Netværk bag SPI firewalls er særligt modstandsdygtige over for hacking.
Billedkredit: Getty Images/Digital Vision/Getty Images
En firewall forhindrer uautoriseret adgang til en virksomheds netværk, brug af en SPI-firewall går ud over et statsløst filtreringssystems undersøgelse af blot en pakkens header og destinationsport til godkendelse, kontrollerer hele pakkens indhold, før det bestemmes, om den skal tillade passage ind i netværk. Denne højere grad af kontrol giver meget mere robust sikkerhed og relevant information om netværkstrafik end et statsløst filtreringssystem.
Svagheder ved statsløs pakkeinspektion
I en artikel fra februar 2002 til Security Pro News bemærker forfatter Jay Fougere, at mens statsløse IP-filtre kan effektivt dirigerer trafik og stiller ringe krav til computerressourcer, de præsenterer seriøs netværkssikkerhed mangler. Statsløse filtre giver ikke pakkegodkendelse, kan ikke programmeres til at åbne og lukke forbindelser som svar på specificerede hændelser og tilbyder let netværksadgang til hackere, der bruger IP-spoofing, hvor indgående pakker har en forfalsket IP-adresse, som firewallen identificerer som kommer fra en betroet kilde.
Dagens video
Hvordan en SPI Firewall regulerer netværksadgang
En SPI-firewall registrerer identifikatorerne for alle de pakker, dets netværk sender, og når en indgående pakke forsøger at får netværksadgang, kan firewallen afgøre, om det er et svar på en pakke sendt fra dets netværk, eller om det er uopfordret. En SPI-firewall kan anvende en adgangskontrolliste, en database over betroede enheder og deres netværksadgangsrettigheder. SPI-firewall'en kan referere til ACL'en, når den undersøger enhver pakke for at afgøre, om den kom fra en pålidelig kilde, og i så fald, hvor den kan dirigeres inden for netværket.
Reaktion på mistænkelig trafik
SPI-firewall'en kan programmeres til at droppe alle pakker, der sendes fra kilder, der ikke er opført i ACL'en, hvilket hjælper med at forhindre et denial-of-service-angreb i hvor en angriber oversvømmer netværket med indgående trafik i et forsøg på at tømme dets ressourcer og gøre det ude af stand til at reagere på legitime anmodninger. Netgears websted bemærker i sin artikel "Sikkerhed: Sammenligning af NAT, Statisk indholdsfiltrering, SPI og firewalls", at SPI-firewalls også kan undersøge pakker for karakteristika af dem, der bruges i kendte hacking-udnyttelser, såsom DoS-angreb og IP-spoofing, og slip enhver pakke, som den genkender som potentielt ondsindet.
Deep Packet Inspection
Dyb pakkeinspektion tilbyder avanceret funktionalitet over SPI og er i stand til at undersøge pakker indhold i realtid, mens du dykker dybt nok til at gendanne information, såsom den fulde tekst af en e-mail. Routere udstyret med DPI kan fokusere på trafik fra bestemte websteder eller til bestemte destinationer, og kan være det programmeret til at udføre specifikke handlinger, såsom at logge eller droppe pakker, når pakker møder en kilde eller destinationskriterier. DPI-aktiverede routere kan også programmeres til at undersøge bestemte typer datatrafik, såsom VoIP eller streamingmedier.
