Trenger du Stateful Packet Inspection Hvis du bruker en brannmur?

Trenger du Stateful Packet Inspection Hvis du bruker en brannmur?


Hvis du har gått til lengder for å kjøpe en brannmur for å beskytte nettverket, syssels Stateful Packet Inspection teknologi er en logisk beslutning. SPI gir mer omfattende pakkeinspeksjon enn standard pakkefiltrering, og gir deg et ekstra lag med sikkerhet som kan hindre nettverk nedetid eller tap av data. En SPI-brannmur kan også beskytte deg mot potensielle nedstrøms ansvar krav, hvor en angriper kaprer nettverket ditt til å angripe en tredjepart, som kan føre til et krav om uaktsomhet mot deg for feilaktig å sikre nettverket ditt.

SPI Vs. Packet Filte

Packet filtrering applikasjoner velge individuelle pakker fra en datastrøm for undersøkelse, og deretter bestemme hvorvidt pakken vil få lov til å passere gjennom brannmuren. Packet eksamen består ofte kun av å sjekke header kilde og destinasjonsinformasjon og programmet vil også overvåke overføring og mottak av porter, sammen med protokollen syssels. SPI bruker en tilstand tabellen for å avgjøre om en overføring er forventet eller uønsket, slippe ukjente pakker i henhold til nettverks administratorens filtreringsregler, og tilstanden bordet vet når den ene siden har avsluttet en tilkobling, merking noen ekstra pakker som kan komme inn forbindelsen som mistenkte . SPI kan også hindre Internet Protocol spoofing, der en hacker gjør en pakke ser ut som om det kommer fra en pålitelig kilde, gjennom sin evne til å undersøke pakkens hele innholdet.

SPI og tilgangsbegrensninger

Nettverksadministratorer som bruker en SPI-brannmur kan artikulere adressebegrensninger i adressekontrollister, som håndheve regler om hvilke eksterne sider kan fritt tilgang til nettverket, og som er blokkert. Nettverksadministratoren vil reservere et visst antall porter for å la åpne for å akseptere uønsket pakker fra adresser på ACL. Som opptrer i forbindelse med tilstandstabellen, kan brannmuren avgjøre om en innkommende pakke er et svar på en forespørsel innenfor nettverket, og hvis ikke, om det er fra en godkjent adresse.

Tilgang Rule Fleksibilitet

Nettverksadministratoren må tenke ut filtreringsreglene for brannmurer som benytter enten pakkefiltrering alene eller har SPI evner. En brannmur med pakkefiltrering alene ikke tillater endringer i regelverket mens nettverket er i drift. Et nettverk som bruker en SPI-brannmur kan benytte dynamisk tilstand filtrering, som lar nettverksadministratorer å sørge for unntak fra tilgangstillatelser når gitte vilkår er oppfylt, noe som gir dem mer fleksibilitet i rutetrafikk inn og ut fra nettverket.

SPI og Denial-of-Service-

En brannmur bruker SPI stiller intensive krav til nettverkets ressurser som det sjekker en konstant strøm av pakker mot sin ACL og staten tabellen. Denne ressursen etterspørsel kan gjøre nettverket sårbart for et tjenestenektangrep, der en hacker flommer nettverket med pakker i et forsøk på å knele ressurser og krasje systemet. Som brannmuren forsøker å behandle hver pakke sendt i løpet av DoS angrep, kan det ikke behandle lovlig nettverkstrafikk og blokker autoriserte brukere fra sine ressurser.