패킷 필터링은 구현 비용이 저렴합니다. 패킷 필터링 장치는 애플리케이션 또는 프록시 방화벽과 동일한 수준의 보안을 지원하지 않는다는 점을 이해해야 합니다. 가장 사소한 IP 네트워크를 제외한 모든 네트워크는 IP 서브넷으로 구성되며 라우터를 포함합니다. 각 라우터는 잠재적인 필터링 지점입니다. 라우터의 가치를 흡수했기 때문에 패킷 필터링에 더 많은 비용이 필요하지 않습니다.
패킷 필터링은 간단한 보안 요구 사항이 있는 경우에 적합합니다. 일부 조직의 내부(사설) 네트워크는 고도로 세분화되어 있지 않습니다. 고도로 정교한 방화벽은 조직의 한 요소를 다른 요소로부터 격리하는 데 필수적인 것은 아닙니다. 그러나 실험실 또는 실험 네트워크에서 생산 네트워크의 보호를 지원하는 것이 현명합니다. 패킷 필터링 장치는 한 서브넷을 다른 서브넷에서 분리할 수 있도록 지원하는 매우 적절한 수단입니다.
일부 패킷 필터는 동일한 공통 패턴으로 작동합니다. TCP/IP 프로토콜 스택의 네트워크 계층과 전송 계층에서 작동하며 각 패킷은 프로토콜 스택에 들어갈 때 검사됩니다. 네트워크 및 전송 헤더는 다음과 같은 다음 데이터에 대해 면밀히 검사됩니다. -
프로토콜(IP 헤더, 네트워크 레이어) − IP 헤더에서 바이트 9(바이트 수는 0부터 시작)는 패킷의 프로토콜을 인식합니다. 일부 필터 장치에는 TCP, UPD 및 ICMP를 구별하는 기능이 있습니다.
소스 주소(IP 헤더, 네트워크 레이어) − 소스 주소는 패킷을 생성하는 호스트의 32비트 IP 주소입니다.
대상 주소(IP 헤더, 네트워크 레이어) − 목적지 주소는 패킷이 설계된 호스트의 32비트 IP 주소입니다.
소스 포트(TCP 또는 UDP 헤더, 전송 계층) − TCP 또는 UDP 인터넷 링크의 각 끝은 포트에 바인딩됩니다. TCP 포트는 UDP 포트와 별개이며 특정합니다. 1024 미만의 번호가 지정된 포트는 예약되어 있으며 범주별로 정의된 용도가 있습니다.
1024(포함) 이상의 번호가 지정된 포트를 임시 포트라고 합니다. 그들은 공급 업체 선택을 사용할 수 있습니다. "잘 알려진" 포트 목록을 보려면 RFP1700으로 정의하십시오. 소스 포트는 의사 무작위로 정의된 임시 포트 번호입니다. 따라서 소스 포트에서 필터링하는 것은 별로 도움이 되지 않습니다.
대상 포트(TCP 또는 UDP 헤더, 전송 계층) − 목적지 포트 번호는 패킷이 전송되는 포트를 나타냅니다. 대상 호스트의 각 서비스는 포트를 수락합니다. 처리할 수 있는 유명한 포트는 20/TCP 및 21/TCP-FTP 연결/데이터, 23/TCP-telnet, 80/TCP-http 및 53/TCP-DNS 영역 전송입니다. ·
연결 상태(TCP 헤더, 전송 레이어) − 연결 상태는 패킷이 네트워크 세션의 첫 번째 패킷인지 여부를 알려줍니다. TCP 헤더의 ACK 항목은 세션의 첫 번째 패킷인 경우 "잘못" 또는 0으로 설정됩니다. ACK 비트가 "false" 또는 0으로 설정된 일부 패킷을 거부하거나 삭제하여 호스트가 연결을 생성하지 못하도록 하는 것은 간단합니다.