![background image](/i/zyxel/148182/zyxel-p660hwp-ee-kit/h/zyxel-p660hwp-ee-kit-176.png)
Глава
10
Межсетевые
экраны
Руководство
пользователя
P660HWP-Dx
176
Рис
. 96
Инспекция
пакетов
с
учетом
состояния
На
предыдущем
рисунке
демонстрируется
действие
правил
межсетевого
экрана
P660HWP
по
умолчанию
,
а
также
показано
,
как
работает
функция
инспекции
пакетов
с
учетом
состояния
.
Пользователь
A
может
инициировать
Telnet-
соединение
из
локальной
сети
,
и
ответы
на
его
запросы
разрешаются
.
Однако
всякий
иной
трафик
Telnet,
поступающий
из
глобальной
сети
,
блокируется
.
10.5.1
Действие
функции
инспекции
пакетов
с
учетом
состояния
В
данном
примере
иллюстрируется
последовательность
событий
,
имеющих
место
после
того
,
как
пакет
TCP
покидает
локальную
сеть
через
порт
WAN
межсетевого
экрана
.
Этот
пакет
TCP
является
первым
в
сеансе
,
а
протокол
уровня
приложений
данного
пакета
настроен
на
проверку
на
соответствие
одному
из
правил
сетевого
экрана
:
1
Пакет
поступает
из
локальной
сети
(
где
находится
сетевой
экран
)
в
глобальную
сеть
.
2
Происходит
проверка
пакета
по
существующему
списку
контроля
исходящего
доступа
для
данного
порта
и
дается
разрешение
(
недопущенный
пакет
сбрасывается
уже
на
данном
этапе
).
3
Происходит
инспекция
пакета
в
соответствии
с
правилом
сетевого
экрана
для
выявления
и
записи
информации
о
состоянии
подключения
для
данного
пакета
.
Эта
информация
записывается
в
виде
нового
элемента
таблицы
состояний
,
созданной
для
данного
подключения
.
Если
для
данного
пакета
нет
соответствующего
правила
межсетевого
экрана
и
,
следовательно
,
он
не
является
атакой
,
то
действия
в
отношении
этого
пакета
определяются
настройками
в
окне
Firewall General (
Общие
настройки
межсетевого
экрана
)
.
4
В
зависимости
от
полученной
информации
о
состоянии
,
правило
межсетевого
экрана
создает
временную
запись
в
списке
контроля
доступа
,
которая
вставляется
в
начало
расширенного
списка
контроля
входящего
доступа
для
порта
WAN.
Эта
временная
запись
в
списке
контроля
доступа
предназначена
для
разрешения
пропуска
входящих
пакетов
с
того
же
соединения
,
что
и
уже
проинспектированные
исходящие
пакеты
.
5
Исходящий
пакет
пересылается
через
данный
порт
.
Другой
траффик
Telnet
блокируется
Разрешен
возвратный
траффик
для
Telnet
сессии
пользователя
А
Пользователь
А
начинает
Telnet
сессию
Защищенная
LAN