Политика фильтрации также может основываться на комбинации IP-адреса и номера порта. Например, фильтрующий маршрутизатор может блокировать все дейтаграммы протокола Telnet (с номером порта 23), кроме тех, чьи IP-адреса отправителей или получателей содержатся в специальном списке. Такая политика позволяет устанавливать Telnet-соединения с хостами (и от хостов), адреса которых содержатся в списке разрешенных адресов. К сожалению, этот метод не защищает от злоумышленников, подделывающих IP-адреса в своих дейтаграммах. Подобные атаки мы рассмотрим в следующем разделе.

Фильтрация также может быть основана на значении бита АСК в ТСР-заголовке пакета. Это может быть полезно, если организация разрешает своим сотрудникам соединяться с внешними серверами, но не хочет, чтобы внешние клиенты соединялись с серверами организации. В разделе «Протокол TCP — передача с установлением соединения» главы 3 отмечалось, что в первом сегменте каждого ТСР-со-единения бит АСК сброшен в 0, тогда как во всех остальных сегментах этот бит установлен в 1. Таким образом, если организация не желает, чтобы внешние клиенты устанавливали соединения с внутренними серверами, она может просто блокировать все входящие сегменты с нулевым битом АСК. Такая политика закроет доступ всем входящим ТСР-соединениям, но позволит устанавливать исходящие ТСР-соединения.
Хотя по этим примерам может показаться, что формировать правила фильтрации не слишком сложно, в этой области есть множество подводных камней.

Your comment:

Name:
E-mail/HTTP:
How many eggs are in a dozen?

Remember Me