![background image](/i/zyxel/144707/zyxel-p-660ht-ee/h/zyxel-p-660ht-ee-146.png)
Руководство
пользователя
P–660HT/HTW EE
145
Глава
10
Межсетевые
экраны
10.5.1
Действие
функции
инспекции
пакетов
с
учетом
состояния
В
данном
примере
иллюстрируется
последовательность
событий
,
имеющих
место
после
того
,
как
пакет
TCP
покидает
локальную
сеть
через
порт
WAN
межсетевого
экрана
.
Этот
пакет
TCP
является
первым
в
сеансе
,
а
протокол
уровня
приложений
данного
пакета
настроен
на
проверку
на
соответствие
одному
из
правил
сетевого
экрана
:
1
Пакет
поступает
из
локальной
сети
(
где
находится
сетевой
экран
)
в
глобальную
сеть
.
2
Происходит
проверка
пакета
по
существующему
списку
контроля
исходящего
доступа
для
данного
порта
и
дается
разрешение
(
недопущенный
пакет
сбрасывается
уже
на
данном
этапе
).
3
Происходит
инспекция
пакета
в
соответствии
с
правилом
сетевого
экрана
для
выявления
и
записи
информации
о
состоянии
подключения
для
данного
пакета
.
Эта
информация
записывается
в
виде
нового
элемента
таблицы
состояний
,
созданной
для
данного
подключения
.
Если
для
данного
пакета
нет
соответствующего
правила
межсетевого
экрана
и
он
не
является
атакой
,
то
действия
в
отношении
этого
пакета
будут
определяться
настройками
в
окне
Правило
по
умолчанию
.
4
В
зависимости
от
полученной
информации
о
состоянии
,
правило
межсетевого
экрана
создает
временную
запись
в
списке
контроля
доступа
,
которая
вставляется
в
начало
расширенного
списка
контроля
входящего
доступа
для
порта
WAN.
Эта
временная
запись
в
списке
контроля
доступа
предназначена
для
разрешения
пропуска
входящих
пакетов
с
того
же
соединения
,
что
и
уже
проинспектированные
исходящие
пакеты
.
5
Исходящий
пакет
пересылается
через
данный
порт
.
6
Далее
,
входящий
пакет
достигает
порта
.
Этот
пакет
является
частью
соединения
уже
установленного
исходящим
пакетом
.
Происходит
сверка
входящего
пакета
со
списком
контроля
входящего
доступа
и
дается
разрешение
,
так
как
ранее
была
добавлена
временная
запись
в
список
контроля
доступа
.
7
Пакет
проверяется
на
соответствие
правилом
межсетевого
экрана
,
а
таблица
состояний
для
данного
соединения
по
необходимости
обновляется
.
На
основании
обновленной
информации
о
состоянии
временные
записи
расширенного
списка
контроля
входящего
доступа
могут
быть
изменены
,
чтобы
разрешать
только
пропуск
пакетов
,
действительных
для
текущего
состояния
данного
соединения
.
8
Проверяются
дополнительные
входящие
или
исходящие
пакеты
для
данного
соединения
,
таким
образом
обновляется
таблица
состояний
и
,
соответственно
,
временные
записи
в
списке
контроля
исходящего
доступа
;
пакеты
пересылаются
через
порт
.
9
При
прекращении
связи
или
истечении
времени
ожидания
,
таблица
состояний
для
данного
соединения
и
временные
записи
в
списке
контроля
доступа
удаляются
.