Nguyên tắc này cũng giống như lọc gói dựa trên ñịa chỉ máy gửi, chỉ khác là Packet filter sẽ lọc số cổng máy gửi (port nguồn) thay vì ñịa chỉ của nó.
Những rủi ro của việc lọc dựa trên số port của máy gửi:
Cũng giống như trường hợp lọc theo ñịa chỉ nguồn (source address), việc lọc các Packet dựa theo thông tin số port nguồn (source port) cũng có những rủi ro tương tự.
Đối với các dịch vụ có cầu nối (connection – oriented) như TCP, trước khi hai network application trao ñổi dữ liệu với nhau chúng phải thiết lập kết nối (connection), khi chúng ñã trao ñổi dữ liệu xong chúng sẽñóng kết nối. Quá trình từ
lúc thiết lập kết nối cho ñến khi ñóng kết nối gọi là một session, ñối với những dịch vụ dạng này việc lọc các Packet có thể sử dụng thông tin thiết lập kết nối ở trong TCP flags field. Nhưng ñối với những dịch vụ không có kết nối (connectionless) như UDP thì việc lọc các Packet theo dạng này có thể thực hiện ñược như sau:
− Session filter: là trường hợp ñặt biệt của Packet filters nhưng nó còn giữ
thêm những thông tin trên tất cả các active session ñi qua Firewall. Bộ lọc (filter) Packet sẽ dùng thông tin này ñể xác ñịnh Packet di chuyển theo hướng ngược lại thuộc vào connection ñược chấp nhận hay không. Đồng thời có thể dùng thông tin về session này ñể thực hiện việc theo dõi ở mức session (session –level auditing).
− Dynamic Packet Filtering : Theo dõi các outgoing UDP Packet ñã ñi vào/ra Chỉ cho phép các incoming UDP Packet tương ứng với các outgoing UDP Packet dựa vào thông tin host và port, chỉ cho vào những UDP có cùng host và cùng port với các outgoing UDP Packet. Nhưng chỉ cho phép khoảng cách giữa outgoing UDP Packet và incoming UDP Packet ở giới hạn nào ñó (tùy chọn sao cho thích hợp) (time – limited).
Mặc dù dùng phương pháp trên có thể lọc ñược internal host hay external host ai là người ñưa ra yêu cầu (request) và ai là trả lời (reply) nhưng nó vẫn ñể lộ một số lỗ hở dẫn ñến người tấn công (attacker) lợi dụng việc cho vào reply tương ứng ñể
gửi vào request in tương ứng với host/port trên và nếu may mắn, anh ta có thể thành công.
Những thông tin dùng cho việc ñặc tả các rule trong Packet filter là: IP source/destination address : ñịa chỉ IP của máy gửi và nhận Packet. Protocol (TCP | UDP | ICMP ): nghi thức ở trên lớp IP ñược sử dụng. TCP or UDP source/destination port : dịch vụở cấp ứng dụng.
ICMP message type: loại ICMP message . IP options.
Start –of– connection (ACK bit) information cho TCP packages.
Tất cả các thông tin trên là ở trong IP header và TCP| UDP header. Và thêm một thông tin quan trọng ñó là Packet từ interface nào (từ Internet hay từ internal network). Một số thông tin phụ khác như thời gian truy nhập, lượng Packet trên một dịch vụ, thời ñiểm truy cập.
CHƯƠNG 3: HỆ THỐNG FROXY
Proxy cung cấp cho người sử dụng truy xuất Internet với những host ñơn. Những Proxy Server phục vụ những nghi thức ñặc biệt hoặc một tập những nghi thức thực thi trên dual–homed host hoặc Bastion Host. Những chương trình Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp.
Proxy Server xác ñịnh những yêu cầu từ Client và quyết ñịnh ñáp ứng hay không ñáp ứng, nếu yêu cầu ñược ñáp ứng, Proxy Server sẽ kết nối ñến Server thật thay cho Client và tiếp tục chuyển tiếp những yêu cầu từ Client ñến Server, cũng như chuyển tiếp những ñáp ứng của Server trở lại Client. Vì vậy Proxy Server giống như cầu nối trung gian giữa Server thật và Client.