Nói chung, một router (bộ định tuyến) là một thiết bị liên mạng chuyên dụng vốn chạy một hệ điều hành chuyên biệt (Ví dụ như Cisco IOS) để chuyển các gói giữa hai hoặc nhiều đoạn mạng được tách biệt. Nó hoạt động tại lớp network của mô hình tham chiếu OSI hoặc lớp Internet của mô hình TCP/IP. Do đó, nó định tuyến các gói IP bằng cách tham khảo các bảng vốn chỉ định đường dẫn tốt nhất mà gói IP sẽ đi qua để tiến đến đích của nó.
Chính xác hơn, một router nhận một gói IP trên một giao diện mạng và chuyển tiếp nó trên một giao diện mạng khác. Nếu router biết giao diện nào để chuyển tiếp gói trên đó, nó sẽ là như vậy. Nếu không, nó không thể định tuyến gói. Trong trường hợp này, router thường trả về gói bằng cách sử dụng thông báo ICMP destination unreachable đến địa chỉ IP nguồn.
Bởi vì mọi gói IP chứa một địa chỉ IP nguồn và đích, các gói bắt nguồn hoặc được chỉ định cho một host hoặc đoạn mạng cụ thể có thể được lọc một cách có chọn lựa bởi một thiết lọc gói. Cũng vậy, các giao thức lớp Transport chẳng hạn như TCP hoặc UDP thêm một số cổng nguồn và đích vào mỗi đoạn hoặc khối dữ liệu dưới dạng một phần thông tin tiêu đề của chúng. Những số cổng này chỉ định những tiến trình nào mà mỗi host sau cùng sẽ nhận được dữ liệu được đóng gói trong gói IP. Thông tin này cũng có thể được sử dụng để lọc các gói IP một cách có chọn lọc. Vào cuối những năm 1980 và đầu những năm 1990, một số bài tham luận và bài báo khoa học đã được xuất bản mô tả cách sử dụng các bộ lọc gói nhằm cung cấp các dịch vụ kiểm soát truy cập cho các intranet công ty. Một số bài tham luận này thực sự mô tả việc sử dụng tính năng lọc gói trong các mô hình firewall ban đầu tại AT&T và Digital Equiment Corporation (DEC).
Ngày nay, hầu hết các sản phẩm router thương mại (ví dụ như các router Cisco) cung cấp khả năng trắng các gói IP và lọc chúng phù hợp với một tập hợp qui tắc bộ lọc gói. Các router như vậy đôi khi còn được gọi là các router trắng. Nói chung, các router trắng có thể cung cấp một cơ chế hiệu quả để kiểm soát loại lưu lượng mạng vốn có thể vào hoặc ra một đoạn mạng cụ thể. Bằng cách kiểm soát loại lưu lượng mạng vốn có thể vào hoặc ra một đoạn mạng, có thể kiểm soát các loại dịch vụ vốn có thể hiện hữu. Các dịch vụ mà sau cùng làm tổn hại đến sự bảo mật của đoạn mạng có thể được giới hạn một cách hiệu quả.
Như đã đề cập ở trên, các gói IP thường được lọc dựa vào thông tin được tìm thấy trong các tiêu đề gói:
- Các số giao thức
- Các địa chỉ IP nguồn và đích
- Các số cổng nguồn và đích
- Các cờ nối kết TCP
- Một số tùy chọn khác.
Chú ý rằng những router thường không xem xét các số cổng (TCP hoặc UDP) khi đưa ra các quyết định về đường truyền, nhưng thực hiện đối với các mục đích lọc, biết rằng số cổng nguồn và đích cho phép lọc có chọn lựa dựa vào dịch vụ đang được sử dụng. Ví dụ, một server Telnet lắng nghe tại cổng 23, trong khi server SMTP thường lắng nghe tại cổng 25. Tính năng lọc có chọn lựa theo các số cổng cũng tận dụng cách các cổng được gán. Mặc dù một server Telnet sử dụng công 23 phần lớn thời gian, nhưng một số cổng client Telnet không cố định nhưng được gán động. Trong một môi trường UNIX hoặc Linux chẳng hạn, cổng client được gán một số lớn hơn 1023. Cũng chú ý rằng các router trắng cũng có thể lọc trên bất kỳ cờ kết nối TCP, nhưng các cờ SYN và ACK là những cờ thường được sử dụng nhiều nhất để lọc gói (đây là do hai cờ này xác định chung việc một kết nối TCP có thể được thiết lập nội biên hoặc ngoại biên hay không). Ví dụ, tất cả đoạn TCP ngoại trừ đoạn đầu tiên (nghĩa là thông báo yêu cầu kết nối TCP) mang một cờ ACK.
Thật không may, không phải tất cả router trắng đều có thể lọc các gói IP dựa vào tất cả trường tiêu đề được đề cập ở trên. Ví dụ, một số router trắng không thể xem xét cổng nguồn của một gói IP. Điều này làm cho những qui tắc lọc gói trở lên phức tạp hơn và ngay cả tạo ra những lổ hổng trong toàn bộ sơ đồ lọc gói. Ví dụ, có một sự cố như vậy nếu một site muốn cho phép lưu lượng SMTP cả nội lẫn ngoại biên cho email. Hãy nhớ rằng trong trường hợp một client thiết lập một kết nối SMTP với một server, số cổng nguồn của client này sẽ được chọn ngẫu nhiên tại hoặc trên 1024 và số cổng đích sẽ là 25, cổng mà một server SMTP thường được đặt ở đó. Kết quả, server SMTP đã trả về các gói IP với một số cổng nguồn là 25 và một số cổng đích bằng với số cổng được chọn ngẫu nhiên bởi client. Trong tình huống này, một bộ lọc gói phải được cấu hình để cho phép các số cổng đích và nguồn lớn hơn 1023 đi qua theo một trong hai hướng. Nếu router có thể lọc trên cổng nguồn, nó có thể ngăn chặn lưu lượng SMTP đến bằng một cổng đích lớn hơn 1023 và một cổng nguồn ngoại trừ 25. Tuy nhiên, nếu không có khả năng này, router không thể xem xét cổng nguồn và do đó phải cho phép lưu lượng SMTP đến bằng một cổng đích lớn hơn 1023 và một số cổng nguồn tùy ý. Kết quả, những người dùng hợp lệ nhưng có ý đồ xấu có thể lợi dụng tình huống này và chạy các server tại cổng lớn hơn 1023 để tránh chính sách truy cập dịch vụ được áp đặt bởi bộ lọc gói. Ví dụ, server Telnet vốn thường lắng nghe tại cổng 23 có thể được yêu cầu lắng nghe tại cổng 7777. Những người dùng trên Internet sau đó có thể sử dụng một client Telnet thông thường để kết nối với server nội bộ này ngay cả nếu bộ lọc gói ngăn chặn cổng đích 23.
Ngoài thông tin tiêu đề được tuân theo hạng mục ở trên, một số thiết bị lọc gói cũng cho phép nhà quản trị xác định các qui tắc lọc gói dựa vào giao diện mạng nào mà một gói thực sự đi vào và giao diện nào mà gói được chỉ định để rời khỏi. Khả năng xác định các bộ lọc trên các giao diện nội biên và ngoại biên cho phép một nhà quản trị có sự kiểm soát đáng kể đối với nơi mà bộ lọc gói xuất hiện trong toàn bộ sơ đồ và rất tiện lợi cho việc lọc hữu dụng trên các router trắng có hơn hai giao diện mạng. Thật không may, vì những lý do hiệu suất, không phải tất các router trắng đều có thể lọc trên những giao diện nội biên và ngoại biên và nhiều router thực thi những tính năng lọc gói chỉ trên giao diện ngoại biên. Chú ý rằng đối với các gói IP đi, các qui tắc lọc có thể quyết định giao diện để tiếp tục gửi gói đi. Tuy nhiên, vào thời điểm này router không còn biết giao diện nào mà gói đi vào, nó đã làm mất một số thông tin quan trọng.
Các router trắng lọc các gói IP theo một tập hợp qui tắc lọc gói. Một cách chính xác hơn, khi một gói IP đi đến một giao diện mạng của một thiết bị lọc, các tiêu đề cố được phân tích. Mỗi qui tắc lọc gói được áp dụng vào gói theo thứ tự mà các qui tắc lọc gói được lưu trữ. Nếu một qui tắc ngăn chặn việc truyền hoặc nhận một gói, gói này không được cho phép. Nếu một qui tắc cho phép truyền hoặc nhận một gói, gói này được cho phép tiến hành. Nếu một gói không đáp ứng bất kỳ qui tắc, nó được phép hoặc bị ngăn chặn phụ thuộc vào qui tắc "mặc định" của firewall. Nói chung, client có một qui tắc vốn ngăn chặn các gói IP không phù hợp với bất kỳ qui tắc khác.
Các bộ lọc gói không có trạng thái nghĩa là mỗi gói IP phải được kiểm tra tách biệt với những gì đã xuất hiện trước đây (và những gì sẽ xảy ra sau này), buộc bộ lọc đưa ra một quyết định để cho phép hoặc từ chối mỗi gói một cách riêng lẻ dựa vào qui tắc lọc gói. Các router thường được tối ưu hóa để xáo trộn nhanh các gói IP. Các bộ lọc gói của một router trắng mất thời gian và có thể làm thất bại toàn bộ những lỗ lực tối ưu hóa. Thực tế, việc lọc gói là một hoạt động chậm vốn có thể giảm đáng kể lưu lượng định tuyến. Việc ghi chép các gói IP cũng xuất hiện mà không liên quan đến lịch sử và cho phép ghi chép các kết quả trong một hit khác theo hiệu suất. Việc lọc và ghi chép gói thường không được kích hoạt trong các router chủ yếu để đạt thông lượng và hiệu suất tốt hơn. Nếu được kích hoạt và được sử dụng, việc lọc và ghi chép gói thường được cài đặt giao diện giữa các miền quản lý khác nhau.
