Ismerkedjen meg azzal, hogyan teszi lehetővé az IP csomagszűrő tűzfal használata egy olyan szabályhalmaz létrehozását, amely képes forgalom kiszűrésére vagy elfogadására egy hálózati kapcsolaton keresztül.
Egy IP csomagszűrő tűzfal használata lehetővé teszi olyan szabályhalmaz létrehozását, amely képes forgalom kiszűrésére vagy elfogadására egy hálózati kapcsolaton keresztül. A tűzfal maga semmilyen módon nem befolyásolja a forgalmat. Mivel a csomagszűrő csak a rá küldött forgalmat szűrheti ki, a csomagszűrővel ellátott eszköznek vagy IP útválasztást kell tudnia nyújtani, vagy ennek kell a forgalom célpontjának lennie.
A csomagszűrő egy sor szabállyal rendelkezik műveletek elfogadására vagy visszautasítására. Amikor a csomagszűrő megkap egy információs csomagot, a szűrő összehasonlítja a csomagot az előre meghatározott szabálykészlettel. Az első összehasonlításra a csomagszűrő vagy elfogad, vagy visszautasít egy információs csomagot. A legtöbb csomagszűrőnél a szabályfájl legalján egy "minden visszautasítása" szabály rejlik.
Minden csomagszűrőnél van egy általános körülmény: A megbízhatóság IP-címeken múlik. Bár ez a fajta védelem nem elégséges a teljes hálózathoz, elfogadható az összetevők szintjén.
A legtöbb IP csomagszűrő állapotmentes, ami azt jelenti, hogy semmire nem emlékeznek az előzőleg feldolgozott csomagokból. Egy állapottal rendelkező csomagszűrő megtarthat bizonyos információkat az előzőleg feldolgozott forgalomból, ami azt jelenti, hogy lehetőség van egy olyan beállítás elkészítésére, amelynél az Internetről csak a belső hálózatról érkező kérésekre érkezhet válasz. Az állapot nélküli csomagszűrők sérülékenyek a címhamisításokkal szemben, mivel a forrás IP-cím és a csomag fejlécének ACK bitje könnyen hamisítható.
Az i5/OS lehetővé teszi csomagszűrési szabályok meghatározását a felületeken és a távoli hozzáférési szolgáltatási profilokban. Ha külső csomagszűrő tűzfalat, vagy csomagszűrési szabályokat használ az i5/OS platformon, és univerzális kapcsolati adatai ezeken a szűrőkön haladnak keresztül, meg kell változtatnia a szűrőszabályokat a kapcsolat engedélyezésére az IBM VPN átjárójával, a következőknek megfelelően:
| IP szűrési szabály | IP szűrő érték |
|---|---|
| UDP bejövő forgalom szűrési szabály | A 4500-as port engedélyezése a VPN átjáró címén |
| UDP bejövő forgalom szűrési szabály | Az 500-as port engedélyezése a VPN átjáró címén |
| UDP kimenő forgalom szűrési szabály | A 4500-as port engedélyezése a VPN átjáró IP-címén |
| UDP kimenő forgalom szűrési szabály | Az 500-as port engedélyezése a VPN átjáró IP-címén |
| ESP bejövő forgalom szűrési szabály | Az ESP protokoll (X'32') engedélyezése a VPN átjáró IP-címén |
| ESP kimenő forgalom szűrési szabály | Az ESP protokoll (X'32') engedélyezése a VPN átjáró IP-címén |
| IP szűrési szabály | IP szűrő érték |
|---|---|
| TCP bejövő forgalom szűrési szabály | Engedélyezze a 80-as portot minden szerviz célcímnek |
| TCP bejövő forgalom szűrési szabály | Engedélyezze a 443-as portot minden szerviz célcímnek |
| TCP kimenő forgalom szűrési szabály | Engedélyezze a 80-as portot minden szerviz célcímnek |
| TCP kimenő forgalom szűrési szabály | Engedélyezze a 443-as portot minden szerviz célcímnek |
A szűrőszabályok módosítása magában foglalja a tényleges IBM VPN átjáró címének megadását. A portokat és szolgáltatásokat a következő IP-címekhez kell megnyitni: Boulder: 207.25.252.196, Rochester: 129.42.160.16. További részletekért olvassa el az IBM VPN átjárócímek meghatározása részt az iSeries információs központban.
Ezen kívül HTTP és HTTPS forgalomnál a szűrőszabályok módosítása magában foglalhatja tényleges szerviz célcímek megadását. Ezeket a címeket az iSeries információs központ IBM szerviz célcímek meghatározása részében leírtak szerint határozhatja meg.