NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Решение B – Без использования NAT Выполните следующие шаги по установке: 1. Определите один объект SIP ALG, используя опции, описанные выше. 2. Определите объект Служба, связанный с объектом SIP ALG. У объекта службы должны быть: • Порт назначения - 5060 (по умолчанию сигнальный порт SIP) • Тип - TCP/UDP 3. Укажите 4 правила в наборе IP-правил: • Правило Allow для исходящего трафика, направленного от клиентов во внутренней сети на proxy-сервер, подключенный к DMZ-интерфейсу. • Правило Allow для исходящего трафика, направленного от proxy-сервера, находящегося позади DMZ-интерфейса, удаленным клиентам в сети Интернет. • Правило Allow для входящего SIP-трафика от SIP proxy-сервера позади DMZ-интерфейса клиентам в локальной, защищенной сети. • Правило Allow для входящего SIP-трафика от клиентов и proxy-серверов в сети Интернет на proxy-сервер позади DMZ-интерфейса. 4. Еси на proxy-сервере выключена функция Record-Route, необходимо разрешить прямой обмен SIP-сообщениями между клиентами без игнорирования proxy-сервера. При отключенной функции Record-Route требуются два следующих дополнительных правила: • Правило Allow для исходящего трафика от клиентов в локальной сети внешним клиентам и proxy-серверам в сети Интернет. • Правило Allow для входящего SIP-трафика из сети Интернет клиентам в локальной сети. При включенной функции Record-Route требуются следующие IP-правила: Действие (Action) Интерфейс источника (Src Interface) Сеть источника (Src Network) Интерфейс назначения (Dest Interface) Сеть назначения (Dest Network) OutboundToProxy Allow lan lannet dmz ip_proxy OutboundFromProxy Allow dmz ip_proxy lan lannet InboundFromProxy Allow dmz ip_proxy core dmz_ip InboundToProxy Allow wan all-nets dmz ip_proxy Если функция Record-Route выключена, то необходимо добавить следующие IP-правила: Действие (Action) Интерфейс источника (Src Interface) Сеть источника (Src Network) Интерфейс назначения (Dest Interface) Сеть назначения (Dest Network) OutboundBypassProxy Allow lan lannet wan all-nets InboundBypassProxy Allow wan all-nets lan lannet 6.2.9. H.323 ALG Стандарт H.323 – это набор протоколов, разработанный Международным Союзом Телекоммуникаций (International Telecommunication Union, ITU) для организации видеоконференций 270
в IP-сетях. Стандарт H.323 используется для передачи аудио, видеоданных в режиме реального времени в сетях, действующих на основе механизма передачи пакетов, например, сети Интернет. H.323 определяет компоненты, протоколы и операции для передачи мультимедиа, включая IPтелефонию и voice-over-IP (VoIP). Компоненты H.323 H.323 состоит из 4-х основных компонентов: Терминалы (Terminals) Устройства, используемые для передачи аудио и видео, такие как телефоны, средства проведения видеоконференций, например, программа "NetMeeting". Шлюзы (Gateways) Предназначены для организации соединения между сетями H.323 и другими сетями, например, Телефонной Сетью Общего Пользования (PSTN), обеспечивая передачу данных по протоколам и преобразование потоков медиа-данных. Для установки соединения между двумя терминалами H.323 шлюз не требуется. Привратники (Gatekeepers) Привратник – это компонент в системе H.323, который используется для адресации, авторизации и аутентификации терминалов и шлюзов. Привратник также поддерживает функции управления полосой пропускания, учетными данными, составлением счетов и балансом загрузки. Привратник может разрешить звонки непосредственно между конечными точками или может маршрутизировать сигнализацию вызова через себя для того, чтобы выполнить такие функции как Follow-me/findme, Forward on busy и т.д. Это требуется при наличии более одного терминала H.323 позади натирующего устройства только с одним публичным IP-адресом. Серверы многосторонней конференции (Multipoint Control Units) Протоколы H.323 Для реализации H.323 используются различные протоколы: H.225 RAS signalling and Call Control (Setup) signalling Серверы многосторонней конференции (MCUs) обеспечивают связь трех или более H.323 терминалов. Всем терминалам H.323, участвующим в конференции, необходимо установить соединение с сервером многосторонней конференции. Сервер многосторонней конференции управляет звонками, ресурсами, видео и аудио-кодеками, используемыми при совершении звонка. Используется для сигналов вызова. Также используется для установления соединения между двумя конечными точками H.323. Данный канал сигнала вызова открывается между двумя конечными точками H.323 или между конечной точкой H.323 и привратником. Для организации передачи данных между двумя конечными точками H.323, используется TCP-порт 1720. При подключении к привратнику используется UDP-порт 1719 (RASсообщения H.225). H.245 Media Control and Transport Обеспечивает управление мультимедийными сессиями, установленными между двумя конечными точками H.323. 271
- Page 219 and 220: • RewriteLog - Перезапис
- Page 221 and 222: • Интерфейс Каждый
- Page 223 and 224: 1. Зайдите System > DHCP > D
- Page 225 and 226: В этом примере демо
- Page 227 and 228: 1. Добавьте VLAN интер
- Page 229 and 230: Базовые настройки
- Page 231 and 232: применению интерфе
- Page 233 and 234: Рекомендуется выпо
- Page 235 and 236: TCP/IP. В системе NetDefend
- Page 237 and 238: содержимого». • Ан
- Page 239 and 240: «черного списка» б
- Page 241 and 242: Примечание: Автома
- Page 243 and 244: Если данная функци
- Page 245 and 246: Б. Определите Service: 1
- Page 247 and 248: зависимости от тог
- Page 249 and 250: Функции SMTP ALG Основ
- Page 251 and 252: Например, запись ад
- Page 253 and 254: DSNBL-сервер указывае
- Page 255 and 256: Учет для вышедших и
- Page 257 and 258: alt_smtp_alg inactive 0 0 0 С по
- Page 259 and 260: Рис. 6.6. Использован
- Page 261 and 262: экрана NetDefend, но так
- Page 263 and 264: реализуется через
- Page 265 and 266: traversal Нет необходим
- Page 267 and 268: ProxyAndClients Если функц
- Page 269: Примечание Контакт
- Page 273 and 274: определенном сцена
- Page 275 and 276: • Destination Interface: core •
- Page 277 and 278: • Source Network: lannet • Dest
- Page 279 and 280: 2. Введите: • Name: H323In
- Page 281 and 282: Привратник H.323 расп
- Page 283 and 284: 3. Нажмите OK Пример 6
- Page 285 and 286: банковским услугам
- Page 287 and 288: Шифровка, поддержи
- Page 289 and 290: Web-интерфейс 1. Зайд
- Page 291 and 292: 7. Нажмите OK Продолж
- Page 293 and 294: отдельная подписка
- Page 295 and 296: и поможет избежать
- Page 297 and 298: 4. С этого момента п
- Page 299 and 300: Категория 10: Игры Web
- Page 301 and 302: Категория 22: Клубы
- Page 303 and 304: Пример 6.18. Отправка
- Page 305 and 306: 6.4.2. Реализация Пот
- Page 307 and 308: 6.4.6. Функции Антиви
- Page 309 and 310: коммутаторах, так к
- Page 311 and 312: 6.5.2. Система IDP и уст
- Page 313 and 314: 3. Это изменение нас
- Page 315 and 316: NetDefendOS автоматичес
- Page 317 and 318: Списки групп IDP Спи
- Page 319 and 320: Правила IDP: 1. Зайдит
в IP-сетях. Стандарт H.323 используется для передачи аудио, видеоданных в режиме реального<br />
времени в сетях, действующих на основе механизма передачи пакетов, например, сети Интернет.<br />
H.323 определяет компоненты, протоколы и операции для передачи мультимедиа, включая IPтелефонию<br />
и voice-over-IP (VoIP).<br />
Компоненты H.323<br />
H.323 состоит из 4-х основных компонентов:<br />
Терминалы (Terminals) Устройства, используемые для передачи аудио и видео, такие<br />
как телефоны, средства проведения видеоконференций,<br />
например, программа "NetMeeting".<br />
Шлюзы (Gateways) Предназначены для организации соединения между сетями<br />
H.323 и другими сетями, например, Телефонной Сетью Общего<br />
Пользования (PSTN), обеспечивая передачу данных по<br />
протоколам и преобразование потоков медиа-данных. Для<br />
установки соединения между двумя терминалами H.323 шлюз не<br />
требуется.<br />
Привратники (Gatekeepers) Привратник – это компонент в системе H.323, который<br />
используется для адресации, авторизации и аутентификации<br />
терминалов и шлюзов. Привратник также поддерживает<br />
функции управления полосой пропускания, учетными данными,<br />
составлением счетов и балансом загрузки. Привратник может<br />
разрешить звонки непосредственно между конечными точками<br />
или может маршрутизировать сигнализацию вызова через себя<br />
для того, чтобы выполнить такие функции как Follow-me/findme,<br />
Forward on busy и т.д. Это требуется при наличии более<br />
одного терминала H.323 позади натирующего устройства только<br />
с одним публичным IP-адресом.<br />
Серверы многосторонней<br />
конференции (Multipoint<br />
Control Units)<br />
Протоколы H.323<br />
Для реализации H.323 используются различные протоколы:<br />
H.225 RAS signalling and Call Control<br />
(Setup) signalling<br />
Серверы многосторонней конференции (MCUs) обеспечивают<br />
связь трех или более H.323 терминалов. Всем терминалам H.323,<br />
участвующим в конференции, необходимо установить<br />
соединение с сервером многосторонней конференции. Сервер<br />
многосторонней конференции управляет звонками, ресурсами,<br />
видео и аудио-кодеками, используемыми при совершении<br />
звонка.<br />
Используется для сигналов вызова. Также используется<br />
для установления соединения между двумя конечными<br />
точками H.323. Данный канал сигнала вызова открывается<br />
между двумя конечными точками H.323 или между<br />
конечной точкой H.323 и привратником. Для организации<br />
передачи данных между двумя конечными точками H.323,<br />
используется TCP-порт 1720. При подключении к<br />
привратнику используется UDP-порт 1719 (RASсообщения<br />
H.225).<br />
H.245 Media Control and Transport Обеспечивает управление мультимедийными сессиями,<br />
установленными между двумя конечными точками H.323.<br />
271