net-it.de

net-it.de > firewall > paketfilter

Paketfilterung

schematische Darstellung eines Paketfilters

Der Paketfilter kontrolliert den Verkehr mittels Regeln, die sich hauptsächlich auf die Adressierung der Pakete, also die Sockets (IP-Adresse und TCP- oder UDP-Port) der Quelle und des Ziels, beziehen.

Jede Form von gewünschter Verbindungsaufnahme zwischen zwei Sockets sollte explizit erlaubt und jede andere Kommunikation explizit verboten sein.

Für eine Verbindung müssen zwei Regeln, eine für eingehende und eine für ausgehende Pakete definiert werden.

Ein Paketfilter kann, abhängig von seiner genauen Realisation und seiner Umgebung, zusätzliche Filterbedingungen, wie z.B. Programmnamen, Uhrzeiten, Usernamen etc., einfliessen lassen

Verbindungsorientierte Paketfilterung (Stateful packet filtering)

schematische Darstellung eines verbindungsorientierten Paketfilters

Führt der Paketfilter eine Tabelle mit dem Status aller aktuellen TCP/IP-Verbindungen (Connection state table), so kann er damit die Kommunikation genauer kategorisieren.

Die Pakete können neue Verbindungen aufbauen (State: NEW), zu bereits existierenden Verbindungen gehören (State: ESTABLISHED), existierenden Verbindungen zugeordnet (State: RELATED) oder ungültig sein (State: INVALID).

Ein solcher "Stateful"-Paketfilter braucht für eine Verbindung im Prinzip nur noch eine Regel, da er alle weiteren Pakete dieser Verbindung zuordnen kann.

< zurück zum Index     > weiter zu: Verbindungsorientierte Paketinspektion (SPI)

zuletzt geändert am 20.1.2003: joerg trawinski

Valid XHTML 1.1! Valid CSS!

© 2003 net-it.de impressum