無狀態和有狀態防火牆

目前USER和WEB_SERVER都是互通，所有服務都沒有阻擋。
有一天我們想讓所有經由F0/1到F0/0的連線都無法通過。




我們設定了一條ACL NAME TCPIN，然後把他擺在F0/1 IN方向的端口。
結果當然如我們預料的WEB_SERVER無法連到USER，但是USER不但ping不到也連不到web服務。




因為封包是一去一回，所以極有可能是回去的封包被阻擋了，因此我們在deny ip any any前加了兩條，允許established的封包和echo-reply的封包。



我們除了USER能ping和連WEB_SERVER的80port外，而且ACL的matches也有增加。
現在我們只是解決了兩個問題，可是如果還有其他服務要開呢？所以非常難以維護和使用。



仔細想想我們現在使用的防火牆，只有一條內對外全部允許，外對內全部拒絕，好像也是可以瀏覽網頁和PING，似乎有點矛盾？

因為傳統只靠這種ACL的防火牆我們稱作stateless firewall(無狀態防火牆)，就是我有設定才放行，沒設定就不放行，所以管理者必須要很清楚所有封包往返的流量，他不會紀錄已出去的封包狀態。

但是現在的防火牆大部分為stateful firewall(有狀態防火牆)，這有點像是我發起一個50000port去連google網站80port，防火牆當然會預期google網站會回應一個80port回給我50000port的連線，所以他所有出去的流量都會記錄在他的stateful表格裡，只要在表格內都會自動放行，當然等到他偵測到一個結束訊號的話，這些暫時放行的防火牆規則就會關掉了。

再舉個比方就像是我主動打電話給A，因為防火牆政策有允許我打給A，所以有狀態防火牆就會允許並且開始記錄這通電話的狀態，例如我和對方電話多少，目前進行到開始還是結束？而且之後所有這通電話A回應給我的聲音都會被防火牆自動允許，直到雙方說再見掛電話，防火牆的自動允許才會取消，但A能不能主動打給我呢？要看防火牆有沒有允許A能打給我的政策。