Руководство по выработке правил разграничения доступа к ЭВМ

Фильтрация пакетов маршрутизатором


Многие коммерчески доступные шлюзы (которых более правильно называть маршрутизаторами) предоставляют возможность фильтровать пакеты не только на основе отправителя и получателя, но также на комбинации отправитель-получатель. Этот механизм может быть использован для запрета доступа к конкретной ЭВМ, сети или подсети от другой конкретной ЭВМ, сети или подсети.

Шлюзовые системы нескольких производителей (например, CISCO) поддерживают более сложную схему, позволяя более тонко задавать адреса отправителя и получателя. Используя маски адресов, можно запретить доступ ко всем ЭВМ, кроме одной в какой-либо сети. Маршрутизаторы CISCO также осуществляют фильтрацию на основе типа протокола в IP и номеров портов TCP и UDP[14].

Всю эту защиту можно обойти с помощью пакетов с опцией "маршрутизация источника", направленных к "секретной" сети. Пакеты с маршрутизацией источника могут быть отфильтрованы шлюзами, но это ограничит выполнение других санкционированных задач, таких как диагностирование ошибок маршрутизации.



Содержание раздела