? Falls Sie zu den Längen der Kauf einer Firewall zum Schutz Ihres Netzwerks gegangen und beschäftigt Stateful Packet Inspection-Technologie ist eine logische Entscheidung. SPI bietet umfassende Packet Inspection als Standard- Paketfilter , so dass Sie eine zusätzliche Ebene der Sicherheit, Netzwerk-Ausfallzeiten oder Datenverlust zu verhindern. Eine SPI -fähige Firewall kann auch Schutz vor möglichen Haftungsansprüchen stromabwärts , bei denen ein Angreifer entführt Ihrem Netzwerk , einen Dritten anzugreifen , was möglicherweise zu einem Anspruch von Fahrlässigkeit gegen Sie falsch Sicherung Ihres Netzwerkes . SPI Vs. Packet Filtering
Paketfilterung Anwendungen einzelne Pakete aus einem Datenstrom zur Untersuchung, dann bestimmen, ob das Paket erlaubt sein wird, die Firewall passieren werden. Packet Prüfung besteht oft nur der Überprüfung der Header- Quell-und Ziel-Information und die Anwendung wird auch überwachen ihre Sende-und Empfangs -Ports , zusammen mit dem Protokoll beschäftigt . SPI wird ein Zustand Tabelle, um festzustellen , ob eine Übertragung erwartet wird oder unaufgeforderte , Fallenlassen unbekannt Pakete gemäß den Netzwerkadministrator Filterregeln , und sein Zustand Tisch weiß, wann eine Seite hat eine Verbindung beendet , Kennzeichnung , zusätzliche Pakete , die die Verbindung als verdächtig geben kann . SPI kann auch vereiteln Internet Protocol -Spoofing , bei dem ein Hacker macht ein Paket erscheinen, als ob sie aus einer vertrauenswürdigen Quelle stammt , durch seine Fähigkeit zur Prüfung des Pakets komplette Inhalt .
SPI und Zugriffsbeschränkungen
Netzwerkadministratoren mit einem SPI -fähigen Firewall -Adresse Einschränkungen Adresse Control Lists artikulieren , die Durchsetzung von Regeln , auf denen externer Webseiten frei auf das Netzwerk zugreifen können und die blockiert sind. Der Netzwerk-Administrator wird behalten eine bestimmte Anzahl von Ports offen zu lassen , um unerwünschte Pakete von Adressen auf dem ACL akzeptieren . Acting in Verbindung mit dem Staat Tisch, kann die Firewall entscheiden, ob ein eingehendes Paket ist eine Antwort auf eine Anfrage im Netz und wenn nicht, wenn es von einer anerkannten Adresse ist .
Access Rule Flexibilität
Der Netzwerkadministrator muss konzipieren die Filterregeln für Firewalls , die entweder Paketfilter alleine beschäftigen oder SPI -Funktionen. Eine Firewall mit Paketfilterung allein nicht für Änderungen an den Regeln zu ermöglichen, während das Netzwerk in Betrieb ist. Ein Netzwerk mit einer SPI -fähige Firewall einsetzen können, dynamischen Zustand Filterung , die Netzwerk-Administratoren , Ausnahmen von den Berechtigungen, wenn gegebenen Bedingungen erfüllt sind Zugriff zu ermöglichen, indem sie ihnen mehr Flexibilität bei der Routing-Verkehr in und aus dem Netz .
< Br >
SPI und Denial -of-Service
eine Firewall mit SPI Orte intensive Anforderungen an die Ressourcen des Netzwerks , da es einen konstanten Strom von Paketen gegen seine ACL und Staat Tabelle überprüft . Diese Ressource Nachfrage kann das Netzwerk anfällig für einen Denial-of- Service-Angriff , bei dem ein Hacker flutet das Netzwerk mit Paketen in einem Versuch zu versinken Ressourcen und zum Absturz des Systems . Da die Firewall versucht, jedes Paket während des DoS-Angriff geschickt zu verarbeiten , kann es nicht verarbeiten legitimen Netzwerkverkehr und blockiert autorisierte Benutzer von seiner Ressourcen.
