Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Шлюзы с фильтрацией пакетов проверяют заголовки входящих пакетов на предмет их удовлетворения определенным критериям, устанавливаемым с помощью правил фильтрации пакетов. Фильтрации подвергаются пакеты, поступающие как изнутри, так и извне локальной сети, причем фильтр работает асимметрично, различным образом обрабатывая входящие и исходящие пакеты. Таким образом, для фильтрации входящих и исходящих пакетов следует использовать различные правила фильтрации.
При поступлении пакета в брандмауэр, входящий в его состав маршрутизатор с фильтрацией пакетов извлекает из пакета заголовки и выполняет синтаксический анализ и проверку заголовков. Как правило, при этом проверяются только заголовки, относящиеся к протоколам TCP/IP и UDP. Далее к пакету последовательно применяются правила фильтрации пакетов, причем в том порядке, в котором они сохранены в списке ACL брандмауэра. Применение правил выполняется с учетом следующих принципов.
• Если при просмотре списка ACL будет найдено правило, разрешающее прохождение пакета, он немедленно направляется по назначению.
• Если будет найдено правило, запрещающее прохождение пакета, он немедленно отбрасывается.
• Если при просмотре списка ACL окажется, что для данного пакета отсутствуют правила, разрешающие его прохождение, пакет автоматически отбрасывается.
Чтобы создать правило фильтрации пакетов, следует указать:
• действие, выполняемое при совпадении критериев правила с параметрами пакета (например, «разрешить» или «блокировать»);
• протокол обработки пакета;
• номер порта для приема пакета.
Например, чтобы пропустить через брандмауэр пакет сообщения электронной почты, для почтового шлюза следует создать правило, разрешающее внешнее подключение к порту 25 по протоколу SMTP (Simple Mail Transfer Protocol -Простой протокол электронной почты).
Самое главное, на что следует обратить внимание при создании правил фильтрации пакетов - это порядок их записи в список ACL, от которого зависит функционирование брандмауэра. Некорректный порядок записи правил может привести к полному блокированию межсетевого соединения или к отбрасыванию корректных пакетов и разрешению некорректных.
Допустим, требуется создать правило, разрешающее подключение к почтовому шлюзу хоста Mailer всех хостов глобальной сети, кроме хоста Spammer. Для этого создадим таблицу (см. таблицу 1), в которую будем записывать правила фильтрации.
Таблица 1. Шаблон таблицы правил фильтрации пакетов
Правило | Действие | Источник | Порт | Назначение | Порт | Комментарий |
1. |
Вначале введем правило блокирования трафика через почтовый шлюз (см. таблицу 2).
Таблица 2. Добавление правила блокировки
Правило | Действие | Источник | Порт | Назначение | Порт | Комментарий |
1. | Блокировать | Spammer | * | * | * | Блокирование соединений |
В столбце Действие таблицы 2 указано действие, выполняемое при удовлетворении критериев правила, в данном случае - блокировка пакета. Далее, в столбце Источник указан хост-источник пакета - Spammer, а в столбце Порт - номер порта хоста-источника пакета. Следом определяются параметры получателя пакета: столбец Назначение содержит имя целевого хоста пакета, а столбец Порт - номер порта целевого хоста. Наконец, столбец Комментарий содержит комментарии к создаваемому правилу. Звездочки (*) в ячейках отмечают, что допускается любое значение параметра; в данном случае они показывают, что блокируются все пакеты из хоста Spammer, исходящие с любого порта хоста Spammer и направленные в любой порт любого хоста.
Теперь введем правило, разрешающее подключение к почтовому шлюзу от всех остальных хостов сети (см. таблицу 3).
Таблица 3. Добавление правила, разрешающего подключения к почтовому шлюзу
Правило | Действие | Источник | Порт | Назначение | Порт | Комментарий |
1. | Блокировать | Spammer | * | * | * | Блокирование соединений |
2. | Разрешить | * | * | Mailer | Разрешение соединений |
Теперь в столбце Действие правила 2 указывается действие Разрешить, разрешающее всем пакетам со всех исходных хостов поступать на SMTP-порт 25 почтового шлюза хоста Mailer.
Порядок правил фильтрации пакетов очень важен - перестановка правил 1 и 2 табл. 16.3 позволит всем хостам сети (включая Spammer) соединяться с почтовым шлюзом - ведь, не забывайте, к пакету немедленно применяются правила, разрешающие или блокирующие его прохождение через брандмауэр.
Сложность создания таких правил состоит в необходимости учета всех протоколов, служб и портов, используемых сетевыми хостами, без чего нельзя исключить риск атаки на эти хосты. Поэтому чаще всего правила фильтрации пакетов создаются постепенно, по мере эксплуатации системы и уточнении конфигурации брандмауэра.
Технически настройка таких правил не вызывает проблем. Например, в обсуждаемом далее брандмауэре WinRoute Pro для введения новых правил фильтрации пакетов следует выполнить такие шаги.
• Запустите администратора брандмауэра WinRoute Pro, выбрав команду меню Пуск * Программы * WinRoute Pro * WinRoute Administration (Start * Programs * WinRoute Pro * WinRoute Administration). На экране появится окно Kerio WinRoute Administrator (localhost), представленное на Рис. 1.
Рис. 1. Рабочее окно администратора WinRoute
• Подключитесь к хосту, выполнив команду меню Action * Connect (Действие * Подключить). На экране появится диалог Open Configuration (Открытие конфигурации), представленный на Рис. 2.
Рис. 2. Диалог аутентификации пользователя брандмауэра WinRoute
• Введите свои идентификационные данные, если они у вас имеются, и нажмите кнопку ОК; теперь администратор брандмауэра готов к работе.
• В рабочем окне администратора WinRoute выберите команду меню Settings * Advanced * Packet Filter (Параметры * Дополнительные * Фильтрация пакетов). На экране появится диалог Packet Filter (Фильтр пакетов), представленный на Рис. 3.
Рис. 3. Диалог выбора фильтруемого интерфейса
Вкладка Incoming (Входящие) позволяет установить правила фильтрации входящих пакетов, а вкладка Outgoing (Исходящие) - исходящих. В списке представлены правила для всех интерфейсов компьютера.
• Для установки правила фильтрации выберите требуемый интерфейс или выберите сразу все интерфейсы, щелкнув на строке Any Interface (Все интерфейсы), и щелкните на кнопке Add (Добавить). На экране появится диалог Add Item (Добавить правила), представленный на Рис. 4.
Рис. 4. Диалог ввода правила фильтрации пакетов
• Чтобы создать правило фильтрации пакетов, в поле Protocol (Протокол) выберите протокол, пакеты которого вы будет фильтровать. В зависимости от выбора протокола в диалоге Add Item (Добавление правила) отобразится набор параметров, устанавливаемых для фильтрации пакетов выбранного протокола.
• Установите требуемые параметры и нажмите кнопку ОК - в диалоге Packet Filter (Фильтр пакетов) (Рис. 3) отобразится созданное правило.
Дата публикования: 2014-11-04; Прочитано: 640 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!