Firewall filtra IP paketov

Zistite, ako firewall filtra IP paketov umožňuje vytvoriť súbor pravidiel, ktoré buď odmietnu alebo príjmu prenos cez sieťové pripojenie.

Firewall filtrovania IP paketov vám umožňuje vytvoriť súbor pravidiel, ktoré buď vyradia alebo prijmú prenos cez sieťové prepojenie. Samotný firewall neovplyvňuje tento prenos nijakým spôsobom. Pretože filter paketov môže iba vyradiť prenos, ktorý mu bol poslaný, zariadenie s filtrom paketov musí buď vykonať IP smerovanie alebo byť cieľom prenosu.

Filter paketov má súbor pravidiel s úkonom prijať alebo odmietnuť. Keď filter paketov dostane paket informácií, filter porovná paket s vašou predkonfigurovanou sadou pravidiel. Pri prvej zhode filter paketov buď prijme alebo odmietne paket informácií. Väčšina filtrov paketov má na konci súboru pravidiel implicitné pravidlo zakazujúce všetku premávku.

Paketové filtre obyčajne povolia alebo zakážu sieťový prenos založený na:

IP adrese zdroja a cieľa
Protokole, ako napr. TCP, UDP alebo ICMP
Portoch zdroja a cieľa a typoch a kódoch ICMP
Značkách v hlavičke TCP, ako napr. to, či je paket požiadavkou pripojenia
Smere (vstupnom alebo výstupnom)
Ktoré fyzické rozhranie paket prenáša

Všetky paketové filtre majú spoločnú situáciu: Dôvera je založená na IP adresách. Aj keď tento typ zabezpečenia nie je dostatočný pre celú sieť, tento typ zabezpečenia je prijateľný na úrovni komponentov.

Filtre IP paketov sú väčšinou bez príslušnosti, čo znamená, že si nepamätajú nič o paketoch, ktoré už spracovali. Filter paketov s príslušnosťou si dokáže uchovať niektoré informácie o predošlom prenose, čo vám umožní nakonfigurovať, že iba odpovede na požiadavky z internej siete sú povolené z Internetu. Paketové filtre bez príslušnosti sú zraniteľné podvádzaním, pretože IP adresa zdroja a ACK bit v hlavičke paketu je možné ľahko sfalšovať.

V systéme i5/OS môžete zadať pravidlá filtrovania paketov pre rozhrania a profily služieb vzdialeného prístupu. Ak používate externý firewall s filtrovaním paketov alebo pravidlá filtrovania paketov v systéme i5/OS a vaše údaje univerzálneho pripojenia prechádzajú cez tieto filtre, musíte zmeniť filtrovacie pravidlá a povoliť pripojenie k bráne VPN spoločnosti IBM:

Tabuľka 1.
Pravidlá filtra IP	Hodnoty filtra IP
Filtračné pravidlo vstupného prenosu UDP	Povoliť port 4500 pre adresu brány VPN
Filtračné pravidlo vstupného prenosu UDP	Povoliť port 500 pre adresu brány VPN
Filtračné pravidlo výstupného prenosu UDP	Povoliť port 4500 pre IP adresu brány VPN
Filtračné pravidlo výstupného prenosu UDP	Povoliť port 500 pre IP adresu brány VPN
Filtračné pravidlo vstupného prenosu ESP	Povoliť protokol ESP (X'32') pre IP adresu brány VPN
Filtračné pravidlo výstupného prenosu ESP	Povoliť protokol ESP (X'32') pre IP adresu brány VPN

Pre aplikácie univerzálneho pripojenia, ktoré používajú pre transport protokol HTTP a HTTPs, musíte zmeniť filtrovacie pravidlá a povoliť pripojenie k cieľom servisu IBM:

Tabuľka 2.
Pravidlá filtra IP	Hodnoty filtra IP
Filtrovacie pravidlo pre prichádzajúcu premávku TCP	Povoliť port 80 pre všetky cieľové adresy servisu
Filtrovacie pravidlo pre prichádzajúcu premávku TCP	Povoliť port 443 pre všetky cieľové adresy servisu
Filtrovacie pravidlo pre odchádzajúcu premávku TCP	Povoliť port 80 pre všetky cieľové adresy servisu
Filtrovacie pravidlo pre odchádzajúcu premávku TCP	Povoliť port 443 pre všetky cieľové adresy servisu

Zmena pravidiel filtrovania zahŕňa špecifikáciu aktuálnej IBM VPN Gateway adresy. Porty a služby musia byť otvorené pre nasledovné položky IP: Boulder: 207.25.252.196 a Rochester: 129.42.160.16. Viac detailov nájdete v téme Určenie adries brán VPN spoločnosti IBM v Informačnom centre iSeries.

Okrem toho môže byť súčasťou zmeny filtrovacích pravidiel pre premávku HTTP a HTTPs aj určenie konkrétnych cieľových adries pre servis. Tieto adresy môžete určiť podľa informácií v téme Určenie cieľových adries pre servis IBM v Informačnom centre iSeries.