Правила доступа предназначены для фильтрации пакетов. Пакеты можно фильтровать либо только по адресу отправителя, либо по адресу отправителя пакета, адресу получателя пакета, типу протокола, порту отправителя и порту получателя.
Правило доступа — это упорядоченный набор записей, каждая из которых разрешает или запрещает прохождение пакета через интерфейс в зависимости от информации, содержащейся в пакете. Записи правила доступа применяются к каждому пакету последовательно, начиная с первого, до тех пор, пока не будет найдена запись, параметры которой будут совпадать с параметрами заголовка пакета. И к пакету будет применяться то действие, которое предписано в этой записи. (В этом случае говорят, что пакет подпадает под правило.) При нахождении такой записи следующие записи в правиле уже не проверяются. Если такой записи не найдено – пакет уничтожается.
Рисунок 15
Состав элементов браузера раздела Access Rules:
· Кнопки управления:
· Add – кнопка вызова окна для создания нового правила доступа.
· Edit – кнопка вызова окна для редактирования выделенного правила доступа.
· Delete – кнопка удаления выделенного правила доступа.
· В верхней таблице размещаются правила доступа. В ней можно выделять только одну строку. Состав столбцов таблицы:
· Name/Number – имя или номер правила доступа.
· Used by – имена интерфейсов и политик IPsec, к которым привязано правило доступа.
· Type – тип правила доступа (standard/extended – стандартное/расширенное).
· В нижней таблице детализируется содержание выделенного правила доступа. В зависимости от типа выделенного правила доступа состав столбцов таблицы будет разным. Для правила доступа типа Extended состав столбцов таблицы будет следующий:
· столбец без названия, в котором содержится иконка, соответствующая типу выбранного действия ("галочка" – Permit (Пропускать), "крестик" – Deny (Не пропускать)).
· Action – действие, которое будет применяться к пакету (Permit/Deny) в случае подпадания его под правило.
· Source – IP-адрес/маска отправителя пакета. Возможно значение any.
· Destination – IP-адрес/маска получателя пакета. Возможно значение any.
· Service – сетевой сервис.
· TCP Flags – условие фильтрации по TCP-флагам (для TCP-протокола).
· Log – протоколирование сообщений о пакетах, удовлетворяющих условиям данного правила доступа (on/off – протоколирование включено/выключено).
Информация в столбце Service выводится в соответствии со следующей логикой:
· Если в качестве сетевого сервиса установлен протокол IP или протоколы семейства IP, то в столбце Service должно отображаться только имя протокола.
Пример:
Permit – 192.0.2.2 – any – ip
· Если в рамках протоколов TCP или UDP установлены порты, отличные от Any, то структура строки формируется следующим образом:
<Protocol Name>, src: <Port Name | Port Number>, dst: <Port Name | Port Number>.
Если в качестве значения порта введено численное значение, которому соответствует имя порта в списке предопределенных портов, то численное значение будет заменено на имя порта. Замена производится после нажатия кнопки ОК в окне редактирования. При открытии следующей сессии редактирования, в соответствующем поле окна будет отображаться не численное значение, а соответствующее ему имя.
Если у источника или получателя значение порта установлено равным Any, то такой блок данных не показывается.
Пример, в котором у порта получателя установлено значение Any:
Permit – 192.0.2.2 – any – udp, src: 124
Пример, в котором значение Any установлено у источника:
Permit – 192.0.2.2 – any – udp, dst: ntp
· Если в качестве значений портов используются диапазоны, то они отображаются в скобках с дефисом в качестве разделителя.
Пример:
Permit – 192.0.2.2 – any – udp, src: (123-345)
При выводе значений диапазонов используются только численные значения даже в случаях, когда численному значению можно поставить в соответствие имя из списка предопределенных портов.
Состав столбцов таблицы для правила доступа типа Standard:
· столбец без названия с иконками возможных действий;
· Action – действие, которое будет применяться к пакету;
· Source – имя или IP-адрес отправителя пакета. Возможно значение any.