NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Порядок исполнения правил не так важен, и это может помочь избежать ошибок.<br />
Если выбор падает на решение 2, набор правил должен выглядеть так:<br />
# Действие<br />
Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения Параметры<br />
1 SAT any all-nets core wan_ip http SETDEST 10.10.10.5 80<br />
2 NAT lan lannet any all-nets All<br />
3 Allow any all-nets core wan_ip http<br />
Здесь не требуется увеличивать количество правил, но только в случае если все интерфейсы являются<br />
проверенными и через них можно обмениваться информацией с WEB-сервером. При добавлении же<br />
непроверенного интерфейса, через который нельзя обмениваться информацией с WEB-сервером, перед правилом,<br />
предоставляющим доступ всем машинам к WEB-серверу, необходимо разместить разделяющее Drop-правило.<br />
Принятие решения о выборе того или иного способа действия зависит от обстоятельств в каждом конкретном<br />
случае.<br />
Пример 7.4. Разрешение трафика на WEB-сервер внутренней сети<br />
В данном примере рассматривается WEB-сервер с приватным IP-адресом, размещенный во внутренней сети. С<br />
точки зрения безопасности такое размещение является неверным, т.к. WEB-серверы слишком уязвимы для атак и,<br />
следовательно, должны размещаться в зоне DMZ. Однако этот пример демонстрируется, т.к. такая схема<br />
достаточно проста в использовании.<br />
Для того чтобы внешние пользователи имели доступ к WEB-серверу, они должны иметь возможность устанавливать<br />
соединение с помощью публичных адресов. В данном примере происходит преобразование 80 порта внешнего IPадреса<br />
межсетевого экрана NetDefend в 80 порт WEB-сервера:<br />
# Действие<br />
Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения Параметры<br />
1 SAT any all-nets core wan_ip http SETDEST wwwsrv 80<br />
2 Allow any all-nets core wan_ip http<br />
Эти два правила позволяют получить доступ к WEB-серверу через внешний IP-адрес межсетевого экрана NetDefend.<br />
Правило 1 устанавливает, что преобразование адреса может произойти только, если соединение было разрешено, а<br />
правило 2 – разрешает данное соединение.<br />
Также потребуется правило, которое позволяет внутренним компьютерам динамически получать преобразованные<br />
адреса для доступа в Интернет. В данном примере используется правило, которое позволяет любому компьютеру<br />
внутренней сети анонимно получать доступ к сети Интернет через NAT:<br />
# Действие<br />
Интерфейс<br />
источника<br />
Сеть<br />
источника<br />
Интерфейс<br />
назначения<br />
Сеть<br />
назначения Параметры<br />
3 NAT lan lannet any all-nets All<br />
Недостаток этого набора правил заключается в том, что он не будет работать для трафика внутренней сети.<br />
Чтобы проиллюстрировать, как это может произойти, будем использовать следующие IP-адреса:<br />
• wan_ip (195.55.66.77) – публичный IP-адрес<br />
• lan_ip (10.0.0.1) – приватный внутренний IP-адрес межсетевого экрана NetDefend<br />
• wwwsrv (10.0.0.2) – приватный IP-адрес WEB-сервера<br />
• PC1 (10.0.0.3) – приватный IP-адрес компьютера<br />
Согласно правилам будут выполняться действия в следующем порядке:<br />
• Компьютер PC1 отсылает пакет на wan_ip, чтобы выйти на сайт www.ourcompany.com:<br />
340