NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
соответствует коммутируемому маршруту и информация об интерфейсе назначения отсутствует,<br />
межсетевой экран будет сам инициировать поиск адресата назначения в сети.<br />
Поиск системой NetDefendOS осуществляется посредством отправки ARP и ICMP-запросов (ping),<br />
которая с точки зрения узла назначения, действует как отправитель оригинального IP-пакета на<br />
интерфейсах, указанных в коммутируемом маршруте. Если получен ARP-ответ, то система<br />
NetDefendOS обновляет CAM-таблицу и КЭШ 3 уровня и отправляет пакет к узлу назначения.<br />
При переполнении CAM-таблицы или КЭШа 3 уровня происходит частичная автоматическая<br />
очистка таблиц и КЭШа. Используя механизм поиска на основе ARP и ICMP-запросов, NetDefendOS<br />
может повторно обнаружить узлы, записи о которых были стерты из КЭШа.<br />
Включение функции Transparent Mode (Прозрачный режим)<br />
Для активации в системе NetDefendOS прозрачного режима требуется выполнить следующие<br />
действия:<br />
1. Следует собрать в одну группу интерфейсов все интерфейсы, для которых необходимо<br />
включить прозрачный режим. Если необходимо, чтобы хосты могли свободно переходить с<br />
одного интерфейса на другой, то для интерфейсов, входящих в группу должна быть<br />
включена опция Security transport equivalent.<br />
2. На данном этапе в соответствующей таблице маршрутизации уже создан коммутируемый<br />
маршрут, связанный с данной группой интерфейсов. Любые некоммутируемые маршруты<br />
для интерфейсов этой группы должны быть удалены из таблицы маршрутизации.<br />
Для параметра Network коммутируемого маршрута следует определить значение all-nets или<br />
в качестве альтернативы указать значение сети или диапазона IP-адресов, которые будут<br />
прозрачно работать между интерфейсами (более подробное описание приведено ниже).<br />
3. Создание соответствующих IP-правил в наборах IP-правил, позволяющих трафику<br />
проходить между интерфейсами, работающими в прозрачном режиме.<br />
Действие<br />
(Action)<br />
Если на прохождение трафика в прозрачном режиме не нужно накладывать никаких<br />
ограничений, то следует указать только одно правило. Для обеспечения безопасности<br />
рекомендуется использовать более строгий набор IP-правил.<br />
Интерфейс<br />
источника<br />
(Src Interface)<br />
Сеть<br />
источника<br />
(Src Network)<br />
Интерфейс<br />
назначения<br />
(Dest Interface)<br />
Сеть<br />
назначения<br />
(Dest Network)<br />
Allow any all-nets any all-nets all<br />
Ограничение параметра Network<br />
Сервис<br />
(Service)<br />
Система NetDefendOS анализирует ARP-трафик, непрерывно добавляет single host routes (маршруты<br />
к отдельным хостам) в таблицу маршрутизации и определяет интерфейс IP-адресов. Название<br />
говорит само за себя: создается отдельный маршрут для каждого IP-адреса. Рекомендуется задавать<br />
разные имена для маршрутов. Количество этих маршрутов может возрастать, соединяя все большее<br />
количество хостов.<br />
Основное преимущество указания конкретного диапазона адресов в параметре Network заключается в<br />
следующем: при задании определенной сети или диапазона IP-адресов вместо значения all-nets<br />
количество автоматически создаваемых маршрутов значительно уменьшается. Маршрут для каждого<br />
хоста будет создаваться, только если его адрес находится в пределах указанного диапазона IPадресов<br />
или сети. Сокращение количества добавленных маршрутов уменьшит время поиска<br />
маршрутов.<br />
Определение сети или диапазона адресов возможно только в том случае если администратору<br />
знакома топология сети.<br />
Нескольких объединенных между собой коммутируемых маршрутов<br />
208