Инструкция по эксплуатации Zyxel P660HN
Страница 172
Глава 10 Фильтр пакетов
Руководство пользователя P660HN
172
Когда использовать фильтрование
1 Для блокирования/разрешения пакетов LAN по их MAC-адресам.
2 Для блокирования/разрешения особых IP-пакетов, которые не являются пакетами
TCP, не UDP, не ICMP.
3 Для блокирования/разрешения как входящего (WAN в LAN), так и исходящего
(LAN в WAN) трафика между конкретным внутренним узлом/сетью «A» и
внешним узлом/сетью «B». Если фильтр блокирует трафик из A в B, то он также
блокирует трафик из B в A. Фильтры не могут различать по IP-адресу трафик,
исходящий из внутреннего или внешнего узла.
4 Для блокирования/разрешения отслеживания маршрута IP.
Брандмауэр
• Брандмауэр контролирует содержимое пакетов, а также их адреса источника и
назначения. Брандмауэр этого типа использует контрольный модуль, подходящий ко
всем протоколам, который понимает, что данные в пакете предназначаются для
других уровней, с сетевого уровня (IP-заголовки) до прикладного уровня.
• Брандмауэр производит полнофункциональный контроль. Он принимает во
внимание состояние соединений, которыми он управляет, таким образом, например,
легальный входящий пакет должен совпадать с исходящим запросом, для которого
пакет допускается. Напротив, нелегально проникающий входящий пакет в качестве
ответа на несуществующий исходящий запрос должен блокироваться.
• Брандмауэр использует сеанс связи фильтрования, т. е., интеллектуальные правила,
которые исправляют процесс фильтрования и контролируют сеанс связи сети,
вместо того, чтобы контролировать индивидуальные пакеты в сеансе связи.
• Брандмауэр предоставляет услугу электронной почты для извещения о текущих
сообщениях, а также при появлении извещений.
Когда использовать брандмауэр
1 Для предотвращения атак типа DoS и предотвращения взламывания сети
хакерами.
2 Диапазон отправителя и IP-адресов назначения, а также номера портов, могут
быть определены в одном правиле брандмауэра, делая брандмауэр лучшей
альтернативой, когда необходимы сложные правила.
3 Для выборочного блокирования/разрешения входящего или исходящего трафика
между внутренним узлом/сетями и внешним узлом/сетями. Помните, что фильтры
не могут различать по IP-адресу трафик, исходящий из внутреннего или внешнего
узла.
4 Брандмауэр работает лучше, чем фильтрование, если необходимо проверить много
правил.
5 Используйте брандмауэр, если необходимы текущие сообщения электронной
почты о системе или необходимы извещения о произошедшей атаке.
6 Брандмауэр может блокировать конкретный трафик URL, который может
встретиться в будущем. URL может сохраняться в базе данных ACL (Access
Control List – Список контроля доступа).