NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
SIP proxy в приведенной выше диаграмме может быть расположен удаленно в сети Интернет. Функция Record-Route должна быть включена для того чтобы весь SIP-трафик, отправленный или полученный клиентами офиса, мог быть отправлен через SIP Proxy. Это рекомендуемая функция, так как она сводит атаки к минимуму, разрешая прохождение в локальную сеть только SIP сигнализации с SIP Proxy-сервера. Данный сценарий выполняется двумя способами: • С применением NAT для скрытия топологии сети. • Без применения NAT, таким образом, топология сети открыта. Примечание: Нет необходимости в настройке NAT traversal Нет необходимости в настройке NAT Traversal для клиентов SIP и SIP Proxies. Например, не должен использоваться протокол Simple Traversal of UDP through NATs (STUN). NetDefendOS SIP ALG решает все вопросы, связанные с NAT traversal в SIP. Для данного сценария выполните следующие шаги по установке: 1. Определите объект SIP ALG, используя функции, описанные выше. 2. Определите объект Служба, который связан с объектом SIP ALG. В службе должны поддерживаться следующие параметры: • Порт назначения – 5060 (по умолчанию сигнальный порт SIP). • Тип – TCP/UDP. 3. Укажите два правила в наборе IP-правил: • NAT-правило для трафика, исходящего от клиентов во внутренней сети на сервер SIP Proxy расположенный во внешней сети. SIP ALG будет следить за передачей всех адресов, необходимых для правила NAT. Данная передача будет происходить как на IP-уровне, так и на уровне приложений. Ни клиенты, ни proxy-серверы не должны быть осведомлены, что локальные пользователи натируются. • Правило Allow для SIP-трафика, входящего с SIP proxy-сервера на IP межсетевого экрана NetDefend. Данное правило использует core (другими словами, NetDefendOS) в качестве интерфейса назначения. Причина этого связана с правилом NAT, указанным выше. При получении входящего вызова, NetDefendOS будет автоматически определять локального получателя, выполнять передачу адреса и перенаправлять SIP-сообщения получателю. Нет необходимости в правиле SAT для передачи входящих SIP-сообщений, так как ALG автоматически перенаправит входящие SIP-запросы необходимому внутреннему пользователю. Если SIP-клиент позади натирующего межсетевого экрана NetDefend регистрируется с внешним SIP proxy-сервером, NetDefendOS отправляет свой собственный IP-адрес в качестве контактной информации на SIP proxy-сервер. Система NetDefendOS регистрирует контактную информацию о локальном клиенте и использует ее для перенаправления входящих вызовов пользователю. ALG следит за необходимой передачей адреса. 4. Убедитесь в том, что клиенты корректно настроены. SIP Proxy-сервер играет ключевую роль в определении текущего расположения другого клиента, участвующего в сессии. IP-адрес proxyсервера не определяется в ALG. Вместо этого его местонахождение либо введено непосредственно на программное обеспечение клиента, либо клиент обладает возможностью получить IP-адрес proxyсервера автоматически, например, через DHCP. Примечание: Нет необходимости в настройке NAT 264
traversal Нет необходимости в настройке NAT Traversal для клиентов SIP и SIP Proxies. Например, не должен использоваться протокол Simple Traversal of UDP through NATs (STUN). NetDefendOS SIP ALG решает все вопросы, связанные с NAT traversal в SIP. IP-правила с включенной функцией Record-Route отображены ниже, изменения, применяемые при использовании NAT отображены в круглых скобках «(..)». Действие Интерфейс Сеть источника Интерфейс Сеть назначения (Action) источника назначения Allow (или NAT) lan lannet wan ip_proxy Allow wan ip_proxy lan lannet (или core) (или wan_ip) IP-правила без включенной функции Record-Route отображены ниже, изменения, применяемые при использовании NAT снова отображены в круглых скобках «(..)». Действие Интерфейс Сеть источника Интерфейс Сеть назначения (Action) источника назначения Allow (или NAT) lan lannet wan Allow wan lan lannet (или core) (or ipwan) Преимущества использования функции Record-Route очевидны, так как сеть назначения для исходящего трафика и сеть источника для входящего трафика содержат все возможные IP-адреса. Примечание: Объект Служба для IP-правил В данном разделе, таблицы со списками IP-правил, отображенными выше, пропускают объект Служба, связанный с правилом. Тот же пользовательский объект Служба используется для всех сценариев SIP. Сценарий 2 Защита proxy-серверов и локальных клиентов – Proxy-сервер находится в той же сети, что и клиенты Основной целью данного сценария является защита локальных клиентов, а также SIP proxy-сервера. Proxy-сервер расположен в той же локальной сети, что и клиенты, с сигнализацией SIP потоком медиа-данных, проходящем через два интерфейса. Данный сценарий проиллюстрирован ниже. 265
- Page 213 and 214: 3. OK • IP Address: 10.0.0.1 •
- Page 215 and 216: 3. OK • Interfaces: Выбрат
- Page 217 and 218: • Cisco proprietary PVST+ Protoco
- Page 219 and 220: • RewriteLog - Перезапис
- Page 221 and 222: • Интерфейс Каждый
- Page 223 and 224: 1. Зайдите System > DHCP > D
- Page 225 and 226: В этом примере демо
- Page 227 and 228: 1. Добавьте VLAN интер
- Page 229 and 230: Базовые настройки
- Page 231 and 232: применению интерфе
- Page 233 and 234: Рекомендуется выпо
- Page 235 and 236: TCP/IP. В системе NetDefend
- Page 237 and 238: содержимого». • Ан
- Page 239 and 240: «черного списка» б
- Page 241 and 242: Примечание: Автома
- Page 243 and 244: Если данная функци
- Page 245 and 246: Б. Определите Service: 1
- Page 247 and 248: зависимости от тог
- Page 249 and 250: Функции SMTP ALG Основ
- Page 251 and 252: Например, запись ад
- Page 253 and 254: DSNBL-сервер указывае
- Page 255 and 256: Учет для вышедших и
- Page 257 and 258: alt_smtp_alg inactive 0 0 0 С по
- Page 259 and 260: Рис. 6.6. Использован
- Page 261 and 262: экрана NetDefend, но так
- Page 263: реализуется через
- Page 267 and 268: ProxyAndClients Если функц
- Page 269 and 270: Примечание Контакт
- Page 271 and 272: в IP-сетях. Стандарт
- Page 273 and 274: определенном сцена
- Page 275 and 276: • Destination Interface: core •
- Page 277 and 278: • Source Network: lannet • Dest
- Page 279 and 280: 2. Введите: • Name: H323In
- Page 281 and 282: Привратник H.323 расп
- Page 283 and 284: 3. Нажмите OK Пример 6
- Page 285 and 286: банковским услугам
- Page 287 and 288: Шифровка, поддержи
- Page 289 and 290: Web-интерфейс 1. Зайд
- Page 291 and 292: 7. Нажмите OK Продолж
- Page 293 and 294: отдельная подписка
- Page 295 and 296: и поможет избежать
- Page 297 and 298: 4. С этого момента п
- Page 299 and 300: Категория 10: Игры Web
- Page 301 and 302: Категория 22: Клубы
- Page 303 and 304: Пример 6.18. Отправка
- Page 305 and 306: 6.4.2. Реализация Пот
- Page 307 and 308: 6.4.6. Функции Антиви
- Page 309 and 310: коммутаторах, так к
- Page 311 and 312: 6.5.2. Система IDP и уст
- Page 313 and 314: 3. Это изменение нас
traversal<br />
Нет необходимости в настройке NAT Traversal для клиентов SIP и SIP Proxies. Например, не<br />
должен использоваться протокол Simple Traversal of UDP through NATs (STUN). NetDefendOS SIP<br />
ALG решает все вопросы, связанные с NAT traversal в SIP.<br />
IP-правила с включенной функцией Record-Route отображены ниже, изменения, применяемые при<br />
использовании NAT отображены в круглых скобках «(..)».<br />
Действие Интерфейс Сеть источника Интерфейс Сеть назначения<br />
(Action) источника<br />
назначения<br />
Allow<br />
(или NAT)<br />
lan lannet wan ip_proxy<br />
Allow wan ip_proxy lan<br />
lannet<br />
(или core) (или wan_ip)<br />
IP-правила без включенной функции Record-Route отображены ниже,<br />
изменения, применяемые при использовании NAT снова отображены в<br />
круглых скобках «(..)».<br />
Действие Интерфейс Сеть источника Интерфейс Сеть назначения<br />
(Action) источника<br />
назначения<br />
Allow<br />
(или NAT)<br />
lan lannet wan <br />
Allow wan lan<br />
lannet<br />
(или core) (or ipwan)<br />
Преимущества использования функции Record-Route очевидны, так как сеть назначения для<br />
исходящего трафика и сеть источника для входящего трафика содержат все возможные IP-адреса.<br />
Примечание: Объект Служба для IP-правил<br />
В данном разделе, таблицы со списками IP-правил, отображенными выше,<br />
пропускают объект Служба, связанный с правилом. Тот же пользовательский<br />
объект Служба используется для всех сценариев SIP.<br />
Сценарий 2<br />
Защита proxy-серверов и локальных клиентов – Proxy-сервер находится в<br />
той же сети, что и клиенты<br />
Основной целью данного сценария является защита локальных клиентов, а также SIP proxy-сервера.<br />
Proxy-сервер расположен в той же локальной сети, что и клиенты, с сигнализацией SIP потоком<br />
медиа-данных, проходящем через два интерфейса. Данный сценарий проиллюстрирован ниже.<br />
265