Межсетевые экраны уровня соединения

Данные МЭ проверяют факт, что пакет является либо запро­сом на TCP-соединение, либо представляет данные, относящиеся к уже установленному соединению, либо относится к вирту­альному соединению между двумя транспортными уровнями.

Для проверки соединения МЭ исследует каждое установлен­ное соединение (проверяя законное «рукопожатие» для исполь­зуемого транспортного уровня — обычно TCP). Никакие паке­ты не передаются до завершения рукопожатия. Для этого МЭ формирует таблицу действительных (установленных) соедине­ний, которые включают в себя полную информацию о состоя­нии соединения и выполнении необходимой последовательно­сти. Разрешается прохождение пакетов, информация в которых соответствует входу в таблицу виртуальных соединений. По окон­чании соединения соответствующий вход в таблицу удаляется. Схема функционирования МЭ данного вида представлена на рис. 3.5.

После установления соединения в соответствующей таблице (таблице состояний) обычно хранится следующая информация:

• идентификатор сеанса;

• состояние соединения (рукопожатие, установлено, закрыто);

• последовательная информация (последовательные номера пришедших байтов, состояния флагов и т.д.);

• IP-адрес источника и IP-адрес назначения;

• номера портов, участвующих в сеансе;

• физический интерфейс, куда прибыл пакет;

• физический интерфейс, куда передается пакет;

• временные метки начала открытия сеанса и т.д.

При функционировании такого МЭ должно обеспечиваться ми­нимальное количество проверок, что реализуется посредством построения ограниченной формы состояний соединений. Для обеспечения дополнительных

возможностей могут применяться до­полнительные проверки (например, проверки соответствия дан­ных, содержащихся в заголовке транспортного протокола, прото­колу прикладного уровня).

В данном случае также может использоваться NAT. Основные достоинства и недостатки данной технологии приведены в табл. 3.2.

Расширенные списки доступа Cisco позволяют фильтровать IP-адреса источника и назначения, дают возможность использова­ния вложенного в IP-протокола (TCP, UDP, ICMP, BGP, IGRP) и порта назначения. В случае использования ICMP фильтруется код или тип сообщения, а в случае установления соединения TCP — установка флагов АСК и RST.

Синтаксис расширенного списка управления доступом:

access-list list-number {permit/deny} protocol source s-mask [operator s-port] destination d-mask [operator d-port] [precedence значение] [tos значение] [established] [log/log-input]

Расширенный список доступа должен иметь номер из диапазо­на 100... 199 или имя.

Если списку присваивается имя, то это задается специальной командой (ip access-list extended имя).Вкачестве протокола можно указывать как сокращение протокола (ip, tcp, udp, icmp и т.д.), так и номер протокола (от 1 до 255) в соответствии с номером, указываемым в заголовке IP-пакета (например, ICMP имеет но­мер 1, TCP — 6, UDP — 17).Ключевое слово ip в поле протокола означает все протоколы. Слово s-mask означает маску адреса ис­точника, a d-mask — назначения. Слово operator применимо толь-

ко для порта назначения (d-port). Допустимыми значениями поля operator являются: