Internet Firewalls

Quase todos os dispositivos atuais de filtragem de pacotes operam da seguinte maneira[SIY 95]:

1. Os critérios de filtragem de pacotes devem ser armazenados para as portas do dispositivo de filtragem de pacotes. Os critérios de filtragem de pacotes são chamados “regras de filtragem de pacotes”.
2. Quando o pacote chega em uma porta, os cabeçalhos do pacote são analizados. Muitos dispositivos examinam os campos somente nos cabeçalhos dos protocolos IP, TCP ou UDP.
3. As regras de filtragem são armazenadas em uma ordem específica. Cada regra é aplicada ao pacote na ordem em que as regras estão armazenadas.
4. Se uma regra bloqueia a transmissão ou recepção do pacote, o pacote é bloqueado.
5. Se uma regra permite a transmissão ou recepção do pacote, o pacote é aceito para prosseguir.
6. Se um pacote não satisfaz qualquer regra ele é bloqueado.

Pelas regras 4 e 5 fica evidente que a ordem das regras de filtragem é de fundamental importância. Uma ordenação incorreta das regras pode acarretar em bloqueio de serviços válidos e em permissão de serviços que deveriam ser negados. Da regra 6 segue a filosofia "O que não é expressamente permitido é proibido".