Принцип пакетной фильтрации
Принцип пакетной фильтрации
Существует несколько способов пакетной фильтрации. В первом случае фильтрация осуществляется на транспортном уровне: т.е. все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.
Во втором случае может осуществляться пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по разрешенным адресам (MAC-адресам, IP-адресам, IPX-адресам) или номерам портов, соответствующих прикладным процессам. Например, для того, чтобы трафик процесса telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.
Для фильтрации пакетов может быть использован обычный маршрутизатор. В Интернет 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны. Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:
1. Межсетевой экран обладает более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;
2. У межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.