NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
Протокол управления передачей - Transmission Control Protocol (TCP) – ориентированный на соединение протокол, включающий в себя механизм передачи данных точка-точка (point-to-point). TCP-протокол используется в большинстве приложений, в которых важна безошибочная передача данных, к таким можно отнести HTTP, FTP и SMTP. UDP-ориентированные приложения Для приложений, где скорость передачи данных играет главную роль, например, при потоковом аудио и видео, предпочтительнее использовать протокол пользовательских датаграмм - User Datagram Protocol (UDP). UDP - протокол, не ориентированный на соединение, обеспечивает минимальную передачу при восстановлении ошибок и значительно более низкую нагрузку, по сравнению с TCP-протоколом. Из-за более низких расходов UDP используется для некоторых непотоковых сервисов и в тех случаях, когда в самих приложениях содержатся какие-либо механизмы исправления ошибок. Определение TCP и UDP-сервисов Для определения TCP или UDP-протокол является основным для системы NetDefendOS, используется объект TCP/UDP-сервис. Помимо уникального имени, описывающего сервис, объект содержит информацию о протоколе (TCP, UDP или оба протокола) и применяемых для сервиса портах источника и назначения. Определение номеров порта Номера портов определены всеми типами сервисов и полезно знать, как они могут быть зафиксированы в пользовательских интерфейсах. Они могут быть определены для порта источника и/или порта назначения следующими способами: Единственный порт Для многих сервисов достаточно одного порта назначения. Например, HTTP обычно использует порт назначения 80. SMTP-протокол использует порт 25 и так далее. Для таких типов сервисов единственный номер порта просто указывается в определении сервиса как одно число. Диапазоны портов Некоторые сервисы используют диапазоны портов назначения. Например, NetBIOS-протокол, применяющийся в Microsoft Windows TM , использует диапазон от 137 до 139. M Для определения диапазона портов в объекте TCP/UDPсервис используется формат mmm-nnn. Обозначение 137-139 означает, что в этот диапазон входят 137, 138 и 139 порты. Множественный доступ к порту и диапазоны портов Множественные диапазоны портов или индивидуальные порты можно вводить, разделяя их запятыми, что позволяет охватывать широкий диапазон портов с использованием только одного объекта TCP/UDPсервис. Например, все сети Microsoft Windows можно охватить, используя определение порта 135-139,445. HTTP и HTTPS можно покрыть, указав порты назначения 80,443. 82
Другие свойства сервиса Совет: Указание портов источника Обычно большинство сервисов по умолчанию использует значения диапазона портов источника 0-65535 (соответствующее всем доступным портам источника). Для некоторых приложений эффективнее определить порт источника, если он всегда находиться в ограниченном диапазоне значений. Рекомендуемый подход: определять как можно более узкий диапазон портов. Помимо основного протокола и информации о портах, у объектов TCP/UDP-сервис есть также несколько других свойств: • SYN Flood Protection (защита от атак SYN Flood) Опция SYN Flood Protection разрешает сервису, основанному на TCP настраивать защиту от атак SYN Flood. Эта опция поддерживается только TCP/IP-сервисами. Более подробная информация о том, как работает эта функция, приведена в Разделе 6.6.8, «Атака TCP SYN Flood». • Pass ICMP Errors (прием ICMP-сообщений об ошибках) При попытке открыть TCP-соединение приложением пользователя, расположенного за межсетевым экраном NetDefend, и если удаленный сервер недоступен, то в ответ возвращается ICMP-сообщение об ошибке. Такие сообщения интерпретируются системой NetDefendOS как новое соединение и отклоняются, если IP-правилами не прописано другое. Опция Pass returned ICMP error messages from destination (возвращение ICMP-сообщений от получателя) разрешает таким ICMP-сообщениям автоматически передаваться обратно в запрашивающее приложение. В некоторых случаях лучше пропускать ICMP-сообщения. Например, если ICMP-сообщение quench направлено на уменьшение скорости потока трафика. С другой стороны, отклонение ICMP-сообщений увеличивает безопасность, предотвращая их использование в качестве способа атаки. • ALG TCP/UDP-сервис может быть связан со шлюзом прикладного уровня - Application Layer Gateway (ALG), что обеспечит более детальную проверку определенных протоколов. Этот метод заключается в связи ALG с IP-правилами. Первоначально ALG связывается с сервисом, после чего сервис связывается с IP-правилами. Более подробная информация об этой теме представлена в Разделе 6.2, “ALG”. • Max Sessions (Максимальное количество сессий) К одному из важных параметров относят Max Sessions. Этот параметр выделяет заданные по умолчанию значения при соединении сервиса с ALG. В зависимости от ALG это заданное по умолчанию значение меняется. Если, например, значение по умолчанию равно 100, то это означает, что для всех интерфейсов этого сервиса возможно только 100 соединений. Для сервисов, связывающих, например, HTTP и ALG значение по умолчанию часто может быть очень низким, если велико количество соединений, проходящих через межсетевой экран NetDefend. Определение объекта all_services 83
- Page 31 and 32: Структура команд CLI
- Page 33 and 34: добавить маршрут: gw
- Page 35 and 36: Пример 2.2. Включени
- Page 37 and 38: gw-world:/> show -errors Систе
- Page 39 and 40: delete cc Если в сценар
- Page 41 and 42: сценариев, доступн
- Page 43 and 44: Загрузка выполняет
- Page 45 and 46: скачивания резервн
- Page 47 and 48: для доступа админи
- Page 49 and 50: Пример 2.4. Отображе
- Page 51 and 52: 3. В появившемся вып
- Page 53 and 54: Пример 2.10. Активаци
- Page 55 and 56: • MemoryLogReceiver Систем
- Page 57 and 58: сообщений: команда
- Page 59 and 60: как клиент сервера
- Page 61 and 62: 2.3.3. Промежуточные
- Page 63 and 64: Проблема может воз
- Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp
- Page 67 and 68: SNMP-доступа. Порт 161
- Page 69 and 70: gw-world:/> pcapdump -size 1024 -st
- Page 71 and 72: • Имя файла (без ра
- Page 73 and 74: Примечание: Резерв
- Page 75 and 76: Глава 3.Основные пр
- Page 77 and 78: 2. Указать подходящ
- Page 79 and 80: 3.1.5. Автоматически
- Page 81: "" Web-интерфейс 1. Пер
- Page 85 and 86: интегрированный с I
- Page 87 and 88: 3.2.5. Service Groups (Сервис
- Page 89 and 90: • Туннельные интер
- Page 91 and 92: Процесс запуска бу
- Page 93 and 94: i. Обозначить интер
- Page 95 and 96: Здесь клавиша Tab ис
- Page 97 and 98: • Для одного физич
- Page 99 and 100: Пример 3.10. Определе
- Page 101 and 102: провайдер не назна
- Page 103 and 104: • Remote Endpoint (Удаленн
- Page 105 and 106: (Name ) (Action) источника
- Page 107 and 108: Хост в Ethernet-сети мо
- Page 109 and 110: Mode Тип ARP-объекта. М
- Page 111 and 112: Рисунок 3.2. ARP-ответ
- Page 113 and 114: ARP Match Ethernet Sender Опре
- Page 115 and 116: По умолчанию: 64 ARP IP
- Page 117 and 118: При определении кр
- Page 119 and 120: Исключения составл
- Page 121 and 122: приоритет. 3.5.5. Папк
- Page 123 and 124: Примечание На рису
- Page 125 and 126: В некоторых случая
- Page 127 and 128: Возвращаемся на ис
- Page 129 and 130: определения действ
- Page 131 and 132: 3.7.3. Запросы CA серти
Другие свойства сервиса<br />
Совет: Указание портов источника<br />
Обычно большинство сервисов по умолчанию использует значения диапазона<br />
портов источника 0-65535 (соответствующее всем доступным портам<br />
источника).<br />
Для некоторых приложений эффективнее определить порт источника, если он<br />
всегда находиться в ограниченном диапазоне значений. Рекомендуемый подход:<br />
определять как можно более узкий диапазон портов.<br />
Помимо основного протокола и информации о портах, у объектов TCP/UDP-сервис есть также<br />
несколько других свойств:<br />
• SYN Flood Protection (защита от атак SYN Flood)<br />
Опция SYN Flood Protection разрешает сервису, основанному на TCP настраивать защиту от атак<br />
SYN Flood. Эта опция поддерживается только TCP/IP-сервисами.<br />
Более подробная информация о том, как работает эта функция, приведена в Разделе 6.6.8,<br />
«Атака TCP SYN Flood».<br />
• Pass ICMP Errors (прием ICMP-сообщений об ошибках)<br />
При попытке открыть TCP-соединение приложением пользователя, расположенного за<br />
межсетевым экраном NetDefend, и если удаленный сервер недоступен, то в ответ возвращается<br />
ICMP-сообщение об ошибке. Такие сообщения интерпретируются системой NetDefendOS как<br />
новое соединение и отклоняются, если IP-правилами не прописано другое.<br />
Опция Pass returned ICMP error messages from destination (возвращение ICMP-сообщений от<br />
получателя) разрешает таким ICMP-сообщениям автоматически передаваться обратно в<br />
запрашивающее приложение. В некоторых случаях лучше пропускать ICMP-сообщения.<br />
Например, если ICMP-сообщение quench направлено на уменьшение скорости потока трафика.<br />
С другой стороны, отклонение ICMP-сообщений увеличивает безопасность, предотвращая их<br />
использование в качестве способа атаки.<br />
• ALG<br />
TCP/UDP-сервис может быть связан со шлюзом прикладного уровня - Application Layer Gateway<br />
(ALG), что обеспечит более детальную проверку определенных протоколов. Этот метод<br />
заключается в связи ALG с IP-правилами. Первоначально ALG связывается с сервисом, после<br />
чего сервис связывается с IP-правилами.<br />
Более подробная информация об этой теме представлена в Разделе 6.2, “ALG”.<br />
• Max Sessions (Максимальное количество сессий)<br />
К одному из важных параметров относят Max Sessions. Этот параметр выделяет заданные по<br />
умолчанию значения при соединении сервиса с ALG. В зависимости от ALG это заданное по<br />
умолчанию значение меняется. Если, например, значение по умолчанию равно 100, то это<br />
означает, что для всех интерфейсов этого сервиса возможно только 100 соединений.<br />
Для сервисов, связывающих, например, HTTP и ALG значение по умолчанию часто может быть<br />
очень низким, если велико количество соединений, проходящих через межсетевой экран<br />
NetDefend.<br />
Определение объекта all_services<br />
83