NetdefendOS_2.27.01_Firewall_User_Manual_RUS

04.03.2013 Views
Значение по умолчанию ValidateLogBad (или ValidateSilent) разрешает попытки повторно установить TCP-соединение, это означает, что попытки восстановления соединения с применением ранее используемого поля Sequence number будут отклонены. ValidateReopen и ValidReopenLog являются особыми настройками, обеспечивающими действия по умолчанию в предыдущих версиях NetDefendOS, где разрешены попытки повторной установки соединения только с использованием поля Sequence number внутри текущего (или последнего) окна TCP. При этом существует больше ограничений, чем при использовании ValidateLogBad/ValidateSilent, и некоторые корректные попытки повторной установки TCPсоединений будут заблокированы. Это приведет к значительному сокращению трафика, потраченного на просмотр Web-страниц (короткие, но завершенные запросы от небольшого количества клиентов с интервалом в несколько секунд), в то время как трафик TCP не будет затронут. Тем не менее, не рекомендуется использовать ValidateReopen или ValidateReopenLog, так как можно достичь тот же результат за счет запрета повторной установки TCP-соединения. Данные настройки существуют, главным образом, для обратной совместимости. ReopenValidate и ReopenValidLog имеют меньше ограничений, чем ValidateLogBad или ValidateSilent. Некоторые клиенты и/или операционные системы могут использовать случайно выбранное поле Sequence number при восстановлении предыдущего TCP-соединения (как правило, из соображений безопасности), при использовании данных настроек возможна некорректная работа соединения. Скорее всего, будет затронут трафик, потраченный на просмотр Web-страниц, и данное воздействие будет происходить в произвольном порядке. Использование данных значений вместо значения по умолчанию полностью отключит проверку поля Sequence number при повторной установке TCPсоединения. После установки соединения возобновляется обычная проверка поля Sequence number TCP-пакета. Allow TCP Reopen Позволяет клиентам восстановить завершенные TCP-соединения. По умолчанию: Выключено 13.3. Настройки ICMP-уровня ICMP Sends Per Sec Limit Задает максимальное количество ICMP-сообщений в секунду, генерируемых системой NetDefendOS, включая ответы на запрос ping, сообщения Destination unreachable (точка назначения недоступна), а также пакеты TCP RST. Другими словами, данная настройка ограничивает количество Отказов в секунду, которые генерируются правилами Отказа (Reject rules) в разделе Правила. По умолчанию: 500 Silently Drop State ICMPErrors С помощью данной настройки система NetDefendOS может отбрасывать ICMP-пакеты с ошибками в отслеживаемых открытых соединениях. Если пакеты с ошибками не будут отброшены, они проходят дальше и подвергаются обработке согласно набору правил. По умолчанию: Включено 490

13.4. Настройки состояний Connection Replace С помощью данной настройки можно добавить новые соединения в список соединений NetDefendOS с заменой старых записей, если нет свободного пространства. По умолчанию: ReplaceLog Log Open Fails В некоторых случаях, когда правило разрешает прохождение пакета, впоследствии механизм Stateful Inspection может решить, что пакет не может открыть новое соединение. Например, ситуация, когда для TCP-пакета, прохождение которого было разрешено правилами и который не является частью установленного соединения, не установлен флаг SYN. Такие пакеты не могут открывать новые соединения. Помимо этого, ICMP-сообщения, за исключением ICMP ECHO (Ping), также никогда не смогут открыть новые соединения. С помощью данной настройки NetDefendOS может регистрировать такие пакеты. По умолчанию: Включено Log Reverse Opens С помощью данной настройки система NetDefendOS регистрирует в Журнале запись о пакетах, которые пытаются открыть новое соединение через уже открытое соединение. Функция применяется только к TCP-пакетам с установленным флагом SYN и пакетам ICMP ECHO. При использовании других протоколов, например, UDP, невозможно определить, пытается ли удаленный узел открыть новое соединение. По умолчанию: Включено Log State Violations С помощью данной настройки система NetDefendOS регистрирует пакеты, которые нарушают предполагаемую диаграмму коммутации соединения, например, получение пакетов TCP FIN в ответ на пакеты TCP SYN. По умолчанию: Включено Log Connections Данная настройка используется для регистрации соединений системой NetDefendOS: • NoLog – Не регистрирует ни одного соединения, таким образом, не имеет значения, включена ли регистрация для правила Allow или для правила NAT в наборе IP-правил; они не будут зарегистрированы. Тем не менее, правила FwdFast, Drop и Reject будут зарегистрированы, как указано в настройках раздела Правила. • Log – Регистрирует соединения в краткой форме; предоставляет короткое описание соединения, разрешенное правилом, и любого применяемого правила SAT. После закрытия соединений, они также будут зарегистрированы. • LogOC – Действует так же, как и Log, но включает два пакета, которые открывают и закрывают соединение. Если соединение закрыто по истечении таймаута, закрывающие пакеты не будут зарегистрированы. • LogOCAll – Регистрирует все пакеты, задействованные в открытии и закрытии соединения. При использовании TCP регистрирует все пакеты с установленными флагами SYN, FIN или RST. 491

Page 1 and 2: ф 1

Page 3 and 4: Руководство пользо

Page 5 and 6: 3.1.5. Автоматически

Page 7 and 8: 6.2.10. TLS ALG....................

Page 9 and 10: 10.1.2. Traffic Shaping в NetDefen

Page 11 and 12: Предисловие Целева

Page 13 and 14: Глава 1. Обзор NetDefendO

Page 15 and 16: Traffic Management NetDefendOS об

Page 17 and 18: В конечном итоге, п

Page 19 and 20: пакетов, проходящи

Page 21 and 22: Рис. 1.2. Схематичное

Page 23 and 24: Применяемые правил

Page 25 and 26: Меню загрузки конс

Page 27 and 28: пользователя, изоб

Page 29 and 30: Б. Навигатор • Maintena

Page 31 and 32: Структура команд CLI

Page 33 and 34: добавить маршрут: gw

Page 35 and 36: Пример 2.2. Включени

Page 37 and 38: gw-world:/> show -errors Систе

Page 39 and 40: delete cc Если в сценар

Page 41 and 42: сценариев, доступн

Page 43 and 44: Загрузка выполняет

Page 45 and 46: скачивания резервн

Page 47 and 48: для доступа админи

Page 49 and 50: Пример 2.4. Отображе

Page 51 and 52: 3. В появившемся вып

Page 53 and 54: Пример 2.10. Активаци

Page 55 and 56: • MemoryLogReceiver Систем

Page 57 and 58: сообщений: команда

Page 59 and 60: как клиент сервера

Page 61 and 62: 2.3.3. Промежуточные

Page 63 and 64: Проблема может воз

Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp

Page 67 and 68: SNMP-доступа. Порт 161

Page 69 and 70: gw-world:/> pcapdump -size 1024 -st

Page 71 and 72: • Имя файла (без ра

Page 73 and 74: Примечание: Резерв

Page 75 and 76: Глава 3.Основные пр

Page 77 and 78: 2. Указать подходящ

Page 79 and 80: 3.1.5. Автоматически

Page 81 and 82: "" Web-интерфейс 1. Пер

Page 83 and 84: Другие свойства се

Page 85 and 86: интегрированный с I

Page 87 and 88: 3.2.5. Service Groups (Сервис

Page 89 and 90: • Туннельные интер

Page 91 and 92: Процесс запуска бу

Page 93 and 94: i. Обозначить интер

Page 95 and 96: Здесь клавиша Tab ис

Page 97 and 98: • Для одного физич

Page 99 and 100: Пример 3.10. Определе

Page 101 and 102: провайдер не назна

Page 103 and 104: • Remote Endpoint (Удаленн

Page 105 and 106: (Name ) (Action) источника

Page 107 and 108: Хост в Ethernet-сети мо

Page 109 and 110: Mode Тип ARP-объекта. М

Page 111 and 112: Рисунок 3.2. ARP-ответ

Page 113 and 114: ARP Match Ethernet Sender Опре

Page 115 and 116: По умолчанию: 64 ARP IP

Page 117 and 118: При определении кр

Page 119 and 120: Исключения составл

Page 121 and 122: приоритет. 3.5.5. Папк

Page 123 and 124: Примечание На рису

Page 125 and 126: В некоторых случая

Page 127 and 128: Возвращаемся на ис

Page 129 and 130: определения действ

Page 131 and 132: 3.7.3. Запросы CA серти

Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH

Page 135 and 136: Для работы с URL-прот

Page 137 and 138: Следует помнить, чт

Page 139 and 140: Пример 3.28. Настройк

Page 141 and 142: Глава 4. Маршрутиза

Page 143 and 144: Рисунок 4.1 Сценарий

Page 145 and 146: Рисунок 4.2. Примене

Page 147 and 148: Преимущества опред

Page 149 and 150: given default gateway (автома

Page 151 and 152: Мониторинг автомат

Page 153 and 154: опрашивать один ил

Page 155 and 156: 4.2.5. Расширенные на

Page 157 and 158: Рисунок 4.4. Пример Pr

Page 159 and 160: был хотя бы маршрут

Page 161 and 162: • Каждый ISP предост

Page 163 and 164: 2. Если найден тольк

Page 165 and 166: маршрут не изменяе

Page 167 and 168: gw-world:/> add RouteBalancingInsta

Page 169 and 170: подсетей, OSPF может

Page 171 and 172: Совет: Кольцевая то

Page 173 and 174: ASBR Граничные маршр

Page 175 and 176: В примере виртуаль

Page 177 and 178: Объект Автономная

Page 179 and 180: 4.5.3.2. Объект OSPF Area и

Page 181 and 182: Обмен информацией

Page 183 and 184: 183

Page 185 and 186: внешние маршруты, и

Page 187 and 188: Offset Metric Метрика уве

Page 189 and 190: Повторить шаги 1 - 5

Page 191 and 192: 4.5.6. Пример OSPF В дан

Page 193 and 194: 4.6. Многоадресная м

Page 195 and 196: Рисунок 4.14. Многоад

Page 197 and 198: Рисунок 4.15 Многоад

Page 199 and 200: Рисунок 4.16. Работа

Page 201 and 202: 4. OK 4.6.3.2. Настройка I

Page 203 and 204: 4. OK • Source Interface: wan •

Page 205 and 206: По умолчанию: 30,000 IGM

Page 207 and 208: маршрутизатор и ис

Page 209 and 210: Шаги по установки,

Page 211 and 212: Рисунок 4.18 Доступ в

Page 213 and 214: 3. OK • IP Address: 10.0.0.1 •

Page 215 and 216: 3. OK • Interfaces: Выбрат

Page 217 and 218: • Cisco proprietary PVST+ Protoco

Page 219 and 220: • RewriteLog - Перезапис

Page 221 and 222: • Интерфейс Каждый

Page 223 and 224: 1. Зайдите System > DHCP > D

Page 225 and 226: В этом примере демо

Page 227 and 228: 1. Добавьте VLAN интер

Page 229 and 230: Базовые настройки

Page 231 and 232: применению интерфе

Page 233 and 234: Рекомендуется выпо

Page 235 and 236: TCP/IP. В системе NetDefend

Page 237 and 238: содержимого». • Ан

Page 239 and 240: «черного списка» б

Page 241 and 242: Примечание: Автома

Page 243 and 244: Если данная функци

Page 245 and 246: Б. Определите Service: 1

Page 247 and 248: зависимости от тог

Page 249 and 250: Функции SMTP ALG Основ

Page 251 and 252: Например, запись ад

Page 253 and 254: DSNBL-сервер указывае

Page 255 and 256: Учет для вышедших и

Page 257 and 258: alt_smtp_alg inactive 0 0 0 С по

Page 259 and 260: Рис. 6.6. Использован

Page 261 and 262: экрана NetDefend, но так

Page 263 and 264: реализуется через

Page 265 and 266: traversal Нет необходим

Page 267 and 268: ProxyAndClients Если функц

Page 269 and 270: Примечание Контакт

Page 271 and 272: в IP-сетях. Стандарт

Page 273 and 274: определенном сцена

Page 275 and 276: • Destination Interface: core •

Page 277 and 278: • Source Network: lannet • Dest

Page 279 and 280: 2. Введите: • Name: H323In

Page 281 and 282: Привратник H.323 расп

Page 283 and 284: 3. Нажмите OK Пример 6

Page 285 and 286: банковским услугам

Page 287 and 288: Шифровка, поддержи

Page 289 and 290: Web-интерфейс 1. Зайд

Page 291 and 292: 7. Нажмите OK Продолж

Page 293 and 294: отдельная подписка

Page 295 and 296: и поможет избежать

Page 297 and 298: 4. С этого момента п

Page 299 and 300: Категория 10: Игры Web

Page 301 and 302: Категория 22: Клубы

Page 303 and 304: Пример 6.18. Отправка

Page 305 and 306: 6.4.2. Реализация Пот

Page 307 and 308: 6.4.6. Функции Антиви

Page 309 and 310: коммутаторах, так к

Page 311 and 312: 6.5.2. Система IDP и уст

Page 313 and 314: 3. Это изменение нас

Page 315 and 316: NetDefendOS автоматичес

Page 317 and 318: Списки групп IDP Спи

Page 319 and 320: Правила IDP: 1. Зайдит

Page 321 and 322: от атак DoS. 6.6.2. Меха

Page 323 and 324: потребление всего

Page 325 and 326: 6.7. «Черный список»

Page 327 and 328: Глава 7. Преобразов

Page 329 and 330: пулы». IP-адрес исто

Page 331 and 332: 4. Удостоверьтесь, ч

Page 333 and 334: ситуации, когда мно

Page 335 and 336: 7.4. SAT 2. Затем введит

Page 337 and 338: Рисунок 7.4. Роль зон

Page 339 and 340: • Service: http • Source Interf

Page 341 and 342: 10.0.0.3:1038 => 195.55.66.77:80

Page 343 and 344: Создайте соответст

Page 345 and 346: • При обращении к п

Page 347 and 348: Изменить сложившую

Page 349 and 350: • Создать IP-правил

Page 351 and 352: Система NetDefendOS може

Page 353 and 354: значение SAMAccountName (в

Page 355 and 356: Аутентификация LDAP-

Page 357 and 358: (на большинстве LDAP-

Page 359 and 360: • Terminator IP Терминир

Page 361 and 362: # Действие Интерфей

Page 363 and 364: 3. Нажмите OK 4. Повто

Page 365 and 366: LoginSuccess, а затем - на

Page 367 and 368: Глава 9. VPN В данной

Page 369 and 370: клиенты и филиалы о

Page 371 and 372: • Укажите IP-правил

Page 373 and 374: 3. Создайте объект IP

Page 375 and 376: • Нельзя предварит

Page 377 and 378: 3. Укажите совместн

Page 379 and 380: • ip_int - внутренний I

Page 381 and 382: Оба соединения IKE и

Page 383 and 384: настройки, такие ка

Page 385 and 386: Алгоритм Диффи-Хел

Page 387 and 388: пакете. Далее выпол

Page 389 and 390: 9.3.6. Списки выбора а

Page 391 and 392: Далее примените об

Page 393 and 394: 9.4.1. Обзор IPsec-тунне

Page 395 and 396: защищенный обмен д

Page 397 and 398: 1. Зайдите Objects > VPN Obj

Page 399 and 400: Режим настройки IKE C

Page 401 and 402: Для запуска провер

Page 403 and 404: Message ID : 0x00000000 Packet leng

Page 405 and 406: Flags : E (encryption) Cookies : 0x

Page 407 and 408: туннелям. По умолча

Page 409 and 410: 10 секунд, а также не

Page 411 and 412: 6. Нажмите OK Функция

Page 413 and 414: г. Encapsulation Mode: Transport

Page 415 and 416: • Service: all_services • Sourc

Page 417 and 418: 9.6. Доступ к серверу

Page 419 and 420: умолчанию с возмож

Page 421 and 422: 9.7.3. Команды поиска

Page 423 and 424: Список IKE proposal не со

Page 425 and 426: 9.7.6. Особые признак

Page 427 and 428: Глава 10. Управление

Page 429 and 430: Интернет-услуг, в к

Page 431 and 432: Рис. 10.2. Правила FwdFas

Page 433 and 434: Web-интерфейс 1. Зайд

Page 435 and 436: Значение приоритет

Page 437 and 438: Приоритеты применя

Page 439 and 440: • IP-адрес назначен

Page 441 and 442: приоритета, и далее

Page 443 and 444: административного

Page 445 and 446: • Приоритет 6 - VoIP (50

Page 447 and 448: Если используется S

Page 449 and 450: 3.Далее устанавлива

Page 451 and 452: помощью команды CLI p

Page 453 and 454: 10.3.2. Ограничение ск

Page 455 and 456: 2560 и 2560G. Иллюстраци

Page 457 and 458: IP Address Stickiness (Привяз

Page 459 and 460: Рис. 10.12. Привязка (St

Page 461 and 462: 1. Зайдите Rules > IP Rule S

Page 463 and 464: Глава 11. Режим высо

Page 465 and 466: через интерфейс си

Page 467 and 468: В результате сбоя sy

Page 469 and 470: На приведенной схе

Page 471 and 472: операционной систе

Page 473 and 474: • Определить, како

Page 475 and 476: Количество секунд

Page 477 and 478: • Тип коммутатора

Page 479 and 480: Для предотвращения

Page 481 and 482: Второе отличие зак

Page 483 and 484: По умолчанию: Включ

Page 485 and 486: С помощью данной на

Page 487 and 488: TCP Zero Unused URG Снимает

Page 489: принимая во вниман

Page 493 and 494: По умолчанию: 262144 TCP

Page 495 and 496: Задает максимальны

Page 497 and 498: определить причину

Page 499 and 500: секунд, чтобы предо

Page 501 and 502: Приложение А. Подпи

Page 503 and 504: удаление базы данн

Page 505 and 506: POP3_REQUEST-ERRORS Ошибка з

Page 507 and 508: Приложение В. Типы

Page 509 and 510: pfb Шрифт (двоичный) p

netdefendos

netdefend

ospf

ipsec

http

destination

lannet

interface

shaping

objects

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS ... View more NetdefendOS_2.27.01_Firewall_User_Manual_RUS

Delete template?

Save as template ?

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS