![background image](/i/zyxel/144707/zyxel-p-660ht-ee/h/zyxel-p-660ht-ee-151.png)
Руководство
пользователя
P–660HT/HTW EE
Глава
10
Межсетевые
экраны
150
•
Для
блокировки
/
допуска
как
входящего
(
из
WAN
в
LAN),
так
и
исходящего
(
из
LAN
в
WAN)
трафика
между
конкретным
внутренним
узлом
/
сетью
"A"
и
внешним
узлом
/
сетью
"B".
Если
фильтр
блокирует
трафик
из
A
в
B,
то
также
блокируется
и
трафик
из
B
в
A.
Фильтры
не
могут
различать
трафик
,
исходящий
от
внутреннего
или
внешнего
узла
по
IP-
адресу
.
•
Для
блокировки
/
допуска
отслеживания
маршрута
по
сети
IP.
10.7.2
Межсетевой
экран
•
Межсетевой
экран
проверяет
содержание
пакетов
и
адреса
их
источника
и
получателя
.
Экраны
такого
типа
используют
модуль
контроля
,
подходящий
ко
всем
протоколам
,
и
распознающий
данные
пакета
разных
уровней
,
от
сетевого
уровня
(
заголовки
IP)
до
уровня
приложений
.
•
Межсетевой
экран
выполняет
инспекцию
пакетов
с
учетом
состояния
.
Он
учитывает
состояние
обрабатываемых
подключений
,
например
,
легальный
входящий
пакет
можно
сопоставить
с
исходящим
запросом
на
этот
пакет
и
разрешить
его
получение
.
Напротив
,
входящий
пакет
,
маскирующийся
под
ответ
на
несуществующий
исходящий
запрос
,
блокируется
.
•
Межсетевой
экран
применяет
фильтрацию
сеансов
связи
,
т
.
е
.
использует
сложные
правила
,
расширяющие
процесс
фильтрации
с
проверки
отдельных
пакетов
в
рамках
сеанса
связи
до
контроля
сеанса
связи
в
целом
.
•
Межсетевой
экран
имеет
службу
электронной
почты
,
с
помощью
которой
отсылаются
отчеты
и
извещения
.
10.7.2.1
Случаи
использования
межсетевого
экрана
•
Для
защиты
от
атак
типа
DoS
и
предотвращения
проникновения
в
сеть
хакеров
.
•
Возможность
в
рамках
одного
правила
задать
ряд
IP-
адресов
источника
и
получателя
,
а
также
номера
портов
делает
использование
экрана
более
предпочтительным
в
случаях
,
когда
необходимы
сложные
правила
.
•
Для
выборочной
блокировки
/
допуска
входящего
и
исходящего
трафика
между
внутренними
и
внешними
узлами
/
сетями
.
Напомним
,
что
фильтры
не
в
состоянии
отличать
трафик
,
исходящий
от
внутреннего
или
внешнего
узла
,
по
IP-
адресу
.
•
Межсетевой
экран
предпочтительнее
,
чем
фильтрация
,
если
необходима
проверка
на
соответствие
нескольким
правилам
.
•
Лучше
использовать
межсетевой
экран
,
если
есть
необходимость
получать
плановые
отчеты
о
системе
или
сообщения
об
атаках
по
электронной
почте
.
•
Межсетевой
экран
позволяет
блокировать
трафик
от
конкретного
URL
при
появении
такового
.
Указатели
URL
сохраняются
в
базе
данных
списка
контроля
доступа
.