NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
возвращается сообщение TCP RST или ICMP Unreachable, информирующее компьютер отправителя о том, что его пакет был отклонен. Данное правило является более “мягкой” формой IP-правила Drop. Правило Reject полезно применять в приложениях, где исходящий трафик отклоняется только после наступления тайм-аута, если пришло уведомление об отказе, то трафик отклоняется, не дожидаясь тайм-аута. Двунаправленные соединения (Bi-directional Connections) Распространенной ошибкой при настройке IP-правил является создание двух правил, для определения прохождения трафика в одном и другом направлениях. Фактически почти все типы IPправил поддерживают двунаправленный поток трафика при установке соединения. Сеть источника и интерфейс источника в правилах – это источник первоначальных запросов при создании соединения. Если соединение разрешено и установлено, то трафик может проходить в обоих направлениях. Не поддерживает двунаправленный поток правило FwdFast. При использовании этого правила трафик не пройдет в обратном направлении. Если необходим двунаправленный поток, то требуется создать два правила FwdFast для каждого направления. Так же следует поступить в случае использования правила FwdFast совместно с правилом SAT. Использование правила Reject В некоторых случаях вместо правила Drop рекомендуется использовать правило Reject, так как требуется уведомление об отклонении пакета. Примером такой ситуации может служить ответ на запрос IDENT протокола идентификации пользователя. Некоторые приложения ждут наступления тайм-аута при использовании правила Drop, в случае использования правила Reject можно избежать таких задержек при обработке. 3.5.4. Редактирование записей набора IP-правил После добавления различных правил в набор правил их можно отредактировать в Web-интерфейсе, щелкнув правой кнопкой мыши по этой строке. Появится контекстное меню со следующими параметрами: Edit Delete Disable/Enable Move options Позволяет изменить содержание правила. Позволяет безвозвратно удалить правило из набора правил. Позволяет отключить правило, не удаляя его из набора правил. Пока правило отключено, оно не влияет на прохождение трафика и выделяется серым цветом в пользовательском интерфейсе. Правило можно активировать в любое время. Последний пункт контекстного меню позволяет перемещать правила на различные позиции в наборе IP-правил, следовательно, изменяя его 120
приоритет. 3.5.5. Папки наборов IP-правил Для упорядочивания и сортировки большого числа записей в наборах IP-правил существует возможность создания папок IP-правил. Такая структура напоминает папки в файловой системе компьютера. При создании папке задается имя, и она может использоваться для хранения всех IPправил, принадлежащих одной группе. Использование папок упрощает работу администратора, делая более удобным распределение данных по адресной книге и нет необходимости указывать специальные свойства, принадлежащие записям, в разных папках. NetDefendOS доступны все записи, как будто они находятся в одном наборе IPправил. NetDefendOS использует концепцию папки в адресной книге, где связанные между собой объекты IPадреса группируются вместе в созданную администратором папку. Пример 3.16. Добавление IP-правила Allow В этом примере рассматривается создание простого правила Allow, разрешающего открытие HTTP-соединения через lannet-сеть на lan-интерфейсе к любой сети (all-nets) на wan-интерфейсе. CLI Во-первых, нужно изменить текущую категорию на набор IP-правил main: gw-world:/> cc IPRuleSet main Теперь создать IP-правило: gw-world:/main> add IPRule Action=Allow Service=http SourceInterface=lan SourceNetwork=lannet DestinationInterface=wan DestinationNetwork=all-nets Name=lan_http Вернуться на исходный уровень: gw-world:/main> cc Изменения конфигурации должны быть сохранены при помощи активации следующей команды commit. Web-интерфейс 1. Перейти к Rules > IP Rules > Add > IPRule 2. Указать подходящее имя для правила, например LAN_HTTP 3. Ввести: • Name: Подходящее имя для правила. Например, lan_http • Action: Allow • Service: http • Source Interface: lan • Source Network: lannet • Destination Interface: wan • Destination Network: all-nets 121
- Page 69 and 70: gw-world:/> pcapdump -size 1024 -st
- Page 71 and 72: • Имя файла (без ра
- Page 73 and 74: Примечание: Резерв
- Page 75 and 76: Глава 3.Основные пр
- Page 77 and 78: 2. Указать подходящ
- Page 79 and 80: 3.1.5. Автоматически
- Page 81 and 82: "" Web-интерфейс 1. Пер
- Page 83 and 84: Другие свойства се
- Page 85 and 86: интегрированный с I
- Page 87 and 88: 3.2.5. Service Groups (Сервис
- Page 89 and 90: • Туннельные интер
- Page 91 and 92: Процесс запуска бу
- Page 93 and 94: i. Обозначить интер
- Page 95 and 96: Здесь клавиша Tab ис
- Page 97 and 98: • Для одного физич
- Page 99 and 100: Пример 3.10. Определе
- Page 101 and 102: провайдер не назна
- Page 103 and 104: • Remote Endpoint (Удаленн
- Page 105 and 106: (Name ) (Action) источника
- Page 107 and 108: Хост в Ethernet-сети мо
- Page 109 and 110: Mode Тип ARP-объекта. М
- Page 111 and 112: Рисунок 3.2. ARP-ответ
- Page 113 and 114: ARP Match Ethernet Sender Опре
- Page 115 and 116: По умолчанию: 64 ARP IP
- Page 117 and 118: При определении кр
- Page 119: Исключения составл
- Page 123 and 124: Примечание На рису
- Page 125 and 126: В некоторых случая
- Page 127 and 128: Возвращаемся на ис
- Page 129 and 130: определения действ
- Page 131 and 132: 3.7.3. Запросы CA серти
- Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH
- Page 135 and 136: Для работы с URL-прот
- Page 137 and 138: Следует помнить, чт
- Page 139 and 140: Пример 3.28. Настройк
- Page 141 and 142: Глава 4. Маршрутиза
- Page 143 and 144: Рисунок 4.1 Сценарий
- Page 145 and 146: Рисунок 4.2. Примене
- Page 147 and 148: Преимущества опред
- Page 149 and 150: given default gateway (автома
- Page 151 and 152: Мониторинг автомат
- Page 153 and 154: опрашивать один ил
- Page 155 and 156: 4.2.5. Расширенные на
- Page 157 and 158: Рисунок 4.4. Пример Pr
- Page 159 and 160: был хотя бы маршрут
- Page 161 and 162: • Каждый ISP предост
- Page 163 and 164: 2. Если найден тольк
- Page 165 and 166: маршрут не изменяе
- Page 167 and 168: gw-world:/> add RouteBalancingInsta
- Page 169 and 170: подсетей, OSPF может
возвращается сообщение TCP RST или ICMP Unreachable, информирующее<br />
компьютер отправителя о том, что его пакет был отклонен. Данное правило<br />
является более “мягкой” формой IP-правила Drop.<br />
Правило Reject полезно применять в приложениях, где исходящий трафик<br />
отклоняется только после наступления тайм-аута, если пришло уведомление<br />
об отказе, то трафик отклоняется, не дожидаясь тайм-аута.<br />
Двунаправленные соединения (Bi-directional Connections)<br />
Распространенной ошибкой при настройке IP-правил является создание двух правил, для<br />
определения прохождения трафика в одном и другом направлениях. Фактически почти все типы IPправил<br />
поддерживают двунаправленный поток трафика при установке соединения. Сеть источника<br />
и интерфейс источника в правилах – это источник первоначальных запросов при создании<br />
соединения. Если соединение разрешено и установлено, то трафик может проходить в обоих<br />
направлениях.<br />
Не поддерживает двунаправленный поток правило FwdFast. При использовании этого правила<br />
трафик не пройдет в обратном направлении. Если необходим двунаправленный поток, то требуется<br />
создать два правила FwdFast для каждого направления. Так же следует поступить в случае<br />
использования правила FwdFast совместно с правилом SAT.<br />
Использование правила Reject<br />
В некоторых случаях вместо правила Drop рекомендуется использовать правило Reject, так как<br />
требуется уведомление об отклонении пакета. Примером такой ситуации может служить ответ на<br />
запрос IDENT протокола идентификации пользователя. Некоторые приложения ждут наступления<br />
тайм-аута при использовании правила Drop, в случае использования правила Reject можно избежать<br />
таких задержек при обработке.<br />
3.5.4. Редактирование записей набора IP-правил<br />
После добавления различных правил в набор правил их можно отредактировать в Web-интерфейсе,<br />
щелкнув правой кнопкой мыши по этой строке.<br />
Появится контекстное меню со следующими параметрами:<br />
Edit<br />
Delete<br />
Disable/Enable<br />
Move options<br />
Позволяет изменить содержание правила.<br />
Позволяет безвозвратно удалить правило из набора<br />
правил.<br />
Позволяет отключить правило, не удаляя его из<br />
набора правил. Пока правило отключено, оно не<br />
влияет на прохождение трафика и выделяется<br />
серым цветом в пользовательском интерфейсе.<br />
Правило можно активировать в любое время.<br />
Последний пункт контекстного меню позволяет<br />
перемещать правила на различные позиции в<br />
наборе IP-правил, следовательно, изменяя его<br />
120