NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Типичное управляющее устройство (менеджер), например межсетевой экран NetDefend, использует SNMP-протокол для контроля и управления сетевыми устройствами в управляемой среде. Менеджер может запрашивать у контролируемых устройств статистику с помощью строки SNMP Community (SNMP Community String). Такая строка (последовательность символов) схожа с идентификатором пользователя или паролем и позволяет получить доступ к информации из таблицы состояния устройства. Если тип данной строки – write, то менеджер может изменить состояние устройства. Управляемые устройства Управляемые устройства (агенты) должны быть SNMP-совместимыми. Коммутаторы D-Link являются SNMP-агентами, они хранят данные о состоянии в базе данных MIB (Management Information Base) и обеспечивают информацией управляющее устройство после получения SNMP-запроса. 12.3.2. Пороговые правила (Threshold Rules) Пороговое правило инициирует механизм ZoneDefense для блокировки определенных узлов или сети, если превышен указанный порог соединений, который может быть двух типов: • Connection Rate Limit – ограничение количества новых соединений за секунду к межсетевому экрану. • Total Connections Limit – ограничение общего количества соединений к межсетевому экрану. Параметры пороговых правил схожи с параметрами IP-правил и определяют тип трафика, к которому обращается пороговое правило. У каждого порогового правила выделяют следующие параметры: • Интерфейс источника и сеть источника • Интерфейс назначения и сеть назначения • Сервис • Тип порога: для хоста и/или сети При прохождении трафика, соответствующего вышеупомянутым критериям и превышающего порог для данного хоста/сети, срабатывает механизм ZoneDefense, который будет препятствовать обращению хоста/сети к коммутатору. Все блокировки из-за превышения порога основаны на IP-адресе хоста или сети на коммутаторе. Если порог в сети превышается, то в этой сети блокируется хост, превысивший данный порог. Более подробная информация об определении и функционировании пороговых правил приведена в Разделе 10.3 “Пороговые правила”. 12.3.3. Ручная блокировка и создание списка Exclude (Exclude Lists) В дополнение к пороговым правилам можно вручную определить хосты и сети, которые необходимо заблокировать или исключить. Заблокированные вручную хосты или сети могут блокироваться по умолчанию или на основе расписания. Существует возможность определения протоколов, которые должны быть заблокированы. 478
Для предотвращения блокировки хостов в случае превышения ими порога следует создать список Exclude. Желательно в этот список включать IP-адрес интерфейса межсетевого экрана или MAC-адрес коммутатора ZoneDefense, что предотвращает межсетевой экран от случайной блокировки. Пример 12.1. Простой сценарий ZoneDefense В данном примере рассмотрены шаги, необходимые для установки ZoneDefense. Предполагается, что все интерфейсы межсетевого экрана уже настроены. Для HTTP установлен порог 10 соединений в секунду. Если количество соединений превышает этот порог, межсетевой экран блокирует доступ к коммутатору определенного хоста (например, в сети с диапазоном 192.168.2.0/24). В данном случае используется модель коммутатора D-Link DES-3226S с адресом управляющего интерфейса 192.168.1.250, соединяющегося с адресом интерфейса межсетевого экрана 192.168.1.1. Интерфейс межсетевого экрана добавляется в список Exclude, для предотвращения случайной блокировки. Web-интерфейс Добавить новый коммутатор в раздел ZoneDefense: 1. Перейти на вкладку ZoneDefense > Switches > Add > ZoneDefense switch 2. Ввести: • Name: switch1 • Switch model: DES-3226S • IP Address: 192.168.1.250 3. Для SNMP Community ввести строку Write Community String, определенную для коммутатора. 4. Запустить Check Switch для проверки соединений межсетевого экрана с коммутатором и корректность строки SNMP Community. 5. OK Добавить управляющий интерфейс коммутатора в список Exclude: 1. Перейти на вкладку ZoneDefense > Exclude list 2. Для выбранного в поле Addresses имени объекта вставить адрес 192.168.1.1 из списка Available в список Selected. 3. OK Настройка порога, равного 10 соединениям в секунду, для HTTP: 1. Перейти на вкладку Traffic Management > Threshold Rules > Add > Threshold Rule 2. Для Threshold Rule ввести: • Name: HTTP-Threshold 479
- Page 427 and 428: Глава 10. Управление
- Page 429 and 430: Интернет-услуг, в к
- Page 431 and 432: Рис. 10.2. Правила FwdFas
- Page 433 and 434: Web-интерфейс 1. Зайд
- Page 435 and 436: Значение приоритет
- Page 437 and 438: Приоритеты применя
- Page 439 and 440: • IP-адрес назначен
- Page 441 and 442: приоритета, и далее
- Page 443 and 444: административного
- Page 445 and 446: • Приоритет 6 - VoIP (50
- Page 447 and 448: Если используется S
- Page 449 and 450: 3.Далее устанавлива
- Page 451 and 452: помощью команды CLI p
- Page 453 and 454: 10.3.2. Ограничение ск
- Page 455 and 456: 2560 и 2560G. Иллюстраци
- Page 457 and 458: IP Address Stickiness (Привяз
- Page 459 and 460: Рис. 10.12. Привязка (St
- Page 461 and 462: 1. Зайдите Rules > IP Rule S
- Page 463 and 464: Глава 11. Режим высо
- Page 465 and 466: через интерфейс си
- Page 467 and 468: В результате сбоя sy
- Page 469 and 470: На приведенной схе
- Page 471 and 472: операционной систе
- Page 473 and 474: • Определить, како
- Page 475 and 476: Количество секунд
- Page 477: • Тип коммутатора
- Page 481 and 482: Второе отличие зак
- Page 483 and 484: По умолчанию: Включ
- Page 485 and 486: С помощью данной на
- Page 487 and 488: TCP Zero Unused URG Снимает
- Page 489 and 490: принимая во вниман
- Page 491 and 492: 13.4. Настройки состо
- Page 493 and 494: По умолчанию: 262144 TCP
- Page 495 and 496: Задает максимальны
- Page 497 and 498: определить причину
- Page 499 and 500: секунд, чтобы предо
- Page 501 and 502: Приложение А. Подпи
- Page 503 and 504: удаление базы данн
- Page 505 and 506: POP3_REQUEST-ERRORS Ошибка з
- Page 507 and 508: Приложение В. Типы
- Page 509 and 510: pfb Шрифт (двоичный) p
Типичное управляющее устройство (менеджер), например межсетевой экран NetDefend,<br />
использует SNMP-протокол для контроля и управления сетевыми устройствами в управляемой<br />
среде. Менеджер может запрашивать у контролируемых устройств статистику с помощью<br />
строки SNMP Community (SNMP Community String). Такая строка (последовательность<br />
символов) схожа с идентификатором пользователя или паролем и позволяет получить доступ к<br />
информации из таблицы состояния устройства. Если тип данной строки – write, то менеджер<br />
может изменить состояние устройства.<br />
Управляемые устройства<br />
Управляемые устройства (агенты) должны быть SNMP-совместимыми. Коммутаторы D-Link<br />
являются SNMP-агентами, они хранят данные о состоянии в базе данных MIB (Management<br />
Information Base) и обеспечивают информацией управляющее устройство после получения<br />
SNMP-запроса.<br />
12.3.2. Пороговые правила (Threshold Rules)<br />
Пороговое правило инициирует механизм ZoneDefense для блокировки определенных узлов<br />
или сети, если превышен указанный порог соединений, который может быть двух типов:<br />
• Connection Rate Limit – ограничение количества новых соединений за секунду к<br />
межсетевому экрану.<br />
• Total Connections Limit – ограничение общего количества соединений к межсетевому<br />
экрану.<br />
Параметры пороговых правил схожи с параметрами IP-правил и определяют тип трафика, к<br />
которому обращается пороговое правило.<br />
У каждого порогового правила выделяют следующие параметры:<br />
• Интерфейс источника и сеть источника<br />
• Интерфейс назначения и сеть назначения<br />
• Сервис<br />
• Тип порога: для хоста и/или сети<br />
При прохождении трафика, соответствующего вышеупомянутым критериям и превышающего<br />
порог для данного хоста/сети, срабатывает механизм ZoneDefense, который будет<br />
препятствовать обращению хоста/сети к коммутатору. Все блокировки из-за превышения<br />
порога основаны на IP-адресе хоста или сети на коммутаторе. Если порог в сети превышается,<br />
то в этой сети блокируется хост, превысивший данный порог.<br />
Более подробная информация об определении и функционировании пороговых правил<br />
приведена в Разделе 10.3 “Пороговые правила”.<br />
12.3.3. Ручная блокировка и создание списка Exclude<br />
(Exclude Lists)<br />
В дополнение к пороговым правилам можно вручную определить хосты и сети, которые<br />
необходимо заблокировать или исключить. Заблокированные вручную хосты или сети могут<br />
блокироваться по умолчанию или на основе расписания. Существует возможность<br />
определения протоколов, которые должны быть заблокированы.<br />
478