Файловый архив студентов. Файловый архив студентов.
1305 вузов, 5175 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Санкт-Петербургский политехнический университет Петра Великого (бывш. СПбГПУ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
mulyuha_v_a_novopashennyi_a_g_podgurskii_yu_e.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
3.26 Mб
Скачать
►Содержание►

    1. Правила фильтрации и порядок обработки пакетов

Фильтрация сетевого трафика может осуществляться на различных уровнях сетевого взаимодействия. Каждому из уровней соответствует определенная группа (таблица) правил фильтрации. Правила фильтрации каждой группы задают параметры заголовков пакетов, соответствующих протоколу данного уровня взаимодействия. Таким образом, в МЭ ССПТ2 реализован пакетный фильтр, осуществляющий фильтрацию пакетного трафика на основании данных, содержащихся в заголовках пакетов.

В МЭ имеются следующие группы правил:

  • MAC-правила – правила фильтрации на уровне кадров Ethernet.

  • ARP-правила – правила фильтрации пакетов ARP и RARP.

  • IP-правила – правила фильтрации пакетов протокола IPv4. В IP-правилах имеются дополнительные параметры для обработки пакетов TCP, UDP и ICMP. К этой же группе относятся и так называемые Временные IP-правила, действующие на коротком интервале времени для отражения сетевых атак, блокирования абонентов и т.п.

  • IPX-правила – правила фильтрации пакетов IPX.

  • AP-правила – правила фильтрации прикладного уровня. (При работе МЭ в режиме пакетного фильтра – не используются).

При составлении правил используются также специальные структуры (таблицы) “Интервалы времени” и “VLAN-группы”, позволяющие привязывать правило к определенному временному интервалу и/или идентификатору VLAN.

В обобщенном виде любое правило фильтрации представляет собой логическую конструкцию

If (параметры правила) – then (действие правила),

означающую, что если заголовок поступившего пакета соответствует параметрам правила, то к пакету следует применить действие, указанное в правиле. При этом допускаются следующие возможные действия над пакетом:

  • пропуск” (accept) - передать пакет (внутри МЭ) на выходной фильтрующий интерфейс (интерфейсы) или на следующий уровень фильтрации (для МАС-правил);

  • передача” (pass) – передать пакет (внутри МЭ) на выходной фильтрующий интерфейс (интерфейсы), минуя следующие уровни фильтрации;

  • удаление” (drop) – запретить дальнейшее прохождение пакета.

В режиме пакетной фильтрации обработка пакетов в МЭ осуществляется в два этапа:

  1. Фильтрация по МАС-правилам.

  2. Фильтрация по правилам следующего уровня (ARP-, IP- или IPX-правила).

Сначала каждый пакет, принятый фильтрующими интерфейсами МЭ, обрабатывается на уровне кадров Ethernet в соответствии с MAC-правилами фильтрации. Если к пакету применяется правило, предписывающее удаление пакета, то пакет никуда не передается и его обработка заканчивается. Если к пакету применяется правило, предписывающее пропуск пакета, то данный пакет передается на следующий уровень фильтрации, где и принимается окончательное решение о его пропуске или удалении. Если к пакету применяется правило, предписывающее передачу пакета, то процедура фильтрации данного пакета завершается и пакет передается на выходные интерфейсы.

На следующем уровне фильтрации к пакету применяются альтернативно ARP-, IP- или IPX-правила, в зависимости от типа протокола, инкапсулированного в данный Ethernet-кадр.

Несмотря на различную специфику и число параметров, правила различных групп и порядок их обработки имеют много общего.

В каждой из перечисленных групп правил фильтрации (кроме AP-правил) имеется глобальное правило. Глобальное правило применяется в том случае, если значения полей заголовков поступившего пакета не удовлетворяют ни одному из существующих правил данной группы. Глобальные правила во всех группах имеют схожую структуру (рис. 2.4) и содержат указание о действии над пакетом и необходимости его регистрации

Рис. 2.4. Форма редактирования глобальных правил

Остальные (регулярные) правила всех групп (кроме AP-правил) имеют структуру, показанную на рис. 2.5. В них можно выделить фиксированный набор атрибутов, одинаковый для всех групп правил (“Атрибуты правила”), и специфичный для каждой группы правил набор параметров пакета.

Рис. 2.5 Структура правил фильтрации

Общие для всех групп (кроме AP) правил атрибуты включают следующие поля.

  • Номер. Каждое правило имеет номер и хранится в таблице правил в виде строки с соответствующим номером. Номер правила – целое число в диапазоне от 1 до 65534.

  • Активность. Каждое правило фильтрации (кроме глобальных) имеет статус активного или не активного. Статус позволяет администратору оперативно задействовать или исключать правило, не удаляя его из таблицы. Неактивные правила не учитываются при фильтрации пакетов. Допустимые значения - активно или не активно.

  • Действие. Действие над пакетом по данному правилу. Допустимые значения - пропуск, передача или удаление пакета.

  • Вход, Выход. Входные (Вход) и выходные (Выход) интерфейсы правила, указывающие направление передачи пакетов. Допустимые значения – имена фильтрующих интерфейсов. Не допускается указывать один и тот же интерфейс в качестве и входного и выходного.

  • Регистрация. Признак включения/выключения регистрации пакетов, соответствующих данному правилу. Допустимые значения - Вкл или Выкл.

  • VLAN-группа. Признак, устанавливающий применимость данного правила только к указанным виртуальным ЛВС. Допустимые значения – любые кадры, только не VLAN, только VLAN, группа VLAN - (номер группы).

  • Сигнализация. Признак сигнализации, для пакета, обработанного данным правилом. Допустимые значения - “Вкл” - посылать сообщение сигнализации, или “Выкл” - не посылать.

  • Интервал. Номер интервала времени действия правила. Правило фильтрации может быть безусловным, т.е. действовать в течение всего времени работы МЭ, или условным, т.е. действующим только в определенный интервал времени (например, по будним дням). Необходимые интервалы времени задаются в отдельной “Таблице интервалов времени” и имеют свои номера. В правиле фильтрации указывается номер требуемого интервала времени. Допустимые значения – целочисленные номера сформированных интервалов времени. Выбор пустого поля означает безусловное правило. Глобальные правила фильтрации являются безусловными, т.е. активны всегда.

  • Комментарий. Пояснение правила. Текстовая строка, содержащая печатаемые символы, кроме пробела в начале строки и символов ", /, \.

Поле Параметры пакета определяется типом группы правил и может содержать различные по формату и значению параметры. Описание и допустимые значения параметров пакета для каждой группы правил рассмотрены подробно в разделе 3 пособия.

Напомним, что правила фильтрации хранятся в МЭ в виде таблиц. Каждой группе правил (МАС, ARP, IP, IPX, AP) соответствует отдельная таблица правил фильтрации. Внутри таблицы правила фильтрации однозначно идентифицируются своим номером.

При фильтрации каждого пакета правила фильтрации просматриваются в порядке возрастания их номеров до выполнения одного из следующих условий:

  • найдено правило фильтрации, параметры которого соответствуют заголовку пакета. В этом случае просмотр правил прекращается и указанное правило применяется к данному пакету;

  • достигнут конец таблицы правил фильтрации. В этом случае к данному пакету применяется глобальное правило соответствующей группы.

Первоначально, таблицы правил фильтрации пусты, а все глобальные правила предписывают удаление пакетов. Таким образом, после первого включения, МЭ не пропускает пакеты через фильтрующие интерфейсы.

Интервалы времени.

Интервалы времени позволяют указать календарные даты, дни недели и время суток, при которых следует применять то или иное правило фильтрации. Каждый интервал имеет номер и под этим номером хранится в таблице интервалов времени. Администратор имеет возможность добавлять новые интервалы времени и редактировать имеющиеся. Формат задания интервала времени для WEB-интерфейса определяется формой редактирования и интуитивно понятен.

Группы VLAN

Группы VLAN предназначены для объединения нескольких идентификаторов VLAN (стандарта IEEE 802.1 p/Q) в группу для последующей привязки данной группы к правилам фильтрации. В этом случае каждое правило фильтрации будет применяться только к пакетам указанных виртуальных локальных сетей. Для задания группы VLAN следует задать номер группы (в диапазоне 1-65534) и перечислить идентификаторы виртуальных ЛВС, объединяемых в группу (возможные значения 0-4095).

Правила фильтрации, интервалы времени и группы VLAN формируются администратором, исходя из выбранной политики безопасности. Совокупность правил, реализующих конкретную политику безопасности, называется набором. Набор правил можно сохранить в МЭ в виде так называемого дополнительного набора с заданным именем. В МЭ может храниться несколько дополнительных наборов правил, но исполняется только один – текущий.

Для редактирования и занесения правил в таблицы, можно использовать как командный, так и WEB-интерфейс управления. В WEB-интерфейсе команды управления правилами фильтрации, интервалами времени и группами VLAN расположены в подменю Правила главного меню.

Наборы правил можно вывести на экран в формате текстового файла (Правила/Основные/Показать), скопировать их и сохранить на УК. Синтаксис текстового файла правил описан в документации на МЭ. Для загрузки на МЭ текстового набора правил, хранящегося на УК, необходимо использовать командный интерфейс и специальную утилиту загрузки.

Особенности формирования правил каждой группы и процедуры ввода и редактирования правил фильтрации рассмотрены в разделах 3.3.-3.5.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности