NetdefendOS_2.27.01_Firewall_User_Manual_RUS

04.03.2013 Views
Наиболее важная задача заключается в согласовании открытия и закрытия логических каналов. Логическим каналом может быть, например, канал, используемый для передачи аудио. Во время согласования каналы, используемые для передачи видео и данных по протоколу T.120 также называются логическими каналами. T.120 Набор протоколов приложений и коммуникации. В зависимости от типа продукта H.323, T.120 может использоваться для совместного применения приложений, передачи файлов, а также для функций, обеспечивающий проведение конференций, например, функция White board (Электронная доска). Функции H.323 ALG H.323 ALG представляет собой шлюз уровня приложения, который позволяет устройствам H.323, таким как телефоны H.323 и приложения, выполнять и принимать вызовы между друг другом при подключении через приватные сети, защищенные межсетевыми экранами NetDefend. Стандарт H.323 не был предназначен для работы с NAT, так как IP-адреса и порты отправляются в полезную нагрузку сообщений H.323. H.323 ALG переадресовывает и передает сообщения H.323, чтобы убедиться, что они будут направлены на корректный адрес назначения и им будет разрешено проходить через межсетевой экран NetDefend. H.323 ALG поддерживает следующие функции: • H.323 ALG поддерживает версию 5 спецификации H.323. Данная спецификация основана на H.225.0 v5 и H.245 v10. • Помимо голосовых и видео-вызовов, H.323 ALG поддерживает обмен приложениями по протоколу T.120. Для передачи данных протокол T.120 использует TCP, а для передачи голоса и видео – UDP. • Для поддержки привратников ALG осуществляет мониторинг RAS-трафика между конечными точками H.323 и привратником для того, чтобы корректно настроить прохождение вызовов через межсетевой экран NetDefend. • Поддержка правил NAT и SAT позволяет клиентам и привратникам использовать приватные IPадреса в сети позади межсетевого экрана NetDefend. Настройка H.323 ALG Конфигурация стандарта H.323 ALG может быть изменена в соответствии с различными вариантами использования. Настраиваемыми функциями являются: • Allow TCP Data Channels – Данная функция обеспечивает согласование каналов передачи данных по протоколу TCP. Каналы передачи данных используются, например, протоколом T.120. • Number of TCP Data Channels – Можно указать количество каналов для передачи данных по протоколу TCP. • Address Translation – Можно указать Network (Сеть) для натированного трафика, разрешенного для передачи. External IP (Внешний IP) для Network – это IP-адрес, для которого применяется NAT. Если для внешнего IP-адреса установлено значение Auto, то выполняет автоматический поиск внешнего IP-адреса с помощью «route lookup». • Translate Logical Channel Addresses – Как правило, эта функция всегда настроена. Если функция выключена, то передача адреса не будет выполняться по адресам логических каналов и администратору необходимо быть уверенным в IP-адресах и маршрутах, используемых в 272

определенном сценарии. • Gatekeeper Registration Lifetime – Можно контролировать срок действия регистрации привратника для того, чтобы клиенты выполняли повторную регистрацию в течение определенного времени. Чем короче срок действия, тем чаще клиенты выполняют регистрацию привратника, тем самым снижая вероятность проблем, если сеть становится недоступной, и клиент думает, что все еще зарегистрирован. Ниже представлены некоторые сетевые сценарии, в которых применяется H.323 ALG. Для каждого сценария представлен пример настройки ALG и правил. В сценариях используются три службы: • Привратник (UDP ALL > 1719) • H323 (H.323 ALG, TCP ALL > 1720) • H323-привратник (H.323 ALG, UDP > 1719) Пример 6.4. Защита телефонов позади межсетевых экранов NetDefend В первом сценарии телефон H.323 подключен к межсетевому экрану NetDefend в сети (lannet) с публичными IPадресами. Для того чтобы выполнить вызов с этого телефона на другой H.323 телефон в сети Интернет, а также разрешить H.323 телефонам в сети Интернет выполнять вызовы на этот телефон, необходимо настроить правила. В набор правил необходимо добавить следующие правила, убедитесь в отсутствии правил, запрещающих или разрешающих правил тот же тип трафика / портов. Web-интерфейс Правило для исходящих вызовов 1. Зайдите Rules > IP Rules > Add > IPRule 2. Введите: • Name: H323AllowOut • Action: Allow • Service: H323 • Source Interface: lan • Destination Interface: any • Source Network: lannet • Destination Network: 0.0.0.0/0 (all-nets) • Comment: Allow outgoing calls 273

Page 1 and 2: ф 1

Page 3 and 4: Руководство пользо

Page 5 and 6: 3.1.5. Автоматически

Page 7 and 8: 6.2.10. TLS ALG....................

Page 9 and 10: 10.1.2. Traffic Shaping в NetDefen

Page 11 and 12: Предисловие Целева

Page 13 and 14: Глава 1. Обзор NetDefendO

Page 15 and 16: Traffic Management NetDefendOS об

Page 17 and 18: В конечном итоге, п

Page 19 and 20: пакетов, проходящи

Page 21 and 22: Рис. 1.2. Схематичное

Page 23 and 24: Применяемые правил

Page 25 and 26: Меню загрузки конс

Page 27 and 28: пользователя, изоб

Page 29 and 30: Б. Навигатор • Maintena

Page 31 and 32: Структура команд CLI

Page 33 and 34: добавить маршрут: gw

Page 35 and 36: Пример 2.2. Включени

Page 37 and 38: gw-world:/> show -errors Систе

Page 39 and 40: delete cc Если в сценар

Page 41 and 42: сценариев, доступн

Page 43 and 44: Загрузка выполняет

Page 45 and 46: скачивания резервн

Page 47 and 48: для доступа админи

Page 49 and 50: Пример 2.4. Отображе

Page 51 and 52: 3. В появившемся вып

Page 53 and 54: Пример 2.10. Активаци

Page 55 and 56: • MemoryLogReceiver Систем

Page 57 and 58: сообщений: команда

Page 59 and 60: как клиент сервера

Page 61 and 62: 2.3.3. Промежуточные

Page 63 and 64: Проблема может воз

Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp

Page 67 and 68: SNMP-доступа. Порт 161

Page 69 and 70: gw-world:/> pcapdump -size 1024 -st

Page 71 and 72: • Имя файла (без ра

Page 73 and 74: Примечание: Резерв

Page 75 and 76: Глава 3.Основные пр

Page 77 and 78: 2. Указать подходящ

Page 79 and 80: 3.1.5. Автоматически

Page 81 and 82: "" Web-интерфейс 1. Пер

Page 83 and 84: Другие свойства се

Page 85 and 86: интегрированный с I

Page 87 and 88: 3.2.5. Service Groups (Сервис

Page 89 and 90: • Туннельные интер

Page 91 and 92: Процесс запуска бу

Page 93 and 94: i. Обозначить интер

Page 95 and 96: Здесь клавиша Tab ис

Page 97 and 98: • Для одного физич

Page 99 and 100: Пример 3.10. Определе

Page 101 and 102: провайдер не назна

Page 103 and 104: • Remote Endpoint (Удаленн

Page 105 and 106: (Name ) (Action) источника

Page 107 and 108: Хост в Ethernet-сети мо

Page 109 and 110: Mode Тип ARP-объекта. М

Page 111 and 112: Рисунок 3.2. ARP-ответ

Page 113 and 114: ARP Match Ethernet Sender Опре

Page 115 and 116: По умолчанию: 64 ARP IP

Page 117 and 118: При определении кр

Page 119 and 120: Исключения составл

Page 121 and 122: приоритет. 3.5.5. Папк

Page 123 and 124: Примечание На рису

Page 125 and 126: В некоторых случая

Page 127 and 128: Возвращаемся на ис

Page 129 and 130: определения действ

Page 131 and 132: 3.7.3. Запросы CA серти

Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH

Page 135 and 136: Для работы с URL-прот

Page 137 and 138: Следует помнить, чт

Page 139 and 140: Пример 3.28. Настройк

Page 141 and 142: Глава 4. Маршрутиза

Page 143 and 144: Рисунок 4.1 Сценарий

Page 145 and 146: Рисунок 4.2. Примене

Page 147 and 148: Преимущества опред

Page 149 and 150: given default gateway (автома

Page 151 and 152: Мониторинг автомат

Page 153 and 154: опрашивать один ил

Page 155 and 156: 4.2.5. Расширенные на

Page 157 and 158: Рисунок 4.4. Пример Pr

Page 159 and 160: был хотя бы маршрут

Page 161 and 162: • Каждый ISP предост

Page 163 and 164: 2. Если найден тольк

Page 165 and 166: маршрут не изменяе

Page 167 and 168: gw-world:/> add RouteBalancingInsta

Page 169 and 170: подсетей, OSPF может

Page 171 and 172: Совет: Кольцевая то

Page 173 and 174: ASBR Граничные маршр

Page 175 and 176: В примере виртуаль

Page 177 and 178: Объект Автономная

Page 179 and 180: 4.5.3.2. Объект OSPF Area и

Page 181 and 182: Обмен информацией

Page 183 and 184: 183

Page 185 and 186: внешние маршруты, и

Page 187 and 188: Offset Metric Метрика уве

Page 189 and 190: Повторить шаги 1 - 5

Page 191 and 192: 4.5.6. Пример OSPF В дан

Page 193 and 194: 4.6. Многоадресная м

Page 195 and 196: Рисунок 4.14. Многоад

Page 197 and 198: Рисунок 4.15 Многоад

Page 199 and 200: Рисунок 4.16. Работа

Page 201 and 202: 4. OK 4.6.3.2. Настройка I

Page 203 and 204: 4. OK • Source Interface: wan •

Page 205 and 206: По умолчанию: 30,000 IGM

Page 207 and 208: маршрутизатор и ис

Page 209 and 210: Шаги по установки,

Page 211 and 212: Рисунок 4.18 Доступ в

Page 213 and 214: 3. OK • IP Address: 10.0.0.1 •

Page 215 and 216: 3. OK • Interfaces: Выбрат

Page 217 and 218: • Cisco proprietary PVST+ Protoco

Page 219 and 220: • RewriteLog - Перезапис

Page 221 and 222: • Интерфейс Каждый

Page 223 and 224: 1. Зайдите System > DHCP > D

Page 225 and 226: В этом примере демо

Page 227 and 228: 1. Добавьте VLAN интер

Page 229 and 230: Базовые настройки

Page 231 and 232: применению интерфе

Page 233 and 234: Рекомендуется выпо

Page 235 and 236: TCP/IP. В системе NetDefend

Page 237 and 238: содержимого». • Ан

Page 239 and 240: «черного списка» б

Page 241 and 242: Примечание: Автома

Page 243 and 244: Если данная функци

Page 245 and 246: Б. Определите Service: 1

Page 247 and 248: зависимости от тог

Page 249 and 250: Функции SMTP ALG Основ

Page 251 and 252: Например, запись ад

Page 253 and 254: DSNBL-сервер указывае

Page 255 and 256: Учет для вышедших и

Page 257 and 258: alt_smtp_alg inactive 0 0 0 С по

Page 259 and 260: Рис. 6.6. Использован

Page 261 and 262: экрана NetDefend, но так

Page 263 and 264: реализуется через

Page 265 and 266: traversal Нет необходим

Page 267 and 268: ProxyAndClients Если функц

Page 269 and 270: Примечание Контакт

Page 271: в IP-сетях. Стандарт

Page 275 and 276: • Destination Interface: core •

Page 277 and 278: • Source Network: lannet • Dest

Page 279 and 280: 2. Введите: • Name: H323In

Page 281 and 282: Привратник H.323 расп

Page 283 and 284: 3. Нажмите OK Пример 6

Page 285 and 286: банковским услугам

Page 287 and 288: Шифровка, поддержи

Page 289 and 290: Web-интерфейс 1. Зайд

Page 291 and 292: 7. Нажмите OK Продолж

Page 293 and 294: отдельная подписка

Page 295 and 296: и поможет избежать

Page 297 and 298: 4. С этого момента п

Page 299 and 300: Категория 10: Игры Web

Page 301 and 302: Категория 22: Клубы

Page 303 and 304: Пример 6.18. Отправка

Page 305 and 306: 6.4.2. Реализация Пот

Page 307 and 308: 6.4.6. Функции Антиви

Page 309 and 310: коммутаторах, так к

Page 311 and 312: 6.5.2. Система IDP и уст

Page 313 and 314: 3. Это изменение нас

Page 315 and 316: NetDefendOS автоматичес

Page 317 and 318: Списки групп IDP Спи

Page 319 and 320: Правила IDP: 1. Зайдит

Page 321 and 322: от атак DoS. 6.6.2. Меха

Page 323 and 324: потребление всего

Page 325 and 326: 6.7. «Черный список»

Page 327 and 328: Глава 7. Преобразов

Page 329 and 330: пулы». IP-адрес исто

Page 331 and 332: 4. Удостоверьтесь, ч

Page 333 and 334: ситуации, когда мно

Page 335 and 336: 7.4. SAT 2. Затем введит

Page 337 and 338: Рисунок 7.4. Роль зон

Page 339 and 340: • Service: http • Source Interf

Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80

Page 343 and 344: Создайте соответст

Page 345 and 346: • При обращении к п

Page 347 and 348: Изменить сложившую

Page 349 and 350: • Создать IP-правил

Page 351 and 352: Система NetDefendOS може

Page 353 and 354: значение SAMAccountName (в

Page 355 and 356: Аутентификация LDAP-

Page 357 and 358: (на большинстве LDAP-

Page 359 and 360: • Terminator IP Терминир

Page 361 and 362: # Действие Интерфей

Page 363 and 364: 3. Нажмите OK 4. Повто

Page 365 and 366: LoginSuccess, а затем - на

Page 367 and 368: Глава 9. VPN В данной

Page 369 and 370: клиенты и филиалы о

Page 371 and 372: • Укажите IP-правил

Page 373 and 374: 3. Создайте объект IP

Page 375 and 376: • Нельзя предварит

Page 377 and 378: 3. Укажите совместн

Page 379 and 380: • ip_int - внутренний I

Page 381 and 382: Оба соединения IKE и

Page 383 and 384: настройки, такие ка

Page 385 and 386: Алгоритм Диффи-Хел

Page 387 and 388: пакете. Далее выпол

Page 389 and 390: 9.3.6. Списки выбора а

Page 391 and 392: Далее примените об

Page 393 and 394: 9.4.1. Обзор IPsec-тунне

Page 395 and 396: защищенный обмен д

Page 397 and 398: 1. Зайдите Objects > VPN Obj

Page 399 and 400: Режим настройки IKE C

Page 401 and 402: Для запуска провер

Page 403 and 404: Message ID : 0x00000000 Packet leng

Page 405 and 406: Flags : E (encryption) Cookies : 0x

Page 407 and 408: туннелям. По умолча

Page 409 and 410: 10 секунд, а также не

Page 411 and 412: 6. Нажмите OK Функция

Page 413 and 414: г. Encapsulation Mode: Transport

Page 415 and 416: • Service: all_services • Sourc

Page 417 and 418: 9.6. Доступ к серверу

Page 419 and 420: умолчанию с возмож

Page 421 and 422: 9.7.3. Команды поиска

Page 423 and 424: Список IKE proposal не со

Page 425 and 426: 9.7.6. Особые признак

Page 427 and 428: Глава 10. Управление

Page 429 and 430: Интернет-услуг, в к

Page 431 and 432: Рис. 10.2. Правила FwdFas

Page 433 and 434: Web-интерфейс 1. Зайд

Page 435 and 436: Значение приоритет

Page 437 and 438: Приоритеты применя

Page 439 and 440: • IP-адрес назначен

Page 441 and 442: приоритета, и далее

Page 443 and 444: административного

Page 445 and 446: • Приоритет 6 - VoIP (50

Page 447 and 448: Если используется S

Page 449 and 450: 3.Далее устанавлива

Page 451 and 452: помощью команды CLI p

Page 453 and 454: 10.3.2. Ограничение ск

Page 455 and 456: 2560 и 2560G. Иллюстраци

Page 457 and 458: IP Address Stickiness (Привяз

Page 459 and 460: Рис. 10.12. Привязка (St

Page 461 and 462: 1. Зайдите Rules > IP Rule S

Page 463 and 464: Глава 11. Режим высо

Page 465 and 466: через интерфейс си

Page 467 and 468: В результате сбоя sy

Page 469 and 470: На приведенной схе

Page 471 and 472: операционной систе

Page 473 and 474: • Определить, како

Page 475 and 476: Количество секунд

Page 477 and 478: • Тип коммутатора

Page 479 and 480: Для предотвращения

Page 481 and 482: Второе отличие зак

Page 483 and 484: По умолчанию: Включ

Page 485 and 486: С помощью данной на

Page 487 and 488: TCP Zero Unused URG Снимает

Page 489 and 490: принимая во вниман

Page 491 and 492: 13.4. Настройки состо

Page 493 and 494: По умолчанию: 262144 TCP

Page 495 and 496: Задает максимальны

Page 497 and 498: определить причину

Page 499 and 500: секунд, чтобы предо

Page 501 and 502: Приложение А. Подпи

Page 503 and 504: удаление базы данн

Page 505 and 506: POP3_REQUEST-ERRORS Ошибка з

Page 507 and 508: Приложение В. Типы

Page 509 and 510: pfb Шрифт (двоичный) p

netdefendos

netdefend

ospf

ipsec

http

destination

lannet

interface

shaping

objects

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS ... View more NetdefendOS_2.27.01_Firewall_User_Manual_RUS

Delete template?

Save as template ?

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS