? En firewall forhindrer uautoriseret adgang til en virksomheds netværk , ved hjælp af en SPI firewall går ud over en statsløs filtreringssystem undersøgelse af blot en pakke header og destination port til godkendelse , kontrol af hele pakkens indhold, før at afgøre, om at tillade den passage ind i netværket . Denne større grad af kontrol giver langt mere robust sikkerhed og relevante oplysninger om netværkstrafik end et statsløst filtrering system. Svagheder statsløse Packet Inspection
I en februar 2002 artikel for Security Pro News , forfatter Jay Fougere bemærker, at mens statsløse IP filtre effektivt kan dirigere trafikken og sætte lidt efterspørgsel på IT-ressourcer , de præsenterer alvorlige netværkssikkerhed mangler . Statsløse filtre giver ikke packet godkendelse, kan ikke programmeres til at åbne og lukke forbindelser som reaktion på bestemte begivenheder , og tilbyder nem adgang til nettet hackere bruger IP spoofing , hvor indkommende pakker bærer en forfalsket IP-adresse, firewall identificerer som kommer fra en pålidelig kilde.
Hvordan en SPI firewall Regulerer Network Access
SPI firewall registrerer identifikatorer for alle de pakker sit netværk sender og når en indkommende pakke forsøg at få adgang til nettet , kan en firewall afgøre, om det er en reaktion på en pakke sendt fra sit netværk eller hvis det er uopfordret . En SPI firewall kan ansætte en adgangskontrollisten, en database af betroede enheder og deres netadgang privilegier. SPI firewall kan henvise til ACL ved undersoegelsen af enhver pakke til at afgøre, om det kom fra en pålidelig kilde, og hvis ja, hvor det kan blive dirigeret inden for netværket.
Reaktion på mistænkelig trafik
SPI firewall kan programmeres til at tabe nogle pakker, der sendes fra kilder der ikke er opført inden for ACL , for at forhindre et Denial -of- service-angreb , hvor en hacker oversvømmelser netværket med indgående trafik på en indsats for at mose ned sine ressourcer og gøre det i stand til at reagere på legitime anmodninger. Netgear hjemmeside bemærker i sin "Sikkerhed : Sammenligning NAT , Static indholdsfiltrering, SPI og Firewalls " artikel, at SPI firewalls kan også undersøge pakker til karakteristika for dem, der anvendes i kendte hacking exploits , såsom DoS-angreb og IP spoofing , og slippe pakke , at det anerkender som potentielt skadelige.
Deep Packet Inspection
Deep packet inspection tilbyder avanceret funktionalitet over SPI og er i stand undersøge pakkeindholdets i real- tid, mens dykke dybt nok til at gendanne oplysninger , såsom den fulde ordlyd af en e-mail . Routere er udstyret med DPI kan fokusere på trafik fra bestemte websteder eller bestemte destinationer , og kan programmeres til at udføre bestemte handlinger, såsom at logge eller droppe pakker , når pakker møder en kilde eller destination kriterier. DPI -aktiverede routere kan også programmeres til at undersøge bestemte typer datatrafik , såsom VoIP eller streaming media .