هنگام بررسی فایروال های Stateful و Stateless ، تفاوت بین این دو ممکن است جزئی به نظر برسد اما بسیار مهم است.

فایروال‌های Stateless، یکی از قدیمی‌ترین و اساسی‌ترین معماری‌های فایروال (استاندارد فایروال) هستند. این فایروال ها در ابتدا به عنوان فایروال های فیلتر کننده بسته شناخته می شدند، اما این نام گمراه کننده است زیرا هم فایروال های Stateless و هم فایروال های Stateful، فیلترینگ بسته ها را به روش ها و سطوح مختلف پیچیدگی انجام می دهند.

به عنوان مثال، فایروال های Stateful سرآیند بسته را بازرسی می کنند، در حالی که فایروال های Stateless فقط هدر پروتکل بسته را بازرسی می کنند.

علاوه بر این، یک فایروال Stateful همیشه بر بسته های داده و بستر ترافیک در تمام اتصالات شبکه نظارت می کند، در حالی که یک فایروال Stateless، بسته های داده را بازرسی نکرده و فقط ایمنی یک اتصال را به صورت مجزا، بر اساس قوانین از پیش تعیین شده، از جمله نوع ترافیک ورودی، شماره پورت یا آدرس مقصد تعیین می کند.

بازرسی Stateful سال ها پیش در اکثر محیط ها عادی شد و اکثر سیستم های فایروال مدرن از آن استفاده می کنند.

فایروال های Stateful

سیستم های بازرسی Stateful دید ثابتی از تمام اتصالات شبکه دارند و یک جدول حالت را بر اساس تصمیمات اتخاذ شده ایجاد می کنند، در حالی که فایروال های Stateless اینطور نیستند.

یک جدول وضعیت، فایروال Stateful را قادر می سازد تا تمام اتصالات باز، از جمله بستر ترافیک، مانند آدرس های IP مبدا و مقصد، طول بسته، وضعیت های پروتکل و اطلاعات پورت را پیگیری کند. هنگام ترافیک، سیستم ترافیک را با جدول وضعیت مقایسه می کند تا ببیند آیا بخشی از اتصال برقرار شده است یا خیر.

این بدین معنی است که یک جدول حالت از مجموع اتصالات ایجاد شده یا مسدود شده توسط فایروال Stateful ساخته شده است. در آینده برای انجام فیلترینگ، این تاریخچه برای تعیین اینکه آیا ترافیک جدید می تواند مخرب باشد یا خیر لحاظ می شود. همچنین می توان گفت که فایروال های Stateful می توانند حملات بسیار بزرگ تری را که ممکن است در بسته های منحصر به فرد اتفاق بیفتند را مسدود کنند.

همچنین بازرسی عمیق تر بسته که توسط فایروال Stateful انجام می شود می تواند بر دست تکانی TCP بین دستگاه ها نظارت کرده و بسته ها را به عنوان بخشی از اتصالات موجود تشخیص دهد.

با این حال، تمام این نظارت ها از نظر قدرت پردازش و سرعت، هزینه زیادی دارند. افزایش نیازهای پردازشی، فایروال های Stateful را مستعد حملات انکار سرویس توزیع شده (DDoS) و حملات Man in the Middle می کند. پیچیدگی بیشتر کد داخلی منجر به آسیب پذیری هایی می شود که در صورت به روز نبودن نرم افزار می توانند مورد حمله قرار گیرند.

فایروال های Stateless

فایروال های Stateless به قوانین از پیش تعیین شده در لیست های کنترل دسترسی (ACL) برای تصمیم گیری در مورد بسته های جداگانه تکیه دارند. آنها هدر بسته را برای اطلاعات، از جمله آدرس های IP مبدا و مقصد، شماره پورت و نوع ترافیک ثابت (TCP در مقابل پروتکل دیتاگرام کاربر) بررسی می کنند.

در نتیجه، فایروال‌های Stateless توانایی بیشتری در فیلتر کردن ترافیک دارند و به دلیل اینکه به ACL متکی هستند، فیلترینگ فقط به اندازه قوانین تعریف شده توسط کاربر خواهد بود. اگر ACL ها به درستی مدیریت نشوند و نتوانند با گذشت زمان سازگار شوند، فایروال های Stateless بیشتر مستعد خطای کاربر خواهند شد.

در حالی که این سادگی نسبی باعث می‌شود فایروال‌های Stateless سریع، نیازمند منابع کم، و قادر به مدیریت ترافیک سنگین باشند، محدودیت‌ها بدین معنی است که آنها را فقط می‌توان در موارد خاصی در یک شرکت بکار برد.

رایج‌ترین پیاده‌سازی فایروال Stateless امروزی در روتر بیرونی اینترنت است. این دستگاه‌ها معمولا یک مجموعه قانون اساسی فیلترینگ بسته را اجرا می‌کنند تا ترافیک ناخواسته مشخص را از بین برده و بار روی یک فایروال بازرسی Stateful را بلافاصله در پشت روتر کاهش دهد.

انتخاب بین فایروال های Stateful و Stateless

فایروال های Stateless می توانند گزینه ای برای مشاغل کوچک با بودجه محدود و ترافیک کمتر نیز باشند. به طور کلی ترافیک کمتر به معنای تهدیدات کمتر است که باید در نظر گرفته شود و می تواند تنظیم قوانین برای فایروال Stateless را به یک امر قابل مدیریت تبدیل کند. فایروال های Stateless ممکن است در موارد محدود در شبکه های داخلی مانند بین شبکه های VLAN نیز مفید باشند.

برای شرکت های بزرگتر با ترافیک بیشتر که با تهدیدات بیشتری روبرو هستند، فایروال های Stateful امکانات و قابلیت های امنیتی بیشتری را ارائه می دهند. با این حال، اگر یک شرکت از برنامه‌های مدرن‌تری که از بیش از یک پورت برای سرویس‌های مختلف استفاده می‌کنند یا پورت‌ها را تغییر می‌دهند بهره می برد، ممکن است لازم باشد که فراتر از فایروال‌های Stateful به فایروال‌های نسل بعدی که برنامه‌ها را به جای اتصالات شبکه بررسی می‌کنند نیز نگاهی داشته باشد.