Berbagai kebijakan dapat diterapkan dalam melakukan operasi packet filtering. Pada intinya, berupa mekanisme pengontrollan data yang diperbolehkan mengalir dari dan/atau ke jaringan internal, dengan menggunakan beberapa parameter yang tercantum dalam header paket data: arah (inbound atau outbound), address asal dan tujuan, port asal dan tujuan, serta jenis protokol transport. Router akan mengevaluasi informasi ini dalam setiap paket data yang mengalir melaluinya, kemudian menetapkan aksi yang harus dilakukan terhadap paket tersebut, berdasarkan set aturan/program dalam packet-filtering. Sehingga keputusan routing dasar router tersebut, kemudian dilengkapi dengan bagian dari kebijakan security jaringan.
Firewall : security internet
Oleh : Eueung Mulyana & Onno W. Purbo
Tabel berikut akan menunjukan contoh konfigurasi operasi packet-filtering, untuk menyediakan hanya fasilitas SMTP inbound dan outbound pada jaringan.
Aturan | Arah | Address Asal | Address Tujuan | Protokol | Port Tujuan | Aksi |
A | masuk | eksternal | internal | TCP | 25 | ok |
B | keluar | internal | eksternal | TCP | >1023 | ok |
C | keluar | internal | eksternal | TCP | 25 | ok |
D | masuk | eksternal | internal | TCP | >1023 | ok |
E | sembarang | sembarang | sembarang | sembarang | sembarang | deny |
Aturan A dan B melayani hubungan SMTP inbound (email datang), aturan C dan D melayani hubungan SMTP outbound (email keluar) serta aturan E merupakan aturan default yang dilakukan bila aturan aturan sebelumnya gagal. Kalau diamati lebih dekat, selain trafik SMTP konfigurasi tersebut juga masih membolehkan hubungan masuk dan keluar pada port >1023 (aturan B dan D), sehingga terdapat kemungkinan bagi program-program server seperti X11 (port 6000), OpenWindows (port 2000), atau kebanyakan program basis-data (Sybase, Oracle, Informix, dll), untuk dihubungi dari luar. Untuk menutup kemungkinan ini, diperlukan evaluasi parameter lain, seperti evaluasi port asal. Dengan cara ini, satu-satunya celah menembus firewall adalah dengan menggunakan port SMTP. Bila kita masih juga kurang yakin dengan kejujuran para pengguna port ini, dapat dilakukan evaluasi lebih lanjut dari informasi ACK.