NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
SIP proxy в приведенной выше диаграмме может быть расположен удаленно в сети Интернет.<br />
Функция Record-Route должна быть включена для того чтобы весь SIP-трафик, отправленный или<br />
полученный клиентами офиса, мог быть отправлен через SIP Proxy. Это рекомендуемая функция,<br />
так как она сводит атаки к минимуму, разрешая прохождение в локальную сеть только SIP<br />
сигнализации с SIP Proxy-сервера.<br />
Данный сценарий выполняется двумя способами:<br />
• С применением NAT для скрытия топологии сети.<br />
• Без применения NAT, таким образом, топология сети открыта.<br />
Примечание: Нет необходимости в настройке NAT<br />
traversal<br />
Нет необходимости в настройке NAT Traversal для клиентов SIP и SIP<br />
Proxies. Например, не должен использоваться протокол Simple Traversal of UDP through NATs<br />
(STUN). NetDefendOS SIP ALG решает все вопросы, связанные с NAT traversal в SIP.<br />
Для данного сценария выполните следующие шаги по установке:<br />
1. Определите объект SIP ALG, используя функции, описанные выше.<br />
2. Определите объект Служба, который связан с объектом SIP ALG. В службе должны<br />
поддерживаться следующие параметры:<br />
• Порт назначения – 5060 (по умолчанию сигнальный порт SIP).<br />
• Тип – TCP/UDP.<br />
3. Укажите два правила в наборе IP-правил:<br />
• NAT-правило для трафика, исходящего от клиентов во внутренней сети на сервер SIP Proxy<br />
расположенный во внешней сети. SIP ALG будет следить за передачей всех адресов, необходимых<br />
для правила NAT. Данная передача будет происходить как на IP-уровне, так и на уровне<br />
приложений. Ни клиенты, ни proxy-серверы не должны быть осведомлены, что локальные<br />
пользователи натируются.<br />
• Правило Allow для SIP-трафика, входящего с SIP proxy-сервера на IP межсетевого экрана<br />
NetDefend. Данное правило использует core (другими словами, NetDefendOS) в качестве интерфейса<br />
назначения. Причина этого связана с правилом NAT, указанным выше. При получении входящего<br />
вызова, NetDefendOS будет автоматически определять локального получателя, выполнять передачу<br />
адреса и перенаправлять SIP-сообщения получателю.<br />
Нет необходимости в правиле SAT для передачи входящих SIP-сообщений, так как ALG<br />
автоматически перенаправит входящие SIP-запросы необходимому внутреннему пользователю.<br />
Если SIP-клиент позади натирующего межсетевого экрана NetDefend регистрируется с внешним SIP<br />
proxy-сервером, NetDefendOS отправляет свой собственный IP-адрес в качестве контактной<br />
информации на SIP proxy-сервер. Система NetDefendOS регистрирует контактную информацию о<br />
локальном клиенте и использует ее для перенаправления входящих вызовов пользователю. ALG<br />
следит за необходимой передачей адреса.<br />
4. Убедитесь в том, что клиенты корректно настроены. SIP Proxy-сервер играет ключевую роль в<br />
определении текущего расположения другого клиента, участвующего в сессии. IP-адрес proxyсервера<br />
не определяется в ALG. Вместо этого его местонахождение либо введено непосредственно<br />
на программное обеспечение клиента, либо клиент обладает возможностью получить IP-адрес proxyсервера<br />
автоматически, например, через DHCP.<br />
Примечание: Нет необходимости в настройке NAT<br />
264