4. Hệ thống Firewall xây dựng bởi CSE
4.2.2 Netacl: công cụ điều khiển truy nhập mạng
Chúng ta đã biết rằng inetd không cung cấp một sự điều khiển truy nhập mạng nào cả: nó cho phép bất kỳ một hệ thống nào trên mạng cũng có thể nối tới các dịch vụ liệt kê trong file inetd.conf.
Netacl là một công cụ để điều khiển truy nhập mạng, dựa trên địa chỉ network của máy client, và dịch vụ được yêu cầu. Vì vậy một client (xác định bởi địa chỉ IP hoặc hostname) có thể khởi động telnetd (một version khác của telnet) khi nó nối với cổng dịch vụ telnet trên firewall.
Thường thường trong các cấu hình firewall, netacl được sử dụng để cấm tất cả các máy trừ một vài host được quyền login tới firewall qua hoặc là telnet hoặc là rlogin, và để khoá các truy nhập từ những kẻ tấn công.
Độ an toàn của netacl dựa trên địa chỉ IP và/hoặc hostname. Với các hệ thống cần độ an toàn cao, nên dụng địa chỉ IP để tránh sự giả mạo DNS. Netacl không chống lại được sự giả địa chỉ IP qua chuyển nguồn (source routing) hoặc những phương tiện khác. Nếu có các loại tấn công như vậy, cần phải sử dụng một router có khả năng soi những packet đã được chuyển nguồn (screening source routed packages).
Chú ý là netacl không cung cấp điều khiển truy nhập UDP, bởi vì công nghệ hiện nay không đảm bảo sự xác thực của UDP. An toàn cho các dịch vụ UDP ở đây đồng nghĩa với sự không cho phép tất cả các dịch vụ UDP.
Netacl chỉ bao gồm 240 dòng mã C (cả giải thích) cho nên rất dễ dàng kiểm tra và hiệu chỉnh. Tuy nhiên vẫn cần phải cẩn thận khi cấu hình nó.