|
Внешний сетевой экран |
  
|
|
Внешний сетевой экран |
|
Внешний сетевой экран (Firewall) - это отдельная служба, использующая фильтрацию входящего трафика на внешнем интерфейсе.
Концепция сетевого экрана - по умолчанию разрешить все исходящие запросы и запретить все входящие. Для этого на входящий трафик на внешнем интерфейсе разрешены TCP-пакеты без SYN-флага (для установленных соединений) и отклики по ICMP.
Для того чтобы прозрачно изнутри работали приложения по протоколу UDP, реализована динамическая фильтрация. При появлении исходящих UDP-пакетов на какой-то внешний IP-адрес на него временно открывается входящий фильтр, что позволяет принять отклик от удаленного сервера и пропустить его внутрь. После прекращения трафика через минуту этот фильтр удаляется.
Все вышеперечисленное относится к настройкам по умолчанию. С целью полностью закрыть сервер и все подключенные к нему сети извне сетевой экран достаточно просто включить. Снаружи будет закрыто все, в том числе ICMP. Отфильтрованный трафик учитыватся на информационных счетчиках, где его можно оценить количественно и качественно, используя сетевую статистику.
В программе имеется механизм классификации типа трафика - контролируемый и неконтролируемый. Это относится только к исходящим TCP- и UDP-пакетам, для другого трафика такое разграничение недоступно. Контролируемый это:
| • | исходящие пакеты от прокси- и SOCKS-сервера; |
| • | TCP- и UDP-пакеты от авторизованных клиентов, прошедшие через внутренние интерфейсы и далее через роутер операционной системы или NAT. |
В сетевом экране предусмотрены условия фильтрации по этому типу трафика, что позволяет эффективно отсечь нежелательный трафик, например, от служб самого сервера или клиентских программ, работающих на самом сервере.
Настройки и приоритеты правил
Имеются общие настройки сетевого экрана, где есть набор разрешающих правил на различный тип трафика, а также отдельный список разрешающих и запрещающих правил.
Если все в общих настройках отключено и никаких правил в списке нет, то любой трафик запрещен.
Список правил обрабатывается по принципу первого совпадения условия фильтра, просмотр правил в списке идет сначала списка (сверху). Если фильтр разрешающий, то данный трафик считается разрешенным и нижестоящие фильтры игнорируются. Если фильтр запрещающий, то трафик запрещается, нижестоящие фильтры также игнорируются. Правила из общих настроек проверяются после правил списка, т.е. они будут применяться, когда трафик не попал ни под одно из условий списка.
Более подробно эти настройки описаны в разделе "Настроек Сетевого экрана".
Фильтры (правила) в сетевом экране могут быть сделаны временными. В настройках фильтра задается время, по истечению которого он будет удален или отключен. Это удобно для случаев, когда необходимо задать временные разрешения, например, с целью отладки сети, и потом не задумываться об удалении этого разрешения.
Правилами внешнего сетевого экрана можно управлять через API. Для таких случаев в фильтре предусмотрено два дополнительных атрибута:
| • | Скрытый: фильтр невидим в консоли. |
| • | Без сохранения: фильтр не будет сохраняться в файле конфигурации. |
Предусмотрена поддержка динамической фильтрации FTP-DATA. Анализируются FTP- команды PORT и PASV, и на время FTP-сессии динамически открываются разрешения для этого трафика.
Следует отметить, что для встроенного SMTP-шлюза 25-й порт по TCP открывать не нужно - он это сделает сам.
Важно, что данный сетевой экран никак не конфликтует с фильтрацией на базе службы IPSec Windows, которая тоже может использоваться как средство фильтрации трафика.
Текущая страница справки: http://help.smart-soft.ru/doc20/index.html?howworkfw.htm