Puntos de inspección de paquetes
Paquetes entrantes
Los paquetes entrantes destinados a una dirección asignada al equipo receptor (tráfico host local) atraviesan las capas del PMA en el orden siguiente:
Paquete IP (capa de red)
Todos los paquetes IP, incluidos los fragmentos de paquetes IP, están disponibles para su inspección en esta capa. Sin embargo, cuando los paquetes están protegidos por IPsec, no se pueden realizar modificaciones o inspección de contenido profundo en esta capa porque los paquetes aún no están autenticados ni descifrados.
Capa de transporte
Todos los paquetes independientes o totalmente reensamblados están disponibles para su inspección en esta capa. Los paquetes protegidos por IPsec se han autenticado o descifrado.
Recepción o aceptación del cumplimiento de la capa de aplicación (ALE)
El primer paquete que llega a un punto de conexión local se indica en esta capa. Por ejemplo, se indicaría un segmento de sincronización TCP (SYN) que llega o el primer mensaje UDP asociado a un flujo UDP. Los paquetes necesarios para volver a autorizar una conexión, por ejemplo, después de un cambio de directiva de firewall, también se indican en esta capa y se establecerá la marca de reauthorización de ALE.
Datagram Data or Stream
Los mensajes UDP y los mensajes de error que no son ICMP se indican en la capa de datos del datagrama. Esta capa permite inspeccionar los datos de red por cada datagrama. En la capa de datagramas, los datos de red son bidireccionales. Los flujos de datos TCP (solo flujos de datos) están disponibles para su inspección en la capa de flujo.
Paquetes salientes
Los paquetes salientes que se originan en una dirección asignada al equipo remitente (tráfico de origen de host local) atraviesan las siguientes capas de PMA:
Conexión de ALE
Las solicitudes de conexión TCP (realizadas antes de generar el segmento SYN) y el primer mensaje UDP que se envía a un punto de conexión remoto se indican en esta capa.
Los mensajes UDP y los mensajes de error que no son ICMP se indican en la capa de datos del datagrama. Esta capa permite inspeccionar los datos de red por cada datagrama. En la capa de datagramas, los datos de red son bidireccionales. Los flujos de datos TCP (solo flujos de datos) están disponibles para su inspección en la capa de flujo.
Error de transporte e ICMP
La capa de filtrado de transporte se encuentra en la ruta de acceso de envío justo después de pasar un paquete enviado a la capa de red para su procesamiento, pero antes de que se produzca cualquier procesamiento de capas de red. Esta capa de filtrado se encuentra en la parte superior de la capa de red en lugar de en la parte inferior de la capa de transporte para que los paquetes enviados por transportes de terceros o como paquetes sin procesar se filtren en esta capa.
La capa de filtrado de errores ICMP se encuentra en la ruta de acceso de envío para inspeccionar los mensajes de error ICMP recibidos para el protocolo de transporte.
Paquete IP
No se indican fragmentos de paquetes IP; la inspección de fragmentos ip salientes no está disponible actualmente.
Los paquetes IP o fragmentos que no se originan o no están destinados a, una dirección asignada al equipo local está disponible para su inspección en la capa de reenvío. Por ejemplo, si un paquete destinado a un cliente local se modifica para tener una dirección de destino no local y, a continuación, se inserta en la ruta de acceso de recepción, se insertará en la capa de reenvío. Del mismo modo, si un paquete que se origina en una dirección de origen local se modifica para tener una dirección de origen no local, se entregará a la capa de reenvío después de insertarla en la ruta de acceso de envío.