Мрежите зад защитните стени на SPI са особено устойчиви на хакване.
Кредит на изображението: Getty Images/Digital Vision/Getty Images
Защитната стена предотвратява неоторизиран достъп до мрежата на предприятието, като използва SPI защитната стена надхвърля проверката на системата за филтриране без състояние само на заглавката на пакета и порта на дестинацията за удостоверяване, проверка на цялото съдържание на пакета, преди да се определи дали да се разреши преминаването му в мрежа. Това по-високо ниво на контрол осигурява много по-стабилна сигурност и уместна информация за мрежовия трафик, отколкото система за филтриране без състояние.
Слабости на проверката на пакети без гражданство
В статия от февруари 2002 г. за Security Pro News, авторът Джей Фугер отбелязва, че докато IP филтрите без състояние могат ефективно маршрутизират трафика и не изискват малко изчислителни ресурси, те представляват сериозна мрежова сигурност недостатъци. Филтрите без състояние не осигуряват удостоверяване на пакети, не могат да бъдат програмирани да отварят и затварят връзки в отговор на определени събития и предлагат лесно мрежов достъп до хакери, използващи IP спуфинг, при който входящите пакети носят фалшифициран IP адрес, който защитната стена идентифицира като идващ от доверен източник.
Видео на деня
Как една SPI защитна стена регулира достъпа до мрежата
SPI защитната стена записва идентификаторите на всички пакети, които нейната мрежа предава и когато входящият пакет се опитва да получи достъп до мрежата, защитната стена може да определи дали това е отговор на пакет, изпратен от нейната мрежа, или дали е непоискани. SPI защитната стена може да използва списък за контрол на достъпа, база данни с доверени субекти и техните привилегии за достъп до мрежата. Защитната стена на SPI може да препраща към ACL, когато проверява всеки пакет, за да определи дали идва от доверен източник и ако е така, къде може да бъде маршрутизиран в мрежата.
Реагиране на подозрителен трафик
Защитната стена на SPI може да бъде програмирана да изпуска всякакви пакети, изпратени от източници, които не са изброени в ACL, което помага да се предотврати атака на отказ на услуга, в който нападателят наводнява мрежата с входящ трафик в опит да заглуши ресурсите й и да я направи неспособна да отговори на легитимни искания. Уебсайтът на Netgear отбелязва в статията си „Сигурност: Сравняване на NAT, филтриране на статично съдържание, SPI и защитни стени“, че защитните стени на SPI също могат да проверяват пакети за характеристики на тези, използвани при известни хакерски подвизи, като DoS атаки и IP спуфинг, и пуснете всеки пакет, който разпознава като потенциален злонамерен.
Дълбока проверка на пакети
Дълбоката проверка на пакети предлага разширена функционалност спрямо SPI и е в състояние да проверява пакети съдържание в реално време, докато се задълбочава достатъчно, за да възстанови информация като пълния текст на електронна поща. Маршрутизаторите, оборудвани с DPI, могат да се фокусират върху трафика от конкретни сайтове или до определени дестинации и могат да бъдат програмиран да изпълнява специфични действия, като регистриране или изпускане на пакети, когато пакетите срещнат източник или критерии за дестинация. Рутери с активиран DPI могат също да бъдат програмирани да изследват определени типове трафик на данни, като например VoIP или поточно медия.