Mreže iza SPI vatrozida posebno su otporne na hakiranje.
Zasluga slike: Getty Images/Digital Vision/Getty Images
Vatrozid sprječava neovlašteni pristup mreži poduzeća, koristeći SPI vatrozid nadilazi ispitivanje sustava filtriranja bez stanja samo zaglavlje paketa i odredišni port za autentifikaciju, provjeravajući cijeli sadržaj paketa prije nego što se odluči hoće li mu dopustiti prolazak u mreža. Ova veća razina nadzora pruža mnogo robusniju sigurnost i relevantne informacije o mrežnom prometu od sustava filtriranja bez stanja.
Slabosti inspekcije paketa bez državljanstva
U članku iz veljače 2002. za Security Pro News, autor Jay Fougere napominje da dok IP filteri bez državljanstva mogu učinkovito usmjeravaju promet i malo zahtijevaju računalne resurse, predstavljaju ozbiljnu mrežnu sigurnost nedostaci. Filtri bez stanja ne pružaju provjeru autentičnosti paketa, ne mogu se programirati da otvaraju i zatvaraju veze kao odgovor na određene događaje i nude jednostavno pristup mreži hakerima pomoću lažiranja IP-a, u kojem dolazni paketi nose krivotvorenu IP adresu koju vatrozid identificira kao da dolazi od pouzdanog izvor.
Video dana
Kako SPI vatrozid regulira pristup mreži
SPI vatrozid bilježi identifikatore svih paketa koje njegova mreža prenosi i kada dolazni paket pokuša dobiti pristup mreži, vatrozid može odrediti je li to odgovor na paket poslan s njegove mreže ili je nepoželjan. SPI vatrozid može koristiti popis kontrole pristupa, bazu podataka pouzdanih entiteta i njihovih privilegija pristupa mreži. SPI vatrozid može referencirati ACL kada provjerava bilo koji paket kako bi utvrdio je li došao iz pouzdanog izvora, i ako jest, kamo se može usmjeriti unutar mreže.
Reagiranje na sumnjivi promet
SPI vatrozid može se programirati da ispusti sve pakete poslane iz izvora koji nisu navedeni unutar ACL-a, pomažući u sprječavanju napada uskraćivanja usluge, u kojim napadač preplavi mrežu dolaznim prometom u pokušaju da zaglavi njezine resurse i onemogući je da odgovori na legitimne zahtjevi. Netgearova web stranica u svom članku "Sigurnost: uspoređivanje NAT-a, filtriranja statičkog sadržaja, SPI-a i vatrozida" bilježi da SPI vatrozidi također mogu ispitati pakete za karakteristike onih koje se koriste u poznatim hakirajućim napadima, kao što su DoS napadi i lažiranje IP-a, i ispusti svaki paket koji prepozna kao potencijalno zlonamjeran.
Duboki pregled paketa
Duboka inspekcija paketa nudi naprednu funkcionalnost u odnosu na SPI i sposobna je za ispitivanje paketa sadržaja u stvarnom vremenu dok se udubljuje dovoljno duboko da se povrate informacije kao što je cijeli tekst email. Usmjerivači opremljeni DPI-om mogu se usredotočiti na promet s određenih web-mjesta ili na određena odredišta, a mogu i biti programiran za izvođenje specifičnih radnji, kao što je evidentiranje ili ispuštanje paketa, kada se paketi susreću s izvorom ili kriteriji odredišta. Usmjerivači s DPI-om također se mogu programirati za ispitivanje određenih vrsta podatkovnog prometa, kao što su VoIP ili streaming medija.
