NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

Типичное управляющее устройство (менеджер), например межсетевой экран NetDefend, использует SNMP-протокол для контроля и управления сетевыми устройствами в управляемой среде. Менеджер может запрашивать у контролируемых устройств статистику с помощью строки SNMP Community (SNMP Community String). Такая строка (последовательность символов) схожа с идентификатором пользователя или паролем и позволяет получить доступ к информации из таблицы состояния устройства. Если тип данной строки – write, то менеджер может изменить состояние устройства. Управляемые устройства Управляемые устройства (агенты) должны быть SNMP-совместимыми. Коммутаторы D-Link являются SNMP-агентами, они хранят данные о состоянии в базе данных MIB (Management Information Base) и обеспечивают информацией управляющее устройство после получения SNMP-запроса. 12.3.2. Пороговые правила (Threshold Rules) Пороговое правило инициирует механизм ZoneDefense для блокировки определенных узлов или сети, если превышен указанный порог соединений, который может быть двух типов: • Connection Rate Limit – ограничение количества новых соединений за секунду к межсетевому экрану. • Total Connections Limit – ограничение общего количества соединений к межсетевому экрану. Параметры пороговых правил схожи с параметрами IP-правил и определяют тип трафика, к которому обращается пороговое правило. У каждого порогового правила выделяют следующие параметры: • Интерфейс источника и сеть источника • Интерфейс назначения и сеть назначения • Сервис • Тип порога: для хоста и/или сети При прохождении трафика, соответствующего вышеупомянутым критериям и превышающего порог для данного хоста/сети, срабатывает механизм ZoneDefense, который будет препятствовать обращению хоста/сети к коммутатору. Все блокировки из-за превышения порога основаны на IP-адресе хоста или сети на коммутаторе. Если порог в сети превышается, то в этой сети блокируется хост, превысивший данный порог. Более подробная информация об определении и функционировании пороговых правил приведена в Разделе 10.3 “Пороговые правила”. 12.3.3. Ручная блокировка и создание списка Exclude (Exclude Lists) В дополнение к пороговым правилам можно вручную определить хосты и сети, которые необходимо заблокировать или исключить. Заблокированные вручную хосты или сети могут блокироваться по умолчанию или на основе расписания. Существует возможность определения протоколов, которые должны быть заблокированы. 478

Для предотвращения блокировки хостов в случае превышения ими порога следует создать список Exclude. Желательно в этот список включать IP-адрес интерфейса межсетевого экрана или MAC-адрес коммутатора ZoneDefense, что предотвращает межсетевой экран от случайной блокировки. Пример 12.1. Простой сценарий ZoneDefense В данном примере рассмотрены шаги, необходимые для установки ZoneDefense. Предполагается, что все интерфейсы межсетевого экрана уже настроены. Для HTTP установлен порог 10 соединений в секунду. Если количество соединений превышает этот порог, межсетевой экран блокирует доступ к коммутатору определенного хоста (например, в сети с диапазоном 192.168.2.0/24). В данном случае используется модель коммутатора D-Link DES-3226S с адресом управляющего интерфейса 192.168.1.250, соединяющегося с адресом интерфейса межсетевого экрана 192.168.1.1. Интерфейс межсетевого экрана добавляется в список Exclude, для предотвращения случайной блокировки. Web-интерфейс Добавить новый коммутатор в раздел ZoneDefense: 1. Перейти на вкладку ZoneDefense > Switches > Add > ZoneDefense switch 2. Ввести: • Name: switch1 • Switch model: DES-3226S • IP Address: 192.168.1.250 3. Для SNMP Community ввести строку Write Community String, определенную для коммутатора. 4. Запустить Check Switch для проверки соединений межсетевого экрана с коммутатором и корректность строки SNMP Community. 5. OK Добавить управляющий интерфейс коммутатора в список Exclude: 1. Перейти на вкладку ZoneDefense > Exclude list 2. Для выбранного в поле Addresses имени объекта вставить адрес 192.168.1.1 из списка Available в список Selected. 3. OK Настройка порога, равного 10 соединениям в секунду, для HTTP: 1. Перейти на вкладку Traffic Management > Threshold Rules > Add > Threshold Rule 2. Для Threshold Rule ввести: • Name: HTTP-Threshold 479

Типичное управляющее устройство (менеджер), например межсетевой экран NetDefend,<br />

использует SNMP-протокол для контроля и управления сетевыми устройствами в управляемой<br />

среде. Менеджер может запрашивать у контролируемых устройств статистику с помощью<br />

строки SNMP Community (SNMP Community String). Такая строка (последовательность<br />

символов) схожа с идентификатором пользователя или паролем и позволяет получить доступ к<br />

информации из таблицы состояния устройства. Если тип данной строки – write, то менеджер<br />

может изменить состояние устройства.<br />

Управляемые устройства<br />

Управляемые устройства (агенты) должны быть SNMP-совместимыми. Коммутаторы D-Link<br />

являются SNMP-агентами, они хранят данные о состоянии в базе данных MIB (Management<br />

Information Base) и обеспечивают информацией управляющее устройство после получения<br />

SNMP-запроса.<br />

12.3.2. Пороговые правила (Threshold Rules)<br />

Пороговое правило инициирует механизм ZoneDefense для блокировки определенных узлов<br />

или сети, если превышен указанный порог соединений, который может быть двух типов:<br />

• Connection Rate Limit – ограничение количества новых соединений за секунду к<br />

межсетевому экрану.<br />

• Total Connections Limit – ограничение общего количества соединений к межсетевому<br />

экрану.<br />

Параметры пороговых правил схожи с параметрами IP-правил и определяют тип трафика, к<br />

которому обращается пороговое правило.<br />

У каждого порогового правила выделяют следующие параметры:<br />

• Интерфейс источника и сеть источника<br />

• Интерфейс назначения и сеть назначения<br />

• Сервис<br />

• Тип порога: для хоста и/или сети<br />

При прохождении трафика, соответствующего вышеупомянутым критериям и превышающего<br />

порог для данного хоста/сети, срабатывает механизм ZoneDefense, который будет<br />

препятствовать обращению хоста/сети к коммутатору. Все блокировки из-за превышения<br />

порога основаны на IP-адресе хоста или сети на коммутаторе. Если порог в сети превышается,<br />

то в этой сети блокируется хост, превысивший данный порог.<br />

Более подробная информация об определении и функционировании пороговых правил<br />

приведена в Разделе 10.3 “Пороговые правила”.<br />

12.3.3. Ручная блокировка и создание списка Exclude<br />

(Exclude Lists)<br />

В дополнение к пороговым правилам можно вручную определить хосты и сети, которые<br />

необходимо заблокировать или исключить. Заблокированные вручную хосты или сети могут<br />

блокироваться по умолчанию или на основе расписания. Существует возможность<br />

определения протоколов, которые должны быть заблокированы.<br />

478

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!