Инструкция по эксплуатации Zyxel P660HN

Глава 10 Фильтр пакетов

Руководство пользователя P660HN

172

Когда использовать фильтрование

1 Для блокирования/разрешения пакетов LAN по их MAC-адресам.
2 Для блокирования/разрешения особых IP-пакетов, которые не являются пакетами

TCP, не UDP, не ICMP.

3 Для блокирования/разрешения как входящего (WAN в LAN), так и исходящего

(LAN в WAN) трафика между конкретным внутренним узлом/сетью «A» и
внешним узлом/сетью «B». Если фильтр блокирует трафик из A в B, то он также
блокирует трафик из B в A. Фильтры не могут различать по IP-адресу трафик,
исходящий из внутреннего или внешнего узла.

4 Для блокирования/разрешения отслеживания маршрута IP.

Брандмауэр

• Брандмауэр контролирует содержимое пакетов, а также их адреса источника и

назначения. Брандмауэр этого типа использует контрольный модуль, подходящий ко
всем протоколам, который понимает, что данные в пакете предназначаются для
других уровней, с сетевого уровня (IP-заголовки) до прикладного уровня.

• Брандмауэр производит полнофункциональный контроль. Он принимает во

внимание состояние соединений, которыми он управляет, таким образом, например,
легальный входящий пакет должен совпадать с исходящим запросом, для которого
пакет допускается. Напротив, нелегально проникающий входящий пакет в качестве
ответа на несуществующий исходящий запрос должен блокироваться.

• Брандмауэр использует сеанс связи фильтрования, т. е., интеллектуальные правила,

которые исправляют процесс фильтрования и контролируют сеанс связи сети,
вместо того, чтобы контролировать индивидуальные пакеты в сеансе связи.

• Брандмауэр предоставляет услугу электронной почты для извещения о текущих

сообщениях, а также при появлении извещений.

Когда использовать брандмауэр

1 Для предотвращения атак типа DoS и предотвращения взламывания сети

хакерами.

2 Диапазон отправителя и IP-адресов назначения, а также номера портов, могут

быть определены в одном правиле брандмауэра, делая брандмауэр лучшей
альтернативой, когда необходимы сложные правила.

3 Для выборочного блокирования/разрешения входящего или исходящего трафика

между внутренним узлом/сетями и внешним узлом/сетями. Помните, что фильтры
не могут различать по IP-адресу трафик, исходящий из внутреннего или внешнего
узла.

4 Брандмауэр работает лучше, чем фильтрование, если необходимо проверить много

правил.

5 Используйте брандмауэр, если необходимы текущие сообщения электронной

почты о системе или необходимы извещения о произошедшей атаке.

6 Брандмауэр может блокировать конкретный трафик URL, который может

встретиться в будущем. URL может сохраняться в базе данных ACL (Access
Control List – Список контроля доступа).