NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Вполне возможно, что хост, подключенный к сети, отправляет ARP-ответы системе NetDefendOS<br />
даже если не вызывались соответствующие ARP-запросы. Такие ответы называют<br />
незапрашиваемыми ARP-ответами.<br />
Согласно спецификации ARP, получатель должен принимать эти типы ARP-ответов. Но, поскольку<br />
данная процедура уменьшает безопасность локального соединения, по умолчанию NetDefendOS<br />
регистрирует и отклоняет эти ответы.<br />
Эти установки можно изменить с помощью расширенных настроек Unsolicited ARP Replies.<br />
ARP-запросы<br />
В спецификации ARP предусмотрено обновление ARP-кэша данными из ARP-запросов,<br />
полученными от других хостов. Но, поскольку данная процедура уменьшает безопасность<br />
локального соединения, система NetDefendOS, как правило, не позволяет этого.<br />
Для того чтобы поведение системы соответствовало спецификации RFC 826, администратор может<br />
изменить настройку ARP Requests. Даже если состояние опции – Drop (то есть пакеты отброшены<br />
без сохранения), система NetDefendOS уведомит о получении запроса при соответствии его другим<br />
правилам.<br />
Изменения в ARP-кэше<br />
В системе NetDefendOS предусмотрена опция для управления изменениями ARP-кэша.<br />
Получаемые ARP-запросы или ARP-ответы могут изменить существующую запись в ARP-кэше. При<br />
выполнении данной опции уменьшается безопасность локального соединения. Но отсутствие данной<br />
опции может вызвать проблемы в случае, например, при замене сетевого адаптера, поскольку<br />
система NetDefendOS не будет принимать новый адрес, до тех пор, пока не истечет время<br />
предыдущей записи.<br />
Расширенная настройка Static ARP Changes может изменить данный режим работы. По умолчанию<br />
система NetDefendOS позволяет изменениям вступать в силу и регистрирует их.<br />
Похожая проблема возникает при появлении конфликта между статическими записями в ARP-кэше<br />
и информацией в ARP-запросах или ARP-ответах. Таких ситуаций не должно быть и изменение<br />
настройки Static ARP Changes позволяют администратору определить, следует ли регистрировать<br />
такие ситуации.<br />
Отправитель с IP-адресом 0.0.0.0<br />
Систему NetDefendOS можно настроить для обработки ARP-запросов, полученных с IP-адреса<br />
0.0.0.0. Отправитель с таким IP-адресом никогда не получит ответа, но сетевые устройства иногда<br />
задают ARP-вопрос отправителю с «не определенным» ("unspecified") IP-адресом. Как правило,<br />
такие ARP-ответы отклоняются и регистрируются, но поведение системы изменить с помощью<br />
опции ARP Query No Sender.<br />
Соответствие Ethernet-адресов<br />
По умолчанию система NetDefendOS будет требовать, чтобы адрес отправителя на Ethernet-уровне<br />
соответствовал Ethernet-адресу, сообщаемому в ARP-данных. Если это условие не выполняется,<br />
ответ будет отклонен и зарегистрирован в журнале. Поведение системы можно изменить с помощью<br />
опции ARP Match Ethernet Sender.<br />
3.4.5. Краткое описание расширенных настроек<br />
В ARP доступны следующие расширенные настройки:<br />
112