Правила
Несмотря на обилие теоретических рассуждений о применении фильтрации пакетов, главной причиной отказа современных межсетевых экранов остается неправильная настройка конфигурации, в особенности если этим занимаются неопытные администраторы сетей. Конфигурация программного комплекса WinRoute настолько проста при одновременной ее гибкости, что даже новичок в области сетевого администрирования, обладающий минимальными познаниями механизмов TCP/IP, сможет надежно настроить конфигурацию несколькими щелчками мыши, как это показано на приведенной ниже иллюстрации, изображающей экран настройки.
Правила фильтрации могут быть назначены для каждого отдельного интерфейса по нижеперечисленным параметрам:
§ конкретный IP-адрес
§ список IP-адресов на усмотрение администратора
§ сеть или подсеть полностью
Важно также отметить, что фильтрации можно подвергнуть как входящий, так и исходящий трафик.
Программный комплекс позволяет произвести тонкую настройку правил доступа в зависимости от конкретных потребностей практически любой организации по обеспечению сетевой защиты. Так, например, группе Web-разработчиков может быть предоставлен доступ к определенным внешним ресурсам, скажем, к анонимным FTP-серверам, или же можно составить список внутренних адресов, доступных из сетей партнеров для "сбрасывания" на них электронных файлов. Конфигурация входящего/исходящего трафика обеспечивает защиту от злонамеренных атак "изнутри" с помощью, допустим, специализированных серверных программ Back Orifice (BO) или DDOS (distributed denial of service - распределенный отказ в обслуживании), которые, пользуясь ненадежными протоколами, пытаются установить связь со своими внешними "хозяевами"-взломщиками в обход межсетевых экранов.
Правила предельно просты: "Разрешить", "Игнорировать" или "Запретить" тот или иной трафик. Применение действия "Игнорировать" снабжает потенциальных злоумышленников самой минимальной информацией о системе защиты, так как при этом не направляется по межсетевому протоколу управления сообщениями (ICMP) уведомления о запрещении в результате применения администратором фильтра, равно как и ответа типа "сброс/подтверждение" на входящий синхронизированный TCP-пакет (это первый шаг в трехступенчатой процедуре квитирования установки связи по протоколу TCP).
Правила, действующие в отношении входящего и исходящего трафика, могут подразделяться на приоритетные категории в установленном пользователем порядке. Чаще всего такая возможность применяется для того, чтобы добавить к фильтрующим спискам так называемые "правила подстраховки", которые блокируют весь трафик, не разрешенный основными правилами, обладающими приоритетом (пример применения "правил подстраховки" приводится в основных наборах правил фильтрации пакетов, приведенных далее в этом документе).
Протоколы
Пакетные фильтры программного комплекса WinRoute поддерживают перечисленные ниже протоколы:
§ необработанный трафик по IP-протоколу
§ семь видов ICMP-протокола (т.е. все)
§ TCP
§ UDP
§ PPTP.
Способность разрешать или блокировать необработанный трафик по различным видам протокола ICMP или по протоколу IP является бесценной для сетевых администраторов, которые сталкиваются с постоянно растущим количеством разнообразных приложений, каждое из которых предъявляет свои специфические требования. Например, такие относительно новые VPN-протоколы, как IPSec, внедренные в необработанный трафик по IP-протоколам 51 и 52, не поддаются фильтрации с помощью современных межсетевых экранов с более ограниченными возможностями, способных контролировать только протоколы на основе TCP или UDP.
Антиспуфинг
Наряду с вышеперечисленным, программный комплекс WinRoute обладает возможностями антиспуфинга, т.е. блокирования выхода за пределы сети пакетов с неправильным адресом отправителя. Будучи оснащенными средствами антиспуфинга, такие крупнейшие Web-узлы, как Yahoo и Buy.com, не подверглись бы нашумевшим в феврале 2000 года атакам с применением технологии распределенного отказа в обслуживании. Пользователи WinRoute могут быть уверенными в том, что их сети никогда не станут источником таких атак, если у них активизированы упомянутые средства антиспуфинга.