Πώς τα προγράμματα φιλτραρίσματος που βασίζονται σε περιεχόμενο αποφασίζουν εάν θα επιτρέψουν τα πακέτα σε προστατευμένο δίκτυο;

Τα προγράμματα φιλτραρίσματος που βασίζονται σε περιεχόμενο δεν αποφασίζουν άμεσα εάν θα επιτρέψουν τα πακέτα σε προστατευμένο δίκτυο με βάση την επιθεώρηση του περιεχομένου του πακέτου μόνο. Αυτό θα ήταν απίστευτα αναποτελεσματικό και ανέφικτο για δίκτυα υψηλής ταχύτητας. Αντ 'αυτού, εργάζονται με την επιθεώρηση συγκεκριμένων τμημάτων της κεφαλίδας * του πακέτου * και χρησιμοποιώντας αυτές τις πληροφορίες για την εφαρμογή προκαθορισμένων κανόνων. Το τμήμα "περιεχομένου" συχνά καθορίζεται έμμεσα βασισμένη σε αυτές τις πληροφορίες κεφαλίδας και ενδεχομένως κάποια βαθιά επιθεώρηση πακέτων (DPI) σε πιο εξελιγμένα συστήματα.

Δείτε πώς λειτουργεί:

1. Επιθεώρηση κεφαλίδας: Ο πρωταρχικός μηχανισμός εξετάζει την κεφαλίδα του πακέτου. Αυτό περιλαμβάνει πεδία όπως:

* διευθύνσεις IP προέλευσης και προορισμού: Οι κανόνες φιλτραρίσματος μπορούν να εμποδίσουν την επισκεψιμότητα από ή σε συγκεκριμένες διευθύνσεις IP, σειρές διευθύνσεων ή σε ολόκληρα δίκτυα (π.χ. εμποδίζοντας όλη την κυκλοφορία από μια γνωστή κακόβουλη περιοχή IP).

* θύρες προέλευσης και προορισμού: Αυτό είναι ζωτικής σημασίας για τον εντοπισμό του πρωτοκόλλου εφαρμογής (π.χ. θύρα 80 για HTTP, θύρα 443 για HTTPS, θύρα 25 για SMTP). Οι κανόνες μπορούν να εμποδίσουν εξ ολοκλήρου συγκεκριμένες θύρες ή πρωτόκολλα (π.χ., εμποδίζοντας όλη την κυκλοφορία στη θύρα 25 για την πρόληψη του ανεπιθύμητου μηνύματος).

* Τύπος πρωτοκόλλου: Αυτό υποδεικνύει το πρωτόκολλο στρώματος δικτύου (π.χ. TCP, UDP, ICMP). Οι κανόνες μπορούν να φιλτράρουν με βάση τον τύπο πρωτοκόλλου (π.χ., εμποδίζοντας τις πλημμύρες Ping ICMP).

* Άλλα πεδία κεφαλίδας: Λιγότερο συνηθισμένα, αλλά δυνατά είναι τα φίλτρα που βασίζονται σε πράγματα όπως το TTL (χρόνος για να ζήσετε), οι σημαίες στις κεφαλίδες TCP ή άλλα λιγότερο συχνά εξεταζόμενα πεδία.

2. Για πιο εξελιγμένο φιλτράρισμα περιεχομένου, χρησιμοποιούνται τεχνικές DPI. Αυτά περιλαμβάνουν την εξέταση του ωφέλιμου φορτίου του πακέτου (τα πραγματικά δεδομένα) σε περιορισμένο βαθμό. Αυτό είναι υπολογιστικά εντατικό και τυπικά δεν εφαρμόζεται σε κάθε πακέτο, μόνο εκείνα που ταιριάζουν με συγκεκριμένα κριτήρια που προσδιορίζονται στο βήμα 1. Το DPI μπορεί να αναλύσει:

* urls: Η εξαγωγή διευθύνσεων URL από τα αιτήματα HTTP επιτρέπει την εμπλοκή της πρόσβασης σε συγκεκριμένους ιστότοπους ή κατηγορίες ιστότοπων (π.χ. εμποδίζοντας την πρόσβαση σε ιστότοπους κοινωνικών μέσων).

* Λέξεις -κλειδιά: Η ανάλυση του ωφέλιμου φορτίου πακέτου για συγκεκριμένες λέξεις -κλειδιά ή μοτίβα (απαιτεί σημαντική ισχύ επεξεργασίας και μπορεί να περιορίζεται σε συγκεκριμένες εφαρμογές).

* Τύποι αρχείων: Προσδιορισμός του τύπου του αρχείου που μεταδίδεται (π.χ., εμποδίζοντας τα εκτελέσιμα αρχεία).

3. Λήψη αποφάσεων βάσει κανόνων: Με βάση τις πληροφορίες που συγκεντρώθηκαν από τα βήματα 1 και 2, το πρόγραμμα φιλτραρίσματος εφαρμόζει προκαθορισμένους κανόνες. Αυτοί οι κανόνες καθορίζουν τις ενέργειες που πρέπει να λάβουν με βάση τα χαρακτηριστικά του πακέτου. Αυτοί οι κανόνες ενδέχεται:

* Επιτρέψτε: Επιτρέψτε στο πακέτο να περάσει στο προστατευμένο δίκτυο.

* deny: Αποκλείστε το πακέτο και αποτρέψτε το να εισέλθει στο δίκτυο.

* log: Καταγράψτε τις πληροφορίες πακέτου σε ένα αρχείο καταγραφής για έλεγχο και ανάλυση.

Συνοπτικά: Το φιλτράρισμα με βάση το περιεχόμενο είναι μικρότερο για την άμεση ανάλυση "περιεχομένου" και περισσότερα σχετικά με τη χρήση άμεσα διαθέσιμων πληροφοριών κεφαλίδας και την επιλεκτική εφαρμογή του DPI για την επιβολή προ-διαμορφωμένων πολιτικών ασφαλείας που βασίζονται σε πηγή/προορισμό, πρωτόκολλα και ενδεχομένως συγκεκριμένα στοιχεία περιεχομένου εντός επιλεγμένων πακέτων. Η εστίαση είναι στην αποτελεσματικότητα και την ταχύτητα, καθώς η εξέταση κάθε byte κάθε πακέτου είναι γενικά ανέφικτο.