Filtro pacchetti con elenco controllo accessi

0

link

Qualcuno può spiegare come leggere e capire le righe 1,2 e 3?

La mia comprensione per la riga 1 è: Se alcuni pacchetti interni vogliono andare all'esterno tramite qualsiasi porta di origine verso la porta di destinazione numero 80 usando il protocollo HTTP. È consentito.

Riga 2, se qualsiasi pacchetto esterno desidera entrare tramite il numero di porta di origine 80 al numero di porta di destinazione maggiore di 1023 utilizzando Protocollo HTTP. È consentito

Per la riga 3, non importa, l'azione non è consentita.

La mia traduzione è corretta? Inoltre, è normale avere azioni nella riga 3 nella vita reale?

Inoltre, qual è l'importanza del bit ACK nel campo flag? È per assicurarsi che il pacchetto sia spedito o ricevuto?

In terzo luogo, wiki dice che nessuno stato è uno dei vantaggi di Packet Filter. Perché nessuno stato è uno degli svantaggi di Packet Filter?

    
posta Ricky 27.05.2016 - 19:23
fonte

1 risposta

0

Sei sostanzialmente corretto.

Also, is it usual to have action in row 3 in real life?

Sì, se l'intento è di consentire solo pacchetti al tuo server web, devi negare tutto il resto. Molti tipi di ACL hanno un "rifiuto implicito", il che significa che se il pacchetto non corrisponde a nessun ACE, viene negato.

what is the importance of the ACK bit in the flag field?

Il bit ACK è impostato su connessioni stabilite. La ragione per filtrare su di esso è impedire le connessioni TCP in entrata. Cioè, solo le connessioni avviate dall'interno sono consentite.

Why is no state being one of the drawbacks of Packet Filter?

Avere informazioni di stato consente di applicare le regole del protocollo TCP, che protegge meglio i server. Lo svantaggio è quando si hanno più percorsi, si possono avere flussi asimmetrici che un dispositivo stateful non gestisce molto bene.

Forse è proprio il modo in cui sono state scritte le regole per questo esempio, ma una buona pratica sarebbe quella di specificare l'indirizzo IP all'interno invece di un intervallo generico.

    
risposta data 27.05.2016 - 19:49
fonte