Nätverk bakom SPI-brandväggar är särskilt resistenta mot hackning.
Bildkredit: Getty Images/Digital Vision/Getty Images
En brandvägg förhindrar obehörig åtkomst till ett företags nätverk, att använda En SPI-brandvägg går längre än ett tillståndslöst filtreringssystems undersökning av bara en paketets rubrik och destinationsport för autentisering, kontrollerar hela paketets innehåll innan du bestämmer om det ska tillåtas passage in i nätverk. Denna högre nivå av granskning ger mycket mer robust säkerhet och relevant information om nätverkstrafik än ett tillståndslöst filtreringssystem.
Svagheter med Stateless Packet Inspection
I en artikel från februari 2002 för Security Pro News, konstaterar författaren Jay Fougere att även om statslösa IP-filter kan effektivt dirigerar trafik och ställer liten efterfrågan på datorresurser, ger de seriös nätverkssäkerhet brister. Tillståndslösa filter tillhandahåller inte paketautentisering, kan inte programmeras för att öppna och stänga anslutningar som svar på specificerade händelser och erbjuder enkel nätverksåtkomst till hackare som använder IP-spoofing, där inkommande paket har en förfalskad IP-adress som brandväggen identifierar som kommer från en betrodd källa.
Dagens video
Hur en SPI-brandvägg reglerar nätverksåtkomst
En SPI-brandvägg registrerar identifierarna för alla paket som dess nätverk sänder och när ett inkommande paket försöker får nätverksåtkomst kan brandväggen avgöra om det är ett svar på ett paket som skickats från dess nätverk eller om det är oombedd. En SPI-brandvägg kan använda en åtkomstkontrolllista, en databas med betrodda enheter och deras nätverksåtkomstprivilegier. SPI-brandväggen kan referera till ACL när den granskar ett paket för att avgöra om det kom från en pålitlig källa, och i så fall vart det kan dirigeras inom nätverket.
Svara på misstänkt trafik
SPI-brandväggen kan programmeras att släppa alla paket som skickas från källor som inte är listade i ACL, vilket hjälper till att förhindra en överbelastningsattack, i som en angripare översvämmer nätverket med inkommande trafik i ett försök att försämra sina resurser och göra det oförmöget att svara på legitima förfrågningar. Netgears webbplats noterar i artikeln "Security: Comparing NAT, Static Content Filtering, SPI, and Firewalls" att SPI-brandväggar också kan undersöka paket för egenskaper hos de som används i kända hackingoperationer, såsom DoS-attacker och IP-spoofing, och släpp alla paket som det känner igen som potentiellt illvillig.
Deep Packet Inspection
Djup paketinspektion erbjuder avancerad funktionalitet över SPI och kan undersöka paket innehållet i realtid samtidigt som du gräver tillräckligt djupt för att återställa information som den fullständiga texten i en e-post. Routrar utrustade med DPI kan fokusera på trafik från specifika platser eller till specifika destinationer, och kan vara programmerad att utföra specifika åtgärder, som att logga eller ta bort paket, när paket möter en källa eller destinationskriterier. DPI-aktiverade routrar kan också programmeras för att undersöka särskilda typer av datatrafik, såsom VoIP eller strömmande media.
