Sieci za firewallami SPI są szczególnie odporne na włamania.
Źródło obrazu: Getty Images/Digital Vision/Getty Images
Zapora zapobiega nieautoryzowanemu dostępowi do sieci przedsiębiorstwa, przy użyciu Zapora SPI wykracza poza badanie bezstanowego systemu filtrowania tylko nagłówek i port docelowy pakietu do uwierzytelniania, sprawdzanie zawartości całego pakietu przed określeniem, czy zezwolić na jego przejście do sieć. Ten wyższy poziom kontroli zapewnia znacznie bardziej niezawodne zabezpieczenia i istotne informacje o ruchu sieciowym niż bezstanowy system filtrowania.
Słabe strony kontroli pakietów bezstanowych
W artykule dla Security Pro News z lutego 2002 roku autor Jay Fougere zauważa, że chociaż bezstanowe filtry IP mogą: skutecznie kierują ruch i nie obciążają zasobów obliczeniowych, zapewniają poważne bezpieczeństwo sieci braki. Filtry bezstanowe nie zapewniają uwierzytelniania pakietów, nie mogą być zaprogramowane do otwierania i zamykania połączeń w odpowiedzi na określone zdarzenia i oferują łatwe dostęp sieciowy do hakerów za pomocą spoofingu IP, w którym pakiety przychodzące mają sfałszowany adres IP, który zapora identyfikuje jako pochodzące od zaufanego źródło.
Wideo dnia
Jak zapora sieciowa SPI reguluje dostęp do sieci
Zapora sieciowa SPI rejestruje identyfikatory wszystkich pakietów przesyłanych przez jej sieć oraz gdy przychodzący pakiet próbuje: uzyskać dostęp do sieci, zapora może określić, czy jest to odpowiedź na pakiet wysłany z jej sieci, czy też dobrowolny. Zapora sieciowa SPI może wykorzystywać listę kontroli dostępu, bazę danych zaufanych podmiotów i ich uprawnień dostępu do sieci. Zapora sieciowa SPI może odwoływać się do listy ACL podczas sprawdzania dowolnego pakietu w celu określenia, czy pochodzi on z zaufanego źródła, a jeśli tak, to gdzie może zostać przekierowany w sieci.
Odpowiadanie na podejrzany ruch
Zaporę sieciową SPI można zaprogramować tak, aby odrzucała wszelkie pakiety wysyłane ze źródeł niewymienionych na liście ACL, co pomaga zapobiegać atakom typu „odmowa usługi” w w którym atakujący zalewa sieć ruchem przychodzącym w celu zatrzymania jej zasobów i uniemożliwienia jej odpowiedzi na uzasadnione upraszanie. Witryna Netgear zauważa w artykule „Security: Comparing NAT, Static Content Filtering, SPI i Firewalls”, że zapory sieciowe SPI mogą również badać pakiety pod kątem cech wykorzystywanych w znanych exploitach hakerskich, takich jak ataki DoS i podszywanie się pod adresy IP, oraz odrzuca każdy pakiet, który rozpozna jako potencjalnie złośliwy.
Głęboka inspekcja pakietów
Głęboka inspekcja pakietów oferuje zaawansowaną funkcjonalność przez SPI i jest w stanie zbadać pakiet treści w czasie rzeczywistym, jednocześnie zagłębiając się wystarczająco głęboko, aby odzyskać informacje, takie jak pełny tekst e-mail. Routery wyposażone w DPI mogą koncentrować się na ruchu z określonych witryn lub do określonych miejsc docelowych i mogą być zaprogramowany do wykonywania określonych czynności, takich jak rejestrowanie lub upuszczanie pakietów, gdy pakiety spotykają się ze źródłem lub kryteria przeznaczenia. Routery z obsługą DPI można również zaprogramować do badania określonych rodzajów ruchu danych, takich jak VoIP lub media strumieniowe.
