Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Понимание того, как оцениваться фильтры межсетевых экранов

Фильтр межсетевых экранов состоит из одного или нескольких терминов, и очень важен порядок терминов в пределах фильтра. Прежде чем настраивать фильтры межсетевых экранов, необходимо понять, как коммутаторы оценивают термины фильтра и как пакеты оцениваются по его условиям.

Если фильтр межсетевых экранов состоит из одного термина, фильтр оценивается следующим образом:

  • Если пакет соответствует всем условиям, то в этом then утверждениях принимаются меры.

  • Если пакет соответствует всем условиям и в этом документе не заданы действия, по thenaccept умолчанию принимаются меры.

  • Если пакет не соответствует всем условиям, коммутатор его сбрасывает.

Когда фильтр межсетевых экранов состоит из нескольких терминов, фильтр оценивается последовательно:

  1. Пакет оценивается в оценках условий from в утверждениях в первом термине.

  2. Если пакет соответствует всем условиям в этом термине, то в этом выражении принимаются меры и then анализ завершается. Последующие термины фильтра не оцениваться.

  3. Если пакет не соответствует всем условиям в термине, то он оценивается в соответствие с условиями, заявлными from во втором термине.

    Этот процесс продолжается до тех пор, пока пакет не соотносят с условиями в одном из последующих терминов или не будет больше терминов from фильтра.

  4. Если пакет проходит через все термины фильтра без совпадения, коммутатор отбрасывается.

Прим.:

Порядок условий в утверждениях не является важным, поскольку пакет должен соответствовать всем условиям, которые from должны считаться совпадать.

Рис. 1 показывает, как коммутаторы оценивают термины в пределах фильтра межсетевых экранов.

Рис. 1: Оценка терминов в пределах фильтра межсетевых экрановОценка терминов в пределах фильтра межсетевых экранов

Если не включить утверждение в термин, все пакеты будут соответствовать термину и from будут обработаны этим then утверждением. Если термин не содержит утверждения или действие не было настроено в этом выражении, он принимает любые thenthen совпадающие пакеты.

Каждый фильтр межсетевых экранов содержит неявное утверждение в конце фильтра, эквивалентное следующему явному deny термину фильтра:

В результате пакет, не соответствующий ни одним из условий фильтра межсетевых экранов, отбрасывается. При настройке фильтра, который не имеет терминов, все пакеты, которые проходят через фильтр, отбрасываются.

Прим.:

Фильтрация межсетевых экранов поддерживается в пакетах длиной не менее 64байт.

Связанные темы