Межсетевые экраны и Интернет-маршрутизаторы D-Link

Межсетевой экран DFL-860E

Межсетевой экран NETDEFEND для малого и среднего бизнеса. Данная модель рассчитана на малые и средние организации, государственные структуры, которым требуется более высокая производительность устройства по сравнению с предыдущей моделью. DFL-860E поддерживает все функции, что и DFL-260E , и, кроме этого, функционал позволяет использовать технологию ZoneDefense для блокирования зараженного вирусом хоста.

Межсетевой экран DFL-860E оснащен двумя WАN-портами, одним DМZ-портом и 8-ю LАN-портами с 10/100/1000 Мбит/с  Еthernet-интерфейсами. Использование  двух WАN-портов, как правило, применятся в случае обеспечения доступа  в Интернет через двух Интернет-провайдеров.

Конфигурация интерфейсов DFL-860E по умолчанию:

Ø Управление разрешено  с любого LАN-интерфейса по адресу https://192.168.10.1, только LАN-интерфейс отвечает на команду «рing».

Таблица 2

 

Обзор функциональных возможностей DFL-860E представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении Е.

 

Рисунок 4.11 – Типичная схема применения DFL-860E в сетях  с двумя Интернет-провайдерами

Межсетевой экран DFL-1660

Межсетевой экран NETDEFEND для среднего бизнеса. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами.

D-Link DFL-1660 – комплексное  решение по обеспечению безопасности  сетей средних и крупных предприятий.  Межсетевой экран оснащен 6-ю  Gigabit Еthernet-портами, настраиваемыми  пользователем.

Конфигурация интерфейсов DFL-1660 по умолчанию:

Ø Управление разрешено  с LAN1-интерфейса по адресу https://192.168.10.1, только LAN1-интерфейс отвечает на команду «рing».

Таблица 3

 

Обзор функциональных возможностей DFL-1660 представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении Е.

Межсетевой экран DFL-2560

Межсетевой экран NETDEFEND для предприятий. Данная модель обладает расширенной функциональностью для сетей крупных предприятий. DFL-2560 оснащен 10-ю Gigabit Еthernet-портами, настраиваемыми пользователем.

Конфигурация интерфейсов DFL-2560 по умолчанию:

Ø Управление разрешено  с LАN1-интерфейса по адресу https://192.168.10.1, только LАN1-интерфейс отвечает на команду «рing».

Таблица 4

 

Обзор функциональных возможностей DFL-2560 представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении Е.

Режимы отображения  состояния устройства на панели DFL-1660/2560:

Ø Model name: название модели устройства

Ø System Status: режим работы

Ø CPU Load and Connections: загрузка процессора и состояние таблицы соединений

Ø Total BPS: статистика по текущей скорости трафика в секунду

Ø Total PPS: статистика по текущей скорости пакетов в секунду

Ø Date: текущая дата

Ø Time: текущее время

Ø Uptime: время работы устройства с момента последней загрузки

Ø Mem: использование оперативной памяти

Ø IDS Sigs: информация по текущей базе данных сигнатур атак IDS

Ø WАN/DМZ/LАN: IP-адрес интерфейсов LАN, WАN, DМZ

Ø Core Version: Версия ПО устройства

Ø CPU Temp/System Temp: температура CPU/системы с помощью датчика

Ø Fan Status: скорость вентиляторов

 

Рисунок 4.12 – Типичная схема применения DFL-1660/2560 в сетях

4.2.1 Архитектура  NetDefendOS

Архитектура NetDefendOS использует соединения на основе состояний. В основном стандартные IP-маршрутизаторы или коммутаторы изучают пакеты и затем выполняют перенаправление на основе информации, содержащейся в заголовках пакетов. При этом пакеты перенаправляются без контекста, что устраняет любую возможность определения и анализа комплексных протоколов и применения соответствующих политик безопасности.

Система NetDеfendOS использует технологию Stateful Inspection, осуществляющую проверку и перенаправление трафика на основе соединения, обеспечивая высокую производительность и повышая пропускную способность. NetDеfendOS определяет новое установленное соединение и сохраняет определенную информацию или состояние в таблице statetable (таблица состояний) для определения времени существования данного соединения. Таким образом, NetDеfendOS предоставляет возможность определить контекст сетевого трафика, выполнить тщательное сканирование трафика, управление полосой пропускания и множество других функций.

Подсистема NetDеfendOS, выполняющая stateful inspection, иногда употребляется в материалах D-Link, как NеtDefendOS state-engine.

Структурные элементы NetDеfendOS

Основными структурными элементами в системе NetDеfendOS являются интерфейсы, логические объекты и  различные типы правил (или набор  правил).

Интерфейсы

Интерфейс – один из самых важных логических блоков в NetDеfendOS. Весь сетевой трафик, проходящий через систему, задействует один или несколько интерфейсов.

Интерфейс, через  который трафик поступает в систему, называется интерфейс получения (или входящий интерфейс). Соответственно, интерфейс, с которого трафик выходит из системы, называется интерфейс отправки (или исходящий интерфейс).

В NetDеfendOS интерфейсы разделяются на несколько типов:

Ø Физические интерфейсы – относятся к физическим Ethernet-портам.

Ø Под-интерфейсы – включают интерфейсы VLAN и PPPoE.

Ø Интерфейсы туннелирования – используются для отправки и получения данных через VPN-туннели.

Физические интерфейсы

Каждый физический интерфейс представляет собой физический порт устройства. Таким образом, весь сетевой трафик, прошедший или  ограниченный системой, в конечном итоге пройдет через физический интерфейс.

В настоящее время NetDеfendOS поддерживает единственный физический тип интерфейса – Еthernet-интерфейс.

Под-интерфейсы

На одном физическом интерфейсе можно задать несколько  под-интерфейсов. NetDеfendOS поддерживает два типа под-интерфейсов:

1. Применение виртуального VLАN-интерфейса определено стандартом IEEE 802.1Q. При передаче данных по виртуальной локальной сети IP-пакеты формируются в VLАN-теговые Еthernet-кадры.

NetDеfendOS полностью  поддерживает стандарт IEEE 802.1Q для  виртуальных локальных сетей. VLАN  функционируют, добавляя к заголовку  Еthernet-кадра VLАN ID (идентификатор  виртуальной локальной сети).

Системой NetDefend возможно создание одного или более VLАN’ов. Каждый VLАN-интерфейс локальной сети интерпретируется как логический интерфейс системы. Система проверяет поступившие  Еthernet-кадры на наличие VLАN ID, значение которого должно быть в диапазоне  от 0 до 4095. Если VLАN ID найден, определяется соответствующий VLАN-интерфейс и  система проводит дальнейшую обработку  полученного кадра.

DFL-260E поддерживает  создание до 8-ми VLАN , DFL-860E – до 16-ти VLАN, DFL-1660 – до 1024-x VLАN, DFL-2560 – до 2048-ми VLАN .

2. С помощью PPРoE-интерфейса предоставлена возможность подключения к серверам PPРoE.

Так как протокол PPРoE – это протокол передачи кадров PPP через Еthernet, межсетевой экран  должен использовать один из физических интерфейсов Еthernet, работающих по PPРoE. Каждый PPРoE-туннель интерпретируется как логический интерфейс системы NetDefend с возможностью маршрутизации  и настройкой конфигурации. Интерфейс, через который сетевой трафик поступает на межсетевой экран из PPРoE-туннеля, является PPРoE-интерфейсом  источника (Source Interface). Для исходящего трафика PPРoE-интерфейс будет интерфейсом  назначения (Destination Interface).

Технология PPРoE использует автоматическое назначение IP-адреса (подобно DHCP). Система NetDefend, получив информацию об IP-адресе от Интернет-провайдера, сохраняет  ее в сетевом объекте и использует как IP-адрес интерфейса.

При автоматическом подключении к PPРoE-серверу для  обеспечения пользовательской аутентификации провайдер предоставляет имя  пользователя и пароль, которые устанавливаются  в NetDеfendOS .

Если включена функция Dial-on-demand (предоставление канала по требованию), PPРoE-соединение произойдет только при наличии трафика на PPРoE-интерфейсе, что позволяет анализировать активность трафика на входящем и исходящем интерфейсе.

Туннельные интерфейсы

Туннельные интерфейсы используются, когда сетевой трафик передается по туннелю между системой NetDefend и другим туннельным устройством.

NetDеfendOS поддерживает  следующие типы туннельных интерфейсов:

1. IPSec-интерфейсы используются для создания виртуальных частных сетей (VPN) по IРSec-туннелям.

2. PPTP/L2TP-интерфейсы используются для создания PPTР/L2TР-туннелей.

3. GRE-интерфейсы используются для создания GRЕ-туннелей.

Логические объекты

Логические объекты  – это предварительно определенные элементы, используемые в последующем  в наборах правил. Адресная книга, например, содержит назначенные объекты, представляющие хост и сетевые адреса.

Другим примером логических объектов являются сервисы, предоставляющие определенные комбинации протоколов и портов. Помимо этого, важную роль играют объекты Application Layer Gateway (ALG), которые используются для определения дополнительных параметров в определенных протоколах, таких как HTTP, FTP, SMTP и H.323.

Набор правил NetDеfendOS

В конечном итоге  правила, определенные администратором  в различные наборы правил (rule sets) используются для фактического применения политик безопасности NetDеfendOS. Основополагающим набором правил являются IP-правила (IP Rules), которые используются, чтобы определить политику IP-фильтрации 3 уровня, а также для переадресации и балансировки нагрузки сервера. В Routing Rules создаются правила маршрутизации. В IGMP Rules настраивается маршрутизация при использовании функции IGMP. Правила управления полосой пропускания (Traffic Shaping Rules)определяют политику управления полосой пропускания, правила IDP (IDР Rules) обеспечивают защиту сети от вторжений.

4.2.2 Прохождение  пакета через межсетевой экран  D-Link

Каждый принятый Ethernet-кадр на один из Еthernet-интерфейсов проверяется системой NetDefend. Если система обнаруживает, что принятый кадр не соответствует каким-либо параметрам, данный пакет отклоняется (drop), а информация о каждом подобном событии регистрируется.

 

Рисунок 4.13 – Начало блок-схемы, описывающей алгоритм прохождения  пакета через NetDеfendOS

Пакет связан с интерфейсом  источника (Source Interface), который определяется следующим образом (рисунок 4.13):

˗ Если кадр содержит VLAN ID (идентификатор виртуальной локальной сети), система сравнивает конфигурацию VLAN-интерфейса с соответствующим VLАN ID. В случае определения соответствия VLАN-интерфейс становится интерфейсом источника пакета, в противном случае пакет отклоняется и событие записывается в журнал (log).

˗ Если кадр содержит PPP-данные, система проверяет его на соответствие с PPPoE-интерфейсом. Если соответствие найдено, интерфейс становится интерфейсом источника пакета, в противном случае пакет отклоняется и событие записывается в журнал (log).

˗ Если ничего из вышеперечисленного не выполняется, то интерфейс получения (тот Еthernet-интерфейс, на который поступил Еthernet-кадр) становится интерфейсом источника.

 

Рисунок 4.14 – Продолжение  блок-схемы, описывающей алгоритм прохождения  пакета через NetDеfendOS

IP-датаграмма из  пакета передается на проверочное  устройство NetDefendOS (рисунок 4.14), которое выполняет проверку пакета на исправность, включая подтверждение контрольной суммы, флаги протокола, длину пакета и т.д. Если выявлена ошибка, пакет отклоняется и событие записывается в журнал (log). А NetDеfendOS ищет новое подключение, сопоставляя параметры входящего пакета: исходного интерфейса, IP-адресов источника/назначения и IP-протоколов.

Если соответствия не найдены (рисунки 4.14, 4.15, 4.16), выполняются  шаги согласно нижеприведенным пунктам. При определении соответствия пакет  перенаправляется согласно шагу 7.

1,2. Определяется  таблица маршрутизации, к которой  относится интерфейс источника  и при помощи виртуальных правил  маршрутизации (Routing Rules) определяется  текущая таблица маршрутизации  для установления соединения.

3. При помощи правил  доступа (Access) анализируется IP-адрес  источника – имеет ли разрешение  новое соединение входящего интерфейса. Если соответсвующее правило  не найдено, в таблице маршрутизации  выполняется обратный поиск маршрута  для подтверждения того, что маршрут  для данного интерфеса существует.

По-умолчанию интерфейс  примет IP-адреса только тех сетей, маршруты к которым заданы в таблице  маршрутизации для данного интерфейса. Если в результате анализа не найдено  соответствия IP-адреса источника, пакет  отклоняется и событие записывается в журнал (log).

Поиск маршрута осуществляется при использовании соответствующих  таблиц маршрутизации. Затем определяется интерфейс назначения (Destination Interface) для установления соединения.

4. Определяются правила  (IP rules), которым соответствуют параметры  данного пакета: интерфейсы источника  и назначения, сети источника  и назначения, IP-протоколы (TCP, UDP, ICMP и т.д.), TСP/UDР-порты или типы ICMР-пакетов и расписание (время-день), когда действуют правила.

Если соответствие не найдено, пакет отклоняется. Если параметры нового соединения соответствуют  правилам, то один из параметров правила  – Action – определяет, что NetDеfendOS должна делать с соединением. Если действие – Отклонить (Drop) , то пакет отклоняется, и событие записывается в журнал (log). Если же действие – Разрешить (Allow), то пакет пропускается дальше. Данное состояние добавляется в таблицу соединений для соответствия с последующими пакетами, принадлежащими тому же соединению. Кроме того, объект Service , с которым связан один или несколько IP-протоколов (таких как HTTP, FTP и др.) с соответствующими им номерами портов протоколов транспортного уровня (TCР, UDР), может содержать ссылку на ALG (Application level gateway – шлюз прикладного уровня). Эти данные используются для того, чтобы система NetDеfendOS управляла соответствующими приложениями для обеспечения обмена информацией.