2 динамический анализ пакетов в устройствах zyxel – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

206

Глава 13 Межсетевые экраны

5 Исходящий пакет выходит через интерфейс.

6 Позднее на интерфейс поступает входящий пакет. Этот пакет относится к

соединению, ранее установленному с помощью исходящего пакета. Входящий
пакет проверяется по списку контроля доступа на входе интерфейса, и его
прохождение разрешается благодаря наличию ранее созданной временной записи в
списке доступа.

7 Пакет проверяется по правилу межсетевого экрана; запись в таблице состояния

соединения при необходимости обновляется. С учетом обновленной информации о
состоянии могут быть изменены временные записи во входном расширенном
списке доступа, чтобы разрешались только пакеты, соответствующие текущему
состоянию соединения.

8 Все другие входящие или исходящие пакеты, относящиеся к данному соединению,

проходят проверку с необходимым обновлением записей в таблице состояний и
изменением временных записей во входном списке доступа, после чего пакеты
отправляются через интерфейс.

9 При завершении сеанса или разрыве неактивного сеанса по таймеру

соответствующая запись исключается из таблицы состояний, а временные записи
во входном списке доступа – удаляются.

13.5.2 Динамический анализ пакетов в устройствах ZyXEL

Могут быть определены дополнительные правила, расширяющие или заменяющие
правила по умолчанию. В качестве примера можно создать правило, которое будет:

• Блокировать весь трафик определенного типа, например, IRC (чат в реальном

времени), отправляемый из LAN в Интернет.

• Разрешать определенные виды трафика из Интернета к определенным хостам в

LAN.

• Разрешать доступ к Web-серверу всем, кроме конкурентов.
• Разрешать использование определенных протоколов, например, Telnet, только

авторизованным пользователям в LAN.

Логика работы таких правил заключается в проверке IP-адреса источника, места
назначения и типа протокола IP в проходящих пакетах и сравнении этих значений с
правилами, установленными администратором.

Примечание: Возможность задавать правила для межсетевого экрана – весьма

мощное средство, при помощи которого можно снять защиту,
обеспечиваемую межсетевым экраном, либо полностью заблокировать
доступ в Интернет. При создании и удалении правил межсетевого экрана
необходима чрезвычайная осторожность. Внося любое изменение,
необходимо сразу же его проверить, чтобы удостовериться в
правильности его работы.