|
|
Для отслеживания текущих соединений брандмауэр использует проверку с учетом состояния. Функция проверки с учетом состояния отслеживает исходные и целевые IP-адреса, порты, приложения и другую информацию о соединении. Перед обработкой правил брандмауэра клиент принимает решения относительно передачи трафика с учетом информации о соединении.
Например, если правило брандмауэра разрешает компьютеру подключаться к веб-серверу, то брандмауэр сохранит информацию о таком соединении. Получив ответ сервера, брандмауэр обнаружит, что ответ веб-сервера компьютеру ожидается. Он разрешит трафик веб-сервера в ответ на исходный запрос компьютера без проверки базы правила. Сохраняется информация только о тех исходящих соединениях, которые разрешены правилами.
Проверка с учетом состояния устраняет необходимость в создании новых правил. Если трафик передается в одном направлении, то не требуется создавать правила, разрешающие трафик в обоих направлениях. К трафику клиента, передаваемому в одном направлении, относятся Telnet (порт 23), HTTP (порт 80) и HTTPS (порт 443). Клиенты отправляют этот исходящий трафик; требуется создать правило, разрешающее исходящий трафик для указанных протоколов. Функция проверки с учетом состояния автоматически разрешит передачу данных, передаваемых в обратном направлении. Поскольку принцип действия брандмауэра основан на учете состояния, необходимо создать только правила, устанавливающие соединение, а не характеристики конкретных пакетов. Все пакеты, принадлежащие разрешенному соединению, разрешены явным образом как его составляющие.
Проверка с учетом состояния выполняется для всех правил, управляющих передачей данных по протоколу TCP.
Однако такая проверка не выполняется для правил, фильтрующих данные ICMP. Для трафика ICMP требуется создать правила, разрешающие его передачу в обоих направлениях. Например, если клиент будет применять команду ping и получать ответы, то необходимо создать правило, разрешающее передавать пакеты ICMP в обоих направлениях.
Дополнительная информация