NetdefendOS_2.27.01_Firewall_User_Manual_RUS

More documents

Recommendations

Info

4.7. Прозрачный режим (Transparent Mode) 4.7.1. Обзор Использование прозрачного режима Прозрачный режим системы NetDefendOS позволяет размещать межсетевой экран NetDefend в любой точке сети без изменения ее конфигураций и без уведомления пользователей о работе межсетевого экрана. В прозрачном режиме доступны все функции мониторинга и управления трафиком, проходящим через межсетевой экран. Система NetDefendOS может разрешать или запрещать доступ к различным службам (например, HTTP) и прохождение данных в определенных направлениях. До тех пор, пока пользователи обращаются к разрешенным сервисам, они могут не знать об установленном межсетевом экране NetDefend. При использовании межсетевых экранов NetDefend, работающих в прозрачном режиме, значительно увеличивается безопасность передачи данных по сетям, а вмешательство в работу существующих пользователей и хостов - минимально. Коммутируемые маршруты Прозрачный режим позволяет вместо стандартных маршрутов определять в таблицах маршрутизации коммутируемые маршруты. Обычно в таких маршрутах указывается, что сеть all-nets находится за выбранным интерфейсом. При подключении к Ethernet-сети NetDefendOS, в отличие от некоммутируемых маршрутов, обменивается ARP-сообщениями для определения и хранения интерфейсов, за которыми находятся IP адреса хостов. Иногда в коммутируемых маршрутах вместо all-nets можно указывать диапазон сети, это применяется в том случае, если сеть разделена между двумя интерфейсами и администратор не знает, за каким интерфейсом находятся конкретные пользователи. Сценарий применения прозрачного режима Ниже приведены примеры использования прозрачного режима: • Обеспечение безопасности между пользователями Предприятиям может потребоваться ограничить доступ одних отделов к вычислительным ресурсам других отделов. Финансовому отделу может потребоваться доступ к ограниченным наборам служб (например, HTTP) коммерческого отдела, в то же время коммерческому отделу может потребоваться доступ к определенным сервисам финансового отдела. Устанавливая один межсетевой экран NetDefend между физическими сетями двух отделов, можно обеспечить прозрачный, но контролируемый доступ к ресурсам этих отделов. • Управление доступом в Интернет В организации, где разрешено прохождение трафика между Интернетом и определенным диапазоном публичных IP-адресов внутренней сети, прозрачный режим позволяет определить, каким службам и в каком направлении разрешен доступ для этого диапазона IPадресов. Например, в такой ситуации с данного диапазона IP-адресов можно разрешить исходящие соединения только для службы HTTP. Более подробная информация о применении межсетевого экрана в таких случаях приведена в Разделе 4.7.2, «Предоставление доступа в Интернет». Сравнение с режимом маршрутизации (Routing Mode) Межсетевой экран NetDefend может работать в двух режимах: режим маршрутизации, использующий некоммутируемые маршруты и прозрачный режим, использующий коммутируемые маршруты. При использовании некоммутируемых маршрутов межсетевой экран NetDefend работает как 206
маршрутизатор и использует маршрутизацию на 3 уровне модели OSI. Если межсетевой экран размещен в сети впервые или если изменилась топология сети, то конфигурация маршрутизации должна быть проверена на совместимость таблицы маршрутизации с новой топологией. Новая настройка IP-параметров может потребоваться для уже существующих маршрутизаторов и защищенных серверов. Коммутируемые маршруты следует применять при необходимости всестороннего контроля над маршрутизацией. При использовании коммутируемых маршрутов межсетевой экран NetDefend работает в прозрачном режиме как коммутатор 2 уровня модели OSI, в котором происходит проверка IP-пакетов и их передача к нужному интерфейсу без изменения информации об интерфейсах источника или назначения на IP или Ethernet-уровне. Это достигается за счет того, что система NetDefendOS сохраняет MAC-адреса хостов и позволяет физическим Ethernet-подсетям, расположенным по разные стороны межсетевого экрана, функционировать как единой логической IP-сети (См. Приложение D, Краткий обзор уровней модели OSI). Преимущества прозрачного режима: • Пользователь может перемещаться с одного интерфейса на другой без изменения своего IPадреса (предполагается, что фиксированные IP-адреса закреплены за пользователями сети) и получать доступ к тем же сервисам, что и прежде (например, HTTP, FTP), не изменяя маршруты. • Один и тот же диапазон IP-адресов может использоваться на нескольких интерфейсах. Примечание: Объединение прозрачного режима и режима маршрутизации Межсетевой экран NetDefend может работать сразу в двух режимах: прозрачном и режиме маршрутизации. Коммутируемые маршруты можно определить одновременно с некоммутируемыми, но на разных интерфейсах. Каждый интерфейс может работать в одном из двух режимов. Также возможен гибридный вариант, когда используется трансляция сетевых адресов и часть трафика проходит в прозрачном режиме. Как работает прозрачный режим При использовании прозрачного режима система NetDefendOS позволяет ARP-транзакциям проходить через межсетевой экран NetDefend, и на основании этого ARP-трафика определяет связь между IP-адресами, физическими адресами и интерфейсами. NetDefendOS сохраняет информацию об этих адресах для дальнейшей передачи IP-пакетов. Обмен ARP-транзакций происходит прозрачно и обменивающиеся стороны не видят межсетевой экран NetDefend. При установке нового соединения хост определяет физический адрес назначения путем отправки ARP-запроса. Система NetDefendOS перехватывает этот запрос, и передает ARP-запрос на все остальные интерфейсы, для которых созданы коммутируемые маршруты. Если в течение настраиваемого интервала времени, система NetDefendOS получает ARP-ответ от интерфейса назначения, то, используя сохраненную запись о состоянии ARP-транзакции, ARP-ответ передается интерфейсу, через который она была запрошена. Во время ARP-транзакции, система NetDefendOS изучает информацию об адресе источника, информация о котором записывается в две таблицы: Content Addressable Memory (CAM, контекстноадресуемая память) и КЭШ 3 уровня. В таблице CAM хранятся MAC-адреса, доступные для данного интерфейса, а в КЭШ 3 уровня заносится соответствие между IP-адресами и MAC-адресами. КЭШ 3 уровня применяется только для IP-трафика, записи КЭШа хранятся как запись об одном хосте в таблице маршрутизации. Для каждого IP-пакета, проходящего через межсетевой экран NetDefend, осуществляется поиск маршрута. Если маршрут пакета соответствует коммутируемому маршруту или записи КЭШа 3 уровня в таблице маршрутизации, то система NetDefendOS знает, что должна обрабатывать пакет в прозрачном режиме. Если в маршруте доступны интерфейс назначения и MAC-адрес, то система NetDefendOS получает необходимую информацию для дальнейшей передачи пакета. Если маршрут 207
Page 1 and 2:
ф 1
Page 3 and 4:
Руководство пользо
Page 5 and 6:
3.1.5. Автоматически
Page 7 and 8:
6.2.10. TLS ALG....................
Page 9 and 10:
10.1.2. Traffic Shaping в NetDefen
Page 11 and 12:
Предисловие Целева
Page 13 and 14:
Глава 1. Обзор NetDefendO
Page 15 and 16:
Traffic Management NetDefendOS об
Page 17 and 18:
В конечном итоге, п
Page 19 and 20:
пакетов, проходящи
Page 21 and 22:
Рис. 1.2. Схематичное
Page 23 and 24:
Применяемые правил
Page 25 and 26:
Меню загрузки конс
Page 27 and 28:
пользователя, изоб
Page 29 and 30:
Б. Навигатор • Maintena
Page 31 and 32:
Структура команд CLI
Page 33 and 34:
добавить маршрут: gw
Page 35 and 36:
Пример 2.2. Включени
Page 37 and 38:
gw-world:/> show -errors Систе
Page 39 and 40:
delete cc Если в сценар
Page 41 and 42:
сценариев, доступн
Page 43 and 44:
Загрузка выполняет
Page 45 and 46:
скачивания резервн
Page 47 and 48:
для доступа админи
Page 49 and 50:
Пример 2.4. Отображе
Page 51 and 52:
3. В появившемся вып
Page 53 and 54:
Пример 2.10. Активаци
Page 55 and 56:
• MemoryLogReceiver Систем
Page 57 and 58:
сообщений: команда
Page 59 and 60:
как клиент сервера
Page 61 and 62:
2.3.3. Промежуточные
Page 63 and 64:
Проблема может воз
Page 65 and 66:
SYS Temp = 44.000 (C) (x) CPU Temp
Page 67 and 68:
SNMP-доступа. Порт 161
Page 69 and 70:
gw-world:/> pcapdump -size 1024 -st
Page 71 and 72:
• Имя файла (без ра
Page 73 and 74:
Примечание: Резерв
Page 75 and 76:
Глава 3.Основные пр
Page 77 and 78:
2. Указать подходящ
Page 79 and 80:
3.1.5. Автоматически
Page 81 and 82:
"" Web-интерфейс 1. Пер
Page 83 and 84:
Другие свойства се
Page 85 and 86:
интегрированный с I
Page 87 and 88:
3.2.5. Service Groups (Сервис
Page 89 and 90:
• Туннельные интер
Page 91 and 92:
Процесс запуска бу
Page 93 and 94:
i. Обозначить интер
Page 95 and 96:
Здесь клавиша Tab ис
Page 97 and 98:
• Для одного физич
Page 99 and 100:
Пример 3.10. Определе
Page 101 and 102:
провайдер не назна
Page 103 and 104:
• Remote Endpoint (Удаленн
Page 105 and 106:
(Name ) (Action) источника
Page 107 and 108:
Хост в Ethernet-сети мо
Page 109 and 110:
Mode Тип ARP-объекта. М
Page 111 and 112:
Рисунок 3.2. ARP-ответ
Page 113 and 114:
ARP Match Ethernet Sender Опре
Page 115 and 116:
По умолчанию: 64 ARP IP
Page 117 and 118:
При определении кр
Page 119 and 120:
Исключения составл
Page 121 and 122:
приоритет. 3.5.5. Папк
Page 123 and 124:
Примечание На рису
Page 125 and 126:
В некоторых случая
Page 127 and 128:
Возвращаемся на ис
Page 129 and 130:
определения действ
Page 131 and 132:
3.7.3. Запросы CA серти
Page 133 and 134:
gw-world:/> time -set YYYY-mm-DD HH
Page 135 and 136:
Для работы с URL-прот
Page 137 and 138:
Следует помнить, чт
Page 139 and 140:
Пример 3.28. Настройк
Page 141 and 142:
Глава 4. Маршрутиза
Page 143 and 144:
Рисунок 4.1 Сценарий
Page 145 and 146:
Рисунок 4.2. Примене
Page 147 and 148:
Преимущества опред
Page 149 and 150:
given default gateway (автома
Page 151 and 152:
Мониторинг автомат
Page 153 and 154:
опрашивать один ил
Page 155 and 156: 4.2.5. Расширенные на
Page 157 and 158: Рисунок 4.4. Пример Pr
Page 159 and 160: был хотя бы маршрут
Page 161 and 162: • Каждый ISP предост
Page 163 and 164: 2. Если найден тольк
Page 165 and 166: маршрут не изменяе
Page 167 and 168: gw-world:/> add RouteBalancingInsta
Page 169 and 170: подсетей, OSPF может
Page 171 and 172: Совет: Кольцевая то
Page 173 and 174: ASBR Граничные маршр
Page 175 and 176: В примере виртуаль
Page 177 and 178: Объект Автономная
Page 179 and 180: 4.5.3.2. Объект OSPF Area и
Page 181 and 182: Обмен информацией
Page 183 and 184: 183
Page 185 and 186: внешние маршруты, и
Page 187 and 188: Offset Metric Метрика уве
Page 189 and 190: Повторить шаги 1 - 5
Page 191 and 192: 4.5.6. Пример OSPF В дан
Page 193 and 194: 4.6. Многоадресная м
Page 195 and 196: Рисунок 4.14. Многоад
Page 197 and 198: Рисунок 4.15 Многоад
Page 199 and 200: Рисунок 4.16. Работа
Page 201 and 202: 4. OK 4.6.3.2. Настройка I
Page 203 and 204: 4. OK • Source Interface: wan •
Page 205: По умолчанию: 30,000 IGM
Page 209 and 210: Шаги по установки,
Page 211 and 212: Рисунок 4.18 Доступ в
Page 213 and 214: 3. OK • IP Address: 10.0.0.1 •
Page 215 and 216: 3. OK • Interfaces: Выбрат
Page 217 and 218: • Cisco proprietary PVST+ Protoco
Page 219 and 220: • RewriteLog - Перезапис
Page 221 and 222: • Интерфейс Каждый
Page 223 and 224: 1. Зайдите System > DHCP > D
Page 225 and 226: В этом примере демо
Page 227 and 228: 1. Добавьте VLAN интер
Page 229 and 230: Базовые настройки
Page 231 and 232: применению интерфе
Page 233 and 234: Рекомендуется выпо
Page 235 and 236: TCP/IP. В системе NetDefend
Page 237 and 238: содержимого». • Ан
Page 239 and 240: «черного списка» б
Page 241 and 242: Примечание: Автома
Page 243 and 244: Если данная функци
Page 245 and 246: Б. Определите Service: 1
Page 247 and 248: зависимости от тог
Page 249 and 250: Функции SMTP ALG Основ
Page 251 and 252: Например, запись ад
Page 253 and 254: DSNBL-сервер указывае
Page 255 and 256: Учет для вышедших и
Page 257 and 258:
alt_smtp_alg inactive 0 0 0 С по
Page 259 and 260:
Рис. 6.6. Использован
Page 261 and 262:
экрана NetDefend, но так
Page 263 and 264:
реализуется через
Page 265 and 266:
traversal Нет необходим
Page 267 and 268:
ProxyAndClients Если функц
Page 269 and 270:
Примечание Контакт
Page 271 and 272:
в IP-сетях. Стандарт
Page 273 and 274:
определенном сцена
Page 275 and 276:
• Destination Interface: core •
Page 277 and 278:
• Source Network: lannet • Dest
Page 279 and 280:
2. Введите: • Name: H323In
Page 281 and 282:
Привратник H.323 расп
Page 283 and 284:
3. Нажмите OK Пример 6
Page 285 and 286:
банковским услугам
Page 287 and 288:
Шифровка, поддержи
Page 289 and 290:
Web-интерфейс 1. Зайд
Page 291 and 292:
7. Нажмите OK Продолж
Page 293 and 294:
отдельная подписка
Page 295 and 296:
и поможет избежать
Page 297 and 298:
4. С этого момента п
Page 299 and 300:
Категория 10: Игры Web
Page 301 and 302:
Категория 22: Клубы
Page 303 and 304:
Пример 6.18. Отправка
Page 305 and 306:
6.4.2. Реализация Пот
Page 307 and 308:
6.4.6. Функции Антиви
Page 309 and 310:
коммутаторах, так к
Page 311 and 312:
6.5.2. Система IDP и уст
Page 313 and 314:
3. Это изменение нас
Page 315 and 316:
NetDefendOS автоматичес
Page 317 and 318:
Списки групп IDP Спи
Page 319 and 320:
Правила IDP: 1. Зайдит
Page 321 and 322:
от атак DoS. 6.6.2. Меха
Page 323 and 324:
потребление всего
Page 325 and 326:
6.7. «Черный список»
Page 327 and 328:
Глава 7. Преобразов
Page 329 and 330:
пулы». IP-адрес исто
Page 331 and 332:
4. Удостоверьтесь, ч
Page 333 and 334:
ситуации, когда мно
Page 335 and 336:
7.4. SAT 2. Затем введит
Page 337 and 338:
Рисунок 7.4. Роль зон
Page 339 and 340:
• Service: http • Source Interf
Page 341 and 342:
10.0.0.3:1038 => 195.55.66.77:80
Page 343 and 344:
Создайте соответст
Page 345 and 346:
• При обращении к п
Page 347 and 348:
Изменить сложившую
Page 349 and 350:
• Создать IP-правил
Page 351 and 352:
Система NetDefendOS може
Page 353 and 354:
значение SAMAccountName (в
Page 355 and 356:
Аутентификация LDAP-
Page 357 and 358:
(на большинстве LDAP-
Page 359 and 360:
• Terminator IP Терминир
Page 361 and 362:
# Действие Интерфей
Page 363 and 364:
3. Нажмите OK 4. Повто
Page 365 and 366:
LoginSuccess, а затем - на
Page 367 and 368:
Глава 9. VPN В данной
Page 369 and 370:
клиенты и филиалы о
Page 371 and 372:
• Укажите IP-правил
Page 373 and 374:
3. Создайте объект IP
Page 375 and 376:
• Нельзя предварит
Page 377 and 378:
3. Укажите совместн
Page 379 and 380:
• ip_int - внутренний I
Page 381 and 382:
Оба соединения IKE и
Page 383 and 384:
настройки, такие ка
Page 385 and 386:
Алгоритм Диффи-Хел
Page 387 and 388:
пакете. Далее выпол
Page 389 and 390:
9.3.6. Списки выбора а
Page 391 and 392:
Далее примените об
Page 393 and 394:
9.4.1. Обзор IPsec-тунне
Page 395 and 396:
защищенный обмен д
Page 397 and 398:
1. Зайдите Objects > VPN Obj
Page 399 and 400:
Режим настройки IKE C
Page 401 and 402:
Для запуска провер
Page 403 and 404:
Message ID : 0x00000000 Packet leng
Page 405 and 406:
Flags : E (encryption) Cookies : 0x
Page 407 and 408:
туннелям. По умолча
Page 409 and 410:
10 секунд, а также не
Page 411 and 412:
6. Нажмите OK Функция
Page 413 and 414:
г. Encapsulation Mode: Transport
Page 415 and 416:
• Service: all_services • Sourc
Page 417 and 418:
9.6. Доступ к серверу
Page 419 and 420:
умолчанию с возмож
Page 421 and 422:
9.7.3. Команды поиска
Page 423 and 424:
Список IKE proposal не со
Page 425 and 426:
9.7.6. Особые признак
Page 427 and 428:
Глава 10. Управление
Page 429 and 430:
Интернет-услуг, в к
Page 431 and 432:
Рис. 10.2. Правила FwdFas
Page 433 and 434:
Web-интерфейс 1. Зайд
Page 435 and 436:
Значение приоритет
Page 437 and 438:
Приоритеты применя
Page 439 and 440:
• IP-адрес назначен
Page 441 and 442:
приоритета, и далее
Page 443 and 444:
административного
Page 445 and 446:
• Приоритет 6 - VoIP (50
Page 447 and 448:
Если используется S
Page 449 and 450:
3.Далее устанавлива
Page 451 and 452:
помощью команды CLI p
Page 453 and 454:
10.3.2. Ограничение ск
Page 455 and 456:
2560 и 2560G. Иллюстраци
Page 457 and 458:
IP Address Stickiness (Привяз
Page 459 and 460:
Рис. 10.12. Привязка (St
Page 461 and 462:
1. Зайдите Rules > IP Rule S
Page 463 and 464:
Глава 11. Режим высо
Page 465 and 466:
через интерфейс си
Page 467 and 468:
В результате сбоя sy
Page 469 and 470:
На приведенной схе
Page 471 and 472:
операционной систе
Page 473 and 474:
• Определить, како
Page 475 and 476:
Количество секунд
Page 477 and 478:
• Тип коммутатора
Page 479 and 480:
Для предотвращения
Page 481 and 482:
Второе отличие зак
Page 483 and 484:
По умолчанию: Включ
Page 485 and 486:
С помощью данной на
Page 487 and 488:
TCP Zero Unused URG Снимает
Page 489 and 490:
принимая во вниман
Page 491 and 492:
13.4. Настройки состо
Page 493 and 494:
По умолчанию: 262144 TCP
Page 495 and 496:
Задает максимальны
Page 497 and 498:
определить причину
Page 499 and 500:
секунд, чтобы предо
Page 501 and 502:
Приложение А. Подпи
Page 503 and 504:
удаление базы данн
Page 505 and 506:
POP3_REQUEST-ERRORS Ошибка з
Page 507 and 508:
Приложение В. Типы
Page 509 and 510:
pfb Шрифт (двоичный) p
show all

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

Create successful ePaper yourself

Delete template?

Save as template?