emlaai_traloidi2000
New Member
Download Đồ án Thiết lập và cấu hình VNP với ISA server 2004
MỤC LỤC
Lời mở đầu 1
Chương I. TỔNG QUAN VỀ ISA SERVER 5
I. GIỚI THIỆU VỀ ISA SERVER. 5
1.1. GIỚI THIỆU CHUNG. 5
I.2. CÁC CHỨC NĂNG CỦA ISA SERVER. 7
I.2.1. Chức năng tường lửa. 7
I.2.2. chức năng bảo mật truy cập internet. 9
I.2.3. Cho phép truy cập nguồn tài nguyên nội bộ một cách bảo mật. 9
I.2.4. chức năng VPN. 10
I.3. CÁC ỨNG DỤNG CỦA ISA SERVER. 11
I.3.1. ISA Server hoạt động như một Internet-edge firewall 11
I.3.2 ISA Server hoạt động như một Back-End Firewall. 13
I.3.3. ISA Server hoạt động như một Branch Office Firewall. 14
II. CÀI ĐẶT ISA 2004. 16
II.1 YÊU CẦU CÀI ĐẶT . 16
II.1.1. yêu cầu phần cứng và phần mền. 16
II.1.2. các bước cài đặt. 16
Chương II. THIẾT LẬP FIREWALL VÀ CÁC RULE TRONG ISA SERVER 19
I. TỔNG QUAN VỀ TƯỜNG LỬA (firewall). 19
I.1. KHÁI NIỆM VỀ FIREWALL. 19
I.1.1. Phân loại firewall. 19
I.1.2. Chức năng của Firewall. 20
I.1.3. Các kiến trúc Firewall cơ bản. 20
II. NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL. 24
II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control). 24
II.1.1. Vị trí xảy ra quá trình xử lý gói. 24
II.1.2. Luật lọc (Filtering Rules). 26
II.1.3. Hoạt động của tường lửa người thay mặt ứng dụng (Proxy Application). 27
II.2. QUẢN LÝ XÁC THỰC (User Authentication). 29
II.2.1. Kiểm tra và Cảnh báo (Activity Logging and Alarms). 30
III. THIẾT LẬP VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA. 31
III.1. CÁC MÔ HÌNH FIREWALL CƠ BẢN VÀ PHỨC TẠP. 31
III.1.1. Mô hình cơ bản. 31
III.1.3. Mô hình Firewall phức tạp 31
III.2. THIẾT LẬP VÀ CẤU HÌNH. 32
III.2.1. Tạo Rule cho Admin đi ra ngoài Internet sử dụng tất cả các giao thức. 32
III.2.2. Cấu hình cho các clien ra Internet nhưng chỉ sử dụng giao thức HTTP, HTTPS 41
III.2.3. Cấm 1 số địa chỉ IP 10.0.0.3 chỉ cho coi web thấy chữ và Không thấy hình và các video. 41
III.2.4. Cấu hình cache và tiến hành lập lịch down 1 số trang web. 42
III.2.5. Cấu hình DNS phân giải tên. 42
Chương III. THIẾT LẬP VPN VỚI ISA SERVER 2004 44
I. TỔNG QUAN VỀ VPN 44
I.1. MỘT SỐ KHÁI NIỆM VPN. 44
I.1.1. Mã hóa (encryption): 45
I.1.2. Xác nhận (authentication): 46
I.1.3. Ủy quyền (authorization): 46
I.1.4. giao thức đường hầm VPN. 46
I.1.5. Ưu điểm và khuyết điểm của VPN. 47
I.2. CÁC DẠNG VPN. 48
II. CẤU HÌNH VPN VỚI ISA SERVER 2004. 50
II.1. VPN CLIENT TO SITE DÙNG GIAO THỨC PPTP. 50
I.1.1. các bước cấu hình và thiết lập. 50
II.2. VPN CLIENT TO SITE DÙNG GIAO THỨC L2TP/IPSEC. 55
II.2.1. Các bước cấu hình và thiết lập. 55
III.3. VPN SITE TO SITE. 63
III.3.1. Các bước cấu hình và thiết lập. 63
KẾT LUẬN 94
C¸c tõ viÕt t¾t 96
Tµi liÖu tham kh¶o 98
LỜI CAM ĐOAN 99
Để tải bản DOC Đầy Đủ thì Trả lời bài viết này, mình sẽ gửi Link download cho
Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản tri tường lửa phải xây dựng chính sách thay mặt thích hơp vói dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách thay mặt mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hay là chấp nhận tất cả những dịch vụ không có dịch vụ thay mặt trên tường lửa. Nhưng cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thông mạng bên trong tường lửa.
c. Bastion Host Firewall (Pháo đài phòng ngự): Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất. Có hai dạng của máy phòng thủ
Hình 6
Máy phòng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội bộ ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối vơi tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài.
Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạng được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hay không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập.
II. NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL.
Trong phần này sẽ sâu vào 3 hoạt động chính của một tường lửa đó là: điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghi nhật ký truy nhập (activity logging). Như ở trên đã giới thiệu có hai loại tường lửa vơi 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packet filter) và chính sách người thay mặt ung dụng. Điểu khiển truy nhập phụ thuộc vào sự nhận dạng đúng đắn của các yêu cầu đôi khi còn phụ thuộc vào định nghĩa quyền xác thực của người sử dụng.
II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control).
II.1.1. Vị trí xảy ra quá trình xử lý gói.
Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâm đến đường đi của các gói tin sẽ dẫn đến firewall đó. Có 3 đường dẫn phổ biến mà một gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt. Một gói tin có thể vựợt qua một tường lửa ỏ mức tầng ứng dụng, ở mức nhân hệ điều hành hay là mức card giao tiếp mạng. Hầu hết các tường lửa đều kiểm soát và cho phép các gói đi qua 3 mức này.
Hình 7
Để có được tốc độ xử lý cao hơn ở các router, bộ lọc gói được thiết lập trên phần mở rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối ưu quá trình xử lý các gói. Để lưu chứa ở đây với tốc độ cao bộ xử lý trên card giao tiếp mạng chỉ hổ trợ những luật xử lý đơn giản như các phép so sánh nhị phân. Những dịch vụ khác không được hỗ trợ ở đây.
Những router và những trạm luân chuyển gói khác thì quá trình lọc các gói tin thường diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng. Thông thường quá trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phép tường lửa có thể thực hiện quá trình lọc và kiểm định một cách chuẩn xác, tinh xảo hơn là trên các card giao tiếp mạng tích hợp tính lọc. Hơn nữa quá trình xử lý các gói tại mức nhân hệ điều hành nhanh hơn ở mức tầng ứng dụng bởi vì quá trình lập lịch và tràn bộ nhớ được tránh. Tuy nhiên quá trình xử lý nhân thường đòi hỏi tất cả các thông tin cần thiết cho việc lọc gói phải được chứa trong bộ nhớ thay vì trên đĩa. Một gói phải được xử lý và được cho qua mà không cần đợi trên đĩa điều này sẽ làm hạn chế các dạng gói và số lượng các gói được xử lý ở mức này.
Quá trình xử lý ở mức tầng ứng dụng có thể cung cấp một chính sách an ninh tốt nhất. Mức ứng dụng có thể truy cập đến tất cả các tài nguyên hệ thống bao gồm đĩa, các mạng, bộ nhớ, thư viện các chương trình và cả những tiến trình khác. Tâng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của giao thức mạng do đó nó không bị giới hạn bới các tầng thấp hơn nó.
Hoạt động lọc gói (Packet Filtering) Hoạt động lọc các gói có thể diễn ra ở một trong 3 mức xử lý gói như trên đã trình bày nhưng nó thường được hỗ trợ ở mức card giao tiếp mạng hay mức nhân hệ điều hành. Một bộ lọc gói sẽ căn cứ vào phần địa chỉ IP chứa trong gói tin để quyết định xem gói đó có được cho phép vượt qua hay bị chặn lại. Gói được cho qua sẽ được chuyển đến trạm đích hay router tiếp theo. Gói bị chặn lại sẽ bị loại bỏ.
II.1.2. Luật lọc (Filtering Rules).
Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thông tin đó bao gồm:
Field purpose
Source IP address IP của trạm nguồn gửi gói tin
Destination IP address IP trạm đích nhận gói tin
Upper level protocol (TCP or UDP) cho giao thức khác và dịch vu khác
TCP or UDP source port number cổng trạm nguồn gửi gói tin
TCP or UDP destination port number cổng trạm đích gửi gói tin
Khi có được các thông tin trên của các gói, bộ lọc sẽ so sánh chúng với một tập hợp các luật để đưa ra quyết định. Một luật lọc là sự kết hợp một giá trị hay miền giá trị của mỗi trường thông tin trên và quyết định sẽ được đưa ra nếu tất cả các thông tin của gói được so khớp với các thông tin của các luật. Một bộ lọc gói sẽ thực hiện việc kiểm tra sự hợp lệ của các gói rất đơn giản và rất nhanh chỉ bằng các phép so sánh nhị phân. Quyết định (cho phép hay cấm) sẽ được đưa ra ngay sau khi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được về gói tin do đó trật tự sắp xếp các luật cũng rất quan trọng nógóp phần làm cho quá trình lọc được nhanh hơn.Có một điều đáng quan tâm ở đây...
Download miễn phí Đồ án Thiết lập và cấu hình VNP với ISA server 2004
MỤC LỤC
Lời mở đầu 1
Chương I. TỔNG QUAN VỀ ISA SERVER 5
I. GIỚI THIỆU VỀ ISA SERVER. 5
1.1. GIỚI THIỆU CHUNG. 5
I.2. CÁC CHỨC NĂNG CỦA ISA SERVER. 7
I.2.1. Chức năng tường lửa. 7
I.2.2. chức năng bảo mật truy cập internet. 9
I.2.3. Cho phép truy cập nguồn tài nguyên nội bộ một cách bảo mật. 9
I.2.4. chức năng VPN. 10
I.3. CÁC ỨNG DỤNG CỦA ISA SERVER. 11
I.3.1. ISA Server hoạt động như một Internet-edge firewall 11
I.3.2 ISA Server hoạt động như một Back-End Firewall. 13
I.3.3. ISA Server hoạt động như một Branch Office Firewall. 14
II. CÀI ĐẶT ISA 2004. 16
II.1 YÊU CẦU CÀI ĐẶT . 16
II.1.1. yêu cầu phần cứng và phần mền. 16
II.1.2. các bước cài đặt. 16
Chương II. THIẾT LẬP FIREWALL VÀ CÁC RULE TRONG ISA SERVER 19
I. TỔNG QUAN VỀ TƯỜNG LỬA (firewall). 19
I.1. KHÁI NIỆM VỀ FIREWALL. 19
I.1.1. Phân loại firewall. 19
I.1.2. Chức năng của Firewall. 20
I.1.3. Các kiến trúc Firewall cơ bản. 20
II. NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL. 24
II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control). 24
II.1.1. Vị trí xảy ra quá trình xử lý gói. 24
II.1.2. Luật lọc (Filtering Rules). 26
II.1.3. Hoạt động của tường lửa người thay mặt ứng dụng (Proxy Application). 27
II.2. QUẢN LÝ XÁC THỰC (User Authentication). 29
II.2.1. Kiểm tra và Cảnh báo (Activity Logging and Alarms). 30
III. THIẾT LẬP VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA. 31
III.1. CÁC MÔ HÌNH FIREWALL CƠ BẢN VÀ PHỨC TẠP. 31
III.1.1. Mô hình cơ bản. 31
III.1.3. Mô hình Firewall phức tạp 31
III.2. THIẾT LẬP VÀ CẤU HÌNH. 32
III.2.1. Tạo Rule cho Admin đi ra ngoài Internet sử dụng tất cả các giao thức. 32
III.2.2. Cấu hình cho các clien ra Internet nhưng chỉ sử dụng giao thức HTTP, HTTPS 41
III.2.3. Cấm 1 số địa chỉ IP 10.0.0.3 chỉ cho coi web thấy chữ và Không thấy hình và các video. 41
III.2.4. Cấu hình cache và tiến hành lập lịch down 1 số trang web. 42
III.2.5. Cấu hình DNS phân giải tên. 42
Chương III. THIẾT LẬP VPN VỚI ISA SERVER 2004 44
I. TỔNG QUAN VỀ VPN 44
I.1. MỘT SỐ KHÁI NIỆM VPN. 44
I.1.1. Mã hóa (encryption): 45
I.1.2. Xác nhận (authentication): 46
I.1.3. Ủy quyền (authorization): 46
I.1.4. giao thức đường hầm VPN. 46
I.1.5. Ưu điểm và khuyết điểm của VPN. 47
I.2. CÁC DẠNG VPN. 48
II. CẤU HÌNH VPN VỚI ISA SERVER 2004. 50
II.1. VPN CLIENT TO SITE DÙNG GIAO THỨC PPTP. 50
I.1.1. các bước cấu hình và thiết lập. 50
II.2. VPN CLIENT TO SITE DÙNG GIAO THỨC L2TP/IPSEC. 55
II.2.1. Các bước cấu hình và thiết lập. 55
III.3. VPN SITE TO SITE. 63
III.3.1. Các bước cấu hình và thiết lập. 63
KẾT LUẬN 94
C¸c tõ viÕt t¾t 96
Tµi liÖu tham kh¶o 98
LỜI CAM ĐOAN 99
Để tải bản DOC Đầy Đủ thì Trả lời bài viết này, mình sẽ gửi Link download cho
Tóm tắt nội dung:
a một dịch vụ nào đó thì trạm bên ngoài phải thông qua Proxy Service. Nếu dịch vụ và địa trạm bên ngoài không thuộc diện cấm thông qua đối với Proxy thì Proxy Service sẽ đi tìm trạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lại các trạm bên trong muốn kết nối ra ngoài cũng vậy. Với cách thức này thì sẽ đánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa.Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản tri tường lửa phải xây dựng chính sách thay mặt thích hơp vói dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách thay mặt mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hay là chấp nhận tất cả những dịch vụ không có dịch vụ thay mặt trên tường lửa. Nhưng cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thông mạng bên trong tường lửa.
c. Bastion Host Firewall (Pháo đài phòng ngự): Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất. Có hai dạng của máy phòng thủ
Hình 6
Máy phòng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội bộ ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối vơi tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài.
Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạng được nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hay không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập.
II. NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL.
Trong phần này sẽ sâu vào 3 hoạt động chính của một tường lửa đó là: điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghi nhật ký truy nhập (activity logging). Như ở trên đã giới thiệu có hai loại tường lửa vơi 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packet filter) và chính sách người thay mặt ung dụng. Điểu khiển truy nhập phụ thuộc vào sự nhận dạng đúng đắn của các yêu cầu đôi khi còn phụ thuộc vào định nghĩa quyền xác thực của người sử dụng.
II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control).
II.1.1. Vị trí xảy ra quá trình xử lý gói.
Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâm đến đường đi của các gói tin sẽ dẫn đến firewall đó. Có 3 đường dẫn phổ biến mà một gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt. Một gói tin có thể vựợt qua một tường lửa ỏ mức tầng ứng dụng, ở mức nhân hệ điều hành hay là mức card giao tiếp mạng. Hầu hết các tường lửa đều kiểm soát và cho phép các gói đi qua 3 mức này.
Hình 7
Để có được tốc độ xử lý cao hơn ở các router, bộ lọc gói được thiết lập trên phần mở rộng của thiết bị trên card giao tiếp mạng với một bộ xử lý đặc biệt tối ưu quá trình xử lý các gói. Để lưu chứa ở đây với tốc độ cao bộ xử lý trên card giao tiếp mạng chỉ hổ trợ những luật xử lý đơn giản như các phép so sánh nhị phân. Những dịch vụ khác không được hỗ trợ ở đây.
Những router và những trạm luân chuyển gói khác thì quá trình lọc các gói tin thường diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng. Thông thường quá trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phép tường lửa có thể thực hiện quá trình lọc và kiểm định một cách chuẩn xác, tinh xảo hơn là trên các card giao tiếp mạng tích hợp tính lọc. Hơn nữa quá trình xử lý các gói tại mức nhân hệ điều hành nhanh hơn ở mức tầng ứng dụng bởi vì quá trình lập lịch và tràn bộ nhớ được tránh. Tuy nhiên quá trình xử lý nhân thường đòi hỏi tất cả các thông tin cần thiết cho việc lọc gói phải được chứa trong bộ nhớ thay vì trên đĩa. Một gói phải được xử lý và được cho qua mà không cần đợi trên đĩa điều này sẽ làm hạn chế các dạng gói và số lượng các gói được xử lý ở mức này.
Quá trình xử lý ở mức tầng ứng dụng có thể cung cấp một chính sách an ninh tốt nhất. Mức ứng dụng có thể truy cập đến tất cả các tài nguyên hệ thống bao gồm đĩa, các mạng, bộ nhớ, thư viện các chương trình và cả những tiến trình khác. Tâng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của giao thức mạng do đó nó không bị giới hạn bới các tầng thấp hơn nó.
Hoạt động lọc gói (Packet Filtering) Hoạt động lọc các gói có thể diễn ra ở một trong 3 mức xử lý gói như trên đã trình bày nhưng nó thường được hỗ trợ ở mức card giao tiếp mạng hay mức nhân hệ điều hành. Một bộ lọc gói sẽ căn cứ vào phần địa chỉ IP chứa trong gói tin để quyết định xem gói đó có được cho phép vượt qua hay bị chặn lại. Gói được cho qua sẽ được chuyển đến trạm đích hay router tiếp theo. Gói bị chặn lại sẽ bị loại bỏ.
II.1.2. Luật lọc (Filtering Rules).
Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thông tin đó bao gồm:
Field purpose
Source IP address IP của trạm nguồn gửi gói tin
Destination IP address IP trạm đích nhận gói tin
Upper level protocol (TCP or UDP) cho giao thức khác và dịch vu khác
TCP or UDP source port number cổng trạm nguồn gửi gói tin
TCP or UDP destination port number cổng trạm đích gửi gói tin
Khi có được các thông tin trên của các gói, bộ lọc sẽ so sánh chúng với một tập hợp các luật để đưa ra quyết định. Một luật lọc là sự kết hợp một giá trị hay miền giá trị của mỗi trường thông tin trên và quyết định sẽ được đưa ra nếu tất cả các thông tin của gói được so khớp với các thông tin của các luật. Một bộ lọc gói sẽ thực hiện việc kiểm tra sự hợp lệ của các gói rất đơn giản và rất nhanh chỉ bằng các phép so sánh nhị phân. Quyết định (cho phép hay cấm) sẽ được đưa ra ngay sau khi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được về gói tin do đó trật tự sắp xếp các luật cũng rất quan trọng nógóp phần làm cho quá trình lọc được nhanh hơn.Có một điều đáng quan tâm ở đây...