Механизмы работы отдельных подсистем «ФПСУ-IP» > Подсистема фильтрации пакетов и правила фильтрации > Механизм работы подсистемы фильтрации пакетов
Previous 

Фильтрация IP-пакетов

 Next

Подсистема фильтрации «ФПСУ-IP» производит обработку поступающих на один из его интерфейсов IP-пакетов следующим образом:

1. При поступлении IP-пакета осуществляется проверка корректности его IP-заголовка (допустимого формата адресов, правильности контрольной суммы, допустимых опций и т.д.) и соответствия его стандартам IP-протокола. Если пакет некорректен - он сбрасывается, в противном случае подсистема фильтрации анализирует его поля.

2. Проверяется IP-адрес назначения. Если он является одним из собственных IP-адресов «ФПСУ-IP», подсистема фильтрации проверит, соответствует ли данный пакет формату протокола удалённого администрирования. В случае положительного результата будет запущена процедура аутентификации удалённого администратора, при успешном завершении которой подсистема фильтрации прекращает обработку пакета и передаёт запрос соответствующим подсистемам комплекса для выработки ответа (который затем будет обработан и поставлен в очередь на передачу в соответствии с пунктом 11). При неполадках аутентификации пакет будет сброшен.

3. Если формат IP-пакета не соответствует протоколу удалённого администрирования, проверяется наличие IP-адреса отправителя пакета в таблице разрешённых адресов, описанных со стороны данного порта. Если он не найден - пакет будет сброшен с посылкой ICMP-сообщения «Destination Unreachable» с кодом 13 (если администратор не установил иначе).

4. Если IP-адрес отправителя в таблице обнаружен и описан в конфигурации «ФПСУ-IP» со стороны данного порта как маршрутизатор, проверяется, какому протоколу принадлежит обрабатываемый IP-пакет. В случае, если протокол входит в список разрешённых протоколов маршрутного обмена для данного маршрутизатора, производится проверка корректности формата всего IP-пакета и наличия описания такого протокола маршрутизации на противоположном порту «ФПСУ-IP». При отрицательных результатах проверки пакет сбрасывается, в противном случае - передаётся на другой порт комплекса в очередь на передачу. Если же обнаруженный подсистемой протокол не относится к разрешённым для данного маршрутизатора протоколам маршрутизации, обработка пакета продолжится в соответствии с пунктом 6 и далее.

5. Если IP-адрес отправителя пакета содержится в конфигурационной таблице принимающего порта и описан в ней как другой «ФПСУ-IP», то производится проверка аутентификации на данный пакет. При отрицательных результатах аутентификации пакет сбрасывается, а в случае успеха восстанавливается исходная (инкапсулированная в VPN-туннель) дейтаграмма с IP-адресами отправителя и получателя и используемыми при передаче прикладными сервисами. Далее обработка дейтаграммы производится в соответствии с пунктами 2 и 3, то есть сначала определяется, не работает ли через данный VPN-туннель удалённый администратор (в случае чего будет запущена процедура аутентификации последнего), а затем проверяется, описан ли адрес отправителя детуннелированной дейтаграммы со стороны данного порта как адрес абонента, работающего через данный удалённый «ФПСУ-IP» (если нет - пакет сбрасывается, если содержится - обработка продолжается).

6. Далее проверяется IP-адрес получателя. Если он является собственным адресом «ФПСУ-IP», производится проверка, является ли пакет ICMP-запросом (Ping) и разрешён ли запрос от IP-адреса получателя. При отрицательных результатах проверки пакет сбрасывается; в случае успеха обработка пакета прекращается, а на запрос вырабатывается ответ, который обрабатывается в соответствии с пунктом 11).

7. Если получателем принятого IP-пакета (или детуннелированной дейтаграммы, если пакет пришёл через удалённый комплекс) является не сам обрабатывающий «ФПСУ-IP», выполняется поиск адреса получателя в таблицах разрешённых абонентов; если адрес получателя неизвестен, пакет будет сброшен с посылкой ICMP-сообщения «Destination Unreachable» с кодом 13 (если администратор не установил иначе). В противном случае ищется аппаратный адрес данного абонента в ARP-кэше. В случае отсутствия вступит в силу процедура определения MAC‑адреса, а принятая дейтаграмма сбрасывается и отправителю посылается ICMP-сообщение «Destination Unreachable» с кодом 0.

8. Если получателем пакета является пограничный маршрутизатор, подсистема фильтрации проверит установки конфигурационной таблицы, какой протокол инкапсулирован в IP-пакет и разрешено ли отправителю пакета обращение к данному транзитному маршрутизатору. Если нет, пакет будет сброшен, если результаты проверки положительны - обработка пакета прекращается и пакет будет поставлен в выходную очередь порта приёма.

9. Если пакет был получен от абонента, работающего через удалённый «ФПСУ-IP», и направлен другому (прописанному и разрешенному к работе) абоненту, работающему через следующий удалённый «ФПСУ-IP», то после шифрования пакета с использованием заранее согласованных ключей парно-выборочной связи, он будет поставлен в выходную очередь на передачу. В противном случае процедура фильтрации продолжится.

10. Если на «ФПСУ-IP» задействован межсетевой экран, пакет проверяется на соответствие правилам межсетевого экрана. Фильтрация пакета будет производиться по установленной для данного соединения совокупности правил фильтрации. Каждое соединение между каждой парой абонентов хранится в таблице соединений «ФПСУ-IP» и каждый пакет проверятся на соответствие состоянию, указанному в этой таблице. Каждый пакет абонента проверяется на соответствие описаниям правил межсетевого экрана, под которые он подпадает. Если пакет абонента не соответствует состоянию соединения или правилам межсетевого экрана - пакет будет сброшен, как не прошедший фильтрацию с посылкой ICMP-сообщения «Destination Unreachable» с кодом 13 (если администратор не установил иначе).

11. Далее подсистема фильтрации определяет, какой режим работы указан в конфигурационной таблице соответствующего порта для получателя IP-пакета. Если получателем пакета является абонент, работающий в режиме ретрансляции - пакет ставится в выходную очередь того порта, со стороны которого работает получатель. Если получатель должен работать через другой «ФПСУ-IP» - перед установкой в выходную очередь данные шифруются с использованием заранее согласованных ключей парно-выборочной связи. При этом, если установками конфигурации предусмотрено, что обрабатывающий «ФПСУ-IP» должен поддерживать разделение потоков, подсистема фильтрации поместит в заголовок туннелированного пакета необходимые признаки.