Filtro de paquetes con lista de control de acceso

Question

Filtro de paquetes con lista de control de acceso

#1 de Ron Trunk (0 votos)

0

¿Alguien puede explicar cómo leer y entender las filas 1,2 y 3?

Mi entendimiento para la fila 1 es: si alguno de los paquetes internos desea ir al exterior a través de cualquier puerto de origen al número de puerto de destino 80 mediante el protocolo HTTP. Está permitido.

Fila 2, si algún paquete externo desea ingresar a través del puerto de origen número 80 al número de puerto de destino mayor que 1023 mediante el Protocolo HTTP. Esta permitido

Para la fila 3, no importa, la acción no está permitida.

¿Mi traducción es correcta? Además, ¿es habitual tener acción en la fila 3 en la vida real?

Además, ¿cuál es la importancia del bit ACK en el campo de marca? ¿Es para asegurarse de que el paquete se haya enviado o recibido?

En tercer lugar, wiki dice que ningún estado es una de las ventajas de Packet Filter. ¿Por qué ningún estado es uno de los inconvenientes del filtro de paquetes?

firewalls network access-control packet network-access-control

pregunta Ricky 27.05.2016 - 19:23

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls network access-control packet network-access-control

Estructura de filtro de paquetes de estado ¿Puede un archivo CRL contener múltiples paradas completas en su nombre?

score 0 · Accepted Answer

Básicamente tienes razón.

Además, ¿es habitual tener acción en la fila 3 en la vida real?

Sí, si la intención es solo permitir paquetes a su servidor web, tiene que negar todo lo demás. Muchos tipos de ACL tienen un "rechazo implícito", lo que significa que si el paquete no coincide con ningún ACE, se deniega.

¿Cuál es la importancia del bit ACK en el campo de bandera?

El bit ACK se establece en las conexiones establecidas. La razón para filtrarlo es para evitar conexiones TCP entrantes. Es decir, solo se permiten conexiones iniciadas desde el interior.

¿Por qué ningún estado es uno de los inconvenientes del filtro de paquetes?

Tener información de estado le permite aplicar reglas de protocolo TCP, que protegen mejor sus servidores. La desventaja es que cuando tiene varias rutas, puede tener flujos asimétricos que un dispositivo con estado no maneja muy bien.

Tal vez sea la forma en que se escribieron las reglas para este ejemplo, pero una buena práctica sería especificar la dirección IP en el interior, en lugar de un rango genérico.