Tinklai už SPI ugniasienės yra ypač atsparūs įsilaužimui.
Vaizdo kreditas: Getty Images/Digital Vision/Getty Images
Užkarda apsaugo nuo neteisėtos prieigos prie įmonės tinklo, nes naudojant SPI užkardą, be būsenos filtravimo sistema tikrina tik paketo antraštė ir paskirties prievadas autentifikavimui, viso paketo turinio patikrinimas prieš nustatant, ar leisti jam patekti į tinklą. Šis didesnis tikrinimo lygis suteikia daug patikimesnį saugumą ir tinkamesnę informaciją apie tinklo srautą nei filtravimo sistema be būsenos.
Paketų be pilietybės tikrinimo trūkumai
2002 m. vasario mėn. straipsnyje „Security Pro News“ autorius Jay Fougere pažymi, kad nors IP filtrai be būsenos gali efektyviai nukreipia srautą ir nereikalauja daug kompiuterinių išteklių, jie užtikrina rimtą tinklo saugumą trūkumus. Filtrai be būsenos neteikia paketų autentifikavimo, negali būti užprogramuoti atidaryti ir uždaryti ryšius reaguojant į nurodytus įvykius ir siūlo lengvą tinklo prieiga prie įsilaužėlių naudojant IP klastojimą, kai įeinantys paketai turi suklastotą IP adresą, kurį užkarda nustato kaip gautą iš patikimo šaltinis.
Dienos vaizdo įrašas
Kaip SPI ugniasienė reguliuoja prieigą prie tinklo
SPI ugniasienė įrašo visų paketų, kuriuos jos tinklas perduoda, identifikatorius ir kai gaunamas paketas bando gauti prieigą prie tinklo, ugniasienė gali nustatyti, ar tai atsakymas į paketą, išsiųstą iš jos tinklo, ar neprašytas. SPI ugniasienė gali naudoti prieigos kontrolės sąrašą, patikimų objektų duomenų bazę ir jų prieigos prie tinklo privilegijas. SPI užkarda gali nurodyti ACL, kai tikrina bet kurį paketą, kad nustatytų, ar jis buvo iš patikimo šaltinio, ir jei taip, kur jį galima nukreipti tinkle.
Reagavimas į įtartiną eismą
SPI užkardą galima užprogramuoti taip, kad ji atmestų visus paketus, siunčiamus iš šaltinių, kurie nėra išvardyti ACL, taip padedant išvengti paslaugų atsisakymo atakų. kurį užpuolikas užtvindo tinklą įeinančiu srautu, stengdamasis užblokuoti jo išteklius ir padaryti jį nebegalintį atsakyti į teisėtą prašymus. „Netgear“ svetainės straipsnyje „Sauga: NAT, statinio turinio filtravimo, SPI ir ugniasienės palyginimas“ pažymima, kad SPI užkardos taip pat gali ištirti paketus. ypatybes tų, kurie naudojami žinomuose įsilaužimo išnaudojimuose, pvz., DoS atakose ir IP klastojimuose, ir atmeskite bet kokį paketą, kurį jis atpažįsta kaip galimą. piktybinis.
Gilus paketų patikrinimas
Gilus paketų tikrinimas siūlo pažangias funkcijas per SPI ir gali ištirti paketus turinį realiuoju laiku, gilindamiesi pakankamai giliai, kad būtų galima atkurti informaciją, pvz., visą tekstą paštu. Maršrutizatoriai su DPI gali sutelkti dėmesį į srautą iš konkrečių svetainių arba į konkrečias paskirties vietas ir gali būti suprogramuotas atlikti konkrečius veiksmus, tokius kaip paketų registravimas arba išmetimas, kai paketai susitinka su šaltiniu arba paskirties kriterijai. DPI palaikantys maršruto parinktuvai taip pat gali būti užprogramuoti tirti tam tikrų tipų duomenų srautą, pvz., VoIP arba srautinę mediją.
