Мережі за брандмауерам SPI особливо стійкі до злому.
Авторство зображення: Getty Images/Digital Vision/Getty Images
Брандмауер запобігає несанкціонованому доступу до мережі підприємства, використовуючи брандмауер SPI виходить за межі перевірки системою фільтрації без статусу лише заголовок пакета та порт призначення для аутентифікації, перевіряючи весь вміст пакета, перш ніж визначити, чи дозволити йому перейти до мережі. Цей більший рівень перевірки забезпечує набагато більш надійний захист та відповідну інформацію про мережевий трафік, ніж система фільтрації без стану.
Слабкі сторони перевірки пакетів без громадянства
У лютому 2002 року в статті Security Pro News автор Джей Фужер зазначає, що хоча фільтри IP без стану можуть ефективно маршрутизують трафік і не вимагають невеликого попиту на обчислювальні ресурси, вони представляють серйозну безпеку мережі недоліки. Фільтри без стану не забезпечують автентифікацію пакетів, не можуть бути запрограмовані на відкриття та закриття з’єднань у відповідь на певні події та пропонують легкі доступ до мережі для хакерів за допомогою IP-спуфінгу, при якому вхідні пакети мають фальсифіковану IP-адресу, яку брандмауер ідентифікує як надходить від надійного джерело.
Відео дня
Як брандмауер SPI регулює доступ до мережі
Брандмауер SPI записує ідентифікатори всіх пакетів, які передає його мережа, і коли вхідний пакет намагається отримати доступ до мережі, брандмауер може визначити, чи це відповідь на пакет, надісланий з його мережі, чи це непроханий. Брандмауер SPI може використовувати список контролю доступу, базу даних довірених об’єктів та їхні привілеї доступу до мережі. Брандмауер SPI може посилатися на ACL під час перевірки будь-якого пакета, щоб визначити, чи надходить він із надійного джерела, і якщо так, то куди його можна направити в мережі.
Реагування на підозрілий трафік
Брандмауер SPI можна запрограмувати на видалення будь-яких пакетів, надісланих із джерел, не зазначених у списку ACL, що допомагає запобігти атаці відмови в обслуговуванні. який зловмисник наповнює мережу вхідним трафіком, намагаючись заблокувати її ресурси і зробити її нездатною реагувати на законні запити. На веб-сайті Netgear у статті «Безпека: порівняння NAT, фільтрації статичного вмісту, SPI та брандмауерів» зазначено, що брандмауери SPI також можуть досліджувати пакети. для характеристик тих, що використовуються у відомих хакерських подвигах, таких як DoS-атаки та спуфінг IP, і скинути будь-який пакет, який він розпізнає як потенційно зловмисний.
Глибока перевірка пакетів
Глибока перевірка пакетів пропонує розширені функції порівняно з SPI і здатна досліджувати пакети вмісту в режимі реального часу, заглиблюючись досить глибоко, щоб відновити інформацію, таку як повний текст файлу електронна пошта. Маршрутизатори, оснащені DPI, можуть фокусуватися на трафікі з конкретних сайтів або до певних місць призначення, і можуть бути запрограмований на виконання певних дій, таких як реєстрація або видалення пакетів, коли пакети зустрічаються з джерелом або критерії призначення. Маршрутизатори з підтримкою DPI також можна запрограмувати для перевірки певних типів трафіку даних, наприклад VoIP або потокового медіа.
