Přečtěte si, jak firewall pomocí filtrů IP paketů umožňuje vytvářet sadu pravidel, která zakazují nebo povolují přenos dat přes síťové připojení.
Firewall pomocí filtru IP paketů umožňuje vytvářet sadu pravidel, která zakazují nebo povolují přenos dat přes síťové připojení. Samotný firewall přenos nijak neovlivňuje. Jelikož filtr paketů může zakázat pouze přenos, který je zaslán do něj, musí zařízení s filtrem paketů buď provést směrování IP, nebo musí být cílem přenosu.
Filtr paketů má sadu pravidel umožňují provádět akce zákazu nebo přijetí. Když filtr paketů obdrží paket informací, filtr porovná paket s předem konfigurovanou sadou pravidel. Při prvním porovnání filtr paket informací buď přijme, nebo zakáže. Většina filtrů paketů má v dolní části souboru pravidel "zamítnutí všech pravidel".
Všechny filtry paketů mají společnou situaci: Důvěra je založena na IP adresách. Ačkoli tento typ zabezpečení není dostatečný pro celou síť, je přijatelný na úrovni komponent.
Většina filtrů paketů je bez záznamu stavu, což znamená, že si nepamatují nic o paketech, které zpracovaly. Filtr paketů se záznamem stavu si může udržet některé informace o předchozích přenosech, což vám dává možnost konfigurovat, aby byly ze sítě Internet povoleny pouze odpovědi na žádosti z vnitřní sítě. Filtry paketů bez záznamu stavu jsou zranitelné vylákáním, protože zdroj IP adresy a bit ACK v záhlaví paketu mohou být snadno zfalšovány.
Operační systém i5/OS umožňuje určovat pravidla filtrů paketů v rozhraních a profilech vzdáleného servisního přístupu. Pokud v operačním systému i5/OS používáte externí firewall pomocí filtru paketů nebo pravidla filtru paketů a data Univerzálního připojení procházejí těmito filtry, musíte změnit pravidla filtru tak, abyste umožnili spojení ke komunikační bráně IBM VPN. Provedete to následovně:
| Pravidla filtrování IP | Pravidla filtrování IP |
|---|---|
| Pravidlo filtrování příchozích dat protokolu UDP | Povolit port 4500 pro adresu brány VPN |
| Pravidlo filtrování příchozích dat protokolu UDP | Povolit port 500 pro adresu brány VPN |
| Pravidlo filtrování odchozích dat protokolu UDP | Povolit port 4500 pro IP adresu brány VPN |
| Pravidlo filtrování odchozích dat protokolu UDP | Povolit port 500 pro IP adresu brány VPN |
| Pravidlo filtrování příchozích dat protokolu ESP | Povolit protokol ESP (X'32') pro IP adresu brány VPN |
| Pravidlo filtrování odchozích dat protokolu ESP | Povolit protokol ESP (X'32') pro IP adresu brány VPN |
| Pravidla filtrování IP | Pravidla filtrování IP |
|---|---|
| Pravidlo filtrování příchozích dat protokolu TCP | Povolit port 80 pro všechny adresy servisních míst určení |
| Pravidlo filtrování příchozích dat protokolu TCP | Povolit port 443 pro všechny adresy servisních míst určení |
| Pravidlo filtrování odchozích dat protokolu TCP | Povolit port 80 pro všechny adresy servisních míst určení |
| Pravidlo filtrování odchozích dat protokolu TCP | Povolit port 443 pro všechny adresy servisních míst určení |
Součástí změny pravidel filtrování je určení aktuální adresy brány IBM VPN. Porty a služby musejí být otevřeny pro následující IP: Boulder: 207.25.252.196 a Rochester: 129.42.160.16. Podrobnosti najdete v tématu Určování adres VPN brány IBM v aplikaci iSeries Information Center.
Kromě toho při provozu HTTP a HTTPs může změna pravidel filtrování vyžadovat zadání skutečných adres servisních míst určení. Tyto adresy můžete zjistit v tématu Určování adres servisních míst určení IBM v aplikaci iSeries Information Center.