NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
распределение новых соединений между внешними IP-адресами без лишних затрат памяти на<br />
формирование таблицы состояний. Помимо этого, время на обработку данных при установлении<br />
каждого нового соединения сокращается. К недостаткам способа относится то, что он не подходит<br />
для подключений, требующих наличия постоянного внешнего IP-адреса.<br />
NAT-пулы типа Fixed<br />
Если выбран тип NAT-пула Fixed, это означает, что каждый внутренний клиент или хост поставлен в<br />
соответствие одному из внешних IP-адресов с помощью алгоритма хеширования. Хотя<br />
администратор не имеет возможности контролировать, какое из внешних подключений будет<br />
использоваться, такой подход гарантирует, что определенный внутренний клиент или хост всегда<br />
будет обмениваться информацией через один и тот же внешний IP-адрес.<br />
Преимуществом типа Fixed является то, что он не требует ресурсов памяти на создание таблицы<br />
состояний и обеспечивает очень высокую скорость обработки данных при установлении нового<br />
соединения. Хотя точное распределение нагрузки не является частью данного подхода,<br />
распределение нагрузки через внешние подключения должно выполняться для обеспечения<br />
случайного характера алгоритма распределения.<br />
Использование IP-пулов<br />
При назначении внешних IP-адресов в NAT-пул не обязательно прописывать их вручную. Можно<br />
выбрать объект «IP-пул» системы NetDefendOS. IP-пулы получают наборы IP-адресов автоматически<br />
через DHCP-сервер и могут также автоматически добавлять внешние IP-адреса в NAT-пулы.<br />
Получить дополнительную информацию по данному вопросу можно в Разделе 5.4, «IP-пулы».<br />
Использование механизма Proxy ARP<br />
Внешний маршрутизатор посылает ARP-запросы межсетевому экрану NetDefend, чтобы на основе<br />
ARP-ответов системы NetDefendOS принять решение о выборе внешних IP-адресов из NAT-пула.<br />
Таким образом, корректное формирование таблицы маршрутизации внешнего маршрутизатора<br />
зависит непосредственно от механизма Proxy ARP.<br />
В разделе настроек NAT-пулов администратор должен определить, какие интерфейсы будут<br />
использоваться NAT-пулами по умолчанию. Это дает возможность подключить механизм Proxy ARP<br />
для NAT-пула на всех интерфейсах, но может привести к ситуации, когда прописываются маршруты<br />
к тем интерфейсам, на которые не должны доставляться пакеты. Поэтому рекомендуется, чтобы<br />
интерфейс или интерфейсы, используемые для Proxy ARP механизма NAT-пула, были точно<br />
определены.<br />
Использование NAT-пулов<br />
NAT-пулы используются в сочетании со стандартными IP-правилами NAT. В диалоговом окне<br />
определения NAT-правила присутствует возможность выбора NAT-пула, который должен<br />
использоваться вместе с правилом. С установления этой связи начинается функционирование NATпула.<br />
Пример 7.2. Использование NAT-пулов<br />
В данном примере демонстрируется создание NAT-пула с диапазоном внешних IP-адресов 10.6.13.10 –<br />
10.16.13.15, который затем используется в IP-правиле NAT для HTTP-трафика на WAN-интерфейсе.<br />
Web-интерфейс<br />
А. Во-первых, необходимо создать в адресной книге новый объект диапазона адресов:<br />
1. Зайдите Objects > Address Book > Add > IP address<br />
2. Задайте IP-диапазону соответствующее имя, например, nat_pool_range<br />
3. Введите диапазон 10.6.13.10 – 10.16.13.15 в поле IP Address (возможен формат представления подсети, такой<br />
как 10.6.13.0/24 – IP-адреса 0 и 255 автоматически исключаются из диапазона).<br />
4. Нажмите OK<br />
Б. Затем создайте объект «NAT-пул» типа Stateful с именем stateful_natpool:<br />
1. Зайдите Objects > NAT Pools > Add > NAT Pool<br />
334