Задание действия в правиле

К трафику, заданному в областях Local IP Addresses, Remote IP Addresses, Services and Protocols, применяется действие из области Action. Из выпадающего списка выбирается одно из действий:

·       Pass – пропускать пакет.

·       Drop – не пропускать пакет.

·       Classify mark – маркировать пакет.

·       Inspect TCP  – проверять TCP-трафик.

·       Inspect FTP  – проверять FTP-трафик.

Действия Pass, Drop, Classify mark были ранее описаны в разделе «Задание действия в правиле» в предыдущем параграфе.

Рисунок 23

 

Действия Inspect TCP и Inspect FTP используются для создания правил контекстной фильтрации. Этими правилами будут проверяться только TCP-пакеты и FTP-пакеты.

Действие Inspect  TCP – при выборе этого действия отслеживается состояние TCP-соединения, меняется время жизни записи о соединении в соответствии с текущим состоянием соединения. Для пропуска пакетов в обе стороны, добавляются динамические правила фильтрации для входящего и исходящего трафика. Динамические правила удаляются вместе с записью о соединении.

Действие Inspect  FTP – при выборе этого действия отслеживается состояние FTP-соединения, меняется время жизни записи о соединении в соответствии с текущим состоянием соединения. Для пропуска пакетов в обе стороны, добавляются динамические правила фильтрации для входящего и исходящего трафика. Динамические правила удаляются вместе с записью о соединении. Кроме того, отслеживаются некоторые команды FTP, создаются правила для пропуска соединения для данных FTP, определяются и блокируются некоторые подозрительные команды, которые могут являться атакой на FTP сервер.

Если нужно разрешить только исходящий с клиента TCP-трафик и ответный на него трафик, то разрешительное правило контекстной фильтрации должно быть только в разделе Outbound filter, в разделе Inbound filter такого правила быть не должно. Если разрешительного правила нет, значит трафик запрещен.

При выборе действия Inspect TCP (Inspect FTP) область Action приобретает следующий вид (Рисунок 24). Второй выпадающий список с флагами – не активен.

·       Audit – при установке этого флажка при закрытии соединения создаются сообщения со статистической информацией, выдаваемые в syslog-файл.

·       No alert – при установке этого флажка не выдаются сообщения о потенциальных атаках (попытках взлома).

·       Timeout – переопределяет время жизни в секундах установленного соединения по данному правилу. (Глобальные настройки для всех соединений установлены во вкладке LSP – кнопка Advanced).

Рисунок 24