Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или

отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета.

IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но

пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные

сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:

Действие

тип пакета

адрес источн.

порт источн.

адрес назнач.

порт назнач.

флаги

Поле "действие" может принимать значения пропустить или отбросить.

Тип пакета - TCP, UDP или ICMP.

Флаги - флаги из заголовка IP-па-кета.

Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.