-
SPI防火牆
鎖定
- 中文名
- SPI防火牆
- 類 別
- 防火牆
SPI防火牆信息簡介
SPI(Stateful Packet Inspection) 全狀態數據包檢測型防火牆,是指通過對每個連接信息(包括套接字對(socket pairs):源地址、目的地址、源端口和目的端口;協議類型、TCP協議連接狀態和超時時間等)進行檢測從而判斷是否過濾數據包的防火牆。它除了能夠完成簡單包過濾防火牆的包過濾工作外,還在自己的內存中維護一個跟蹤連接狀態的表,比簡單包過濾防火牆具有更大的安全性。
目前最為先進的狀態數據包檢查(SPI) 防火牆提供最高級別的安全性。它在默認情況下拒絕所有來自外網的請求,並且對通過防火牆的發自內網請求的連接動態地維護所有通信的狀態(連接),只有是對內網請求回覆的連接並符合已建立的狀態數據庫的包才能通過防火牆進入內網。這種方案不僅可使網絡用户訪問Internet 資源,同時又能防止Internet 上的黑客訪問內部網絡資源。
“狀態檢查”一詞是指防火牆記憶連接狀態和在其內存中為每個數據流建立上下文的能力。憑藉這些信息,該防火牆能夠比不支持SPI的防火牆作出更有根據的策略決策。
只有具有基於硬件的採用目前最為先進的狀態數據包檢查(SPI)技術的防火牆才是真正意義上的防火牆(True Firewall)。
SPI防火牆區別方法
與NAT防火牆的區別
NAT防火牆雖然和SPI防火牆同為防火牆,但它們的實現途徑不盡相同。NAT防火牆是一種常用的網絡安全工具,它建立專用網,網內的計算機可以主動跟外網建立連接、收發數據,但來自外網的連接通常會被阻止。NAT防火牆隱藏了內網上的計算機,保護它們免受外網的入侵和未授權訪問,提高了安全性。
SPI防火牆是在外網的數據包進入內網之前先對其進行檢查的一種技術。它在默認情況下拒絕所有來自外網的請求,並且通過防火牆的發自內網請求的連接動態地維護所有通信的狀態(連接),只有對內網請求回覆的連接並符合安全要求的數據包才能通過防火牆進入內網。相比NAT防火牆, SPI防火牆的安全性更高。
- 詞條統計
-
- 瀏覽次數:次
- 編輯次數:13次歷史版本
- 最近更新: 晚意不是婉仪