NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
маршрутизатор и использует маршрутизацию на 3 уровне модели OSI. Если межсетевой экран<br />
размещен в сети впервые или если изменилась топология сети, то конфигурация маршрутизации<br />
должна быть проверена на совместимость таблицы маршрутизации с новой топологией. Новая<br />
настройка IP-параметров может потребоваться для уже существующих маршрутизаторов и<br />
защищенных серверов. Коммутируемые маршруты следует применять при необходимости<br />
всестороннего контроля над маршрутизацией.<br />
При использовании коммутируемых маршрутов межсетевой экран NetDefend работает в прозрачном<br />
режиме как коммутатор 2 уровня модели OSI, в котором происходит проверка IP-пакетов и их<br />
передача к нужному интерфейсу без изменения информации об интерфейсах источника или<br />
назначения на IP или Ethernet-уровне. Это достигается за счет того, что система NetDefendOS<br />
сохраняет MAC-адреса хостов и позволяет физическим Ethernet-подсетям, расположенным по разные<br />
стороны межсетевого экрана, функционировать как единой логической IP-сети (См. Приложение D,<br />
Краткий обзор уровней модели OSI).<br />
Преимущества прозрачного режима:<br />
• Пользователь может перемещаться с одного интерфейса на другой без изменения своего IPадреса<br />
(предполагается, что фиксированные IP-адреса закреплены за пользователями сети) и<br />
получать доступ к тем же сервисам, что и прежде (например, HTTP, FTP), не изменяя<br />
маршруты.<br />
• Один и тот же диапазон IP-адресов может использоваться на нескольких интерфейсах.<br />
Примечание: Объединение прозрачного режима и режима<br />
маршрутизации<br />
Межсетевой экран NetDefend может работать сразу в<br />
двух режимах: прозрачном и режиме маршрутизации. Коммутируемые маршруты<br />
можно определить одновременно с некоммутируемыми, но на разных интерфейсах.<br />
Каждый интерфейс может работать в одном из двух режимов.<br />
Также возможен гибридный вариант, когда используется трансляция сетевых<br />
адресов и часть трафика проходит в прозрачном режиме.<br />
Как работает прозрачный режим<br />
При использовании прозрачного режима система NetDefendOS позволяет ARP-транзакциям<br />
проходить через межсетевой экран NetDefend, и на основании этого ARP-трафика определяет связь<br />
между IP-адресами, физическими адресами и интерфейсами. NetDefendOS сохраняет информацию об<br />
этих адресах для дальнейшей передачи IP-пакетов. Обмен ARP-транзакций происходит прозрачно и<br />
обменивающиеся стороны не видят межсетевой экран NetDefend.<br />
При установке нового соединения хост определяет физический адрес назначения путем отправки<br />
ARP-запроса. Система NetDefendOS перехватывает этот запрос, и передает ARP-запрос на все<br />
остальные интерфейсы, для которых созданы коммутируемые маршруты. Если в течение<br />
настраиваемого интервала времени, система NetDefendOS получает ARP-ответ от интерфейса<br />
назначения, то, используя сохраненную запись о состоянии ARP-транзакции, ARP-ответ передается<br />
интерфейсу, через который она была запрошена.<br />
Во время ARP-транзакции, система NetDefendOS изучает информацию об адресе источника,<br />
информация о котором записывается в две таблицы: Content Addressable Memory (CAM, контекстноадресуемая<br />
память) и КЭШ 3 уровня. В таблице CAM хранятся MAC-адреса, доступные для данного<br />
интерфейса, а в КЭШ 3 уровня заносится соответствие между IP-адресами и MAC-адресами. КЭШ 3<br />
уровня применяется только для IP-трафика, записи КЭШа хранятся как запись об одном хосте в<br />
таблице маршрутизации.<br />
Для каждого IP-пакета, проходящего через межсетевой экран NetDefend, осуществляется поиск<br />
маршрута. Если маршрут пакета соответствует коммутируемому маршруту или записи КЭШа 3<br />
уровня в таблице маршрутизации, то система NetDefendOS знает, что должна обрабатывать пакет в<br />
прозрачном режиме. Если в маршруте доступны интерфейс назначения и MAC-адрес, то система<br />
NetDefendOS получает необходимую информацию для дальнейшей передачи пакета. Если маршрут<br />
207