Verwendung von Stateful Inspection durch die Firewall

Der Firewall-Schutz verwendet Stateful Inspection, um aktuelle Verbindungen zu verfolgen. Stateful-Inspection verfolgt Quell- und Ziel-IP-Adressen, Ports, Anwendungen und andere Verbindungsdaten. Bevor der Client die Firewall-Regeln überprüft, werden gemäß den Verbindungsinformationen Entscheidungen über den Datenverkehr getroffen.
Wenn beispielsweise eine Firewall-Regel zulässt, dass ein Computer eine Verbindung mit einem Webserver herstellt, protokolliert die Firewall die Verbindungsinformationen. Wenn der Server antwortet, erkennt die Firewall, dass eine Antwort des Webservers an den Computer erwartet wird. Sie lässt den Datenverkehr des Webservers auf den entsprechenden Computer ohne Überprüfung der Regel zu. Eine Regel muss den ersten ausgehenden Datenverkehr zulassen, bevor die Firewall die Verbindung protokolliert.
Stateful Inspection macht die Erstellung neuer Regeln überflüssig. Für den in eine Richtung initiierten Datenverkehr müssen keine Regeln erstellt werden, um Datenverkehr in beide Richtungen zuzulassen. Der in eine Richtung initiierte Clientdatenverkehr umfasst normalerweise Telnet (Port 23), HTTP (Port 80) und HTTPS (Port 443). Die Clientcomputer initiieren diesen ausgehenden Datenverkehr. Sie erstellen eine Regel, mit der ausgehender Datenverkehr für diese Protokolle zugelassen wird. Stateful Inspection lässt automatisch den rückfließenden Datenverkehr zu, der auf den ausgehenden Datenverkehr reagiert. Da die Firewall Stateful Inspection nutzt, müssen Sie nur Regeln erstellen, die eine Verbindung initiieren, und nicht die Merkmale eines bestimmten Pakets. Alle Pakete, die zu einer zugelassenen Verbindung gehören, werden als integraler Bestandteil derselben Verbindung zugelassen.
Stateful Inspection unterstützt alle Regeln, die den TCP-Datenverkehr steuern.
Stateful-Inspection unterstützt Regeln, die ICMP-Datenverkehr filtern, nicht. Im Falle von ICMP müssen Sie bei Bedarf Regeln erstellen, die Datenverkehr in beide Richtungen zulassen. Sollen Clients beispielsweise einen Ping-Befehl senden und Antworten erhalten, erstellen Sie eine Regel, die ICMP-Datenverkehr in beide Richtungen zulässt.
Die Zustandstabelle mit den Verbindungsdaten wird eventuell regelmäßig bereinigt. Beispiel: Sie wird bereinigt, wenn ein Firewall-Richtlinie-Update verarbeitet wird, oder wenn Symantec Endpoint Protection-Dienste neu gestartet werden.