Межсетевой экран Aker

       

Создание правил фильтрации для межсетевого экрана Aker


Создавать правила фильтрации для межсетевого экрана Aker просто. Все описания IP адресов, масок, протоколов и портов производятся при создании объектов (смотрите главу Регистрация объектов ). Это облегчает создание правил, так как при этом не приходится беспокоиться, какой порт использует определенный сервис или какие IP адреса используются в сети. Кроме того, все наиболее распространенные в Интернет сервисы описаны заранее, что позволяет избежать напрасной траты времени на поиск соответствующих значений.

По существу, для создания правила администратор должен указать объекты источника и назначения и сервисы; все эти данные будут составлять правило. Можно также указать сетевой интерфейс для входящих пакетов и описать временной период ( в часах и днях недели), в течение которого правило будет действовать. Если пакет послан в промежуток времени, когда данное правило не активно, это правило не будет учитываться, и поиск будет продолжен далее по списку правил

Принцип работы фильтра заключается в следующем: межсетевой экран будет проверять по порядку все описанные администратором правила, до тех пор, пока не будет найдено соответствующее правило. Затем будет выполнено соответствующее правилу действие - пропустить, отказать или отбросить( эти действия будут пояснены в следующем разделе). Если поиск достигает конца списка и пакет не удовлетворяет ни одному из правил, такой пакет будет отброшен. (Можно определить действие, выполняемое в этом случае. Этот вопрос будет обсуждаться в главе Настройка реакции системы.)

! Интерфейс источника пакета проверяется после проверки адресов источника и назначения, но до проверки других параметров фильтрации. Если пакет проходит через интерфейс, отличный от указанного в правиле, он отбрасывается, а поиск в списке правил прерывается, даже если пакет  удовлетворяет другим критериям фильтрации.



Содержание раздела