Lọc gói tĩnh hay còn gọi là lọc gói không trạng thái (Stateless packet filtering) là một phƣơng pháp lọc nhanh chóng, hiệu quả đối với từng các gói dữ liệu, nhƣng chỉ cho các hoạt động đơn giản. Nếu yêu cầu phải có một kiến thức chi tiết về giao thức hoặc khả năng theo dõi thông tin ngoài tiêu đề (Header) thì
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/ phải sử dụng lọc gói động hay còn gọi là lọc gói trạng thái đầy đủ (Stateful packet filtering).
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/
Ghép gói tin Gói tin phân mảnh?
A
Xử lý lỗi của gói tin
Gói tin có lỗi?
Phân tích tiêu đề gói tin
Xác định định danh lọc gói
Tìm định danh trong bảng luật
So sánh các trƣờng của gói tin và các trƣờng trong luật
Gói tin hợp luật?
Chuyển tiếp gói tin
Hủy bỏ gói tin Nhận gói tin Ghép thành công? đ đ đ đ s s s s B
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn/
Hình 2.2. Lƣu đồ thuật toán lọc gói tin tĩnh
* Phân tích lưu đồ
a. Kiểm tra lỗi gói tin IP nhận: Kiểm tra trƣờng “Kiểm tra lỗi” (Checksum), kiểm tra một số thông số của gói tin IP nhƣ “Phiên bản” (Version), “Kiểu dịch vụ” (ToS), “Kích thƣớc toàn bộ” (Total length), “Thời gian sống” (TTL), “Giao thức tầng trên” (Protocol)… Nếu gói tin có lỗi thì “Hủy gói tin” (Xoá khỏi bộ đệm, buffer) và gửi thông báo lỗi.
b. Kiểm tra và xử lý việc phân đoạn (Fragment) dựa vào các cờ DF, MF và Offset trong gói tin IP. Nếu chƣa là phân đoạn cuối cùng thì nhớ phân đoạn đó lại, ngƣợc lại nếu là phân đoạn cuối cùng thì nối các phân đoạn đã nhận lại thành gói tin. Nếu sau thời gian TimeOut vẫn không nhận đƣợc mảnh cuối cùng thì hủy tất cả các mảnh tin đã đƣợc lƣu. Bộ lọc tĩnh chỉ xử lý gói tin trọn vẹn.
c. Lọc gói tin theo chính sách an ninh: Xác định định danh lọc gói, tìm luật tƣơng ứng, kiểm tra xem gói tin có hợp luật không và đƣa ra quyết định cách xử lý tiếp theo. Quy trình lọc gói và xây dựng tập luật tƣơng ứng phụ thuộc vào giao thức cụ thể (giao thức IP, TCP, UDP, ICMP…) và các cách tấn công vào lỗ hổng của từng giao thức. Tập luật phải bảo đảm hoạt động bình thƣờng của mạng nhƣng không để lọt các hành vi độc hại tấn công nhằm phá hoại mạng. Tôi sẽ phân tích các kỹ thuật lọc gói không trạng thái chung nhất đƣợc thực hiện trong hầu hết các bức tƣờng lửa mã nguồn mở và các bức tƣờng lửa thƣơng mại trong các mục tiếp theo.