狀態資料包檢查防火牆的工作原理
最初的防火牆是無狀態系統,它根據封包的標頭確定是否允許傳入封包通過。 他們可以阻止某些 IP 位址的流量或使用某些網路協定進入或離開網路。
然而,這些早期的防火牆缺乏確定資料包在現有的活動連線上下文中是否有效的能力。 例如,分散式阻斷服務 (DDoS) 放大網路攻擊將帶有欺騙性來源 IP 位址的請求傳送至合法服務,合法服務將回應傳送至指定位址,並向其發送不必要的傳入流量。 雖然此回應的內容有效且可能不會違反任何防火牆規則,但它是沒有相應要求的回應。
但是,只有在了解過去的數據包才可以確定這一點。
SPI 防火牆會根據來源和目標 IP 位址以及連接埠號碼在內部追蹤網路連線的狀態。 此資訊唯一地標識連線並使防火牆能夠記錄其當前狀態。
當防火牆看到新資料包時,它會尋找網路連線的目前狀態並確定該資料包在該連線的上下文中是否有效。 這種額外的檢查(超出無狀態防火牆使用的防火牆規則)使其能夠識別和阻止不同類型的攻擊,例如 DDoS 放大攻擊、ACK 掃描和其他在上下文中無效的惡意流量。
SPI 防火牆的主要特性
軟體即服務應用程式的成長意味著很大一部分應用程式透過 HTTPS 進行通信,從而限制了基於連接埠和協定的流量過濾的有效性。
SPI 防火牆為組織提供某些關鍵特性和功能,包括:
- 動態資料包過濾:無狀態防火牆和有狀態防火牆之間的主要區別特徵是動態資料包過濾。 追蹤網路連線狀態並根據其允許或封鎖資料包的能力使這些防火牆能夠識別無狀態防火牆會錯過的惡意流量。
- 應用程式層檢查:某些 SPI 防火牆能夠在應用程式層(OSI 第 7 層)執行有限的流量檢查,以增強其狀態追蹤能力。 這使他們能夠確定資料包在 HTTP、DNS 或其他應用程式層會話上下文中是否合法。
- 可擴展性和效能:對網路流量執行狀態檢查需要比無狀態防火牆更多的資源。 SPI 防火牆應擁有大規模分析和保護企業網路流量所需的資源,同時最大限度地減少延遲和效能影響。
- 日誌記錄和監控:防火牆對試圖進入或離開組織網路的流量具有重要的可見性。 SPI 防火牆應提供日誌記錄和監控功能,使安全團隊能夠偵測企圖入侵的行為。
- 安全整合:防火牆是企業安全架構的組成部分之一。 應與其他安全解決方案集成,增強威脅防護能力,簡化安全管理。
在網路基礎架構中實施 SPI 防火牆
防火牆通常部署在企業網路的外圍,將內部企業環境與公共網際網路分開。 在某些情況下,SPI 防火牆可能會合併路由功能並作為多功能解決方案。
選擇和部署網路防火牆時,考慮組織的業務需求和所需功能非常重要。 需要考慮的一些事項包括:
- 次世代防火牆(NGFW):所有 NGFW 都提供狀態偵測功能,但並非所有 SPI 防火牆都具有 NGFW 的功能。 NGFWS 更廣泛的整合式安全功能使它們更適合識別更現代和複雜的網絡威脅。
- 人工智慧驅動的防火牆:人工智慧和機器學習 (AI/ML) 非常適合解析大量網路和安全數據,以識別可能對網路造成的威脅。 隨著技術的成熟,結合人工智慧和機器學習的下一代防火牆將在威脅防護和回應能力和效率方面超越同行。
- 雲端能力:隨著企業雲端的擴展,企業需要能夠擴展的防火牆來滿足這些快速變化的環境的需求。 此外,雲端原生防火牆可以利用雲端可擴展性來最大限度地減少安全性檢查對本地端和基於雲端的解決方案的效能和延遲影響。
反映意見