Межсетевой экран spi что это?
Межсетевой экран spi что это?
Вопрос: Что такое SPI у Интернет-маршрутизаторов (роутеров) серии DI-XXX? Ответ:
SPI (stateful packet inspection)- это функция Интернет-маршрутизаторов серии DI-XXX , при включении которой производится дополнительная проверка пакетов на принадлежность существующему соединению.
При установлении любой сессии TCP/IP NAT открывает для нее порт. После завершения сессии порт еще несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путем сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии.
При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности.
В случае некорректности входящего пакета ( например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому ) — такой пакет блокируется и в логе появляется запись о таком событии.
Для включения SPI сначала нужно настроить подключение к интернет- маршрутизатору по локальной сети, подключиться веб-браузером по IP-адресу интернет- маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
После этого перейти на закладку Tools -> Misc и выбрать «Enabled» в разделе SPI mode.
Из данной инструкции вы узнаете как настроить блокировку веб-сайта на наших беспроводных роутерах. В качестве примера мы возьмем модель TL-WR841N V13.
Шаг 1: Как войти на веб-страницу вашего роутера
Откройте веб-браузер и введите в адресной строке IP-адрес роутера (по умолчанию 192.168.0.1) или http://tplinkwifi.net, затем нажмите . При появлении запроса введите учетные данные для входа. По умолчанию имя пользователя и пароль – «admin».
Перейдите в Access Control (Контроль доступа) > Host (Узел), затем нажмите Add New…(Добавить)
Выберите ‘IP Address’, затем введите краткое описание для правила хоста в поле Host Description. Введите диапазон IP-адресов в сети, к которому требуется заблокировать доступ.
Нажмите Save (Сохранить) – новое правило Хоста теперь будет отображаться на странице «Host Settings» («Настройки хоста»).
Перейдите в Access Control (Контроль доступа) -> Target, затем нажмите Add New (Добавить…)
Выберите Доменное имя в качестве типа режима. Создайте уникальное описание (например, цель_1) для цели в поле Target Description (Описание цели) и введите доменное имя, полное имя или ключевые слова (например, TP-LINK) в поле Domain Name.
Выберите Access Control (Контроль доступа) > Schedule (Расписание) и настройте параметры расписания. Нажмите Кнопку Add New… «Добавить».
Создайте уникальное описание (например, schedule_1) для расписания в поле Schedule Description (Описание расписания), задайте дни и период времени и нажмите кнопку Save (Сохранить).
Примечание: убедитесь, что время на маршрутизаторе установлено также, как на компьютерах. Чтобы проверить время маршрутизатора, перейдите в раздел System Tools (Системные инструменты) -> Time Settings (Настройки времени).
Перейдите к Access Control (Контроль доступа) -> Rule (Правило). На открывшейся странице поставьте галочку «Enable Internet Access Control» («Включить управление доступом в Интернет»), затем выберите Allow the packets specified by any enabled access control policy to pass through the Router (Разрешить пакетам, указанным в любой включенной политике управления доступом, проходить через маршрутизатор) в качестве фильтра по умолчанию, затем нажмите кнопку Save (Сохранить).
Нажмите кнопку Add New… (Добавить), затем введите краткое описание правила в поле Rule Name.
В поле «Host:» (Узел) выберите правило узла, определенное на Шаге 2
В поле «Target:» (Цель) выберите целевое правило, определенное на Шаге 3
В поле «Schedule:» (Расписание) выберите «в любое время» (это сделает правило всегда активным)
В поле «Action:» (Действие) выберите «Deny» (Запретить).
В поле «Status:» (Состояние) выберите «Enabled» (Включено).
Нажмите кнопку Save (Сохранить) – новое правило контроля доступа появится на странице «Access Control Rule Management» (Управление правилами контроля доступа).
Маршрутизаторы фирмы Tp-Link в нашей сети с ЗАВОДСКОЙ прошивкой работают только в режиме PPPoE.
Для возможности работать через этот режим подключения требуется связываться с техподдержкой.
Для работы роутера с прошивкой от производителя нужно продиктовать MAC адрес роутера технической поддержке.
Затем нужно зайти в любой браузер, и в адресной строке указывает IP адрес веб-интерфейса настройки роутера 192.168.0.1.
В веб интерфейсе в основном меня выберите пункт «Сеть» и подпункт «WAN» (1).
Выберите тип соединения PPPoE / PPPoE Россия (2).
Введите пользовательские логин доступа и два раза пароль доступа. (3).
В разделе «Вторичное подключение» обязательно нужно отметить пункт Динамический IP адрес (4).
В разделе «Режим подключение» выберите пункт Подключать автоматически (5).
После завершение настроек внизу нажмите Сохранить.
Для облегчения диагностики возможных неполадок рекомендуем отключить брандмауэр (межсетевой экран) роутера.
Для этого в основном меню выберите пункт Безопасность, Настройки базовой защиты, и напротив пункта «межсетевой экран SPI» выберите «Выключить».
После этого можно настроить беспроводную сеть.
Для этого сначала зайдите в основном меня в пункт «Беспроводной режим», «Настройки беспроводного режима» (1).
И в поле «Имя беспроводной сети» задайте имя свой сети (2) .
Потом в разделе меню Беспроводной режим, Защита беспроводного режима (1).
Выберите тип шифрования WPA/WPA2 Personal (2).
В графе версия выберите WPA2-PSK, и в графе Пароль PSK укажите желаемый пароль (3).
Обратите внимание что если Вы работаете с роутером по WiFi, то после любых изменений настроек беспроводной сети, связь с роутером теряется, и нужно устанавливать соединение с роутером снова, с учетом новых настроек WiFi.
Межсетевой экран spi что это?
Обычно понятия брандмауэр в Windows и в роутере различаются. Брандмауэр на подобие того, что в Windows обычно называется Secured NAT (не часто сие опция встречается в роутерах) и во включенном режиме работает как «Усечёный конус» (Restricted cone), вот вам немного википедии, чтобы быть немного вкурсе по поводу типов NAT:
Cone NAT, Full Cone NAT (в играх обычно «Open» или «Открытый» NAT) — Однозначная (взаимная) трансляция между парами «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любой внешний хост может инициировать соединение с внутренним хостом (если это разрешено в правилах межсетевого экрана).
Address-Restricted cone NAT, Restricted cone NAT (в играх — «Moderate» или «Умеренный» NAT, в роутерах «Secured») — Постоянная трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любое соединение, инициированное с внутреннего адреса, позволяет в дальнейшем получать ему пакеты с любого порта того публичного хоста, к которому он отправлял пакет(ы) ранее.
Port-Restricted cone NAT (аналогично «Moderate», «Умеренный», «Secured») — Трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт», при которой входящие пакеты проходят на внутренний хост только с одного порта публичного хоста — того, на который внутренний хост уже посылал пакет.
Симметричный NAT (Symmetric NAT, в играх — «Restricted» или «Строгий») — трансляция, при которой каждое соединение, инициируемое парой «внутренний адрес: внутренний порт» преобразуется в свободную уникальную случайно выбранную пару «публичный адрес: публичный порт». При этом инициация соединения из публичной сети невозможна. (самый жуткий вариант для P2P)
P.S.: Если признаться честно, то эти «типы» NAT реализуются как набор правил фильтрации входящих пакетов для брандмауэра.
Но под Firewall в роутерах чаще подразумевается SPI
Технология SPI (Stateful Packet Inspection — инспекция пакетов с хранением состояния) позволяет дополнительно защититься от атак, выполняя проверку проходящего трафика на корректность (работают на сетевом, сеансовом и прикладном уровнях модели OSI).
Т.е. он вскрыает пакеты и смотрит что там, а также ведёт статистику защая от DDoS-атак, SYN-флуда и т.д.
Суть в том, что вся эта защита требует ресурсов процессора и может вносить из-за этого задержки, поэтому на бюджетных роутерах для обеспечения быстродействия ставим NAT в Open (если есть возможность), а SPI отключаем.
Если опцию «Secured NAT» не часто можно встретить, то DMZ уж точно есть почти в каждом роутере.
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных[1]. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
В домашних роутерах он отличается только тем, что «общедоступный сервис» не отделёт от внутренней сети. С помощью DMZ как раз можно отключить фильтрацию (или блокировку) входящих пакетов, но для отдельно взятого компьютера.
Но если у вас какой-нибудь хардкорный роутер (например Mikrotik), то там не найдётся упоминания о DMZ и что в таком случае делать? Тут следует знать, что DMZ это тот же Port Forward (Проброс портов), но не на один порт, а на все, т.е. в таком случае следует сделать проброс портов от 1 до 65535.
Application-level gateway, или ALG (с англ. — «шлюз прикладного уровня») — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
Ну тут всё понятно, пускай одни пакеты стоят где-то в пробке, а другим выдадим мигалки и пускай мчатся, как раздавать приоритеты в Windows уже ранее рассказывалось в другом руководстве .
Тут хочется отметить, что есть роутеры Asus в которых предлагается на выбор «Адаптивный QoS» и «Традиционный QoS» — на мой взгляд последний лучше =)
Межсетевой экран spi что это
SPI (stateful packet inspection)- это функция Интернет-маршрутизаторов серии DI-XXX , при включении которой производится дополнительная проверка пакетов на принадлежность существующему соединению.
При установлении любой сессии TCP/IP NAT открывает для нее порт. После завершения сессии порт еще несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путем сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии.
При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности.
В случае некорректности входящего пакета ( например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому ) — такой пакет блокируется и в логе появляется запись о таком событии.
Для включения SPI сначала нужно настроить подключение к интернет- маршрутизатору по локальной сети, подключиться веб-браузером по IP-адресу интернет- маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
После этого перейти на закладку Tools -> Misc и выбрать «Enabled» в разделе SPI mode.
Страница 67
Беспроводной маршрутизатор N 150 Мбит/с
4.9.1 Настройки базовой защиты
Безопасность – Настройки базовой защиты, вы можете выполнить базовые
настройки безопасности (рис. 4-41).
4-41 Настройки базовой защиты
Межсетевой экран – Межсетевой экран обеспечивает защиту сети. Здесь вы можете
включить или выключить его.
Межсетевой экран SPI – Функция SPI (Stateful Packet Inspection – Фильтрация
пакетов на основе данных о состоянии соединения, также известная как Dynamic
Packet Filtering – Динамическая фильтрация по пакетам) помогает предотвращать
кибер-атаки посредством отслеживания большего числа параметров за сессию.
Данная функция производит анализ трафика во время сессии на предмет
соответствия требованиям протокола. По умолчанию межсетевой экран SPI
включен. Если вы хотите, чтобы компьютеры локальной сети могли
взаимодействовать с внешним миром, вам следует отключить эту функцию.
VPN – Функция VPN Passthrough должна быть включена, если вы хотите разрешить
создание VPN-туннелей согласно протоколам IPSec, PPTP или L2TP для прохождения
межсетевого экрана маршрутизатора.
Пропуск трафика PPTP – Протокол PPTP (Point-to-Point Tunneling Protocol)
позволяет создавать туннели в IP-сети. Чтобы разрешить PPTP-туннелям проход
через маршрутизатор не изменяйте выбранное по умолчанию значение
Пропуск трафика L2TP – Протокол L2TP (Layer 2 Tunneling Protocol) – это метод,
используемый для организации сессий типа Point-to-Point через Интернет на
уровне второго слоя. Чтобы разрешить L2TP-туннелям проход через
маршрутизатор, не изменяйте выбранное по умолчанию значение
Технология SPI (Stateful Packet Inspection — инспекция пакетов с хранением состояния) позволяет дополнительно защититься от атак, выполняя проверку проходящего трафика на корректность (работают на сетевом, сеансовом и прикладном уровнях модели OSI).
Большинство маршрутизаторов сегодня имеет SPI-брандмауэры. При создании любой сессии TCP/IP NAT открывает для неё порт. После завершения сессии порт ещё несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путём сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии. При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности. В случае некорректности входящего пакета (например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому), пакет блокируется и в логе появляется запись о таком событии.
Содержание
История [ править | править код ]
Наиболее мощные процессоры выполняют проверку во время создания соединения. Записи создаются только для соединений TCP или UDP, удовлетворяющие заданной политики безопасности. После этого все пакеты (для этой сессии) обрабатываются быстрее, потому что становится проще определить, принадлежит ли он к существующей, предварительно отобранной сессии. Пакетам, которые связаны с этими сессиями, разрешено проходить через межсетевой экран.
Классический пример работы сети без файервола — это FTP (File Transfer Protocol). По замыслу такие протоколы должны быть в состоянии открыть соединения с произвольным портом высокого уровня для функционирования должным образом. Так как файервол не может узнать, что пакет, предназначенный для защищенной Сети является частью созданной FTP сессии, то не будет пропускать пакет. Файерволы решают эту проблему путём создания таблицы открытых соединений.
Первые попытки производства файервола работали на уровне приложений, который является самым верхним из семи-уровневой модели OSI. Этот метод требует очень большого количества вычислительной мощности и редко используется в современных технологиях.
Описание [ править | править код ]
Файервол отслеживает состояние сетевых соединений (например, TCP или UDP) и в состоянии держать атрибуты каждого соединения в памяти. Эти атрибуты все вместе известны как состояние соединения, и могут включать в себя такие детали, как IP-адреса портов, участвующих в соединениях и порядковые номера пакетов, проходящих через соединение. Проверка с учетом состояния контролирует входящие и исходящие пакеты с течением времени, а также состояние соединения и сохраняет данные в динамических таблицах.
Наиболее ресурсоемким для процессора является проверка во время установки соединения. Записи создаются только для тех соединений TCP или UDP, которые будут удовлетворять заданной политике безопасности. После этого все пакеты (для этой сессии) обрабатываются быстрее, потому что становится проще и быстрее определить, принадлежит ли он к существующей, предварительно отобранной сессии. Пакетам, уже связанным с этими сессиями разрешено проходить через файервол. Если сессия не будет соответствовать ни одному критерию политики безопасности, то ей будет отказано.
Файервол зависит от трехстороннего обмена (иногда описывается как «SYN, SYN-ACK, ACK»), когда используется протокол TCP; когда используется протокол UDP, файервол не зависит ни от чего. Когда клиент создает новое соединение, он посылает пакет с установленным битом SYN в заголовке пакета. Все пакеты с установленным битом SYN считаются для файервола как новые соединения. Если служба которую клиент запросил, доступна на сервере, тогда сервер ответит пакетом, в котором будут установлены оба бита SYN и ACK. Затем клиент отвечает пакетом в котором установлен только бит ACK, и связь будет считаться установленной. В таком случае файервол пропустит все исходящие пакеты от клиента, если они являются частью созданного соединения, гарантируя, что хакеры не смогут создать нежелательную связь с защищенного компьютера.
Если трафик не проходил через это соединение в течение определённого периода, то в целях предотвращения переполнения таблицы состояний эти устаревшие соединения удаляются из таблицы. Многие приложения поэтому отправляют периодически сообщения KeepAlive, чтобы остановить файервол от завершения соединения во время отсутствия активности пользователя, хотя некоторые брандмауэры могут быть проинструктированы для отправки этих сообщений. Многие файерволы могут отслеживать состояние потоков протоколов без установления соединения. Сеансы без установления соединения могут закончиться только в случае не активности пользователя.
Отслеживая состояние соединения, файервол обеспечивает дополнительную эффективность с точки зрения проверки пакетов. Это потому, что для существующих соединений файервола нужно лишь проверить состояние таблицы, вместо проверки пакета по всему набору правил файервола, которые могут быть обширными.
Фильтр уровня приложений [ править | править код ]
Фильтрация пакетов сама по себе не рассматривается как обеспечение достаточной защиты. Для эффективного блокирования угрозы необходима фильтрация приложений, которая может рассматриваться как расширение контроля содержимого пакетов. Stateful Packet Inspection может определить, какой тип протокола направляется по каждому порту. Например, на уровне приложений фильтр в состоянии распознать разницу между HTTP трафиком, используемого для доступа к веб-странице, и HTTP трафиком, используемого для совместного использования файлов, в то время как файервол, который только выполняет фильтрацию пакетов, будет рассматривать весь трафик HTTP в равной степени.
Ловушки [ править | править код ]
Уязвимости [ править | править код ]
Существует риск того, что уязвимости в отдельных декодерах протоколов, позволяют злоумышленнику получить контроль над файерволом. Это беспокойство подчеркивает необходимость обновлять программное обеспечение файервола.
Некоторые файерволы также повышают вероятность того, что отдельные узлы могут быть обмануты. Эта возможность может быть полностью устранена путём проведения аудиторских проверок программного обеспечения хоста. Некоторые файерволы можно победить просто просматривая веб-страницы (или с поддержкой JavaScript, или после нажатия на кнопку на сайте).
Межсетевой экран
Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами ЛВС.
Содержание
Другие названия
Брандма́уэр (нем. Brandmauer ) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».
Файрво́лл, файрво́л, файерво́л, фаерво́л — образовано транслитерацией английского термина firewall.
Разновидности сетевых экранов
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
- обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
- на уровне каких сетевых протоколов происходит контроль потока данных;
- отслеживаются ли состояния активных соединений или нет.
В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:
- традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
- персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.
Вырожденный случай — использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
- сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
- сеансовом уровне (также известные как stateful ) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
- уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек. Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В зависимости от отслеживания активных соединений сетевые экраны бывают:
- stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
- stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.
Типичные возможности
- фильтрация доступа к заведомо незащищенным службам;
- препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
- контроль доступа к узлам сети;
- может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
- регламентирование порядка доступа к сети;
- уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
Вследствие защитных ограничений могут быть заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP, SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста по сетевой безопасности. В противном случае вред от неправильного конфигурирования может превысить пользу.
Также следует отметить, что использование файрвола увеличивает время отклика и снижает пропускную способность, поскольку фильтрация происходит не мгновенно.
Проблемы, не решаемые файрволом
Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он:
- не защищает узлы сети от проникновения через «люки» (англ.back doors ) или уязвимости ПО;
- не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;
- не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;
Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.
Что такое межсетевой экран SPI
Межсетевой экран предотвращает несанкционированный доступ к сети компании, используя межсетевой экран PI, который выходит за рамки проверки системой фильтрации без сохранения состояния только заголовк
Содержание
- Слабые стороны проверки пакетов без сохранения состояния
- Как межсетевой экран SPI регулирует доступ к сети
- В ответ на подозрительный трафик
- Глубокая проверка пакетов
Межсетевой экран предотвращает несанкционированный доступ к сети компании, используя межсетевой экран SPI, который выходит за рамки проверки системой фильтрации без сохранения состояния только заголовка пакета и порта назначения для аутентификации; вместо этого перед определением разрешения прохождения по сети происходит просмотр содержимого всего пакета. Этот повышенный уровень контроля предлагает гораздо более надежную защиту и соответствующую информацию о сетевом трафике, чем система фильтрации без сохранения состояния.
Слабые стороны проверки пакетов без сохранения состояния
В статье, опубликованной в феврале 2002 года для Security Pro News, автор Джей Фужер отмечает, что, хотя IP-фильтры без сохранения состояния могут эффективно маршрутизировать трафик и не предъявлять больших требований к вычислительным ресурсам, они представляют собой серьезные недостатки сетевой безопасности. Фильтры без сохранения состояния не обеспечивают аутентификацию пакетов, не могут быть запрограммированы для открытых и закрытых соединений в ответ на определенные события и обеспечивают легкий доступ к сети для хакеров, использующих спуфинг IP, когда входящие пакеты несут Поддельный IP-адрес, который брандмауэр определяет как исходящий из надежного источника.
Как межсетевой экран SPI регулирует доступ к сети
Межсетевой экран SPI записывает идентификаторы всех пакетов, которые передает ваша сеть, и когда входящий пакет пытается получить доступ к сети; брандмауэр может определить, является ли это ответом на пакет, отправленный из вашей сети, или он является нежелательным. Межсетевой экран SPI может использовать список управления доступом, базу данных доверенных объектов и их права доступа к сети.Межсетевой экран SPI может ссылаться на ACL при проверке любого пакета, чтобы определить, исходит ли он из надежного источника, и если да, то куда он может быть направлен в сети.
В ответ на подозрительный трафик
Брандмауэр SPI может быть запрограммирован на отбрасывание пакетов, отправленных из источников, не перечисленных в ACL, что помогает предотвратить атаку отказа в обслуживании, при которой злоумышленник наводняет сеть входящим трафиком в попытке чтобы перегрузить ваши ресурсы и лишить вас возможности отвечать на законные запросы. Веб-сайт Netgear указывает в статье «Безопасность: сравнение NAT, фильтрации статического содержимого, SPI и межсетевых экранов», что межсетевые экраны SPI также могут проверять пакеты, чтобы увидеть характеристики пакетов, используемых в известных взломах, таких как DoS-атаки и IP-спуфинг, и они отбрасывают все пакеты, которые они распознают как потенциально вредоносные.
Глубокая проверка пакетов
Deep Packet Inspection предлагает расширенные функциональные возможности по сравнению с SPI и может проверять содержимое пакета в режиме реального времени, при этом копаясь глубоко для извлечения информации, такой как полный текст электронного письма. Маршрутизаторы, оснащенные DPI, могут сосредоточиться на трафике к определенным сайтам или к определенным пунктам назначения и могут быть запрограммированы на выполнение определенных действий, таких как регистрация или удаление пакетов, когда пакеты находятся в пункте назначения или критериях. Маршрутизаторы с поддержкой DPI также можно запрограммировать для проверки определенных типов трафика данных, таких как VoIP или мультимедийные потоки.
ПОПУЛЯРНО 2021
Как изменить цвет гиперссылки с помощью программирования HTML (за 5 шагов)
HTML, или язык разметки гипертекста, — это компьютерный язык, который используется для создания веб-страниц. Веб-сайты и веб-страницы написаны в HTML-коде. Независимо от того, создаете ли вы личный ил
Как удалить учетную запись электронной почты на BlackBerry Curve (за 5 шагов)
BlackBerry Curve имеет множество функций, которые используют его услугу беспроводного доступа в Интернет 3G, и одна из них — возможность отправлять и получать электронную почту. После запуска мастера
Как измерить скорость компьютера?
Герц (Гц) — это единица измерения, определяемая как количество циклов в секунду, что составляет 1 мегагерц (МГц) на миллион циклов в секунду, а 1 гигагерц — это 10 ^ 9 герц. Вибрации и электромагнитно
Сделайте свои собственные приглашения Бэтмену
Бэтмен — герой комиксов, который был изображен во многих стилях с момента его создания в 1939 году. Вымышленный персонаж изображался грустным или комичным в комиксах, мультфильмах, телешоу и фильмах.В