Zyxel Prestige P-660RT3 EE — руководство по настройке брандмауэра для защиты сети [105/218]

Превью страниц Страница 105 / 218

Руководство пользователя P660RT3/RU3

105

ГЛАВА 12

Брандмауэр

12.1 Обзор

В этой главе рассказывается, как включить брандмауэр устройства P660. Используйте

брандмауэр для защиты вашего устройства P660 и сети от атак хакеров в Интернете и

для управления доступом к устройству. По умолчанию, брандмауэр обладает

следующими свойствами:

• обеспечивает трафик из компьютеров сети LAN во все остальные сети;

• блокирует попадание в локальную сеть LAN трафика, порождаемого в др

угих сетях;

• блокирует атаки SYN и Port Scanner.

По умолчанию устройство P660 блокирует атаки DDOS, LAND и Ping of Death

независимо от того, включен или отключен брандмауэр.

12.1.1 Что можно сделать на экране брандмауэра

Используйте экран Firewall (Разд. 12.2 на с.106) для подключения брандмауэра и/или

SPI на устройстве P660.

12.1.2 Что нужно знать о брандмауэре

SYN атака

SYN-атака приводит к заполнению целевой системы сериями пакетов с символами

синхронизации (SYN). Каждый пакет вынуждает целевую систему давать ответ

SYN-ACK. Пока атакуемая система ожидает ACK, которое следует за SYN-ACK, она

отслеживает все ожидающие выполнения ответы SYN-ACK, известные как очередь

журнала запросов. Ответы SYN-ACK выводятся из очереди только при возвращении

ACK или после того, как внутренний таймер за

вершает трехстороннее квитирование.

Когда очередь переполнена, система игнорирует все входящие запросы SYN, делая

систему недоступной для легальных пользователей.

DoS

Атаки типа «Отказ в обслуживании» (DoS) нацелены на устройства и сети,

подключенные к Интернету. Их цель не украсть информацию, а отключить устройство

или сеть с тем, чтобы пользователи не могли больше иметь доступ к се

тевым ресурсам.

Ус т р о й с т в о ZyXEL изначально сконфигурирован для автоматического обнаружения и

предотвращения всех известных атак DoS.