Поделиться через

Точки проверки пакетов

  • Статья

Входящие пакеты

Входящие пакеты, предназначенные для адреса, назначенного принимающему компьютеру (трафик локального узла), проходят по уровням ВПП в следующем порядке:

IP-пакет (сетевой уровень)
Все IP-пакеты, включая фрагменты IP-пакетов, доступны для проверки на этом уровне. Однако если пакеты защищены по протоколу IPsec, на этом уровне невозможно выполнить глубокую проверку или изменение содержимого, так как пакеты еще не прошли проверку подлинности или не расшифровываются.

Транспортный уровень
Все автономные или полностью повторно собираемые пакеты доступны для проверки на этом уровне. Пакеты, защищенные протоколом IPsec, прошли проверку подлинности или расшифрованы.

Получение или принятие принудительного применения прикладного уровня (ALE)
Самый первый пакет, поступающий в локальную конечную точку, указывается на этом уровне. Например, будет указан сегмент поступающей синхронизации TCP (SYN) или первое сообщение UDP, связанное с потоком UDP. Пакеты, необходимые для повторной авторизации подключения, например после изменения политики брандмауэра, также указываются на этом уровне, и будет установлен флаг повторной авторизации ALE.

Данные датаграммы или поток
Сообщения UDP и сообщения об ошибках, отличные от ICMP, указываются на уровне данных датаграммы. Этот уровень позволяет проверять сетевые данные на основе каждой датаграммы. На уровне датаграммы сетевые данные являются двунаправленными. Потоки данных TCP (только потоки данных) доступны для проверки на уровне потока.

Исходящие пакеты

Исходящие пакеты, поступающие с адреса, назначенного отправляющему компьютеру (трафик, исходящий из локального узла), проходят по следующим уровням ВПП:

ALE Connect
Запросы tcp-подключения (выполненные до создания сегмента SYN) и первое сообщение UDP, отправляемое на удаленную конечную точку, указываются на этом уровне.

Данные датаграммы или поток

Сообщения UDP и сообщения об ошибках, отличные от ICMP, указываются на уровне данных датаграммы. Этот уровень позволяет проверять сетевые данные на основе каждой датаграммы. На уровне датаграммы сетевые данные являются двунаправленными. Потоки данных TCP (только потоки данных) доступны для проверки на уровне потока.

Ошибка транспорта и ICMP
Уровень фильтрации транспорта находится в пути отправки сразу после передачи отправленного пакета на сетевой уровень для обработки, но до того, как выполняется обработка любого сетевого уровня. Этот уровень фильтрации расположен в верхней части сетевого уровня, а не в нижней части транспортного уровня, поэтому все пакеты, отправляемые сторонними транспортами или как необработанные пакеты, фильтруются на этом уровне.

Уровень фильтрации ошибок ICMP находится в пути отправки для проверки полученных сообщений об ошибках ICMP для транспортного протокола.

IP-пакет
Фрагменты IP-пакетов не указываются; Проверка исходящих фрагментов IP-адресов в настоящее время недоступна.

IP-пакеты или фрагменты, которые не получены или не предназначены для адреса, назначенного локальному компьютеру, доступны для проверки на уровне пересылки. Например, если пакет, предназначенный для локального клиента, изменяется на нелокальный адрес назначения, а затем внедряется в путь получения, он будет внедрен в уровень пересылки. Аналогичным образом, если пакет, исходящий из локального исходного адреса, изменяется на нелокальный исходный адрес, он будет доставлен на уровень пересылки после внедрения в путь отправки.