Сети за межсетевыми экранами SPI особенно устойчивы к взлому.
Кредит изображения: Getty Images / Digital Vision / Getty Images
Брандмауэр предотвращает несанкционированный доступ к корпоративной сети, использование брандмауэра SPI выходит за рамки проверки системой фильтрации без сохранения состояния только одного заголовок пакета и порт назначения для аутентификации, проверка всего содержимого пакета, прежде чем определять, разрешить ли ему переход в сеть. Этот более высокий уровень контроля обеспечивает гораздо более надежную безопасность и соответствующую информацию о сетевом трафике, чем система фильтрации без отслеживания состояния.
Слабые стороны проверки пакетов без сохранения состояния
В статье для Security Pro News за февраль 2002 г. автор Джей Фужер отмечает, что, хотя фильтры IP без сохранения состояния могут эффективно маршрутизируют трафик и мало требуют вычислительных ресурсов, они представляют серьезную сетевую безопасность недостатки. Фильтры без сохранения состояния не обеспечивают аутентификацию пакетов, не могут быть запрограммированы на открытие и закрытие соединений в ответ на указанные события и предлагают простые сетевой доступ к хакерам с использованием IP-спуфинга, при котором входящие пакеты содержат фальсифицированный IP-адрес, который брандмауэр определяет как исходящий от доверенного источник.
Видео дня
Как межсетевой экран SPI регулирует доступ к сети
Межсетевой экран SPI записывает идентификаторы всех пакетов, которые передает его сеть, и когда входящий пакет пытается передать получить доступ к сети, брандмауэр может определить, является ли это ответом на пакет, отправленный из его сети, или незапрошенный. Межсетевой экран SPI может использовать список управления доступом, базу данных доверенных объектов и их права доступа к сети. Межсетевой экран SPI может ссылаться на ACL при тщательном изучении любого пакета, чтобы определить, пришел ли он из надежного источника, и если да, то куда он может быть направлен в сети.
Ответ на подозрительный трафик
Брандмауэр SPI может быть запрограммирован на отбрасывание любых пакетов, отправленных из источников, не указанных в ACL, что помогает предотвратить атаку типа «отказ в обслуживании» в который злоумышленник наводняет сеть входящим трафиком, пытаясь заблокировать ее ресурсы и сделать ее неспособной отвечать на законные Запросы. На веб-сайте Netgear в статье «Безопасность: сравнение NAT, фильтрации статического содержимого, SPI и межсетевых экранов» отмечается, что межсетевые экраны SPI также могут проверять пакеты. для характеристик тех, которые используются в известных хакерских атаках, таких как DoS-атаки и IP-спуфинг, и отбрасывать любой пакет, который он распознает как потенциально злонамеренный.
Глубокая проверка пакетов
Глубокая проверка пакетов предлагает расширенные функции по сравнению с SPI и способна проверять пакеты. содержимое в режиме реального времени, копаясь достаточно глубоко, чтобы восстановить такую информацию, как полный текст электронное письмо. Маршрутизаторы, оснащенные DPI, могут фокусироваться на трафике с определенных сайтов или в определенные места назначения и могут быть запрограммирован на выполнение определенных действий, таких как регистрация или отбрасывание пакетов, когда пакеты встречаются с источником или критерии назначения. Маршрутизаторы с поддержкой DPI также можно запрограммировать для проверки определенных типов трафика данных, например VoIP или потокового мультимедиа.
