En informática, un firewall con estado es un firewall basado en la red que rastrea individualmente las sesiones de las conexiones de red que lo atraviesan. La inspección de paquetes con estado , también conocida como filtrado dinámico de paquetes, [1] es una característica de seguridad que se usa a menudo en redes comerciales y no comerciales.
Un cortafuegos con estado realiza un seguimiento del estado de las conexiones de red, como transmisiones TCP , datagramas UDP y mensajes ICMP , y puede aplicar etiquetas como ESCUCHAR , ESTABLECER o CIERRE . [2] Las entradas de la tabla de estado se crean para transmisiones TCP o datagramas UDP que pueden comunicarse a través del firewall de acuerdo con la política de seguridad configurada. Una vez en la tabla, todos los paquetes RELACIONADOS de una sesión almacenada se simplifican, lo que requiere menos CPUciclos que la inspección estándar. Los paquetes relacionados también pueden regresar a través del firewall incluso si no se configura ninguna regla para permitir las comunicaciones desde ese host. Si no se ve tráfico durante un tiempo específico (depende de la implementación), la conexión se elimina de la tabla de estado. Las aplicaciones pueden enviar mensajes de actividad [3] periódicamente para evitar que un firewall corte la conexión durante períodos de inactividad o para aplicaciones que, por diseño, tienen largos períodos de silencio.
El método para mantener el estado de una sesión depende del protocolo de transporte que se utilice. TCP es un protocolo orientado a la conexión [4] y las sesiones se establecen con un protocolo de enlace de tres vías utilizando paquetes SYN y finalizan enviando una notificación FIN . [5] El firewall puede usar estos identificadores de conexión únicos para saber cuándo eliminar una sesión de la tabla de estado sin esperar un tiempo de espera. UDP es un protocolo sin conexión, [4] lo que significa que no envía identificadores únicos relacionados con la conexión mientras se comunica. Por eso, una sesión solo se eliminará de la tabla de estado después del tiempo de espera configurado. Punzonado UDPes una tecnología que abusa de esta característica para permitir la configuración dinámica de túneles de datos a través de Internet. [6] Los mensajes ICMP son distintos de TCP y UDP y comunican información de control de la propia red. Un ejemplo bien conocido de esto es la utilidad ping . [7] Las respuestas ICMP podrán regresar a través del firewall. En algunos escenarios, la comunicación UDP puede usar ICMP para proporcionar información sobre el estado de la sesión, por lo que también se permitirá el retorno de las respuestas ICMP relacionadas con una sesión UDP.