SPI防火墙及应用测试
SPI(StatefulPacket Inspection) 为全状态数据包检测型防火墙,说明路由器自带全状态数据检测。
SPI防火墙设置,防火墙的作用防外不防内,也就是说对不是由你向internet发出的连接一律拦截。他可保证你的计算机的相对安全。如果你已经有软件防火墙了,如瑞星,诺顿什么的,你完全可以不用设置,因为现在的软件防火墙的功能远远比硬件防火墙的功能要高,当然设置更好。
SPI全状态数据包检测型防火墙,是指通过对每个连接信息(TCP Connection、 UDP Session 、FTP Service 、H.323 service 、TFTP service...包括套接字对(socketpairs):源地址、目的地址、源端口和目的端口;协议类型、TCP协议连接状态和超时时间等)进行检测从而判断是否过滤数据包的防火墙。它除了能够完成简单包过滤防火墙的包过滤工作外,还在自己的内存中维护一个跟踪连接状态的表,比简单包过滤防火墙具有更大的安全性。 目前最为先进的状态数据包检查(SPI)防火墙提供最高级别的安全性。它在默认情况下拒绝所有来自外网的请求,并且对通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有是对内网请求回复的连接并符合已建立的状态数据库的包才能通过防火墙进入内网。这种方案不仅可使网络用户访问Internet 资源,同时又能防止Internet 上的黑客访问内部网络资源。
“状态检查”一词是指防火墙记忆连接状态和在其内存中为每个数据流建立上下文的能力。凭借这些信息,该防火墙能够比不支持SPI的防火墙作出更有根据的策略决策。
只有具有基于硬件的采用目前最为先进的状态数据包检查(SPI)技术的防火墙才是真正意义上的防火墙(TrueFirewall)。
支持SPI提高了安全性,但是相对的,可能会挡掉一些线上游戏或P2P下载的连接,用户可自行决定是否需要启用此防火墙模式。
示例测试:
Enable SPI,lan PC download large files from WAN side,Use nmap to send ack or bye packet torouter for 10 mins,The Web access and download speed are not effected.
Disable SPI,lan PC download large files from WAN side,Use nmap to send ack orbye packet to router for 10 mins,The Web access and download speed become slow observably. Because the packet from nmap enter to router.
与NAT防火墙的区别
NAT防火墙虽然和SPI防火墙同为防火墙,但它们的实现途径不尽相同。NAT防火墙是一种常用的网络安全工具,它建立专用网,网内的计算机可以主动跟外网建立连接、收发数据,但来自外网的连接通常会被阻止。NAT防火墙隐藏了内网上的计算机,保护它们免受外网的入侵和未授权访问,提高了安全性。
SPI防火墙是在外网的数据包进入内网之前先对其进行检查的一种技术。它在默认情况下拒绝所有来自外网的请求,并且通过防火墙的发自内网请求的连接动态地维护所有通信的状态(连接),只有对内网请求回复的连接并符合安全要求的数据包才能通过防火墙进入内网。相比NAT防火墙, SPI防火墙的安全性更高。