First page Back Continue Last page Overview Graphics
Stateful inspection
Filtrujemy sesje, a nie tylko pakiety
Filtr musi kojarzyć pakiety z sesjami
Klasyczny problem optymalizacji firewalli
- Pakiet przechodzi listę regułek
- Jeśli lista długa, to koszt przeszukiwania wzrasta
- Jak uniknąć przeszukiwania całej listy dla pakietów należących do raz wpuszczonych sesji?
- Metoda Cisco: flaga established (ACK, RST)
- Alternatywa dla ipchains: wszystko bez SYN
- Problemy: blokujemy połączenia, ale np. Skanowanie zwykle nadal możliwe!
Notes: