Um firewall do SPI (Inspeção de Pacotes com Estado) lidará com um segmento TCP SYN de maneira diferente de um firewall de filtragem de pacotes mais simples. Aqui está o processo:

1. Pacote Syn inicial: Quando o firewall da SPI recebe um pacote TCP SYN, ele não apenas olha para os números da porta e os endereços IP para controle de acesso. Em vez disso, ele verifica se o pacote é legítimo examinando suas informações de cabeçalho.

2. Criação de entrada da tabela de estado: Se o pacote syn parecer válido (soma de verificação correta, sem características maliciosas óbvias), o firewall da SPI cria uma nova entrada em sua tabela de estado. Esta tabela rastreia as características da conexão:
* Endereço IP de origem e porta
* Endereço IP de destino e porta
* Protocolo (TCP)
* Número da sequência
* estado (por exemplo, syn_sent, syn_received, estabelecido)

3. permitindo o pacote: Como o firewall agora está * ciente * dessa tentativa esperada de conexão, provavelmente permitirá que o pacote SYN passe para o host de destino. O firewall agora essencialmente "espera" os pacotes Syn-ack e ACK correspondentes.

4. pacotes subsequentes: Outros pacotes relacionados a essa conexão (Syn-ack, ACK, pacotes de dados) só serão permitidos se corresponderem à entrada da tabela de estado. Os pacotes que não correspondem (por exemplo, um pacote SYN de uma porta de origem diferente direcionados ao mesmo destino) serão descartados como inesperados ou potencialmente maliciosos. Esta é a parte "com estado" - o firewall está mantendo o contexto sobre a conversa.

5. Tempo limite e mudanças de estado: A entrada da tabela de estado permanece ativa por um determinado período. Se os pacotes subsequentes esperados (syn-ack, ACK) não forem recebidos dentro de um prazo razoável, o tempo de entrada é removido da tabela. O estado também mudará à medida que a conexão progride (por exemplo, de syn_received para estabelecido). Depois que a conexão é fechada (com pacotes FIN), a entrada é removida.

6. implicações de segurança: Ao inspecionar o estado da conexão, um firewall da SPI ajuda a evitar muitos ataques de inundação do TCP Syn. Uma simples inundação do SYN tenta sobrecarregar um servidor enviando muitos pacotes SYN sem enviar as ACKs subsequentes. Um firewall da SPI, com sua tabela de estado, detectará e bloqueará esses pacotes SYN ilegítimos. Ele também bloqueia outros ataques que dependem de endereços falsificados e sequências de pacotes inesperadas.


Em suma, um firewall SPI não apenas filtra passivamente os pacotes; Monitora ativamente o estado das conexões de rede, permitindo apenas pacotes que se conformam aos padrões esperados e impedindo muitos ataques comuns.