NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
«черного списка» будет невозможно, так как «белый список» является более приоритетным.<br />
Реализация HTTP ALG<br />
Как указывалось во введении, объект HTTP вводится в использование по связи с объектом службы,<br />
а затем по связи объекта службы с правилом в наборе IP-правил. Некоторые предварительно<br />
определенные HTTP-сервисы могут использоваться с ALG. Например, для этой цели мог быть<br />
выбран сервис http. До тех пор пока сервис связан с IP-правилом, ALG будет применяться к<br />
трафику, разрешенному этим IP-правилом.<br />
Сервис https (который также входит в сервис http-all) не может использоваться с HTTP ALG, так<br />
как HTTPS-трафик зашифрован.<br />
6.2.3. FTP ALG<br />
File Transfer Protocol (FTP) – это протокол на основе TCP/IP, используемый для обмена файлами<br />
между клиентом и сервером. Клиент запускает соединение, подключаясь к FTP-серверу. Как<br />
правило, клиент аутентифицирует себя, предоставляя логин и пароль. После получения доступа,<br />
сервер предоставляет клиенту список файлов/папок, доступных для загрузки/скачивания (в<br />
зависимости от прав доступа). FTP ALG используется для управления FTP-соединениями через<br />
межсетевой экран NetDefend.<br />
FTP-соединения<br />
FTP-протокол использует два канала связи: канал для передачи команд и канал для передачи<br />
данных. При открытии FTP-сессии, FTP-клиент устанавливает TCP-соединение (канал управления) с<br />
портом 21 (по умолчанию) на сервере FTP. Дальнейшее зависит от того, какой режим FTP будет<br />
выбран.<br />
Режимы FTP-соединений<br />
FTP работает в двух режимах: активном и пассивном. Режимы определяют роль сервера при<br />
открытии каналов для обмена данными между клиентом и сервером.<br />
• Активный режим<br />
В активном режиме FTP-клиент отправляет команду на FTP-сервер, указывая IP-адрес и порт, к<br />
которому следует подключиться. FTP-сервер устанавливает канал для передачи данных обратно<br />
к FTP-клиенту, используя полученную информацию.<br />
• Пассивный режим<br />
В пассивном режиме FTP-клиент открывает соединение с FTP-сервером для передачи команд.<br />
Для FTP-клиентов рекомендуется режим по умолчанию, хотя некоторые рекомендации могут<br />
быть противоположными.<br />
Вопросы безопасности FTP<br />
Активный и пассивный режимы FTP являются небезопасными для межсетевых экранов NetDefend.<br />
Рассмотрим сценарий, когда FTP-клиент во внутренней сети подключается через межсетевой экран<br />
к FTP-серверу в сети Интернет. Далее следует добавить IP-правило, чтобы разрешить прохождение<br />
пакетов от FTP-клиента на порт 21 FTP-сервера.<br />
При использовании активного режима система NetDefendOS не осведомлена, что FTP-сервер<br />
установит новое соединение обратно к FTP-клиенту. Поэтому запрос на входящее соединение для<br />
установки канала обмена данными будет отклонен. Так как номер порта, используемый для канала<br />
передачи данных, является динамическим, единственное решение в данной ситуации – разрешить<br />
трафик со всех портов FTP-сервера на все порты FTP-клиента, но это небезопасно.<br />
239