Así es como funciona:
1. Inspección del encabezado: El mecanismo principal es examinar el encabezado del paquete. Esto incluye campos como:
* Direcciones IP de origen y destino: Las reglas de filtrado pueden bloquear el tráfico desde o hacia direcciones IP específicas, rangos de direcciones o redes enteras (por ejemplo, bloquear todo el tráfico de un rango IP malicioso conocido).
* Puertos de origen y destino: Esto es crucial para identificar el protocolo de aplicación (por ejemplo, puerto 80 para HTTP, puerto 443 para HTTPS, puerto 25 para SMTP). Las reglas pueden bloquear los puertos o protocolos específicos por completo (por ejemplo, bloquear todo el tráfico en el puerto 25 para evitar el spam).
* Tipo de protocolo: Esto indica el protocolo de capa de red (por ejemplo, TCP, UDP, ICMP). Las reglas pueden filtrar según el tipo de protocolo (por ejemplo, bloquear las inundaciones de ping ICMP).
* Otros campos de encabezado: Menos comunes pero posibles son filtros basados en cosas como TTL (tiempo para vivir), banderas en encabezados TCP u otros campos menos examinados con menos frecuencia.
2. Inspección de paquetes profundos (DPI): Para un filtrado de contenido más sofisticado, se emplean técnicas DPI. Estos implican examinar la carga útil del paquete (los datos reales) en un grado limitado. Esto es computacionalmente intensivo y generalmente no se aplica a cada paquete, solo aquellos que coinciden con criterios específicos identificados en el Paso 1. El DPI puede analizar:
* URLS: La extracción de URL de las solicitudes HTTP permite bloquear el acceso a sitios web específicos o categorías de sitios web (por ejemplo, bloquear el acceso a los sitios de redes sociales).
* Palabras clave: Analizar la carga útil del paquete para palabras clave o patrones específicos (requiere una potencia de procesamiento significativa y puede limitarse a aplicaciones específicas).
* Tipos de archivos: Identificar el tipo de archivo que se transmite (por ejemplo, bloquear los archivos ejecutables).
3. Toma de decisiones basada en reglas: Según la información recopilada de los pasos 1 y 2, el programa de filtrado aplica reglas predefinidas. Estas reglas especifican acciones a tomar en función de las características del paquete. Estas reglas podrían:
* Permitir: Permita que el paquete pase a la red protegida.
* negar: Bloquee el paquete y evite que ingrese a la red.
* Log: Registre la información del paquete en un archivo de registro para auditoría y análisis.
En resumen: El filtrado basado en contenido se trata menos de analizar directamente el "contenido" y más sobre el uso de la información de encabezado fácilmente disponible y aplicar selectivamente DPI para hacer cumplir las políticas de seguridad preconfiguradas basadas en la fuente/destino, los protocolos y posiblemente elementos de contenido específicos dentro de los paquetes seleccionados. La atención se centra en la eficiencia y la velocidad, ya que el examen de cada byte de cada paquete es generalmente inviable.