SPI防火牆

SPI(Stateful Packet Inspection)全狀態數據包檢測型防火牆,是指通過對每個連線信息。只有具有基於硬體的採用目前最為先進的狀態數據包檢查(SPI)技術的防火牆才是真正意義上的防火牆(True Firewall)。

簡介

SPI(Stateful Packet Inspection) 全狀態數據包檢測型防火牆,是指通過對每個連線信息(包括套接字對(socket pairs):源地址、目的地址、源連線埠和目的連線埠;協定類型、TCP協定連線狀態和逾時時間等)進行檢測從而判斷是否過濾數據包的防火牆。它除了能夠完成簡單包過濾防火牆的包過濾工作外,還在自己的記憶體中維護一個跟蹤連線狀態的表,比簡單包過濾防火牆具有更大的安全性。
目前最為先進的狀態數據包檢查(SPI) 防火牆提供最高級別的安全性。它在默認情況下拒絕所有來自外網的請求,並且對通過防火牆的發自區域網路請求的連線動態地維護所有通信的狀態(連線),只有是對區域網路請求回復的連線並符合已建立的狀態資料庫的包才能通過防火牆進入區域網路。這種方案不僅可使網路用戶訪問Internet 資源,同時又能防止Internet 上的黑客訪問內部網路資源。
“狀態檢查”一詞是指防火牆記憶連線狀態和在其記憶體中為每個數據流建立上下文的能力。憑藉這些信息,該防火牆能夠比不支持SPI的防火牆作出更有根據的策略決策。
只有具有基於硬體的採用目前最為先進的狀態數據包檢查(SPI)技術的防火牆才是真正意義上的防火牆(True Firewall)。

實現方法

在Linux系統下估計是netfilter/IPTABLES實現的。

與NAT防火牆的區別

NAT防火牆雖然和SPI防火牆同為防火牆,但它們的實現途徑不盡相同。NAT防火牆是一種常用的網路安全工具,它建立專用網,網內的計算機可以主動跟外網建立連線、收發數據,但來自外網的連線通常會被阻止。NAT防火牆隱藏了區域網路上的計算機,保護它們免受外網的入侵和未授權訪問,提高了安全性。
SPI防火牆是在外網的數據包進入區域網路之前先對其進行檢查的一種技術。它在默認情況下拒絕所有來自外網的請求,並且通過防火牆的發自區域網路請求的連線動態地維護所有通信的狀態(連線),只有對區域網路請求回復的連線並符合安全要求的數據包才能通過防火牆進入區域網路。相比NAT防火牆, SPI防火牆的安全性更高。

相關詞條

相關搜尋

熱門詞條

聯絡我們