Paketfiltrering använder olika villkor för att kategorisera och filtrera nätverkstrafik. Dessa villkor kan tillämpas individuellt eller i kombination för att skapa mycket specifika regler. Här är en uppdelning av vanliga kategorier och exempel:
i. Källa och destination:
* Källa IP -adress: IP -adressen för den sändande enheten. Kan vara en enda IP, en rad IP:er (med CIDR -notation) eller ett jokertecken.
* Destination IP -adress: IP -adressen för den mottagande enheten. Samma alternativ som käll -IP.
* Källport: Portnumret som används av den sändande applikationen. (t.ex. 80 för http, 443 för https, 22 för SSH).
* destinationsport: Portnumret som används av mottagningsansökan.
* Källa MAC -adress: Den fysiska adressen för den sändande enheten (lager 2).
* Destination MAC -adress: Den fysiska adressen för den mottagande enheten (lager 2).
ii. Protokoll:
* IP -protokoll: Identifierar nätverkslagerprotokollet (t.ex. TCP, UDP, ICMP).
* Transportprotokoll: Anger transportlagerprotokollet (TCP eller UDP, underförstått av IP -protokollet i de flesta fall).
iii. Paketinnehåll (djup paketinspektion - DPI):
* Specifika byte -sekvenser: Undersökning av råpaketdata för speciella byte -mönster (kräver mer bearbetningskraft).
* Nyckelord i nyttolast: Söker efter specifika ord eller fraser i applikationsdata (t.ex. filtrering av e -post som innehåller vissa ord). Används ofta i samband med protokollfiltrering (t.ex. inspektera endast HTTP -paket).
* Regelbundna uttryck: Mer komplex mönstermatchning inom nyttolasten.
iv. Paketegenskaper:
* paketstorlek: Minsta eller maximala storlek på paketet (i byte).
* Tid på dagen: Filtrering av trafik baserad på specifika tider eller scheman.
* paketflaggor (TCP): Undersökning av TCP -flaggor (SYN, ACK, FIN, RST, etc.) för att identifiera anslutningsfaser eller onormalt beteende.
* ttl (tid att leva): Antalet humle ett paket kan resa innan det kasseras. Kan användas för att identifiera potentiella attacker.
* TOS/diffServ (typ av tjänst/differentierade tjänster): Servicekvalitet (QoS) markeringar i IP -rubriken.
v. Information om applikationslager (avancerad DPI):
* Applikationstyp: Identifiera applikationen baserad på portnummer och nyttolastanalys (t.ex. HTTP, FTP, SMTP, DNS).
* url: Extrahering och filtrering baserat på webbadressen i HTTP -paket.
Kombinationsförhållanden:
Kraften för paketfiltrering kommer från att kombinera dessa förhållanden. Till exempel kan du skapa en regel som tillåter all TCP -trafik från en specifik IP -adress till port 443 på en webbserver, samtidigt som du blockerar all UDP -trafik från samma IP -adress till alla portar. Detta möjliggör säker HTTPS -åtkomst samtidigt som du förhindrar annan potentiellt skadlig UDP -kommunikation.
Obs: Nivån på detaljer som är tillgänglig för filtrering beror på brandväggen eller nätverksenheten som används. Enklare enheter kanske bara stöder grundläggande källa/destination IP-, port- och protokollfiltrering, medan mer sofistikerade enheter erbjuder avancerade DPI -funktioner.
