パケットフィルターはどのように機能しますか？

パケットフィルタリングの実装は安価です。パケットフィルタリングデバイスは、アプリケーションまたはプロキシファイアウォールと同じレベルのセキュリティをサポートしていないことを理解する必要があります。最も些細なIPネットワークを除くすべては、IPサブネットで構成され、ルーターを含みます。各ルーターは潜在的なフィルタリングポイントです。ルーターの価値が吸収されているため、パケットフィルタリングのコストを増やす必要はありません。

パケットフィルタリングは、単純なセキュリティ要件がある場合に適しています。一部の組織の内部（プライベート）ネットワークは、高度にセグメント化されていません。高度に洗練されたファイアウォールは、組織のある要素を別の要素から分離するために不可欠ではありません。ただし、ラボまたは実験ネットワークからの実稼働ネットワークのある種の保護をサポートすることは賢明です。パケットフィルタリングデバイスは、あるサブネットを別のサブネットから分離するための非常に適切な手段です。

一部のパケットフィルタは、同じ一般的なパターンで機能します。 TCP / IPプロトコルスタックのネットワーク層とトランスポート層で動作しており、各パケットはプロトコルスタックに入るときに検査されます。ネットワークヘッダーとトランスポートヘッダーは、次のデータについて綿密に調べられます-

プロトコル（IPヘッダー、ネットワーク層） − IPヘッダーでは、バイト9（バイトカウントはゼロから始まります）がパケットのプロトコルを認識します。一部のフィルターデバイスには、TCP、UPD、およびICMPを区別する機能があります。

送信元アドレス（IPヘッダー、ネットワーク層） −送信元アドレスは、パケットを生成するホストの32ビットIPアドレスです。

宛先アドレス（IPヘッダー、ネットワーク層） −宛先アドレスは、パケットが設計されているホストの32ビットIPアドレスです。

送信元ポート（TCPまたはUDPヘッダー、トランスポート層） −TCPまたはUDPインターネットリンクの両端はポートにバインドされています。 TCPポートは、UDPポートとは別の固有のものです。 1024未満の番号のポートは予約されており、分類的に定義された用途があります。

1024（両端を含む）を超える番号のポートは、エフェメラルポートと呼ばれます。それらはベンダー選択で使用できます。 「よく知られている」ポートのリストについては、RFP1700として定義してください。ソースポートは、疑似ランダムに定義されたエフェメラルポート番号です。したがって、送信元ポートでフィルタリングすることはあまり役に立ちません。

宛先ポート（TCPまたはUDPヘッダー、トランスポート層） −宛先ポート番号は、パケットの送信先のポートを示します。宛先ホスト上の各サービスは、ポートを受け入れます。処理できる有名なポートには、20/TCPおよび21/TCP-FTP接続/データ、23 / TCP-telnet、80 / TCP-http、および53/TCP-DNSゾーン転送があります。・

接続ステータス（TCPヘッダー、トランスポート層） −接続ステータスは、パケットがネットワークセッションの最初のパケットであるかどうかを通知します。 TCPヘッダーのACK項目は、「間違っている」に設定されます。これがセッションの最初のパケットである場合は、0に設定されます。 ACKビットが「false」または0に設定されている一部のパケットを拒否または破棄することにより、ホストが接続を作成することを禁止するのは簡単です。