Vad är en statlig inspektion?
Statig inspektion är en teknik som används i brandväggar för datornätverk för att skydda ett nätverk från obehörig åtkomst. Även ibland känd som dynamisk filtrering, kan metoden inspektera ett helt datapaket innan det kommer in i nätverket. På detta sätt kontrolleras varje paket som kommer in i alla gränssnitt på brandväggen helt för giltighet mot de typer av anslutningar som får gå igenom till andra sidan. Processen får sitt namn eftersom den inte bara inspekterar datapaketen, utan också övervakar tillståndet för en anslutning som har upprättats och tillåtits genom brandväggen.
Idén till statlig inspektion utformades först genom Check Point® -programvaran, redan i mitten av 1990 -talet. Innan Check Point's® Firewall-1 Inspect ™ motorprogramvara, övervakade brandväggarna applikationslagret, högst upp i Model Open Systems Interconnection (OSI). Detta tenderade att vara mycket beskattande på en dators processor, så paketinspektionen flyttade ner OSI -modellens lager till det tredje lagret, nätverkslagret. Tidig paketinspektion kontrollerade endast rubrikinformationen, adresserings- och protokollinformationen, för paket och hade inget sätt att skilja paketets tillstånd, till exempel om det var en ny anslutningsbegäran.
I en statlig inspektionsbrandvägg slås den resursvänliga och snabba paketfiltreringsmetoden samman med den mer detaljerade applikationsinformationen. Detta ger ett visst sammanhang till paketet och ger därmed mer information från vilken att basera säkerhetsbeslut. För att lagra all denna information måste brandväggen upprätta en tabell som sedan definierar anslutningens tillstånd. Detaljerna för varje anslutning, inklusive adressinformation, portar och protokoll, såväl som sekvenseringsinformationen för paketen, lagras sedan i tabellen. Den enda gången resurser är ansträngda alls är underdet första inträde i tillståndstabellen; Efter det använder alla andra paket som matchas mot det tillståndet knappast några datorresurser.
Den statliga inspektionsprocessen börjar när det första paketet som begär en anslutning fångas och inspekteras. Paketet matchas mot brandväggens regler, där det kontrolleras mot en rad möjliga auktorisationsparametrar som är oändligt anpassningsbara för att stödja tidigare okända, eller ännu för att utvecklas, programvara, tjänster och protokoll. Det fångade paketet initialiserar handskakningen, och brandväggen skickar ett svar tillbaka till den begärande användaren som bekräftar en anslutning. Nu när tabellen har befolkats med tillståndsinformation för anslutningen matchas nästa paket från klienten mot anslutningstillståndet. Detta fortsätter tills anslutningen antingen tider ut eller avslutas, och tabellen rensas för tillståndsinformationen för den anslutningen.
Detta medför en av de problem som ansiktetD av den statliga inspektionsbrandväggen förnekande av serviceattack. Med denna typ av attack komprometteras inte säkerheten i så mycket som brandväggen bombarderas med många initiala paket som begär en anslutning, vilket tvingar tillståndstabellen att fylla med förfrågningar. När den är full kan statstabellen inte längre acceptera några förfrågningar, och så är alla andra anslutningsförfrågningar blockerade. En annan attackmetod mot en statlig brandvägg utnyttjar brandväggens regler för att blockera inkommande trafik, men tillåter all utgående trafik. En angripare kan lura en värd på den säkra sidan av brandväggen till att be om anslutningar från utsidan och effektivt öppna upp alla tjänster på värden för att angriparen ska använda.