? En brandvägg förhindrar obehörig åtkomst till ett företags nätverk , med en SPI-brandvägg går utöver en statslös filtreringssystem granskning av bara ett paket sidhuvud och destination port för verifiering , kontroll av hela paketets innehåll innan man kan avgöra om du vill tillåta den passage in i nätverket. Denna högre nivå av kontroll ger betydligt mer robust säkerhet och relevant information om nätverkstrafiken än en statslös filtreringssystem . Svagheter statslösa Packet Inspection
en Februari 2002 Artikel för Security Pro News , författaren Jay Fougere konstaterar att medan statslösa IP-filter kan effektivt skicka trafik och satte liten efterfrågan på datorresurser , de utgör allvarliga nätverkssäkerhet brister. Statslösa filter inte ger packet autentisering , inte kan programmeras att öppna och stänga anslutningar som svar på angivna händelser , och erbjuder enkel nätverksåtkomst för hackare som använder IP- spoofing , där inkommande paket bär en förfalskad IP-adress som brandväggen identifierar som kommer från en betrodd källa . Addera Hur en SPI-brandvägg Reglerar Network Access
SPI brandvägg registrerar identifierare för alla paketen dess nätverk sänder och när ett inkommande paket försök att få tillträde till nätet , kan brandväggen avgöra om det är ett svar på ett paket som skickas från sitt nätverk eller om det är oönskad . Ett SPI brandvägg kan använda en lista för åtkomstkontroll , en databas över betrodda enheter och deras nätverk behörigheter . Den SPI-brandvägg kan referera till ACL vid granskning av varje paket för att avgöra om det kommer från en betrodd källa , och om så är fallet , där det kan dirigeras inom nätverket .
Svara på misstänkta trafik
SPI brandvägg kan programmeras för att släppa några paket som skickas från källor som inte nämns i ACL , hjälper till att förhindra en denial -of - service-attack , där en angripare översvämningar nätet med inkommande trafik i ett försök att köra fast sina resurser och att det blir omöjligt att svara på berättigade krav . Netgear s hemsida konstaterar i sin " Säkerhet : Jämföra NAT , Statiskt innehåll filtrering , SPI , och brandväggar " artikel som SPI brandväggar också kan undersöka paketen för egenskaper hos dem som används i kända hacking bedrifter , såsom DoS-attacker och IP- spoofing , och släppa alla paket som det redovisar som potentiellt skadliga .
Deep Packet Inspection
deep packet inspection erbjuder avancerad funktionalitet över SPI och är i stånd att undersöka paketinnehållets i realtid medan djupdykning tillräckligt djup för att återskapa information som den fullständiga texten till en e-postadress. Routrar utrustade med DPI kan fokusera på trafik från specifika webbplatser eller till specifika destinationer , och kan programmeras för att utföra vissa åtgärder , till exempel logga eller tappa paket , när paket möter en källa eller kriterier destination . DPI - aktiverade routrar kan också programmeras för att granska särskilda typer av datatrafik , såsom VoIP eller strömmande media .
