Определение объектов
Перед тем, как пояснить процедуру регистрации объектов в межсетевом экране Aker, необходимо сделать краткий обзор всех возможных типов объектов.
В межсетевом экране Aker существуют 5 различных типов объектов: хосты, сети, наборы, сервисы и аутентификаторы.
Объекты типа "хост" и "сеть" представляют соответственно отдельные хосты и сети. Объекты типа "набор" представляют совокупность любого числа хостов и сетей. Объекты типа "сервис" описывают сервисы, а объекты типа "аутентификатор" описывают специальный тип хоста, который может использоваться для аутентификации пользователей.
По определению, IP протокол требует, чтобы все хосты имели различные адреса. Обычно эти адреса представляются в виде разделенного точками набора из 4-х цифр, например, 172.16.17.3. И потому каждый хост, можно характеризовать, используя только его собственный адрес.
Для определения сети наряду с IP адресом необходимо знание маски. Маска применяется для того, чтобы определить, какие разряды IP адреса будут использованы для представления сети (разряды со значением 1), а какие - для представления хостов в сети (разряды со значением 0). Итак, чтобы представить сеть, в которую входят хосты с IP адресами от 192.168.0.1. до 192.168.0.254, необходимо пользоваться значением сети 192.168.0.0 и значением сетевой маски 255.255.255.0. Такая сетевая маска означает, что три первых байта используются для представления сети, а последний байт - для представления хоста.
Проверка принадлежности хоста некоторой сети требует выполнения логической операции AND между значением сетевой маски и этим адресом, логической операции AND между значением сетевой маски и адресом сети, и сравнением результата. Если они одинаковы, хост принадлежит сети, в противном случае - нет. Рассмотрим два примера:
Предположим, что нужно проверить, принадлежит ли хост 10.1.1.2 сети 10.1.0.0, сетевая маска 255.255.0.0. Имеем:
10.1.0.0 AND 255.255.0.0 = 10.1.0.0 (для сети) 10.1.1.2 AND 255.255.0.0 = 10.1.0.0 (для адреса)
Так как после применения сетевой маски оба результата оказались одинаковыми, хост 10.1.1.2 принадлежит сети 10.1.0.0.
А теперь допустим, что нам надо знать, принадлежит ли хост 172.16.17.4 сети 172.17.0.0, сетевая маска 255.255.0.0. Имеем:
172.17.0.0 AND 255.255.0.0 = 172.17.0.0 (для сети) 172.16.17.4 AND 255.255.0.0 = 172.16.0.0 (для адреса)
Поскольку результаты различны, хост 172.16.17.4 не принадлежит сети 172.17.0.0.
! Если необходимо определить сеть, к которой принадлежит любой хост, используйте сеть с адресом 0.0.0.0 и сетевой маской 0.0.0.0. Это правило полезно при определении общедоступных сервисов, к которым имеют доступ все хосты Интернет.
При соединении хостов по IP протоколу это соединение характеризуется не только адресами источника и назначения, но и параметрами протокола более высокого уровня (транспортного). В случае TCP и UDP протоколов (которые чаще других применяются сверх IP протокола), соединение идентифицируется двумя числами: портом источника и портом назначения.
Порт назначения является фиксированным числом, обычно соответствующим конкретному сервису. Например, для Telnet используется порт 23 (TCP) , для FTP - 21 порт (TCP), для SNMP - 161 порт (UDP).
Порт источника является числом, определяемым программой - клиентом. Таким образом, соединение при использовании TCP и UDP протоколов может идентифицироваться следующим образом:
10.0.0.1 1024 -> 10.4.1.2 23 TCP Адрес Порт Адрес Порт Протокол источника источника назначения назначения
Из-за того, что порт источника выбирается случайным образом, для межсетевого экрана его значение не важно. Поэтому при определении сервиса рассматривается только порт назначения.
Кроме TCP и UDP протоколов, существует и другой важный протокол, ICMP. Этот протокол используется самим IP протоколом для отправки контрольных сообщений, для информации об ошибках и для тестирования целостности сети.
Для ICMP протокола не используется концепция портов. В нем используется число от 0 до 255 для указания типа сервиса.
Кроме того, существуют и другие протоколы, отличные от TCP, UDP и ICMP, которые могут запускаться поверх IP протокола. Они используются довольно редко, но тем не менее, в межсетевом экране Aker предусмотрена их поддержка , позволяющая администратору контролировать их прохождение через межсетевой экран.
Чтобы понять, как это делается, достаточно знать, что каждый протокол имеет свой уникальный номер 0 до 255, который идентифицирует его для IP протокола. Благодаря этому мы можем определить сервисы для других протоколов, используя номер протокола для идентификации сервиса.