SPI -teknik (Stateful Packet Inspection) låter dig dessutom skydda dig från attacker genom att kontrollera att passerande trafik är korrekt (de fungerar i nätverket, sessions- och applikationslagren i OSI-modellen ).
De flesta routrar idag har SPI-brandväggar . När du skapar en TCP/IP- session öppnar NAT en port för den. Efter att sessionen är slut förblir porten öppen i några minuter till. Teoretiskt, om i detta ögonblick en attack görs på routern genom att skanna öppna portar, blir det möjligt att penetrera det interna nätverket . Eller så kan en angripare försöka skicka paket till denna öppna port under sessionen. När SPI-funktionen är aktiverad lagras information om det aktuella tillståndet för sessionen och alla inkommande paket analyserasför att kontrollera deras riktighet. Om det inkommande paketet är felaktigt (till exempel avsändarens adress är inte lika med adressen som begäran skickades till, eller paketnumret inte matchar det förväntade), blockeras paketet och en post om en sådan händelse visas i loggen.
De mest kraftfulla processorerna utför validering när anslutningen skapas. Poster skapas endast för TCP- eller UDP- anslutningar som matchar den angivna säkerhetspolicyn. Därefter bearbetas alla paket (för den sessionen) snabbare eftersom det blir lättare att avgöra om det tillhör en befintlig, förvald session. Paket som är associerade med dessa sessioner tillåts passera genom brandväggen .
Ett klassiskt exempel på ett nätverk utan brandvägg är FTP ( File Transfer Protocol ). Genom designen måste sådana protokoll kunna öppna anslutningar till en godtycklig högnivåport för att fungera korrekt. Eftersom brandväggen inte kan veta att ett paket avsett för ett säkert nätverk är en del av en skapad FTP-session kommer den inte att släppa igenom paketet. Brandväggar löser detta problem genom att skapa en tabell med öppna anslutningar.
De första försöken med brandväggstillverkning fungerade i applikationslagret, som är det översta av OSI-modellen med sju lager . Denna metod kräver en mycket stor mängd datorkraft och används sällan i modern teknik.
Brandväggen håller reda på tillståndet för nätverksanslutningar (som TCP eller UDP ) och kan behålla attributen för varje anslutning i minnet. Dessa attribut kallas gemensamt för anslutningstillståndet och kan inkludera detaljer som IP-adresserna för de portar som är involverade i anslutningarna och sekvensnumren för paketen som passerar genom anslutningen. Stateful inspektion övervakar inkommande och utgående paket över tid, såväl som anslutningens tillstånd, och lagrar data i dynamiska tabeller.
Det mest resurskrävande för processorn är kontrollen under upprättandet av anslutningen. Poster skapas endast för de TCP- eller UDP-anslutningar som uppfyller den angivna säkerhetspolicyn . Därefter bearbetas alla paket (för den sessionen) snabbare eftersom det blir enklare och snabbare att avgöra om det tillhör en befintlig, förvald session. Paket som redan är associerade med dessa sessioner tillåts passera genom brandväggen. Om sessionen inte matchar något av säkerhetspolicykriterierna kommer den att nekas.
Brandväggen är beroende av ett trevägsutbyte (ibland beskrivet som " SYN, SYN-ACK, ACK ") när TCP-protokollet används; när UDP-protokollet används är brandväggen inte beroende av någonting. När en klient skapar en ny anslutning skickar den ett paket med SYN-biten inställd i pakethuvudet. Alla paket med SYN-bituppsättningen behandlas som nya anslutningar av brandväggen. Om tjänsten som klienten begärde är tillgänglig på servern, kommer servern att svara med ett paket som har både SYN- och ACK-bitarna inställda. Klienten svarar sedan med ett paket med endast ACK-biten inställd, och anslutningen kommer att anses vara upprättad. I det här fallet kommer brandväggen att tillåta alla utgående paket från klienten om de är en del av den skapade anslutningen, vilket säkerställer att hackare inte kan skapa en oönskad anslutning från den skyddade datorn.
Om trafik inte har passerat genom denna anslutning under en viss period, tas dessa inaktuella anslutningar bort från tabellen för att förhindra att tillståndstabellen flödar över. Många applikationer skickar därför periodiska KeepAlive-meddelanden för att hindra brandväggen från att avsluta anslutningen medan användaren är inaktiv, även om vissa brandväggar kan instrueras att skicka dessa meddelanden. Många brandväggar kan övervaka status för protokollflöden utan att upprätta en anslutning. Anslutningslösa sessioner kan bara avslutas om användaren är inaktiv.
Genom att hålla reda på anslutningens tillstånd ger brandväggen ytterligare effektivitet när det gäller paketinspektion. Detta beror på att befintliga brandväggsanslutningar bara behöver kontrollera tabellens tillstånd, istället för att kontrollera paketet mot hela uppsättningen av brandväggsregler, vilket kan vara omfattande.
Paketfiltrering i sig anses inte ge tillräckligt skydd . Effektiv hotblockering kräver applikationsfiltrering, vilket kan ses som en förlängning av kontroll av paketinnehåll. Stateful Packet Inspection kan avgöra vilken typ av protokoll som skickas på varje port. Till exempel, på applikationsnivå, kan ett filter skilja mellan HTTP - trafik som används för att komma åt en webbsida och HTTP - trafik som används för fildelning , medan en brandvägg som endast utför paketfiltrering kommer att beakta all HTTP- trafik i samma grad.
Det finns en risk att sårbarheter i individuella protokollavkodare kan tillåta en angripare att ta kontroll över brandväggen . Denna oro belyser behovet av att uppdatera brandväggsprogramvaran .
Vissa brandväggar ökar också chansen att enskilda värdar kan bli förfalskade. Denna möjlighet kan helt elimineras genom att granska värdprogramvaran . Vissa brandväggar kan besegras helt enkelt genom att surfa på webben (eller med JavaScript aktiverat eller genom att klicka på en knapp på en webbplats).