NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Наиболее важная задача заключается в согласовании открытия и закрытия логических каналов. Логическим каналом может быть, например, канал, используемый для передачи аудио. Во время согласования каналы, используемые для передачи видео и данных по протоколу T.120 также называются логическими каналами. T.120 Набор протоколов приложений и коммуникации. В зависимости от типа продукта H.323, T.120 может использоваться для совместного применения приложений, передачи файлов, а также для функций, обеспечивающий проведение конференций, например, функция White board (Электронная доска). Функции H.323 ALG H.323 ALG представляет собой шлюз уровня приложения, который позволяет устройствам H.323, таким как телефоны H.323 и приложения, выполнять и принимать вызовы между друг другом при подключении через приватные сети, защищенные межсетевыми экранами NetDefend. Стандарт H.323 не был предназначен для работы с NAT, так как IP-адреса и порты отправляются в полезную нагрузку сообщений H.323. H.323 ALG переадресовывает и передает сообщения H.323, чтобы убедиться, что они будут направлены на корректный адрес назначения и им будет разрешено проходить через межсетевой экран NetDefend. H.323 ALG поддерживает следующие функции: • H.323 ALG поддерживает версию 5 спецификации H.323. Данная спецификация основана на H.225.0 v5 и H.245 v10. • Помимо голосовых и видео-вызовов, H.323 ALG поддерживает обмен приложениями по протоколу T.120. Для передачи данных протокол T.120 использует TCP, а для передачи голоса и видео – UDP. • Для поддержки привратников ALG осуществляет мониторинг RAS-трафика между конечными точками H.323 и привратником для того, чтобы корректно настроить прохождение вызовов через межсетевой экран NetDefend. • Поддержка правил NAT и SAT позволяет клиентам и привратникам использовать приватные IPадреса в сети позади межсетевого экрана NetDefend. Настройка H.323 ALG Конфигурация стандарта H.323 ALG может быть изменена в соответствии с различными вариантами использования. Настраиваемыми функциями являются: • Allow TCP Data Channels – Данная функция обеспечивает согласование каналов передачи данных по протоколу TCP. Каналы передачи данных используются, например, протоколом T.120. • Number of TCP Data Channels – Можно указать количество каналов для передачи данных по протоколу TCP. • Address Translation – Можно указать Network (Сеть) для натированного трафика, разрешенного для передачи. External IP (Внешний IP) для Network – это IP-адрес, для которого применяется NAT. Если для внешнего IP-адреса установлено значение Auto, то выполняет автоматический поиск внешнего IP-адреса с помощью «route lookup». • Translate Logical Channel Addresses – Как правило, эта функция всегда настроена. Если функция выключена, то передача адреса не будет выполняться по адресам логических каналов и администратору необходимо быть уверенным в IP-адресах и маршрутах, используемых в 272
определенном сценарии. • Gatekeeper Registration Lifetime – Можно контролировать срок действия регистрации привратника для того, чтобы клиенты выполняли повторную регистрацию в течение определенного времени. Чем короче срок действия, тем чаще клиенты выполняют регистрацию привратника, тем самым снижая вероятность проблем, если сеть становится недоступной, и клиент думает, что все еще зарегистрирован. Ниже представлены некоторые сетевые сценарии, в которых применяется H.323 ALG. Для каждого сценария представлен пример настройки ALG и правил. В сценариях используются три службы: • Привратник (UDP ALL > 1719) • H323 (H.323 ALG, TCP ALL > 1720) • H323-привратник (H.323 ALG, UDP > 1719) Пример 6.4. Защита телефонов позади межсетевых экранов NetDefend В первом сценарии телефон H.323 подключен к межсетевому экрану NetDefend в сети (lannet) с публичными IPадресами. Для того чтобы выполнить вызов с этого телефона на другой H.323 телефон в сети Интернет, а также разрешить H.323 телефонам в сети Интернет выполнять вызовы на этот телефон, необходимо настроить правила. В набор правил необходимо добавить следующие правила, убедитесь в отсутствии правил, запрещающих или разрешающих правил тот же тип трафика / портов. Web-интерфейс Правило для исходящих вызовов 1. Зайдите Rules > IP Rules > Add > IPRule 2. Введите: • Name: H323AllowOut • Action: Allow • Service: H323 • Source Interface: lan • Destination Interface: any • Source Network: lannet • Destination Network: 0.0.0.0/0 (all-nets) • Comment: Allow outgoing calls 273
- Page 221 and 222: • Интерфейс Каждый
- Page 223 and 224: 1. Зайдите System > DHCP > D
- Page 225 and 226: В этом примере демо
- Page 227 and 228: 1. Добавьте VLAN интер
- Page 229 and 230: Базовые настройки
- Page 231 and 232: применению интерфе
- Page 233 and 234: Рекомендуется выпо
- Page 235 and 236: TCP/IP. В системе NetDefend
- Page 237 and 238: содержимого». • Ан
- Page 239 and 240: «черного списка» б
- Page 241 and 242: Примечание: Автома
- Page 243 and 244: Если данная функци
- Page 245 and 246: Б. Определите Service: 1
- Page 247 and 248: зависимости от тог
- Page 249 and 250: Функции SMTP ALG Основ
- Page 251 and 252: Например, запись ад
- Page 253 and 254: DSNBL-сервер указывае
- Page 255 and 256: Учет для вышедших и
- Page 257 and 258: alt_smtp_alg inactive 0 0 0 С по
- Page 259 and 260: Рис. 6.6. Использован
- Page 261 and 262: экрана NetDefend, но так
- Page 263 and 264: реализуется через
- Page 265 and 266: traversal Нет необходим
- Page 267 and 268: ProxyAndClients Если функц
- Page 269 and 270: Примечание Контакт
- Page 271: в IP-сетях. Стандарт
- Page 275 and 276: • Destination Interface: core •
- Page 277 and 278: • Source Network: lannet • Dest
- Page 279 and 280: 2. Введите: • Name: H323In
- Page 281 and 282: Привратник H.323 расп
- Page 283 and 284: 3. Нажмите OK Пример 6
- Page 285 and 286: банковским услугам
- Page 287 and 288: Шифровка, поддержи
- Page 289 and 290: Web-интерфейс 1. Зайд
- Page 291 and 292: 7. Нажмите OK Продолж
- Page 293 and 294: отдельная подписка
- Page 295 and 296: и поможет избежать
- Page 297 and 298: 4. С этого момента п
- Page 299 and 300: Категория 10: Игры Web
- Page 301 and 302: Категория 22: Клубы
- Page 303 and 304: Пример 6.18. Отправка
- Page 305 and 306: 6.4.2. Реализация Пот
- Page 307 and 308: 6.4.6. Функции Антиви
- Page 309 and 310: коммутаторах, так к
- Page 311 and 312: 6.5.2. Система IDP и уст
- Page 313 and 314: 3. Это изменение нас
- Page 315 and 316: NetDefendOS автоматичес
- Page 317 and 318: Списки групп IDP Спи
- Page 319 and 320: Правила IDP: 1. Зайдит
- Page 321 and 322: от атак DoS. 6.6.2. Меха
определенном сценарии.<br />
• Gatekeeper Registration Lifetime – Можно контролировать срок действия регистрации<br />
привратника для того, чтобы клиенты выполняли повторную регистрацию в течение определенного<br />
времени. Чем короче срок действия, тем чаще клиенты выполняют регистрацию привратника, тем<br />
самым снижая вероятность проблем, если сеть становится недоступной, и клиент думает, что все<br />
еще зарегистрирован.<br />
Ниже представлены некоторые сетевые сценарии, в которых применяется H.323 ALG. Для каждого<br />
сценария представлен пример настройки ALG и правил. В сценариях используются три службы:<br />
• Привратник (UDP ALL > 1719)<br />
• H323 (H.323 ALG, TCP ALL > 1720)<br />
• H323-привратник (H.323 ALG, UDP > 1719)<br />
Пример 6.4. Защита телефонов позади межсетевых экранов NetDefend<br />
В первом сценарии телефон H.323 подключен к межсетевому экрану NetDefend в сети (lannet) с публичными IPадресами.<br />
Для того чтобы выполнить вызов с этого телефона на другой H.323 телефон в сети Интернет, а<br />
также разрешить H.323 телефонам в сети Интернет выполнять вызовы на этот телефон, необходимо настроить<br />
правила. В набор правил необходимо добавить следующие правила, убедитесь в отсутствии правил,<br />
запрещающих или разрешающих правил тот же тип трафика / портов.<br />
Web-интерфейс<br />
Правило для исходящих вызовов<br />
1. Зайдите Rules > IP Rules > Add > IPRule<br />
2. Введите:<br />
• Name: H323AllowOut<br />
• Action: Allow<br />
• Service: H323<br />
• Source Interface: lan<br />
• Destination Interface: any<br />
• Source Network: lannet<br />
• Destination Network: 0.0.0.0/0 (all-nets)<br />
• Comment: Allow outgoing calls<br />
273