Мреже иза СПИ заштитних зидова су посебно отпорне на хаковање.
Кредит за слику: Гетти Имагес/Дигитал Висион/Гетти Имагес
Заштитни зид спречава неовлашћени приступ мрежи предузећа, користећи СПИ заштитни зид превазилази испитивање система филтрирања без статуса само заглавље пакета и одредишни порт за аутентификацију, провера целокупног садржаја пакета пре него што се одлучи да ли да се дозволи пролазак у мреже. Овај већи ниво контроле пружа много робуснију сигурност и релевантне информације о мрежном саобраћају од система филтрирања без стања.
Слабости инспекције пакета без држављанства
У чланку из фебруара 2002. за Сецурити Про Невс, аутор Јаи Фоугере напомиње да док ИП филтери без држављанства могу ефикасно усмеравају саобраћај и постављају малу потражњу за рачунарским ресурсима, представљају озбиљну сигурност мреже недостацима. Филтери без стања не обезбеђују аутентификацију пакета, не могу се програмирати да отварају и затварају везе као одговор на одређене догађаје и нуде лаку мрежни приступ хакерима који користе ИП лажирање, у којем долазни пакети носе фалсификовану ИП адресу за коју заштитни зид идентификује да долази од поузданог извор.
Видео дана
Како СПИ заштитни зид регулише приступ мрежи
СПИ заштитни зид бележи идентификаторе свих пакета које његова мрежа преноси и када долазни пакет покуша да да добије приступ мрежи, заштитни зид може да утврди да ли је то одговор на пакет који је послат са његове мреже или је непожељан. СПИ заштитни зид може да користи листу контроле приступа, базу података поузданих ентитета и њихове привилегије приступа мрежи. СПИ заштитни зид може референцирати АЦЛ када прегледа било који пакет да би утврдио да ли је дошао из поузданог извора, и ако јесте, где се може рутирати унутар мреже.
Реаговање на сумњиви саобраћај
СПИ заштитни зид се може програмирати да испусти све пакете послате из извора који нису наведени у АЦЛ-у, помажући да се спречи напад ускраћивања услуге, у које нападач преплави мрежу долазним саобраћајем у покушају да заглави њене ресурсе и учини је неспособном да одговори на легитимне захтева. Нетгеар-ова веб локација у свом чланку „Безбедност: Поређење НАТ-а, филтрирања статичког садржаја, СПИ и заштитних зидова“ напомиње да СПИ заштитни зидови такође могу да испитују пакете за карактеристике оних који се користе у познатим хакерским експлоатацијама, као што су ДоС напади и лажирање ИП-а, и испусти сваки пакет који препозна као потенцијално злонамерно.
Дубока инспекција пакета
Дубока инспекција пакета нуди напредну функционалност у односу на СПИ и способна је за испитивање пакета садржај у реалном времену док се удубљује довољно дубоко да поврати информације као што је цео текст ан емаил. Рутери опремљени ДПИ-ом могу да се фокусирају на саобраћај са одређених локација или до одређених дестинација, и могу бити програмиран да изврши одређене радње, као што је евидентирање или испуштање пакета, када се пакети сретну са извором или критеријуми одредишта. Рутери који подржавају ДПИ такође се могу програмирати да испитују одређене врсте саобраћаја података, као што су ВоИП или стриминг медији.
