רשתות מאחורי חומות אש SPI עמידות במיוחד בפני פריצה.
קרדיט תמונה: Getty Images/Digital Vision/Getty Images
חומת אש מונעת גישה בלתי מורשית לרשת של ארגון, שימוש בחומת אש SPI חורג מבדיקת מערכת סינון חסרת מצב של רק הכותרת ויציאת היעד של החבילה לאימות, בדיקת תוכן החבילה כולה לפני קביעה אם לאפשר את מעברה לתוך רֶשֶׁת. רמת בדיקה גבוהה יותר זו מספקת אבטחה חזקה הרבה יותר ומידע רלוונטי על תעבורת רשת מאשר מערכת סינון חסרת מצב.
חולשות של בדיקת מנות חסרות מדינה
במאמר פברואר 2002 ל-Security Pro News, הסופר ג'יי פוגר מציין שבעוד שמסנני IP חסרי מדינה יכולים מנתבים ביעילות את התעבורה ומעמידים דרישה מועטה למשאבי מחשוב, הם מציגים אבטחת רשת רצינית ליקויים. מסננים חסרי מצב אינם מספקים אימות מנות, לא ניתנים לתכנות לפתוח ולסגור חיבורים בתגובה לאירועים שצוינו, ומציעים קל גישה לרשת להאקרים באמצעות זיוף IP, שבו מנות נכנסות נושאות כתובת IP מזויפת שחומת האש מזהה כמגיעה מכתובת מהימנה מָקוֹר.
סרטון היום
כיצד חומת אש SPI מסדירה את הגישה לרשת
חומת אש SPI מתעדת את המזהים של כל החבילות שהרשת שלה משדרת וכאשר חבילה נכנסת מנסה לקבל גישה לרשת, חומת האש יכולה לקבוע אם זו תגובה לחבילה שנשלחה מהרשת שלה או אם היא לְלֹא הַזמָנָה. חומת אש של SPI יכולה להשתמש ברשימת בקרת גישה, מסד נתונים של ישויות מהימנות והרשאות הגישה שלהם לרשת. חומת האש של SPI יכולה להתייחס ל-ACL בעת בדיקה מדוקדקת של כל חבילה כדי לקבוע אם היא הגיעה ממקור מהימן, ואם כן, לאן ניתן לנתב אותה בתוך הרשת.
תגובה לתנועה חשודה
ניתן לתכנת את חומת האש של SPI לשחרר כל חבילה שנשלחה ממקורות שאינם רשומים ב-ACL, כדי לסייע במניעת התקפת מניעת שירות, ב אשר תוקף מציף את הרשת בתעבורה נכנסת במאמץ לבלום את משאביה ולגרום לה לא להגיב לגיטימי בקשות. אתר האינטרנט של Netgear מציין במאמר "אבטחה: השוואת NAT, סינון תוכן סטטי, SPI וחומות אש" שחומות אש של SPI יכולות גם לבחון מנות עבור מאפיינים של אלה המשמשים לניצול פריצה ידוע, כגון התקפות DoS וזיוף IP, ושחרר כל חבילה שהיא מזהה כעלולה זְדוֹנִי.
בדיקת מנות עמוקה
בדיקת מנות עמוקה מציעה פונקציונליות מתקדמת על פני SPI ומסוגלת לבחון מנות תוכן בזמן אמת תוך התעמקות מספיק כדי לשחזר מידע כגון הטקסט המלא של an אימייל. נתבים המצוידים ב-DPI יכולים להתמקד בתנועה מאתרים ספציפיים או ליעדים ספציפיים, ויכולים להיות מתוכנת לבצע פעולות ספציפיות, כגון רישום או שחרור מנות, כאשר מנות פוגשות מקור או קריטריוני יעד. ניתן גם לתכנת נתבים התומכים ב-DPI לבחון סוגים מסוימים של תעבורת נתונים, כגון VoIP או מדיה זורמת.
