![background image](/i/zyxel/148182/zyxel-p660hwp-ee-kit/h/zyxel-p660hwp-ee-kit-175.png)
Глава
10
Межсетевые
экраны
Руководство
пользователя
P660HWP-Dx
175
За
исключением
приведенных
в
следующей
таблице
,
все
другие
команды
SMTP
запрещены
.
10.4.2.3 Traceroute
Traceroute –
это
утилита
,
предназначенная
для
определения
маршрута
,
проходимого
пакетом
между
двумя
конечными
точками
.
Иногда
при
некорректной
установке
межсетевого
экрана
у
хакера
появляется
возможность
проследить
его
путь
и
получить
данные
о
топологии
сети
,
находящейся
за
экраном
.
Часто
,
многие
атаки
DoS
также
применяют
,
как
часть
своей
атаки
метод
,
известный
как
IP Spoofing
(
подстановка
IP-
адреса
).
Подстановка
IP-
адреса
может
использоваться
с
целью
проникновения
в
системы
,
чтобы
исключить
возможность
идентифицировать
хакера
или
увеличить
эффект
атаки
DoS.
Подстановка
IP-
адреса
применяется
для
получения
несанкционированного
доступа
к
компьютерам
путем
создания
ситуации
,
когда
межсетевой
экран
или
маршрутизатор
получают
информацию
о
том
,
что
обмен
данными
происходит
якобы
с
надежной
(
в
отношении
безопасности
)
сетью
.
При
использовании
данного
способа
хакер
должен
видоизменить
заголовки
пакетов
так
,
чтобы
складывалось
впечатление
,
что
пакеты
поступают
с
надежного
(
доверенного
)
узла
и
должны
беспрепятственно
пропускаться
сетевым
экраном
или
маршрутизатором
.
P660HWP
блокирует
все
попытки
имитации
IP-
адреса
.
10.5
Инспекция
пакетов
с
учетом
состояния
Инспекция
с
учетом
состояния
означает
,
что
поля
пакетов
сравниваются
с
теми
пакетами
,
которые
уже
считаются
достоверными
.
Например
,
при
доступе
к
внешнему
серверу
прокси
-
сервер
запоминает
параметры
первоначального
запроса
,
такие
как
номер
порта
и
адрес
источника
и
получателя
.
Такое
«
запоминание
»
называется
сохранением
состояния
.
Когда
внешняя
система
отвечает
на
запрос
,
межсетевой
экран
сравнивает
параметры
получаемых
пакетов
с
параметрами
сохраненного
состояния
и
принимает
решение
о
допуске
.
В
P660HWP
инспекция
пакетов
с
учетом
состояния
используется
для
защиты
частной
локальной
сети
от
хакеров
и
вандалов
в
Интернете
.
По
умолчанию
в
P660HWP
при
инспекции
пакетов
с
учетом
состояния
разрешается
прохождение
трафика
из
локальной
сети
в
Интернет
,
если
источником
этого
трафика
является
локальная
сеть
,
и
блокируется
весь
трафик
в
локальную
сеть
из
Интернета
,
если
этот
трафик
инициирует
Интернет
.
В
целом
,
основные
функции
инспекции
пакетов
с
учетом
состояния
таковы
:
•
Разрешаются
все
сеансы
связи
с
глобальной
сетью
(
Интернет
, WAN)
со
стороны
локальной
(LAN).
•
Запрещаются
сеансы
связи
с
локальной
сетью
со
стороны
глобальной
.
Табл
. 58
Команды
SMTP
AUTH
DAT
А
EHLO
ETRN
EXPN
HELO
HELP
NOOP
QUIT
RCPT
RSET
SAML
SEND
SOML
TURN
VRFY