3 логика правил, 1 самоконтроль при создании правила – Инструкция по эксплуатации Zyxel P-2602H
Страница 214
Руководство пользователя cерии P-2602H/HW EE
214
Глава 14 Настройка межсетевого экрана
Можно также определить дополнительные наборы правил или модифицировать
существующие, но при этом необходимо соблюдать крайнюю осторожность.
Примечание: Настраивая правила межсетевого экрана без четкого понимания
принципа их работы, можно по неосторожности ослабить безопасность
межсетевого экрана и защищенной сети. После настройки правил всегда
проверяйте их работу.
Например, можно создать следующие виды правил:
• Блокирование определенных типов трафика из LAN в Интернет, например, IRC
(чат в реальном времени).
• Разрешение определенных видов трафика из Интернета к определенным хостам в
LAN, например, синхронизация базы данных Lotus Notes.
• Разрешение доступа к веб-серверу всем, кроме ваших конкурентов.
• Разрешать использование определенных протоколов, например, Telnet, только
авторизованным пользователям в LAN.
Логика работы таких правил заключается в сравнении IP-адреса источника, места
назначения и типа протокола IP в проходящих пакетах с условиями, установленными
администратором. Самостоятельно настраиваемые правила имеют приоритет и
заменяют собой правила, действующие в P-2602 по умолчанию.
14.3 Логика правил
Примечание: Прежде чем приступить к настройке правил, тщательно
ознакомьтесь со следующими подразделами.
14.3.1 Самоконтроль при создании правила
Сформулируйте назначение правила. Например: “это правило ограничивает все
обращения по протоколу IRC из LAN в Интернет.” Или: “это правило позволяет
удаленному серверу Lotus Notes синхронизироваться по Интернету с внутренним
сервером Notes.”
1 В чем состоит назначение правила: разрешение или запрет трафика?
2 К какому направлению трафика применяется правило?
3 На какие службы IP оно распространяется?
4 К каким компьютерам в LAN (если это необходимо) должно применяться правило?
5 К каким компьютерам в Интернете должно применяться правило? Чем конкретнее
изложено правило, тем лучше. Например, если трафик разрешается из Интернета в
LAN, лучше разрешить доступ в LAN только с определенных машин в Интернете.