Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Pacchetti in ingresso
I pacchetti in ingresso destinati a un indirizzo assegnato al computer ricevente (traffico host locale) attraversano i livelli WFP nell'ordine seguente:
pacchetto IP (livello di rete)
Tutti i pacchetti IP, inclusi i frammenti di pacchetti IP, sono disponibili per l'ispezione a questo livello. Tuttavia, quando i pacchetti sono protetti da IPsec, non è possibile eseguire l'ispezione approfondita o la modifica del contenuto a questo livello perché i pacchetti non sono ancora autenticati o decrittografati.
Livello di Trasporto
Tutti i pacchetti autonomi o completamente riassemblati sono disponibili per l'ispezione a questo livello. I pacchetti protetti da IPsec sono stati autenticati o decrittografati.
Ricezione o Accettazione Applicazione, Layer di Applicazione (ALE)
Il primo pacchetto che arriva a un endpoint locale è indicato a questo livello. Ad esempio, viene indicato un segmento di sincronizzazione TCP (SYN) in arrivo o il primo messaggio UDP associato a un flusso UDP. I pacchetti necessari per autorizzare nuovamente una connessione, ad esempio dopo una modifica dei criteri del firewall, sono indicati anche a questo livello e il flag di riautorizzazione ALE verrà impostato.
Dati del datagramma o del flusso
I messaggi UDP e i messaggi di errore non ICMP sono indicati a livello di dati del datagramma. Questo livello consente di controllare i dati di rete per ogni datagramma. A livello di datagramma, i dati di rete sono bidirezionali. I flussi di dati TCP (solo flussi di dati) sono disponibili per l'ispezione a livello di flusso.
Pacchetti in uscita
I pacchetti in uscita che provengono da un indirizzo assegnato al computer di invio (traffico di origine host locale) attraversano i livelli WFP seguenti:
ALE Connect
Le richieste di connessione TCP (effettuate prima della generazione del segmento SYN) e il primo messaggio UDP inviato a un endpoint remoto sono indicati a questo livello.
Dati del datagramma o del flusso
I messaggi UDP e i messaggi di errore non ICMP sono indicati a livello di dati del datagramma. Questo livello consente di controllare i dati di rete per ogni datagramma. A livello di datagramma, i dati di rete sono bidirezionali. I flussi di dati TCP (solo flussi di dati) sono disponibili per l'ispezione a livello di flusso.
trasporto e errore ICMP
Il livello di filtro del trasporto si trova nel percorso di invio subito dopo che un pacchetto inviato è stato passato al livello di rete per l'elaborazione, ma prima che venga eseguita qualsiasi elaborazione del livello di rete. Questo livello di filtro si trova all'inizio del livello di rete anziché nella parte inferiore del livello di trasporto in modo che tutti i pacchetti inviati da trasporti di terze parti o come pacchetti non elaborati vengano filtrati a questo livello.
Il livello di filtro degli errori ICMP si trova nel percorso di invio per controllare i messaggi di errore ICMP ricevuti per il protocollo di trasporto.
pacchetto IP
I frammenti di pacchetti IP non sono indicati; l'ispezione dei frammenti IP in uscita non è attualmente disponibile.
Pacchetti IP o frammenti che non hanno origine da, o non sono destinati a, un indirizzo assegnato al computer locale sono disponibili per l'ispezione a livello di inoltro. Ad esempio, se un pacchetto destinato a un client locale viene modificato in modo da avere un indirizzo di destinazione non locale e quindi viene inserito nel percorso di ricezione, verrà inserito nel livello di inoltro. Analogamente, se un pacchetto che ha origine da un indirizzo di origine locale viene modificato in modo da avere un indirizzo di origine non locale, verrà recapitato al livello di inoltro dopo l'inserimento nel percorso di invio.