1. Impliciet weigeren: Dit is de *meest cruciale* instelling. Het standaardbeleid moet altijd zijn om al het verkeer te weigeren dat niet expliciet is toegestaan. Dit voorkomt dat onbekend of ongewenst verkeer de interne netwerken bereikt. Elke regel die specifiek verkeer toestaat, moet zorgvuldig worden overwogen en gerechtvaardigd.

2. Toegangscontrolelijsten (ACL's): Dit vormen de kern van pakketfiltering. ACL's definiëren regels die specificeren welke pakketten zijn toegestaan ​​of geweigerd op basis van verschillende criteria:

* Bron-IP-adres: Blokkeer verkeer van bekende kwaadaardige IP-adressen of -bereiken (bijvoorbeeld bekende botnets).

* IP-adres van bestemming: Beperk de toegang tot interne servers of netwerken van ongeautoriseerde externe bronnen. Sta alleen toegang toe tot specifieke services op openbaar toegankelijke servers.

* Bron- en bestemmingspoorten: Bepaal welke netwerkdiensten toegankelijk zijn. Blokkeer bijvoorbeeld alle inkomende verbindingen naar poort 23 (telnet) of poort 3389 (RDP), tenzij dit absoluut noodzakelijk is.

* Protocollen: Filter op basis van het netwerkprotocol (TCP, UDP, ICMP). U kunt bijvoorbeeld al het ICMP-verkeer (ping) blokkeren, behalve essentiële netwerkdiagnostiek.

* Pakketinhoud (diepe pakketinspectie - DPI): Hoewel dit niet strikt pakketfiltering in de traditionele zin is, bieden sommige geavanceerde routers DPI. Dit maakt inspectie van de pakketlading mogelijk op schadelijke inhoud (bijvoorbeeld trefwoorden, specifieke bestandstypen). Dit is rekenintensief en kan de prestaties beïnvloeden.

3. Statefulness: Maak gebruik van stateful packet inspection (SPI). Dit gaat verder dan eenvoudige pakketfiltering door de status van netwerkverbindingen te volgen. Het maakt retourverkeer mogelijk (bijvoorbeeld antwoorden op legitieme verzoeken) terwijl ongevraagde inkomende verbindingen worden geblokkeerd. Dit voorkomt vele vormen van aanvallen, zoals SYN-overstromingen.

4. Diepteverdediging: Pakketfiltering op een router is slechts één beveiligingslaag. Het moet worden aangevuld met andere beveiligingsmaatregelen, zoals:

* Firewalls: Plaats firewalls zowel aan de rand als eventueel intern om extra filtering en bescherming te bieden.

* Inbraakdetectie-/preventiesystemen (IDS/IPS): Deze systemen monitoren het netwerkverkeer op kwaadaardige activiteiten en kunnen actie ondernemen om verdachte gebeurtenissen te blokkeren of te waarschuwen.

* Virtuele privénetwerken (VPN's): Gebruik VPN's om verkeer tussen externe gebruikers en het netwerk van de organisatie te versleutelen.

* Regelmatige updates en patches: Houd routerfirmware en -software up-to-date om beveiligingsproblemen aan te pakken.

5. Regelmatige evaluatie en updates: ACL's zijn niet 'set-and-forget'. Ze hebben regelmatige evaluatie en updates nodig om veranderingen in de netwerkinfrastructuur van de organisatie, beveiligingsbedreigingen en best practices weer te geven. Verouderde of slecht geconfigureerde ACL's kunnen kwetsbaarheden achterlaten.

Voorbeeld van ACL-regel (vereenvoudigd):

`Toestaan ​​TCP elke host 192.168.1.100 eq 80`

Deze regel staat TCP-verkeer toe van elk bron-IP-adres naar het doel-IP-adres 192.168.1.100 op poort 80 (HTTP). Dit is een heel eenvoudig voorbeeld en vereist een zorgvuldige afweging van de implicaties ervan in de context van een compleet beveiligingsplan.

Belangrijke opmerking: Verkeerd geconfigureerde ACL's kunnen legitiem netwerkverkeer verstoren. Testen en een zorgvuldige planning zijn van cruciaal belang voordat u wijzigingen in ACL's doorvoert. Overweeg het gebruik van een testomgeving om wijzigingen te testen voordat u deze in productie implementeert.