3 безопасность tcp, 4 безопасность udp/icmp, 3 безопасность tcp 13.5.4 безопасность udp/icmp – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

Глава 13 Межсетевые экраны

207

Ниже приведено краткое техническое описание алгоритмов, по которым межсетевой
экран следит за соединениями. Соединения могут присутствовать в явном виде,
обусловленном протоколами верхнего уровня (например, TCP), или формироваться
P-2602 (как в случае с “виртуальными соединениями”, создаваемыми для UDP и ICMP).

13.5.3 Безопасность TCP

P-2602 использует информацию о состоянии, входящую в пакеты TCP. Первый пакет в
любом новом соединении имеет установленный флажок SYN и сброшенный флажок
ACK, такой пакет называется начальным. Все пакеты, которые не имеют такой
структуры флажков, называются последующими – они представляют данные, которые
встречаются далее в потоке TCP.

Если начальный пакет приходит из WAN, это означает, что кто-то пытается установить
соединение из Интернета в LAN. За исключением ряда особых случаев (см. далее
раздел “Протоколы верхнего уровня”) эти пакеты запрещаются и отмечаются в журнале.

Если начальный пакет приходит из LAN, это означает, что кто-то пытается установить
соединение из LAN в Интернет. Соединение будет разрешено или запрещено исходя из
политики безопасности (политика безопасности по умолчанию разрешает подобные
виды соединений). Создается запись в кэше с информацией о соединении: IP-адреса,
порты TCP, порядковые номера и т.д.

Получая последующие пакеты (из Интернета или из LAN), P-2602 извлекает из них
информацию о соединении, которая сверяется с содержимым кэша. Прохождение пакета
разрешается только в том случае, если он соответствует действительному соединению
(т.е. поступает в ответ на соединение, установленное из LAN).

13.5.4 Безопасность UDP/ICMP

Пакеты UDP и ICMP сами по себе не содержат никакой информации о соединении
(в частности, порядковых номеров). Однако они как минимум содержат два IP-адреса
(источник и адресат). В пакете UDP также указывается пара номеров портов, а в ICMP –
тип и код пакета. Все эти данные анализируются для построения “виртуальных
соединений” в кэше.

В частности, поступление любого пакета UDP со стороны LAN приводит к созданию
записи в кэше. Запоминаются IP-адреса и пары номеров портов. В течение короткого
промежутка времени пакеты UDP, приходящие со стороны WAN и имеющие
соответствующий IP-адрес и информацию UDP, будут пропускаться в обратном
направлении через межсетевой экран.

Подобная схема имеет место и для ICMP, за исключением того, что P-2602 применяет
более строгие ограничения: входящие отклики на эхозапрос принимаются только для
ранее отправленных эхозапросов, прием откликов с маской адреса разрешен только для
отправленных запросов маски адреса, а прием откликов с меткой времени – только для
отправленных запросов метки времени. Никакие другие ICMP-пакеты не пропускаются