? Om du har gått till de längder köpa en brandvägg för att skydda ditt nätverk , använda Stateful teknik Packet Inspection är ett logiskt beslut . SPI erbjuder mer omfattande Packet Inspection än vanlig paketfiltrering , vilket ger dig ett extra lager av säkerhet som kan förhindra nätverk driftstopp eller dataförlust . En SPI - brandväggen är aktiverad kan också skydda dig från potentiella nedströms skadeståndskrav , där en angripare kapar ditt nätverk för att attackera en tredje part , eventuellt resulterar i ett påstående om vårdslöshet mot dig för felaktigt säkra ditt nätverk . SPI Vs. Packet Filtering
Paketfiltrering program väljer individuella paket från en dataström för undersökning , sedan avgöra om paketet kommer att tillåtas passera genom brandväggen . Packet undersökning ofta enbart består av kontroll huvudet källa och destination information och ansökan kommer också att övervaka sin sändning och mottagning hamnar , tillsammans med protokollet sysselsätter . SPI använder en statlig tabell för att avgöra om en överföring förväntas eller oönskad , släppa okända paket enligt nätverksadministratörens filtrering regler , och dess tillstånd tabellen vet när en sida har upphört en anslutning , markerar ytterligare paket som kan komma in i anslutningen som misstänkt . SPI kan också omintetgöra spoofing Internet Protocol , där en hacker gör ett paket ut som om det kommer från en betrodd källa , genom sin förmåga att granska paketets hela innehåll . Addera SPI och tillträdesbegränsningarna
Nätverksadministratörer använder en SPI - brandväggen är aktiverad kan artikulera adress restriktioner i adresslistor kontroll , vilket genomdriva regler om vilka externa webbplatser kan fritt komma åt nätverket och som är blockerade . Nätverksadministratören kommer reservera ett visst antal portar för att lämna öppet för att ta emot oönskade paket från adresser på ACL . I samverkan med staten tabellen , kan brandväggen avgöra om ett inkommande paket är ett svar på en begäran inom nätverket och om inte , om det är från en godkänd adress .
Åtkomstregel flexibilitet
nätverksadministratör måste utforma filtreringsreglerna för brandväggar som använder antingen paketfiltrering ensam eller har SPI kapacitet . En brandvägg med paketfiltrering enbart tillåter inte ändringar av reglerna när nätverket fungerar . Ett nätverk med en SPI - brandväggen är aktiverad kan använda dynamiska statliga filtrering , vilket gör att nätverksadministratörer att föreskriva undantag åtkomsträttigheter när givna villkor är uppfyllda , ge dem mer flexibilitet för routing trafiken in och ut från nätverket .
SPI och Denial -of -Service
en brandvägg med SPI platser intensiva krav på nätets resurser som det kontrollerar en ständig ström av paket mot sin ACL och statliga bord . Denna resurs efterfrågan kan göra nätverket sårbart för en denial -of - service-attack , där en hacker översvämningar nätverket med paketen i ett försök att köra fast resurser och krascha systemet . Eftersom brandväggen försöker behandla varje paket skickas under DoS attack , kan det inte bearbeta legitim nätverkstrafik och blockerar behöriga användare från sina resurser .
