Compartilhar via

Pontos de inspeção de pacotes

  • Artigo

Pacotes de entrada

Os pacotes de entrada destinados a um endereço atribuído ao computador receptor (tráfego de host local) atravessam camadas WFP na seguinte ordem:

Pacote IP (Camada de Rede)
Todos os pacotes IP, incluindo fragmentos de pacotes IP, estão disponíveis para inspeção nesta camada. No entanto, quando os pacotes são protegidos por IPsec, a inspeção ou modificação de conteúdo profundo não pode ser executada nessa camada porque os pacotes ainda não estão autenticados ou descriptografados.

Camada de Transporte
Todos os pacotes autônomos ou totalmente remontados estão disponíveis para inspeção nesta camada. Os pacotes protegidos por IPsec foram autenticados ou descriptografados.

ALE (aplicação da camada de aplicativo) recebe ou aceita
O primeiro pacote que chega a um ponto de extremidade local é indicado nessa camada. Por exemplo, um segmento de SYN (sincronização TCP) ou a primeira mensagem UDP associada a um fluxo UDP seria indicada. Os pacotes necessários para autorizar novamente uma conexão, por exemplo, após uma alteração de política de firewall, também são indicados nessa camada e o sinalizador de reautorização do ALE será definido.

Datagram Data or Stream
Mensagens UDP e mensagens de erro não ICMP são indicadas na camada de dados do datagram. Essa camada permite inspecionar dados de rede por datagrama. Na camada de datagrama, os dados de rede são bidirecionais. Os fluxos de dados TCP (somente fluxos de dados) estão disponíveis para inspeção na camada de fluxo.

Pacotes de saída

Os pacotes de saída originados de um endereço atribuído ao computador de envio (tráfego de origem do host local) atravessam as seguintes camadas WFP:

ALE Connect
As solicitações de conexão TCP (feitas antes da geração do segmento SYN) e a primeira mensagem UDP enviada a um ponto de extremidade remoto são indicadas nessa camada.

Datagram Data or Stream

Mensagens UDP e mensagens de erro não ICMP são indicadas na camada de dados do datagram. Essa camada permite inspecionar dados de rede por datagrama. Na camada de datagrama, os dados de rede são bidirecionais. Os fluxos de dados TCP (somente fluxos de dados) estão disponíveis para inspeção na camada de fluxo.

Erro de transporte e ICMP
A camada de filtragem de transporte está localizada no caminho de envio logo após um pacote enviado ter sido passado para a camada de rede para processamento, mas antes que qualquer processamento de camada de rede ocorra. Essa camada de filtragem está localizada na parte superior da camada de rede em vez de na parte inferior da camada de transporte para que todos os pacotes enviados por transportes de terceiros ou como pacotes brutos sejam filtrados nessa camada.

A camada de filtragem de erro ICMP está localizada no caminho de envio para inspecionar mensagens de erro ICMP recebidas para o protocolo de transporte.

Pacote IP
Fragmentos de pacote IP não são indicados; A inspeção de fragmentos de IP de saída está indisponível no momento.

Pacotes IP ou fragmentos que não se originam ou não são destinados a um endereço atribuído ao computador local estão disponíveis para inspeção na camada de encaminhamento. Por exemplo, se um pacote destinado a um cliente local for modificado para ter um endereço de destino não local e, em seguida, for injetado no caminho de recebimento, ele será injetado na camada de encaminhamento. Da mesma forma, se um pacote originado de um endereço de origem local for modificado para ter um endereço de origem não local, ele será entregue à camada de encaminhamento depois de ser injetado no caminho de envio.