Fornisce informazioni sul modo in cui un firewall di filtro dei pacchetti IP consente di creare una serie di regole che rifiutano o accettano il traffico su un collegamento di rete.
Un firewall di filtro dei pacchetti IP consente di creare una serie di regole che rifiutano oppure accettano il traffico su un collegamento di rete. Il firewall stesso non influenza questo traffico in alcun modo. Poiché un filtro di pacchetti può rifiutare solo il traffico ad esso inviato, l'unità con il filtro di pacchetti deve eseguire l'instradamento IP oppure essere la destinazione del traffico.
Un filtro di pacchetti ha una serie di regole che accettano oppure rifiutano le azioni. Quando riceve un pacchetto di informazioni, il filtro di pacchetti lo mette a confronto con la serie di regole preconfigurata dell'utente. Al primo confronto, il filtro di pacchetti accetta oppure rifiuta il pacchetto di informazioni. La maggior parte dei filtri di pacchetti dispone di una "regola rifiuta tutto" implicita alla fine del file di regole.
Tutti i filtri di pacchetto hanno una situazione in comune: l'attendibilità è basata sugli indirizzi IP. Anche se questo tipo di sicurezza non è sufficiente per un'intera rete, questo tipo di sicurezza è accettabile a livello dei componenti.
La maggior parte dei filtri di pacchetti IP non hanno uno stato, il che significa che non hanno alcuna memoria dei pacchetti che hanno elaborato precedentemente. Un filtro di pacchetti con uno stato può conservare alcune informazioni sul traffico precedente; questo consente all'utente di configurare che da Internet sono consentite solo risposte a richieste dalla rete interna. I filtri di pacchetti senza stato sono vulnerabili a eventuali tentativi di frode perché l'indirizzo IP di origine ed il bit ACK nell'intestazione del pacchetto possono essere facilmente contraffatti.
E' possibile specificare le regole dei filtri di pacchetti sulle interfacce e sui profili di servizio di accesso remoto in i5/OS. Se si sta utilizzando un firewall di filtro dei pacchetti esterno oppure delle regole di filtri di pacchetti su i5/OS e i dati di Universal Connection passano attraverso questi filtri, occorre modificare le regole di filtro per consentire il collegamento al gateway VPN IBM nel seguente modo:
| Regole di filtro IP | Valori di filtro IP |
|---|---|
| Regola filtro traffico in entrata UDP | Apre la porta 4500 per l'indirizzo gateway VPN |
| Regola filtro traffico in entrata UDP | Apre la porta 500 per l'indirizzo gateway VPN |
| regola filtro traffico in uscita UDP | Apre la porta 4500 per l'indirizzo IP del gateway VPN |
| regola filtro traffico in uscita UDP | Apre la porta 500 per l'indirizzo IP del gateway VPN |
| Regola filtro traffico in entrata ESP | Consente il protocollo ESP (X'32') per l'indirizzo IP del gateway VPN |
| regola filtro traffico in uscita ESP | Consente il protocollo ESP (X'32') per l'indirizzo IP del gateway VPN |
| Regole di filtro IP | Valori di filtro IP |
|---|---|
| Regola filtro traffico in entrata TCP | Apre la porta 80 per tutti gli indirizzi di destinazione del servizio |
| Regola filtro traffico in entrata TCP | Apre la porta 443 per tutti gli indirizzi di destinazione del servizio |
| Regola filtro traffico in uscita TCP | Apre la porta 80 per tutti gli indirizzi di destinazione del servizio |
| Regola filtro traffico in uscita TCP | Apre la porta 443 per tutti gli indirizzi di destinazione del servizio |
La modifica delle regole di filtro prevede la specifica dell'effettivo indirizzo del gateway VPN IBM. Le porte ed i servizi devono essere aperti per i seguenti IP: Boulder: 207.25.252.196 e Rochester: 129.42.160.16. Per ulteriori dettagli, consultare Determine the IBM VPN Gateway addresses nell'Information Center di iSeries .
Inoltre, per il traffico HTTP ed HTTPs, una parte della modifica delle regole del filtro potrebbe comportare la specifica di indirizzi di destinazione del servizio reali. E' possibile determinare questi indirizzi come descritto in Determine the IBM Service Destination addresses nell'Information Center di iSeries.