Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Binnenkomende pakketten
Binnenkomende pakketten die zijn bestemd voor een adres dat is toegewezen aan de ontvangende computer (lokaal hostverkeer) doorkruist WFP-lagen in de volgende volgorde:
IP-pakket (netwerklaag)
Alle IP-pakketten, inclusief IP-pakketfragmenten, zijn beschikbaar voor inspectie op deze laag. Wanneer pakketten echter met IPsec zijn beveiligd, kunnen grondige inhoudsinspectie of -aanpassingen niet op deze laag worden uitgevoerd omdat de pakketten nog niet zijn geverifieerd of ontsleuteld.
Transportlaag
Alle zelfstandige of volledig opnieuw geplaatste pakketten zijn beschikbaar voor inspectie op deze laag. Met IPsec beveiligde pakketten zijn geverifieerd of ontsleuteld.
application layer enforcement (ALE) ontvangen of accepteren
Het eerste pakket dat bij een lokaal eindpunt aankomt, wordt op deze laag aangegeven. Een binnenkomend TCP-synchronisatiesegment (SYN) of het eerste UDP-bericht dat is gekoppeld aan een UDP-stroom, wordt bijvoorbeeld aangegeven. Pakketten die nodig zijn om een verbinding opnieuw te autoriseren, bijvoorbeeld nadat een firewallbeleidswijziging is gewijzigd, worden ook aangegeven op deze laag en de vlag voor opnieuw verificatie van ALE wordt ingesteld.
Datagram-gegevens of streamen
UDP-berichten en niet-ICMP-foutberichten worden aangegeven op de datagramgegevenslaag. Met deze laag kunnen netwerkgegevens per datagram worden gecontroleerd. Op de datagramlaag zijn de netwerkgegevens bidirectioneel. TCP-gegevensstromen (alleen gegevensstromen) zijn beschikbaar voor inspectie op de stroomlaag.
Uitgaande pakketten
Uitgaande pakketten die afkomstig zijn van een adres dat is toegewezen aan de verzendende computer (lokaal hostverkeer) doorkruist de volgende WFP-lagen:
ALE Connect
TCP-verbindingsaanvragen (gemaakt voordat het SYN-segment wordt gegenereerd) en het eerste UDP-bericht dat naar een extern eindpunt wordt verzonden, worden op deze laag aangegeven.
UDP-berichten en niet-ICMP-foutberichten worden aangegeven op de datagramgegevenslaag. Met deze laag kunnen netwerkgegevens per datagram worden gecontroleerd. Op de datagramlaag zijn de netwerkgegevens bidirectioneel. TCP-gegevensstromen (alleen gegevensstromen) zijn beschikbaar voor inspectie op de stroomlaag.
Transport- en ICMP-fouten
De transportfilterlaag bevindt zich in het verzendpad net nadat een verzonden pakket is doorgegeven aan de netwerklaag voor verwerking, maar voordat een netwerklaagverwerking plaatsvindt. Deze filterlaag bevindt zich boven aan de netwerklaag in plaats van onderaan de transportlaag, zodat pakketten die worden verzonden door transporten van derden of als onbewerkte pakketten op deze laag worden gefilterd.
De ICMP-foutfilterlaag bevindt zich in het verzendpad voor het inspecteren van ontvangen ICMP-foutberichten voor het transportprotocol.
IP-pakket
IP-pakketfragmenten worden niet aangegeven; inspectie van uitgaande IP-fragmenten is momenteel niet beschikbaar.
IP-pakketten of -fragmenten die niet afkomstig zijn van of niet bestemd zijn voor een adres dat is toegewezen aan de lokale computer, zijn beschikbaar voor inspectie op de doorstuurlaag. Als een pakket dat is bestemd voor een lokale client bijvoorbeeld wordt gewijzigd om een niet-lokaal doeladres te hebben en vervolgens wordt geïnjecteerd in het ontvangstpad, wordt het in de doorstuurlaag geïnjecteerd. Als een pakket dat afkomstig is van een lokaal bronadres wordt gewijzigd om een niet-lokaal bronadres te hebben, wordt het geleverd aan de doorstuurlaag nadat het is geïnjecteerd in het verzendpad.