Глава
10
Межсетевые
экраны
Руководство
пользователя
P660HWP-Dx
178
10.5.3
Безопасность
TCP
P660HWP
использует
информацию
о
состоянии
,
вложенную
в
пакеты
TCP.
В
первом
пакете
любого
нового
соединения
флаг
SYN (
синхронизация
)
установлен
,
а
флаг
ACK
(
подтверждение
приема
)
отсутствует
;
это
пакеты
-
инициаторы
.
Пакеты
,
не
содержащие
таких
флажков
,
называются
«
последующими
»,
так
как
несут
данные
,
возникающие
затем
в
потоке
TCP.
Если
пакет
-
инициатор
исходит
из
глобальной
сети
,
это
значит
,
что
кто
-
то
в
Интернете
пытается
установить
соединение
с
локальной
сетью
.
За
исключением
особых
случаев
(
см
.
далее
«
протоколы
верхнего
уровня
»),
такие
пакеты
сбрасываются
и
вносятся
в
журнал
.
Если
пакет
-
инициатор
исходит
из
локальной
сети
,
это
означает
,
что
кто
-
то
из
локальной
сети
пытается
установить
соединение
с
Интернет
.
Полагая
,
что
это
допустимо
в
рамках
политики
безопасности
(
а
именно
такова
политика
по
умолчанию
),
соединение
будет
разрешено
.
В
кэш
будет
помещена
информация
о
соединении
,
т
.
е
. IP-
адреса
,
порты
TCP,
порядковые
номера
и
т
.
д
.
При
получении
интернет
-
центром
P660HWP
пакета
типа
«
последующий
» (
из
Интернета
или
локальной
сети
)
из
него
извлекается
информация
о
подключении
и
проверяется
по
содержанию
кэша
.
Прохождение
пакета
разрешается
,
только
если
он
соответствует
данному
соединению
(
то
есть
,
если
он
является
ответом
на
запрос
соединения
из
локальной
сети
).
10.5.4
Безопасность
UDP/ICMP
Пакеты
UDP
и
ICMP
не
содержат
информации
о
соединении
(
такой
как
порядковые
номера
).
Однако
они
как
минимум
содержат
пару
IP-
адресов
(
источника
и
получателя
).
UDP
также
содержит
данные
обоих
портов
,
а
ICMP –
тип
и
код
.
Все
эти
данные
анализируются
для
построения
«
виртуальных
соединений
»
в
кэше
.
Например
,
пакет
UDP,
исходящий
из
локальной
сети
,
создает
запись
в
кэше
.
Записываются
его
IP-
адрес
и
оба
порта
.
На
короткое
время
пакеты
UDP
из
глобальной
сети
с
совпадающими
IP
и
UDP
посылаются
обратно
через
сетевой
экран
.
Подобная
ситуация
имеет
место
и
для
ICMP,
но
в
этом
случае
P660HWP
налагает
более
строгие
ограничения
.
В
частности
,
лишь
в
ответ
на
исходящие
эхо
-
запросы
разрешены
входящие
эхо
-
отклики
,
на
исходящий
запрос
маски
подсети
–
входящий
ответ
,
а
входящий
ответ
временной
метки
разрешен
только
на
исходящий
запрос
.
Межсетевой
экран
не
пропускает
никакие
другие
пакеты
ICMP,
так
как
они
представляют
собой
большую
опасность
и
содержат
слишком
мало
информации
о
маршруте
.
Например
,
прием
ICMP-
пакетов
переадресации
запрещен
,
так
как
с
их
помощью
можно
перенаправить
трафик
через
атакующие
компьютеры
.
10.5.5
Протоколы
верхнего
уровня
Некоторые
протоколы
верхнего
уровня
(
такие
как
FTP
и
RealAudio)
используют
несколько
сетевых
соединений
одновременно
.
Говоря
простыми
словами
,
они
обычно
используют
«
управляющее
соединение
»
для
посылки
команд
между
оконечными
точками
,
и
«
соединения
передачи
данных
»,
используемые
для
передачи
больших
объемов
информации
.