1 фильтрация пакетов, 1 когда следует использовать фильтрацию, 2 межсетевой экран – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

210

Глава 13 Межсетевые экраны

13.7 Сравнение фильтрации пакетов и межсетевого
экрана

Ниже проведено краткое сравнение функций фильтрации пакетов и межсетевого экрана,
реализованных в P-2602.

13.7.1 Фильтрация пакетов:

• Маршрутизатор фильтрует пакеты при их прохождении через интерфейс

маршрутизатора согласно заданным правилам фильтра.

• Фильтрация пакетов – весьма мощный инструмент, но при этом достаточно

трудоемкий в настройке и обслуживании, особенно если для определенных сетевых
служб требуется цепь из нескольких правил.

• Фильтрация пакетов ограничивается проверкой части заголовка IP-пакета.

13.7.1.1 Когда следует использовать фильтрацию

• Для запрета/разрешения пакетов в LAN по их MAC-адресам.
• Для запрета/разрешения особых пакетов IP, не относящихся к протоколам TCP,

UDP или ICMP.

• Для запрета/разрешения одновременно входящего (из WAN в LAN) и исходящего

(из LAN в WAN) трафика между определенным внутренним хостом/сетью “A” и
внешним хостом/сетью “B”. Если фильтр блокирует трафик от “A” до “B”, он также
блокирует трафик от “B” до “A”. Фильтры не могут различать трафик, исходящий
от внутреннего или внешнего хоста, по IP-адресу.

• Для запрета/разрешения трассировки маршрута IP (traceroute).

13.7.2 Межсетевой экран

• Межсетевой экран просматривает содержимое пакета, а также адреса источника и

получателя. В межсетевых экранах подобного типа используется модуль-
инспектор, применяемый для всех протоколов и различающий другие уровни, для
которых предназначены данные в пакете, от сетевого уровня (заголовки IP) до
прикладного уровня.

• Межсетевой экран выполняет динамический анализ пакетов. Он учитывает

состояние обрабатываемых соединений, чтобы, например, разрешенный входящий
пакет мог быть связан с соответствующим исходящим запросом и пропущен через
экран. И наоборот, входящие замаскированные пакеты, являющиеся ответом на
несуществующий исходящий запрос, будут блокироваться.

• Межсетевой экран использует фильтрацию в масштабе сеанса, применяя

интеллектуальные правила, которые дополняют процесс фильтрации и позволяют
управлять сетевым сеансом в целом, а не отдельными пакетами в его составе.

• Межсетевой экран предусматривает функцию информирования по электронной

почте с отправкой регулярных отчетов и предупреждений.