Na minha opinião, embora não seja falso, não é verdade, e qualquer um que afirme que é, sem entender por que deve ser examinado de perto por sinais de óleo de cobra.
Nos primórdios, os firewalls (quando existiam) eram dispositivos simples de inspeção de pacotes. Eles tomariam uma decisão sobre encaminhar ou descartar um pacote baseado somente nas características do próprio pacote . Você pode dizer " esse pacote vem da porta TCP 80, ele tem os sinalizadores SYN e ACK definidos, então é (muito provavelmente) uma resposta do servidor web a uma tentativa inicial de conexão TCP, então deixe-o entrar .
Uma melhoria significativa na segurança do firewall foi o firewall stateful . Isto tinha uma memória de tráfego flui através dele antes da consideração de qualquer pacote dado que foi usado para informar a decisão sobre aquele pacote.
Com um firewall dinâmico, você pode dizer " esse pacote vem da porta TCP 80, e o endereço e porta de origem correspondem ao endereço de destino e porta de um pacote TCP SYN que passou por mim há 75ms, então é uma resposta do servidor da web a uma tentativa inicial de conexão TCP iniciada dentro da minha rede confiável, portanto, deixe-a entrar em .Você pode ver um echo-reply
do ICMP e permitir somente se ele corresponder a um% recenteecho-request
para um servidor externo específico e assim por diante.
A coisa sobre o NAT em firewalls é eles são implicitamente stateful . Como todo o tráfego de dentro para fora deve ser rebadged com um novo endereço de origem antes que a Internet tenha qualquer chance de respondê-lo, o tráfego só pode fluir de fora para dentro se o firewall tiver um registro de qual máquina interna enviou recentemente algum tráfego para gerar a resposta. Se o firewall não tiver tal registro, não poderá reescrever o endereço IP de destino do pacote de entrada, porque ele não terá a menor idéia de qual endereço interno para reescrevê-lo.
Então, meu sentimento é que os firewalls com estado são mais seguros do que os firewalls sem estado, e todos os firewalls NAT são implicitamente stateful. É claro que todos os outros firewalls que eu já vi na última década também são statefully capazes, então, desde que um firewall não-NATting não tenha sido muito mal configurado, ele também ofereceu segurança. Eu nunca vi nenhuma análise que me sugerisse que o NAT tivesse quaisquer vantagens de segurança além do estado implícito.