Kas ir SPI ugunsmūris?

Ugunsmūris novērš nesankcionētu piekļuvi uzņēmuma tīklam, izmantojot SPI ugunsmūri, kas pārsniedz bezvalsts filtrēšanas sistēmas pārbaudi tikai paketes galveni un galamērķa portu autentifikācijai, pārbaudot visas paketes saturu, pirms tiek noteikts, vai atļaut to pāriet uz tīkls. Šis lielākais kontroles līmenis nodrošina daudz spēcīgāku drošību un atbilstošāku informāciju par tīkla trafiku nekā bezvalsts filtrēšanas sistēma.

2002. gada februāra rakstā Security Pro News autors Džejs Fougere atzīmē, ka, lai gan bezvalstnieku IP filtri var efektīvi maršrutē trafiku un rada nelielu pieprasījumu pēc skaitļošanas resursiem, tie nodrošina nopietnu tīkla drošību nepilnības. Bezvalsts filtri nenodrošina pakešu autentifikāciju, tos nevar ieprogrammēt, lai atvērtu un aizvērtu savienojumus, reaģējot uz noteiktiem notikumiem, un tie piedāvā vienkāršu tīkla piekļuve hakeriem, izmantojot IP viltošanu, kurā ienākošajām paketēm ir viltota IP adrese, kuru ugunsmūris identificē kā sūtītu no uzticamas avots.

SPI ugunsmūris reģistrē visu tīkla pārsūtīto pakešu identifikatorus un to, kad ienākošā pakete mēģina lai iegūtu piekļuvi tīklam, ugunsmūris var noteikt, vai tā ir atbilde uz paketi, kas nosūtīta no tā tīkla, vai arī tā ir nelūgti. SPI ugunsmūris var izmantot piekļuves kontroles sarakstu, uzticamu entītiju datubāzi un to tīkla piekļuves privilēģijas. SPI ugunsmūris var atsaukties uz ACL, pārbaudot jebkuru paketi, lai noteiktu, vai tā nāk no uzticama avota, un, ja jā, kur to var maršrutēt tīklā.

SPI ugunsmūri var ieprogrammēt, lai nomestu visas paketes, kas nosūtītas no avotiem, kas nav uzskaitīti ACL, tādējādi palīdzot novērst pakalpojuma atteikuma uzbrukumus. kuru uzbrucējs pārpludina tīklu ar ienākošo trafiku, cenšoties aizsprostot tā resursus un padarīt to nespējīgu reaģēt uz likumīgu. pieprasījumus. Netgear vietnes rakstā "Drošība: NAT, statiskā satura filtrēšanas, SPI un ugunsmūru salīdzināšana" ir norādīts, ka SPI ugunsmūri var pārbaudīt arī paketes. lai uzzinātu par to īpašībām, kuras tiek izmantotas zināmos uzlaušanas darbos, piemēram, DoS uzbrukumos un IP viltošanā, un nometiet visas paketes, kuras tā atpazīst kā potenciālu ļaunprātīgs.

Dziļā pakešu pārbaude piedāvā uzlabotas funkcionalitātes salīdzinājumā ar SPI un spēj pārbaudīt paketi saturu reāllaikā, vienlaikus iedziļinoties pietiekami dziļi, lai atgūtu informāciju, piemēram, pilnu e-pasts. Maršrutētāji, kas aprīkoti ar DPI, var koncentrēties uz trafiku no noteiktām vietnēm vai uz noteiktiem galamērķiem, un tas var būt ieprogrammēts, lai veiktu noteiktas darbības, piemēram, reģistrēšanu vai pakešu nomešanu, kad paketes saskaras ar avotu vai galamērķa kritēriji. Ar DPI iespējotus maršrutētājus var arī ieprogrammēt, lai pārbaudītu noteiktus datu trafika veidus, piemēram, VoIP vai straumēšanas multividi.