En SPI (Stateful Packet Inspection) brandväggen kommer att hantera ett TCP -synsegment på olika sätt än en enklare paketfiltrerings brandvägg. Här är processen:
1. Inledande synpaket: När SPI -brandväggen får ett TCP -synpaket tittar det inte bara på portnumren och IP -adresserna för åtkomstkontroll. Istället kontrollerar det om paketet är legitimt genom att undersöka dess rubrikinformation.
2. Statens bordsinträde: Om Syn -paketet verkar giltigt (korrekt kontrollsumma, inga uppenbara skadliga egenskaper), skapar SPI -brandväggen en ny post i sitt tillståndstabell. Denna tabell spårar anslutningens egenskaper:
* käll -IP -adress och port
* destination IP -adress och port
* protokoll (TCP)
* Sekvensnummer
* tillstånd (t.ex. syn_sent, syn_received, etablerad)
3. Tillåter paketet: Eftersom brandväggen nu är * medveten * om detta förväntade inkommande anslutningsförsök, kommer det sannolikt att låta Syn -paketet passera till destinationsvärdet. Brandväggen "förväntar sig nu i huvudsak" motsvarande Syn-Ack- och ACK-paket.
4. Efterföljande paket: Ytterligare paket relaterade till denna anslutning (Syn-Ack, ACK, Data Packets) kommer endast att tillåtas om de matchar statens tabellpost. Paket som inte matchar (t.ex. ett synpaket från en annan källport som riktar sig till samma destination) kommer att släppas som oväntat eller potentiellt skadligt. Detta är den "statliga" delen - brandväggen upprätthåller sammanhanget om konversationen.
5. TIMEOUT OCH STATEN ÄNDRA: Statens tabellpost förblir aktiv under en viss period. Om de förväntade efterföljande paketen (syn-ACK, ACK) inte tas emot inom en rimlig tidsram, tids inledningen och tas bort från tabellen. Staten kommer också att ändras när anslutningen fortskrider (t.ex. från Syn_Receed till etablerad). När anslutningen är stängd (med finpaket) tas posten så småningom bort.
6. Säkerhetskonsekvenser: Genom att inspektera anslutningstillståndet hjälper en SPI -brandvägg att förhindra många TCP SYN -översvämningsattacker. En enkel SYN -översvämning försöker överväldiga en server genom att skicka många synpaket utan att skicka de efterföljande ACK:erna. En SPI -brandvägg, med sitt tillståndstabell, kommer att upptäcka och blockera dessa illegitima synpaket. Det blockerar också andra attacker som förlitar sig på förfalskade adresser och oväntade paketsekvenser.
Kort sagt, en SPI -brandvägg filter inte bara passivt paket; Den övervakar aktivt tillståndet för nätverksanslutningar, vilket endast tillåter paket som överensstämmer med förväntade mönster och förhindrar många vanliga attacker.
