net-it.de

net-it.de > firewall > spi

Verbindungsorientierte Inspektion von Paketen (Stateful Packet Inspection, SPI)

schematische Darstellung eines verbindungsorientierten Paketinspektors (SPI)

Hinsichtlich der genauen Differenzierung zwischen Stateful packet filtering und SPI scheint es auseinandergehende Meinungen zu geben. Da diese Filterarten sehr nahe verwandt sind, scheint die Grenze oft verwischt zu werden.

Die Paketinspektion wertet zusätzlich zu den Sockets und dem Verbindungsstatus auch Teile des Inhaltes der Pakete (also Teile der Anwendungsdaten) aus. Dabei werden die Daten nur analysiert und nicht verändert.

Ausgehende Verbindungen zu FTP-Servern erfordern zum Beispiel das Öffnen eines Ports zur Entgegennahme eingehender Daten (aktives FTP). Dieser Port wird dem FTP-Server als Datum in einem Paket übermittelt.

Mittels SPI wird diese Portnummer aus den Daten des Paketes ausgelesen und anschließend der Port nur für die Dauer der Verbindung geöffnet. Damit wird sichergestellt, das jede Form von erlaubter Kommunikation auch vom Quellrechner ausgelöst wird.

< zurück zum Index     > weiter zu: Inhaltsfilter

zuletzt geändert am 20.2.2003: joerg trawinski

Valid XHTML 1.1! Valid CSS!

© 2003 net-it.de impressum