2 динамический анализ пакетов в устройствах zyxel – Инструкция по эксплуатации Zyxel P-2602H
Страница 206
Руководство пользователя cерии P-2602H/HW EE
206
Глава 13 Межсетевые экраны
5 Исходящий пакет выходит через интерфейс.
6 Позднее на интерфейс поступает входящий пакет. Этот пакет относится к
соединению, ранее установленному с помощью исходящего пакета. Входящий
пакет проверяется по списку контроля доступа на входе интерфейса, и его
прохождение разрешается благодаря наличию ранее созданной временной записи в
списке доступа.
7 Пакет проверяется по правилу межсетевого экрана; запись в таблице состояния
соединения при необходимости обновляется. С учетом обновленной информации о
состоянии могут быть изменены временные записи во входном расширенном
списке доступа, чтобы разрешались только пакеты, соответствующие текущему
состоянию соединения.
8 Все другие входящие или исходящие пакеты, относящиеся к данному соединению,
проходят проверку с необходимым обновлением записей в таблице состояний и
изменением временных записей во входном списке доступа, после чего пакеты
отправляются через интерфейс.
9 При завершении сеанса или разрыве неактивного сеанса по таймеру
соответствующая запись исключается из таблицы состояний, а временные записи
во входном списке доступа – удаляются.
13.5.2 Динамический анализ пакетов в устройствах ZyXEL
Могут быть определены дополнительные правила, расширяющие или заменяющие
правила по умолчанию. В качестве примера можно создать правило, которое будет:
• Блокировать весь трафик определенного типа, например, IRC (чат в реальном
времени), отправляемый из LAN в Интернет.
• Разрешать определенные виды трафика из Интернета к определенным хостам в
LAN.
• Разрешать доступ к Web-серверу всем, кроме конкурентов.
• Разрешать использование определенных протоколов, например, Telnet, только
авторизованным пользователям в LAN.
Логика работы таких правил заключается в проверке IP-адреса источника, места
назначения и типа протокола IP в проходящих пакетах и сравнении этих значений с
правилами, установленными администратором.
Примечание: Возможность задавать правила для межсетевого экрана – весьма
мощное средство, при помощи которого можно снять защиту,
обеспечиваемую межсетевым экраном, либо полностью заблокировать
доступ в Интернет. При создании и удалении правил межсетевого экрана
необходима чрезвычайная осторожность. Внося любое изменение,
необходимо сразу же его проверить, чтобы удостовериться в
правильности его работы.