En SPI (statlig pakkeinspektion) firewall håndterer et TCP SYN -segment anderledes end en enklere pakkefiltrering af firewall. Her er processen:

1.. indledende synpakke: Når SPI Firewall modtager en TCP SYN -pakke, ser den ikke blot på portnumrene og IP -adresser til adgangskontrol. I stedet kontrollerer det, om pakken er legitim ved at undersøge dens overskriftsoplysninger.

2. Oprettelse af statstabel: Hvis SYN -pakken ser ud til at være gyldig (korrekt kontrolsum, ingen åbenlyse ondsindede egenskaber), opretter SPI Firewall en ny post i sin statstabel. Denne tabel sporer forbindelsens egenskaber:

* Kilde IP -adresse og port

* Destination IP -adresse og port

* Protokol (TCP)

* sekvensnummer

* tilstand (f.eks. Syn_sent, syn_received, etableret)

3. Tilladelse af pakken: Fordi firewallen nu er * opmærksom på dette forventede indgående forbindelsesforsøg, vil det sandsynligvis give SYN -pakken mulighed for at passere til destinationsværten. Firewall nu "forventer" i det væsentlige "de tilsvarende syn-ack- og ACK-pakker.

4. efterfølgende pakker: Yderligere pakker relateret til denne forbindelse (Syn-Ack, ACK, datapakker) vil kun være tilladt, hvis de matcher posten i statstabellen. Pakker, der ikke stemmer overens (f.eks. En SYN -pakke fra en anden kildeport, der er målrettet mod den samme destination), vil blive droppet som uventet eller potentielt ondsindet. Dette er den "statsfulde" del - Firewall opretholder konteksten om samtalen.

5. timeout og statsændringer: Statstabelindgangen forbliver aktiv i en bestemt periode. Hvis de forventede efterfølgende pakker (Syn-Ack, ACK) ikke modtages inden for en rimelig tidsramme, udtager indgangen og fjernes fra tabellen. Staten vil også ændre sig, når forbindelsen skrider frem (f.eks. Fra syn_received til etableret). Når forbindelsen er lukket (med finpakker), fjernes posten til sidst.

6. Sikkerhedsmæssige implikationer: Ved at inspicere forbindelsens tilstand hjælper en SPI -firewall med at forhindre mange TCP SYN -oversvømmelsesangreb. En simpel syn -oversvømmelse forsøger at overvælde en server ved at sende mange synpakker uden at sende de efterfølgende ACK'er. En SPI -firewall med sin statsbord registrerer og blokerer disse illegitime synpakker. Det blokerer også for andre angreb, der er afhængige af forfalskede adresser og uventede pakkesekvenser.

Kort sagt, en SPI -firewall ikke bare passivt filtrer pakker; Det overvåger aktivt tilstanden af ​​netværksforbindelser, hvilket kun tillader pakker, der er i overensstemmelse med forventede mønstre og forhindrer mange almindelige angreb.