Информация о создании правил, разрешающих или запрещающих передачу данных по сетевому соединению, для брандмауэра с фильтром пакетов IP.
Брандмауэр с фильтром пакетов IP позволяет создать набор правил, запрещающих или разрешающих передачу данных по сетевому соединению. Брандмауэр никак не изменяет передаваемые данные. Поскольку фильтр пакетов способен только отклонять поступающие в него данные, устройство с таким фильтром должно поддерживать маршрутизацию пакетов IP, если оно не является получателем данных.
Фильтр пакетов использует набор разрешающих и запрещающих правил. При получении пакета данных фильтр сравнивает его с набором правил. Обнаружив первое совпадение, фильтр разрешает или запрещает передачу пакета. Обычно фильтр пакетов содержит неявное правило "запретить все", содержащееся в конце списка правил.
Все фильтры пакетов работают по схожему принципу: основным критерием проверки является IP-адрес. Хотя такой способ защиты не является достаточно надежным для всей сети, он может применяться на уровне отдельных компонентов.
Большинство фильтров пакетов IP работают без учета состояния, то есть не сохраняют никакую информацию о ранее обработанных пакетах. Фильтр пакетов с учетом состояния сохраняет информацию о ранее обработанных данных, что дает возможность разрешить получать из Internet только ответы на запросы из внутренней сети. Фильтры пакетов без учета состояния не обеспечивают защиту от имитации, так как исходный IP-адрес и бит ACK в заголовке пакета можно легко фальсифицировать.
В i5/OS фильтры пакетов можно указывать для интерфейсов и профайлов служб удаленного доступа. Если применяется внешний брандмауэр с фильтром пакетов, либо правила фильтрации пакетов i5/OS, и передаваемые по универсальному соединению данные проходят через эти фильтры, то в правилах фильтрации необходимо разрешить соединения со шлюзом IBM VPN следующим образом:
| Правила фильтрации IP | Значение фильтра IP |
|---|---|
| Правило фильтрации входящих данных UDP | Разрешить порт 4500 для адреса шлюза VPN |
| Правило фильтрации входящих данных UDP | Разрешить порт 500 для адреса шлюза VPN |
| Правило фильтрации исходящих данных UDP | Разрешить порт 4500 для IP-адреса шлюза VPN |
| Правило фильтрации исходящих данных UDP | Разрешить порт 500 для IP-адреса шлюза VPN |
| Правило фильтрации входящих данных ESP | Разрешить протокол ESP (X'32') для IP-адреса шлюза VPN |
| Правило фильтрации исходящих данных ESP | Разрешить протокол ESP (X'32') для IP-адреса шлюза VPN |
| Правила фильтрации IP | Значение фильтра IP |
|---|---|
| Правило фильтрации входящих данных TCP | Разрешить порт 80 для всех адресов службы поддержки |
| Правило фильтрации входящих данных TCP | Разрешить порт 443 для всех адресов службы поддержки |
| Правило фильтрации входящих данных TCP | Разрешить порт 80 для всех адресов службы поддержки |
| Правило фильтрации входящих данных TCP | Разрешить порт 443 для всех адресов службы поддержки |
При изменении правил фильтрации вам потребуется указать фактический адрес шлюза IBM VPN. Необходимо открыть порты и шлюзы для следующих IP-адресов: Boulder: 207.25.252.196 и Rochester: 129.42.160.16. Дополнительная информация приведена в разделе Определение адресов шлюзов VPN IBM справочной системы iSeries Information Center.
Кроме того, для потока данных HTTP и HTTPs может потребоваться указать конкретные адреса службы поддержки. Инструкции по определению этих адресов приведены в разделе Определение адресов службы поддержки IBM справочной системы iSeries Information Center.