Что такое межсетевой экран SPI?

Брандмауэр предотвращает несанкционированный доступ к корпоративной сети с помощью брандмауэра SPI. Брандмауэр SPI выходит за рамки проверки системы фильтрации без сохранения состояния только заголовка пакета и порта назначения для аутентификации, проверяя все содержимое пакета, прежде чем решить, разрешить ли ему прохождение в сеть. Этот более высокий уровень проверки обеспечивает гораздо более надежную защиту и соответствующую информацию о сетевом трафике, чем система фильтрации без сохранения состояния.
Слабые стороны проверки пакетов без сохранения состояния
В статье для Security Pro News за февраль 2002 г. автор Джей Фужер отмечает, что, хотя IP-фильтры без сохранения состояния могут эффективно маршрутизировать трафик и практически не требуют вычислительных ресурсов, они представляют собой серьезные недостатки в сетевой безопасности. Фильтры без сохранения состояния не обеспечивают аутентификацию пакетов, не могут быть запрограммированы на открытие и закрытие соединений в ответ на определенные события и предлагают легкий доступ к сети для хакеров, использующих спуфинг IP, в которых входящие пакеты имеют фальсифицированный IP-адрес, который брандмауэр идентифицирует как из надежного источника.
Как брандмауэр SPI регулирует доступ к сети
Брандмауэр SPI записывает идентификаторы всех пакетов, которые передает его сеть, и когда входящий пакет пытается получить доступ к сети, брандмауэр может определить, является ли он ответом на пакет, отправленный из его сети, или является ли он незапрошенным. Брандмауэр SPI может использовать список контроля доступа, базу данных доверенных объектов и их привилегий доступа к сети. Брандмауэр SPI может ссылаться на ACL при проверке любого пакета, чтобы определить, поступил ли он из надежного источника, и если да, то куда его можно направить в сети.
Реагирование на подозрительный трафик
Брандмауэр SPI можно запрограммировать на отбрасывание любых пакетов, отправленных из источников, не перечисленных в ACL, помогая предотвратить атаку типа «отказ в обслуживании», при которой злоумышленник наводняет сеть входящим трафиком, пытаясь перегрузить ее ресурсы и вывести он не может отвечать на законные запросы. На веб-сайте Netgear в статье «Безопасность:сравнение NAT, фильтрации статического содержимого, SPI и брандмауэров» отмечается, что брандмауэры SPI также могут проверять пакеты на предмет характеристик, используемых в известных хакерских атаках, таких как DoS-атаки и спуфинг IP, и отбрасывать любые пакеты. которые он распознает как потенциально вредоносные.
Глубокая проверка пакетов
Глубокая проверка пакетов предлагает расширенные функциональные возможности по сравнению с SPI и способна проверять содержимое пакетов в режиме реального времени, в то же время копаясь достаточно глубоко, чтобы восстановить информацию, такую как полный текст электронной почты. Маршрутизаторы, оснащенные DPI, могут фокусироваться на трафике с определенных сайтов или в определенные пункты назначения и могут быть запрограммированы на выполнение определенных действий, таких как регистрация или отбрасывание пакетов, когда пакеты соответствуют критериям источника или пункта назначения. Маршрутизаторы с поддержкой DPI также можно запрограммировать для проверки определенных типов трафика данных, таких как VoIP или потоковое мультимедиа.