¿Las reglas del firewall tienen que ser simétricas? Es decir, ¿un firewall debe bloquear un tipo de tráfico en particular, tanto entrante (al sitio protegido) como saliente (desde el sitio)? ¿Por qué o por qué no?
Tengo que responder a la pregunta anterior. ¿Cuál es el significado de las reglas simétricas en el firewall? ¿Alguien puede por favor explicármelo?
P: ¿Las reglas del firewall tienen que ser simétricas?
Respuesta corta y simple: No, NO TIENEN que ser. Pero eso no significa que no puedan ser.
¿Por qué ?
Depende del tráfico que se espera pase a través del firewall, pero la mayoría de las veces las reglas no serán simétricas.
Por ejemplo, si no tiene un servidor DNS dentro de su red, probablemente bloqueará el tráfico DNS entrante, pero si bloquea el tráfico DNS saliente, no podrá acceder a nada que use nombres de dominio. Desde sitios web a servidores ftp, servidores ssh, su cuenta de respaldo en la nube, etc.
Pero tiene sentido si no quiere que los empleados accedan a nada que no esté en su red interna. Obviamente, hay formas de evitar eso (para memorizar la dirección IP del servidor ...), pero definitivamente hará que las cosas sean más difíciles para ellos.
Por lo tanto, las reglas simétricas podrían romper cosas para ti. Pero tal vez eso es exactamente lo que quieres hacer.
Creo que tiene algunos errores de terminología en su pregunta, pero todavía creo que puedo responderla. Para responder a su pregunta, explicaré los dos tipos comunes de cortafuegos, con estado y sin estado. Ambos tipos de cortafuegos comparan paquetes con sus conjuntos de reglas. Ambos trabajan a partir de un conjunto de datos a menudo referidos como una tupla, que normalmente incluye IP de origen, IP de destino, Puerto de origen y Puerto de destino. Hay algunas diferencias importantes que voy a describir a continuación.
Los firewalls con estado mantienen una tabla de conexiones. Esto significa que una vez que se establece una conexión, el tráfico que coincide con esa sesión se permite a través del firewall. Por ejemplo, si creó una regla que permitía el puerto 80 desde Internet a un sistema detrás del firewall, se permitiría el paquete que el servidor envió como parte del protocolo de enlace TCP. Dado que un firewall con estado es consciente del estado de TCP, es capaz de filtrar paquetes con información de encabezado TCP no válida.
Los firewalls sin estado están limitados en sus capacidades de filtrado en comparación con un firewall con estado, pero en general son mucho más rápidos debido a su lógica de procesamiento de reglas más simple. Cada dirección de una conexión debe permitirse explícitamente, ya que no se guarda ningún estado y cada paquete se verifica cada vez contra las reglas del firewall. Por ejemplo, si creó una regla que permitía el puerto 80 desde Internet a un sistema detrás del firewall, el paquete se permitiría como antes. Sin embargo, sin una regla correspondiente para el paquete del servidor al cliente, el paquete de respuesta se eliminaría. Estos cortafuegos generalmente no pueden filtrar paquetes con información de encabezado TCP no válida.
El significado de la palabra simétrica se encuentra en su pregunta, reglas de entrada y salida para el tráfico. En cuanto a bloquear la parte del tráfico, en realidad es al revés. Todo el tráfico está bloqueado por defecto y se debe permitir un tráfico particular. Si respondo la parte relacionada con permitir el tráfico simétricamente, entonces la respuesta sería sí para los cortafuegos sin estado (filtros de paquetes) que sí necesitan mantener la información en las sesiones. Pero no tiene que hacerlo para los firewalls de estado que guardan la información de la sesión.
Esto suena sospechosamente como una pregunta de tarea, pero responderé de todas formas ...
¿Las reglas de cortafuegos tienen para ser simétricas?
No.
Es decir, ¿un cortafuegos tiene para bloquear un tipo de tráfico en particular? ¿Entrante (al sitio protegido) y saliente (desde el sitio)?
No.
¿Por qué o por qué no?
He respondido un poco a esta pregunta aquí: Firewall & Tráfico TCP
El motivo es que los cortafuegos modernos son con estado , lo que significa que la comunicación puede fluir en ambos sentidos una vez iniciada desde la fuente permitida hasta el destino permitido a través del puerto y / o servicio permitido.
Esta es la razón por la que una regla simétrica no es necesaria.
Lea otras preguntas en las etiquetas firewalls