NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Рисунок 3.3. Упрощенное изображение потока трафика через систему NetDefendOS<br />
Данное изображение потока трафика является упрощенным описанием, более подробная<br />
информация приведена в Разделе 1.3, «NetDefendOS State Engine Packet Flow» .<br />
Например, прежде чем начать поиск маршрута система NetDefendOS проверяет сеть источника<br />
полученного трафика на наличие соответствующего интерфейса. Это делается путем выполнения<br />
системой NetDefendOS механизма обратного поиска маршрута (reverse route lookup), то есть<br />
таблицы маршрутизации ищутся для маршрута, который указывает, что сеть должна быть найдена<br />
на данном интерфейсе.<br />
При двунаправленном соединении должен логически существовать второй маршрут и с ним должна<br />
быть связанна пара маршрутов (по одному для каждого направления).<br />
3.5.2. Сравнение IP-правил<br />
При создании через межсетевой экран NetDefend нового соединения, например TCP/IP-соединения,<br />
сравнение IP-правил происходит сверху вниз до обнаружения правила, соответствующего<br />
параметрам нового соединения. Затем выполняется действие Action.<br />
Если действие разрешающее, то происходит создание нового соединения. Система NetDefendOS<br />
добавляет информацию о состоянии нового соединения во внутреннюю таблицу состояний, которая<br />
позволяет осуществить мониторинг открытых и активных соединений, проходящих через<br />
межсетевой экран NetDefend. Если соединение соответствует правилам Drop или Reject, то оно<br />
отклоняется.<br />
Stateful Inspection<br />
Совет: Правила в неправильном порядке иногда<br />
вызывают проблемы<br />
Важно помнить, что принцип поиска IP-правил в системе NetDefendOS –<br />
сверху вниз, до первого подходящего правила.<br />
Если IP-правило игнорируется, следует проверить список правил, идущих выше,<br />
возможно оно не срабатывает в первую очередь.<br />
После первоначального сравнения с правилами, открывающими соединение, последующим пакетам,<br />
связанным с этим соединением, не требуется индивидуальное сравнение с набором правил. Вместо<br />
этого высокоэффективный алгоритм поиска в таблице состояний определяет принадлежность<br />
каждого пакета к установленному соединению.<br />
Такой подход получил название stateful inspection (проверка состояний с учетом состояния<br />
протокола), его можно применять не только для протоколов, использующих информацию о<br />
состояниях (TCP), но и для протоколов, не использующих информацию о состояниях, «псевдосоединениях»,<br />
таких как UDP и ICMP. Этот подход означает, что сравнение на соответствие<br />
наборам IP-правил осуществляется только на этапе открытия соединения. Размер наборов IP-правил<br />
не оказывает большого влияния на общую пропускную способность.<br />
Первый принцип соответствия<br />
Если несколько правил соответствуют некоторым параметрам, то соединение будет обрабатываться<br />
в соответствии с тем правилом, которое при сканировании было найдено раньше остальных в списке<br />
наборов правил.<br />
118