• It (less than) — меньше чем;

• gt (greater than) — больше чем;

• eq (equal to) — равно;

• neq (not equal to) — не равно;

• range — диапазон (в этом случае указываются два номера порта).

Списки контроля доступа разрешают вместо номеров портов использовать сокращения наименований служб, использующих эти порты. Поле precedence используется для фильтрации по уров­ням приоритетов (от 0 до 7), поле tos — для фильтрации типа обслуживания (от 0 до 15). Поле est (established) применяется только к протоколу TCP. Поле log указывает на регистрацию со­бытия, когда пакет удовлетворяет условиям списка доступа. Ука­зание log-input добавляет к записям имя интерфейса, где получен соответствующий пакет.

Приведем примеры правил расширенного списка доступа и комментарии к ним:

access-list 141 permit icmp host 192.168.10. 68 10.10.10.0 0.255.255.255

! разрешение хосту 192.168.10.68 посылать сообщения ICMP

! любому хосту сети 10.10.10. 0

access-list 141 permit tcp host 192.168.10. 69 eq 134 10.10.10.0 255.255.255.255 range 10000 10010

! разрешение хосту 192.168.10. 69 инициировать сеан­сы TCP

! с порта 134 на любой порт в диапазоне с 10000 до 10010

! с любым хостом сети 10.10.10.О

access-list 141 permit udp host 192.168.10.90 10.10.10.0 255.255.255.255 eq ftp

! разрешение хосту 192.168.10.90 посылать файлы че­рез TFTP

! (UDP порт 69) любому хосту сети 10.10.10.0

Расширенные списки управления доступом анализируют каж­дый пакет индивидуально и не имеют возможности определения того, что пакет является частью сеанса более высоких уровней.

Для соединения TCP используется ключевое слово est. При этом контролируется заголовок TCP на наличие флагов АСК и RST, но не проверяется то, что пакет действительно является частью установленного соединения. Поэтому расширенные списки досту­па не защищают от поддельных пакетов TCP и не дают возмож­ности фильтровать сеансы UDP.

Межсетевые экраны прикладного уровня

Данные МЭ оценивают сетевые пакеты на соответствие опре­деленному прикладному уровню перед установкой соединения. Они исследуют данные всех сетевых пакетов на прикладном уровне и устанавливают состояние полного (завершенного) соединения и последовательной информации. Кроме того, МЭ могут проверять другие параметры безопасности, которые содержатся внутри дан­ных прикладного уровня (пароли, запросы служб).

Большинство МЭ прикладного уровня включают в себя специ­ализированное прикладное ПО и службы proxy. Схема функцио­нирования служб proxy представлена на рис. 3.6.

Каждая proxy-служба является специфичной для каждого про­токола и может осуществлять усиленный контроль доступа, про­верку данных, а также генерировать записи аудита. Службы proxy не позволяют прямого соединения пользователей с серверами, они прозрачны для пользователя и работают в прикладной области ОС.

Использование proxy позволяет проводить анализ множества команд для одного протокола и, что очень важно, проводить анализ содержания данных (фильтрацию URL, аутентификацию и т.д.). Схема функционирования МЭ прикладного уровня пред­ставлена на рис. 3.7.

Основные достоинства и недостатки МЭ данной технологии приведены в табл. 3.3.