Os programas de filtragem baseados em conteúdo não decidem diretamente se devem permitir que os pacotes entrem em uma rede protegida com base na inspeção do conteúdo do pacote sozinho. Isso seria incrivelmente ineficiente e impraticável para redes de alta velocidade. Em vez disso, eles trabalham inspecionando partes específicas do cabeçalho * do pacote * e usando essas informações para aplicar regras predefinidas. A parte do "conteúdo" é frequentemente determinada indiretamente com base nessa informação do cabeçalho e potencialmente em alguma inspeção profunda de pacotes (DPI) em sistemas mais sofisticados.

Aqui está como funciona:

1. Inspeção do cabeçalho: O mecanismo primário está examinando o cabeçalho do pacote. Isso inclui campos como:

* Endereços IP de origem e destino: As regras de filtragem podem bloquear o tráfego de ou para endereços IP específicos, intervalos de endereços ou redes inteiras (por exemplo, bloqueando todo o tráfego de uma faixa de IP maliciosa conhecida).
* portas de origem e destino: Isso é crucial para identificar o protocolo de aplicativo (por exemplo, porta 80 para HTTP, porta 443 para https, porta 25 para SMTP). As regras podem bloquear completamente portas ou protocolos específicos (por exemplo, bloquear todo o tráfego na porta 25 para evitar spam).
* Tipo de protocolo: Isso indica o protocolo da camada de rede (por exemplo, TCP, UDP, ICMP). As regras podem filtrar com base no tipo de protocolo (por exemplo, bloquear inundações de ping ICMP).
* Outros campos de cabeçalho: Menos comuns, mas possíveis são filtros com base em coisas como TTL (tempo de viver), sinalizadores nos cabeçalhos TCP ou outros campos examinados com menos frequência.

2. Inspeção de pacotes profundos (DPI): Para filtragem de conteúdo mais sofisticada, as técnicas de DPI são empregadas. Isso envolve o exame da carga útil do pacote (os dados reais) em uma extensão limitada. Isso é computacionalmente intensivo e normalmente não é aplicado a todos os pacotes, apenas aqueles que correspondem aos critérios específicos identificados na Etapa 1. O DPI pode analisar:

* URLs : A extração de URLs das solicitações HTTP permite bloquear o acesso a sites ou categorias específicas de sites (por exemplo, bloquear o acesso a sites de mídia social).
* palavras -chave: Analisar a carga útil do pacote para palavras -chave ou padrões específicos (requer poder de processamento significativo e pode ser limitado a aplicativos específicos).
* Tipos de arquivo: Identificando o tipo de arquivo que está sendo transmitido (por exemplo, bloqueando arquivos executáveis).

3. Tomada de decisão baseada em regras: Com base nas informações coletadas das etapas 1 e 2, o programa de filtragem aplica regras predefinidas. Essas regras especificam ações a serem tomadas com base nas características do pacote. Essas regras podem:

* Permitir: Permita que o pacote passe para a rede protegida.
* negar: Bloqueie o pacote e impeça que ele entre na rede.
* log: Registre as informações do pacote em um arquivo de log para auditoria e análise.

em resumo: A filtragem baseada em conteúdo é menos sobre analisar diretamente o "conteúdo" e mais sobre o uso de informações prontamente disponíveis no cabeçalho e aplicar seletivamente o DPI para aplicar políticas de segurança pré-configuradas com base em elementos de origem/destino, protocolos e possivelmente elementos de conteúdo específicos em pacotes selecionados. O foco está na eficiência e velocidade, pois o exame de todos os bytes de cada pacote é geralmente inviável.