Nguyờn tắc này cũng giống như lọc gúi dựa trờn địa chỉ mỏy gửi, chỉ khỏc là Packet filter sẽ lọc số cổng mỏy gửi (port nguồn) thay vỡ địa chỉ của nú.
Những rủi ro của việc lọc dựa trờn số port của mỏy gửi:
Cũng giống như trường hợp lọc theo địa chỉ nguồn (source address), việc lọc cỏc Packet dựa theo thụng tin số port nguồn (source port) cũng cú những rủi ro tương tự.
Đối với cỏc dịch vụ cú cầu nối (connection – oriented) như TCP, trước khi hai network application trao đổi dữ liệu với nhau chỳng phải thiết lập kết nối (connection), khi chỳng đó trao đổi dữ liệu xong chỳng sẽ đúng kết nối. Quỏ trỡnh từ lỳc thiết lập kết nối cho đến khi đúng kết nối gọi là một session, đối với những dịch vụ dạng này việc lọc cỏc Packet cú thể sử dụng thụng tin thiết lập kết nối ở trong TCP flags field. Nhưng đối với những dịch vụ khụng cú kết nối (connectionless) như UDP thỡ việc lọc cỏc Packet theo dạng này cú thể thực hiện được như sau:
Session filter: là trường hợp đặt biệt của Packet filters nhưng nú cũn giữ thờm những thụng tin trờn tất cả cỏc active session đi qua Firewall. Bộ lọc (filter) Packet sẽ dựng
thụng tin này để xỏc định Packet di chuyển theo hướng ngược lại thuộc vào connection được chấp nhận hay khụng. Đồng thời cú thể dựng thụng tin về session này để thực hiện việc theo dừi ở mức session (session –level auditing).
Dynamic Packet Filtering : Theo dừi cỏc outgoing UDP Packet đó đi vào/ra Chỉ cho phộp cỏc incoming UDP Packet tương ứng với cỏc outgoing UDP Packet dựa vào thụng tin host và port, chỉ cho vào những UDP cú cựng host và cựng port với cỏc outgoing UDP Packet. Nhưng chỉ cho phộp khoảng cỏch giữa outgoing UDP Packet và incoming UDP Packet ở giới hạn nào đú (tựy chọn sao cho thớch hợp) (time – limited).
Mặc dự dựng phương phỏp trờn cú thể lọc được internal host hay external host ai là người đưa ra yờu cầu (request) và ai là trả lời (reply) nhưng nú vẫn để lộ một số lỗ hở dẫn đến người tấn cụng (attacker) lợi dụng việc cho vào reply tương ứng để gửi vào request in tương ứng với host/port trờn và nếu may mắn, anh ta cú thể thành cụng.
Những thụng tin dựng cho việc đặc tả cỏc rule trong Packet filter là: IP source/destination address : địa chỉ IP của mỏy gửi và nhận Packet. Protocol (TCP | UDP | ICMP ): nghi thức ở trờn lớp IP được sử dụng. TCP or UDP source/destination port : dịch vụ ở cấp ứng dụng. ICMP message type: loại ICMP message .
IP options.
Start –of– connection (ACK bit) information cho TCP packages.
Tất cả cỏc thụng tin trờn là ở trong IP header và TCP| UDP header. Và thờm một thụng tin quan trọng đú là Packet từ interface nào (từ Internet hay từ internal network). Một số thụng tin phụ khỏc như thời gian truy nhập, lượng Packet trờn một dịch vụ, thời điểm truy cập.
Chương 5: hệ thống Proxy
Proxy cung cấp cho người sử dụng truy xuất Internet với những host đơn. Những Proxy Server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thực thi trờn dual– homed host hoặc Bastion Host. Những chương trỡnh Client của người sử dụng sẽ qua trung gian Proxy Server thay thế Server thật sự mà người sử dụng cần giao tiếp.
Proxy Server xỏc định những yờu cầu từ Client và quyết định đỏp ứng hay khụng đỏp ứng, nếu yờu cầu được đỏp ứng, Proxy Server sẽ kết nối đến Server thật thay cho Client và tiếp tục chuyển tiếp những yờu cầu từ Client đến Server, cũng như chuyển tiếp những đỏp ứng của Server trở lại Client. Vỡ vậy Proxy Server giống như cầu nối trung gian giữa Server thật và Client.