NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
так как все пакеты, маршрут которых не определен, соответствуют данному маршруту. Такой маршрут обычно определяет интерфейс, связанный с Интернетом. Важной особенностью при оценке таблицы маршрутизации является распределение маршрутов. Чаще всего в начале списка маршрутов таблиц маршрутизации указываются конкретные маршруты. Другими словами, если найдены два эквивалентных маршрута, то больший приоритет будет иметь наиболее точно определенный маршрут. В рассмотренном выше примере пакет с адресом 192.168.0.4 теоретически будет соответствовать как первому, так и последнему маршруту, при этом первый маршрут определен конкретнее и пакет будет отправлен согласно данному маршруту. Параметры локального IP-адреса (Local IP Address Parameter) Очень важна корректная настройка параметров локального IP-адреса. Как правило, физический LAN-интерфейс связан с единственной сетью, и интерфейс и сеть находятся в одной подсети. Можно сказать, что сеть связана с физическим интерфейсом и клиенты данной сети могут автоматически связываться с межсетевым экраном NetDefend посредством ARPзапросов. Поскольку клиенты и интерфейс системы NetDefendOS относятся к одной сети, ARP функционирует нормально. Вторую сеть можно добавить к этому интерфейсу через коммутатор, но у нового диапазона сети будет отсутствовать соответствующий IP-адрес физического интерфейса, т.е. эта сеть не связана с физическим интерфейсом. Клиенты второй сети не смогут связаться с межсетевым экраном NetDefend, так как межсетевой экран не будет отвечать на ARP-запросы из другой подсети. Для решения этой проблемы в систему NetDefendOS следует добавить новый маршрут со следующими параметрами: • Интерфейс: интерфейс, к которому подключена вторая сеть. • Сеть: диапазон IP-адресов второй сети. • Локальный IP-адрес: адрес в пределах диапазона IP-адресов второй сети. В клиентских настройках в качестве шлюза по умолчанию (Default Gateway) должен быть установлен выбранный Локальный IP-адрес, после чего клиенты смогут связаться с интерфейсом межсетевого экрана. При добавлении маршрута с локальным IP-адресом система NetDefendOS будет функционировать как шлюз с этим IP-адресом, отправлять ARP-запросы и отвечать на них. Данная особенность продемонстрирована на рисунке, приведенном ниже. Сеть 10.1.1.0/24 связана с физическим интерфейсом с адресом 10.1.1.1. При подключении второй сети 10.2.2.0/24 к интерфейсу через коммутатор IP-адрес интерфейса не будет принадлежать данной сети. 144
Рисунок 4.2. Применение локального IP-адреса и несвязанной сети Интерфейс будет отвечать на ARP-запросы от сети 10.2.2.0/24 при добавлении в систему NetDefendOS маршрута для второй сети с локальным IP-адресом 10.2.2.1. Для соединения с межсетевым экраном NetDefend клиенты второй сети должны указать адрес шлюза по умолчанию – 10.2.2.1. Данный метод используется в тех случаях, когда к интерфейсу необходимо добавить дополнительную сеть. С точки зрения безопасности данный метод может предоставлять угрозу, так как различные сети будут соединены друг с другом через коммутатор, который не управляет трафиком, проходящим между сетями. При маршрутизации используется два связанных маршрута Любой трафик в системе NetDefendOS должен проходить по двум связанным маршрутам. Кроме того, маршрут должен быть определен как для сети назначения, так и для сети источника. Если маршрут определил сеть источника, то говорят, что сеть источника найдена на определенном интерфейсе. При открытии нового соединения система NetDefendOS выполняет проверку, известную как «обратный поиск маршрута» (reverse route lookup). Маршрут сети источника не используется для обработки маршрутизации, но исходная сеть должна быть найдена на интерфейсе источника. Если в результате проверки исходная сеть не найдена, то система NetDefendOS выводит сообщение об ошибке Default Access Rule. В том числе трафик, предназначенный для интерфейса Core (непосредственно для системы NetDefendOS), такой как ICMP ping-запросы, проходит проверку правилом на наличие двух маршрутов. В этом случае интерфейс одного из маршрутов определяется как Core. 4.2.2. Статическая маршрутизация В данном разделе рассматривается механизм осуществления маршрутизации в системе NetDefendOS и настройки статической маршрутизации. Система NetDefendOS позволяет работать с несколькими таблицами маршрутизации. По умолчанию определена таблица маршрутизации main. Кроме этого, администратор может создать дополнительные таблицы маршрутизации для описания альтернативных маршрутов. Такие определенные пользователем таблицы носят название Policy Based Routing – маршрутизации 145
- Page 93 and 94: i. Обозначить интер
- Page 95 and 96: Здесь клавиша Tab ис
- Page 97 and 98: • Для одного физич
- Page 99 and 100: Пример 3.10. Определе
- Page 101 and 102: провайдер не назна
- Page 103 and 104: • Remote Endpoint (Удаленн
- Page 105 and 106: (Name ) (Action) источника
- Page 107 and 108: Хост в Ethernet-сети мо
- Page 109 and 110: Mode Тип ARP-объекта. М
- Page 111 and 112: Рисунок 3.2. ARP-ответ
- Page 113 and 114: ARP Match Ethernet Sender Опре
- Page 115 and 116: По умолчанию: 64 ARP IP
- Page 117 and 118: При определении кр
- Page 119 and 120: Исключения составл
- Page 121 and 122: приоритет. 3.5.5. Папк
- Page 123 and 124: Примечание На рису
- Page 125 and 126: В некоторых случая
- Page 127 and 128: Возвращаемся на ис
- Page 129 and 130: определения действ
- Page 131 and 132: 3.7.3. Запросы CA серти
- Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH
- Page 135 and 136: Для работы с URL-прот
- Page 137 and 138: Следует помнить, чт
- Page 139 and 140: Пример 3.28. Настройк
- Page 141 and 142: Глава 4. Маршрутиза
- Page 143: Рисунок 4.1 Сценарий
- Page 147 and 148: Преимущества опред
- Page 149 and 150: given default gateway (автома
- Page 151 and 152: Мониторинг автомат
- Page 153 and 154: опрашивать один ил
- Page 155 and 156: 4.2.5. Расширенные на
- Page 157 and 158: Рисунок 4.4. Пример Pr
- Page 159 and 160: был хотя бы маршрут
- Page 161 and 162: • Каждый ISP предост
- Page 163 and 164: 2. Если найден тольк
- Page 165 and 166: маршрут не изменяе
- Page 167 and 168: gw-world:/> add RouteBalancingInsta
- Page 169 and 170: подсетей, OSPF может
- Page 171 and 172: Совет: Кольцевая то
- Page 173 and 174: ASBR Граничные маршр
- Page 175 and 176: В примере виртуаль
- Page 177 and 178: Объект Автономная
- Page 179 and 180: 4.5.3.2. Объект OSPF Area и
- Page 181 and 182: Обмен информацией
- Page 183 and 184: 183
- Page 185 and 186: внешние маршруты, и
- Page 187 and 188: Offset Metric Метрика уве
- Page 189 and 190: Повторить шаги 1 - 5
- Page 191 and 192: 4.5.6. Пример OSPF В дан
- Page 193 and 194: 4.6. Многоадресная м
так как все пакеты, маршрут которых не определен, соответствуют данному маршруту.<br />
Такой маршрут обычно определяет интерфейс, связанный с Интернетом.<br />
Важной особенностью при оценке таблицы маршрутизации является распределение маршрутов.<br />
Чаще всего в начале списка маршрутов таблиц маршрутизации указываются конкретные маршруты.<br />
Другими словами, если найдены два эквивалентных маршрута, то больший приоритет будет иметь<br />
наиболее точно определенный маршрут.<br />
В рассмотренном выше примере пакет с адресом 192.168.0.4 теоретически будет соответствовать<br />
как первому, так и последнему маршруту, при этом первый маршрут определен конкретнее и пакет<br />
будет отправлен согласно данному маршруту.<br />
Параметры локального IP-адреса (Local IP Address Parameter)<br />
Очень важна корректная настройка параметров локального IP-адреса.<br />
Как правило, физический LAN-интерфейс связан с единственной сетью, и интерфейс и сеть<br />
находятся в одной подсети. Можно сказать, что сеть связана с физическим интерфейсом и клиенты<br />
данной сети могут автоматически связываться с межсетевым экраном NetDefend посредством ARPзапросов.<br />
Поскольку клиенты и интерфейс системы NetDefendOS относятся к одной сети, ARP<br />
функционирует нормально.<br />
Вторую сеть можно добавить к этому интерфейсу через коммутатор, но у нового диапазона сети<br />
будет отсутствовать соответствующий IP-адрес физического интерфейса, т.е. эта сеть не связана с<br />
физическим интерфейсом. Клиенты второй сети не смогут связаться с межсетевым экраном<br />
NetDefend, так как межсетевой экран не будет отвечать на ARP-запросы из другой подсети.<br />
Для решения этой проблемы в систему NetDefendOS следует добавить новый маршрут со<br />
следующими параметрами:<br />
• Интерфейс: интерфейс, к которому подключена вторая сеть.<br />
• Сеть: диапазон IP-адресов второй сети.<br />
• Локальный IP-адрес: адрес в пределах диапазона IP-адресов второй сети.<br />
В клиентских настройках в качестве шлюза по умолчанию (Default Gateway) должен быть<br />
установлен выбранный Локальный IP-адрес, после чего клиенты смогут связаться с интерфейсом<br />
межсетевого экрана.<br />
При добавлении маршрута с локальным IP-адресом система NetDefendOS будет функционировать<br />
как шлюз с этим IP-адресом, отправлять ARP-запросы и отвечать на них.<br />
Данная особенность продемонстрирована на рисунке, приведенном ниже. Сеть 10.1.1.0/24 связана с<br />
физическим интерфейсом с адресом 10.1.1.1. При подключении второй сети 10.2.2.0/24 к<br />
интерфейсу через коммутатор IP-адрес интерфейса не будет принадлежать данной сети.<br />
144