banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi về Stateful Firewall ?  XML
  [Question]   Hỏi về Stateful Firewall ? 03/10/2007 12:31:13 (+0700) | #1 | 88449
[Avatar]
rickb
Reseacher

Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]
Trong 1 slide bài giảng về khoá học Firewall hồi xưa mình học thì nó có đề cập : "Stateful FW sẽ bỏ qua các Traffic nếu các dịch vụ thay đổi port mặc định (vd : HTTP port 8001)"

Mình ko hiểu câu này cho lắm, về việc đổi port các ứng dụng deamon thì mình hoàn toàn nắm rõ nhưng mình ko hiểu tại sao nó lại ảnh hưởng đến Stateful FW ? Bởi vì theo mình biết, Stateful FW chỉ hoạt động ở tầng Network và Transport giống Packet Filtering, nó chỉ "thông minh" hơn Packet Filtering ở điểm có thêm 1 State table để kiểm soát thêm các thành phần của 1 connection như Time out, SYN, FIN ... Như vậy Stateful FW hoàn toàn ko lọc payload của traffic ở tầng application, vậy thì chuyện mình đổi port hay ko thì nó liên quan gì nhỉ ?

Ai biết rõ xin giải thích giùm
Thân smilie)
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 03/10/2007 21:33:32 (+0700) | #2 | 88470
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rickb wrote:
Trong 1 slide bài giảng về khoá học Firewall hồi xưa mình học thì nó có đề cập : "Stateful FW sẽ bỏ qua các Traffic nếu các dịch vụ thay đổi port mặc định (vd : HTTP port 8001)"
 

Câu in đậm ở trên hơi tối nghĩa. Có lẽ câu đó thế này:
Đối với stateful FW, traffic đi đến các dịch vụ trong một xuất truy cập có destination port thay đổi bất chợt sẽ bị loại bỏ thì đúng với tinh thần "stateful" hơn.

rickb wrote:

Mình ko hiểu câu này cho lắm, về việc đổi port các ứng dụng deamon thì mình hoàn toàn nắm rõ nhưng mình ko hiểu tại sao nó lại ảnh hưởng đến Stateful FW ? Bởi vì theo mình biết, Stateful FW chỉ hoạt động ở tầng Network và Transport giống Packet Filtering, nó chỉ "thông minh" hơn Packet Filtering ở điểm có thêm 1 State table để kiểm soát thêm các thành phần của 1 connection như Time out, SYN, FIN ... Như vậy Stateful FW hoàn toàn ko lọc payload của traffic ở tầng application, vậy thì chuyện mình đổi port hay ko thì nó liên quan gì nhỉ ?

Ai biết rõ xin giải thích giùm
Thân smilie)  


Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport.

Việc đổi port có liên quan trực tiếp và quan trọng đến tính năng "stateful" của một stateful firewall. Lý do:

- 1 request từ bên ngoài vào có IP là xxx.xxx.xxx.xxx đi đến IP yyy.yyy.yyy.yyy ở cổng 80 (xuyên qua stateful firewall trên kiểm soát) . Nếu firewall này cho phép, nó sẽ cho phép IP xxx.xxx.xxx.xxx thực hiện 3 bước bắt tay một cách bình thường. Sau giai đoạn này, firewall ấy sẽ thiết lập một "state table" để theo dõi "state" của xuất truy cập này.

- nếu IP xxx.xxx.xxx.xxx này bất thình lình liên hệ IP yyy.yyy.yyy.yyy ở cổng 80 nhưng lại không hề có quy trình 3 bước bắt tay --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- nếu IP xxx.xxx.xxx.xxx này đã thiết lập 3 bước bắt tay bình thường và đã được hình thành "state table" nhưng bất chợt lại có destination port là 81 --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- khi packet đi đến tầng application, nó vẫn có thông tin source port, source ip, destination port, destination ip và nhiều thông tin khác. Cái "state machine" của một stateful firewall dựa trên những thông tin có thể thu thập được để xác định "state" của một packet và một xuất truy cập.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 04/10/2007 11:17:12 (+0700) | #3 | 88591
[Avatar]
rickb
Reseacher

Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]
Chào anh conmale,

Vấn đề anh đề cập trên là ứng dụng chạy trên các port ko xác định, như vậy thì đúng là Stateful FW ko xử lý được (hoặc xử lý rất kém), vd như các protocol FTP (Passive/Active), IRC, p2p ... Cái này thì em biết rồi nhưng theo em hiểu câu trên có nghĩa là nó muốn nói đến việc đổi port default mà ứng dụng đó bind, vd như default apache bind port 80 như ta hoàn toàn có thể đổi trong file config để nó bind thành port bất kỳ nào mình muốn, trong câu phát biểu em đưa ra trên nó có vd là HTTP port 8001 nên em nghĩ nó đang ám chỉ đến vấn đề này. Như với vấn đề này thì em ko nghĩ nó liên quan đển stateful FW ? Nếu có thì mong anh giải thích thêm ạ

Cám ơn anh nhiều
Thân
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 04/10/2007 17:38:07 (+0700) | #4 | 88614
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rickb wrote:
Chào anh conmale,

Vấn đề anh đề cập trên là ứng dụng chạy trên các port ko xác định, như vậy thì đúng là Stateful FW ko xử lý được (hoặc xử lý rất kém), vd như các protocol FTP (Passive/Active), IRC, p2p ... Cái này thì em biết rồi nhưng theo em hiểu câu trên có nghĩa là nó muốn nói đến việc đổi port default mà ứng dụng đó bind, vd như default apache bind port 80 như ta hoàn toàn có thể đổi trong file config để nó bind thành port bất kỳ nào mình muốn, trong câu phát biểu em đưa ra trên nó có vd là HTTP port 8001 nên em nghĩ nó đang ám chỉ đến vấn đề này. Như với vấn đề này thì em ko nghĩ nó liên quan đển stateful FW ? Nếu có thì mong anh giải thích thêm ạ

Cám ơn anh nhiều
Thân 


Thế nào là "ứng dụng chạy trên các port ko xác định"?

Hầu hết các firewall ngày nay (ngoại trừ một số firewall chuối thì không kể), bất kể stateful hay chỉ packet filter, thì mặc định thường là deny all, allow selected. Bởi thế, nếu packet đi đến một port đã không nằm trong chuỗi "allow selected" nó bị drop ngay từ đầu thì chẳng có gì cần đến stateful nữa cả. Bồ nên hiểu rằng, "stateful" chỉ có nghĩa với các packets được cho phép và thỏa mãn quy định nào đó. Nếu chúng bị drop ngay từ đầu thì đâu có state gì đâu mà xử lý được hay không xử lý được?

Stateful firewall vẫn xử lý các protocol như FTP, IRC, P2P ngon lành. Cái này còn tùy stateful FW mà bồ liên tưởng đến đó là firewall cụ thể do ai sản xuất. Nên xét trên mặt nguyên tắctính chất thật sự của một stateful firewall thay vì dựa vào 1 ứng dụng firewall nào đó để đánh giá chung stateful firewall.

Tôi nghĩ bồ chưa hiểu rõ thế nào là stateful firewall. Bồ nên đọc lại thật kỹ bài trả lời trước của tôi vì nếu bồ còn diễn giải và thắc mắc như trên thì có lẽ nhận định của tôi không sai (về mức độ hiểu thế nào là stateful firewall của bồ).

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 05/10/2007 00:49:42 (+0700) | #5 | 88682
[Avatar]
rickb
Reseacher

Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]

conmale wrote:

Thế nào là "ứng dụng chạy trên các port ko xác định"?

Hầu hết các firewall ngày nay (ngoại trừ một số firewall chuối thì không kể), bất kể stateful hay chỉ packet filter, thì mặc định thường là deny all, allow selected. Bởi thế, nếu packet đi đến một port đã không nằm trong chuỗi "allow selected" nó bị drop ngay từ đầu thì chẳng có gì cần đến stateful nữa cả. Bồ nên hiểu rằng, "stateful" chỉ có nghĩa với các packets được cho phép và thỏa mãn quy định nào đó. Nếu chúng bị drop ngay từ đầu thì đâu có state gì đâu mà xử lý được hay không xử lý được?

Stateful firewall vẫn xử lý các protocol như FTP, IRC, P2P ngon lành. Cái này còn tùy stateful FW mà bồ liên tưởng đến đó là firewall cụ thể do ai sản xuất. Nên xét trên mặt nguyên tắctính chất thật sự của một stateful firewall thay vì dựa vào 1 ứng dụng firewall nào đó để đánh giá chung stateful firewall.

Tôi nghĩ bồ chưa hiểu rõ thế nào là stateful firewall. Bồ nên đọc lại thật kỹ bài trả lời trước của tôi vì nếu bồ còn diễn giải và thắc mắc như trên thì có lẽ nhận định của tôi không sai (về mức độ hiểu thế nào là stateful firewall của bồ).

Thân mến. 


Ok, em sẽ xem lại kỹ

À, em cũng có 1 sồ ebook về FW nhưng ko rành cái nào nên đọc nhất, anh có thể giới thiệu cho em 1 số tài liệu hay về FW được ko ? Cái em cần học là các loại FW phân theo cơ chế hoạt động như Packet filtering, Stateful, Inspection, Proxy ... chứ ko phải là các loại FW cụ thể như iptables, PIX, ASA, Juniper ...

Thân
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 05/10/2007 00:55:21 (+0700) | #6 | 88683
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rickb wrote:

conmale wrote:

Thế nào là "ứng dụng chạy trên các port ko xác định"?

Hầu hết các firewall ngày nay (ngoại trừ một số firewall chuối thì không kể), bất kể stateful hay chỉ packet filter, thì mặc định thường là deny all, allow selected. Bởi thế, nếu packet đi đến một port đã không nằm trong chuỗi "allow selected" nó bị drop ngay từ đầu thì chẳng có gì cần đến stateful nữa cả. Bồ nên hiểu rằng, "stateful" chỉ có nghĩa với các packets được cho phép và thỏa mãn quy định nào đó. Nếu chúng bị drop ngay từ đầu thì đâu có state gì đâu mà xử lý được hay không xử lý được?

Stateful firewall vẫn xử lý các protocol như FTP, IRC, P2P ngon lành. Cái này còn tùy stateful FW mà bồ liên tưởng đến đó là firewall cụ thể do ai sản xuất. Nên xét trên mặt nguyên tắctính chất thật sự của một stateful firewall thay vì dựa vào 1 ứng dụng firewall nào đó để đánh giá chung stateful firewall.

Tôi nghĩ bồ chưa hiểu rõ thế nào là stateful firewall. Bồ nên đọc lại thật kỹ bài trả lời trước của tôi vì nếu bồ còn diễn giải và thắc mắc như trên thì có lẽ nhận định của tôi không sai (về mức độ hiểu thế nào là stateful firewall của bồ).

Thân mến. 


Ok, em sẽ xem lại kỹ

À, em cũng có 1 sồ ebook về FW nhưng ko rành cái nào nên đọc nhất, anh có thể giới thiệu cho em 1 số tài liệu hay về FW được ko ? Cái em cần học là các loại FW phân theo cơ chế hoạt động như Packet filtering, Stateful, Inspection, Proxy ... chứ ko phải là các loại FW cụ thể như iptables, PIX, ASA, Juniper ...

Thân 


Trên "thư viện" của HVA trong phần firewall có vài cuốn đó.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 05/10/2007 07:55:10 (+0700) | #7 | 88764
KiemKhach
Member

[Minus]    0    [Plus]
Joined: 12/02/2004 18:10:21
Messages: 24
Offline
[Profile] [PM]
Hiện nay theo tớ được biết thì thành phần stateful firewal trong sản phẩm HIPS (Host Intrusion Prevention) của McAfee đã được tích hợp bao gồm 2 thành phần : stateful packet filtering và stateful packet inspection.

Stateful packet filtering là thành phần kiểm tra trạng thái thông tin các giao thức như TCP/UDP/ICMP tại layer 4( Transport) và các tầng thấp hơn của OSI. Các gói tin được kiểm tra, nếu gói tin được kiểm tra đúng theo luật trong firewal, gói tin sẽ được cho phép đi qua và thông tin đó sẽ được đưa vào một state table.

Stateful packet Inspection : là quá trình lọc các gói tin và kiểm tra các dòng lệnh tại tầng 7(Application).

State table: la tính năng của stateful firewal, nó tự động lưu trũ thông tin về các kết nối đang hoạt động được cho phép, tạo bởi các luật.


Thangvt.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 06/10/2007 05:07:53 (+0700) | #8 | 88925
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

KiemKhach wrote:
Hiện nay theo tớ được biết thì thành phần stateful firewal trong sản phẩm HIPS (Host Intrusion Prevention) của McAfee đã được tích hợp bao gồm 2 thành phần : stateful packet filtering và stateful packet inspection.

Stateful packet filtering là thành phần kiểm tra trạng thái thông tin các giao thức như TCP/UDP/ICMP tại layer 4( Transport) và các tầng thấp hơn của OSI. Các gói tin được kiểm tra, nếu gói tin được kiểm tra đúng theo luật trong firewal, gói tin sẽ được cho phép đi qua và thông tin đó sẽ được đưa vào một state table.

Stateful packet Inspection : là quá trình lọc các gói tin và kiểm tra các dòng lệnh tại tầng 7(Application).

State table: la tính năng của stateful firewal, nó tự động lưu trũ thông tin về các kết nối đang hoạt động được cho phép, tạo bởi các luật.


Thangvt.
 


Stateful packet filtering và Stateful packet inspection chỉ là một



ps: bồ viết có vài dòng mà nhiều từ không chính xác quá


[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 08/10/2007 02:34:50 (+0700) | #9 | 89245
KiemKhach
Member

[Minus]    0    [Plus]
Joined: 12/02/2004 18:10:21
Messages: 24
Offline
[Profile] [PM]

nghienruou01 wrote:


Stateful packet filtering và Stateful packet inspection chỉ là một



ps: bồ viết có vài dòng mà nhiều từ không chính xác quá


 


Thế thì xem lại đi nhé! Đây là thảo luận nếu phản bác ý kiến của ai thì phải nêu dẫn chứng. potay
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 10/10/2007 11:19:20 (+0700) | #10 | 89836
whisper
Member

[Minus]    0    [Plus]
Joined: 01/03/2005 00:47:08
Messages: 10
Offline
[Profile] [PM]

conmale wrote:

Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport.

Việc đổi port có liên quan trực tiếp và quan trọng đến tính năng "stateful" của một stateful firewall. Lý do:

- 1 request từ bên ngoài vào có IP là xxx.xxx.xxx.xxx đi đến IP yyy.yyy.yyy.yyy ở cổng 80 (xuyên qua stateful firewall trên kiểm soát) . Nếu firewall này cho phép, nó sẽ cho phép IP xxx.xxx.xxx.xxx thực hiện 3 bước bắt tay một cách bình thường. Sau giai đoạn này, firewall ấy sẽ thiết lập một "state table" để theo dõi "state" của xuất truy cập này.

- nếu IP xxx.xxx.xxx.xxx này bất thình lình liên hệ IP yyy.yyy.yyy.yyy ở cổng 80 nhưng lại không hề có quy trình 3 bước bắt tay --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- nếu IP xxx.xxx.xxx.xxx này đã thiết lập 3 bước bắt tay bình thường và đã được hình thành "state table" nhưng bất chợt lại có destination port là 81 --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- khi packet đi đến tầng application, nó vẫn có thông tin source port, source ip, destination port, destination ip và nhiều thông tin khác. Cái "state machine" của một stateful firewall dựa trên những thông tin có thể thu thập được để xác định "state" của một packet và một xuất truy cập.

Thân mến. 


Hi anh conmale,

Cho em hỏi xíu, nếu 1 web server chạy 2 service apache trên 2 port khác nhau, 1 cái là 80, 1 cái là 81. Firewall mở quyền access cho xxx đi tới yyy. Sau khi xxx bắt tay và tạo ra 1 stale table rồi trên port 80. Từ xxx tạo một connection mới tới yyy trên port 81 thì nó có khả năng bị chặn không?

Thanks.
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 11/10/2007 19:25:05 (+0700) | #11 | 90033
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

whisper wrote:


Hi anh conmale,

Cho em hỏi xíu, nếu 1 web server chạy 2 service apache trên 2 port khác nhau, 1 cái là 80, 1 cái là 81. Firewall mở quyền access cho xxx đi tới yyy. Sau khi xxx bắt tay và tạo ra 1 stale table rồi trên port 80. Từ xxx tạo một connection mới tới yyy trên port 81 thì nó có khả năng bị chặn không?

Thanks.
 


Bị chặn. Bởi vì xxx đến yyy ở cổng 80 là giá trị đã ấn định trong state table. Nếu bất chợt xxx đến yyy ở cổng 81 thì nó phải thỏa mãn các bước bắt tay hợp lệ và hình thành 1 giá trị khác trong state table, nếu không, nó bị drop.

PS: state table chớ không phải stale table.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 12/10/2007 04:02:21 (+0700) | #12 | 90112
whisper
Member

[Minus]    0    [Plus]
Joined: 01/03/2005 00:47:08
Messages: 10
Offline
[Profile] [PM]

conmale wrote:


Bị chặn. Bởi vì xxx đến yyy ở cổng 80 là giá trị đã ấn định trong state table. Nếu bất chợt xxx đến yyy ở cổng 81 thì nó phải thỏa mãn các bước bắt tay hợp lệ và hình thành 1 giá trị khác trong state table, nếu không, nó bị drop.

PS: state table chớ không phải stale table. 


( viết sai chính tả, xấu hổ quá !!! )

Anh cho em hỏi tiếp, vậy stateful firewall phân biệt http và https ra sao khi một thằng yyy chạy apache có http trên port 80 và https trên port 443 thì xxx vẫn có thể connect đến yyy trên cả 2 port 80 và 443 ?

Thanks.
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 13/10/2007 12:19:33 (+0700) | #13 | 90412
No.13
Moderator

Joined: 25/08/2003 22:07:38
Messages: 500
Offline
[Profile] [PM]

whisper wrote:

Anh cho em hỏi tiếp, vậy stateful firewall phân biệt http và https ra sao khi một thằng yyy chạy apache có http trên port 80 và https trên port 443 thì xxx vẫn có thể connect đến yyy trên cả 2 port 80 và 443 ?
Thanks. 

xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ?
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 14/10/2007 00:15:29 (+0700) | #14 | 90459
langthangcusi
Member

[Minus]    0    [Plus]
Joined: 10/09/2007 17:38:07
Messages: 3
Offline
[Profile] [PM]

No.13 wrote:

whisper wrote:


xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ? 

E có câu hỏi nay kô liên quan đến StatefulFW lắm mong các a chỉ giúp.
E kết nối vào 1 trang dùng http và 1 trang dùng https
Sau đó dùng lệnh netstat -a để kiểm tra thì đúng là port 1056 đang mở nhưng port 1096 thì kô
Tại sao vậy a?
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 14/10/2007 03:28:11 (+0700) | #15 | 90471
No.13
Moderator

Joined: 25/08/2003 22:07:38
Messages: 500
Offline
[Profile] [PM]
Nếu có thắc mắc về một vấn đề khác thì bạn vui lòng mở topic mới nhé.
PS: Mấy cái 1056 hay 1096 gì đó chỉ là ví dụ thôi.
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 16/10/2007 00:12:36 (+0700) | #16 | 90757
whisper
Member

[Minus]    0    [Plus]
Joined: 01/03/2005 00:47:08
Messages: 10
Offline
[Profile] [PM]

No.13 wrote:

xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ? 


No.13 không hiểu câu hỏi của mình rồi.
+ Trường hợp đầu tiên là cùng là http nhưng trên hai port 80 và 81, thì đương nhiên xxx connect tới yyy từ 2 port khác nhau và bị stateful Firewall block 1 port 81.
+ Trường hợp sau là apache chạy web service nhưng là http và https trên 2 port 80 và 443. Firewall không block là dựa vào cơ chế nào để làm vậy khi cả 2 port này cùng là webservice??

Thanks
[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 16/10/2007 01:03:52 (+0700) | #17 | 90767
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

whisper wrote:

No.13 wrote:

xxx:1056 -----> yyy:80
xxx:1096 -----> yyy:443
Có gì mà không phân biệt được nhỉ ? Bạn muốn phân biệt theo kiểu nào nữa ? 


No.13 không hiểu câu hỏi của mình rồi.
+ Trường hợp đầu tiên là cùng là http nhưng trên hai port 80 và 81, thì đương nhiên xxx connect tới yyy từ 2 port khác nhau và bị stateful Firewall block 1 port 81.
+ Trường hợp sau là apache chạy web service nhưng là http và https trên 2 port 80 và 443. Firewall không block là dựa vào cơ chế nào để làm vậy khi cả 2 port này cùng là webservice??

Thanks
 


Trường hợp 2 firewall không block bởi vì:

- xxx:1234 --> yyy:80: được thiết lập qua các bước bắt tay hẳn hòi và state table được hình thành hợp lệ.

- xxx:5678 --> yyy:443: cũng được thiết lập qua các bước bắt tay và state table được hình thành hợp lệ.

Không bao giờ có chuyện xxx:1234 nhảy thẳng đến yyy:443 cả bởi vì socket port 1234 trên máy con đang được dùng. Có lẽ bồ bị bối rối chỗ này.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 16/10/2007 16:44:42 (+0700) | #18 | 90868
[Avatar]
rickb
Reseacher

Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]
Em suy nghĩ rất nhiều và cũng đang cố gắng đọc sách nhưng thực sự em vẫn chưa hiễu rõ câu "Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport." của bác conmale, ko bít bác có thể giải thích rõ thêm cho mình ko ? Vì theo em stateful chỉ có thể manage ở tần transport và network thôi vì nếu nó có thể manage lên tới tầng Application thì lúc đó nó là Proxy FW hay Inspection Stateful FW rồi chứ đâu phải Stateful FW đâu anh

Thân
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 16/10/2007 18:51:40 (+0700) | #19 | 90871
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rickb wrote:
Em suy nghĩ rất nhiều và cũng đang cố gắng đọc sách nhưng thực sự em vẫn chưa hiễu rõ câu "Stateful firewall có nhiều dạng và nhiều ứng dụng. Nếu nó ứng dụng để kiểm soát cả tầng 7 (của model OSI) thì nó không chỉ dừng lại ở tầng network và transport." của bác conmale, ko bít bác có thể giải thích rõ thêm cho mình ko ? Vì theo em stateful chỉ có thể manage ở tần transport và network thôi vì nếu nó có thể manage lên tới tầng Application thì lúc đó nó là Proxy FW hay Inspection Stateful FW rồi chứ đâu phải Stateful FW đâu anh

Thân 


"Theo em" là dựa trên căn bản nào?

Inspection Stateful FW hay Stateful FW chỉ là cách gọi. Đám thương mại hay chơi cái trò màu mè để câu khách. Cái chính là xem sản phẩm đó làm được cái gì. Cái nào cũng cần có "inspection" thì mới biết packet đó thế nào cả. Có chăng là giới hạn ở layer nào mà thôi.

Tổng quát mà nói, khi nói đến "stateful" có nghĩa là nói đến một cơ chế điều tác và quản lý tình trạng của packets và tình trạng này không chỉ dừng lại ở transport và network layer mà nó có thể trải dài lên tận L7. Tất nhiên là tùy sản phẩm và tùy ứng dụng. Tuy nhiên, đã nói đến "state" có nghĩa là nói đến tình trạng ở một hoặc nhiều tầng trong mô hình OSI. Đừng bị mấy cái thuật ngữ làm cho mình bối rối mà chỉ nên xét đến tính chất sự thể.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi về Stateful Firewall ? 21/10/2007 22:15:49 (+0700) | #20 | 92003
[Avatar]
enn3exlibs
Elite Member

[Minus]    0    [Plus]
Joined: 10/12/2006 16:54:02
Messages: 243
Location: bluesun
Offline
[Profile] [PM]

KiemKhach wrote:

nghienruou01 wrote:


Stateful packet filtering và Stateful packet inspection chỉ là một



ps: bồ viết có vài dòng mà nhiều từ không chính xác quá


 


Thế thì xem lại đi nhé! Đây là thảo luận nếu phản bác ý kiến của ai thì phải nêu dẫn chứng. potay 


àh, khái niệm Stateful packet inspection chỉ là tương đối, tùy ngữ cảnh dùng mà nó ở layer nào, nó có thể là Stateful packet filtering ở layer 3,4, cũng có thể là application proxy ở layer 7.

Kiếm Khách có ý gì khác không?

[Up] [Print Copy]
  [Question]   Hỏi về Stateful Firewall ? 03/05/2013 14:40:31 (+0700) | #21 | 275405
explorer88
Member

[Minus]    0    [Plus]
Joined: 06/11/2010 22:32:47
Messages: 75
Offline
[Profile] [PM]

conmale wrote:


- nếu IP xxx.xxx.xxx.xxx này bất thình lình liên hệ IP yyy.yyy.yyy.yyy ở cổng 80 nhưng lại không hề có quy trình 3 bước bắt tay --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

- nếu IP xxx.xxx.xxx.xxx này đã thiết lập 3 bước bắt tay bình thường và đã được hình thành "state table" nhưng bất chợt lại có destination port là 81 --> hoàn toàn không nằm trong một "state" nào cả --> bị hủy.

 


Anh cho em hỏi là làm thế nào để thiết lập kịch bản để IP xxx.xxx.xxx.xxx có thể liên hệ với IP yyy.yyy.yyy.yyy tại một cổng nào đó mà không cần thông qua bắt tay ba bước ạ ?

Và nếu hai bên xxx.xxx.xxx.xxx và yyy.yyy.yyy.yyy đã bắt tay ba bước rồi làm cách nào để dựng kịch bản xxx.xxx.xxx.xxx liên hệ bất chợt với yyy.yyy.yyy.yyy trên một port khác ạ ?

Cám ơn anh.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|