SPI 防火墙如何保护网络流量

2021 年 5 月 17 日 By 尼克·安德森 没有评论 5分钟

防火墙是网络安全的重要组成部分，它检查网络流量并决定它应该到达您的手中。 防火墙自互联网早期就已经存在，当时防火墙在检测和阻止未经请求的流量方面还处于萌芽状态。 随着时间的推移，有了强大的硬件，防火墙变得更加强大。

您的操作系统有一个防火墙来检查允许哪些流量与互联网通信。 你的路由器有一个内置的防火墙，可以检查入站流量是否合法。 如果没有防火墙，网络安全将受到巨大打击。

SPI 是一种防火墙，它不仅仅是进行基本分析以确定允许哪些数据包进入。 什么是 SPI 防火墙？ 在我们的网站上了解它 blog.

什么是 SPI 防火墙？

SPI 代表状态数据包检测。 它是提供网络安全的高级防火墙。

无状态防火墙或数据包过滤仅检查源和目标 IP 地址以及源/目标端口，并允许入站流量与网络上的正确设备通信。 我们在之前已经解释过 blog这就是如何向前移动以及为什么某些活动（例如游戏）可能需要它以获得最佳体验。 相比之下，状态防火墙更全面。 但首先，让我们了解 NAT 的工作原理。

什么是NAT？

网络地址转换是路由器的一部分，它在 NAT 表中记录所有出站请求。 它会记录每个设备的 IP 地址、它使用的端口以及它希望通过 Internet 连接的目标 IP 地址和端口。

然后它将您的设备映射到一个 IP 地址，也称为网关，由 互联网服务提供商（ISP）. 因为我们几乎用尽了有限数量的 IP 地址，所以这种方法为我们争取到了 IPv4 地址耗尽之前所需的时间。 您可以了解有关 IPv4 地址的更多信息 点击此处.

NAT 防火墙是一种无状态的防火墙，它只遵循一定的规则来批准/拒绝数据包的进入。

SPI 防火墙如何工作？

网络流量以称为数据包的小块形式移动。 您通过 Internet 与朋友的通信基于一系列数据包。 每个数据包都携带一些信息，这些信息会被传输，然后在其目的地构建。

SPI 防火墙不仅仅监视源地址和目标地址，还检查数据包的上下文。 它检查某些事情，例如数据包是否属于 TCP 握手后建立的活动会话。 它适用于两者 TCP和UDP. 对于不接收确认就传输数据包的 UDP，它遵循配置（例如，允许的会话持续时间）。

SPI 防火墙有自己的内存，用于记录以前的数据包，并使用状态表来确定下一个数据包是否属于该系列。 它知道什么应用程序请求连接到 Internet 并期望听到来自网络服务器的响应。 如果不满足某些条件，SPI 防火墙将丢弃数据包。

例如，当您请求打开一个网站时，SPI 防火墙会将该请求记录到它的内存中。 入站响应将因此被信任，因为它知道内部应用程序请求它。 SPI 很有用，因为它可以打开/关闭端口以允许流量通过 NAT，这是无状态防火墙无法做到的。

它对于基本安全很有用，防火墙将丢弃包含恶意软件的数据包，而不是坏人发送的系列的一部分。

提供这种安全性的过程会带来性能损失。

SPI 与 DPI

深度包检测（DPI） 是目前使用的更高级的防火墙。 它在 OSI 模型上比 SPI 防火墙在更深的层次上工作。 SPI 通过检查数据包的标头、来源、活动连接等来验证数据包，而 DPI 则分解数据包。 我们正在谈论实际检查有效载荷以验证它是否通过了设定的规则。

DPI 更强大。 网络管理员可以部署 DPI 来检查某些签名，例如 恶意软件，或阻止包含某些词的流量。 它不仅通过确保数据包是可信通信的一部分来提高网络安全性。 并且黑客没有在有效载荷中植入恶意软件。

但它有一个明显的问题：速度。 DPI 更先进，但也更苛刻。 它需要更多的处理能力和时间，因为数据包必须被解构然后重建。

DPI 用于国家监测。 中国等国家在其中国防火墙中使用 DPI 来阻止某些流量； 这就是为什么许多网站和 VOIP 服务在该国无法访问的原因。

结论——SPI 是否限制 VPN？

SPI 不会干扰 VPN。 当你安装 FastestVPN，它在应用程序防火墙中破例。 SPI 防火墙知道受信任的应用程序已请求连接到互联网。 相反，它允许来自 VPN 服务器的入站流量。

FastestVPN的反恶意软件功能作为一种防火墙。 它根据标记的恶意域检查域并阻止它们打开。

订阅电子报

接收本周的热门帖子和最新公告 FastestVPN 通过我们的电子邮件通讯。

电子邮件