Un firewall impedisce l'accesso non autorizzato alla rete aziendale , utilizzando un firewall SPI va oltre l'esame di un sistema di filtraggio senza stato di appena colpo di testa di un pacchetto e la porta di destinazione per l'autenticazione , il controllo dei contenuti di tutto il pacchetto prima di determinare se consentire lo passaggio nella rete . Questo maggiore livello di controllo fornisce molto più robusta di sicurezza e le informazioni pertinenti sul traffico di rete di un sistema di filtraggio stateless . Punti deboli di Stateless Packet Inspection
in un articolo febbraio 2002 per la Sicurezza Pro Notizie , autore Jay Fougere nota che mentre i filtri IP stateless in modo efficiente il traffico e mettere poca richiesta di risorse di elaborazione , che esse presentano gravi di sicurezza di rete carenze. Filtri stateless non forniscono l'autenticazione dei pacchetti , non può essere programmato per aprire e chiudere le connessioni in risposta a eventi specifici, e offrono un facile accesso alla rete per gli hacker che utilizzano IP spoofing , in cui i pacchetti in ingresso portano un indirizzo IP falsificato che il firewall identifica come proveniente da una fonte attendibile .
Come un firewall SPI Regola Network Access
un firewall SPI registra gli identificatori di tutti i pacchetti sua rete trasmette e quando un tentativo di pacchetti in arrivo per ottenere l' accesso alla rete , il firewall può determinare se si tratta di una risposta ad un pacchetto inviato dalla propria rete o se è non richiesti . Un firewall SPI può utilizzare un elenco di controllo di accesso , una banca dati di soggetti di fiducia e dei loro privilegi di accesso alla rete . Il firewall SPI può fare riferimento alla ACL quando si esaminano pacchetto per determinare se provenisse da una fonte attendibile, e se sì , dove può essere instradato all'interno della rete .
Rispondendo a traffico sospetto
il firewall SPI può essere programmato per far cadere tutti i pacchetti inviati da fonti non elencati all'interno della ACL , aiutando a prevenire un attacco di tipo denial- of-service , in cui un aggressore inonda la rete con traffico in entrata in uno sforzo per impantanare le sue risorse e la rendono in grado di rispondere a richieste legittime . Sito note di NETGEAR nel suo "Sicurezza : Confrontando NAT , Contenuto Statico Filtering , SPI , e firewall" articolo che SPI firewall possono anche esaminare i pacchetti per le caratteristiche di quelli utilizzati nei noti exploit di hacking , come ad esempio gli attacchi DoS e IP spoofing , e rilasciare un pacchetto che riconosce come potenzialmente dannoso.
Deep Packet Inspection
profonda ispezione dei pacchetti offre funzionalità avanzate su SPI ed è in grado di esaminare il contenuto dei pacchetti in tempo reale , mentre scavare abbastanza in profondità per recuperare informazioni quali il testo integrale di un email . Routers dotati di DPI possono concentrarsi sul traffico da siti specifici o verso destinazioni specifiche , e può essere programmato per eseguire azioni specifiche , come la registrazione o la perdita di pacchetti , quando i pacchetti si incontrano una sorgente o di criteri di destinazione . Router DPI- enabled possono anche essere programmati per esaminare particolari tipi di traffico dati , come il VoIP o streaming multimediale.