NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
контекста, что устраняет любую возможность определения и анализа комплексных протоколов и применения соответствующих политик безопасности. Технология Stateful Inspection Система NetDefendOS использует технологию Stateful inspection, осуществляющую проверку и перенаправление трафика на основе соединения. NetDefendOS определяет новое установленное соединение и сохраняет небольшую информацию или state в таблице state table для определения времени существования данного соединения. Таким образом, NetDefendOS предоставляет возможность определить контекст сетевого трафика, который позволяет выполнить тщательное сканирование трафика, управление полосой пропускания и множество других функций. Технология Stateful inspection обеспечивает высокую производительность, повышая пропускную способность совместно с дополнительным преимуществом гибкого масштабирования. Подсистема NetDefendOS, выполняющая stateful inspection, иногда употребляется в документации как NetDefendOS state-engine. 1.2.2. Структурные элементы NetDefendOS Основными структурными элементами в NetDefendOS являются интерфейсы, логические объекты и различные типы правил (или комплект правил). Интерфейсы Интерфейсы являются «входом» для исходящего и входящего трафика, проходящего через межсетевой экран NetDefend. При отсутствии интерфейсов система NetDefendOS не имеет возможности получать или отправлять данные. NetDefendOS поддерживает следующие типы интерфейсов: • Физические интерфейсы – относятся к актуальным физическим Ethernet-портам. • Под-интерфейсы (sub-interfaces) – включают интерфейсы VLAN и PPPoE. • Интерфейсы туннелирования – используются для отправки и получения данных через VPN- туннели. Симметричные интерфейсы Дизайн интерфейса NetDefendOS симметричен, это означает, что интерфейсы устройства нефиксированные и являются «незащищенными снаружи» или «защищенными внутри» в топологии сети и определяются только администратором. Логические объекты Логические объекты - это предварительно определенные элементы, используемые в наборах правил. Адресная книга, например, содержит назначенные объекты, представляющие хост и сетевые адреса. Другим примером логических объектов являются сервисы, предоставляющие определенные комбинации протоколов и портов. Помимо этого, важную роль играют объекты Application Layer Gateway (ALG), которые используются для определения дополнительных параметров в определенных протоколах, таких как HTTP, FTP, SMTP и H.323. Наборы правил NetDefendOS 16
В конечном итоге, правила, определенные администратором в различные комплекты правил (rule sets) используются для фактического применения политик безопасности NetDefendOS. Основополагающим комплектом правил являются IP-правила (IP Rules), которые используются, чтобы определить политику IP-фильтрации уровня 3, а также для переадресации и балансировки нагрузки сервера. Правила формирования трафика (Traffic Shaping Rules) определяют политику управления полосой пропускания, правила IDP обеспечивают защиту сети от вторжений и т.д. 1.2.3. Поток пакетов Данный раздел описывает прохождение пакетов, полученных и отправленных системой NetDefendOS. Следующее описание является упрощенным и не может быть применимо ко всем сценариям, тем не менее, основные принципы являются действенными при использовании NetDefendOS. 1. Ethernet-фрейм получен на одном из Ethernet-интерфейсов системы. Выполняется проверка основного Ethernet-фрейма и, если фрейм не является допустимым, пакет будет отброшен. 2. Пакет ассоциируется с интерфейсом источника. Интерфейс источника определяется следующим образом: • Если Ethernet-фрейм содержит идентификатор VLAN ID (Virtual LAN identifier), (идентификатор виртуальной локальной сети), система сравнивает конфигурацию VLANинтерфейса с соответствующим VLAN ID. В случае определения соответствия VLANинтерфейс становится интерфейсом источника пакета. Если соответствия не обнаружено, пакет будет отброшен, а событие зарегистрировано в журнале. • Если Ethernet-фрейм содержит PPP-данные, система выполняет его проверку на соответствие с PPPoE-интерфейсом. Если соответствие обнаружено, интерфейс становится интерфейсом источника пакета. В противном случае пакет отбрасывается, а событие регистрируется в журнале. • Если ничего из вышеперечисленного не выполняется, то интерфейс получения (тот Ethernetинтерфейс, на который поступил Ethernet-фрейм) становится интерфейсом источника пакета. 3. IP-датаграмма из пакета передается на проверочное устройство NetDefendOS, которое выполняет проверку пакета на исправность, включая проверку контрольной суммы, флагов протокола, длины пакета и т.д. Если выявлена ошибка, пакет отбрасывается, а событие регистрируется в журнале. 4. NetDefendOS выполняет поиск существующего соединения, сопоставляя параметры входящего пакета, включая интерфейс источника, IP-адреса источника и назначения и IP-протокол. Если соответствие не обнаружено, начинается процесс установки соединения, который включает шаги, начиная с данного пункта до пункта 9. Если соответствие обнаружено, процесс перенаправления продолжается с шага 10. 5. Правила доступа (Access Rules) определяют, разрешен ли IP-адрес источника нового соединения на интерфейсе получения. Если соответствующего правила не обнаружено, в таблице маршрутизации выполняется поиск обратного маршрута (reverse route lookup). Другими словами, по умолчанию, интерфейс будет принимать только IP-адрес источника, который принадлежит сети данного интерфейса. Поиск обратного маршрута (reverse lookup) выполняется в таблице маршрутизации для того, чтобы подтвердить, что существует маршрут для использования того же интерфейса, если сеть является сетью назначения. Если поиск правила доступа или обратный поиск маршрута определяют, что IP источника неверный, в таком случае пакет отбрасывается и событие регистрируется в журнале. 6. Поиск маршрута выполняется в соответствующей таблице маршрутизации. Интерфейс назначения для соединения уже определен. 7. Определяются IP-правила, которым соответствуют параметры данного пакета. Используются 17
- Page 1 and 2: ф 1
- Page 3 and 4: Руководство пользо
- Page 5 and 6: 3.1.5. Автоматически
- Page 7 and 8: 6.2.10. TLS ALG....................
- Page 9 and 10: 10.1.2. Traffic Shaping в NetDefen
- Page 11 and 12: Предисловие Целева
- Page 13 and 14: Глава 1. Обзор NetDefendO
- Page 15: Traffic Management NetDefendOS об
- Page 19 and 20: пакетов, проходящи
- Page 21 and 22: Рис. 1.2. Схематичное
- Page 23 and 24: Применяемые правил
- Page 25 and 26: Меню загрузки конс
- Page 27 and 28: пользователя, изоб
- Page 29 and 30: Б. Навигатор • Maintena
- Page 31 and 32: Структура команд CLI
- Page 33 and 34: добавить маршрут: gw
- Page 35 and 36: Пример 2.2. Включени
- Page 37 and 38: gw-world:/> show -errors Систе
- Page 39 and 40: delete cc Если в сценар
- Page 41 and 42: сценариев, доступн
- Page 43 and 44: Загрузка выполняет
- Page 45 and 46: скачивания резервн
- Page 47 and 48: для доступа админи
- Page 49 and 50: Пример 2.4. Отображе
- Page 51 and 52: 3. В появившемся вып
- Page 53 and 54: Пример 2.10. Активаци
- Page 55 and 56: • MemoryLogReceiver Систем
- Page 57 and 58: сообщений: команда
- Page 59 and 60: как клиент сервера
- Page 61 and 62: 2.3.3. Промежуточные
- Page 63 and 64: Проблема может воз
- Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp
контекста, что устраняет любую возможность определения и анализа комплексных протоколов и<br />
применения соответствующих политик безопасности.<br />
Технология Stateful Inspection<br />
Система NetDefendOS использует технологию Stateful inspection, осуществляющую проверку и<br />
перенаправление трафика на основе соединения. NetDefendOS определяет новое установленное<br />
соединение и сохраняет небольшую информацию или state в таблице state table для определения<br />
времени существования данного соединения. Таким образом, NetDefendOS предоставляет<br />
возможность определить контекст сетевого трафика, который позволяет выполнить тщательное<br />
сканирование трафика, управление полосой пропускания и множество других функций.<br />
Технология Stateful inspection обеспечивает высокую производительность, повышая пропускную<br />
способность совместно с дополнительным преимуществом гибкого масштабирования. Подсистема<br />
NetDefendOS, выполняющая stateful inspection, иногда употребляется в документации как<br />
NetDefendOS state-engine.<br />
1.2.2. Структурные элементы NetDefendOS<br />
Основными структурными элементами в NetDefendOS являются интерфейсы, логические объекты и<br />
различные типы правил (или комплект правил).<br />
Интерфейсы<br />
Интерфейсы являются «входом» для исходящего и входящего трафика, проходящего через<br />
межсетевой экран NetDefend. При отсутствии интерфейсов система NetDefendOS не имеет<br />
возможности получать или отправлять данные.<br />
NetDefendOS поддерживает следующие типы интерфейсов:<br />
• Физические интерфейсы – относятся к актуальным физическим Ethernet-портам.<br />
• Под-интерфейсы (sub-interfaces) – включают интерфейсы VLAN и PPPoE.<br />
• Интерфейсы туннелирования – используются для отправки и получения данных через VPN-<br />
туннели.<br />
Симметричные интерфейсы<br />
Дизайн интерфейса NetDefendOS симметричен, это означает, что интерфейсы устройства<br />
нефиксированные и являются «незащищенными снаружи» или «защищенными внутри» в топологии<br />
сети и определяются только администратором.<br />
Логические объекты<br />
Логические объекты - это предварительно определенные элементы, используемые в наборах правил.<br />
Адресная книга, например, содержит назначенные объекты, представляющие хост и сетевые адреса.<br />
Другим примером логических объектов являются сервисы, предоставляющие определенные<br />
комбинации протоколов и портов. Помимо этого, важную роль играют объекты Application Layer<br />
Gateway (ALG), которые используются для определения дополнительных параметров в определенных<br />
протоколах, таких как HTTP, FTP, SMTP и H.323.<br />
Наборы правил NetDefendOS<br />
16