NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
ProxyAndClients<br />
Если функция Record-Route включена, то Сеть назначения для исходящего трафика от<br />
пользователей proxy-сервера может быть ограничена в правилах выше с помощью «ip_proxy».<br />
При получении входящего вызова, SIP ALG придерживается правила SAT и перенаправит запрос SIP<br />
на proxy-сервер. Proxy-сервер, в свою очередь, перенаправит запрос конечному клиенту.<br />
Если функция Record-Route выключена на proxy-сервере, в зависимости от статуса SIP-cессии, SIP<br />
ALG может перенаправить входящие SIP-сообщения непосредственно клиенту с игнорированием<br />
SIP proxy-сервера. Это происходит автоматически без дополнительных настроек.<br />
Решение B – Без использования NAT<br />
Если NAT не используется, правило NAT для исходящего трафика заменяется правилом Allow.<br />
Правило SAT для исходящего трафика и правила Allow заменяются одним правилом Allow.<br />
OutboundFrom<br />
Proxy&Clients<br />
InboundTo<br />
Proxy&Clients<br />
Действие<br />
(Action)<br />
Интерфейс<br />
источника<br />
(Src<br />
Interface)<br />
Сеть<br />
источника<br />
(Src<br />
Network)<br />
Allow lan lannet<br />
(ip_proxy)<br />
Интерфейс<br />
назначения<br />
(Dest<br />
Interface)<br />
Сеть<br />
назначения<br />
(Dest<br />
Network)<br />
wan all-nets<br />
Allow wan all-nets lan lannet<br />
(ip_proxy)<br />
Если функция Record-Route включена, то сети в правилах указанных выше могут быть<br />
дополнительно ограничены с помощью «(ip_proxy)» как указано в таблице.<br />
Сценарий 3<br />
Защита proxy-сервера и локальных клиентов – Proxy-сервер подключен к<br />
интерфейсу DMZ<br />
Данный сценарий аналогичен предыдущему, за исключением расположения локального SIP proxyсервера.<br />
Сервер работает на отдельном интерфейсе и подключен к локальной сети. Эта установка<br />
увеличивает уровень безопасности, так как передача данных по протоколу SIP не осуществляется<br />
напрямую между удаленной конечной точкой и локальным, защищенным клиентом.<br />
В данном сценарии уровень сложности выше, так как поток SIP-сообщений проходит через три<br />
267