Csomagszűrés
A csomagszűrés az informatikában a tűzfal funkció egyik megvalósítása. Ennek során a csomagok fejlécét szűrőprogrammal ellenőrzik, és a szűrő különböző szabályok alapján eldönti, hogy mi legyen a csomagok további sorsa. Például, csak egy adott IP-címről érkező csomagot enged be egy bizonyos interfész bizonyos portjára.
Csomagszintű tűzfal
[szerkesztés]Csak a csomagok fejlécét vizsgálja, tartalmukat nem. Linux és UNIX operációs rendszer alatt a kernel része, más operációs rendszereknél, mint például a Windowsnál, különálló alkalmazás végzi a csomagszűrést.
Iptables
[szerkesztés]A Linux operációs rendszer alatt a 2.4-es kerneltől kezdve az iptables végzi a csomagszűrést.
Vázlata
[szerkesztés]bejövő forgalom-->
[Döntés]-->
<FORWARD>-->
kimenő forgalom | ^ v | <INPUT> <OUTPUT> | |`----->
Helyi process ------'
Statikus csomagszűrés
[szerkesztés]A szűrési szabályokat egyszerűen a forrás és célállomás adatai alapján határozza meg (cím, protokoll, portszám, egyéb csomagfejléc jellemzők).
Dinamikus csomagszűrés
[szerkesztés]Mikor egy számítógép kommunikálni akar a tűzfal által védett hálózattal, akkor a tűzfal tárolja a távoli gép IP-címét és a port számát, melyen keresztül várja a választ, és megnyit egy véletlenszerűen kiválasztott portot, amelyen keresztül csak a tárolt IP-címről fogad csomagokat.
Állapotfüggő csomagszűrés
[szerkesztés]Az állapotfüggő csomagfelügyelet (angolul stateful packet inspection, rövidítve SPI) olyan tűzfal-architektúra, amely – a statikus csomagfelügyelettel ellentétben – értelmezi a csomagok egymásutániságát, és „követi” az összetartozó csomagok által alkotott logikai adatfolyamok állapotát, és így azokat egy magasabb absztrakciós szinten képes ellenőrizni (például észlelni az adatfolyamokba logikailag nem illeszkedő adatcsomagokat).