Правила фильтрации пакетов и списки АСL

Брандмауэры выполняют фильтрацию пакетов путем проверки заголовков входящих пакетов на предмет их удовлетворения определенным критериям, установленным с помощью правил фильтрации пакетов. Фильтрации подвергаются пакеты, поступающие как изнутри, так и извне локальной сети, причем фильтр работает ассиметрично, различным образом обрабатывая входящие и исходящие пакеты. Таким образом, для фильтрации входящих и исходящих пакетов следует использовать различные правила фильтрации.

При поступлении пакета в брандмауэр, входящий в его состав маршрутизатор с фильтрацией пакетов извлекает из пакета заголовки и последовательно применяет правила фильтрации пакетов, причем в том порядке, в котором они сохранены в списке АСL брандмауэра. Применение правил выполняется с учетом следующих принципов:

• Если при просмотре списка АСL будет найдено правило, разрешающее прохождение пакета, он немедленно направляется по назначению;
• Если будет найдено правило, запрещающее прохождение пакета, он немедленно отбрасывается,
• Если при просмотре АСL окажется, что для данного пакета отсутствуют правила, разрешающие его прохождение, пакет автоматически отбрасывается.

Чтобы создать правило фильтрации пакетов, следует указать, во-первых, действие, выполняемое при совпадении критериев правила с параметрами пакета (например, «разрешить» или «блокировать»), во-вторых, протокол обработки пакета и, в-третьих, номер порта для приема пакета. Например, чтобы пропустить через брандмауэр пакет сообщения электронной почты, для почтового шлюза следует создать правило, разрешающее внешнее подсоединение к порту 25 по протоколу SMTP (Simple Mail Transfer Protocol – простой протокол электронной почты).

Самое главное, на что следует обратить внимание при создании правил фильтрации пакетов, - это порядок их записи в список АСL, от которого зависит функционирование брандмауэра. Некорректный порядок записи правил может привести к полному блокированию межсетевого соединения или к отбрасыванию корректных пакетов и разрешению некорректных.

Допустим, требуется создать правило, разрешающее подсоединение к почтовому шлюзу хоста Mailerвсех хостов глобальной сети, кроме хоста Spammer.Для этого создадим таблицу (см. таблицу 3.4), в которую записано соответствующее правило фильтрации.

Таблица 3.4. Добавление правила блокировки в список АСL

В левом столбце «Действие» таблицы 3.4 указано действие, выполняемое при удовлетворении критериев правила, в данном случае – блокировка пакета. Далее в столбце «Источник» указан хост-источник пакета – Spammer, а в столбце «Порт» – номер порта хоста-источника пакета. Следом определяются параметры получателя пакета: столбец «Назначение» содержит имя целевого хоста пакета, а столбец «Порт» – номер порта целевого хоста. Наконец, столбец «Комментарий» содержит комментарии к создаваемому правилу. Звездочки (*) в ячейках отмечают, что допускается любое значение параметра; в данном случае они показывают, что блокируются все пакеты из хоста Spammer, исходящие с любого порта хоста Spammer и направленные в любой порт любого хоста.

Теперь введем правило, разрешающее подсоединение к почтовому шлюзу от всех остальных хостов сети (см. таблицу 3.5).

Теперь в столбце «Действие»правила 2 указывается действие «Разрешить», разрешающее всем пакетам со всех исходных хостов поступать на SMTP-порт 25 почтового шлюза хоста Mailer.

Таблица 3.5 Добавление правила, разрешающего подсоединения к почтовому шлюзу.

Порядок правил фильтрации пакетов очень важен – перестановка правил 1 и 2 в
Таблице 3.5 позволит всем хостам сети (включая Spammer) соединяться с почтовым шлюзом – ведь не забывайте, к пакету немедленно применяются правила, разрешающие или блокирующие его прохождение через брандмауэр.

Сложность создания таких правил состоит в необходимости учета всех протоколов, служб и портов, используемых сетевыми хостами, без чего нельзя исключить риск атаки на эти хосты. Поэтому чаще всего правила фильтрации пакетов создаются постепенно, по мере эксплуатации системы и уточнения конфигурации брандмауэра.