II. một số kiểu firewall thông dụng
3. Cơ cấu hoạt động của hệ thống lọc gói:
Để cấu hình lọc gói cho một Router, trớc hết ta phải quyết định xem những dịch vụ nào đợc cho phép hoặc bị ngăn cấm, sau đó chuyển đổi các quyết định đó thành các luật lọc đối với gói dữ liệu. Một bộ các luật lọc liên kết chặt chẽ, hỗ trợ
bổ xung cho nhau sẽ tạo thành một hệ thống lọc gói đảm bảo đợc mục tiêu an ninh đặt ra.
Đối với mỗi gói dữ liệu, hệ thống lọc sẽ quét lần lợt qua các luật lọc đã sắp xếp theo thứ tự từ trớc cho đến khi gặp một luật phù hợp với gói đó thì thi hành tác vụ chỉ định bởi luật đó. Nhng nếu nh trong quá trình truyền, có một hoặc nhiều gói dữ liệu không phù hợp với bất kỳ luật lọc nào thì Router sẽ xử lý ra sao? Chính vì lý do đó, ở cuối mỗi bộ luật lọc thờng có một luật gọi là mặc định cấm, với tất cả các trờng có giá trị bất kỳ trừ trờng tác vụ có giá trị là cấm.
Ví dụ về một bộ lọc gói điển hình nh sau:
Luật Chiều Đ/c nguồn Đ/c đích Cổng nguồn Cổng đích Tác vụ
A Vào good.host our.net * * Cho phép
B Ra our.net * 25 * Cho phép
C * * * * * Cấm
ở đây giá trị good.host là đại diện cho một số trạm bên ngoài mà ta tin tởng,
còn our.net là để chỉ tất cả các trạm trong mạng địa phơng ta cần bảo vệ. Cổng
23 là cổng của Server cho dịch vụ Telnet, còn 25 là cổng Server của dịch vụ điện th qua giao thức SMTP (Simple Mail Transfer Protocol). Nh vậy nhìn vào bản trên ta có thể diễn giải bộ lọc này nh sau:
- Luật A cho phép các trạm good.host sử dụng dịch vụ Telnet để truy nhập vào các trạm ở mạng bên trong.
- Luật B cho phép các trạm bên trong gửi th điện tử (E-mail) ra bất cứ đích nào bên ngoài bằng SMTP.
- Luật C sẽ loại bỏ tất cả các gói khác không thuộc loại nào ở trên.