3 логика правил, 1 самоконтроль при создании правила – Инструкция по эксплуатации Zyxel P-2602H

Руководство пользователя cерии P-2602H/HW EE

214

Глава 14 Настройка межсетевого экрана

Можно также определить дополнительные наборы правил или модифицировать
существующие, но при этом необходимо соблюдать крайнюю осторожность.

Примечание: Настраивая правила межсетевого экрана без четкого понимания

принципа их работы, можно по неосторожности ослабить безопасность
межсетевого экрана и защищенной сети. После настройки правил всегда
проверяйте их работу.

Например, можно создать следующие виды правил:

• Блокирование определенных типов трафика из LAN в Интернет, например, IRC

(чат в реальном времени).

• Разрешение определенных видов трафика из Интернета к определенным хостам в

LAN, например, синхронизация базы данных Lotus Notes.

• Разрешение доступа к веб-серверу всем, кроме ваших конкурентов.
• Разрешать использование определенных протоколов, например, Telnet, только

авторизованным пользователям в LAN.

Логика работы таких правил заключается в сравнении IP-адреса источника, места
назначения и типа протокола IP в проходящих пакетах с условиями, установленными
администратором. Самостоятельно настраиваемые правила имеют приоритет и
заменяют собой правила, действующие в P-2602 по умолчанию.

14.3 Логика правил

Примечание: Прежде чем приступить к настройке правил, тщательно

ознакомьтесь со следующими подразделами.

14.3.1 Самоконтроль при создании правила

Сформулируйте назначение правила. Например: “это правило ограничивает все
обращения по протоколу IRC из LAN в Интернет.” Или: “это правило позволяет
удаленному серверу Lotus Notes синхронизироваться по Интернету с внутренним
сервером Notes.”

1 В чем состоит назначение правила: разрешение или запрет трафика?

2 К какому направлению трафика применяется правило?

3 На какие службы IP оно распространяется?

4 К каким компьютерам в LAN (если это необходимо) должно применяться правило?

5 К каким компьютерам в Интернете должно применяться правило? Чем конкретнее

изложено правило, тем лучше. Например, если трафик разрешается из Интернета в
LAN, лучше разрешить доступ в LAN только с определенных машин в Интернете.