Можно указать конкретные IP адреса – локальные или удаленные, один или несколько.
– можно указывать IPv4 или IPv6 адреса;
– локальный адрес считается адресом получателя, если пакет идет к пользователю, и адресом отправителя, если пакет идет от пользователя.
Можно выбрать домен, к которому применяется правило.
– можно выбрать локальный адрес и то, к какой сети правило применяется;
– можно управлять доступом через различные интерфейсы. Например, если есть Wi-Fi – беспроводная связь и адаптер Ethernet, которыми можно отдельно управлять, потому что у них разные IP-адреса.
– можно задать правило для определенного сетевого интерфейса.
Сетевой экран – машина для проверки правил: любые поступающие пакеты он пропускает через свои правила в поисках ответа, безопасен пакет или нет. Если экран не может это определить, применяется правило по умолчанию (defaultrule), описывающее порядок обработки пакетов с неизвестной безопасностью.
Особенности фильтрации при использовании протокола UDP
Хотя для UDP нет понятия соединения, в сетевых экранах оно всегда используется: вводится виртуальное понятие соединения на уровне сетевого экрана.
При начале работы одна из сторон выступает в роли инициатора и отправляет первый пакет (хотя стороны считаются равноправными, не существует понятия клиента и сервера).
Если инициатор – узел с сетевым экраном (наш узел), то трафик легальный, потому что все программы находятся под полным контролем пользователя и им разрешено это делать. Программам, которые пытаются получить доступ извне, он запрещается.
|
|
– если идет исходящий пакет, сетевой экран запоминает этот факт как установку соединения и считает, что между компьютером пользователя (через определенный порт) и другой стороной с определенным IP-адресом и портом могут беспрепятственно передаваться данные в обоих направлениях;
– экран считает, что взаимодействие по UDP должно происходить постоянно. Длительного бездействия быть не должно: если в течение некоторого промежутка времени пакеты через соединение не передаются, то можно считать, что оно логически разорвано.
Для работы сетевого экрана с UDPвводится понятие логического соединения. Такое соединение разрывается при отсутствии пользовательской активности в течение некоторого времени. Этот подход аналогичен применяемому при работе NATс UDP.
UDPholepunching («Проделывание дырок в UDP»)
Введение
Технология «UDP hole punching» («проделывание дырок в UDP») в настоящее время является актуальной и популярной. Она нашла широкое применение по причине распространения сетей, построенных по принципу «точка-точка».
|
|
«Точка-точка» – это принцип построения сетей, при котором центральный сервер выполняет служебные, а не основные функции – он используется только для авторизации, а обмен информацией происходит напрямую между узлами.
Дата добавления: 2018-08-06; просмотров: 260; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!