Набор правил IPF
Набор правил определяет прохождение или блокировку пакетов, основываясь на значениях, содержащихся в пакете. Установление сессии включает в себя двунаправленный обмен пакетами между хостами. Набор правил firewall’а обрабатывает пакет два раза: один раз — когда он поступает из Интернета и второй — когда он возвращается обратно в Интернет. Каждый TCP/IP-сервис (http, smtp, telnet и т.п.) определяется своим протоколом, IP-адресами источника и получателя, номерами портов источника и получателя. Эти значения являются основными критериями, на основе которых разрешаются или блокируют сервисы.
IPF был первоначально написан с использованием логики обработки правил "используется последнее правило, которому соответствует пакет". Правила не поддерживали состояния. Со временем IPF был усилен включением опции quick и опции поддержки состояния keep state, что существенно изменило логику обработки правил.
Далее мы будем рассматривать использование правил, которые включают опцию quick и опцию поддержки состояний keep state. Это общая основа для набора во включающем пакетном фильтре.
Включающий пакетный фильтр разрешает прохождение только тех сервисов, которые соответствуют правилам. Этим способом можно управлять тем, какие сервисы, расположенные позади пакетного фильтра, могут быть доступны в Интернете, а также управлять сервисами, которые располагаются в Интернете и к которым разрешен доступ из локальной сети. Все остальное по умолчанию блокируется и заносится в лог. Включающие пакетные фильтры являются намного более безопасными, чем набор правил исключающего пакетного фильтра, и имеют только один тип набора правил.
