Руководство Администратора межсетевого экрана Акер 3.01



         

Определение объектов - часть 2


Так как после применения сетевой маски оба результата оказались одинаковыми, хост 10.1.1.2 принадлежит сети 10.1.0.0.

А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4 сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:
 

172.17.0.0 AND 255.255.0.0 = 172.17.0.0 (для сети)


172.16.17.4 AND 255.255.0.0 = 172.16.0.0 (для адреса)


 

Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.

Если необходимо определить сеть, к которой принадлежит любой хост, используйте сеть с адресом   0.0.0.0 и сетевой маской 0.0.0.0 Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.

При соединении хостов по IP протоколу это соединение характеризуется не только адресами источника и назначения, но и параметрами протокола более высокого уровня (транспортного). В случае TCP и UDP протоколов (которые чаще других применяются сверх IP протокола), соединение идентифицируется двумя числами: портом источника и портом назначения.

Порт назначения является фиксированным числом, обычно соответствующим конкретному сервису. Например, для Telnet используется порт 23 (TCP), для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).

Порт источника является числом, определяемым программой - клиентом. Таким образом, соединение при использовании TCP и UDP протоколов может идентифицироваться следующим образом:

    10.0.0.1             1024    -     10.4.1.2          23              TCP


----------------------------------------------------------------------------


Адрес источника  Порт источника  Адрес назначения Порт назначения  Протокол

Из-за того, что порт источника выбирается случайным образом, для межсетевого экрана его значение не важно. Поэтому при определении сервиса рассматривается только порт назначения.

Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP. Этот протокол используется самим IP протоколом для отправки контрольных сообщений, для информации об ошибках и для тестирования целостности сети.

Для ICMP протокола не используется концепция портов. В нем используется число от 0 до 255 для указания типа сервиса.

Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP, которые могут запускаться поверх IP протокола. Они используютс довольно редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка, позволяющая администратору контролировать их прохождение через межсетевой экран.

Чтобы понять, как это делается, достаточно знать, что каждый протокол имеет свой уникальный номер 0 до 255, который идентифицирует его для IP протокола. Благодаря этому мы можем определить сервисы для других протоколов, используя номер протокола для идентификации сервиса.




Содержание  Назад  Вперед