В табл. 5 показаны примеры обработки дейтаграмм брандмауэром Алисы. При этом в первом случае (предпоследняя колонка таблицы) правила применяются в последовательности R2, Rl, R3, то есть в первую очередь проверяются наиболее конкретные адреса (подсеть злоумышленника), затем более широкое множество адресов (сеть университета Боба) и, наконец, все прочие адреса. В этом случае мы получаем желаемый результат. Например, дейтаграммы Р1 и Р2 блокируются при первой же проверке (правило R2) независимо от того, направляются они в специальную подсеть или в остальную часть корпоративной сети. Дейтаграммы же, отправляемые из университетской сети, но не злоумышленником (дейтаграммы РЗ и Р4), пропускаются в специальную подсеть (дейтаграмма РЗ), но не пропускаются в остальную часть корпоративной сети (дейтаграмма Р4).


Предположим, однако, что те же правила применяются в последовательности R1, R2, R3 (последняя колонка табл. 5). В этом случае посланная злоумышленником дейтаграмма Р2 ошибочно пропускается в специальную подсеть, так как правило R1 применяется прежде, чем правило R2. Таким образом, очевидно, что порядок применения правил фильтрации пакетов на брандмауэре имеет значение. Учитывая, что в реальных брандмауэрах применяются тысячи разнообразных правил, нужно быть очень внимательным, продумывая их очередность. Возможно, вы решите, что нужно всего лишь применять более специфические правила в первую очередь. Однако, как мы увидим далее, это не обязательно так (см. упражнения в конце главы).

Your comment:

Name:
E-mail/HTTP:
Are you spammer?

Remember Me