NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Share Embed Flag
Download ePaper

NetdefendOS_2.27.01_Firewall_User_Manual_RUS

NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS

cs.ujiu4
04.03.2013 Views

Протокол управления передачей - Transmission Control Protocol (TCP) – ориентированный на соединение протокол, включающий в себя механизм передачи данных точка-точка (point-to-point). TCP-протокол используется в большинстве приложений, в которых важна безошибочная передача данных, к таким можно отнести HTTP, FTP и SMTP. UDP-ориентированные приложения Для приложений, где скорость передачи данных играет главную роль, например, при потоковом аудио и видео, предпочтительнее использовать протокол пользовательских датаграмм - User Datagram Protocol (UDP). UDP - протокол, не ориентированный на соединение, обеспечивает минимальную передачу при восстановлении ошибок и значительно более низкую нагрузку, по сравнению с TCP-протоколом. Из-за более низких расходов UDP используется для некоторых непотоковых сервисов и в тех случаях, когда в самих приложениях содержатся какие-либо механизмы исправления ошибок. Определение TCP и UDP-сервисов Для определения TCP или UDP-протокол является основным для системы NetDefendOS, используется объект TCP/UDP-сервис. Помимо уникального имени, описывающего сервис, объект содержит информацию о протоколе (TCP, UDP или оба протокола) и применяемых для сервиса портах источника и назначения. Определение номеров порта Номера портов определены всеми типами сервисов и полезно знать, как они могут быть зафиксированы в пользовательских интерфейсах. Они могут быть определены для порта источника и/или порта назначения следующими способами: Единственный порт Для многих сервисов достаточно одного порта назначения. Например, HTTP обычно использует порт назначения 80. SMTP-протокол использует порт 25 и так далее. Для таких типов сервисов единственный номер порта просто указывается в определении сервиса как одно число. Диапазоны портов Некоторые сервисы используют диапазоны портов назначения. Например, NetBIOS-протокол, применяющийся в Microsoft Windows TM , использует диапазон от 137 до 139. M Для определения диапазона портов в объекте TCP/UDPсервис используется формат mmm-nnn. Обозначение 137-139 означает, что в этот диапазон входят 137, 138 и 139 порты. Множественный доступ к порту и диапазоны портов Множественные диапазоны портов или индивидуальные порты можно вводить, разделяя их запятыми, что позволяет охватывать широкий диапазон портов с использованием только одного объекта TCP/UDPсервис. Например, все сети Microsoft Windows можно охватить, используя определение порта 135-139,445. HTTP и HTTPS можно покрыть, указав порты назначения 80,443. 82

Другие свойства сервиса Совет: Указание портов источника Обычно большинство сервисов по умолчанию использует значения диапазона портов источника 0-65535 (соответствующее всем доступным портам источника). Для некоторых приложений эффективнее определить порт источника, если он всегда находиться в ограниченном диапазоне значений. Рекомендуемый подход: определять как можно более узкий диапазон портов. Помимо основного протокола и информации о портах, у объектов TCP/UDP-сервис есть также несколько других свойств: • SYN Flood Protection (защита от атак SYN Flood) Опция SYN Flood Protection разрешает сервису, основанному на TCP настраивать защиту от атак SYN Flood. Эта опция поддерживается только TCP/IP-сервисами. Более подробная информация о том, как работает эта функция, приведена в Разделе 6.6.8, «Атака TCP SYN Flood». • Pass ICMP Errors (прием ICMP-сообщений об ошибках) При попытке открыть TCP-соединение приложением пользователя, расположенного за межсетевым экраном NetDefend, и если удаленный сервер недоступен, то в ответ возвращается ICMP-сообщение об ошибке. Такие сообщения интерпретируются системой NetDefendOS как новое соединение и отклоняются, если IP-правилами не прописано другое. Опция Pass returned ICMP error messages from destination (возвращение ICMP-сообщений от получателя) разрешает таким ICMP-сообщениям автоматически передаваться обратно в запрашивающее приложение. В некоторых случаях лучше пропускать ICMP-сообщения. Например, если ICMP-сообщение quench направлено на уменьшение скорости потока трафика. С другой стороны, отклонение ICMP-сообщений увеличивает безопасность, предотвращая их использование в качестве способа атаки. • ALG TCP/UDP-сервис может быть связан со шлюзом прикладного уровня - Application Layer Gateway (ALG), что обеспечит более детальную проверку определенных протоколов. Этот метод заключается в связи ALG с IP-правилами. Первоначально ALG связывается с сервисом, после чего сервис связывается с IP-правилами. Более подробная информация об этой теме представлена в Разделе 6.2, “ALG”. • Max Sessions (Максимальное количество сессий) К одному из важных параметров относят Max Sessions. Этот параметр выделяет заданные по умолчанию значения при соединении сервиса с ALG. В зависимости от ALG это заданное по умолчанию значение меняется. Если, например, значение по умолчанию равно 100, то это означает, что для всех интерфейсов этого сервиса возможно только 100 соединений. Для сервисов, связывающих, например, HTTP и ALG значение по умолчанию часто может быть очень низким, если велико количество соединений, проходящих через межсетевой экран NetDefend. Определение объекта all_services 83

Другие свойства сервиса<br />

Совет: Указание портов источника<br />

Обычно большинство сервисов по умолчанию использует значения диапазона<br />

портов источника 0-65535 (соответствующее всем доступным портам<br />

источника).<br />

Для некоторых приложений эффективнее определить порт источника, если он<br />

всегда находиться в ограниченном диапазоне значений. Рекомендуемый подход:<br />

определять как можно более узкий диапазон портов.<br />

Помимо основного протокола и информации о портах, у объектов TCP/UDP-сервис есть также<br />

несколько других свойств:<br />

• SYN Flood Protection (защита от атак SYN Flood)<br />

Опция SYN Flood Protection разрешает сервису, основанному на TCP настраивать защиту от атак<br />

SYN Flood. Эта опция поддерживается только TCP/IP-сервисами.<br />

Более подробная информация о том, как работает эта функция, приведена в Разделе 6.6.8,<br />

«Атака TCP SYN Flood».<br />

• Pass ICMP Errors (прием ICMP-сообщений об ошибках)<br />

При попытке открыть TCP-соединение приложением пользователя, расположенного за<br />

межсетевым экраном NetDefend, и если удаленный сервер недоступен, то в ответ возвращается<br />

ICMP-сообщение об ошибке. Такие сообщения интерпретируются системой NetDefendOS как<br />

новое соединение и отклоняются, если IP-правилами не прописано другое.<br />

Опция Pass returned ICMP error messages from destination (возвращение ICMP-сообщений от<br />

получателя) разрешает таким ICMP-сообщениям автоматически передаваться обратно в<br />

запрашивающее приложение. В некоторых случаях лучше пропускать ICMP-сообщения.<br />

Например, если ICMP-сообщение quench направлено на уменьшение скорости потока трафика.<br />

С другой стороны, отклонение ICMP-сообщений увеличивает безопасность, предотвращая их<br />

использование в качестве способа атаки.<br />

• ALG<br />

TCP/UDP-сервис может быть связан со шлюзом прикладного уровня - Application Layer Gateway<br />

(ALG), что обеспечит более детальную проверку определенных протоколов. Этот метод<br />

заключается в связи ALG с IP-правилами. Первоначально ALG связывается с сервисом, после<br />

чего сервис связывается с IP-правилами.<br />

Более подробная информация об этой теме представлена в Разделе 6.2, “ALG”.<br />

• Max Sessions (Максимальное количество сессий)<br />

К одному из важных параметров относят Max Sessions. Этот параметр выделяет заданные по<br />

умолчанию значения при соединении сервиса с ALG. В зависимости от ALG это заданное по<br />

умолчанию значение меняется. Если, например, значение по умолчанию равно 100, то это<br />

означает, что для всех интерфейсов этого сервиса возможно только 100 соединений.<br />

Для сервисов, связывающих, например, HTTP и ALG значение по умолчанию часто может быть<br />

очень низким, если велико количество соединений, проходящих через межсетевой экран<br />

NetDefend.<br />

Определение объекта all_services<br />

83

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!