SPI防火墙
全状态数据包检测型防火墙
SPI(Stateful Packet Inspection)防火墙 全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
信息简介
SPI(Stateful Packet Inspection) 全状态数据包检测型防火墙,是指通过对每个连接信息(包括套接字对(socket pairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。
目前最为先进的状态数据包检查(SPI) 防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。
只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(True Firewall)。
区别方法
与NAT防火墙的区别
NAT防火墙虽然和SPI防火墙同为防火墙,但它们的实现途径不尽相同。NAT防火墙是一种常用的网络安全工具,它建立专用网,网内的计算机可以主动跟外网建立连接、收发数据,但来自外网的连接通常会被阻止。NAT防火墙隐藏了内网上的计算机,保护它们免受外网的入侵和未授权访问,提高了安全性。
SPI防火墙是在外网的数据包进入内网之前先对其进行检查的一种技术。它在默认情况下拒绝所有来自外网的请求,并且通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有对内网请求回复的连接并符合安全要求的数据包才能通过防火墙进入内网。相比NAT防火墙, SPI防火墙的安全性更高。
参考资料
最新修订时间:2023-05-18 21:51
目录
概述
信息简介
参考资料