NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Разделе 3.2. “Сервисы”.<br />
Наборы правил политики безопасности системы NetDefendOS<br />
Основные наборы правил системы NetDefendOS, которые определяют политики безопасности<br />
NetDefendOS и используют параметры фильтрации, описанные выше (сети/интерфейсы/сервис)<br />
включают в себя:<br />
• IP-правила<br />
Определяют, какой трафик может проходить через межсетевой экран NetDefend, а также<br />
определяет, требуется ли трафику преобразование адреса. IP-правила описаны ниже.<br />
• Pipe-правила<br />
Определяют, какой трафик активирует формирование трафика, более подробная информация<br />
приведена в Разделе 10.1, “Формирование трафика”.<br />
• Правила маршрутизации на основе правил<br />
Определяют таблицы маршрутизации, используемой для трафика. Более подробная информация<br />
приведена в Разделе 4.3, “Маршрутизация на основе правил (Policy-based Routing)”.<br />
• Правила аутентификации<br />
Определяют, какой трафик активизирует аутентификацию (сеть источника/только интерфейс),<br />
более подробная информация приведена в Главе 8, «Пользовательская аутентификация».<br />
IP-правила и заданный по умолчанию набор IP-правил main<br />
Наборы IP-правил – наиболее важная часть среди наборов правил политик безопасности. Они<br />
определяют функции фильтрации пакетов системы NetDefendOS, решающие что пропускать или не<br />
пропускать через межсетевой экран NetDefend и, если это необходимо, преобразовывать адреса<br />
подобно функции NAT. По умолчанию в системе NetDefendOS всегда существует один набор IPправил,<br />
который называется main.<br />
Существуют два возможных способа передачи трафика через межсетевой экран NetDefend:<br />
• Отклоняется весь трафик, кроме разрешенного.<br />
• Или пропускается весь трафик, кроме запрещенного.<br />
Для обеспечения лучшей безопасности в системе NetDefendOS применяется первый метод. Это<br />
означает, что при первой установке и запуске в системе NetDefendOS не определены IP-правила в<br />
наборе IP-правил main и весь трафик отклоняется. Для прохождения любого трафика через<br />
межсетевой экран NetDefend (включая разрешение NetDefendOS реагировать на запросы ICMP Ping)<br />
администратором должны быть определены некоторые IP-правила.<br />
Каждое IP-правило, которое добавляется администратором, будет определяться следующими<br />
критериями фильтрации:<br />
• От какого интерфейса, к какому будет передаваться трафик.<br />
• От какой сети, к какой будет передаваться трафик.<br />
• Какой задействован вид протокола (сервиса).<br />
• Какое действие правила будет выбрано, когда найденное соответствие инициирует<br />
фильтр.<br />
Определение интерфейса Any или сети<br />
116