КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Правила фильтрации пакетов
Брандмауэры выполняют фильтрацию пакетов путем проверки заголовков входящих пакетов на предмет их удовлетворения определенным критериям, устанавливаемых с помощью правил фильтрации пакетов. Фильтрации подвергаются пакеты, поступающие как изнутри, так и извне локальной сети, причем фильтр работает асимметрично, различным образом обрабатывая входящие и исходящие пакеты. При поступлении пакета в брандмауэр, входящий в его состав маршрутизатор с фильтрацией пакетов извлекает из пакета заголовки и выполняет синтаксический анализ и проверку заголовков. Как правило, при этом проверяются заголовки, относящиеся к протоколам TCP, IP, UDP. Далее к пакету последовательно применяются правила фильтрации пакетов, причем в том порядке, в котором они сохранены в списке ACL брандмауэра. Применение правил выполняется с учетом следующих принципов: · если при просмотре списка ACL будет найдено правило, разрешающее прохождение пакета, он немедленно направляется по назначению; · если будет найдено правило, запрещающее прохождение пакета, он немедленно отбрасывается; · если при просмотре ACL окажется, что для данного пакета отсутствуют правила, разрешающее его прохождение, пакет автоматически отбрасывается. Чтобы создать правило фильтрации пакетов, следует указать: действие, выполняемое при совпадении критериев правила с параметрами пакета, протокол обработки пакета и номер порта для приема пакета. Самое главное, на что нужно обращать внимание при создании правил фильтрации пакетов – это порядок их записи в список ACL, от которого зависит функционирование брандмауэра. Некорректный порядок записи правил может привести к полному блокированию межсетевого соединения или к отбрасыванию корректных пакетов и разрешению некорректных. Приведем пример важности очередности задания правил фильтрации. Допустим, вы написали 2 правила фильтрации:
При таком порядке сначала будут отсекаться все попытки передачи пакета с хоста-источника «Spammer», а затем разрешается всем пакетам со всех исходных хостов поступать на SMPT-порт 25 почтового шлюза хоста Mailer. Если изменить очередность этих правил, то это позволит всем хостам сети (включая Spammer) соединяться с почтовым шлюзом, поскольку правила немедленно применяются к поступившему пакету. Сложность создания таких правил состоит в необходимости учета всех протоколов, служб и портов, используемых сетевыми хостами, без чего нельзя исключить риск атаки на эти хосты. Некоторые затруднения может причинить протокол FTP, поскольку номер порта для канала передачи данных заранее неизвестен. Поэтому обычно правила фильтрации пакетов создаются постепенно, по мере эксплуатации, системы и уточнения конфигурации брандмауэра.
Дата добавления: 2014-01-15; Просмотров: 1900; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |