Siete za firewallmi SPI sú obzvlášť odolné voči hackerom.
Kredit za obrázok: Getty Images/Digital Vision/Getty Images
Firewall bráni neoprávnenému prístupu do podnikovej siete pomocou firewallu SPI ide nad rámec skúmania bezstavového filtrovacieho systému. hlavička paketu a cieľový port na overenie, pričom sa skontroluje obsah celého paketu pred rozhodnutím, či mu povoliť prechod do siete. Táto vyššia úroveň kontroly poskytuje oveľa robustnejšiu bezpečnosť a relevantné informácie o sieťovej prevádzke ako bezstavový systém filtrovania.
Slabé stránky kontroly paketov bez štátnej príslušnosti
V článku pre Security Pro News z februára 2002 autor Jay Fougere poznamenáva, že zatiaľ čo filtre IP bez štátnej príslušnosti môžu efektívne smerujú prevádzku a kladú malé nároky na výpočtové zdroje, predstavujú serióznu sieťovú bezpečnosť nedostatky. Bezstavové filtre neposkytujú autentifikáciu paketov, nemožno ich naprogramovať na otváranie a zatváranie spojení v reakcii na špecifikované udalosti a ponúkajú jednoduché sieťový prístup k hackerom pomocou spoofingu IP, pri ktorom prichádzajúce pakety nesú sfalšovanú IP adresu, ktorú firewall identifikuje ako prichádzajúcu od dôveryhodného zdroj.
Video dňa
Ako SPI Firewall reguluje sieťový prístup
Firewall SPI zaznamenáva identifikátory všetkých paketov, ktoré jeho sieť prenáša a keď sa prichádzajúci paket pokúša získať prístup k sieti, môže brána firewall určiť, či ide o odpoveď na paket odoslaný z jej siete alebo či áno nevyžiadané. Firewall SPI môže využívať zoznam riadenia prístupu, databázu dôveryhodných entít a ich privilégiá na prístup k sieti. Firewall SPI môže odkazovať na ACL pri kontrole akéhokoľvek paketu, aby zistil, či pochádza z dôveryhodného zdroja, a ak áno, kam môže byť smerovaný v rámci siete.
Reakcia na podozrivú premávku
Firewall SPI môže byť naprogramovaný tak, aby zahodil všetky pakety odoslané zo zdrojov, ktoré nie sú uvedené v zozname ACL, čo pomáha predchádzať útoku odmietnutia služby, útočník zaplaví sieť prichádzajúcou prevádzkou v snahe utlmiť jej zdroje a znemožňovať jej reagovať na legitímne žiadosti. Web Netgear vo svojom článku „Bezpečnosť: Porovnanie NAT, filtrovanie statického obsahu, SPI a brány firewall“ uvádza, že brány firewall SPI môžu tiež skúmať pakety. pre charakteristiky tých, ktoré sa používajú pri známych hackerských exploitoch, ako sú DoS útoky a IP spoofing, a zahodiť akýkoľvek paket, ktorý rozpozná ako potenciálne zlomyseľný.
Hlboká kontrola paketov
Hlboká kontrola paketov ponúka pokročilé funkcie cez SPI a je schopná skúmať pakety obsah v reálnom čase, pričom sa ponoríte dostatočne hlboko na to, aby ste obnovili informácie, ako napríklad úplný text dokumentu email. Smerovače vybavené DPI sa môžu zamerať na prevádzku z konkrétnych lokalít alebo do konkrétnych cieľov a môžu byť naprogramované na vykonávanie špecifických akcií, ako je protokolovanie alebo zahadzovanie paketov, keď sa pakety stretnú so zdrojom resp cieľové kritériá. Smerovače s podporou DPI môžu byť tiež naprogramované tak, aby skúmali konkrétne typy dátovej prevádzky, ako je VoIP alebo streamovanie médií.
