Eine SPI -Firewall (Stateful Packet Inspection) behandelt ein TCP -SYN -Segment unterschiedlich als eine einfachere Paketfilterfeuerwall. Hier ist der Prozess:
1. Anfangs -Syn -Paket: Wenn die SPI -Firewall ein TCP -SYN -Paket erhält, wird nicht einfach die Portnummern und IP -Adressen für die Zugriffskontrolle betrachtet. Stattdessen überprüft es, ob das Paket durch Untersuchung seiner Header -Informationen legitim ist.
2. Erstellung von State Table Entry: Wenn das SYN -Paket gültig erscheint (korrekte Prüfsumme, keine offensichtlichen böswilligen Eigenschaften), erstellt die SPI -Firewall einen neuen Eintrag in der Staatstabelle. Diese Tabelle verfolgt die Eigenschaften der Verbindung:
* Quell -IP -Adresse und Port
* Ziel -IP -Adresse und Port
* Protokoll (TCP)
* Sequenznummer
* Zustand (z. B. Syn_Sent, Syn_Reced, etabliert)
3. das Paket zulassen: Da sich die Firewall jetzt über diesen erwarteten Eingangsverbindungsversuch informiert, kann das Syn -Paket wahrscheinlich an den Zielhost übergeben. Die Firewall "erwartet" jetzt die entsprechenden Syn-Ack- und ACK-Pakete.
4. nachfolgende Pakete: Weitere Pakete im Zusammenhang mit dieser Verbindung (Syn-ACK, ACK, Datenpakete) sind nur dann zulässig, wenn sie mit dem State Table-Eintrag übereinstimmen. Pakete, die nicht übereinstimmen (z. B. ein SYN -Paket aus einem anderen Quellanschluss, das auf dasselbe Ziel abzielt), werden als unerwartet oder potenziell bösartig fallen. Dies ist der "staatliche" Teil - die Firewall behält den Kontext über das Gespräch auf.
5. Zeitüberschreitungs- und Zustandsänderungen: Der State Table -Eintrag bleibt für einen bestimmten Zeitraum aktiv. Wenn die erwarteten nachfolgenden Pakete (Syn-ACK, ACK) nicht innerhalb eines angemessenen Zeitrahmens empfangen werden, wird die Eintrittszeiten aus der Tabelle entfernt. Der Zustand wird sich auch im Verlauf der Verbindung ändern (z. B. von Syn_Received zu etabliert). Sobald die Verbindung geschlossen ist (mit Flossenpaketen), wird der Eintrag schließlich entfernt.
6. Sicherheitsauswirkungen: Durch die Überprüfung des Zustands der Verbindung hilft eine SPI -Firewall, viele TCP -Syn -Flutangriffe zu verhindern. Eine einfache Syn -Flut versucht, einen Server zu überwältigen, indem viele Syn -Pakete gesendet werden, ohne die nachfolgenden ACKs zu senden. Eine SPI -Firewall mit ihrem Staatstabelle erfasst und blockiert diese illegitimen Synteile. Es blockiert auch andere Angriffe, die auf gefälschten Adressen und unerwarteten Paketsequenzen beruhen.
Kurz gesagt, eine SPI -Firewall filtert nicht nur passiv Pakete; Es überwacht aktiv den Zustand der Netzwerkverbindungen, so dass nur Pakete, die den erwarteten Mustern entsprechen, und viele häufige Angriffe verhindert.