Межсетевой экран spi, что это?

Вопрос: Что такое SPI у Интернет-маршрутизаторов (роутеров) серии DI-XXX? Ответ:

SPI (stateful packet inspection)- это функция Интернет-маршрутизаторов серии DI-XXX , при включении которой производится дополнительная проверка пакетов на принадлежность существующему соединению.

При установлении любой сессии TCP/IP NAT открывает для нее порт. После завершения сессии порт еще несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путем сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии.

При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности.

В случае некорректности входящего пакета ( например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому ) — такой пакет блокируется и в логе появляется запись о таком событии.

Для включения SPI сначала нужно настроить подключение к интернет- маршрутизатору по локальной сети, подключиться веб-браузером по IP-адресу интернет- маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).

После этого перейти на закладку Tools -> Misc и выбрать «Enabled» в разделе SPI mode.

Из данной инструкции вы узнаете как настроить блокировку веб-сайта на наших беспроводных роутерах. В качестве примера мы возьмем модель TL-WR841N V13.

Шаг 1: Как войти на веб-страницу вашего роутера

Откройте веб-браузер и введите в адресной строке IP-адрес роутера (по умолчанию 192.168.0.1) или http://tplinkwifi.net, затем нажмите . При появлении запроса введите учетные данные для входа. По умолчанию имя пользователя и пароль – «admin».

Шаг 2:

Перейдите в Access Control (Контроль доступа) > Host (Узел), затем нажмите Add New…(Добавить)

Выберите ‘IP Address’, затем введите краткое описание для правила хоста в поле Host Description. Введите диапазон IP-адресов в сети, к которому требуется заблокировать доступ.

Нажмите Save (Сохранить) – новое правило Хоста теперь будет отображаться на странице «Host Settings» («Настройки хоста»).

Шаг 3

Перейдите в Access Control (Контроль доступа) -> Target, затем нажмите Add New (Добавить…)

Шаг 4

Выберите Доменное имя в качестве типа режима. Создайте уникальное описание (например, цель_1) для цели в поле Target Description (Описание цели) и введите доменное имя, полное имя или ключевые слова (например, TP-LINK) в поле Domain Name.

Шаг 5

Выберите Access Control (Контроль доступа) > Schedule (Расписание) и настройте параметры расписания. Нажмите Кнопку Add New… «Добавить».

Шаг 6

Создайте уникальное описание (например, schedule_1) для расписания в поле Schedule Description (Описание расписания), задайте дни и период времени и нажмите кнопку Save (Сохранить).

Примечание: убедитесь, что время на маршрутизаторе установлено также, как на компьютерах. Чтобы проверить время маршрутизатора, перейдите в раздел System Tools (Системные инструменты) -> Time Settings (Настройки времени).

Шаг 7

Перейдите к Access Control (Контроль доступа) -> Rule (Правило). На открывшейся странице поставьте галочку «Enable Internet Access Control» («Включить управление доступом в Интернет»), затем выберите Allow the packets specified by any enabled access control policy to pass through the Router (Разрешить пакетам, указанным в любой включенной политике управления доступом, проходить через маршрутизатор) в качестве фильтра по умолчанию, затем нажмите кнопку Save (Сохранить).

Нажмите кнопку Add New… (Добавить), затем введите краткое описание правила в поле Rule Name.

В поле «Host:» (Узел) выберите правило узла, определенное на Шаге 2

В поле «Target:» (Цель) выберите целевое правило, определенное на Шаге 3

В поле «Schedule:» (Расписание) выберите «в любое время» (это сделает правило всегда активным)

В поле «Action:» (Действие) выберите «Deny» (Запретить).

В поле «Status:» (Состояние) выберите «Enabled» (Включено).

Нажмите кнопку Save (Сохранить) – новое правило контроля доступа появится на странице «Access Control Rule Management» (Управление правилами контроля доступа).

Маршрутизаторы фирмы Tp-Link в нашей сети с ЗАВОДСКОЙ прошивкой работают только в режиме PPPoE.

Для возможности работать через этот режим подключения требуется связываться с техподдержкой.

Для работы роутера с прошивкой от производителя нужно продиктовать MAC адрес роутера технической поддержке.

Затем нужно зайти в любой браузер, и в адресной строке указывает IP адрес веб-интерфейса настройки роутера 192.168.0.1.

В веб интерфейсе в основном меня выберите пункт «Сеть» и подпункт «WAN» (1).

Выберите тип соединения PPPoE / PPPoE Россия (2).

Введите пользовательские логин доступа и два раза пароль доступа. (3).

В разделе «Вторичное подключение» обязательно нужно отметить пункт Динамический IP адрес (4).

В разделе «Режим подключение» выберите пункт Подключать автоматически (5).

После завершение настроек внизу нажмите Сохранить.

Для облегчения диагностики возможных неполадок рекомендуем отключить брандмауэр (межсетевой экран) роутера.

Для этого в основном меню выберите пункт Безопасность, Настройки базовой защиты, и напротив пункта «межсетевой экран SPI» выберите «Выключить».

После этого можно настроить беспроводную сеть.

Для этого сначала зайдите в основном меня в пункт «Беспроводной режим», «Настройки беспроводного режима» (1).

И в поле «Имя беспроводной сети» задайте имя свой сети (2) .

Потом в разделе меню Беспроводной режим, Защита беспроводного режима (1).

Выберите тип шифрования WPA/WPA2 Personal (2).

В графе версия выберите WPA2-PSK, и в графе Пароль PSK укажите желаемый пароль (3).

Обратите внимание что если Вы работаете с роутером по WiFi, то после любых изменений настроек беспроводной сети, связь с роутером теряется, и нужно устанавливать соединение с роутером снова, с учетом новых настроек WiFi.