Навигация:  Traffic Inspector > О программе > Основные функции >

Внешний сетевой экран

Previous pageReturn to chapter overviewNext page

Внешний сетевой экран (firewall) - это отдельная служба, использующая фильтрацию входящего трафика на внешнем интерфейсе.

 

Концепция сетевого экрана - по умолчанию разрешить все исходящие запросы и запретить все входящие. Для этого на входящий трафик на внешнем интерфейсе разрешены TCP-пакеты без SYN-флага (для установленных соединений) и отклики по ICMP.

 

Для того чтобы прозрачно изнутри работали приложения по протоколу UDP, реализована динамическая фильтрация. При появлении исходящих UDP-пакетов на какой-то внешний IP-адрес на него временно открывается входящие правило, что позволяет принять отклик от удаленного сервера и пропустить его внутрь. После прекращения трафика через минуту этот правило удаляется.

 

Все вышеперечисленное относится к настройкам по умолчанию. С целью полностью закрыть сервер и все подключенные к нему сети извне сетевой экран достаточно просто включить. Снаружи будет закрыто все, в том числе ICMP. Отфильтрованный трафик учитыватся на информационных счетчиках, где его можно оценить количественно и качественно, используя сетевую статистику.

В программе имеется механизм классификации типа трафика - контролируемый и неконтролируемый. Это относится только к исходящим  TCP- и UDP-пакетам, для другого трафика такое разграничение недоступно. Контролируемый это:

 

исходящие пакеты от прокси- и SOCKS-сервера;
TCP- и UDP-пакеты от авторизованных пользователей, прошедшие через внутренние интерфейсы и далее через роутер операционной системы или NAT.

 

В сетевом экране предусмотрены условия фильтрации по этому типу трафика, что позволяет эффективно отсечь нежелательный трафик, например, от служб самого сервера или пользовательских программ, работающих на самом сервере.

 

Настройки и приоритеты правил

 

Имеются общие настройки сетевого экрана, где есть набор разрешающих правил на различный тип трафика, а также отдельный список разрешающих и запрещающих правил.

 

Если все в общих настройках отключено и никаких правил в списке нет, то любой трафик запрещен.

 

Список правил обрабатывается по принципу первого совпадения условия правила, просмотр правил в списке идет сначала списка (сверху). Если правило разрешающий, то данный трафик считается разрешенным и нижестоящие правила игнорируются. Если правило запрещающий, то трафик запрещается, нижестоящие правила также игнорируются. Правила из общих настроек проверяются после правил списка, т.е. они будут применяться, когда трафик не попал ни под одно из условий списка.

 

Более подробно эти настройки описаны в разделе "Настроек Сетевого экрана".

 

Правила в сетевом экране могут быть сделаны временными. В настройках правила задается время, по истечению которого он будет удален или отключен. Это удобно для случаев, когда необходимо задать временные разрешения, например, с целью отладки сети, и потом не задумываться об удалении этого разрешения.

 

Правилами внешнего сетевого экрана можно управлять через API. Для таких случаев в правиле предусмотрено два дополнительных атрибута:

 

Скрытый: правило невидим в консоли.
Без сохранения: правило не будет сохраняться в файле конфигурации.

 

Предусмотрена поддержка динамической фильтрации FTP-DATA. Анализируются FTP- команды PORT и PASV, и на время FTP-сессии динамически открываются разрешения для этого трафика.

 

Следует отметить, что для встроенного SMTP-шлюза 25-й порт по TCP открывать не нужно - он это сделает сам.

 

Важно, что данный сетевой экран никак не конфликтует с фильтрацией на базе службы IPSec Windows, которая тоже может использоваться как средство фильтрации трафика.

 


Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?howworkfw.htm

Сайт разработчиков Traffic Inspector