![background image](/i/zyxel/144707/zyxel-p-660ht-ee/h/zyxel-p-660ht-ee-147.png)
Руководство
пользователя
P–660HT/HTW EE
Глава
10
Межсетевые
экраны
146
10.5.2
Реализация
функции
в
модели
P–660HT/HTW EE
Дополнительные
правила
могут
расширять
или
замещать
установленные
по
умолчанию
.
Например
,
можно
создать
правило
,
которое
будет
выполнять
следующее
:
•
Блокировать
трафик
определенного
типа
,
например
IRC (Internet Relay Chat),
исходящий
из
локальной
сети
в
Интернет
.
•
Разрешить
трафик
определенного
типа
из
Интернета
к
конкретным
компьютерам
-
узлам
локальной
сети
.
•
Разрешить
доступ
к
web-
серверу
всем
,
кроме
конкурентов
.
•
Разрешить
использование
определенных
протоколов
,
например
Telnet,
лишь
полномочным
пользователям
локальной
сети
.
Эти
определяемые
пользователями
правила
работают
,
используя
принцип
проверки
IP-
адреса
источника
и
IP-
адреса
получателя
сетевого
трафика
,
типа
протокола
IP,
и
сравнения
с
правилами
,
установленными
администратором
.
ПРИМЕЧАНИЕ
:
Возможность
устанавливать
правила
межсетевого
экрана
является
очень
мощным
инструментом
.
С
помощью
этих
правил
можно
отключить
межсетевой
экран
или
полностью
заблокировать
доступ
в
Интернет
.
Создание
и
удаление
правил
межсетевого
экрана
требует
большой
осторожности
.
После
создания
новых
правил
необходимо
проверить
их
на
правильность
работы
.
Ниже
дается
краткое
техническое
описание
отслеживания
таких
соединений
.
Соединения
могут
определяться
или
протоколами
верхнего
уровня
(
например
, TCP)
или
самим
интернет
-
центром
(
как
и
в
случае
"
виртуальных
соединений
",
создаваемых
для
UDP
и
ICMP).
10.5.3
Безопасность
TCP
Интернет
-
центр
P–660HT/HTW EE
использует
информацию
о
состоянии
,
встроенную
в
пакеты
TCP.
В
первом
пакете
нового
соединения
флаг
SYN
установлен
,
а
флаг
ACK
снят
;
это
— "
пакеты
-
инициаторы
".
Пакеты
,
не
содержащие
таких
флажков
,
называются
"
последующими
",
так
как
несут
данные
,
возникающие
затем
в
потоке
TCP.
Если
пакет
-
инициатор
исходит
из
глобальной
сети
,
это
значит
,
что
кто
-
то
в
Интернете
пытается
установить
соединение
с
локальной
сетью
.
За
исключением
особых
случаев
(
см
.
далее
"
протоколы
верхнего
уровня
"),
такие
пакеты
сбрасываются
и
вносятся
в
журнал
.
Если
пакет
-
инициатор
исходит
из
локальной
сети
,
это
означает
,
что
кто
-
то
из
локальной
сети
пытается
установить
соединение
с
Интернет
.
Полагая
,
что
это
допустимо
в
рамках
политики
безопасности
(
а
именно
такова
политика
по
умолчанию
),
соединение
будет
разрешено
.
В
кэш
будет
помещена
информация
о
соединении
,
т
.
е
. IP-
адреса
,
порты
TCP,
порядковые
номера
и
т
.
д
.