A filtragem de pacotes usa uma variedade de condições para categorizar e filtrar o tráfego de rede. Essas condições podem ser aplicadas individualmente ou em combinação para criar regras altamente específicas. Aqui está um colapso de categorias e exemplos comuns:

i. Fonte e destino:

* Endereço IP de origem: O endereço IP do dispositivo de envio. Pode ser um único IP, uma variedade de IPs (usando a notação CIDR) ou um curinga.
* Endereço IP de destino: O endereço IP do dispositivo receptor. Mesmas opções que o IP de origem.
* porta de origem: O número da porta usado pelo aplicativo de envio. (por exemplo, 80 para http, 443 para https, 22 para ssh).
* Porta de destino: O número da porta usado pelo aplicativo de recebimento.
* Endereço MAC da fonte: O endereço físico do dispositivo de envio (camada 2).
* Destino MAC Endereço: O endereço físico do dispositivo receptor (camada 2).


ii. Protocolo:

* Protocolo IP: Identifica o protocolo da camada de rede (por exemplo, TCP, UDP, ICMP).
* Protocolo de transporte: Especifica o protocolo da camada de transporte (TCP ou UDP, implícito no protocolo IP na maioria dos casos).


iii. Conteúdo do pacote (Inspeção de pacotes profundos - DPI):

* sequências de bytes específicas: Examinar os dados de pacotes brutos para padrões de bytes específicos (requer mais energia de processamento).
* palavras -chave na carga útil: Pesquisando palavras ou frases específicas dentro dos dados do aplicativo (por exemplo, filtrando email contendo certas palavras). Freqüentemente usado em conjunto com a filtragem de protocolo (por exemplo, inspecione apenas pacotes HTTP).
* Expressões regulares: Matriz de padrões mais complexos dentro da carga útil.


iv. Características do pacote:

* Tamanho do pacote: Tamanho mínimo ou máximo do pacote (em bytes).
* Hora do dia: Filtrando o tráfego com base em horários ou horários específicos.
* sinalizadores de pacotes (TCP): Examinando sinalizadores TCP (SYN, ACK, FIN, RST, etc.) para identificar fases de conexão ou comportamento anormal.
* ttl (hora de viver): O número de saltos que um pacote pode viajar antes de ser descartado. Pode ser usado para identificar possíveis ataques.
* TOS/DIFFSERV (Tipo de Serviço/Serviços Diferenciados): Marcas de qualidade de serviço (QoS) no cabeçalho IP.


v. Informações da camada de aplicação (DPI avançado):

* Tipo de aplicativo: Identificando o aplicativo com base no número da porta e na análise de carga útil (por exemplo, HTTP, FTP, SMTP, DNS).
* url: Extração e filtragem com base no URL nos pacotes HTTP.


Condições de combinação:

O poder da filtragem de pacotes vem da combinação dessas condições. Por exemplo, você pode criar uma regra que permita todo o tráfego TCP de um endereço IP específico para a porta 443 em um servidor da Web, ao mesmo tempo em que bloqueia todo o tráfego UDP do mesmo endereço IP em qualquer porta. Isso permite o acesso seguro HTTPS, impedindo outra comunicação de UDP potencialmente maliciosa.


Nota: O nível de detalhe disponível para filtragem depende do firewall ou do dispositivo de rede que está sendo usado. Os dispositivos mais simples podem suportar apenas a filtragem básica de IP de origem/destino, porta e protocolo, enquanto dispositivos mais sofisticados oferecem recursos avançados de DPI.