NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
небезопасен и часто используется только во внутренних сетях. NetDefendOS ALG снабжает TFTP дополнительным уровнем безопасности, устанавливая ограничения по его использованию. Основные опции TFTP Allow/Disallow Read Можно отключить функцию TFTP GET, таким образом, файлы не могут быть загружены клиентом TFTP. Значение по умолчанию – Allow (Разрешить). Allow/Disallow Write Можно отключить функцию TFTP PUT, таким образом, TFTP-клиент не сможет использовать право записи. Значение по умолчанию – Allow (Разрешить). Remove Request Option Функция определяет, следует ли удалять опции из запроса. По умолчанию – False, что означает «не удалять». Allow Unknown Options Если данная опция выключена, то любая опция в запросе, за исключением запроса размера блока, периода неактивности и размера файла, блокируется. Настройка отключена по умолчанию. TFTP-запросы Пока описанная выше функция Remove Request установлена в значении false (функции не удаляются), то могут быть выполнены следующие настройки функции запроса: Maximum Blocksize Можно определить максимальный размер блока. Разрешенный диапазон от 0 до 65,464 байт. Значение по умолчанию –65,464 байт. Maximum File Size Можно определить максимальный размер передаваемого файла. По умолчанию разрешенное значение 999,999 Кбайт. Block Directory Traversal Данная опция может запретить Directory Traversal с помощью использования имен файлов, содержащих «..». Разрешение таймаутов запроса NetDefendOS TFTP ALG блокирует повторный TFTP-запрос идущий с одного и того же IP-адреса источника и порта в течение установленного периода времени. Основная причина этого в том, что некоторые TFTP-клиенты могут отправлять запросы с одного и того же порта источника без установки соответствующего таймаута. 6.2.5. SMTP ALG Simple Mail Transfer Protocol (SMTP) – это протокол, используемый для передачи электронной почты в сети Интернет. Как правило, локальный SMTP-сервер будет расположен в зоне DMZ, таким образом, почта, отправленная удаленными SMTP-серверами, пройдет через межсетевой экран для достижения локального сервера (эта настройка проиллюстрирована далее в Разделе 6.2.5.1, «Фильтрация спама DNSBL») . Локальные пользователи будут использовать программное обеспечение клиента email для того, чтобы получить электронную почту с локального SMTPсервера. Протокол SMTP также используется при отправке клиентами электронной почты, SMTP ALG может использоваться для мониторига SMTP-трафика между клиентами и серверами. 248
Функции SMTP ALG Основные функции SMTP ALG: Email rate limiting Можно назначить максимально допустимую скорость передачи email сообщений. Данный показатель рассчитывается на основе IP-адреса источника, другими словами, это не общий показатель, представляющий интерес, а показатель, зависящий от определенного источника email. Данная функция является очень полезной, так как обеспечивает защиту от клиентов или серверов, зараженных вирусом, отправляющих большое количество вредоносных сообщений. Email size limiting Можно назначить максимально допустимый размер email сообщений. С помощью данной функции можно подсчитать общее количество байт для одного сообщения, к которому относятся: размер заголовка, размер содержимого, размер любого вложения после шифрования. Следует иметь в виду, что размер сообщения email, например, с вложением в 100 Кбайт, будет больше, чем сообщение без вложения размером 100 Кбайт. Размер переданного сообщения может быть 120 Кбайт или более, т.к. автоматическая кодировка вложения может существенно увеличить его размер. Поэтому при установке данного ограничения администратор должен указать размер выше ожидаемого. Email address blacklisting Можно внести в «черный список» адреса отправителя или получателя электронной почты для того, чтобы заблокировать сообщения с данными адресами. «Черный список» применяется после «белого списка», таким образом, если адрес соответствует записи в «белом списке», проверка на наличие его в «черном списке» не выполняется. Email address whitelisting Можно внести в «белый список» адреса отправителя или получателя электронной почты для того, чтобы разрешить прохождение через ALG независимо от того, занесен ли адрес в «черный список» или письмо отмечено как «спам». Verify MIME type Можно проверить содержание прикрепленного файла на соответствие с указанным расширением. Список всех типов файлов, проверенных данным способом, можно найти в Приложении C, Проверенные типы файлов MIME. Та же опция доступна в HTTP ALG, подробное описание ее работы представлено в Разделе 6.2.2, «HTTP ALG». Block/Allow filetype Предварительно определенные расширения файлов из списка могут быть заблокированы или разрешены как вложения, в список могут быть добавлены новые расширения файлов. Та же опция доступна в HTTP ALG, подробное описание ее работы представлено в Разделе 6.2.2, «HTTP ALG». Anti-Virus scanning Антивирусная подсистема NetDefendOS может выполнить сканирование вложения email для выявления вредоносного кода. Подозрительные файлы могут быть 249
- Page 197 and 198: Рисунок 4.15 Многоад
- Page 199 and 200: Рисунок 4.16. Работа
- Page 201 and 202: 4. OK 4.6.3.2. Настройка I
- Page 203 and 204: 4. OK • Source Interface: wan •
- Page 205 and 206: По умолчанию: 30,000 IGM
- Page 207 and 208: маршрутизатор и ис
- Page 209 and 210: Шаги по установки,
- Page 211 and 212: Рисунок 4.18 Доступ в
- Page 213 and 214: 3. OK • IP Address: 10.0.0.1 •
- Page 215 and 216: 3. OK • Interfaces: Выбрат
- Page 217 and 218: • Cisco proprietary PVST+ Protoco
- Page 219 and 220: • RewriteLog - Перезапис
- Page 221 and 222: • Интерфейс Каждый
- Page 223 and 224: 1. Зайдите System > DHCP > D
- Page 225 and 226: В этом примере демо
- Page 227 and 228: 1. Добавьте VLAN интер
- Page 229 and 230: Базовые настройки
- Page 231 and 232: применению интерфе
- Page 233 and 234: Рекомендуется выпо
- Page 235 and 236: TCP/IP. В системе NetDefend
- Page 237 and 238: содержимого». • Ан
- Page 239 and 240: «черного списка» б
- Page 241 and 242: Примечание: Автома
- Page 243 and 244: Если данная функци
- Page 245 and 246: Б. Определите Service: 1
- Page 247: зависимости от тог
- Page 251 and 252: Например, запись ад
- Page 253 and 254: DSNBL-сервер указывае
- Page 255 and 256: Учет для вышедших и
- Page 257 and 258: alt_smtp_alg inactive 0 0 0 С по
- Page 259 and 260: Рис. 6.6. Использован
- Page 261 and 262: экрана NetDefend, но так
- Page 263 and 264: реализуется через
- Page 265 and 266: traversal Нет необходим
- Page 267 and 268: ProxyAndClients Если функц
- Page 269 and 270: Примечание Контакт
- Page 271 and 272: в IP-сетях. Стандарт
- Page 273 and 274: определенном сцена
- Page 275 and 276: • Destination Interface: core •
- Page 277 and 278: • Source Network: lannet • Dest
- Page 279 and 280: 2. Введите: • Name: H323In
- Page 281 and 282: Привратник H.323 расп
- Page 283 and 284: 3. Нажмите OK Пример 6
- Page 285 and 286: банковским услугам
- Page 287 and 288: Шифровка, поддержи
- Page 289 and 290: Web-интерфейс 1. Зайд
- Page 291 and 292: 7. Нажмите OK Продолж
- Page 293 and 294: отдельная подписка
- Page 295 and 296: и поможет избежать
- Page 297 and 298: 4. С этого момента п
Функции SMTP ALG<br />
Основные функции SMTP ALG:<br />
Email rate limiting Можно назначить максимально допустимую скорость<br />
передачи email сообщений. Данный показатель<br />
рассчитывается на основе IP-адреса источника, другими<br />
словами, это не общий показатель, представляющий<br />
интерес, а показатель, зависящий от определенного<br />
источника email.<br />
Данная функция является очень полезной, так как<br />
обеспечивает защиту от клиентов или серверов,<br />
зараженных вирусом, отправляющих большое<br />
количество вредоносных сообщений.<br />
Email size limiting Можно назначить максимально допустимый размер email<br />
сообщений. С помощью данной функции можно<br />
подсчитать общее количество байт для одного<br />
сообщения, к которому относятся: размер заголовка,<br />
размер содержимого, размер любого вложения после<br />
шифрования. Следует иметь в виду, что размер<br />
сообщения email, например, с вложением в 100 Кбайт,<br />
будет больше, чем сообщение без вложения размером<br />
100 Кбайт. Размер переданного сообщения может быть<br />
120 Кбайт или более, т.к. автоматическая кодировка<br />
вложения может существенно увеличить его размер.<br />
Поэтому при установке данного ограничения<br />
администратор должен указать размер выше<br />
ожидаемого.<br />
Email address blacklisting Можно внести в «черный список» адреса отправителя<br />
или получателя электронной почты для того, чтобы<br />
заблокировать сообщения с данными адресами. «Черный<br />
список» применяется после «белого списка», таким<br />
образом, если адрес соответствует записи в «белом<br />
списке», проверка на наличие его в «черном списке» не<br />
выполняется.<br />
Email address whitelisting Можно внести в «белый список» адреса отправителя или<br />
получателя электронной почты для того, чтобы<br />
разрешить прохождение через ALG независимо от того,<br />
занесен ли адрес в «черный список» или письмо<br />
отмечено как «спам».<br />
Verify MIME type Можно проверить содержание прикрепленного файла на<br />
соответствие с указанным расширением. Список всех<br />
типов файлов, проверенных данным способом, можно<br />
найти в Приложении C, Проверенные типы файлов<br />
MIME. Та же опция доступна в HTTP ALG, подробное<br />
описание ее работы представлено в Разделе 6.2.2, «HTTP<br />
ALG».<br />
Block/Allow filetype Предварительно определенные расширения файлов из<br />
списка могут быть заблокированы или разрешены как<br />
вложения, в список могут быть добавлены новые<br />
расширения файлов. Та же опция доступна в HTTP ALG,<br />
подробное описание ее работы представлено в Разделе<br />
6.2.2, «HTTP ALG».<br />
Anti-Virus scanning Антивирусная подсистема NetDefendOS может<br />
выполнить сканирование вложения email для выявления<br />
вредоносного кода. Подозрительные файлы могут быть<br />
249