? Hvis du har gått til lengder å kjøpe en brannmur for å beskytte nettverket , sysselsetter Stateful Packet Inspection teknologi er en logisk beslutning . SPI gir mer omfattende Packet Inspection enn standard pakke filtrering , og gir deg et ekstra lag med sikkerhet som kan hindre nettverk nedetid eller tap av data. En SPI -aktivert brannmur kan også beskytte deg mot potensielle nedstrøms erstatningskrav , hvor en angriper kaprer nettverket ditt for å angripe en tredje part , hvilket kan resultere i et krav om uaktsomhet mot deg for feil sikre nettverket ditt . SPI Vs . Packet Filtering
Pakkefiltrering applikasjoner velge individuelle pakker fra en datastrøm for undersøkelse , og deretter avgjøre hvorvidt pakken vil få lov til å passere gjennom brannmuren . Packet undersøkelse ofte kun består av å sjekke overskriften sin kilde og destinasjon informasjon og programmet vil også overvåke sin overføring og mottak av havner , sammen med protokollen den sysselsetter . SPI bruker en tilstand tabell for å avgjøre om en overføring er forventet eller uønsket , slippe ukjente pakker i henhold til nettverket administratorens filtrering regler , og dens staten tabellen vet når den ene siden har avsluttet en tilkobling , merking noen ekstra pakker som kan komme inn forbindelsen som mistenkte . SPI kan også hindre Internet Protocol spoofing , der en hacker gjør en pakke ut som om det kommer fra en pålitelig kilde , gjennom sin evne til å undersøke pakkens hele innholdet .
SPI og Adgangsbegrensninger
med
Nettverksansvarlige ved hjelp av en SPI -aktivert brannmur kan artikulere adressebegrensninger i adressekontroll lister , som håndheve regler om hvilke eksterne nettsider fritt kan få tilgang til nettverket, og som er blokkert . Nettverksadministratoren vil reservere et visst antall porter for å forlate åpne for å akseptere uønsket pakker fra adresser på ACL . Fungerende sammen med staten tabellen , kan brannmuren avgjøre om en innkommende pakke er et svar på en forespørsel i nettverket , og hvis ikke , om det er fra en godkjent adresse .
Tilgang Rule fleksibilitet
nettverksadministrator må tenke ut de filtrering regler for brannmurer som benytter enten pakke filtrering alene eller har SPI evner. En brannmur med pakke filtrering alene tillater ikke endringer i reglene mens nettverket er i drift. Et nettverk som bruker en SPI -aktivert brannmur kan være dynamiske statlige filtrering , som lar nettverksadministratorer å sørge for unntak for tilgang tillatelser når gitte betingelser er oppfylt , noe som gir dem mer fleksibilitet i ruting trafikken inn og ut fra nettverket .
SPI og Denial -of -Service-
en brannmur ved hjelp av SPI steder intensive krav til nettverkets ressurser som det sjekker en konstant strøm av pakker mot sin ACL og staten tabellen . Denne ressursen etterspørsel kan gjøre nettverket utsatt for et denial -of - service angrep , der en hacker flom nettverket med pakker i et forsøk på å knele ressurser og krasje systemet . Som brannmuren forsøker å behandle hver pakke som sendes under DoS angrep, kan det ikke behandle legitim nettverkstrafikk og blokker autoriserte brukere fra sine ressurser .