前段时间一位朋友聊到路由器/防火墙的安全策略配置，说他单位的路由器中的防火墙规则是在内网到外网、外网到内网两个方向主要封堵了135、445之类的关键端口，其它则是默认允许。从他给的配置规则示例看，沿用的包过滤方式，之所以如此配置，是因为他们怕封了不该封的端口，造成单位内部无法访问互联网。通过在网上查看他们单位路由器对应型号的技术手册，该路由器型号是支持状态检测防火墙的。如果配置成状态检测方式，那么按他们单位的需求，外网到内网则可仅配置成默认拒绝即可，能够大幅降低外网对内网的安全威胁。

下面我们以图1为例，来看看包过滤与状态检测防火墙的主要区别在哪里。

图1

图中路由器/防火墙的安全策略默认是内网到外网、外网到内网双向拒绝访问。当内部局域网中的PC1（IP地址10.1.1.1）访问外部互联网中的Web服务器（IP地址39.156.66.14，端口80）时

一、采用包过滤方式，需要在路由器/防火墙中配置如下规则：

即：

1、由内网向外网的方向允许（PC1的）源IP地址为10.1.1.1、源端口为任意（一般是大于1024~65535之间的一个随机端口）、协议为TCP，到（Web服务器的）目的IP地址为39.156.66.14、目的端口为80的数据包通过。

2、由外网向内网的方向允许（Web服务器的）源IP地址为39.156.66.14、源端口为80、协议为TCP，到（PC1的）目的IP地址为310.1.1.1、目的端口为任意（事先无法客户端分配的随机端口）的数据包通过。

可见，包过滤防火墙需要配置由内向外和由外向内的两条规则，且这两条规则是静态的一直起作用。另外因为PC1访问服务器时的端口号是随机的，因此在由外网向内网的方向上，允许全部目的端口通过，进一步增加了风险。

二、采用状态检测方式，则仅需要在路由器/防火墙中配置由内网向外网方向的一条规则，如下所示：

而由外网向内网的方向不需要手工进行配置，而是在PC1到Web服务器的数据包通过后，由防火墙动态的建立一条临时会话——允许Web服务器到PC1的数据包通过。当PC1与服务器之间没有数据通信后，该临时会话会在定时器超时后被删除；另外因为PC1通过Web服务器的数据包的端口号已确定，因此在由外网向内网的方向上，允许的目的端口号是明确的而不是全部开放，进一步减小了风险。

因此包过滤与状态检测防火墙的主要区别是：

1、包过滤防火墙需要双向静态配置，配置后一直存在；状态检测防火墙仅需单向静态配置，另外一个方向由防火墙自动动态建立临时会话放行——用过后会自动删除。

2、包过滤防火墙，服务器到客户端的目的端口需要全部打开；状态检测防火墙，服务器到客户端的目的端口仅按需开放。

以上输入和描述可能有疏漏、错误，欢迎大家在下方评论区留言指正！

另以上文字如有帮助，望不吝转发！

头条主页：https://m.toutiao.com/is/J9jM5MW/