Sítě za firewally SPI jsou obzvláště odolné vůči hackerům.
Kredit obrázku: Getty Images/Digital Vision/Getty Images
Firewall zabraňuje neautorizovanému přístupu do podnikové sítě pomocí Firewall SPI jde nad rámec zkoumání bezstavového filtrovacího systému. hlavičku paketu a cílový port pro ověření, přičemž zkontroluje obsah celého paketu před určením, zda mu povolit průchod do síť. Tato vyšší úroveň kontroly poskytuje mnohem robustnější zabezpečení a relevantní informace o síťovém provozu než bezstavový systém filtrování.
Slabé stránky inspekce paketů bez státní příslušnosti
V článku pro Security Pro News z února 2002 autor Jay Fougere poznamenává, že i když bezstavové filtry IP mohou efektivně směrují provoz a kladou malé nároky na výpočetní zdroje, představují vážné zabezpečení sítě nedostatky. Bezstavové filtry neposkytují ověřování paketů, nelze je naprogramovat tak, aby otevíraly a zavíraly připojení v reakci na zadané události a nabízejí snadné síťový přístup k hackerům pomocí IP spoofingu, kdy příchozí pakety nesou falešnou IP adresu, kterou firewall identifikuje jako pocházející od důvěryhodného zdroj.
Video dne
Jak SPI Firewall reguluje přístup k síti
Firewall SPI zaznamenává identifikátory všech paketů, které jeho síť přenáší, a když se příchozí paket pokusí získat přístup k síti, může firewall určit, zda se jedná o odpověď na paket odeslaný z její sítě, nebo zda ano nevyžádaný. Firewall SPI může využívat seznam řízení přístupu, databázi důvěryhodných entit a jejich oprávnění pro přístup k síti. Firewall SPI může odkazovat na ACL při kontrole jakéhokoli paketu, aby zjistil, zda pochází z důvěryhodného zdroje, a pokud ano, kam může být směrován v rámci sítě.
Reakce na podezřelý provoz
Firewall SPI může být naprogramován tak, aby zahazoval všechny pakety odeslané ze zdrojů, které nejsou uvedeny v seznamu ACL, což pomáhá zabránit útoku denial-of-service kdy útočník zaplaví síť příchozím provozem ve snaze zablokovat její zdroje a znemožnit mu reagovat na legitimní žádosti. Web společnosti Netgear ve svém článku „Zabezpečení: Porovnání NAT, filtrování statického obsahu, SPI a firewally“ uvádí, že firewally SPI mohou také zkoumat pakety. pro charakteristiky těch, které se používají ve známých hackerských exploitech, jako jsou DoS útoky a IP spoofing, a zahodit jakýkoli paket, který rozpozná jako potenciálně zlomyslný.
Hluboká kontrola paketů
Hluboká kontrola paketů nabízí pokročilé funkce přes SPI a je schopna zkoumat pakety obsah v reálném čase a přitom se ponořit dostatečně hluboko, aby bylo možné obnovit informace, jako je úplný text dokumentu e-mailem. Směrovače vybavené DPI se mohou zaměřit na provoz z konkrétních míst nebo do konkrétních destinací a mohou být naprogramované k provádění specifických akcí, jako je protokolování nebo zahazování paketů, když se pakety setkají se zdrojem nebo kritéria destinace. Směrovače s podporou DPI lze také naprogramovat tak, aby zkoumaly konkrétní typy datového provozu, jako je VoIP nebo streamovaná média.
