На интерфейсе хоста, на котором установлен С-Терра Клиент А, задаются правила обработки пакетов исходящего и входящего трафиков. У администратора есть возможность создавать, редактировать, удалять правила пакетной и контекстной фильтрации трафика, а также классификации и маркирования трафика.
Администратор при описании правил обработки сетевого трафика для каждого сетевого интерфейса должен явно указать какой сетевой трафик должен защищаться, пропускаться или удаляться. Правильным считается подход, когда разрешается обрабатывать (защищать или пропускать) только тот сетевой трафик, который администратор считает полезным, остальной трафик должен подпадать под явно написанное правило удаления сетевых пакетов.
Порядок обработки пакетов зависит от направления трафика.
Для исходящего трафика – классификация и маркирование, шифрование трафика (инкапсуляция в ESP), пакетная и контекстная фильтрация.
Для входящего трафика – пакетная и контекстная фильтрация, дешифрование (декапсуляция ESP), классификация и маркирование трафика.
В заданной политике безопасности правила каждого набора должны быть расположены в порядке убывания приоритета. В списке должно находиться хотя бы одно правило.
При получении TCP/IP пакета правила будут просматриваться в порядке убывания приоритета и сравниваться параметры заголовка пакета с такими же параметрами в правиле до нахождения первого подходящего правила. Если для пакета разрешительное правило не найдено – пакет уничтожается.
Для исходящего и входящего трафиков задаются разные правила.
Правила классификации и маркирования исходящего/входящего трафика задаются в конфигурационном файле в структуре Filter.
Правила пакетной и контекстной фильтрации для исходящего/входящего трафика задаются в конфигурационном файле в структуре Filter. Правила контекстной фильтрации так же могут быть заданы в структуре FirewallParameters.
Для создания списка правил пакетной и контекстной фильтрации («цепочки» правил) используется структура FilterChain.