Глава
10
Межсетевые
экраны
Руководство
пользователя
P660HWP-Dx
177
6
Далее
,
входящий
пакет
достигает
порта
.
Этот
пакет
является
частью
соединения
уже
установленного
исходящим
пакетом
.
Происходит
сверка
входящего
пакета
со
списком
контроля
входящего
доступа
и
дается
разрешение
,
так
как
ранее
была
добавлена
временная
запись
в
список
контроля
доступа
.
7
Пакет
проверяется
на
соответствие
правилом
межсетевого
экрана
,
а
таблица
состояний
для
данного
соединения
по
необходимости
обновляется
.
На
основании
обновленной
информации
о
состоянии
временные
записи
расширенного
списка
контроля
входящего
доступа
могут
быть
изменены
,
чтобы
разрешать
только
пропуск
пакетов
,
действительных
для
текущего
состояния
данного
соединения
.
8
Проверяются
дополнительные
входящие
или
исходящие
пакеты
для
данного
соединения
,
таким
образом
обновляется
таблица
состояний
и
,
соответственно
,
временные
записи
в
списке
контроля
исходящего
доступа
;
пакеты
пересылаются
через
порт
.
9
При
прекращении
связи
или
истечении
времени
ожидания
,
таблица
состояний
для
данного
соединения
и
временные
записи
в
списке
контроля
доступа
удаляются
.
10.5.2
Инспекция
пакетов
с
учетом
состояния
и
P660HWP
Дополнительные
правила
могут
расширять
или
замещать
установленные
по
умолчанию
.
Например
,
можно
создать
правило
,
которое
будет
выполнять
следующее
:
•
Блокировать
трафик
определенного
типа
,
например
IRC (Internet Relay Chat),
исходящий
из
локальной
сети
в
Интернет
.
•
Разрешить
трафик
определенного
типа
из
Интернета
к
конкретным
компьютерам
-
узлам
локальной
сети
.
•
Разрешить
доступ
к
web-
серверу
всем
,
кроме
конкурентов
.
•
Разрешить
использование
определенных
протоколов
,
например
Telnet,
лишь
полномочным
пользователям
локальной
сети
.
Эти
определяемые
пользователями
правила
работают
,
используя
принцип
проверки
IP-
адреса
источника
и
IP-
адреса
получателя
сетевого
трафика
,
типа
протокола
IP,
и
сравнения
с
правилами
,
установленными
администратором
.
"
Возможность
устанавливать
правила
межсетевого
экрана
является
очень
мощным
инструментом
.
С
помощью
этих
правил
можно
отключить
межсетевой
экран
или
полностью
заблокировать
доступ
в
Интернет
.
Создание
и
удаление
правил
межсетевого
экрана
требует
большой
осторожности
.
После
создания
новых
правил
необходимо
проверить
их
на правильность
работы
.
Ниже
дается
краткое
техническое
описание
отслеживания
таких
соединений
.
Соединения
могут
определяться
или
протоколами
верхнего
уровня
(
например
, TCP)
или
самим
интернет
-
центром
P660HWP (
как
и
в
случае
«
виртуальных
соединений
»,
создаваемых
для
UDP
и
ICMP).