Internet Firewalls

No protocolo TCP existe um flag denominado ACK que é utilizado para confirmação de pacotes e também pode ser utilizado para detectar se o pacote é o primeiro de uma solicitação de conexão. Quando o flag não estiver setado significa que o pacote se refere a uma solicitação de conexão e, caso contrário, o pacote corresponde a alguma conexão já existente (FIG. 2). Desta forma, o packet filter pode bloquear um serviço inbound (de fora para dentro; ou seja, o servidor está na rede interna) apenas não permitindo o fluxo de pacotes com o ACK setado destinado a um servidor interno associado a port (por exemplo, a port 23 do telnet) do serviço bloqueado. Em protocolos não orientados a conexão, por exemplo o protocolo UDP, não é possível tomar nenhuma decisão deste tipo; ou seja, nestes protocolos, nunca se sabe se o pacote que está chegando é o primeiro que o servidor está recebendo. Para fazer uma filtragem correta dos pacotes, é importante saber se o protocolo é bidirecional (pacotes fluem nos dois sentidos, cliente para servidor e vice-versa) ou unidirecional. Não se pode confundir serviços inbound (a rede interna provendo algum serviço) e serviços outbound (o cliente está na rede interna e o servidor na Internet) com pacotes inbound (pacotes que chegam na rede interna) e pacotes outbound (pacotes que saem da rede interna); ou seja, ambos os serviços apresentam pacotes inbound e outbound caso o protocolo seja bidirecional.

FIGURA 2 - ACK bit no protocolo TCP