NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Но иногда Ethernet-сеть может быть разделена на две части маршрутизирующим устройством,<br />
например межсетевым экраном NetDefend. В данном случае сама система NetDefendOS может<br />
отвечать на ARP-запросы, отправляя их в сеть, расположенную с другой стороны межсетевого<br />
экрана NetDefend, такой метод называется Proxy ARP.<br />
Обычно метод Proxy ARP применяется при разделении Ethernet-сети на отдельные части таким<br />
образом, чтобы была возможность управления трафиком. В системе NetDefendOS для обеспечения<br />
безопасности трафика, проходящего между частями сети, используются наборы IP-правил.<br />
Пример<br />
Типичным примером является разделение сети на две подсети с установкой межсетевого экрана<br />
NetDefend между ними.<br />
Хост А одной подсети может отправлять другой подсети В ARP-запросы для выяснения соответствия<br />
между MAC-адресом и IP-адресом. При включенной функции Proxy ARP система NetDefendOS<br />
отвечает на этот запрос – отправляет MAC-адрес вместо хоста В. После получения ответа хост А<br />
отправляет данные непосредственно системе NetDefendOS, которая в свою очередь перенаправляет<br />
их хосту В. В процессе прохождения трафика система NetDefendOS проверяет его на соответствие<br />
наборам IP-правил.<br />
Настройка Proxy ARP<br />
При настройке Proxy ARP в таблице маршрутизации определяются операции для маршрута. Пример:<br />
сеть, состоящая из двух подсетей net_1 и net_2.<br />
Сеть net_1 связана с интерфейсом if1, сеть net_2 связана с интерфейсом if2. Route_1 – маршрут в<br />
системе NetDefendOS, описывающий, что сеть net_1 подключена к интерфейсу if1.<br />
Для маршрута route_1 можно использовать Proxy ARP для сети net_1 и интерфейса if2. После этого<br />
любой ARP-запрос хоста из сети net_2, связанной с if2, будет получать ответ от системы<br />
NetDefendOS при поиске IP-адреса в сети net_1. Другими словами, система NetDefendOS будет<br />
ссылаться на то, что адрес из сети net_1 якобы найден на интерфейсе if2, и сама обеспечит<br />
прохождение трафика к net_1.<br />
Таким же образом, включив Proxy ARP, можно опубликовать сеть net_2 на интерфейсе if1 для<br />
зеркалирования маршрутов.<br />
№ маршрута Сеть<br />
Интерфейс Публикация Proxy ARP<br />
(Route #) (Network)<br />
(Interface) (Proxy ARP Published)<br />
1 net_1 if1 if2<br />
2 net_2 if2 if1<br />
В рассмотренном выше примере имеется возможность прозрачного обмена данными между хостами,<br />
при этом сети физически разделены. Пара маршрутов является зеркальным отображением друг друга<br />
и в таком типе соединения необязательно использовать Proxy ARP.<br />
Следует учитывать, что если хост отправляет ARP-запрос IP-адреса, находящегося вне локальной<br />
сети, то этот запрос будет отправлен к шлюзу, настроенному для этого хоста. Пример такого<br />
соединения проиллюстрирован на следующем рисунке:<br />
156