SPI ფეიერვოლების უკან არსებული ქსელები განსაკუთრებით მდგრადია ჰაკერების მიმართ.
სურათის კრედიტი: Getty Images/Digital Vision/Getty Images
Firewall ხელს უშლის არასანქცირებული წვდომას საწარმოს ქსელში, SPI firewall-ის გამოყენება სცილდება მოქალაქეობის არმქონე ფილტრაციის სისტემის შესწავლას მხოლოდ პაკეტის სათაური და დანიშნულების პორტი ავთენტიფიკაციისთვის, შეამოწმეთ მთელი პაკეტის შინაარსი, სანამ დაადგენთ, დაუშვას თუ არა მასში გადასვლის საშუალება. ქსელი. შემოწმების ეს უფრო მაღალი დონე უზრუნველყოფს ბევრად უფრო მყარ უსაფრთხოებას და შესაბამის ინფორმაციას ქსელის ტრაფიკის შესახებ, ვიდრე მოქალაქეობის არმქონე ფილტრაციის სისტემა.
მოქალაქეობის არმქონე პაკეტის ინსპექტირების სისუსტეები
2002 წლის თებერვლის სტატიაში Security Pro News-ისთვის ავტორი ჯეი ფუგერი აღნიშნავს, რომ მიუხედავად იმისა, რომ მოქალაქეობის არმქონე IP ფილტრებს შეუძლიათ ეფექტურად მარშრუტებენ ტრაფიკს და მცირე მოთხოვნას აყენებენ გამოთვლით რესურსებზე, ისინი წარმოადგენენ სერიოზულ ქსელურ უსაფრთხოებას ნაკლოვანებები. მოქალაქეობის არმქონე ფილტრები არ უზრუნველყოფენ პაკეტის ავთენტიფიკაციას, არ შეიძლება დაპროგრამდეს გახსნას და დახუროს კავშირები მითითებული მოვლენების საპასუხოდ და გთავაზობთ მარტივ ქსელის წვდომა ჰაკერებთან, რომლებიც იყენებენ IP გაყალბებას, რომელშიც შემომავალი პაკეტები ატარებენ გაყალბებულ IP მისამართს, რომელსაც firewall აღიარებს, რომ მომდინარეობს სანდო საიტიდან. წყარო.
დღის ვიდეო
როგორ არეგულირებს SPI Firewall ქსელში წვდომას
SPI firewall იწერს ყველა პაკეტის იდენტიფიკატორებს, რომლებსაც მისი ქსელი გადასცემს და როდესაც შემომავალი პაკეტი ცდილობს. მოიპოვოს ქსელში წვდომა, firewall-ს შეუძლია განსაზღვროს, არის თუ არა პასუხი მისი ქსელიდან გაგზავნილ პაკეტზე, თუ არასასურველი. SPI firewall-ს შეუძლია გამოიყენოს წვდომის კონტროლის სია, სანდო პირების მონაცემთა ბაზა და მათი ქსელში წვდომის პრივილეგიები. SPI firewall-ს შეუძლია მიმართოს ACL-ს ნებისმიერი პაკეტის დათვალიერებისას, რათა დადგინდეს, მოვიდა თუ არა ის სანდო წყაროდან და თუ ასეა, სად შეიძლება მისი მარშრუტირება ქსელში.
საეჭვო ტრაფიკზე რეაგირება
SPI firewall შეიძლება დაპროგრამდეს ისე, რომ ჩამოაგდეს ნებისმიერი პაკეტები, რომლებიც გაგზავნილია წყაროებიდან, რომლებიც არ არის ჩამოთვლილი ACL-ში, რაც ხელს შეუწყობს სერვისზე უარის თქმის შეტევის თავიდან აცილებას. რომლის დროსაც თავდამსხმელი დატბორავს ქსელს შემომავალი ტრაფიკით, რათა დათრგუნოს მისი რესურსები და შეუძლოს მას ლეგიტიმური რეაგირება. ითხოვს. Netgear-ის ვებსაიტი თავის სტატიაში „უსაფრთხოება: NAT-ის, სტატიკური კონტენტის ფილტრაციის, SPI და Firewalls-ის შედარება“ აღნიშნავს, რომ SPI ფეიერვალებს ასევე შეუძლიათ პაკეტების შემოწმება. ცნობილ ჰაკერულ ექსპლოიტებში გამოყენებული მახასიათებლებისთვის, როგორიცაა DoS შეტევები და IP გაყალბება, და ჩამოაგდეს ნებისმიერი პაკეტი, რომელსაც ის პოტენციურად აღიარებს მავნე.
ღრმა პაკეტის შემოწმება
ღრმა პაკეტის შემოწმება გთავაზობთ გაფართოებულ ფუნქციონირებას SPI-ზე და შეუძლია პაკეტის შემოწმება შინაარსი რეალურ დროში, საკმარისად ღრმად ჩაღრმავება, რომ აღადგინოთ ინფორმაცია, როგორიცაა სრული ტექსტი ელ. DPI-ით აღჭურვილ მარშრუტიზატორებს შეუძლიათ ფოკუსირება მოახდინონ ტრაფიკზე კონკრეტული საიტებიდან ან კონკრეტულ მიმართულებამდე და შეიძლება იყოს დაპროგრამებულია კონკრეტული მოქმედებების შესასრულებლად, როგორიცაა პაკეტების აღრიცხვა ან ჩამოგდება, როდესაც პაკეტები ხვდება წყაროს ან დანიშნულების კრიტერიუმები. DPI-ზე ჩართული მარშრუტიზატორები ასევე შეიძლება დაპროგრამდეს მონაცემთა ტრაფიკის გარკვეული ტიპების შესამოწმებლად, როგორიცაა VoIP ან ნაკადი მედია.