Руководство Администратора межсетевого экрана Акер 3.01



         

Что представляет фильтр с контролем состояния межсетевого экрана Aker? - часть 2


Межсетевой экран Aker способен динамически адаптироваться к трафику при решении вышеупомянутых проблем: каждый раз, когда UDP пакет соответствует какому-либо правилу, во внутреннюю таблицу состояний добавляется элемент. Это позволяет пропускать к клиенту обратные пакеты от сервера.

Этот элемент является активным в течение короткого промежутка времени, по истечении которого он удаляется (этот временной интервал устанавливается через окно параметров настройки, которое рассматривается в главе 4 Настройка параметров системы). В результате администратору не приходится за ботиться об ответных UDP пакетах; для разрешения доступа к сервисам необходим о только настроить правила для данного сервиса. Это легко сделать, так как все сервисы имеют фиксированные порты.

Проблема с FTP протоколом:

FTP является одним из самых популярных протоколов в Интернет, однако, он же является и одним из наиболее сложных протоколов для межсетевых экранов.Рассмотрим более подробно его функциональные свойства:

Для получения доступа к FTP сервису клиент открывает TCP соединение с 21 портом на сервере (порт клиента может быть различным). Такое соединение называется контрольным каналом. После этого при любой перекачке файла или просмотре каталога устанавливается новое соединение - образуется канал передачи данных. Последний можно установить двумя способами:

  • соединение может устанавливаться сервером ( 20 порт ) и клиентом (случайно выбранный порт). О номере порта клиент сообщает серверу через контрольный канал; такой способ называется активным FTP
  • клиент может открыть соединение между случайно выбранными портами ( у клиента и сервера); номер последнего передается клиенту через контрольный канал. Такой способ называется пассивным FTP.
  • В обоих указанных случаях администратор не знает, какие порты будут выбраны для установления канала передачи данных, и если он хочет использовать FTP протокол через традиционный пакетный фильтр, он будет вынужден разрешить доступ ко всем возможным портам, используемым клиентами и серверами.


    Содержание  Назад  Вперед