NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

контекста, что устраняет любую возможность определения и анализа комплексных протоколов и применения соответствующих политик безопасности. Технология Stateful Inspection Система NetDefendOS использует технологию Stateful inspection, осуществляющую проверку и перенаправление трафика на основе соединения. NetDefendOS определяет новое установленное соединение и сохраняет небольшую информацию или state в таблице state table для определения времени существования данного соединения. Таким образом, NetDefendOS предоставляет возможность определить контекст сетевого трафика, который позволяет выполнить тщательное сканирование трафика, управление полосой пропускания и множество других функций. Технология Stateful inspection обеспечивает высокую производительность, повышая пропускную способность совместно с дополнительным преимуществом гибкого масштабирования. Подсистема NetDefendOS, выполняющая stateful inspection, иногда употребляется в документации как NetDefendOS state-engine. 1.2.2. Структурные элементы NetDefendOS Основными структурными элементами в NetDefendOS являются интерфейсы, логические объекты и различные типы правил (или комплект правил). Интерфейсы Интерфейсы являются «входом» для исходящего и входящего трафика, проходящего через межсетевой экран NetDefend. При отсутствии интерфейсов система NetDefendOS не имеет возможности получать или отправлять данные. NetDefendOS поддерживает следующие типы интерфейсов: • Физические интерфейсы – относятся к актуальным физическим Ethernet-портам. • Под-интерфейсы (sub-interfaces) – включают интерфейсы VLAN и PPPoE. • Интерфейсы туннелирования – используются для отправки и получения данных через VPN- туннели. Симметричные интерфейсы Дизайн интерфейса NetDefendOS симметричен, это означает, что интерфейсы устройства нефиксированные и являются «незащищенными снаружи» или «защищенными внутри» в топологии сети и определяются только администратором. Логические объекты Логические объекты - это предварительно определенные элементы, используемые в наборах правил. Адресная книга, например, содержит назначенные объекты, представляющие хост и сетевые адреса. Другим примером логических объектов являются сервисы, предоставляющие определенные комбинации протоколов и портов. Помимо этого, важную роль играют объекты Application Layer Gateway (ALG), которые используются для определения дополнительных параметров в определенных протоколах, таких как HTTP, FTP, SMTP и H.323. Наборы правил NetDefendOS 16

В конечном итоге, правила, определенные администратором в различные комплекты правил (rule sets) используются для фактического применения политик безопасности NetDefendOS. Основополагающим комплектом правил являются IP-правила (IP Rules), которые используются, чтобы определить политику IP-фильтрации уровня 3, а также для переадресации и балансировки нагрузки сервера. Правила формирования трафика (Traffic Shaping Rules) определяют политику управления полосой пропускания, правила IDP обеспечивают защиту сети от вторжений и т.д. 1.2.3. Поток пакетов Данный раздел описывает прохождение пакетов, полученных и отправленных системой NetDefendOS. Следующее описание является упрощенным и не может быть применимо ко всем сценариям, тем не менее, основные принципы являются действенными при использовании NetDefendOS. 1. Ethernet-фрейм получен на одном из Ethernet-интерфейсов системы. Выполняется проверка основного Ethernet-фрейма и, если фрейм не является допустимым, пакет будет отброшен. 2. Пакет ассоциируется с интерфейсом источника. Интерфейс источника определяется следующим образом: • Если Ethernet-фрейм содержит идентификатор VLAN ID (Virtual LAN identifier), (идентификатор виртуальной локальной сети), система сравнивает конфигурацию VLANинтерфейса с соответствующим VLAN ID. В случае определения соответствия VLANинтерфейс становится интерфейсом источника пакета. Если соответствия не обнаружено, пакет будет отброшен, а событие зарегистрировано в журнале. • Если Ethernet-фрейм содержит PPP-данные, система выполняет его проверку на соответствие с PPPoE-интерфейсом. Если соответствие обнаружено, интерфейс становится интерфейсом источника пакета. В противном случае пакет отбрасывается, а событие регистрируется в журнале. • Если ничего из вышеперечисленного не выполняется, то интерфейс получения (тот Ethernetинтерфейс, на который поступил Ethernet-фрейм) становится интерфейсом источника пакета. 3. IP-датаграмма из пакета передается на проверочное устройство NetDefendOS, которое выполняет проверку пакета на исправность, включая проверку контрольной суммы, флагов протокола, длины пакета и т.д. Если выявлена ошибка, пакет отбрасывается, а событие регистрируется в журнале. 4. NetDefendOS выполняет поиск существующего соединения, сопоставляя параметры входящего пакета, включая интерфейс источника, IP-адреса источника и назначения и IP-протокол. Если соответствие не обнаружено, начинается процесс установки соединения, который включает шаги, начиная с данного пункта до пункта 9. Если соответствие обнаружено, процесс перенаправления продолжается с шага 10. 5. Правила доступа (Access Rules) определяют, разрешен ли IP-адрес источника нового соединения на интерфейсе получения. Если соответствующего правила не обнаружено, в таблице маршрутизации выполняется поиск обратного маршрута (reverse route lookup). Другими словами, по умолчанию, интерфейс будет принимать только IP-адрес источника, который принадлежит сети данного интерфейса. Поиск обратного маршрута (reverse lookup) выполняется в таблице маршрутизации для того, чтобы подтвердить, что существует маршрут для использования того же интерфейса, если сеть является сетью назначения. Если поиск правила доступа или обратный поиск маршрута определяют, что IP источника неверный, в таком случае пакет отбрасывается и событие регистрируется в журнале. 6. Поиск маршрута выполняется в соответствующей таблице маршрутизации. Интерфейс назначения для соединения уже определен. 7. Определяются IP-правила, которым соответствуют параметры данного пакета. Используются 17

контекста, что устраняет любую возможность определения и анализа комплексных протоколов и<br />

применения соответствующих политик безопасности.<br />

Технология Stateful Inspection<br />

Система NetDefendOS использует технологию Stateful inspection, осуществляющую проверку и<br />

перенаправление трафика на основе соединения. NetDefendOS определяет новое установленное<br />

соединение и сохраняет небольшую информацию или state в таблице state table для определения<br />

времени существования данного соединения. Таким образом, NetDefendOS предоставляет<br />

возможность определить контекст сетевого трафика, который позволяет выполнить тщательное<br />

сканирование трафика, управление полосой пропускания и множество других функций.<br />

Технология Stateful inspection обеспечивает высокую производительность, повышая пропускную<br />

способность совместно с дополнительным преимуществом гибкого масштабирования. Подсистема<br />

NetDefendOS, выполняющая stateful inspection, иногда употребляется в документации как<br />

NetDefendOS state-engine.<br />

1.2.2. Структурные элементы NetDefendOS<br />

Основными структурными элементами в NetDefendOS являются интерфейсы, логические объекты и<br />

различные типы правил (или комплект правил).<br />

Интерфейсы<br />

Интерфейсы являются «входом» для исходящего и входящего трафика, проходящего через<br />

межсетевой экран NetDefend. При отсутствии интерфейсов система NetDefendOS не имеет<br />

возможности получать или отправлять данные.<br />

NetDefendOS поддерживает следующие типы интерфейсов:<br />

• Физические интерфейсы – относятся к актуальным физическим Ethernet-портам.<br />

• Под-интерфейсы (sub-interfaces) – включают интерфейсы VLAN и PPPoE.<br />

• Интерфейсы туннелирования – используются для отправки и получения данных через VPN-<br />

туннели.<br />

Симметричные интерфейсы<br />

Дизайн интерфейса NetDefendOS симметричен, это означает, что интерфейсы устройства<br />

нефиксированные и являются «незащищенными снаружи» или «защищенными внутри» в топологии<br />

сети и определяются только администратором.<br />

Логические объекты<br />

Логические объекты - это предварительно определенные элементы, используемые в наборах правил.<br />

Адресная книга, например, содержит назначенные объекты, представляющие хост и сетевые адреса.<br />

Другим примером логических объектов являются сервисы, предоставляющие определенные<br />

комбинации протоколов и портов. Помимо этого, важную роль играют объекты Application Layer<br />

Gateway (ALG), которые используются для определения дополнительных параметров в определенных<br />

протоколах, таких как HTTP, FTP, SMTP и H.323.<br />

Наборы правил NetDefendOS<br />

16

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!