Points d’inspection des paquets

Paquets entrants

Les paquets entrants destinés à une adresse affectée à l’ordinateur de réception (trafic hôte local) traversent les couches PAM dans l’ordre suivant :

Paquet IP (couche réseau)
Tous les paquets IP, y compris les fragments de paquets IP, sont disponibles pour inspection au niveau de cette couche. Toutefois, lorsque les paquets sont protégés par IPsec, une inspection ou une modification approfondies du contenu ne peut pas être effectuée au niveau de cette couche, car les paquets ne sont pas encore authentifiés ou déchiffrés.

Couche de transport
Tous les paquets autonomes ou entièrement réassembtés sont disponibles pour inspection au niveau de cette couche. Les paquets protégés par IPsec ont été authentifiés ou déchiffrés.

Application Layer Enforcement (ALE) recevoir ou accepter
Le tout premier paquet qui arrive à un point de terminaison local est indiqué à cette couche. Par exemple, un segment SYN (Tcp Synchronize) arrivant ou le premier message UDP associé à un flux UDP serait indiqué. Les paquets qui sont nécessaires pour réautoriser une connexion, par exemple, après un changement de stratégie de pare-feu, sont également indiqués au niveau de cette couche, et l’indicateur de réautorisation ALE sera défini.

Datagram Data ou Stream
Les messages UDP et les messages d’erreur non ICMP sont indiqués au niveau de la couche de données du datagramme. Cette couche permet d’inspecter les données réseau par datagramme. Au niveau de la couche de datagramme, les données réseau sont bidirectionnelles. Les flux de données TCP (flux de données uniquement) sont disponibles pour inspection au niveau de la couche de flux.

Paquets sortants

Les paquets sortants qui proviennent d’une adresse affectée à l’ordinateur d’envoi (trafic provenant de l’hôte local) traversent les couches PAM suivantes :

ALE Connect
Les demandes de connexion TCP (effectuées avant la génération du segment SYN) et le premier message UDP envoyé à un point de terminaison distant sont indiqués à cette couche.

Datagram Data ou Stream

Les messages UDP et les messages d’erreur non ICMP sont indiqués au niveau de la couche de données du datagramme. Cette couche permet d’inspecter les données réseau par datagramme. Au niveau de la couche de datagramme, les données réseau sont bidirectionnelles. Les flux de données TCP (flux de données uniquement) sont disponibles pour inspection au niveau de la couche de flux.

Erreur de transport et ICMP
La couche de filtrage du transport se trouve dans le chemin d’envoi juste après qu’un paquet envoyé a été passé à la couche réseau pour traitement, mais avant qu’un traitement de la couche réseau n’ait lieu. Cette couche de filtrage se trouve en haut de la couche réseau plutôt qu’en bas de la couche de transport, de sorte que tous les paquets envoyés par des transports tiers ou en tant que paquets bruts soient filtrés au niveau de cette couche.

La couche de filtrage des erreurs ICMP se trouve dans le chemin d’envoi pour inspecter les messages d’erreur ICMP reçus pour le protocole de transport.

Paquet IP
Les fragments de paquets IP ne sont pas indiqués ; l’inspection des fragments d’adresses IP sortantes n’est actuellement pas disponible.

Les paquets IP ou fragments qui ne proviennent pas d’une adresse affectée à l’ordinateur local ou qui ne sont pas destinés à une adresse affectée à l’ordinateur local peuvent être inspectés au niveau de la couche de transfert. Par exemple, si un paquet destiné à un client local est modifié pour avoir une adresse de destination non locale, puis est injecté dans le chemin de réception, il est injecté dans la couche de transfert. De même, si un paquet provenant d’une adresse source locale est modifié pour avoir une adresse source non locale, il est remis à la couche de transfert après avoir été injecté dans le chemin d’envoi.