Что такое брандмауэр SPI?
Брандмауэр является одним из основных инструментов, защищающих устройства от различных атак и вирусов, распространяющихся через интернет. Однако не все они одинаково мощные и безопасные. Брандмауэр SPI – это один из вариантов, который вы можете выбрать.
Что такое SPI?
Stateful packet inspection (или динамическая фильтрация пакетов) – это технология, которая отслеживает активные соединения и проверяет, соответствуют ли входящие пакеты данных этим соединениям. Затем он решает, разрешить или запретить им проходить через брандмауэр.
Если кратко, устройства передают данные в пакетах, чтобы получающая сторона могла их легче обрабатывать. Один большой блок данных может быть разделен на несколько пакетов. Но хакеры могут взломать эти пакеты, чтобы нанести вред принимающему серверу. Вот тут брандмауэр SPI проверяет, являются ли эти пакеты легитимными и соответствуют ли они уже установленному соединению. Он отбрасывает пакеты, которые не относятся к доверенному соединению, тем самым сводя к минимуму возможность взлома.
Что такое брандмауэр SPI?
Брандмауэр SPI (проверка пакетов с контролем состояния соединений) защищает устройства, проверяя входящие пакеты от существующих подключений.
Обычный брандмауэр делает проверку на статических значениях, таких как адрес источника или назначения. Он не учитывает трафик соединения пакета и применяет один и тот же набор правил для всех пакетов и не может получать никакую информацию о своем подключении. Эти брандмауэры нельзя настроить на открытие и закрытие сессий. Они также не могут определить, поступают ли пакеты с легитимного IP-адреса. Поэтому, они не так безопасны, как брандмауэры SPI, но зато быстрее.
Как работают брандмауэры SPI?
Брандмауэр SPI может запоминать атрибуты каждого соединения и использовать эту информацию для определения надежности пакета. Он хранит полученную информацию, изучая пакеты и устанавливая правила. Благодаря этому, он видит весь контекст пакета, а не только его содержимое.
Благодаря такой памяти брандмауэр SPI не нуждается в тщательном осмотре каждого пакета, поэтому он работает быстрее, чем deep packet inspection (DPI). Последний деконструирует пакеты, чтобы проверить, правильно ли они сформированы и содержат ли они какой-либо вредоносный код. DPI используется для самых различных целей, включая управление сетью, безопасность, интеллектуальный анализ данных или интернет-цензуру. Он обеспечивает безопасность за счет снижения скорости.
Как отключить spi в роутере asus
SPI (stateful packet inspection)- это функция Интернет-маршрутизаторов серии DI-XXX , при включении которой производится дополнительная проверка пакетов на принадлежность существующему соединению.
При установлении любой сессии TCP/IP NAT открывает для нее порт. После завершения сессии порт еще несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путем сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии.
При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности.
В случае некорректности входящего пакета ( например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому ) — такой пакет блокируется и в логе появляется запись о таком событии.
Для включения SPI сначала нужно настроить подключение к интернет- маршрутизатору по локальной сети, подключиться веб-браузером по IP-адресу интернет- маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
После этого перейти на закладку Tools -> Misc и выбрать «Enabled» в разделе SPI mode.
Брандмауэр На Роутере Asus — Сетевой Фильтр URL Адресов Для Блокировки Контента
Брандмауэр на маршрутизаторе Asus — это очень эффективное средство для блокировки доступа в сеть тем или иным устройствам в сети. Кроме эффективной защиты сети от внешнего проникновения из интернета межсетевой экран выполняет и воспитательные функции. Например, случается, что вместо того, чтобы делать уроки, вашего ребенка так тянет поиграть в онлайн-игру или посмотреть какие-нибудь приколы в Youtube. Тогда самое время включить фильтр контента на роутере и ограничить с помощью фаервола доступ к нежелательным страницам в интернете.
Настройка брандмауэра на маршрутизаторе Asus
Давайте же разберемся, как вручную заблокировать сайты на роутере Asus. Настройка брандмауэра делится на несколько этапов. Собственно, после захода в админке маршрутизатора в раздел «Брандмауэр», нас ждет несколько вкладок.
Фильтр URL-адресов Asus
Во-первых, это ограничение доступа к каким-то определенным ресурсам в интернете. В разделе «Фильтр URL адресов» можно добавить адреса таких сайтов, к которым вы хотите запретить доступ.
Здесь мы сначала ставим флажок на включение фильтра, а потом вписываем не URL целиком, а лишь ключевое слово. Например «XXX». И все адреса, содержащие это слово, попадут под фильтр, то есть заблокируются сайты типа «www.xxx18.rу», «www.russianxxx.соm» и так далее. Условий для блокировки можно задать несколько. После этого жмем на плюсик и применяем параметры.
Фильтр ключевых слов
Следующая вкладка — это немного расширенный вариант блокировки веб-контента. Функция фильтра ключевых слов дает возможность отфильтровать все сайты, где запрещенные слова встречается вообще хоть раз в контенте на странице, а не только в адресе. Остальное работает точно так же.
Фильтр сетевых служб Asus
Последняя вкладка в разделе защиты роутера — «Фильтр сетевых служб» — отвечает за полную блокировку интернета или каких-то приложений, работающих через определенные порты. Можно даже настроить расписание по дням и часам, по которому они будут блокироваться. Чтобы заблокировать работу интернета необходимо прописать в качестве назначения порт «80».
Кроме ручных настроек, в некоторых моделях Асус есть встроенная функция блокировки сайтов через Яндекс DNS — о нем читайте в специальной статье.
Что будет если отключить фаервол на роутере Asus?
По большому счету, если отключить фаервол на маршрутизаторе, ничего страшного не случится. Только лишь понизится защита вашей локальной сети. Если у каких-то мошенников возникнет желание взломать ваш WiFi, то сделать им это будет гораздо проще, чем при включенном межсетевом экране.
Руководство по использованию фильтра сетевых служб на блоге поддержки клиентов Asus
Как включить функцию DMZ на роутере тп линк и отключить функцию SPI?
SPI (stateful packet inspection)- это функция Интернет-маршрутизаторов серии DI-XXX, при включении которой производится дополнительная проверка пакетов на принадлежность существующему соединению.
При установлении любой сессии TCP/IP NAT открывает для нее порт. После завершения сессии порт еще несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путем сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии.
При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности.
В случае некорректности входящего пакета ( например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому ) — такой пакет блокируется и в логе появляется запись о таком событии.
Для включения SPI сначала нужно настроить подключение к интернет- маршрутизатору по локальной сети, подключиться веб-браузером по IP-адресу интернет- маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
Как отключить spi в роутере asus
Обычно понятия брандмауэр в Windows и в роутере различаются. Брандмауэр на подобие того, что в Windows обычно называется Secured NAT (не часто сие опция встречается в роутерах) и во включенном режиме работает как «Усечёный конус» (Restricted cone), вот вам немного википедии, чтобы быть немного вкурсе по поводу типов NAT:
Cone NAT, Full Cone NAT (в играх обычно «Open» или «Открытый» NAT) — Однозначная (взаимная) трансляция между парами «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любой внешний хост может инициировать соединение с внутренним хостом (если это разрешено в правилах межсетевого экрана).
Address-Restricted cone NAT, Restricted cone NAT (в играх — «Moderate» или «Умеренный» NAT, в роутерах «Secured») — Постоянная трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт». Любое соединение, инициированное с внутреннего адреса, позволяет в дальнейшем получать ему пакеты с любого порта того публичного хоста, к которому он отправлял пакет(ы) ранее.
Port-Restricted cone NAT (аналогично «Moderate», «Умеренный», «Secured») — Трансляция между парой «внутренний адрес: внутренний порт» и «публичный адрес: публичный порт», при которой входящие пакеты проходят на внутренний хост только с одного порта публичного хоста — того, на который внутренний хост уже посылал пакет.
Симметричный NAT (Symmetric NAT, в играх — «Restricted» или «Строгий») — трансляция, при которой каждое соединение, инициируемое парой «внутренний адрес: внутренний порт» преобразуется в свободную уникальную случайно выбранную пару «публичный адрес: публичный порт». При этом инициация соединения из публичной сети невозможна. (самый жуткий вариант для P2P)
P.S.: Если признаться честно, то эти «типы» NAT реализуются как набор правил фильтрации входящих пакетов для брандмауэра.
Но под Firewall в роутерах чаще подразумевается SPI
Технология SPI (Stateful Packet Inspection — инспекция пакетов с хранением состояния) позволяет дополнительно защититься от атак, выполняя проверку проходящего трафика на корректность (работают на сетевом, сеансовом и прикладном уровнях модели OSI).
Т.е. он вскрыает пакеты и смотрит что там, а также ведёт статистику защая от DDoS-атак, SYN-флуда и т.д.
Суть в том, что вся эта защита требует ресурсов процессора и может вносить из-за этого задержки, поэтому на бюджетных роутерах для обеспечения быстродействия ставим NAT в Open (если есть возможность), а SPI отключаем.
Если опцию «Secured NAT» не часто можно встретить, то DMZ уж точно есть почти в каждом роутере.
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных[1]. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
В домашних роутерах он отличается только тем, что «общедоступный сервис» не отделёт от внутренней сети. С помощью DMZ как раз можно отключить фильтрацию (или блокировку) входящих пакетов, но для отдельно взятого компьютера.
Но если у вас какой-нибудь хардкорный роутер (например Mikrotik), то там не найдётся упоминания о DMZ и что в таком случае делать? Тут следует знать, что DMZ это тот же Port Forward (Проброс портов), но не на один порт, а на все, т.е. в таком случае следует сделать проброс портов от 1 до 65535.
Application-level gateway, или ALG (с англ. — «шлюз прикладного уровня») — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
Ну тут всё понятно, пускай одни пакеты стоят где-то в пробке, а другим выдадим мигалки и пускай мчатся, как раздавать приоритеты в Windows уже ранее рассказывалось в другом руководстве .
Тут хочется отметить, что есть роутеры Asus в которых предлагается на выбор «Адаптивный QoS» и «Традиционный QoS» — на мой взгляд последний лучше =)