Поток снаружи внутрь
Когда пакет, приходящий из внешней сети во внутреннюю, достигает межсетевого экрана, он проходит через его модули в следующем порядке: модуль сборки, криптографический модуль, транслятор сетевых адресов и пакетный фильтр.
Этот модуль отвечает за хранение всех фрагментов полученных IP пакетов до их сборки в полный пакет. Затем эти пакеты будут переданы в другие модули.
Этот модуль удаляет добавленные заголовки пакета и проверяет его аутентификационную подпись и расшифровывает его. Если в аутентификации или расшифровке были выявлены ошибки, пакет будет отброшен.
Другой функцией этого модуля является следующая процедура: он должен убедиться, что все пакеты, прибывающие от сети, связанной с межсетевым экраном защищенным каналом, приходят зашифрованными. В случае, когда пакет приходит от сети, с которой установлен защищенный канал с аутентификацией и шифрованием, и в нем не проведена аутентификация или шифрование, такой пакет будет оброшен.
Если все действия прошли успешно, пакет передается транслятору сетевых адресов.
Транслятор сетевых адресов получает пакет и проверяет, не является ли адрес назначения этого пакета одним из виртуальных IP адресов. При положительном ответе этот адрес транслируется в реальный адрес.
Наконец, пакет попадает в пакетный фильтр.
Пакетный фильтр - это последний модуль на пути движения пакета с внешней стороны во внутреннюю. Основная функция этого модуля состоит в проверке правильности полученных пакетов в соответствии с правилами, определенными администратором и своей таблицей состояний, а также в решении вопроса, следует ли санкционировать пакеты в трафик, проходящий через межсетевой экран. Если пакету разрешается пройти, межсетевой экран отправляет его в хост назначения, в противном же случае он сбрасывается.
