Hier is hoe het werkt:

1. Kopinspectie: Het primaire mechanisme is het onderzoeken van de pakketheader. Dit omvat velden als:

* Bron- en bestemmings-IP-adressen: Filterregels kunnen verkeer van of naar specifieke IP-adressen, adressenreeksen of hele netwerken blokkeren (bijvoorbeeld door al het verkeer van een bekend kwaadaardig IP-bereik te blokkeren).

* Bron- en bestemmingspoorten: Dit is cruciaal voor het identificeren van het applicatieprotocol (bijvoorbeeld poort 80 voor HTTP, poort 443 voor HTTPS, poort 25 voor SMTP). Regels kunnen specifieke poorten of protocollen volledig blokkeren (bijvoorbeeld door al het verkeer op poort 25 te blokkeren om spam te voorkomen).

* Protocoltype: Dit geeft het netwerklaagprotocol aan (bijvoorbeeld TCP, UDP, ICMP). Regels kunnen filteren op basis van het protocoltype (bijvoorbeeld het blokkeren van ICMP-ping-overstromingen).

* Andere kopvelden: Minder gebruikelijk maar mogelijk zijn filters die zijn gebaseerd op zaken als TTL (Time To Live), vlaggen in TCP-headers of andere, minder vaak onderzochte velden.

2. Diepe pakketinspectie (DPI): Voor meer geavanceerde inhoudsfiltering worden DPI-technieken gebruikt. Hierbij wordt in beperkte mate de lading van het pakket (de feitelijke gegevens) onderzocht. Dit is rekenintensief en wordt doorgaans niet op elk pakket toegepast, alleen op pakketten die voldoen aan de specifieke criteria die in stap 1 zijn geïdentificeerd. DPI kan het volgende analyseren:

* URL's: Door URL's uit HTTP-verzoeken te extraheren, kunt u de toegang tot specifieke websites of categorieën websites blokkeren (bijvoorbeeld de toegang tot sociale-mediasites blokkeren).

* Zoekwoorden: Het analyseren van de pakketlading op specifieke trefwoorden of patronen (vereist aanzienlijke verwerkingskracht en kan beperkt zijn tot specifieke toepassingen).

* Bestandstypen: Identificeren van het type bestand dat wordt verzonden (bijvoorbeeld uitvoerbare bestanden blokkeren).

3. Op regels gebaseerde besluitvorming: Op basis van de informatie verzameld uit stap 1 en 2 past het filterprogramma vooraf gedefinieerde regels toe. Deze regels specificeren acties die moeten worden ondernomen op basis van de kenmerken van het pakket. Deze regels kunnen:

* Toestaan: Geef het pakket toestemming om door te gaan naar het beveiligde netwerk.

* Weigeren: Blokkeer het pakket en voorkom dat het het netwerk binnendringt.

* Logboek: Registreer de pakketinformatie in een logbestand voor auditing en analyse.

Samengevat: Bij op inhoud gebaseerd filteren gaat het minder om het rechtstreeks analyseren van "inhoud" en meer om het gebruiken van direct beschikbare headerinformatie en het selectief toepassen van DPI om vooraf geconfigureerd beveiligingsbeleid af te dwingen op basis van bron/bestemming, protocollen en mogelijk specifieke inhoudselementen binnen geselecteerde pakketten. De focus ligt op efficiëntie en snelheid, omdat het doorgaans onhaalbaar is om elke byte van elk pakket te onderzoeken.