān)制檢測防火墻之前）還必須配置下表當(dāng)中的規(guī)則，允許反方向的報文通過防火墻。

在規(guī)則2當(dāng)中，目的端口也沒有設(shè)定為任意端口，因為我們無法確定PC訪問WEB到底用的哪個端口，要想使得WEB服務(wù)器的回應(yīng)報文順利通過防火墻到達(dá)PC，只能將規(guī)則2當(dāng)中的目的端口設(shè)定為任意端口。

任意端口其實也就是所有端口，這樣會有很大的安全隱患，外部的惡意***者偽裝成WEB服務(wù)器，就可以暢通無阻的穿過防火墻，PC將會面臨嚴(yán)重的安全風(fēng)險。

我們好好看一下，其實造成安全隱患的原因就是防火墻不知道PC訪問WEB服務(wù)器的源端口到底是哪個？為了保證通信，不得以放行了在入方向的任意端口。那么我們可不可以想辦法讓防火墻知道PC訪問WEB服務(wù)器用的到底是哪個端口，然后讓WEB服務(wù)器的回應(yīng)包回復(fù)之前自動添加規(guī)則放行源IP是PC出方向的目標(biāo)IP，源端口是PC的目的端口，目標(biāo)端口就是PC的源端口。當(dāng)然可以實現(xiàn)，其實狀態(tài)監(jiān)測機(jī)制就是這樣實現(xiàn)的。那么我們下面再看一看有了狀態(tài)檢測機(jī)制之后，兩者的訪問過程是怎樣的？

使用狀態(tài)檢測防火墻之后

還是以上面的網(wǎng)絡(luò)環(huán)境為例，首先還是需要在防火墻設(shè)定規(guī)則1，允許PC訪問WEB服務(wù)器的報文通過。當(dāng)報文到達(dá)防火墻之后，防火墻允許報文通過，同時還會針對PC訪問WEB服務(wù)器的這個行為建立會話，會話當(dāng)中包含PC發(fā)出的報文信息如地址和端口等。

當(dāng)WEB服務(wù)器回應(yīng)PC的報文到達(dá)防火墻后，防火墻會把報文中的信息與會話中的信息進(jìn)行比對。如果發(fā)現(xiàn)報文當(dāng)中的信息與會話當(dāng)中的信息相匹配，并且該報文符合HTTP協(xié)議規(guī)定的規(guī)范，則認(rèn)為這個報文屬于PC訪問WEB服務(wù)器行為的后續(xù)回應(yīng)報文，直接允許這個報文通過，如下圖所示：

為了便于說明，在本節(jié)當(dāng)中我們將PC和WEB服務(wù)器與防火墻之間直接相連。實際環(huán)境當(dāng)中，如果PC、WEB服務(wù)器與防火墻之間跨網(wǎng)絡(luò)相連，則必須要防火墻上配置路由，保證PC和WEB服務(wù)器兩者之間相互路由可達(dá)。即使WEB服務(wù)器回應(yīng)給PC的報文已經(jīng)匹配了會話，防火墻也必須存在去往PC的的路由，這樣才能保證回應(yīng)報文正常發(fā)送到PC。

惡意***即使偽裝成WEB服務(wù)器向PC發(fā)起訪問，由于這類報文不屬于PC訪問WEB服務(wù)器行為的后續(xù)報文，防火墻就不會允許這些報文通過，這樣即保證了PC可以正常訪問WEB服務(wù)器，也避免了大范圍開放端口帶來的風(fēng)險。

總結(jié)一下，在狀態(tài)檢測防火墻出現(xiàn)之前，包過濾防火墻只會根據(jù)設(shè)定好的靜態(tài)規(guī)則為判斷是否允許報文通過，它認(rèn)為報文都是無狀態(tài)的孤立個體，不關(guān)注報文產(chǎn)生的前因后果，這就要求包過濾防火墻都必須針對每一個方向的報文都配置一條規(guī)則，轉(zhuǎn)發(fā)效率低而且容易帶來安全風(fēng)險。

而狀態(tài)檢測防火墻的出現(xiàn)正好彌補(bǔ)了包過濾防火墻這個缺陷。狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機(jī)制，將通信雙方之間交互的屬于同一連接的所有報文都作為整體的數(shù)據(jù)流來對待。在狀態(tài)狀態(tài)防火墻看來，同一個數(shù)據(jù)流內(nèi)的報文不再是孤立的個體，而是存在聯(lián)系的。例如，為數(shù)據(jù)流的第一個報文建立會話，數(shù)據(jù)流內(nèi)的后續(xù)報文就會直接匹配會話轉(zhuǎn)發(fā)，不需要再進(jìn)行規(guī)則的檢測，提高了轉(zhuǎn)發(fā)效率。

包過濾防火墻認(rèn)為數(shù)據(jù)包之間是割裂的個體，更網(wǎng)絡(luò)更容易受到***。而狀態(tài)監(jiān)測防火墻認(rèn)為報文與報文之間是存在聯(lián)系的，從而尋求數(shù)據(jù)包之間的“合作發(fā)展”，最后實現(xiàn)高效率、高安全、可持續(xù)發(fā)展，現(xiàn)在也的確是狀態(tài)監(jiān)測防火墻的天下了，但并不是說包過濾防火墻就不好，它還是有它的“用武之地”的，我們后面再細(xì)說。

在當(dāng)今社會生活，我們也像防火墻一樣恰當(dāng)?shù)刈非蠛献鳎粦?yīng)該一味追求獨立，將自己封閉。那么到底是追求是獨立好？還是追求合作好？這個問題類似于能力重要還是人脈重要？理想重要還是財富重要？我們的人生是有時間概念的，我們只需要把兩者放置到合適的時間段，比如我們把獨立放置到比較靠前的時間段，而把合作放置獨立的時間段之后，亦或者獨立和合作并行也未嘗不可，一個有心人是可以平衡的很好的。寫到最后，中庸又出現(xiàn)了，我認(rèn)為用中庸去結(jié)尾很合適，因為根本沒有絕對答案，人生也并不是非黑即白，檢測一流智力的標(biāo)準(zhǔn)就是大腦當(dāng)中同時存在兩種截然相反的想法，還能維持正常行事的能力，這不是中庸又是什么呢？

老羅英語的LOG當(dāng)中，一個眼睛代表理想，另一個眼睛代表財富，在理想和財富之間是一個微笑。