1 процедура динамического анализа пакетов, Рис. 102 динамический анализ пакетов – Инструкция по эксплуатации Zyxel P-2602H
Страница 205
Руководство пользователя cерии P-2602H/HW EE
Глава 13 Межсетевые экраны
205
Рис. 102 Динамический анализ пакетов
На приведенном выше рисунке показано действие правил межсетевого экрана P-2602 по
умолчанию, а также проиллюстрирован принцип работы динамического анализа
пакетов. Пользователь “A” инициализирует сеанс Telnet изнутри LAN, и ответы на этот
запрос разрешаются. Однако любой другой трафик Telnet, исходящий от WAN,
блокируется.
13.5.1 Процедура динамического анализа пакетов
В рассмотренном примере при выходе TCP-пакета из локальной сети через интерфейс
WAN межсетевого экрана происходит следующая последовательность событий. TCP-
пакет является первым в сеансе, протокол прикладного уровня, к которому относится
данный пакет, выбран для проверки по правилам межсетевого экрана:
1 Направление движения пакета – из LAN межсетевого экрана в WAN.
2 Пакет проверяется по имеющемуся списку доступа на выходе интерфейса, и его
прохождение разрешается (запрещенный пакет был бы на этом этапе попросту
отброшен).
3 Пакет проверяется по правилу межсетевого экрана. Устанавливается и отмечается
состояние соединения для данного пакета. Эти сведения отмечаются в новой
записи таблицы состояний, создаваемой для нового соединения. Если правило
межсетевого экрана для этого пакета отсутствует и не имеет место атака, то
действие, выполняемое над данным пакетом, определяется параметрами,
заданными на экране Firewall General.
4 Исходя из полученной информации о состоянии, правило межсетевого экрана
создает временную запись в списке доступа, вставляя ее в начало расширенного
списка доступа на входе интерфейса WAN. Эта временная запись в списке доступа
служит для того, чтобы разрешить входящие пакеты на том соединении, для
которого только что был проверен исходящий пакет.