入站埠阻止如何在防火牆上工作?
我不清楚入站流量和防火牆。
我的第一個假設是防火牆(比如家用路由器)應該阻止所有入站埠。如果您不阻止所有入站埠,那麼 Internet 上的黑客肯定可以將數據包發送到您網路上的設備嗎?
但是,如果所有入站埠都被阻塞,那麼任何流量如何進入?
例如,我的理解是瀏覽器建立了與 Web 伺服器的連接 - 與 Web 伺服器上的埠 80 通信,並在瀏覽器/客戶端上隨機分配一些埠號 - 例如埠 30222。瀏覽器要求頁面,Web 伺服器將其發送回地址到客戶端 IP 地址/埠 30222。
如果網路伺服器可以向 30222 埠發送數據,那麼為什麼任何隨機黑客都不能向 30222 埠發送數據呢?
防火牆如何看待這個?是否應該將其配置為允許所有入站連接?
我知道有狀態防火牆會檢查來自客戶端的連接請求,因此可以有選擇地允許流量精確地通過客戶端/埠 - > 伺服器/埠的組合 - 這是有意義的。在那種情況下,我可以看到您可以阻止家庭路由器上的所有入站防火牆埠,因為家庭路由器能夠確保它允許的流量僅在設備之間用於內部發起的連接 - 在這種情況下隨機黑客將數據包發送到內部網路上的設備。
但是 - 我不認為所有的防火牆都是有狀態的,是嗎?那麼無狀態防火牆呢?它們是否需要允許所有入站流量?
所以我不清楚家庭防火牆是否應該阻止所有入站埠。如果它確實阻止了所有入站埠,那麼如果它不是狀態數據包檢測防火牆,那麼任何數據如何進入?
防火牆一詞的定義很鬆散。我對您的問題的回答是,並非所有防火牆都是有狀態的。但是,我可能會使用術語“包過濾防火牆”來描述一種類型的無狀態防火牆。對於無狀態防火牆,仍然可以實現很多保護,但不如有狀態防火牆。
例如,可以告訴無狀態防火牆讓所有數據包都發送到 Internet(例如,您的 Web 瀏覽器數據包發送到 Web 伺服器)。但它會被配置為只允許數據包入站,如果它們看起來是已經建立的連接的一部分。為此,我們將詳細了解 TCP/IP 的工作原理。TCP 數據包中有標誌(SYN、SYN+ACK、ACK,如果您想查找它們),指示數據包是啟動數據包還是響應數據包。無狀態防火牆只允許響應數據包返回您的客戶端瀏覽器。Internet 上的壞人能否簡單地將看起來像響應(即設置了響應標誌)的數據包發送回您的客戶端?是的。但是,即使它通過了數據包過濾防火牆,您的客戶端也不太可能接受該連接。
在上述上下文中,我們使用術語“有狀態”和“無狀態”來描述防火牆正在跟踪的內容。有狀態意味著一旦來自瀏覽器的第一個數據包到達防火牆,防火牆就會注意到正在啟動 Web 連接,然后防火牆會等待來自 Web 伺服器的響應數據包。它在連接期間保持跟踪資訊。在“無狀態”場景中,防火牆會在每個數據包通過時對其進行評估,但不會跟踪其間的任何內容。無論防火牆是否跟踪它,TCP/IP 連接內部都有“狀態”資訊(例如標誌)。