SPI ファイアウォールとは?

ファイアウォールは、企業のネットワークへの不正アクセスを防ぎます。SPI ファイアウォールを使用すると、ステートレス フィルタリング システムによる認証用のパケットのヘッダーと宛先ポートだけの検査を超えて、ネットワークへの通過を許可するかどうかを決定する前に、パケット全体の内容をチェックします。このより高いレベルの精査により、ステートレス フィルタリング システムよりもはるかに堅牢なセキュリティとネットワーク トラフィックに関する適切な情報が提供されます。

ステートレス パケット インスペクションの弱点

Security Pro News の 2002 年 2 月の記事で、著者の Jay Fougere は、ステートレス IP フィルターはトラフィックを効率的にルーティングし、コンピューティング リソースにほとんど要求しない一方で、深刻なネットワーク セキュリティの欠陥があると述べています。ステートレス フィルタはパケット認証を提供せず、指定されたイベントに応答して接続を開閉するようにプログラムすることはできず、IP スプーフィングを使用してハッカーに簡単なネットワーク アクセスを提供します。IP スプーフィングでは、着信パケットにファイアウォールが識別する偽の IP アドレスが含まれます。信頼できるソースから提供されています。

SPI ファイアウォールによるネットワーク アクセスの規制方法

SPI ファイアウォールは、そのネットワークが送信するすべてのパケットの識別子を記録し、着信パケットがネットワーク アクセスを取得しようとすると、ファイアウォールは、それがネットワークから送信されたパケットへの応答であるか、未承諾であるかを判断できます。 SPI ファイアウォールは、アクセス制御リスト、信頼されたエンティティのデータベース、およびそれらのネットワーク アクセス権限を使用できます。 SPI ファイアウォールは、パケットを精査する際に ACL を参照して、信頼できる送信元から送信されたかどうかを判断し、信頼できる送信元から送信された場合は、ネットワーク内のどこにルーティングできるかを判断できます。

不審なトラフィックへの対応

SPI ファイアウォールは、ACL 内にリストされていない送信元から送信されたすべてのパケットをドロップするようにプログラムできます。これにより、サービス拒否攻撃を防ぐことができます。この攻撃では、攻撃者は、リソースを停止させてレンダリングしようとして、受信トラフィックでネットワークをフラッディングします。正当な要求に応答できません。 Netgear の Web サイトは、「セキュリティ:NAT、静的コンテンツ フィルタリング、SPI、およびファイアウォールの比較」という記事で、SPI ファイアウォールは、DoS 攻撃や IP スプーフィングなどの既知のハッキング エクスプロイトで使用されるパケットの特性を調べることもでき、すべてのパケットを破棄できると述べています。悪意のある可能性があると認識します。

ディープ パケット インスペクション

ディープ パケット インスペクションは、SPI を超える高度な機能を提供し、電子メールの全文などの情報を復元するのに十分な深さまで掘り下げながら、リアルタイムでパケットの内容を調べることができます。 DPI を搭載したルーターは、特定のサイトからのトラフィックまたは特定の宛先へのトラフィックに焦点を当てることができ、パケットが送信元または宛先の基準を満たす場合に、パケットのログ記録やドロップなどの特定のアクションを実行するようにプログラムできます。 DPI 対応ルーターは、VoIP やストリーミング メディアなど、特定の種類のデータ トラフィックを調べるようにプログラムすることもできます。