NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
следующие параметры:<br />
• Интерфейсы источника и назначения<br />
• Сеть источника и назначения<br />
• IP-протокол (например, TCP, UDP, ICMP)<br />
• TCP/UDP-порты<br />
• Типы ICMP-пакетов<br />
• Время действия правила по расписанию<br />
Если соответствие не обнаружено, пакет отбрасывается.<br />
Если обнаружено правило, соответствующее новому соединению, параметр правила Action<br />
определяет действия системы NetDefendOS по отношению к соединению. Если определено действие<br />
Drop (Отклонить), пакет отбрасывается, а событие регистрируется в журнале.<br />
Если определено действие Allow (Разрешить), пакет проходит через систему. Соответствующее<br />
состояние будет добавлено в таблицу соединений для соответствия с последующими пакетами,<br />
принадлежащих тому же соединению. Помимо этого, объект службы, с которым связан один или<br />
несколько IP-протоколов с соответствующими им номерами портов может быть связан с объектом<br />
Application Layer Gateway (ALG). Эти данные используются для того, чтобы система NetDefendOS<br />
управляла соответствующими приложениями для обеспечения обмена информацией.<br />
В конечном итоге, новое соединение, созданное согласно настройкам правил, будет<br />
зарегистрировано в журнал.<br />
Примечание: Дополнительные действия<br />
Существует ряд дополнительных действий, например, переадресация и<br />
балансировка нагрузки сервера. При этом основная концепция запрета и<br />
разрешения трафика остается той же.<br />
8. Правила обнаружения и предотвращения вторжений (Intrusion Detection and Prevention (IDP)<br />
Rules) оцениваются по аналогии с IP-правилами. Если выявлено соответствие, данные<br />
регистрируются. Таким образом, система NetDefendOS будет осведомлена о выполнении<br />
сканирования всех пакетов, относящихся к этому соединению.<br />
9. Анализируется Формирование трафика (Traffic Shaping) и Правило ограничения порога<br />
(Threshold Limit rule). Если обнаружено соответствие, соответствующая информация<br />
регистрируется. Таким образом, выполняется управление трафиком.<br />
10. При наличии информации система NetDefendOS решает, какое действие применить к<br />
входящему пакету:<br />
• При наличии данных ALG и выполнения IDP-сканирования данные пакета<br />
анализируются подсистемой псевдосборки TCP, которая в свою очередь использует различные<br />
ALG, механизмы сканирования содержимого на 7 уровне и т.д., для дальнейшего анализа или<br />
изменения трафика.<br />
• Если содержимое пакета зашифровано (с помощью протокола IPsec, PPTP/L2TP или<br />
другого типа протокола туннелирования), выполняется проверка списков интерфейсов на<br />
соответствие. Если обнаружено соответствие, пакет расшифровывается и данные<br />
(незашифрованный текст) пересылаются обратно в NetDefendOS, но уже с интерфейсом<br />
источника, который соответствует интерфейсу туннелирования. Другими словами, процесс<br />
продолжается с шага 3, указанного выше.<br />
• При наличии информации об управлении трафиком, пакет может быть определен в<br />
очередь или выполняются действия согласно настройкам по управлению трафиком.<br />
11. В конечном итоге, пакет будет перенаправлен на интерфейс назначения в соответствии с его<br />
состоянием. Если интерфейс назначения является интерфейсом туннелирования или физическим<br />
под-интерфейсом, может выполняться дополнительная обработка данных, например, шифрование<br />
или инкапсуляция. В следующем разделе представлены диаграммы, иллюстрирующие поток<br />
18