Сетевой экран

 Previous pageReturn to chapter overviewNext page

 

Сетевой экран (firewall) - это отдельная служба, использующая фильтрацию входящего трафика на внешнем интерфейсе.

 

Концепция сетевого экрана - по умолчанию разрешить все исходящие запросы и запретить все входящие. Для этого на входящий трафик на внешнем интерфейсе разрешены TCP-пакеты без SYN флага (для установленных соединений) и отклики по ICMP.

 

Для того, чтобы при этом прозрачно изнутри работали приложения по протоколу UDP реализована динамическая фильтрация. При появлении исходящих UDP пакетов на какой-то внешний IP-адрес на него временно открывается входящий фильтр, что позволяет принять отклик от удаленного сервера и его пропустить внутрь. После прекращения трафика через минуту этот фильтр удаляется.

 

Все вышеперечисленное относится к настройкам по умолчанию. Тем самым, чтобы полностью закрыть сервер и все подключенные к нему сети извне, сетевой экран достаточно просто включить. Снаружи будет закрыто все, в том числе ICMP. Отфильтрованный трафик можно учитывать на информационных счетчиках, где его можно оценить количественно и качественно - используя сетевую статистику.

В программе имеется механизм классификации типа трафика - контролируемый и неконтролируемый. Это относится только к исходящим  TCP и UDP пакетам, для другого трафика такое разграничение недоступно. Контролируемый - это

 

исходящие пакеты от прокси и SOCKS сервера,
TCP и UDP пакеты от авторизованных клиентов, прошедшие через внутренние интерфейсы, и далее через роутер операционной системы или NAT.

 

В сетевом экране предусмотрены условия фильтрации по этому типу трафика, что позволяет эффективно отсечь нежелательный трафик, например, от служб самого сервера, или клиентских программ, работающих на самом сервере.

 

Настройки и приоритеты правил.

 

Имеются общие настройки сетевого экрана, где есть набор разрешающих правил на различный тип трафика, а также отдельный список разрешающих и запрещающих правил.

 

Если все в общих настройках отключено и никаких правил в списке нет, то любой трафик запрещен.

 

Список правил обрабатывается по принципу первого совпадения условия фильтра, просмотр правил в списке идет сначала списка (сверху). Если фильтр разрешающий, то данный трафик считается разрешенным и нижестоящие фильтры игнорируются. Если фильтр запрещающий, то трафик запрещается, нижестоящие фильтры также игнорируются. Правила из общих настроек проверяются после правил списка, т.е. они будут применяться, если трафик не попал ни под одно из условий списка.

 

Более подробно эти настройки описаны в разделе настроек Сетевого экрана.

 

Фильтры (правила) в сетевом экране могут быть сделаны временными. В настройках фильтра можно задать время, по истечению которого он будет удален, или отключен. Это удобно для случаев, когда надо задать временные разрешения, например, с целью отладки сети, и потом не задумываться об удалении этого разрешения.

 

Правилами внешнего сетевого экрана можно управлять через API. Для таких случаев в фильтре предусмотрено два дополнительных атрибута -

 

Скрытый - фильтр невидим в консоли.
Без сохранения - фильтр не будет сохраняться в файле конфигурации.

 

Имеется поддержка динамической фильтрации FTP-DATA. Анализируется FTP команды PORT и PASV и на время FTP сессии динамически открываются разрешения для этого трафика.

 

Следует отметить, что для встроенного SMTP шлюза 25 порт по TCP открывать не надо - он это сделает сам.

 

Следует отметить, что данный сетевой экран никак не конфликтует с фильтрацией на базе службы IPSec Windows, которая тоже может использоваться как средство фильтрации трафика.

 

 

 

Текущая страница справки: help.smart-soft.ru/index.html?howworkfw.htm

Сайт разработчиков Traffic Inspector