NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Решение B – Без использования NAT<br />
Выполните следующие шаги по установке:<br />
1. Определите один объект SIP ALG, используя опции, описанные выше.<br />
2. Определите объект Служба, связанный с объектом SIP ALG. У объекта службы должны быть:<br />
• Порт назначения - 5060 (по умолчанию сигнальный порт SIP)<br />
• Тип - TCP/UDP<br />
3. Укажите 4 правила в наборе IP-правил:<br />
• Правило Allow для исходящего трафика, направленного от клиентов во внутренней сети на<br />
proxy-сервер, подключенный к DMZ-интерфейсу.<br />
• Правило Allow для исходящего трафика, направленного от proxy-сервера, находящегося<br />
позади DMZ-интерфейса, удаленным клиентам в сети Интернет.<br />
• Правило Allow для входящего SIP-трафика от SIP proxy-сервера позади DMZ-интерфейса<br />
клиентам в локальной, защищенной сети.<br />
• Правило Allow для входящего SIP-трафика от клиентов и proxy-серверов в сети Интернет на<br />
proxy-сервер позади DMZ-интерфейса.<br />
4. Еси на proxy-сервере выключена функция Record-Route, необходимо разрешить прямой обмен<br />
SIP-сообщениями между клиентами без игнорирования proxy-сервера. При отключенной<br />
функции Record-Route требуются два следующих дополнительных правила:<br />
• Правило Allow для исходящего трафика от клиентов в локальной сети внешним клиентам и<br />
proxy-серверам в сети Интернет.<br />
• Правило Allow для входящего SIP-трафика из сети Интернет клиентам в локальной сети.<br />
При включенной функции Record-Route требуются следующие IP-правила:<br />
Действие<br />
(Action)<br />
Интерфейс<br />
источника<br />
(Src<br />
Interface)<br />
Сеть<br />
источника<br />
(Src<br />
Network)<br />
Интерфейс<br />
назначения<br />
(Dest<br />
Interface)<br />
Сеть<br />
назначения<br />
(Dest<br />
Network)<br />
OutboundToProxy Allow lan lannet dmz ip_proxy<br />
OutboundFromProxy Allow dmz ip_proxy lan lannet<br />
InboundFromProxy Allow dmz ip_proxy core dmz_ip<br />
InboundToProxy Allow wan all-nets dmz ip_proxy<br />
Если функция Record-Route выключена, то необходимо добавить следующие IP-правила:<br />
Действие<br />
(Action)<br />
Интерфейс<br />
источника<br />
(Src<br />
Interface)<br />
Сеть<br />
источника<br />
(Src<br />
Network)<br />
Интерфейс<br />
назначения<br />
(Dest<br />
Interface)<br />
Сеть<br />
назначения<br />
(Dest<br />
Network)<br />
OutboundBypassProxy Allow lan lannet wan all-nets<br />
InboundBypassProxy Allow wan all-nets lan lannet<br />
6.2.9. H.323 ALG<br />
Стандарт H.323 – это набор протоколов, разработанный Международным Союзом<br />
Телекоммуникаций (International Telecommunication Union, ITU) для организации видеоконференций<br />
270