NetdefendOS_2.27.01_Firewall_User_Manual_RUS

More documents

Recommendations

Info

синхронизации является одним из стандартных интерфейсов между master-устройством и slaveустройством и имеет вид перекрестного кабеля. Для связи между устройствами кластера операционная система NetDefendOS через интерфейс синхронизации и другие интерфейсы периодически отправляет специальные пакеты, называемые пакетами обнаружения (heartbeats). Эти пакеты позволяют устройствам отслеживать состояние друг друга. Пакеты обнаружения периодически отправляются в обоих направлениях, и таким образом, неактивное устройство имеет информацию о состоянии активного устройства и наоборот. Более подробно механизм обмена пакетами обнаружения будет рассмотрен в разделе 11.2 «Механизмы реализации режима высокой доступности». Управление кластерами Один HA-кластер, состоящий из двух межсетевых экранов NetDefend, управляется как единый блок с уникальным именем, которое отображается в интерфейсе управления как имя единого логического межсетевого экрана NetDefend. Операции по администрированию, например, такие как изменение набора IP-правил, будут выполняться как обычно, причем вносимые изменения будут автоматически применяться к конфигурациям обоих устройств: как главного, так и второстепенного. Распределение нагрузки HA-кластер D-Link не обеспечивает распределение нагрузки между параллельными устройствами, т.к. только одно устройство является в определенный момент времени активным, в то время как второе устройство находится в режиме ожидания. Два межсетевых экрана NetDefend (master и slave) составляют единый отказоустойчивый кластер. Неактивное устройство выполняет только копирование состояния активного устройства и принимает на себя функции обработки трафика в случае его отказа. Дублирование оборудования Отказоустойчивый кластер D-Link функционирует при условии наличия двух межсетевых экранов NetDefend. Программное обеспечение межсетевых экранов разных производителей значительно отличается, и не существует согласованных методов обмена информацией об их текущем состоянии. Для создания отказоустойчивого кластера настоятельно рекомендуется использовать межсетевые экраны NetDefend с одинаковой конфигурацией. Также устройства должны иметь идентичные права, позволяющие им выполнение одинаковых действий, в том числе работу в HA-кластере. Увеличение количества избыточного оборудования Создание HA-кластера повышает отказоустойчивость только в одной точке сети. Маршрутизаторы, коммутаторы и точки подключения к сети Интернет остаются потенциально уязвимыми, и их дублирование также целесообразно. 11.2. Механизмы реализации режима высокой доступности В этом разделе более подробно рассматриваются механизмы, операционной системы NetDefend реализующие режим высокой доступности системы. Основные принципы Отказоустойчивый кластер D-Link представляет собой избыточную аппаратную систему с синхронизацией состояния. Данные о состоянии активного устройства, например, такие как таблица подключений и другая необходимая информация, непрерывно копируются резервным устройством через интерфейс синхронизации. В момент, когда происходит обработка ситуации отказа основного устройства, дублирующее устройство имеет информацию о том, какие подключения являются сейчас активными, а после незначительной задержки на время восстановления системы передача трафика продолжается. Резервная система фиксирует сбой основной системы в момент, когда не получает достаточного количества пакетов обнаружения кластера (Cluster Heartbeats). Пакеты обнаружения передаются как 464
через интерфейс синхронизации, так и через другие интерфейсы. Частота отправки пакетов обнаружения Операционная система NetDefendOS активного устройства отправляет 5 пакетов обнаружения в секунду, и если три пакета будут пропущены (т.е. через 0,6 секунд), инициируется восстановление системы. Отправка пакетов обнаружения через все интерфейсы позволяет неактивному устройству получать полную информацию о состоянии активного устройства. Даже если намеренно отключить интерфейс синхронизации, механизм восстановления системы не будет запущен, если неактивное устройство получает достаточно пакетов обнаружения через другие интерфейсы, например, через коммутатор, который подключен к двум межсетевым экранам. Однако по интерфейсу синхронизации передается вдвое больше пакетов обнаружения, чем через обыкновенные интерфейсы. Пакеты обнаружения посылаются не чаще, чем через указанный промежуток времени, так как и в процессе нормального функционирования устройства могут возникать аналогичные задержки. Например, открытие файла может вызвать задержку достаточно длительную для того, чтобы резервная неактивная система перешла в активное состояние, даже если основная система остается активной. Отключение отправки пакетов обнаружения через интерфейсы При необходимости администратор может вручную отключить отправку пакетов обнаружения через любой интерфейс. Но выполнять это действие не рекомендуется, т.к. чем меньше действующих интерфейсов передают пакеты обнаружения, тем больше риск того, что недостаточное количество полученных пакетов будет неправильно отображать состояние системы. Эта рекомендация не относится к отключенным интерфейсам. Необходимо отключать передачу пакетов обнаружения через неиспользуемый интерфейс. Операционная система NetDefendOS будет продолжать отправлять пакеты обнаружения через неработающий интерфейс и это может создать искаженное представление о состоянии системы, т.к. отправленные пакеты будут постоянно теряться. Результатом может стать ошибочный запуск восстановления системы после «сбоя». Характеристики пакетов обнаружения Пакеты обнаружения имеют следующие характеристики: • IP-адресом источника является IP-адрес интерфейса межсетевого экрана, отправляющего пакет. • IP-адресом назначения является широковещательный адрес интерфейса межсетевого экрана, отправляющего пакет. • Время жизни (TTL) IP-пакета всегда должно быть равным 255. Если операционная система NetDefendOS получает пакет обнаружения кластера с другим значением TTL, предполагается, что данный пакет прошел через маршрутизатор. Такой пакет обнаружения считается недостоверным. • Пакет обнаружения – это UDP-пакет, отправленный с порта 999 на порт 999. • MAC-адрес назначения – это Ethernet-адрес групповой рассылки, соответствующий совместно используемому аппаратному адресу. Например, 11-00-00-С1-4A-nn. Для обеспечения безопасности помимо обычных одноадресных пакетов используются групповые рассылки канального уровня. Использование одноадресных пакетов будет означать, что нарушитель из локальной сети смог перенаправить пакеты обнаружения от коммутаторов так, чтобы они не поступали на неактивное устройство. Время обработки ситуации отказа Обычно время обработки ситуации отказа составляет около одной секунды, и в это время может произойти небольшое увеличение количества потерянных пакетов. Для протокола TCP время обработки ситуации отказа составляет время стандартной паузы для повторной передачи пакета. TCP повторно передает потерянные пакеты в течение короткого промежутка времени, а далее продолжается обмен пакетами в стандартном режиме. Протокол UDP не предусматривает повторной передачи, т.к. является протоколом, не гарантирующим доставку пакета. 465
Page 1 and 2:
ф 1
Page 3 and 4:
Руководство пользо
Page 5 and 6:
3.1.5. Автоматически
Page 7 and 8:
6.2.10. TLS ALG....................
Page 9 and 10:
10.1.2. Traffic Shaping в NetDefen
Page 11 and 12:
Предисловие Целева
Page 13 and 14:
Глава 1. Обзор NetDefendO
Page 15 and 16:
Traffic Management NetDefendOS об
Page 17 and 18:
В конечном итоге, п
Page 19 and 20:
пакетов, проходящи
Page 21 and 22:
Рис. 1.2. Схематичное
Page 23 and 24:
Применяемые правил
Page 25 and 26:
Меню загрузки конс
Page 27 and 28:
пользователя, изоб
Page 29 and 30:
Б. Навигатор • Maintena
Page 31 and 32:
Структура команд CLI
Page 33 and 34:
добавить маршрут: gw
Page 35 and 36:
Пример 2.2. Включени
Page 37 and 38:
gw-world:/> show -errors Систе
Page 39 and 40:
delete cc Если в сценар
Page 41 and 42:
сценариев, доступн
Page 43 and 44:
Загрузка выполняет
Page 45 and 46:
скачивания резервн
Page 47 and 48:
для доступа админи
Page 49 and 50:
Пример 2.4. Отображе
Page 51 and 52:
3. В появившемся вып
Page 53 and 54:
Пример 2.10. Активаци
Page 55 and 56:
• MemoryLogReceiver Систем
Page 57 and 58:
сообщений: команда
Page 59 and 60:
как клиент сервера
Page 61 and 62:
2.3.3. Промежуточные
Page 63 and 64:
Проблема может воз
Page 65 and 66:
SYS Temp = 44.000 (C) (x) CPU Temp
Page 67 and 68:
SNMP-доступа. Порт 161
Page 69 and 70:
gw-world:/> pcapdump -size 1024 -st
Page 71 and 72:
• Имя файла (без ра
Page 73 and 74:
Примечание: Резерв
Page 75 and 76:
Глава 3.Основные пр
Page 77 and 78:
2. Указать подходящ
Page 79 and 80:
3.1.5. Автоматически
Page 81 and 82:
"" Web-интерфейс 1. Пер
Page 83 and 84:
Другие свойства се
Page 85 and 86:
интегрированный с I
Page 87 and 88:
3.2.5. Service Groups (Сервис
Page 89 and 90:
• Туннельные интер
Page 91 and 92:
Процесс запуска бу
Page 93 and 94:
i. Обозначить интер
Page 95 and 96:
Здесь клавиша Tab ис
Page 97 and 98:
• Для одного физич
Page 99 and 100:
Пример 3.10. Определе
Page 101 and 102:
провайдер не назна
Page 103 and 104:
• Remote Endpoint (Удаленн
Page 105 and 106:
(Name ) (Action) источника
Page 107 and 108:
Хост в Ethernet-сети мо
Page 109 and 110:
Mode Тип ARP-объекта. М
Page 111 and 112:
Рисунок 3.2. ARP-ответ
Page 113 and 114:
ARP Match Ethernet Sender Опре
Page 115 and 116:
По умолчанию: 64 ARP IP
Page 117 and 118:
При определении кр
Page 119 and 120:
Исключения составл
Page 121 and 122:
приоритет. 3.5.5. Папк
Page 123 and 124:
Примечание На рису
Page 125 and 126:
В некоторых случая
Page 127 and 128:
Возвращаемся на ис
Page 129 and 130:
определения действ
Page 131 and 132:
3.7.3. Запросы CA серти
Page 133 and 134:
gw-world:/> time -set YYYY-mm-DD HH
Page 135 and 136:
Для работы с URL-прот
Page 137 and 138:
Следует помнить, чт
Page 139 and 140:
Пример 3.28. Настройк
Page 141 and 142:
Глава 4. Маршрутиза
Page 143 and 144:
Рисунок 4.1 Сценарий
Page 145 and 146:
Рисунок 4.2. Примене
Page 147 and 148:
Преимущества опред
Page 149 and 150:
given default gateway (автома
Page 151 and 152:
Мониторинг автомат
Page 153 and 154:
опрашивать один ил
Page 155 and 156:
4.2.5. Расширенные на
Page 157 and 158:
Рисунок 4.4. Пример Pr
Page 159 and 160:
был хотя бы маршрут
Page 161 and 162:
• Каждый ISP предост
Page 163 and 164:
2. Если найден тольк
Page 165 and 166:
маршрут не изменяе
Page 167 and 168:
gw-world:/> add RouteBalancingInsta
Page 169 and 170:
подсетей, OSPF может
Page 171 and 172:
Совет: Кольцевая то
Page 173 and 174:
ASBR Граничные маршр
Page 175 and 176:
В примере виртуаль
Page 177 and 178:
Объект Автономная
Page 179 and 180:
4.5.3.2. Объект OSPF Area и
Page 181 and 182:
Обмен информацией
Page 183 and 184:
183
Page 185 and 186:
внешние маршруты, и
Page 187 and 188:
Offset Metric Метрика уве
Page 189 and 190:
Повторить шаги 1 - 5
Page 191 and 192:
4.5.6. Пример OSPF В дан
Page 193 and 194:
4.6. Многоадресная м
Page 195 and 196:
Рисунок 4.14. Многоад
Page 197 and 198:
Рисунок 4.15 Многоад
Page 199 and 200:
Рисунок 4.16. Работа
Page 201 and 202:
4. OK 4.6.3.2. Настройка I
Page 203 and 204:
4. OK • Source Interface: wan •
Page 205 and 206:
По умолчанию: 30,000 IGM
Page 207 and 208:
маршрутизатор и ис
Page 209 and 210:
Шаги по установки,
Page 211 and 212:
Рисунок 4.18 Доступ в
Page 213 and 214:
3. OK • IP Address: 10.0.0.1 •
Page 215 and 216:
3. OK • Interfaces: Выбрат
Page 217 and 218:
• Cisco proprietary PVST+ Protoco
Page 219 and 220:
• RewriteLog - Перезапис
Page 221 and 222:
• Интерфейс Каждый
Page 223 and 224:
1. Зайдите System > DHCP > D
Page 225 and 226:
В этом примере демо
Page 227 and 228:
1. Добавьте VLAN интер
Page 229 and 230:
Базовые настройки
Page 231 and 232:
применению интерфе
Page 233 and 234:
Рекомендуется выпо
Page 235 and 236:
TCP/IP. В системе NetDefend
Page 237 and 238:
содержимого». • Ан
Page 239 and 240:
«черного списка» б
Page 241 and 242:
Примечание: Автома
Page 243 and 244:
Если данная функци
Page 245 and 246:
Б. Определите Service: 1
Page 247 and 248:
зависимости от тог
Page 249 and 250:
Функции SMTP ALG Основ
Page 251 and 252:
Например, запись ад
Page 253 and 254:
DSNBL-сервер указывае
Page 255 and 256:
Учет для вышедших и
Page 257 and 258:
alt_smtp_alg inactive 0 0 0 С по
Page 259 and 260:
Рис. 6.6. Использован
Page 261 and 262:
экрана NetDefend, но так
Page 263 and 264:
реализуется через
Page 265 and 266:
traversal Нет необходим
Page 267 and 268:
ProxyAndClients Если функц
Page 269 and 270:
Примечание Контакт
Page 271 and 272:
в IP-сетях. Стандарт
Page 273 and 274:
определенном сцена
Page 275 and 276:
• Destination Interface: core •
Page 277 and 278:
• Source Network: lannet • Dest
Page 279 and 280:
2. Введите: • Name: H323In
Page 281 and 282:
Привратник H.323 расп
Page 283 and 284:
3. Нажмите OK Пример 6
Page 285 and 286:
банковским услугам
Page 287 and 288:
Шифровка, поддержи
Page 289 and 290:
Web-интерфейс 1. Зайд
Page 291 and 292:
7. Нажмите OK Продолж
Page 293 and 294:
отдельная подписка
Page 295 and 296:
и поможет избежать
Page 297 and 298:
4. С этого момента п
Page 299 and 300:
Категория 10: Игры Web
Page 301 and 302:
Категория 22: Клубы
Page 303 and 304:
Пример 6.18. Отправка
Page 305 and 306:
6.4.2. Реализация Пот
Page 307 and 308:
6.4.6. Функции Антиви
Page 309 and 310:
коммутаторах, так к
Page 311 and 312:
6.5.2. Система IDP и уст
Page 313 and 314:
3. Это изменение нас
Page 315 and 316:
NetDefendOS автоматичес
Page 317 and 318:
Списки групп IDP Спи
Page 319 and 320:
Правила IDP: 1. Зайдит
Page 321 and 322:
от атак DoS. 6.6.2. Меха
Page 323 and 324:
потребление всего
Page 325 and 326:
6.7. «Черный список»
Page 327 and 328:
Глава 7. Преобразов
Page 329 and 330:
пулы». IP-адрес исто
Page 331 and 332:
4. Удостоверьтесь, ч
Page 333 and 334:
ситуации, когда мно
Page 335 and 336:
7.4. SAT 2. Затем введит
Page 337 and 338:
Рисунок 7.4. Роль зон
Page 339 and 340:
• Service: http • Source Interf
Page 341 and 342:
10.0.0.3:1038 => 195.55.66.77:80
Page 343 and 344:
Создайте соответст
Page 345 and 346:
• При обращении к п
Page 347 and 348:
Изменить сложившую
Page 349 and 350:
• Создать IP-правил
Page 351 and 352:
Система NetDefendOS може
Page 353 and 354:
значение SAMAccountName (в
Page 355 and 356:
Аутентификация LDAP-
Page 357 and 358:
(на большинстве LDAP-
Page 359 and 360:
• Terminator IP Терминир
Page 361 and 362:
# Действие Интерфей
Page 363 and 364:
3. Нажмите OK 4. Повто
Page 365 and 366:
LoginSuccess, а затем - на
Page 367 and 368:
Глава 9. VPN В данной
Page 369 and 370:
клиенты и филиалы о
Page 371 and 372:
• Укажите IP-правил
Page 373 and 374:
3. Создайте объект IP
Page 375 and 376:
• Нельзя предварит
Page 377 and 378:
3. Укажите совместн
Page 379 and 380:
• ip_int - внутренний I
Page 381 and 382:
Оба соединения IKE и
Page 383 and 384:
настройки, такие ка
Page 385 and 386:
Алгоритм Диффи-Хел
Page 387 and 388:
пакете. Далее выпол
Page 389 and 390:
9.3.6. Списки выбора а
Page 391 and 392:
Далее примените об
Page 393 and 394:
9.4.1. Обзор IPsec-тунне
Page 395 and 396:
защищенный обмен д
Page 397 and 398:
1. Зайдите Objects > VPN Obj
Page 399 and 400:
Режим настройки IKE C
Page 401 and 402:
Для запуска провер
Page 403 and 404:
Message ID : 0x00000000 Packet leng
Page 405 and 406:
Flags : E (encryption) Cookies : 0x
Page 407 and 408:
туннелям. По умолча
Page 409 and 410:
10 секунд, а также не
Page 411 and 412:
6. Нажмите OK Функция
Page 413 and 414: г. Encapsulation Mode: Transport
Page 415 and 416: • Service: all_services • Sourc
Page 417 and 418: 9.6. Доступ к серверу
Page 419 and 420: умолчанию с возмож
Page 421 and 422: 9.7.3. Команды поиска
Page 423 and 424: Список IKE proposal не со
Page 425 and 426: 9.7.6. Особые признак
Page 427 and 428: Глава 10. Управление
Page 429 and 430: Интернет-услуг, в к
Page 431 and 432: Рис. 10.2. Правила FwdFas
Page 433 and 434: Web-интерфейс 1. Зайд
Page 435 and 436: Значение приоритет
Page 437 and 438: Приоритеты применя
Page 439 and 440: • IP-адрес назначен
Page 441 and 442: приоритета, и далее
Page 443 and 444: административного
Page 445 and 446: • Приоритет 6 - VoIP (50
Page 447 and 448: Если используется S
Page 449 and 450: 3.Далее устанавлива
Page 451 and 452: помощью команды CLI p
Page 453 and 454: 10.3.2. Ограничение ск
Page 455 and 456: 2560 и 2560G. Иллюстраци
Page 457 and 458: IP Address Stickiness (Привяз
Page 459 and 460: Рис. 10.12. Привязка (St
Page 461 and 462: 1. Зайдите Rules > IP Rule S
Page 463: Глава 11. Режим высо
Page 467 and 468: В результате сбоя sy
Page 469 and 470: На приведенной схе
Page 471 and 472: операционной систе
Page 473 and 474: • Определить, како
Page 475 and 476: Количество секунд
Page 477 and 478: • Тип коммутатора
Page 479 and 480: Для предотвращения
Page 481 and 482: Второе отличие зак
Page 483 and 484: По умолчанию: Включ
Page 485 and 486: С помощью данной на
Page 487 and 488: TCP Zero Unused URG Снимает
Page 489 and 490: принимая во вниман
Page 491 and 492: 13.4. Настройки состо
Page 493 and 494: По умолчанию: 262144 TCP
Page 495 and 496: Задает максимальны
Page 497 and 498: определить причину
Page 499 and 500: секунд, чтобы предо
Page 501 and 502: Приложение А. Подпи
Page 503 and 504: удаление базы данн
Page 505 and 506: POP3_REQUEST-ERRORS Ошибка з
Page 507 and 508: Приложение В. Типы
Page 509 and 510: pfb Шрифт (двоичный) p
show all

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

Create successful ePaper yourself

Delete template?

Save as template?