![background image](/i/zyxel/144707/zyxel-p-660ht-ee/h/zyxel-p-660ht-ee-148.png)
Руководство
пользователя
P–660HT/HTW EE
147
Глава
10
Межсетевые
экраны
Если
интернет
-
центр
получает
последующий
пакет
(
из
Интернета
или
из
LAN),
то
информация
о
подключении
извлекается
и
проверяется
по
кэшу
.
Прохождение
пакета
разрешается
только
если
он
соответствует
данному
соединению
(
то
есть
,
если
он
является
ответом
на
запрос
соединения
из
локальной
сети
).
10.5.4
Безопасность
UDP/ICMP
Пакеты
UDP
и
ICMP
не
содержат
информации
о
соединении
(
такой
как
порядковые
номера
).
Однако
они
как
минимум
содержат
пару
IP-
адресов
(
источника
и
получателя
).
UDP
также
содержит
данные
обоих
портов
,
а
ICMP —
тип
и
код
.
Все
эти
данные
анализируются
для
построения
"
виртуальных
соединений
"
в
кэше
.
Например
,
пакет
UDP,
исходящий
из
локальной
сети
,
создает
запись
в
кэше
.
Записываются
его
IP-
адрес
и
оба
порта
.
На
короткое
время
пакеты
UDP
из
глобальной
сети
с
совпадающими
IP
и
UDP
посылаются
обратно
через
сетевой
экран
.
Подобная
ситуация
справедлива
и
для
ICMP,
за
исключением
того
,
что
для
них
интернет
-
центр
вводит
больше
ограничений
.
В
частности
,
лишь
в
ответ
на
исходящие
эхо
-
запросы
разрешены
входящие
эхо
-
отклики
,
на
исходящий
запрос
маски
подсети
—
входящий
ответ
,
а
входящий
ответ
временной
метки
разрешен
только
на
исходящий
запрос
.
Межсетевой
экран
не
пропускает
никакие
другие
пакеты
ICMP,
так
как
они
представляют
собой
большую
опасность
и
содержат
слишком
мало
информации
о
маршруте
.
Например
,
прием
ICMP-
пакетов
переадресации
запрещен
,
так
как
с
их
помощью
можно
перенаправить
трафик
через
атакующие
компьютеры
.
10.5.5
Протоколы
верхнего
уровня
Некоторые
протоколы
верхнего
уровня
(
такие
как
FTP
и
RealAudio)
используют
несколько
сетевых
соединений
одновременно
.
Говоря
простыми
словами
,
они
обычно
используют
"
управляющее
соединение
"
для
посылки
команд
между
оконечными
точками
,
и
"
соединения
передачи
данных
",
используемые
для
передачи
больших
объемов
информации
.
Рассмотрим
протокол
FTP.
Пользователь
в
локальной
сети
устанавливает
управляющее
соединение
с
сервером
в
Интернете
и
запрашивает
файл
.
В
ответ
на
него
удаленный
сервер
создаст
соединение
для
передачи
данных
из
Интернета
.
Для
нормальной
работы
FTP
это
соединение
должно
получить
разрешение
доступа
,
даже
если
обычно
такие
подключения
из
Интернета
запрещены
.
Для
этого
интернет
-
центр
контролирует
данные
FTP
уровня
приложений
.
В
частности
,
ищет
выходную
команду
"PORT",
и
если
таковая
имеется
,
добавляет
в
кэш
запись
об
ожидаемом
соединении
для
передачи
данных
.
Эта
операция
безопасна
,
поскольку
команда
PORT
содержит
адрес
и
порт
,
по
которым
идентифицируется
соединение
.
Любой
протокол
,
работающий
таким
образом
,
необходимо
поддерживать
по
принципу
case-by-case.
Для
этого
можно
использовать
функцию
Custom Ports (
пользовательские
порты
) Web-
конфигуратора
.