Đề tài Tầng ứng dụng (Application layer)

ồng lưu thông nếu nó đến từ một host đáng tin cậy. Một cracker giả mạo địa chỉ IP nguồn của các gói gửi tới firewall. Nếu firewall nghĩ rằng các gói đến từ một host tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác không thỏa. Tất nhiên cracker muốn tìm hiểu về luật của firewall để khai thác vào điểm yếu này. Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thức mạng riêng ảo (Virtual Private Network - VPN) như là IPSec. Biện pháp này đòi hỏi việc mã hóa dữ liệu trong các gói cũng như địa chỉ nguồn. Phần mềm hoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một cuộc kiểm tra (checksum). Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả mạo thì gói sẽ bị hủy. #IPSec IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải quyết nó với firewall. IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy). Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này. Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting 2.Cách thức ngăn chặn của firewall: Để ngăn chặn các trang web không mong muốn, các trao đổi thông tin không mong muốn người ta dùng cách lọc các địa chỉ web không mong muốn mà họ đã tập hợp được hoặc lọc nội dung thông tin trong các trang thông qua các từ khóa để ngăn chặn những người dùng không mong muốn truy cập vào mạng và cho phép người dùng hợp lệ thực hiện việc truy xuất. Bức tường lửa có thể là một thiết bị định hướng (Router, một thiết bị kết nối giữa hai hay nhiều mạng và chuyển các thông tin giữa các mạng này) hay trên một máy chủ (Server), bao gồm phần cứng và/hoặc phần mềm nằm giữa hai mạng (chẳng hạn mạng Internet và mạng liên kết các gia đình, điểm kinh doanh internet, tổ chức, công ty, hệ thống Ngân hàng, cơ quan nhà nước. Cơ quan nhà nước có thể lập bức tường lửa ngay từ cổng Internet quốc gia hoặc yêu cầu các nhà cung cấp dịch vụ đường truyền (IXP) và cung cấp dịch vụ Internet (ISP) thiết lập hệ thống tường lửa hữu hiệu hoặc yêu cầu các đại lý kinh doanh internet thực hiện các biện pháp khác . 3. Né và vượt tường lửa: Các trang web bị chặn nhất là các trang web sex thường rất linh động thay đổi địa chỉ để tránh sự nhận diện hoặc nhanh chóng thông báo địa chỉ mới một cách hạn chế với các đối tượng dùng đã định.Người dùng ở các nước có hệ thống tường lửa có thể tiếp cận với nội dung bị chặn qua các ngõ khác bằng cách thay đổi địa chỉ Proxy, DNS hoặc qua vùng nhớ đệm cached của trang tìm kiếm thông dụng như Google, Yahoo..., hoặc sử dụng phần mềm miễn phí Tor. Nói chung người dùng mạng hiểu biết nhiều về máy tính thì biết nhiều kỹ xảo vượt tường lửa. Đ ể vượt bức tường lửa ta làm như sau: * Đầu tiên ta tìm các proxy server”free”: bao gồm địa chỉ IP và cổng(port) bằng google. *Tiếp theo kiểm tra từ máy chúng ta đến proxy server đó bằng lệnh”ping dịa chỉ IP của một máy khác” *Lựa chọn Proxy Server gán vào dịch vụ Internet Explore:menu->tools->Internet options->tab Connections->r ồi chọn LAN settings. IV.Phân loại firewall Có ba loại tường lửa cơ bản tùy theo: Truyền thông được thực hiện giữa một nút đơn và mạng, hay giữa một số mạng. Truyền thông được chặn tại tầng mạng, hay tại tầng ứng dụng. Tường lửa có theo dõi trạng thái của truyền thông hay không. Phân loại theo phạm vi của các truyền thông được lọc, có các loại sau: Tường lửa cá nhân, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn. Tường lửa mạng, thường chạy trên một thiết bị mạng hay máy tính chuyên dụng đặt tại ranh giới của hai hay nhiều mạng hoặc các khu phi quân sự (mạng con trung gian nằm giữa mạng nội bộ và mạng bên ngoài). Một tường lửa thuộc loại này lọc tất cả giao thông dữ liệu vào hoặc ra các mạng được kết nối qua nó. Loại tường lửa mạng tương ứng với ý nghĩa truyền thống của thuật ngữ "tường lửa" trong ngành mạng máy tính. Khi phân loại theo các tầng giao thức nơi giao thông dữ liệu có thể bị chặn, có ba loại tường lửa chính: Tường lửa tầng mạng. Ví dụ iptables. Tường lửa tầng ứng dụng. Ví dụ TCP Wrappers. Tường lửa ứng dụng. Ví dụ: hạn chế các dịch vụ ftp bằng việc định cấu hình tại tệp /etc/ftpaccess. Các loại tường lửa tầng mạng và tường lửa tầng ứng dụng thường trùm lên nhau, mặc dù tường lửa cá nhân không phục vụ mạng, nhưng một số hệ thống đơn đã cài đặt chung cả hai. Nếu phân loại theo tiêu chí rằng tường lửa theo dõi trạng thái của các kết nối mạng hay chỉ quan tâm đến từng gói tin một cách riêng rẽ, có hai loại tường lửa: Tường lửa có trạng thái (Stateful firewall) Tường lửa phi trạng thái (Stateless firewall) Nếu phân loại theo thiết bị mà fire được lưu trữ: Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm. Firewall cứng: Là những firewall được tích hợp trên Router.+ Đặc điểm của Firewall cứng:- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport)- Firewall cứng không thể kiểm tra được nột dung của gói tin.+ Ví dụ Firewall cứng: NAT (Network Address Translate). Firewall mềm: Là những Firewall được cài đặt trên Server.+ Đặc điểm của Firewall mềm:- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng dụng)- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).+ Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall… *MỘT SỐ MÔ HÌNH FIREWALL: Packet-Filtering Router (Bộ trung chuyển có lọc gói) Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering router đặt giữa mạng nội bộ và Internet. Một packet-filtering router có hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông. Căn bản, các quy luật lọc đựơc định nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet, trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy tính trên mạng nội bộ. Tư tưởng của mô cấu trúc firewall này là tất cả những gì không được chỉ ra rõ ràng là cho phép thì có nghĩa là bị từ chối. Mô hình Packet-filtering router Ưu điểm Giá thành thấp, cấu hình đơn giản Trong suốt đối với user Hạn chế Có tất cả hạn chế của một packet-filtering router, như là dễ bị tấn công vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn công ngầm dưới những dịch vụ đã được phép. Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router, nguy cơ bị tấn công quyết định bởi số lượng các host và dịch vụ được phép. Điều đó dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có dấu hiệu của sự tấn công nào không. Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động, tất cả hệ thống trên mạng nội bộ có thể bị tấn công. Screened Host Firewall Hệ thống này bao gồm một packet-filtering router và một bastion host. Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện cả bảo mật ở tầng network (packet-filtering) và ở tầng ứng dụng (application level). Đồng thời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công vào mạng nội bộ. Mô hình Single-Homed Bastion Host Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Qui luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền thông tới tất cả các hệ thống bên trong đều bị khoá. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thưch hiện bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông nội bộ xuất phát từ bastion host. Ưu điểm Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP có thể đặt trên packet-filtering router và bastion. Trong trường hợp yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ proxy yêu cầu tất cả các user cả trong và ngoài truy nhập qua bastion host trước khi nối với máy chủ. Trường hợp không yêu cầu độ an toàn cao thì các máy nội bộ có thể nối thẳng với máy chủ. Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống firewall dual-home (hai chiều) bastion host. Một hệ thống bastion host như vậy có 2 giao diện mạng (network interface), nhưng khi đó khả năng truyền thông trực tiếp giữa hai giao diện đó qua dịch vụ proxy là bị cấm. Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà thôi. Tuy nhiên, nếu như user log on được vào bastion host thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải cấm không cho user logon vào bastion host. Mô hình Dual- Homed Bastion Host Demilitarized Zone (DMZ) hay Screened-subnet Firewall Hệ thống bao gồm hai packet-filtering router và một bastion host. Hệ có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật network và application, trong khi định nghĩa một mạng "phi quân sự". Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dung dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Screened-Subnet Firewall Ưu điểm Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong. Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange ( Domain Name Server ). Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy n hập Internet qua dịch vụ proxy. (WWW.TUOITRE.ORG) *So sánh tường lửa của các hãng nổi tiếng Check Point, NetScreen và Cisco: Khả năng ngăn chặn tấn công (Attack Prevention Capabilities) Khả năng hỗ trợ các ứng dụng/giao thức: V.LÝ DO SỬ DỤNG FIREWALL: Mạng internet ngày càng phát triển và phổ biến rộng khắp mọi nơi, lợi ích của nó rất lớn. Tuy nhiên cũng có rất nhiều ngoại tác không mong muốn đối với các cá nhân là cha mẹ hay tổ chức, doanh nghiệp, cơ quan nhà nước... như các trang web không phù hợp lứa tuổi, nhiệm vụ, lợi ích, đạo đức, pháp luật hoặc trao đổi thông tin bất lợi cho cá nhân, doanh nghiệp... Do vậy họ (các cá nhân, tổ chức, cơ quan và nhà nước) sử dụng tường lửa để ngăn chặn. Một lý do khác là một số quốc gia theo chế độ độc tài, độc đảng áp dụng tường lửa để ngăn chặn quyền trao đổi, tiếp cận thông tin của công dân nước mình không cho họ truy cập vào các trang web hoặc trao đổi với bên ngoài, điều mà nhà cầm quyền cho rằng không có lợi cho chế độ đó. Nếu không có firewall, khi truy cập vào Internet, các hacker sẽ dễ dàng đột nhập và ăn cắp thông tin cá nhân của bạn. Chúng có thể cài đặt những mật mã phá hủy các file hoặc gây ra sự cố cho máy tính. Chúng cũng có thể sử dụng máy tính của bạn để lan truyền virus ra các máy khác trong cùng hệ thống. Sử dụng firewall sẽ giúp bạn tránh được những phiền toái trên, dù bạn truy cập Internet bằng phương pháp nào - qua modem, cáp, hoặc thuê bao kỹ thuật số (DSL hoặc ADSL). Chương trình firewall không thể đảm bảo 100% an toàn cho máy tính của bạn tuy đây đang là biện pháp được đánh giá là có hiệu quả nhất hiện nay. Ngoài firewall, bạn nên sử dụng thêm một số phương pháp bảo vệ khác, như update hệ điều hành, cài đặt các phần mềm chống virus như Windows Live OneCare, Antispyware... Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau : + Dữ liệu : Những thông tin cần được bảo vệ do những yêu cầu sau: -  Bảo mât. -  Tính toàn vẹn. -  Tính kịp thời. + Tài nguyên hệ thống. +  Danh tiếng của công ty sở hữu các thông tin cần bảo vệ. FireWall bảo vệ chống lại cái gì ? FireWall bảo vệ chống lại những sự tấn công từ bên ngoài. + Tấn công trực tiếp:           Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack.           Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống). + Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng. +  Giả mạo địa chỉ IP. + Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. + Lỗi người quản trị hệ thống. + Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker. Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn.  Tuy nhiên, Windows Firewall trong hệ điều hành Windows XP không thể chống lại 3 loại virus sau: + Các loại virus lan truyền qua email, như virus Trojan, thường giả dạng các phần mềm tiện ích và máy tính sẽ bị nhiễm virus ngay khi người sử dụng mở hoặc cài đặt các file này. + Thư rác hoặc các chương trình bị pop-up + Đường dẫn tới các hệ thống không dây kém an toàn khác. Nhược điểm sử dụng tường lửa là: Sử dụng tường lửa cần phải xử lý một lượng lớn thông tin nên việc xử lý lọc thông tin có thể làm chậm quá trình kết nối của người kết nối. Việc sử dụng tường lửa chỉ hữu hiệu đối với những người không thành thạo kỹ thuật vượt tường lửa, những người sử dụng khác có hiểu biết có thể dễ dàng vượt qua tường lửa bằng cách sử dụng các proxy không bị ngăn chặn. Hạn chế của firewall: Firewall không đủ thông minh nh con ngời để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. .( Chương trình firewall chỉ có thể bảo vệ được một máy tính trên 1 hệ điều hành không dây, chứ không thể bảo vệ được cả một hệ thống. Nếu muốn bảo vệ cả hệ thống, bạn nên sử dụng thêm các chương trình mật mã như WPA hoặc WEP. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu đợc áp dụng rộng rãi.  ( VI.FIREWALL NGÀY NAY: Ngày nay có rất nhiều công nghệ Firewall đang được áp dụng trong các hệ thống bảo mật mạng. Để giúp các bạn hiểu hơn về một số công nghệ Firewall sau đây tôi giới thiệu tới các bạn công nghệ Static packet filtering. Trước hết chúng ta xem xét thiết bị định tuyến Cisco Router, thiết bị này chạy hệ điều hành Cisco IOS (internetworking Operating System). Router làm việc ở tầng Network trong mô hình tham chiếu OSI. Chức năng của Router thực hiện định tuyến đường cho các gói tin (thực hiện truyền các gói tin giữa các đoạn mạng khác nhau). Việc định tuyến của Router được thực hiện dựa vào các bảng định tuyến mà Router xây dựng dựa vào các giải thuật định tuyến để thực hiện tìm ra tuyến đường tốt nhất giúp các gói tin tìm đến đích (router nhận gói tin ở một cổng và Forward đến một cổng khác) và có các thông báo dựa vào các bản tin ICMP nếu như gói tin không thể đến đích. Các gói tin (IP packet) mà Router thực hiện Forward trong quá trình định tuyến bao gồm địa chỉ IP nguồn, địa chỉ IP đích. Các gói tin này có thể bị lọc dựa theo các điều kiện liên quan tới địa chỉ IP nguồn và đích đặt trên các thiết bị Firewall dạng Packet-Filtering mà chúng ta đang muốn nói đến ở đây. Thêm nữa các giao thức tại tầng Transport (TCP hay UDP) sẽ đưa thêm các thông tin như Source port, Destination port vào Header của các Segment hay Datagram. Các thông tin về port này ngoài việc chỉ ra process tại các host cuối sẽ nhận các data encapsulation trong các IP packet, nó cũng được các thiết bị Firewall dạng Packet Filtering sử dụng để đưa vào các điều kiện lọc (cho phép hay không cho phép). Static Packet Filtering ra đời vào cuối những năm 80 đầu những năm 90 của thế kỷ trước. Ngày nay hầu hết các thiết bị Router được cung cấp khả năng để kiểm tra các gói tin IP (IP Packet) để tiến hanh lọc (cho phép hay không cho phép) các gói tin này đi qua dựa vào một tập các IP Packet Filter Rule. Các Router này đưa ra các kỹ thuật để điều khiển các loại lưu lượng (Traffic) vào ra trên mạng, các dịch vụ mạng. Static Packet Filtering dựa vào các thông tin tìm được trong các Packet header như: + Protocol numbers + Source and destination IP addresses; + Source and destination port numbers; + TCP connection flags; + Some other options.  Các Router không kiểm tra các TCP/UDP port number khi định tuyến mà chỉ kiểm tra để Filtering. Ví dụ: Các Telnet Server thương xuyên Listen ở TCP port 23 còn các telnet client port lại không cố định (Source port của phiên telnet từ telnet client đến telnet server là không cố định, thường được được gán một port lớn hơn 1023).  Ngoài ra các router có thể thực hiện Filtering thông qua TCP Connection Flag nhưng trên thực tế SYN và ACK flag được dùng phổ biến hơn để thực hiện Filtering (SYN Flag và ACK Flag có thể xác định được Connection được thiết lập là inbound hay outbound). Tất cả các TCP Segment trừ segment đầu tiên đều chứa một ACK Flag (nó chính là TCP connection message request). Không phải các thông tin trong Header đều được sử dụng trong các Filter của Router mà router phải xem xét trên toàn gói tin IP. Chúng ta xem xét tình huống sau: Để cho phép các SMTP inbound và outbound, đầu tiên SMTP client sẽ phát kết nối đến SMTP server với Source port là một port bất kỳ mà nó gán vào còn Destination port là 25. Khi SMTP server nhận được yêu cầu này nó sẽ trả lại các IP packet với Source port là 25 và Destination port là Sourse port của SMTP client khi kết nối đến (port này sẽ lớn hơn 1023). Như vậy để cho phép kết nối này chúng ta phải cho phép các gói tin IP có Source port và destination port lớn hơn 1023. Vậy nếu router tiến hành lọc dựa trên Source port thì nó có thể tiến hành Block các incoming SMTP traffic với Destination port lớn hơn 1023 và Source port khác 25. Tuy nhiên router không thể dựa vào Source port trong tình huống này được và nó phải cho phép các SMTP incoming traffic với Destination port lớn hơn 1023 và Source port là 25 (do kết nối là hai chiều client – server - client). Do đó các hacker có thể khai thác từ chính sách này để sử dụng các port lớn hơn 1023 tại SMTP Server. Các packet Filtering rule có thể dựa vào thông tin về network interface nơi gói tin xuất phát và network interface nơi gói tin đi đến (trong trường hợp router có nhiều hơn 2 interface). Tuy nhiên lại không phải Router nào cũng tiến hành Filter dựa trên cả inbound và outbout interface được (nhiều router chỉ filter trên các outboud interface) và trong tình huống chỉ filter trên outbound interface này nó lại được thực hiện sau khi router xây dựng song routing table và xác định interface nào mà nó sẽ forward gói tin qua để thực hiện định tuyến. Packet filtering là mô hình lọc không trạng thái, tức là mỗi IP packet sẽ được kiểm tra độc lập không có liên quan gì tới việc đề đã tiến hành với nó trước đó cũng như những gì xẩy ra tiếp theo. Việc cho phép hay không cho phép các packet đi qua được thực hiện thông qua việc kiểm tra từng packet một và so sánh nó vói các Rule đã xác lập và làm tốn thời gian để kiểm tra cũng như hiệu năng làm việc của router. Thông thường các Packet filtering được đặt tại các Interface để kết nối các mạng với nhau (tránh trường hợp phải bổ sung nhiều filtering và kiểm soát chặt chẽ các tín hiệu ra vào) Các bạn có thể cấu hình packet filtering trên các Firewall như Microsoft ISA Server, Access Controll List trên thiết bị định tuyến Cisco Router, Cisco PIX firewall, Check point,...( Theo  VnExperts) 5 PHẦN MỀM FIRE TỐT NHẤT HIỆN NAY: Comodo Firewall Đứng đầu trong danh sách phải kể đến Comodo Firewall, phiên bản mới nhất của chương trình cung cấp cho bạn khả năng bảo vệ toàn diện hệ thống khỏi các Hacker, Spyware, Trojans và các đối tượng gây hại chưa xác định khác, trong khi đó “hệ thống ngăn chặn xâm nhập trái phép” (Host Intrusion Prevention System) theo thời gian thực giúp cảnh báo những ứng dụng cài đặt trái phép, nhờ đó các ứng dụng lạ chỉ được thêm vào máy tính khi có sự cho phép của bạn Khả năng quét Malware trong bản Comodo Firewall Pro sẽ giúp tăng cường sự “miễn dịch” của hệ thống trước các viruses, spyware and Trojans, và điểm đặc biệt nhất của chương trình là nó hoàn toàn miễn phí. ESET Smart Security Nếu bạn cần một phần mềm đa tính năng: tường lửa (Firewall), chống virus (Antivirus), Chống thư rác (Antispam) thì ESET Smart Security sẽ là sự lựa chọn tốt nhất. Với cơ sở dữ liệu được cập nhật liên tục, các biến thể mailware xuất hiện hàng ngày sẽ không có cơ hội xâm nhập vào máy tính của bạn. Tính năng khác: Bảo vệ toàn diện: với công nghệ dò tìm tiên tiến, cho phép ghi nhận và phát hiện sớm bất kì mối đe dọa nào đối với hệ thống ngay cả khi chúng chưa được cập nhật trong cơ sở dữ liệu. Chiếm ít tài nguyên hệ thống: ESET Smart Security đòi hỏi ít bộ nhớ, khả năng dò tìm nhanh, nó rất thích hợp với máy yếu vì sử dụng rất ít tài nguyên hệ thống nhưng hiệu suất thì không hề thua kém bất cứ một chương trình nào. Bạn vẫn có thể vừa chơi game, lướt web bình thường khi chạy chương trình  ZoneAlarm Đây là ứng dụng tường lửa đã quá nổi tiếng, khả năng bảo vệ của nó không phải giới thiệu nhiều. ZoneAlarm sẽ bảo vệ máy