En brandvägg inte aktivt * återmontera * fragmenterade dataströmmar på det sätt som en nätverksenhet som en router kan. Dess roll är främst att inspektera uppgifterna för säkerhetshot * innan * de återmonteras. Återmonteringsprocessen sker någon annanstans, vanligtvis vid den mottagande ansökan.
Här är en uppdelning:
* Fragmentering: Dataströmmar, särskilt stora, är ofta fragmenterade vid nätverkslagret (skikt 3) för att passa den maximala transmissionsenheten (MTU) i olika nätverkssegment. Denna fragmentering hanteras av routrar och växlar längs vägen. Varje fragment har information (som fragmentförskjutning och total storlek) som mottagaren använder för att sätta ihop den igen.
* brandväggskontroll: Brandväggen ser dessa fragmenterade paket individuellt. Det inspekterar varje pakethuvud (letar efter skadligt innehåll, förbjudna portar etc.) och potentiellt nyttolasten (beroende på dess konfiguration och djuppaketinspektion (DPI). Men det försöker i allmänhet inte rekonstruera hela dataströmmen innan de gör sin inspektion eftersom:
* Komplexitet: Återmonterande data vid brandväggen skulle lägga till betydande bearbetningskostnader och påverka prestanda.
* tillräckligt: Huvudundersökning är ofta tillräcklig för många säkerhetskontroller. Brandväggen kan identifiera skadliga mönster i fragmenterade rubriker, även om den inte helt kan förstå data om applikationsnivå.
* statlig inspektion: Statliga brandväggar spårar sessionens sammanhang (källa/destination IP, portar etc.). Detta gör att de kan korrelera fragmenterade paket som tillhör samma session, även utan fullständig montering.
* återmontering vid destinationen: Återmonteringen av fragmenterade data sker vid destinationsvärdens nätverksstack (specifikt i IP -stacken). Operativsystemets nätverksdrivrutin omordnar och kombinerar fragmenten baserat på deras rubrikinformation och återskapar den ursprungliga dataströmmen för applikationen på processen.
Sammanfattningsvis fungerar brandväggen som en filter och säkerhetsinspektör för varje fragmenterat paket, men det lämnar återmonteringsuppgiften till den mottagande värden. Det spelar en avgörande roll i säkerheten * före * återmontering, inte under den.
