Phần III: Bức tờng lửa (Firewall)
3.1.Bộ lọc gúi (Packet Filter) 1 Nguyờn lý hoạt động
3.1.1. Nguyờn lý hoạt động
Khi núi đến việc lưu thụng dữ liệu giữa cỏc mạng với nhau thụng qua Firewall thỡ điều đú cú nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP. Vỡ giao thức này làm việc theo thuật toỏn chia nhỏ cỏc dữ liệu nhận được từ cỏc ứng dụng trờn mạng, hay núi chớnh xỏc hơn là cỏc dịch vụ chạy trờn cỏc giao thức (Telnet, SMTP, DNS, SMNP, NFS ...) thành cỏc gúi dữ liệu (data pakets) rồi gỏn cho cỏc paket này những địa chỉ để cú thể nhận dạng, tỏi lập lại ở đớch cần gửi đến, do đú cỏc loại Firewall cũng liờn quan rất nhiều đến cỏc Packet và những con số địa chỉ của chỳng.
Bộ lọc gúi cho phộp hay từ chối mỗi Packet mà nú nhận được. Nú kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đú cú thoả món một trong số cỏc luật lệ của lọc gúi hay khụng. Cỏc luật lệ lọc gúi này là dựa trờn cỏc thụng tin ở đầu mỗi Packet (Packet Header ), dựng để cho phộp truyền cỏc Packet đú ở trờn mạng. Đú là:
• Địa chỉ IP nơi xuất phỏt ( IP Source address) • Địa chỉ IP nơi nhận (IP Destination address)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) • Cổng TCP/UDP nơi xuất phỏt (TCP/UDP source port) • Cổng TCP/UDP nơi nhận (TCP/UDP destination port) • Dạng thụng bỏo ICMP (ICMP message type)
• Giao diện Packet đến (Incomming interface of Packet) • Giao diện Packet đi (Outcomming interface of Packet)
Nếu luật lệ lọc gúi được thoả món thỡ Packet được chuyển qua Firewall. Nếu khụng Packet sẽ bị bỏ đi. Nhờ vậy mà Firewall cú thể ngăn cản được cỏc kết nối vào cỏc mỏy chủ hoặc mạng nào đú được xỏc định, hoặc khoỏ việc
truy cập vào hệ thống mạng nội bộ từ những địa chỉ khụng cho phộp. Hơn nữa, việc kiểm soỏt cỏc cổng làm cho Firewall cú khả năng chỉ cho phộp một số loại kết nối nhất định vào cỏc loại mỏy chủ nào đú, hoặc chỉ cú những dịch vụ nào đú (Telnet, SMTP, FTP...) được phộp mới chạy được trờn hệ thống mạng cục bộ.