Um firewall impede o acesso não autorizado à rede de uma empresa, usando Um firewall SPI vai além do exame de um sistema de filtragem sem estado de apenas o cabeçalho de um pacote e a porta de destino para autenticação, verificando todo o conteúdo do pacote antes de determinar se deve permitir a passagem para a rede. Esse maior nível de escrutínio fornece segurança muito mais robusta e informações pertinentes sobre o tráfego de rede do que um sistema de filtragem sem estado.
Pontos fracos da inspeção de pacotes sem estado
Em um artigo de fevereiro de 2002 para o Security Pro News, o autor Jay Fougere observa que, embora os filtros de IP sem estado possam rotear o tráfego com eficiência e colocar pouca demanda em recursos de computação, eles apresentam sérias deficiências de segurança de rede. Filtros sem estado não fornecem autenticação de pacote, não podem ser programados para abrir e fechar conexões em resposta a eventos especificados e oferecem acesso fácil à rede para hackers usando falsificação de IP, em que os pacotes recebidos carregam um endereço IP falsificado que o firewall identifica como vindo de uma fonte confiável.
Como um firewall SPI regula o acesso à rede
Um firewall SPI registra os identificadores de todos os pacotes que sua rede transmite e quando um pacote de entrada tenta obter acesso à rede, o firewall pode determinar se é uma resposta a um pacote enviado de sua rede ou se não foi solicitado. Um firewall SPI pode empregar uma lista de controle de acesso, um banco de dados de entidades confiáveis e seus privilégios de acesso à rede. O firewall SPI pode fazer referência à ACL ao examinar qualquer pacote para determinar se ele veio de uma fonte confiável e, em caso afirmativo, para onde pode ser roteado na rede.
Respondendo a tráfego suspeito
O firewall SPI pode ser programado para descartar quaisquer pacotes enviados de fontes não listadas na ACL, ajudando a evitar um ataque de negação de serviço, no qual um invasor inunda a rede com tráfego de entrada em um esforço para atolar seus recursos e renderizar é incapaz de responder a solicitações legítimas. O site da Netgear observa em seu artigo "Security:Comparing NAT, Static Content Filtering, SPI, and Firewalls" que os firewalls SPI também podem examinar pacotes para características daqueles usados em explorações de hacking conhecidas, como ataques DoS e falsificação de IP, e descartar qualquer pacote que reconhece como potencialmente malicioso.
Inspeção profunda de pacotes
A inspeção profunda de pacotes oferece funcionalidade avançada sobre SPI e é capaz de examinar o conteúdo do pacote em tempo real enquanto se aprofunda o suficiente para recuperar informações como o texto completo de um e-mail. Os roteadores equipados com DPI podem se concentrar no tráfego de sites específicos ou para destinos específicos e podem ser programados para executar ações específicas, como registrar ou descartar pacotes, quando os pacotes atendem a critérios de origem ou destino. Os roteadores habilitados para DPI também podem ser programados para examinar tipos específicos de tráfego de dados, como VoIP ou mídia de streaming.