| auch Überwachungsrouter
(Screening router) |
| filtert bestimmte Pakete aus dem Netz heraus |
| sendet solche Pakete nicht an die Zieladresse |
| dienen gleichzeitig der Kopplung
verschiedener Netzwerke |
| oft bereits zur Anbindung an das Internet
vorhanden. |
| entweder spezielle Hardware |
| oder Software auf Dual-Homed-Host implementiert |
| Filterung durch Filtertabelle spezifiziert |
| folgende Kriterien kombinierbar
| IP-Sendeadresse, |
| IP-Empfangsadresse, |
| Transportprotokoll (TCP, UDP oder ICMP), |
| Sende-Port (nur TCP und UDP), |
| Empfangs-Port (nur TCP und UDP), |
| ICMP-Nachrichtentyp, |
| Richtung. |
|
| Richtung (z.B. Inter- oder Intranet) aus der Paket kommt
|
Abwehr von sogenanntem IP-Spoofing
| Angreifer gibt (interne) Host-Adresse an |
| hofft auf leichteren Zugriff auf andere interne Hosts |
|
|
|
Paketfilter erlauben nicht
| Zugriff auf Informationen des Anwendungsprotokolls |
| keine Interpretation des Dateninhaltes der Pakete |
|