? En brannmur hindrer uautorisert tilgang til en bedrifts nettverk , ved hjelp av en SPI brannmur går utover en statsløs filtrering systemet undersøkelse av bare en pakke header og destinasjon port for godkjenning, kontroll av hele pakkens innhold før avgjøre om du vil tillate det passasje inn i nettverket. Dette større grad gransket gir mye mer robust sikkerhet og relevant informasjon om nettverkstrafikk enn en statsløs filtrering system . Svakheter ved Statsløse Packet Inspection
I en februar 2002 artikkel for Security Pro News , forfatter Jay Fougere bemerker at mens statsløse IP-filtre kan effektivt rute trafikk og sette liten etterspørsel på dataressurser , presenterer de alvorlige nettverkssikkerhet mangler. Statsløse filtre gir ikke pakke autentisering, ikke kan programmeres til å åpne og lukke forbindelser i respons til bestemte hendelser , og tilbyr enkel nettverkstilgang til hackere som bruker IP- spoofing , der innkommende pakker bærer en forfalsket IP -adresse som brannmuren identifiserer som kommer fra en pålitelig kilde.
Hvordan en SPI brannmur Regulerer Network Access
en SPI brannmur registrerer identifikatorer av alle pakkene sitt nettverk overfører og når en innkommende pakke forsøk å få nettverkstilgang , kan brannmuren avgjøre om det er en reaksjon på en pakke som sendes fra nettverket sitt eller om det er uønsket . En SPI brannmur kan ansette en Access Control List , en database over klarerte enhetene og deres nettverk tilgangsrettigheter . SPI brannmur kan referere til ACL når saumfarer noen pakke for å fastslå om det kommer fra en pålitelig kilde , og hvis så, hvor det kan føres innenfor nettverket.
Svare på Mistenkelig trafikk
SPI brannmur kan programmeres til å slippe noen pakker som sendes fra kilder som ikke er nevnt i ACL , bidrar til å hindre en denial -of - service angrep , hvor en angriper flom nettverket med innkommende trafikk i et forsøk på å knele sine ressurser og gjøre den i stand til å svare på legitime forespørsler. Netgear hjemmeside notater i sin " Security : Sammenligning av NAT , Statisk innhold Filtering , SPI , og brannmur " artikkel som SPI brannmur kan også undersøke pakker for egenskapene til de som brukes i kjente hacking bragder , for eksempel DoS-angrep og IP spoofing , og slippe alle pakke som den anerkjenner som potensielt skadelig .
Deep Packet Inspection
Deep Packet Inspection tilbyr avansert funksjonalitet over SPI og er i stand til å undersøke innholdet i pakkene i sanntid mens hulene dypt nok til å gjenopprette informasjon som hele teksten i en e-post . Rutere utstyrt med DPI kan fokusere på trafikk fra bestemte områder eller til bestemte destinasjoner , og kan programmeres til å utføre bestemte handlinger , for eksempel logger eller slippe pakker, når pakker møte en kilde eller destinasjon kriterier. DPI -aktiverte rutere kan også programmeres til å undersøke bestemte typer datatrafikk , for eksempel VoIP eller streaming media.