Успешно сдайте бесплатный сертификационный экзамен в Академии "Инфинет" и получите статус сертифицированного инженера Инфинет.
IP Firewall – механизм фильтрации проходящих через узел IP-сети пакетов в соответствии с различными критериями. Администратор сети может определить набор входных и выходных фильтров. Входные фильтры определяют, какие пакеты могут быть приняты узлом, выходные – какие пакеты могут быть пересланы узлом в результате маршрутизации. Каждый фильтр описывает класс пакетов и определяет, как эти пакеты должны быть обработаны (отклонить и зарегистрировать, принять, принять и зарегистрировать).
Пакеты могут быть отфильтрованы на основе следующих критериев:
- Протокол (IP, TCP, UDP, ICMP, ARP)
- Адрес источника и/или адрес назначения (и номера портов для TCP и UDP)
- Входной сетевой интерфейс
- Является ли пакет запросом TCP/IP-соединения (пакет пытается запустить TCP/IP-сессию)
- Является ли пакет заголовком, промежуточным или конечным IP-фрагментом
- Имеет ли пакет определенные IP-опции
- MAC-адрес станции-получателя или станции-отправителя
Существует 2 класса (набора) фильтров – запрещающие (отбрасывают) и разрешающие (принимают).
Кроме того, фильтр может применяться ко всем входящим пакетам или только к пакетам, приходящим с определенного интерфейса. Каждый принимаемый пакет проверяется всеми фильтрами в порядке, определяемом последовательностью их установки.
Первый фильтр, которому соответствует принимаемый пакет, определяет, как этот пакет обрабатывается. Если фильтр принимающий, пакет принимается, если запрещающий – отбрасывается. Если пакет не соответствует ни одному фильтру или если фильтры не заданы, пакет принимается.
ПРЕДОСТЕРЕЖЕНИЕ
Пакеты отбрасываются без уведомления отправителя.
Правила фильтрации пакетов
Каждый пакет, приходящий на маршрутизатор, проходит через набор входных (блокирующих) фильтров. Пакеты, принимаемые набором входных фильтров, обрабатываются IP-уровнем ядра маршрутизатора. Если IP-уровень определяет, что пакет не относится к данному узлу и должен пройти дальше, пакет отправляется на выходные (маршрутизирующие) фильтры.
Информация о пакетах, отбрасываемых любым фильтром, отображается на терминале оператора, а сами пакеты отбрасываются без уведомления отправителя.
Пакеты, проходящие через набор фильтров, проверяются каждым фильтром от первого до последнего, или до тех пор, пока не дойдут до первого подходящего фильтра. Алгоритм следующий:
- Если фильтры не заданы, пакет принимается
- Если фильтры заданы, первый подходящий фильтр решит судьбу пакета. Если фильтр разрешающий, пакет принимается, если запрещающий – пакет отбрасывается.
- Если ни один из фильтров не подходит пакету, пакет принимается.
Параметры IP Firewall
В разделе "IP Firewall" представлена информация о ранее созданных правилах IP Firewall и предусмотрена возможность их редактирования.
Чтобы создать новое правило, нажмите кнопку "Добавить правило".
Чтобы удалить правило, нажмите кнопку "Удалить прав."
Параметр правила IP firewall | Описание |
---|---|
Действие |
|
Канал |
|
Приоритет |
|
Log |
|
Направление |
|
Интерфейс |
|
Группа |
|
Правило |
|
Правила обрабатываются по одному в той последовательности, в которой они расположены в списке (сверху вниз).
Чтобы изменить порядок правил в списке, используйте стрелки "вверх/вниз" в правой части области настройки правил.