Настройка шлюзов с фильтрацией nakemoв

Шлюзы с фильтрацией пакетов проверяют заголовки входящих пакетов на предмет их удовлетворения определенным критериям, устанавливаемым с помощью правил фильтрации пакетов. Фильтрации подвергаются пакеты, поступающие как изнутри, так и извне локальной сети, причем фильтр работает асимметрично, различным образом обрабатывая входящие и исходящие пакеты. Таким образом, для фильтрации входящих и исходящих пакетов следует использовать различные правила фильтрации.

При поступлении пакета в брандмауэр, входящий в его состав маршрутизатор с фильтрацией пакетов извлекает из пакета заголовки и выполняет синтаксический анализ и проверку заголовков. Как правило, при этом проверяются только заголовки, относящиеся к протоколам TCP/IP и UDP. Далее к пакету последовательно применяются правила фильтрации пакетов, причем в том порядке, в котором они сохранены в списке ACL брандмауэра. Применение правил выполняется с учетом следующих принципов.

• Если при просмотре списка ACL будет найдено правило, разрешающее прохождение пакета, он немедленно направляется по назначению.

• Если будет найдено правило, запрещающее прохождение пакета, он немедленно отбрасывается.

• Если при просмотре списка ACL окажется, что для данного пакета отсутствуют правила, разрешающие его прохождение, пакет автоматически отбрасывается.

Чтобы создать правило фильтрации пакетов, следует указать:

• действие, выполняемое при совпадении критериев правила с параметрами пакета (например, «разрешить» или «блокировать»);

• протокол обработки пакета;

• номер порта для приема пакета.

Например, чтобы пропустить через брандмауэр пакет сообщения электронной почты, для почтового шлюза следует создать правило, разрешающее внешнее подключение к порту 25 по протоколу SMTP (Simple Mail Transfer Protocol -Простой протокол электронной почты).

Самое главное, на что следует обратить внимание при создании правил фильтрации пакетов - это порядок их записи в список ACL, от которого зависит функционирование брандмауэра. Некорректный порядок записи правил может привести к полному блокированию межсетевого соединения или к отбрасыванию корректных пакетов и разрешению некорректных.

Допустим, требуется создать правило, разрешающее подключение к почтовому шлюзу хоста Mailer всех хостов глобальной сети, кроме хоста Spammer. Для этого создадим таблицу (см. таблицу 1), в которую будем записывать правила фильтрации.

Таблица 1. Шаблон таблицы правил фильтрации пакетов

Правило	Действие	Источник	Порт	Назначение	Порт	Комментарий
1.

Вначале введем правило блокирования трафика через почтовый шлюз (см. таблицу 2).

Таблица 2. Добавление правила блокировки

Правило	Действие	Источник	Порт	Назначение	Порт	Комментарий
1.	Блокировать	Spammer	*	*	*	Блокирование соединений

В столбце Действие таблицы 2 указано действие, выполняемое при удовлетворении критериев правила, в данном случае - блокировка пакета. Далее, в столбце Источник указан хост-источник пакета - Spammer, а в столбце Порт - номер порта хоста-источника пакета. Следом определяются параметры получателя пакета: столбец Назначение содержит имя целевого хоста пакета, а столбец Порт - номер порта целевого хоста. Наконец, столбец Комментарий содержит комментарии к создаваемому правилу. Звездочки (*) в ячейках отмечают, что допускается любое значение параметра; в данном случае они показывают, что блокируются все пакеты из хоста Spammer, исходящие с любого порта хоста Spammer и направленные в любой порт любого хоста.

Теперь введем правило, разрешающее подключение к почтовому шлюзу от всех остальных хостов сети (см. таблицу 3).

Таблица 3. Добавление правила, разрешающего подключения к почтовому шлюзу

Правило	Действие	Источник	Порт	Назначение	Порт	Комментарий
1.	Блокировать	Spammer	*	*	*	Блокирование соединений
2.	Разрешить	*	*	Mailer		Разрешение соединений

Теперь в столбце Действие правила 2 указывается действие Разрешить, разрешающее всем пакетам со всех исходных хостов поступать на SMTP-порт 25 почтового шлюза хоста Mailer.

Порядок правил фильтрации пакетов очень важен - перестановка правил 1 и 2 табл. 16.3 позволит всем хостам сети (включая Spammer) соединяться с почтовым шлюзом - ведь, не забывайте, к пакету немедленно применяются правила, разрешающие или блокирующие его прохождение через брандмауэр.

Сложность создания таких правил состоит в необходимости учета всех протоколов, служб и портов, используемых сетевыми хостами, без чего нельзя исключить риск атаки на эти хосты. Поэтому чаще всего правила фильтрации пакетов создаются постепенно, по мере эксплуатации системы и уточнении конфигурации брандмауэра.

Технически настройка таких правил не вызывает проблем. Например, в обсуждаемом далее брандмауэре WinRoute Pro для введения новых правил фильтрации пакетов следует выполнить такие шаги.

• Запустите администратора брандмауэра WinRoute Pro, выбрав команду меню Пуск * Программы * WinRoute Pro * WinRoute Administration (Start * Programs * WinRoute Pro * WinRoute Administration). На экране появится окно Kerio WinRoute Administrator (localhost), представленное на Рис. 1.

Рис. 1. Рабочее окно администратора WinRoute

• Подключитесь к хосту, выполнив команду меню Action * Connect (Действие * Подключить). На экране появится диалог Open Configuration (Открытие конфигурации), представленный на Рис. 2.

Рис. 2. Диалог аутентификации пользователя брандмауэра WinRoute

• Введите свои идентификационные данные, если они у вас имеются, и нажмите кнопку ОК; теперь администратор брандмауэра готов к работе.

• В рабочем окне администратора WinRoute выберите команду меню Settings * Advanced * Packet Filter (Параметры * Дополнительные * Фильтрация пакетов). На экране появится диалог Packet Filter (Фильтр пакетов), представленный на Рис. 3.

Рис. 3. Диалог выбора фильтруемого интерфейса

Вкладка Incoming (Входящие) позволяет установить правила фильтрации входящих пакетов, а вкладка Outgoing (Исходящие) - исходящих. В списке представлены правила для всех интерфейсов компьютера.

• Для установки правила фильтрации выберите требуемый интерфейс или выберите сразу все интерфейсы, щелкнув на строке Any Interface (Все интерфейсы), и щелкните на кнопке Add (Добавить). На экране появится диалог Add Item (Добавить правила), представленный на Рис. 4.

Рис. 4. Диалог ввода правила фильтрации пакетов

• Чтобы создать правило фильтрации пакетов, в поле Protocol (Протокол) выберите протокол, пакеты которого вы будет фильтровать. В зависимости от выбора протокола в диалоге Add Item (Добавление правила) отобразится набор параметров, устанавливаемых для фильтрации пакетов выбранного протокола.

• Установите требуемые параметры и нажмите кнопку ОК - в диалоге Packet Filter (Фильтр пакетов) (Рис. 3) отобразится созданное правило.