NetdefendOS_2.27.01_Firewall_User_Manual_RUS
NetdefendOS_2.27.01_Firewall_User_Manual_RUS NetdefendOS_2.27.01_Firewall_User_Manual_RUS
3.3. Интерфейсы 3.3.1. Обзор Интерфейс является важным логическим блоком в системе NetDefendOS. Весь передаваемый сетевой трафик возникает или прекращается в межсетевом экране NetDefend при помощи одного или нескольких интерфейсов. Интерфейсы источника и назначения Интерфейс может рассматриваться как дверь, через которую сетевой трафик проходит в систему NetDefendOS или выходит из нее. Интерфейс системы NetDefendOS выполнят одну из двух функций: • Интерфейс источника Когда трафик поступает через интерфейс, он упоминается в NetDefendOS как интерфейс источника (также известный как принимающий или входящий интерфейс). • Интерфейс назначения При передаче трафика, после проверки политиками безопасности системы NetDefendOS, интерфейс, используемый для отправки трафика, упоминается в NetDefendOS как интерфейс назначения (также известный как интерфейс отправки). Весь трафик, проходящий через систему NetDefendOS, имеет как интерфейс источника, так и интерфейс назначения. Как будет объяснено позже, специальный логический интерфейс core используется, когда система NetDefendOS сама является источником или назначением для трафика. Типы интерфейсов Система NetDefendOS поддерживает несколько типов интерфейсов, которые можно разделить на следующие 4 основные группы: • Ethernet-интерфейсы Каждый Ethernet-интерфейс представляет физический Ethernet-порт устройства на основе NetDefendOS. Весь сетевой трафик, который возникает или входит в межсетевой экран, будет проходить через один из физических интерфейсов. В настоящее время NetDefendOS поддерживает только один тип физического интерфейса - Ethernet. Более подробная информация об Ethernet-интерфейсах приведена в Разделе 3.3.2, «Ethernet-интерфейсы». • Под-интерфейсы Для передачи данных некоторым интерфейсам требуется привязка к основному физическому интерфейсу. Эта группа интерфейсов называется физические под-интерфейсы - Physical Sub-Interfaces. NetDefendOS поддерживает два типа физических под-интерфейсов: • Интерфейсы Virtual LAN (VLAN) определяются стандартом IEEE 802.1Q. При маршрутизации IP-пакетов через Virtual LAN-интерфейс, они инкапсулируются в VLAN-тэговые Ethernet-кадры. Более подробная информация о VLAN-интерфейсе приведена в Разделе 3.3.3., «VLAN». • Интерфейсы PPPoE (PPP-over-Ethernet) для подключения к PPPoE-серверам. Более подробная информация об этом разделе приведена в Разделе 3.3.4, «PPPoE». 88
• Туннельные интерфейсы Туннельные интерфейсы используются, когда сетевой трафик передается по туннелю между системой и другим конечным устройством туннеля в сети, прежде чем он маршрутизируется в пункт назначения. VPN-туннели часто используются для реализации виртуальных частных сетей (VPN), которые могут обеспечить безопасное соединение между двумя межсетевыми экранами. При выполнении туннелирования к туннелируемому трафику добавляется дополнительный заголовок. Кроме того, в зависимости от типа туннельного интерфейса к сетевому трафику могут быть применены различные преобразования. Например, при маршрутизации трафика через IPsec-интерфейс, полезная информация обычно кодируется для достижения конфиденциальности. NetDefendOS поддерживает следующие типы туннельных интерфейсов: i. IPsec-интерфейсы используются в качестве конечных точек для VPN IPsec-туннелей. Более подробная информация приведена в Разделе 9.3, “Компоненты IPsec”. ii. PPTP/L2TP-интерфейсы используются в качестве конечных точек для PPTP /L2TPтуннелей. Более подробная информация приведена в Разделе 9.5, «PPTP/L2TP» . iii.GRE-интерфейсы используются для установления GRE-туннелей. Более подробная информация приведена в Разделе 3.3.5, “GRE-туннели” Все интерфейсы логически эквивалентны Каждому интерфейсу в системе NetDefendOS присваивается уникальное имя, с помощью которого интерфейс можно идентифицировать и выбрать его для использования с другими объектами конфигурации NetDefendOS. Некоторые типы интерфейсов, такие как физические Ethernetинтерфейсы, уже снабжены системой NetDefendOS соответствующими названиями по умолчанию, которые при необходимости можно изменять. Новые интерфейсы, определенные администратором, всегда будут требовать определенное пользователем имя, которое будет указано. Интерфейсы any и core Предупреждение При удалении определения интерфейса из конфигураций NetDefendOS необходимо сначала удалить или изменить какие-либо ссылки на этот интерфейс. Например, правила в наборе IP-правил, относящиеся к этому интерфейсу, должны быть удалены или изменены. Кроме того, система NetDefendOS обеспечена двумя специальными логическими интерфейсами, которые называются any и core. Значения каждого из них: • any представляет все возможные интерфейсы, включая интерфейс core. • core указывает на то, что система NetDefendOS сама будет контролировать движение трафика с этого интерфейса и в этот интерфейс. Примером использования core является случай, когда межсетевой экран NetDefend работает как сервер PPTP или Д2ЕЗ или отвечает на ICMP-запросы "Ping". При указании интерфейса назначения маршрута такого, как core, системе NetDefendOS будет известно, что она сама является конечной точкой назначения трафика. Отключение интерфейса Если нужно отключить интерфейс, чтобы через него не мог проходить никакой трафик, то используют следующую команду консоли: 89
- Page 37 and 38: gw-world:/> show -errors Систе
- Page 39 and 40: delete cc Если в сценар
- Page 41 and 42: сценариев, доступн
- Page 43 and 44: Загрузка выполняет
- Page 45 and 46: скачивания резервн
- Page 47 and 48: для доступа админи
- Page 49 and 50: Пример 2.4. Отображе
- Page 51 and 52: 3. В появившемся вып
- Page 53 and 54: Пример 2.10. Активаци
- Page 55 and 56: • MemoryLogReceiver Систем
- Page 57 and 58: сообщений: команда
- Page 59 and 60: как клиент сервера
- Page 61 and 62: 2.3.3. Промежуточные
- Page 63 and 64: Проблема может воз
- Page 65 and 66: SYS Temp = 44.000 (C) (x) CPU Temp
- Page 67 and 68: SNMP-доступа. Порт 161
- Page 69 and 70: gw-world:/> pcapdump -size 1024 -st
- Page 71 and 72: • Имя файла (без ра
- Page 73 and 74: Примечание: Резерв
- Page 75 and 76: Глава 3.Основные пр
- Page 77 and 78: 2. Указать подходящ
- Page 79 and 80: 3.1.5. Автоматически
- Page 81 and 82: "" Web-интерфейс 1. Пер
- Page 83 and 84: Другие свойства се
- Page 85 and 86: интегрированный с I
- Page 87: 3.2.5. Service Groups (Сервис
- Page 91 and 92: Процесс запуска бу
- Page 93 and 94: i. Обозначить интер
- Page 95 and 96: Здесь клавиша Tab ис
- Page 97 and 98: • Для одного физич
- Page 99 and 100: Пример 3.10. Определе
- Page 101 and 102: провайдер не назна
- Page 103 and 104: • Remote Endpoint (Удаленн
- Page 105 and 106: (Name ) (Action) источника
- Page 107 and 108: Хост в Ethernet-сети мо
- Page 109 and 110: Mode Тип ARP-объекта. М
- Page 111 and 112: Рисунок 3.2. ARP-ответ
- Page 113 and 114: ARP Match Ethernet Sender Опре
- Page 115 and 116: По умолчанию: 64 ARP IP
- Page 117 and 118: При определении кр
- Page 119 and 120: Исключения составл
- Page 121 and 122: приоритет. 3.5.5. Папк
- Page 123 and 124: Примечание На рису
- Page 125 and 126: В некоторых случая
- Page 127 and 128: Возвращаемся на ис
- Page 129 and 130: определения действ
- Page 131 and 132: 3.7.3. Запросы CA серти
- Page 133 and 134: gw-world:/> time -set YYYY-mm-DD HH
- Page 135 and 136: Для работы с URL-прот
- Page 137 and 138: Следует помнить, чт
• Туннельные интерфейсы<br />
Туннельные интерфейсы используются, когда сетевой трафик передается по туннелю между<br />
системой и другим конечным устройством туннеля в сети, прежде чем он<br />
маршрутизируется в пункт назначения. VPN-туннели часто используются для реализации<br />
виртуальных частных сетей (VPN), которые могут обеспечить безопасное соединение<br />
между двумя межсетевыми экранами. При выполнении туннелирования к туннелируемому<br />
трафику добавляется дополнительный заголовок. Кроме того, в зависимости от типа<br />
туннельного интерфейса к сетевому трафику могут быть применены различные<br />
преобразования. Например, при маршрутизации трафика через IPsec-интерфейс, полезная<br />
информация обычно кодируется для достижения конфиденциальности.<br />
NetDefendOS поддерживает следующие типы туннельных интерфейсов:<br />
i. IPsec-интерфейсы используются в качестве конечных точек для VPN IPsec-туннелей.<br />
Более подробная информация приведена в Разделе 9.3, “Компоненты IPsec”.<br />
ii. PPTP/L2TP-интерфейсы используются в качестве конечных точек для PPTP /L2TPтуннелей.<br />
Более подробная информация приведена в Разделе 9.5, «PPTP/L2TP» .<br />
iii.GRE-интерфейсы используются для установления GRE-туннелей. Более подробная<br />
информация приведена в Разделе 3.3.5, “GRE-туннели”<br />
Все интерфейсы логически эквивалентны<br />
Каждому интерфейсу в системе NetDefendOS присваивается уникальное имя, с помощью которого<br />
интерфейс можно идентифицировать и выбрать его для использования с другими объектами<br />
конфигурации NetDefendOS. Некоторые типы интерфейсов, такие как физические Ethernetинтерфейсы,<br />
уже снабжены системой NetDefendOS соответствующими названиями по умолчанию,<br />
которые при необходимости можно изменять. Новые интерфейсы, определенные администратором,<br />
всегда будут требовать определенное пользователем имя, которое будет указано.<br />
Интерфейсы any и core<br />
Предупреждение<br />
При удалении определения интерфейса из конфигураций NetDefendOS необходимо<br />
сначала удалить или изменить какие-либо ссылки на этот интерфейс. Например,<br />
правила в наборе IP-правил, относящиеся к этому интерфейсу, должны быть<br />
удалены или изменены.<br />
Кроме того, система NetDefendOS обеспечена двумя специальными логическими интерфейсами,<br />
которые называются any и core. Значения каждого из них:<br />
• any представляет все возможные интерфейсы, включая интерфейс core.<br />
• core указывает на то, что система NetDefendOS сама будет контролировать движение трафика с<br />
этого интерфейса и в этот интерфейс. Примером использования core является случай, когда<br />
межсетевой экран NetDefend работает как сервер PPTP или Д2ЕЗ или отвечает на ICMP-запросы<br />
"Ping". При указании интерфейса назначения маршрута такого, как core, системе NetDefendOS<br />
будет известно, что она сама является конечной точкой назначения трафика.<br />
Отключение интерфейса<br />
Если нужно отключить интерфейс, чтобы через него не мог проходить никакой трафик, то<br />
используют следующую команду консоли:<br />
89