![background image](/i/zyxel/144707/zyxel-p-660ht-ee/h/zyxel-p-660ht-ee-138.png)
Руководство
пользователя
P–660HT/HTW EE
137
Глава
10
Межсетевые
экраны
10.2.1
Межсетевые
экраны
с
фильтрацией
пакетов
Межсетевой
экран
с
фильтрацией
пакетов
ограничивает
доступ
в
зависимости
от
сетевого
адреса
источника
/
получателя
пакета
и
типа
приложения
.
10.2.2
Межсетевые
экраны
на
уровне
приложений
Межсетевые
экраны
на
уровне
приложений
ограничивают
доступ
,
выступая
в
качестве
прокси
-
серверов
для
внешних
серверов
.
В
связи
с
тем
,
что
они
используют
программы
,
написанные
для
конкретных
служб
Интернет
,
таких
как
HTTP, FTP
и
telnet,
они
могут
инспектировать
пакеты
на
предмет
достоверности
относящихся
к
приложению
данных
.
У
шлюзов
приложений
имеется
ряд
преимуществ
общего
характера
по
сравнению
с
режимом
(
по
умолчанию
)
разрешения
передачи
трафика
приложений
непосредственно
к
внутренним
узлам
:
Функция
намеренного
скрытия
информации
не
позволяет
внешним
системам
получить
имена
внутренних
узлов
через
DNS,
так
как
шлюз
приложения
—
это
единственный
узел
,
имя
которого
должно
быть
известно
внешним
системам
.
Надежная
система
аутентификации
и
протоколирования
предварительно
аутентифицирует
трафик
приложения
до
того
,
как
он
достигает
внутренних
узлов
и
обеспечивает
более
эффективное
ведение
протокола
по
сравнению
с
регистрацией
обычными
средствами
узла
.
Правила
фильтрации
в
маршрутизаторе
с
фильтрацией
пакетов
могут
быть
проще
,
чем
в
случае
фильтрации
маршрутизатором
трафика
приложений
и
пересылки
его
нескольким
конкретным
системам
.
Задача
маршрутизатора
в
данном
случае
состоит
лишь
в
том
,
чтобы
переназначать
трафик
приложений
шлюзу
приложений
и
запретить
весь
остальной
.
10.2.3
Межсетевые
экраны
с
инспекцией
пакетов
с
учетом
состояния
Межсетевые
экраны
с
инспекцией
пакетов
с
учетом
состояния
ограничивают
доступ
путем
отбраковки
пакетов
,
не
удовлетворяющих
установленным
правилам
доступа
.
Решения
о
доступе
принимаются
в
зависимости
от
IP-
адреса
и
протокола
.
Такие
межсетевые
экраны
также
"
инспектируют
"
данные
сеансов
связи
для
обеспечения
целостности
соединения
и
адаптации
к
динамическим
протоколам
.
Как
правило
,
такие
экраны
обеспечивают
лучшую
скорость
и
прозрачность
,
однако
проигрывают
в
таких
аспектах
как
управление
доступом
на
уровне
приложений
и
кэширование
,
которые
поддерживаются
некоторыми
прокси
.
Для
получения
более
подробной
информации
об
инспекции
пакетов
с
учетом
состояния
см
.
Межсетевые
экраны
того
или
иного
типа
сегодня
являются
неотъемлемой
частью
стандартных
решений
систем
безопасности
для
предприятий
.