Freigeben über

Paketinspektionspunkte

  • Artikel

Eingehende Pakete

Eingehende Pakete, die für eine Adresse bestimmt sind, die dem empfangenden Computer (lokaler Hostdatenverkehr) zugewiesen ist, durchlaufen WFP-Ebenen in der folgenden Reihenfolge:

IP-Paket (Netzwerkebene)
Alle IP-Pakete, einschließlich IP-Paketfragmenten, stehen auf dieser Ebene zur Überprüfung zur Verfügung. Wenn Pakete jedoch IPsec-geschützt sind, kann auf dieser Ebene keine umfassende Inhaltsüberprüfung oder -änderung durchgeführt werden, da die Pakete noch nicht authentifiziert oder entschlüsselt sind.

Transportschicht
Alle eigenständigen oder vollständig neu zusammengesetzten Pakete stehen auf dieser Ebene zur Überprüfung zur Verfügung. IPsec-geschützte Pakete wurden authentifiziert oder entschlüsselt.

Application Layer Enforcement (ALE) Receive or Accept
Das erste Paket, das an einem lokalen Endpunkt eingeht, wird auf dieser Ebene angezeigt. Beispielsweise wird ein eingehendes TCP Synchronize-Segment (SYN) oder die erste UDP-Nachricht angegeben, die einem UDP-Fluss zugeordnet ist. Pakete, die zum erneuten Autorisieren einer Verbindung erforderlich sind, z. B. nach einer Änderung der Firewallrichtlinie, werden ebenfalls auf dieser Ebene angezeigt, und das Flag für die erneute ALE-Autorisierung wird festgelegt.

Datagrammdaten oder Datenstrom
UDP-Nachrichten und Nicht-ICMP-Fehlermeldungen werden auf der Datagrammdatenebene angezeigt. Diese Ebene ermöglicht die Überprüfung von Netzwerkdaten pro Datagramm. Auf der Datagrammebene sind die Netzwerkdaten bidirektional. TCP-Datenflüsse (nur Datenströme) stehen zur Überprüfung auf Streamebene zur Verfügung.

Ausgehende Pakete

Ausgehende Pakete, die von einer Adresse stammen, die dem sendenden Computer zugewiesen ist (lokaler Hostdatenverkehr), durchlaufen die folgenden WFP-Ebenen:

ALE Connect
TCP-Verbindungsanforderungen (vor der Generierung des SYN-Segments) und die erste UDP-Nachricht, die an einen Remoteendpunkt gesendet wird, werden auf dieser Ebene angezeigt.

Datagrammdaten oder Datenstrom

UDP-Nachrichten und Nicht-ICMP-Fehlermeldungen werden auf der Datagrammdatenebene angezeigt. Diese Ebene ermöglicht die Überprüfung von Netzwerkdaten pro Datagramm. Auf der Datagrammebene sind die Netzwerkdaten bidirektional. TCP-Datenflüsse (nur Datenströme) stehen zur Überprüfung auf Streamebene zur Verfügung.

Transport- und ICMP-Fehler
Die Transportfilterebene befindet sich im Sendepfad, unmittelbar nachdem ein gesendetes Paket zur Verarbeitung an die Netzwerkebene übergeben wurde, aber bevor eine Verarbeitung auf Netzwerkebene erfolgt. Diese Filterebene befindet sich oben auf der Netzwerkebene und nicht am unteren Rand der Transportebene, sodass alle Pakete, die von Drittanbietertransporten oder als Unformatierte Pakete gesendet werden, auf dieser Ebene gefiltert werden.

Die ICMP-Fehlerfilterebene befindet sich im Sendepfad zum Überprüfen empfangener ICMP-Fehlermeldungen für das Transportprotokoll.

IP-Paket
IP-Paketfragmente werden nicht angegeben. Die Überprüfung ausgehender IP-Fragmente ist derzeit nicht verfügbar.

IP-Pakete oder Fragmente, die nicht von einer Adresse stammen oder nicht dafür bestimmt sind, die dem lokalen Computer zugewiesen ist, stehen zur Überprüfung auf der Weiterleitungsebene zur Verfügung. Wenn beispielsweise ein Paket, das für einen lokalen Client bestimmt ist, so geändert wird, dass es eine nicht lokale Zieladresse hat und dann in den Empfangspfad eingefügt wird, wird es in die Weiterleitungsschicht eingefügt. Wenn ein Paket, das von einer lokalen Quelladresse stammt, in eine nicht lokale Quelladresse geändert wird, wird es an die Weiterleitungsebene übermittelt, nachdem es in den Sendepfad eingefügt wurde.