NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

Рис. 7.3. Анонимность с NAT. В наборе IP-правил системы NetDefendOS прописаны NAT-правила. Входящий трафик от клиента с помощью NAT направляется обратно в Интернет. Обмен информацией с клиентом происходит по PPTP-протоколу. PPTP-туннель от клиента терминируется на межсетевом экране. Когда трафик от межсетевого экрана направляется обратно в Интернет, он уже не инкапсулируется в протокол PPTP. В тот момент, когда приложение, например, Web-сервер получает запросы от клиента, адрес источника этих запросов меняется с IP-адреса клиента на внешний IP-адрес провайдера услуг. Приложение отсылает свои ответы обратно на межсетевой экран, который передает трафик клиенту через PPTP-туннель. Исходный IP-адрес клиента в трафике не виден, т.к. он передается после терминации PPTP-туннеля в NetDefendOS. Обычно весь трафик проходит через один физический интерфейс, и этот интерфейс имеет единый публичный IP-адрес. Если в наличии несколько публичных IP-адресов, можно использовать несколько интерфейсов. За счет обеспечения анонимности трафика появляются незначительные накладные расходы, связанные с обработкой данных, но если для данного процесса задействованы значительные ресурсы аппаратных средств это не вызывает проблем. Если вместо PPTP-соединений используется протокол L2TP, применяются аналогичные методы. Более подробно эти протоколы рассматриваются далее в Разделе 9.5.4, «PPTP/L2TP-Клиенты». 7.3. NAT-пулы Обзор Преобразование сетевых адресов (Network Address Translation, NAT) дает возможность нескольким внешним клиентам и хостам с уникальными частными внутренними IP-адресами обмениваться информацией с удаленными хостами через один внешний публичный IP-адрес (данный вопрос подробно освещается в Разделе 7.2., «NAT»). Если в наличии несколько публичных внешних IPадресов, то используется объект «NAT-пул», чтобы при установлении новых подключений назначать им публичные IP-адреса из пула. NAT-пулы обычно применяются, если требуется создать много уникальных подключений используя один порт. Менеджер портов в системе NetDefendOS может поддерживать до 65 000 соединений с уникальной комбинацией из IP-адреса источника и IP-адреса назначения. Большое количество портов может потребоваться, если многие внутренние клиенты используют, например, программные средства по совместному использованию файлов. Аналогичные требования могут возникнуть в 332

ситуации, когда множество клиентов одновременно имеет доступ в Интернет через прокси-сервер. Проблема с ограниченным количеством портов решается с помощью выделения дополнительных внешних IP-адресов для выхода в Интернет и использования NAT-пулов для распределения новых подключений через эти IP-адреса. Типы NAT-пулов Существует три типа NAT-пулов, каждый из которых производит распределение новых подключений разными способами: • Stateful (Фиксирующий состояние) • Stateless (Нефиксирующий состояние) • Fixed (Фиксированный) Эти типы NAT-пулов подробно рассматриваются далее. NAT-пулы типа Stateful Когда выбран тип NAT-пула Stateful, система NetDefendOS назначает вновь созданному подключению тот внешний IP-адрес, через который в настоящий момент осуществляется наименьшее количество соединений, полагая, что данный адрес является менее загруженным. Записи обо всех таких соединениях хранятся в памяти NetDefendOS. Все последующие соединения с тем же внутренним клиентом/хостом будут использовать тот же внешний IP-адрес. Преимуществом данного подхода является обеспечение сбалансированной нагрузки нескольких внешних каналов связи Интернет-провайдера по количеству соединений и гарантия того, что информация от внешнего хоста всегда вернется обратно на IP-адрес отправителя, что важно в таких протоколах как HTTP, где применяются cookies-файлы. Неудобством является использование дополнительных ресурсов памяти, требующихся системе NetDefendOS для отслеживания соединения в таблице состояний, а также незначительные накладные расходы по обработке данных в процессе установления нового соединения. Для того чтобы таблица состояний не содержала записей по неактивным процессам передачи информации, можно установить время активного состояния соединения (State Keepalive) – время неактивности подключения в секундах, по истечении которого, запись об этом подключении будет удалена из таблицы состояний. По прошествии данного периода система NetDefendOS определит, что исходящих соединений от данного ассоциированного внутреннего хоста создаваться больше не будет. В случае если запись о состоянии подключения из таблицы удалена, то последующие подключения данного хоста будут заноситься в новую запись таблицы и могут распределяться между другими внешними IP-адресами из NAT-пула. Т.к. таблица состояний расходует ресурсы памяти, существует возможность ограничить ее размер, используя параметр Max States объекта «NAT-пул». Таблица состояний формируется не сразу, она увеличивается в размере по мере необходимости. Одна запись в таблице состояний отображает все соединения одного хоста за межсетевым экраном NetDefend, независимо от того, к какому внешнему хосту данное соединение относится. Если размер таблицы состояний достиг значения параметра Max States, в таблице перезаписывается то состояние, у которого самое длительное время неактивности. Если все состояния из таблицы активны, тогда новое соединение игнорируется. Исходя из практики, значение параметра Max States должно быть не менее количества локальных хостов или клиентов имеющих доступ к сети Интернет. В каждом NAT-пуле есть только одна таблица соответствий, поэтому, если один NAT-пул несколько раз используется в разных IP-правилах NAT, то они будут совместно использовать одну и ту же таблицу состояний. NAT-пулы типа Stateless Если выбран тип NAT-пула Stateless, это означает, что таблица состояний не формируется, а внешний IP-адрес, выбираемый для каждого нового подключения, это тот IP-адрес через который осуществляется наименьшее количество соединений. Т.е. два разных подключения от одного внутреннего хоста к одному и тому же внешнему хосту могут использовать два разных внешних IPадреса. Преимуществом NAT-пула с типом Stateless является то, что он обеспечивает эффективное 333

Рис. 7.3. Анонимность с NAT.<br />

В наборе IP-правил системы NetDefendOS прописаны NAT-правила. Входящий трафик от клиента с<br />

помощью NAT направляется обратно в Интернет. Обмен информацией с клиентом происходит по<br />

PPTP-протоколу. PPTP-туннель от клиента терминируется на межсетевом экране. Когда трафик от<br />

межсетевого экрана направляется обратно в Интернет, он уже не инкапсулируется в протокол PPTP.<br />

В тот момент, когда приложение, например, Web-сервер получает запросы от клиента, адрес<br />

источника этих запросов меняется с IP-адреса клиента на внешний IP-адрес провайдера услуг.<br />

Приложение отсылает свои ответы обратно на межсетевой экран, который передает трафик клиенту<br />

через PPTP-туннель. Исходный IP-адрес клиента в трафике не виден, т.к. он передается после<br />

терминации PPTP-туннеля в NetDefendOS.<br />

Обычно весь трафик проходит через один физический интерфейс, и этот интерфейс имеет единый<br />

публичный IP-адрес. Если в наличии несколько публичных IP-адресов, можно использовать<br />

несколько интерфейсов.<br />

За счет обеспечения анонимности трафика появляются незначительные накладные расходы,<br />

связанные с обработкой данных, но если для данного процесса задействованы значительные ресурсы<br />

аппаратных средств это не вызывает проблем.<br />

Если вместо PPTP-соединений используется протокол L2TP, применяются аналогичные методы.<br />

Более подробно эти протоколы рассматриваются далее в Разделе 9.5.4, «PPTP/L2TP-Клиенты».<br />

7.3. NAT-пулы<br />

Обзор<br />

Преобразование сетевых адресов (Network Address Translation, NAT) дает возможность нескольким<br />

внешним клиентам и хостам с уникальными частными внутренними IP-адресами обмениваться<br />

информацией с удаленными хостами через один внешний публичный IP-адрес (данный вопрос<br />

подробно освещается в Разделе 7.2., «NAT»). Если в наличии несколько публичных внешних IPадресов,<br />

то используется объект «NAT-пул», чтобы при установлении новых подключений назначать<br />

им публичные IP-адреса из пула.<br />

NAT-пулы обычно применяются, если требуется создать много уникальных подключений используя<br />

один порт. Менеджер портов в системе NetDefendOS может поддерживать до 65 000 соединений с<br />

уникальной комбинацией из IP-адреса источника и IP-адреса назначения. Большое количество<br />

портов может потребоваться, если многие внутренние клиенты используют, например, программные<br />

средства по совместному использованию файлов. Аналогичные требования могут возникнуть в<br />

332

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!