Межсетевые экраны и Интернет-маршрутизаторы D-Link

Управление межсетевыми  экранами NetDefend через интерфейс командной  строки CLI

Система NetDefendOS предоставляет интерфейс командной строки CLI администраторам, которым предпочтительнее или требуется использовать командную строку или которым необходимо более тщательное управление системными настройками. Интерфейс командной строки CLI доступен как локально через консольный порт, так и удаленно через Ethernet-интерфейс с использованием протокола Secure Shell (SSH) клиента SSН.

Консольный порт – это локальный порт RS-232 (на моделях DFL-210/260/260 E /800/860/1600/1660/2500/2560) и локальный  порт RJ-45 через кабель RJ45-to-DB9 (для  моделей DFL-260E/860E) межсетевых экранов NetDefend, обеспечивающий прямой доступ к интерфейсу командной строки NetDеfendOS CLI при подключении  к компьютеру или терминалу без  сетевых связей.

При настройке соединения компьютер (com-порт) - межсетевой экран NetDefend (консольный порт) необходимо запустить  приложение-эмулятор терминала (например, использование программы Hyper Terminal, входящее в ПО Microsoft Windows). По умолчанию используются следующие настройки:

Скорость: 9600 бит/с,

Четность: без проверки четности,

Биты данных: 8 бит,

Стоповые биты: 1 стоп-бит.

Управление потоком: нет

Наиболее часто  используемые команды CLI:

§ add – Добавление объекта, например, IP-адреса или правила в настройки NetDеfendOS.

§ set – Установка какого-либо свойства объекта в качестве значения. Например, может использоваться для настройки интерфейса источника в IP-правиле.

§ show – Отображение текущих категорий или значений объекта.

§ delete – Удаление определенного объекта.

Как правило, команды CLI обычно начинаются со структуры: <command> <object_type> <object_name>. Например, для отображения IP-адреса объекта my_address, используется команда:

gw-world:/> show Address IP4Address my_address

Вторая часть  команды определяет тип объекта (object_type) и необходима для идентификации категории объекта, к которой относится имя объекта (принимая во внимание, что одно и то же имя может существовать в двух разных категориях).

Команда add может содержать свойства объекта. Для добавления нового объекта IP4Address с IP-адресом 140.168.2.8 используется команда:

gw-world:/> add IP4Address my_address Address=140.168.2.8

Типу объекта  может опционально предшествовать категория объекта. Группы категорий  совместно с набором типов  используются с функцией tab completion. Достаточно сложно запомнить все команды и их опции. Система NetDefend предоставляет функцию, которая называется tab completion. Нажатие клавиши tab вызовет автоматическое завершение текущей части команды. Если завершение невозможно, нажатие клавиши tab вызовет автоматическое отображение доступных опций возможной команды.

Функция tab completion для данных. Преимущество функции tab completion заключается в возможности автоматического заполнения параметров данных текущими значениями в командной строке. Это выполняется путем набора символа «.» (точка) и нажатием клавиши tab после символа «=» (равно). Например, если при наборе незаконченной команды:

set Address IP4Address lan_ ip Address =

ввести «.» с  последующим нажатием клавиши tab, NetDеfendOS отображает текущее значение параметра Address. Если это значение, например, 140.168.2.8, строка незавершенной команды автоматически становится следующей:

set Address IP4Address lan_ip Address=140.168.2.8

Таким же образом, символ «<» (знак меньше) перед tab может использоваться для автоматического заполнения значений по умолчанию для параметра, если значение еще не было установлено. Например:

add LogReceiverSyslog example Address=example _ ip LogSeverity=< (tab)

по умолчанию  заполнится значение для LogSeverity:

add LogReceiverSyslog example Address=example_ip LogSeverity=Emergency

Если использовать символ «.»:

add LogReceiverSyslog example Address=example_ip LogSeverity=. (tab)

представятся все  возможные значения:

add LogReceiverSyslog example Address=example_ip LogSeverity=Emergency,Alert,Critical,Error,Warning,Notice,Info

Данный список может  быть изменен с помощью клавиш со стрелкой влево и backspace.

Выбор категории  объектов. Для некоторых категорий (например, тип IP4Address принадлежит категории Address) сначала необходимо выбрать элемент данной категории с помощью команды cc (change category – изменение категории) до того, как отдельные объекты могут быть обработаны. Это касается, например, маршрутов. Если существует более одной таблицы маршрутизации, при добавлении или управлении маршрутом, прежде всего, необходимо использовать команду cc для идентификации именно той таблицы маршрутизации, которая требуется.

Предположим, что main – таблицa маршрутизации, в которую необходимо добавить маршрут. Первой командой будет :

gw-world:/> cc RoutingTable main

gw-world:/main>

Cтрока команды  изменилась для указания текущей  категории. Теперь можно добавить маршрут :

gw-world:/main> add Route Name=new_route1 Interface=lan Network=lannet

Для отмены категории  используется команда cc :

gw-world:/main> cc

gw-world:/>

Иногда определенным параметрам присваивается несколько  значений. Например, некоторые команды  используют параметр AccountingServers, и данному параметру можно назначить более одного значения, разделяя их запятой. Например, если необходимо определить три сервера server1, server2, server3, назначение параметра в команде будет следующим:

AccountingServers=server1, server2, server3

Порядок правил, определенный в списках, например, набор IP-правил, является крайне важным. С помощью  команды add, используемой CLI, по умолчанию добавляется новое правило в конец списка. Если размещение на определенной позиции является критичным, команда add может включить параметр Index= в качестве опции. Вставка на первую позицию в списке определена с помощью параметра Index=1 в команде add, на вторую позицию – с помощью параметра Index=2 и т.д.

Использование имен хоста в CLI. Для некоторых команд CLI, IP-адреса могут опционально определяться как текстовое имя хоста вместо объекта IP4Address. При этом перед именем хоста должен стоять префикс, состоящий из символов «dns:», указывающий на то, что таблица поиска DNS решает какому имени хоста соответствует какой IP-адрес. Например, имя хостаhost.company.com будет определено в CLI как dns:hоst.company.com.

Параметры, где могут  употребляться URN (Uniform Resource Names –унифицированные имена ресурсов) с CLI:

- Remote Endpoint (Удаленная конечная точка) для IPsec, L2TP и PPTP-туннелей.

- Хост для LDAP-серверов.

Если требуется  выполнить поиск с помощью DNS, в системе NetDefend должен быть настроен хотя бы один публичный DNS-сервер для  преобразования имен хостов в IP-адреса.

Доступ к CLI по протоколу SSН (Secure Shell). Протокол SSН (Secure Shell) используется для доступа к CLI с удаленного хоста в сети и необходим, в первую очередь, для обеспечения безопасного соединения в незащищенных сетях, а также строгой аутентификации и целостности данных. SSН-клиенты доступны для большинства платформ.

Система NetDefend поддерживает версии 1, 1.5 и 2 SSН-протокола. Доступ по SSН-протоколу выполняется с помощью политики удаленного управления в NetDеfendOS, и по умолчанию отключен.

Пример включения  удаленного доступа по SSН-протоколу  и сети lannet через lan-интерфейс с помощью добавления правила в политику удаленного управления:

Интерфейс командной строки

gw-world:/> add RemoteManagement RemoteMgmtSSH ssh Network=lannet Interface=lan LocalUserDatabase=AdminUsers

Web-интерфейс

1. Перейдите в System→Remote Management→Add →Secure Shell Management

2. Введите Имя  (Name) для политики удаленного управления  по SSН-протоколу, например, ssh_policy

3. Выберите следующее  из выпадающих списков:

User Database: AdminUsers

Interface: lan

Network: lannet

4. OK

CLI Prompt. CLI Prompt – это имя устройства в WebUI , которое отражается в меню Web-интерфейса межсетевого экрана NetDefend на домашней странице (Home).

По умолчанию CLI Prompt :

gw-world:/>

Если необходимо изменить имя устройства (например, на DFL-860E), в командную строку нужно  ввести:

gw-world:/> set device name=”DFL-860E”

Тогда после активации  и сохранения изменений, CLI Prompt примет вид:

DFL-860E:/>

А на домашней странице Web-интерфейса имя устройства отобразится, как показано на рисунке:

Рисунок 5.30 – Отображение  имени межсетевого экрана NetDefend в Web-интерфейсе

Активация и применение изменений. Если в текущих настройках с помощью CLI выполнены какие-либо изменения, данные изменения не будут загружены в NetDefеndOS, пока не будет выполнена команда:

gw-world:/> activate

Сразу после ввода  команды activate, для применения изменений должна быть выполнена команда:

gw-world:/> commit

Если в течение 30 секунд (время по умолчанию) не выполнена  команда commit, сделанные изменения автоматически отменяются, и происходит восстановление прежней конфигурации.

После изменения  настроек и перед выполнением  команд activate и commit, можно выполнить проверку на наличие каких-либо проблем в настройках с помощью команды:

gw-world:/> show -errors

Система NetDefend просканирует настройки на наличие активации  и отобразит список проблем. Одна из возможных проблем, которая может  быть обнаружена таким способом, - ссылка на IP-объект в Адресной книге, несуществующий в восстановленной резервной  копии настроек.

Завершение работы в CLI. После завершения работы в интерфейсе командной строки CLI рекомендуется выйти из системы во избежание неавторизованного доступа к системе. Выход осуществляется с помощью команды exit или logout.

Использование команды sessionmanager. Интерфейс командной строки CLI предоставляет команду sessionmanager для самостоятельного управления сессиями. Команда используется для управления всеми типами сессий управления, включая:

§ Сессии CLI по протоколу Secure Shell (SSН).

§ Любая сессия CLI через интерфейс консоли.

§ Сессии по протоколу Secure Copy (SCP).

§ Сессии Web-интерфейса по протоколу HTTP или HTTРS.

Команда без ввода  каких-либо опций предоставляет  краткую информацию о текущих  открытых сессиях:

gw-world:/> sessionmanager

Session Manager status

----------------------

Active connections : 3

Maximum allowed connections : 64

Local idle session timeout : 900

NetCon idle session timeout : 600

Для просмотра списка всех сессий используется опция -list. Ниже отображены типичные выходные данные локальной сессии:

gw-world:/> sessionmanager -list

User Database IP Type Mode Access

-------- ---------------- --------- ------- ------- -------

local (none) 0.0.0.0 local console admin

Если пользователь обладает правами администратора, можно  завершить любую сессию с помощью  опции -disconnect команды sessionmanager.

Сценарии (скрипты) CLI. Для простоты хранения и выполнения команд CLI администратором, NetDеfendOS поддерживает функцию CLI scripting. CLI script – это предварительно определенная последовательность команд CLI, которые можно выполнить после их сохранения в файл и последующей загрузки файла на межсетевой экран NetDefend.

Для создания CLI script нужно выполнить следующие шаги :

1. Создайте текстовый  файл в текстовом редакторе,  содержащим последовательный список  команд, по одной на строку.

Для этих файлов D-Link рекомендует использовать расширение .sgs (Security Gateway Script). Имя файла, включая расширение, не должно содержать более 16 символов.

2. Загрузите файл  на межсетевой экран NetDefend, используя SecureCopy (SCР). Файлы-сценарии должны храниться в папке script. Загрузка SCР подробно описана ниже.

3. Используйте команду  CLI script -execute для запуска файла.

ВНИМАНИЕ: В файлах скриптов используются только четыре команды:

add

set

delete

cc

С помощью команды script -execute запускается именованный файл сценария (скрипта), предварительно загруженный на межсетевой экран. Например, для выполнения файла сценарияmy_script.sgs, который был предварительно загружен, используется следующая команда CLI:

gw-world:/> script -execute -name=my_script.sgs

Переменные скриптов. Файлы скриптов могут содержать любое количество переменных сценария, которые выглядят следующим образом:

$1, $2, $3, $4…. $n

Значения, используемые как имена переменных, определены в списке в конце командной  строки script –execute. Числa 1…n в имени переменной указывают на положение значения переменной в списке. Первым идет значение $1, затем $2 и т.д. Переменная $0 является зарезервированной и перед выполнением всегда заменяется именем файла скрипта.

Например, выполняется  скрипт my_script.sgs с IP -адресом 126.12.11.1 и комментарием If1 Address, везде заменяя имеющуюся в скрипте переменную $1 на 126.12.11.1, и, соответственно, переменную $2 на строку If1 address.

Файл my_script.sgs содержит одну командную строку CLI:

add IP4Address If1_ip Address=$1 Comments=$2

Для запуска файла  скрипта после загрузки, используется команда CLI:

> script -execute -name=my_script.sgs 126.12.11.01 "If1 address"

После запуска файла  скрипта и замены переменных файл будет содержать:

add IP4Address If1_ip Address=126.12.11.01 Comments="If1 address"

По умолчанию, скрипты CLI не подтверждены. Это означает, что  написание порядка скриптов не будет  иметь значения. В начале скрипта  может быть ссылка на объект конфигурации, которая создается только в конце (для улучшения читаемости скриптов). Для того, чтобы подобные действия не приводили к запутанному и  бессвязному файлу, в файлах скриптов с большим объемом предпочтительнее группировать аналогичные команды CLI.

Если в существующем файле скрипта встречается ошибка, по умолчанию сценарий будет завершен. Завершение может быть прервано с  помощью опции -force. Для запуска файла с именемmy_script2.sgs таким способом используется команда CLI:

gw-world:/> script -execute -name=my_script2.sgs -force

Все выходные данные выполненного скрипта появятся в  консоли CLI. Обычно эти данные состоят  из любых сообщений об ошибках, которые  произошли во время выполнения. Для  просмотра подтверждения выполнения каждой команды, используется опция –verbose:

gw-world:/> script -execute -name=my _ script 2. sgs -verbose

Сохранение скриптов. При загрузке файла скрипта на межсетевой экран NetDefend, первоначально он хранится только во временной памяти RAM. При перезапуске NetDefеndOS все загруженные скрипты будут потеряны из этой энергозависимой памяти, и для их запуска потребуется повторная загрузка. Для хранения скриптов между перезапусками следует переместить их на диск NetDefеndOS с энергонезависимой памятью Disk с помощью команды script –store.

Для перемещения  файла с именем my_script.sgs в энергонезависимую память используется команда:

gw-world:/> script -store -name=my_script.sgs

В качестве альтернативного  варианта, все скрипты могут быть перемещены в энергонезависимую  память спомощью команды:

gw-world:/> script -store -all

Команда script без каких-либо параметров отображает список всех скриптов, доступных в настоящее время с указанием размера каждого скрипта и типа памяти.

gw-world:/> script

Name Storage Size (bytes)

-------------- ------------ --------------

my_script.sgs RAM 8

my_script2.sgs Disk 10

Загрузка файлов через SCР. Для загрузки файлов (Upload) на межсетевой экран NetDefend или с него (Download), может использоваться протокол Secure Copy (SCР). Протокол SCР основан на протоколе SSН и поддерживается множеством свободно доступных SCР-клиентов, существующих практически для всех платформ (например, для OC Windows можно воспользоваться свободным приложением – консольной утилитой PSCР).

Для того чтобы использовать SSН-подключение, необходимо разрешить  управление межсетевого экрана NetDefend через SSН-протокол. Данную функцию можно  задать через меню Web-интерфейса в  папке System → Remote Management → Add → SSН Management с указанием интерфейса, через который будет осуществляться SSН-управление.

Синтаксис команд SCР  является простым для большинства  клиентов на основе консоли. Основная используемая здесь команда –sсp, за которой следует источник (source) и назначение (destination) для передачи файлов.

Загрузка с локального ресурса – компьютера – на межсетевой экран NetDefend (Upload) выполняется с помощью  команды:

> sсp <local_filename> <destination_firеwall>

Загрузка с межсетевого  экрана NetDefend на компьютер (Download) выполняется  с помощью команды:

> sсp <source_firеwall> <local_filename>

Где local _ filename – это имя файла, а source _ firеwall и destination_ firеwall – источник и назначение устройств – вводится в форме:

<user_name (имя пользователя, назначенное в NetDefеndOS)>@<firеwall_ip_address (IP-адрес устройства)>:<filepath (тип файла)> . Например, admin@192.168.10.1:config.bak.

После ввода команды  будет предложено ввести пароль, назначенный  в NetDefеndOS.

Типы файлов, которые  можно загружать Upload - Download между SCР-клиентом и NetDefеndOS :

Таблица 5

Как и все изменения  настроек, загруженные файлы с  использованием SCР активируются только после выполнения команд CLI activate, а затем – commit для применения изменений.

Загруженные файлы  обновленного программного обеспечения (в формате файлов.upg) или полная резервная копия системы (full.bak) являются исключениями. Оба из этих типов файлов приводят к автоматической перезагрузке системы.

Примеры использования  скриптов

Приведем пример № 1 использования скрипта общей  конфигурации для импорта конфигурации во все модели серии NetDefend. Решение  должно поддерживать следующие условия:

§ статическое подключение  к Интернет-провайдеру;

§ DHCP-подключение  компьютеров пользователей ко внутренней сети.

Для выполнения поставленной задачи необходимо выполнить шаги:

1. Изменить адресную  книгу – назначить IP-адресацию  для WAN-интерфейса (IP-адрес интерфейса, адрес сети, IP-адрес шлюза по умолчанию, IP-адреса DNS-серверов) – в нашем примере интерфейс назовем ISP1 .

2. Добавить DHCP-сервер  для автоматического получения  IP-адресов компьютерами пользователей  внутренней локальной сети –  в нашем примере сервер назовем Lan_DHCPServer .

В любом текстовом  редакторе (например, Блокноте) создаем  текстовый файл с расширением .sgs , в котором прописываем команды, которые будут выполняться в соответствии с заданными шагами; сохраняем как, например, conf_b.sgs.

ВНИМАНИЕ: Имя скрипта должно содержать не более 16 символов!

Рисунок 5.31 – Скрипт без использования переменных

Еthernet1 – это интерфейс WАN/WАN 1 (в зависимости от модели DFL) по умолчанию, как показано на рисунке:

Рисунок 5.32 – Нумерация  Еthernet-интерфейсов в межсетевых экранах NetDefend

Далее, загружаем  созданный скрипт (например, через PSCP-клиента):

ВНИМАНИЕ: Файл скрипта должен находиться в той же папке, что и файл pscp.exe .

Рисунок 5.33 – Загрузка скрипта в межсетевых экранах NetDefend

Проверяем, загрузился ли скрипт в папку script межсетевого экрана. Можно использовать подключение через консоль:

Рисунок 5.34 – Отображение  доступного скрипта в устройстве через консольное подключение

или через Еthernet-интерфейс  с использованием SSН-протокола:

Рисунок 5.35 – Отображение  доступного скрипта в устройстве через SSН-подключение

Далее, через консоль  или SSН-клиента запускаем файл с  именем conf_b.sgs .

Рисунок 5.36 – Запуск скрипта в межсетевых экранах NetDefend

Файл загружен успешно, проверяем результат либо с помощью CLI-команд,

Рисунок 5.37 – Отображение  изменений Еthernet-интерфейса в устройстве через консольное подключение

либо через Web-интерфейс:

Рисунок 5.38 – Отображение  изменений Еthernet-интерфейса в устройстве через Web-интерфейс

Рисунок 5.39 – Отображение  изменений интерфейсов в адресной книге через Web-интерфейс

В первом примере  использована конкретная IP-адресация  и конкретный интерфейс для DHCP-сервиса. В случае если указанные значения меняются, можно использовать переменные (пример № 2):

Рисунок 5.40 – Скрипт с использованием переменных

Выполняем аналогичные  шаги, что и в первом примере. Только при запуске файла (например, с  именем conf_v.sgs) через консоль или SSН-клиента указываем значения переменных ($1=5.5.5.2 $2=5.5.5.0/24 $3=5.5.5.1 $4=1.1.1.1 $5=2.2.2.2 $6= lan):

Рисунок 5.41 – Запуск скрипта через SSН-клиента

Меню загрузки (Boot menu) через консоль. Загрузчик NetDеfendOS – это основное программное обеспечение для управления системой NеtDefendOS. Меню загрузки доступно только через консоль устройства, подключенного непосредственно к консольному порту межсетевого экрана NetDefend. Доступ осуществляется через консоль после включения межсетевого экрана NetDefend и запуска системы NetDefеndOS.

После включения  межсетевого экрана NetDefend запуск системы NetDеfendOS произойдет через 3 секунды, в  то же время появится сообщение Press any key to abort and load boot menu(Нажмите любую кнопку для прерывания или загрузки меню загрузки), отображенное ниже:

Рисунок 5.42 – Запуск системы NеtDefendOS

При нажатии любой  консольной клавиши в течение 3 секунд, происходит остановка запуска системы NetDefеndOS и отображается меню загрузки.

При первоначальном запуске системы NetDеfendOS без установки  пароля для доступа к консоли, отображается полный набор опций  загрузки меню, как показано ниже:

Рисунок 5.43 – Запуск системы NetDеfendOS

1. Start firеwall. Обеспечивает запуск программного обеспечения NetDеfendOS на межсетевом экране NetDefend.

2. Reset unit to factory defaults. Обеспечивает сброс устройства к заводским настройкам по умолчанию. При выборе данной опции выполняются следующие операции:

§ удаляется пароль на доступ к консоли;

§ восстанавливаются  параметры по умолчанию системы NеtDefendOS в соответствии с конфигурацией  по умолчанию.

3. Revert to default configuration. В данном случае выполняется восстановление только конфигурации по умолчанию, что не влияет на остальные опции, например, безопасность консоли.

4. Set console password. Установка пароля для доступа к консоли. Пока пароль не установлен, любой может использовать консоль, поэтому рекомендуется устанавливать пароль. После установки пароля, консоль выполнит запрос пароля прежде, чем будет разрешен доступ к меню загрузки или интерфейсу командной строки (CLI). Удалить консольный пароль можно, если при выборе данной опции оставить поле пароля незаполненным и нажать клавишу Enter.

Установка пароля для консоли не связана  с именем пользователя/пароля, используемым для доступа администратора через Web-браузер.

Управление межсетевыми  экранами NetDefend через Web-интерфейс

Для управления системой через Ethernet-интерфейс с помощью стандартного Web-браузера, NetDefendOS поддерживает интуитивно-понятный Web-интерфейс (WebUI). Что позволяет администратору конфигурировать устройство с любого сетевого компьютера без добавления специального клиентского программного обеспечения.

Общие свойства интерфейса

Новому межсетевому  экрану D-Link NetDefend с заводскими настройками  системой NetDefend автоматически назначен внутренний IP-адрес по умолчанию  на интерфейсе LAN1 (или интерфейс LAN на моделях с одним локальным интерфейсом). IP-адрес, назначаемый интерфейсу управления, зависит от модели межсетевого экрана NetDefend.

Для моделей DFL-260E/860E/1660/2560 IP-адрес интерфейса управления при  использовании протокола HTTPS по умолчанию: httрs ://192.168.10.1 . А для более ранних моделей DFL-210/260/800/860/1600/2500 – httрs ://192.168.1.1 .

Слева в Web-интерфейсе представлено древовидное меню, обеспечивающее навигацию по различным объектам NetDеfendOS. Центральная часть Web-интерфейса отображает информацию о выбранном  в меню объекте.

Основные свойства интерфейса

Ø При изменении IP-адреса LАN необходимо зайти на интерфейс DFL по новому IP-адресу в течение 30 секунд (период времени задан по умолчанию, его можно изменить в папке System→ Remote Management→ Advanced Settings→ Validation Timeout).

Ø Для всех моделей  имя пользователя и пароль по умолчанию: admin. В целях безопасности, после подключения к межсетевому экрану NetDefend, рекомендуется изменить пароль учетной записи, используемый по умолчанию.

Ø Все объекты  и правила, созданные, но не подтвержденные нажатием кнопки «OK», должны быть отменены нажатием кнопки «CANCEL». Иначе этот объект или правило останется и будет назван «Untitled».

Ø Нельзя активировать конфигурацию, если где-либо присутствует объект или правило, для которого заданы не все настройки, например «Untitled».

Ø Проверка трафика  на соответствие правилам производится сверху вниз.

Ø Записи объектов, правил, серверов и т.д. можно переставлять местами с помощью выбора Move Up – Move Down.

Ø Запись удаленного объекта представлена перечеркнутым  шрифтом.

Ø Для предотвращения неавторизованного доступа к  системе другими пользователями, выходить из системы рекомендуется  после нажатия кнопки Logout справа в строке меню.

По умолчанию, доступ к Web-интерфейсу разрешен только из внутренней сети. Если необходимо включить доступ из других сегментов сети, можно  сделать это, изменив политику удаленного управления.

Пример:

Включение удаленного управления через протокол HTTРS

Интерфейс командной строки :

gw-world:/>add RemoteManagement RemoteMgmtHTTP httрs Network=all-nets Interface=any LocalUserDatabase=AdminUsers HTTРS=Yes

Web-интерфейс:

1. Перейдите в System→Remote Management→Add→HTTP/HTTРS Management.

2. Введите Имя  (Name) политики удаленного управления HTTP/HTTРS, например, httрs.

3. Отметьте поле HTTРS.

4. Выберите следующее  из списков выпадающего меню:

User Database: AdminUsers

Interface: any

Network: all-nets

5. OK

Конфигурирование межсетевых экранов NetDefend

Система конфигурации состоит из Объектов конфигурации, где каждый объект представляет собой конфигурируемый элемент различного типа. К объектам конфигурации относятся: записи в таблице маршрутизации, записи адресной книги, описание сервиса, IP-правила и т. д. Каждый объект конфигурации обладает набором свойств, которые составляют значения объекта.

При создании разнообразных  конфигураций соединений, как правило, выполняются три шага конфигурирования:

§ 1 шаг. Создание и проверка объектов.

§ 2 шаг. Создание правил (правила IP , правила IDS/IDP, правила аутентификации).

§ 3 шаг. Создание и проверка правил маршрутизации.

Создание и проверка объектов.

Важнейшей частью конфигурации является ОБЪЕКТ (Objects).

Объект – это  простейший элемент конфигурации, такой  как IP-адрес, сеть, ключ и т.п. Каждый объект имеет имя и может использоваться во многих местах конфигурации устройства.

Объекты – основная единица конфигурации устройства, они  используются практически везде: в  таблицах маршрутизации, в правилах, в конфигурации интерфейсов, VPN и т.д.

Объекты – Адресная книга (Address Book)

Адресная книга  содержит объекты c заданным именем, с  различной адресацией, включая IP-адреса интерфейсов и диапазон адресов  сетей. При использовании имен объектов вместо самих адресов, нужно будет  изменить значение только одного поля, а не каждого, где встречается  данный адрес.

Объект IPv4 Address предназначен для информации об адресах хостов, сетей и дапазонов IP-адресов. Каждый хост представляется своим уникальным IP-адресом (например: 192.168.1.1). IP-сеть представлена с использованием бесклассовой внутридоменной маршрутизации - Classless Inter Domain Routing (CIDR) или иначе – с маской подсети, например: 192.168.1.1/24. Диапазон обозначает последовательный порядок адресов хостов, например: диапазон 192.168.1.10-192.168.1.14 включает 5 хостов.

Рисунок 5.44 – Добавление или изменение объектов адресной книги через Web-интерфейс межсетевого  экрана NetDefend

Автоматическая  генерация адресов объектов. При первичном запуске системы определенным объектам адреса задаются автоматически. К ним относятся:

Ø Адреса интерфейса (Interface Addresses):

Для каждого Еthernet-интерфейса системы предопределена IP-адресация  для двух объектов – один объект с IP-адресом фактического интерфейса и второй представляет локальную  сеть для этого интерфейса.

Интерфейс объекта  прописан, как interfacename_ip (например, lan _ ip ), а интерфейс объекта сети – interfacenamenet (например, lannet ).

Ø Шлюз по умолчанию (Default Gateway):

IP-адрес объекта,  прописанный interfacename_gw ,представляет собой шлюз системы по умолчанию. Например, объект wan1_gw используется прежде всего таблицей маршрутизации, кроме этого – подсистемой DHCP-клиента, чтобы хранить адресную информацию, полученную от DHCP-сервера. Если IP -адрес шлюза по умолчанию изменить, объект wan1_gw будет содержать указанный адрес. Если же не вносить никаких изменений, значение объекта останется по умолчанию 0.0.0.0.

Ø Все сети (All-nets):

IP-адрес объекта all-nets инициализирован значением 0.0.0.0/0, таким образом представляя все возможные IP-адреса. Этот объект активно используется при настройке многих конфигураций.

Ø При использовании DHCP-клиента или соединения PPPoE на интерфейсе автоматически заданы два дополнительных объекта: interfacename_dns1 и interfacename_dns2. Например, для интерфейса wan1 эти объекты выражаются, как wan_dns1 и wan_dns2, а для интерфейса PPРoE их можно обозначить, как pppoe_dns1 и pppoe_dns2.

Объекты Еthernet-адреса используются для обозначения символьными именами Еthernet-адресов (или MAC-адресов). Они применяются, например, при заполнении ARP-таблиц статическими ARр-данными, или в другой части конфигурации, где символьное имя предпочтительнее числовых (шестнадцатиричных) Еthernet-адресов.

При определении  Еthernet-адреса используется формат aa-bb-cc-dd-ee-ff.

Объекты – АLG with АV/WСF

ALG (ApplicationLayer Gateway) – механизм, позволяющий анализировать трафик. Анализируются данные протоколов и предпринимают действия, базируясь на сконфигурированных правилах. Нужный АLG определяется при конфигурации сервиса (Service). Трафик, подпадающий под параметры сервиса, будет обработан с использованием выбранного АLG.

Рисунок 5.45 – Добавление или изменение объектов АLG через Web -интерфейс межсетевого экрана NetDefend

Объекты – Сервисы (Services)

Определяется IP-протокол и его параметры. Например, сервис http определен как протокол TCP с портом назначения 80, а сервис SMTP использует порт 25.

При установке правил фильтрации сервиса возможно использование  объекта all_services, ссылающегося на все протоколы, но с точки зрения безопасности эффективнее использовать более определенные типы сервисов.

Рисунок 5.46 – Добавление или изменение объектов Сервисы через Web-интерфейс межсетевого экрана NetDefend

ВНИМАНИЕ : Сервис http-all не включает в себя DNS-протокол. Необходимый для Web-серфинга DNS-протокол входит в состав сервиса dns-all, который можно добавить в группу сервиса http-all и связать IP-правилами.

Объекты – Расписание (Schedules)

Расписание позволяет  применять правила только в определенное время.

Рисунок 5.47 – Добавление или изменение объектов Расписание через Web-интерфейс межсетевого экрана NetDefend

Объекты аутентификации – Аuthentication Objects

Определяет аутентификацию пользователей и шлюзов с помощью Pre-shared-ключей и сертификатов X.509.

Сертификат –  это цифровой аналог удостоверения  личности. Он позволяет идентифицировать предъявителя надежным и безопасным способом по технологии открытого/закрытого  ключей. Сертификаты могут быть использованы для аутентификации, как пользователей, так и других шлюзов. Например, сертификат может быть использован для аутентификации VРN-туннеля.

Рисунок 5.48 – Добавление или изменение объектов аутентификации через Web-интерфейс межсетевого экрана NetDefend

Создание правил

Раздел правил (Rules) предназначен для создания списка правил.

Правила межсетевого  экрана – это «сердце» межсетевого  экрана. Правила являются основным фильтром, который разрешает или  запрещает определенному типу трафика  проходить через межсетевой экран. Правила также используются для  управления пропускной способностью, функцией ограничения полосы пропускания  трафика, проходящего через интерфейс WAN.

Основные наборы правил системы NetDefend определяют политики безопасности и используются для  фильтрации параметров. К ним относятся:

IP -правила, определяющие, какой трафик пройдет через межсетевой экран NetDefend и для какого трафика требуется преобразование адреса (выбор осуществляется в древовидном меню в папкеRules→ IP Rules).

Pipe-правила , определяющие, какой трафик активирует ограничение полосы пропускания трафика Traffic Shaping (выбор осуществляется в древовидном меню в папке Traffic Managment→ TrafficShaping→ Pipe Rules).

Правила маршрутизации  на основе политик , определяющие таблицы маршрутизации для трафика (выбор осуществляется в древовидном меню в папке Routing→ Routing Rules).

Правила аутентификации, определяющие, какой трафик активизирует процесс аутентификации (выбор осуществляется в древовидном меню в папке User Authentification→ UserAuthentification Rules).

Существуют два  способа пропускания трафика  через межсетевой экран NetDefend:

§ Отклоняется весь трафик, кроме разрешенного.

§ Пропускается весь трафик, кроме запрещенного.

Для обеспечения  наилучшей безопасности в системе NetDefend по умолчанию применяется первый метод, т.е. при первой установке  и запуске в NеtDefendOS не определены IP-правила, за исключением минимальных, и весь трафик отклоняется. Для прохождения  любого трафика через межсетевой экран NetDefend (включая ICMP-запросы Ping) администратору необходимо определить соответствующие IP-правила.

Когда через межсетевой экран устанавливается новое  соединение, то правила проверяются  по списку сверху вниз до тех пор, пока не будет найдено правило, соответствующее  новому соединению. Для нового соединения выполнятся действие, записанное в  правиле. Если это действие – разрешить (Allow), соединение устанавливается, и структура, описывающая соединение, добавляется во внутреннюю таблицу соединений межсетевого экрана. Если действие – запретить (Reject) или отклонить (Drop), соединение будет отклонено.

Выбор необходимого действия производится при создании правила в поле Action :

Рисунок 5.49 – Выбор  действия для правил (IP Rules)

Drop (отклонить) – Пакеты, попадающие под правило с действием «Drop», будут немедленно отклонены. Информация о таких пакетах будет занесена в журнал (log), если на странице Logging Settings включена регистрация событий в журнале.

Рисунок 5.50 – Выбор  действий

Reject (отклонить) – Действие «Reject» работает примерно также как и Drop. Но кроме этого, межсетевой экран отправляет сообщение IСMP UNREACHABLE назад отправителю пакета или, если отклоненный пакет был пакетом TСP, сообщение TСP RST. Информация о таких пакетах будет занесена в журнал (log), если на странице Logging Settings включена регистрация событий в журнале.

Allow (разрешить) – Пакеты, попадающие под правило с действием «Allow», будут проходить далее в систему проверки содержимого, которая будет помнить, какое соединение было открыто. Информация об открытых соединениях записывается в таблицу соединений. Поэтому, правила для обратного трафика не требуются, поскольку трафик, относящийся к отрытым соединениям, автоматически пропускается, не добираясь до правил проверки. Если на странице Logging Settings включена регистрация проверки трафика, будет выполняться запись в журнал соответствующих сообщений (log).

NAT (динамическая трансляция адресов) – Правило с действием «NАT» динамически транслирует адреса и «скрывает» адрес отправителя. В основном используется для скрытия внутренних адресов защищаемой сети – все компьютеры внутренней сети используют один внешний адрес.

Forward fast (быстрый проброс) – Пакетам, удовлетворяющим правилу с действием «Forward fast», прохождение разрешается незамедлительно. Межсетевой экран не записывает соединения по этим правилам в таблицу соединений, и, соответственно, не отслеживает контекст соединения для этих пакетов. Этот метод работает быстрее для протоколов, не использующих соединения. Для протоколов с большим объемом передаваемого трафика через одно соединение действие Allow работает быстрее.

SAT (статическая трансляция адреса) – Правило с действием «SАT» определяет статическую трансляцию адреса из внешнего во внутренний. Решение о разрешении прохождения трафика принимается другими правилами.

SLB SАT * (Server Load Balancing SАT) – Балансировка нагрузки сервера с использованием статической трансляции.

Multiplex SАT * – Правило с действием Multiplex SАT определяет статическую трансляцию для широковещательных адресов.

* Доступность действий SLB SАT и Multiplex SАT зависит от конкретной модели.

Назначение опций  при создании правил

Рисунок 5.51 – Опции  для правил (IP Rules)

Adrress Filter – Фильтр по адресу источника и назначения.

Source Interface – Указывает интерфейс, с которого принят пакет. Может быть указан VРN-туннель.

Source Network – Определяет диапазон IP-адресов, с которыми будет сравниваться адрес источника в принятом пакете.

Destination Interface – Указывает интерфейс, через который передается принятый пакет. Может быть указан VРN-туннель.

Destination Network – Определяет диапазон IP-адресов, с которыми будет сравниваться адрес назначения в принятом пакете.

Применительно к межсетевым экранам выделяют два  логических интерфейса: core и any .

Core находится в «сердце» межсетевого экрана, от физических интерфейсов весь трафик пересылается на интерфейс core с целью управления политиками безопасности.

Any – означает все возможные интерфейсы, включая core .

Расписание применения правил – Необходимое расписание применения правил можно выбрать из выпадающего меню в поле Schedules. Если правило должно быть активно всегда, указываетсяAlways.

Создание и проверка правил маршрутизации

Системой NetDеfendOS поддерживается два типа маршрутизации: статическая и динамическая.

Статическая маршрутизация – основная и наиболее распространенная форма маршрутизации. Термин «статическая» означает, что записи в таблицу маршрутизации добавляются вручную и поэтому постоянны (статичны). Для больших сетей, где применяется сложная топология построения, запись в таблицы маршрутизации вручную затруднительна и отнимает много времени. В таких случаях используется динамическая маршрутизация.

Задача маршрутизации  решается на основе анализа записей  таблиц маршрутизации (Routing Tables) – правил, а единственные данные, которые можно  фильтровать, – это IP-адрес назначения пакета. Маршрутизацией, основанной на правилах, обычно называется расширенная  маршрутизация, при которой дополнительные поля пакета учитываются при принятии решения о его маршрутизации. В межсетевых экранах каждое правило  может содержать собственное  решение по маршрутизации; по существу, маршрутизация проводится в соответствии с IP-адресами источника и назначения.

Приведем пример работы межсетевого экрана NetDefend c использованием типичной маршрутизации.

Рисунок 5.52 – Сценарий типичной маршрутизации

Компьютеры пользователей  соединены через LАN-интерфейс с  адресацией сети 192.168.1.0/24 . Через DMZ-порт создана DМZ-сеть с адресацией 172.17.100.0/24 . Через WАN-интерфейс 10.10.10.0/24 иISP-шлюз 10.10.10.1 организован публичный доступ в Интернет.

Для данного примера  таблица маршрутизации выглядит следующим образом:

Таблица 6

Информация из таблицы  определяет:

§ Маршрут 1 (Route 1) перенаправляет пакеты сети 192.168.1.0/24 на lan-интерфейс. Шлюз не обязателен.

§ Маршрут 2 ( Route 2) –  все пакеты, направленные к хостам сети 172.17.100.0/24 должны быть отправлены на DМZ-интерфейс. Для этого маршрута шлюз также не определен.

§ Маршрут 3 (Route 3) –  все пакеты, направленные к хостам сети 10.10.10.0/24 должны быть отправлены на WАN-интерфейс (в нашем примере  № 1 – ISР1). Шлюз для доступа к хостам не требуется.

§ Маршрут 4 (Route 4) –  пакеты, направляемые к любому хосту (сеть all-nets соответствует всем хостам), должны быть отправлены на WАN-интерфейс (ISР1) и шлюз с IP-адресом 10.10.10.1. Шлюз будет обращаться к таблице маршрутизации для выяснения дальнейшего маршрута пакета.

Маршрут с назначением all-nets называется Default Route (маршрут по умолчанию), так как он будет соответствовать всем пакетам, маршрут которых не определен. Такой маршрут обычно определяет интерфейс, связанный с публичной сетью Интернет.

Рисунок 5.53 – Основная таблица маршрутизации с настройками  по умолчанию

Рисунок 5.54 – Основная таблица маршрутизации с настройками  прозрачного режима (Transparent mode)

Таблица маршрутизации  содержит информацию, на основе которой  межсетевой экран принимает решение  о дальнейшей пересылке пакетов. Таблица состоит из маршрутов, в  каждом из которых содержится интерфейс  назначения, сеть назначения, шлюз назначения, т.е. адрес хоста, которому следует  передавать пакеты, и метрики. Метрики  записей в таблице используются при вычислении кратчайших маршрутов  к различным получателям. У основного  подключения метрика имеет высший приоритет в отличие от резервного подключения (чем меньше параметр метрики, тем главнее маршрут). По умолчанию  метрика маршрутов равна 100.

Системой NetDefend поддерживается дополнительная функция route monitoring (мониторинг маршрутов), предназначенная для контроля за успешным или неуспешным ходом выполнения маршрутизации.

По умолчанию  межсетевой экран управляется основной таблицей маршрутизации. Кроме этого, устройство позволяет создавать  собственные политики маршрутизации - Policy Routing. Для этого создаются альтернативные таблицы маршрутизации, состоящие из перечня маршрутов и самих политик. Маршруты определяют куда будут посылаться пакеты: интерфейс, адрес шлюза, адрес, который станет адресом источника пакетов в случае, если интерфейс имеет несколько IP-адресов. Политики направляют трафик в определенную таблицу маршрутизации (основную или альтернативную) в зависимости от адресов иинтерфейсов источника/назначения, протоколов и портов (в случае протокола TCP или UDP) и расписания.

Следует отметить, что  маршруты в таблицах маршрутизации, настроенных администратором, могут  добавляться, удаляться и изменяться автоматически в процессе работы и эти изменения отображаются в таблицах маршрутизации. Это может  быть связано с использованием динамической маршрутизации OSPF, т.е. записи в таблицах маршрутизации будут обновляться новыми маршрутами, полученными от других маршрутизаторов OSРF-сети. На содержание таблиц маршрутизации могут повлиять и неудачные (fail-over) маршруты.

При первом запуске  межсетевого экрана система NetDefend автоматически  добавит маршрут в главную  таблицу маршрутизации main для каждого физического интерфейса с метрикой по умолчанию 100:

Рисунок 5.55 – Основная таблица маршрутизации с конфигурацией  из примера №1 по использованию скриптов

Автоматически создаваемые  маршруты нельзя удалять вручную  из таблицы маршрутизации. В свойствах  интерфейса следует отключить опцию Automatically add a route forthis interface using the given network (автоматическое добавление маршрута для этого интерфейса, использующего данную сеть):

Рисунок 5.56 – Отключение опции автоматического добавления маршрута

После отключения этой опции маршрут, созданный автоматически, будет удален из таблицы маршрутизации:

Рисунок 5.57 – Автоматическое удаление маршрута из основной таблицы  маршрутизации

Маршрут all-nets (все сети) – наиболее важный маршрут, который обычно предназначен для публичного доступа в Интернет через Интернет-провайдера и определяется для любого физического интерфейса, который используется для соединения с Интернетом. В Web-интерфейсе маршрут all-nets добавляется в расширенных настройках (вкладка Advanced) Еthernet-интерфейса с помощью опции Automatically add a default route forthis interface using the given default gateway (автоматическое добавление заданного по умолчанию маршрута для этого интерфейса, использующего заданный шлюз по умолчанию):

Рисунок 5.58 – Автоматическое добавление заданного по умолчанию  маршрута

При включении этой опции маршрут all-nets автоматически добавляется в основную таблицу маршрутизации main интерфейса (рисунки 5.55 и 5.58).

Маршруты Core (Core Routes). NetDеfendOS автоматически добавляет в таблицу маршрутизации маршруты Core. Эти маршруты предназначены непосредственно для системы и служат для определения движения трафика. Существует маршрут, который обязательно добавляется в каждый интерфейс системы. Другими словами, для LАN-интерфейса с адресом 192.168.1.1 и WАN-интерфейса (в нашем примере – ISP1) с адресом 10.10.10.5 назначаются следующие маршруты:

Таблица 7

При получении системой IP-пакета, чей адрес назначения –  один из IP-интерфейсов (т.е. IP-адрес одного из интерфейсов системы), он направляется на интерфейс core, то есть обрабатывается непосредственно системой NetDefend.

Помимо этого, создается  маршрут для всех адресов многоадресной  рассылки:

Таблица 8

По умолчанию  маршруты Core не отображаются в таблице маршрутизации и для просмотра этих маршрутов следует включить опцию Show all routes в меню Status→ Routes . Отображение маршрутовCore появится вэтом же окне:

Рисунок 5.59 – Включение  опции отображения всех маршрутов

Маршрутизация на основе правил (Policy-Base Routing)

Когда возникает  необходимость в PBR?

Маршрутизация на основе правил (PBR) используется там, где необходимо разделять трафик по какому-либо признаку и выбирать разный маршрут для  каждого типа трафика в сочетании  с интерфейсом источника/назначения и сетью источника/назначения.

Рисунок 5.60 – Использование  маршрутизации на основе правил

PBR предоставляет  администраторам centerгибкие возможности  для определения правил маршрутизации  на основе различных критериев,  используя при этом альтернативные  таблицы маршрутизации.

Рисунок 5.61 – Добавление или изменение маршрутизации  на основе правил

Стандартная маршрутизация  отправляет пакеты согласно информации об IP-адресе получателя, полученной из статических или динамических протоколов маршрутизации. Например, при использовании OSPF, маршрут для пакета выбирается из SPF-расчета наименьшей длины пути. В PBR маршруты для трафика можно выбирать, исходя из определенных параметров трафика.

PBR может быть  следующих типов:

Ø Source based routing

Таблицы маршрутизации  выбираются на основе источника трафика. При использовании подключений нескольких Интернет-провайдеров, PBR может направлять трафик разных пользователей по различным маршрутам. Например, трафик из одного диапазона адресов может передаваться через одно ISP-подключение, в то время как через второе ISР-подключение передается трафик из другого диапазона адресов.

Ø Service based Routing

Таблицы маршрутизации  выбираются на основе сервисов. PBR может маршрутизировать конкретный протокол, например HTTP, через прокси-службы, такие как Web-кэш. Также можно настроить маршруты для определенных сервисов через выбранное ISР-подключение.

Ø User based Routing

Таблицы маршрутизации  выбираются на основе идентификации  пользователя или группы, к которой  он принадлежит. Данный метод удобно использовать в распределенной корпоративной  сети, при этом каждый пользователь может заключать договор с  разными ISР.

Приведем пример использования различных маршрутов  для входящего и исходящего трафика  и/или решения вопроса о направлении  всего трафика определенного  сервиса (например, ftp-трафика) через второго провайдера, а в случае его недоступности, через первого. Для этого создается альтернативная таблица маршрутизации, например alternative, с соответствующими маршрутами:

Рисунок 5.62 – Добавление альтернативной таблицы маршрутизации

и правило (Routing Rule), указывающее маршрутизацию трафика в соответствии с таблицами:

Рисунок 5.63 – Создание правила с использованием таблиц маршрутизации

В данном правиле  фильтры Address Filter и Service указывают на принцип работы правила, фильтры Forward Table и Return Table отвечают за перенаправление трафика. Forward Table указывает на таблицу для отправки трафика (исходящий трафик), а Return Table – на маршрутизацию для входящего трафика (входящий трафик):

Рисунок 5.64 – Использование  опций при создании правила маршрутизации

Выбор таблицы маршрутизации

Когда система получает пакет, относящийся к новому соединению, то для выбора таблицы маршрутизации  выполняются следующие шаги:

1. Прежде чем применять  правила маршрутизации, с помощью  основной таблицы маршрутизации  определяется интерфейс назначения. Поэтому важно, чтобы в таблице main был хотя бы маршрут по умолчанию (all-nets), который будет использован в случае, если более подходящий маршрут не будет найден.

2. На данном этапе,  осуществляется поиск правил, соответствующих  заданным параметрам: интерфейс  и сеть источника/назначения и  выбранный протокол/сервис. Если  соответствующее правило найдено,  то используется определенная  таблица маршрутизации. Если соответствующее  правило не найдено, то используется  таблица main.

3. Как только выбрана  необходимая таблица маршрутизации,  осуществляется проверка фактической  принадлежности IP-адреса источника  принимающему интерфейсу. Ищется  соответствие с правилами доступа  (Access Rules). Если правила доступа  или соответствие с ними не  найдено, то в выбранной таблице  маршрутизации осуществляется обратный  поиск, а в качестве параметра  используется IP-адрес источника.  В случае если соответствие  не найдено, в журнале Log генерируется  сообщение об ошибке Default access rule.

4. На данном этапе  в выбранной таблице маршрутизации  осуществляется поиск маршрута, по которому пакет будет отправлен  на интерфейс назначения. На результаты  поиска влияет параметрOrdering. Для реализации виртуальной системы следует использовать опцию Only.

5. С этого момента  соединение обрабатывается обычным  набором IP-правил. Если в проверке  участвует правило SAT, то выполняется преобразование адреса. Решение о том, какой маршрут использовать принимается до преобразования адресов, но фактический поиск маршрута выполняется с уже преобразованным адресом. Следует обратить внимание на то, что первоначальный поиск маршрута для определения интерфейса назначения осуществляется с еще не преобразованным адресом.

6. Если проверка IP-правилами прошла успешно, то  в таблице состояний системы  NetDеfendOS открывается новое соединение  и пакет передается через это  соединение.

При выборе соответствующей  альтернативной таблицы применяются  связанные с таблицей параметры Ordering, которые устанавливают, как альтернативная таблица объединена с основной таблицейmain. Существуют три возможные опции:

Ø Default – по умолчанию маршрут ищется сначала в основной таблице маршрутизации. Если соответствующий маршрут не найден или найден маршрут по умолчанию, с интерфейсом назначенияall-nets (0.0.0.0/0), то осуществляется поиск в альтернативной таблице. Если соответствующий маршрут в альтернативной таблице не найден, то будет использоваться маршрут из таблицы main.

Ø First – в этом случае маршрут ищется сначала в альтернативной таблице маршрутизации. Если соответствующий маршрут не найден, то поиск осуществляется в таблице main. Если в альтернативной таблице маршрутизации существует маршрут all-nets, то он выбирается, как подходящий.

Ø Only – при выборе данной опции все таблицы маршрутизации, за исключением альтернативной, игнорируются. В данном случае администратору следует выделить каждому приложению по отдельной таблице маршрутизации, с определенным набором интерфейсов. Данную опцию следует выбирать при создании виртуальных систем, так как в одной таблице маршрутизации можно определить набор интерфейсов.

Первые две опции  можно считать как объединение  альтернативной таблицы с таблицей main и назначать только один маршрут, если в обеих таблицах найдено соответствие.

ВНИМАНИЕ : Маршрут с интерфейсом all-nets обязательно должен присутствовать в основной таблице main.

Сравнительная таблица  межсетевых экранов D-Link серии NetDefend

3

3DES

:

(англ. Triple-Data Encryption Standard). Алгоритм шифрования.

A

AAA

:

(англ. Authentication, Authorization and Accounting). Аутентификация, авторизация и учет. Функция, которая представляет собой комплексную структуру организации доступа пользователя в сеть.

ACL

:

(англ. Access Control List). Список контроля доступа. Свод правил по управлению и доступу к объекту на аппаратном уровне. Используя ACL можно ограничить типы приложений, разрешенных для использования в сети, контролировать доступ пользователей к сети и определять устройства, к которым они могут подключаться. Также ACL могут использоваться для определения политики QoS, путем классификации трафика и переопределения его приоритета.

ADSL

:

(англ. Asymmetric Digital Subscriber Line). Асимметричная цифровая абонентская линия. Технология, обеспечивающая доступ в Интернет по кабельным телефонным линиям.

AES

:

(англ. Advanced Encryption Standard). Алгоритм блочного шифрования.

AH

:

(англ. Authentication Header). Аутентифицирующий заголовок. Протокол AH содержит средства проверки подлинности для обеспечения безопасности. AH встраивается в данные и может использоваться как сам по себе, так и в сочетании с ESP.

ALG

:

(англ. Application Layer Gateway). Шлюз прикладного уровня. Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (NAT) недопустима.

AP

:

(англ. Access Point). Беспроводная  точка доступа.

ARP

:

(англ. Address Resolution Protocol). Протокол разрешения адресов. Протокол, используемый для динамического преобразования IP-адресов в физические (аппаратные) МАС-адреса устройств локальной сети TCP/IP. В общем случае ARP требует передачи широковещательного сообщения всем узлам, на которое отвечает узел с соответствующим запросу IP-адресом.

ATM

:

(англ. Asynchronous Transfer Mode). Асинхронный способ передачи данных. Cетевая технология, основанная на передаче данных в виде ячеек (cell) фиксированного размера (53 байта), из которых 5 байтов используется под заголовок.

Authentication

:

Аутентификация. Процедура  проверки идентификационных данных пользователя (чаще всего, логина и  пароля) при доступе к информационной системе.

Authorization

:

Авторизация. Предоставление определенному пользователю прав на выполнение некоторых действий. Авторизация  происходит после аутентификации и  использует идентификатор пользователя для определения того к каким  ресурсам он имеет доступ. В информационных технологиях с помощью авторизации  устанавливаются и реализуются  права доступа к ресурсам и  системам обработки данных.

AV

:

(англ. Anti-Virus). Антивирусная  система.

C

CA

:

(англ. Certification Authority). Центр сертификации. Центр, которому пользователи доверяют создание и подписывание сертификатов открытых ключей.

CCMP

:

(англ. Counter Mode with Cipher Block Chaining Message Authentication Code Protocol). Протокол блочного шифрования с кодом аутентификации сообщения и режимом счётчика). Протокол шифрования, использующий алгоритм AES.

CHAP

:

(англ. Challenge-Handshake Authentication Protocol). Протокол аутентификации «рукопожатием». Протокол аутентификации, использующий схему хэширования случайного запроса.

CIDR

:

(англ. Classless Inter-Domain Routing). Метод IP-адресации, позволяющий гибко управлять пространством IP-адресов, не используя жёсткие рамки классовой адресации.

CME

:

(англ. Common Malware Enumeration). Перечень распространенных злонамеренных программ.

CRC

:

(англ. Cyclic Redundancy Code). Циклический избыточный код. Алгоритм вычисления контрольной суммы.

cигнатура

:

Сигнатура атаки (вируса) — характерные признаки атаки  или вируса, используемые для их обнаружения.

D

DAT

:

(англ. Dynamic Address Translation). Динамическое преобразование адресов. Динамический NAT отображает набор приватных адресов на некое множество публичных IP-адресов.

DDoS

:

(англ. Distributed Denial of Service). Распределенная сетевая атака типа «отказ в обслуживании».

DES

:

(англ. Data Encryption Standard). Алгоритм шифрования.

DH

:

(англ. Diffie Hellman). Протокол  защищенного обмена ключей. Назван  по имени его разработчиков  W.Diffie и M.Hellman. Протокол позволяет  участникам обмена договориться  об используемом ключе по незащищенному  каналу.

DHCP

:

(англ. Dynamic Host Configuration Protocol). Сетевой протокол, позволяющий клиентским устройствам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети. Регламентируется RFC 2131 и другими.

DLP

:

(англ. Data Leak Prevention). Технология предотвращения утечек конфиденциальной информации по сети.

DMZ

:

(англ. Demilitarized Zone). Технология  обеспечения безопасности внутренней  сети при предоставлении доступа  внешних пользователей к определенным  ресурсам внутренней сети (таким  как почтовые, WWW-, FTP-серверы и др.).

DNS

:

(англ. Domain Name System). Система доменных имен. Служба преобразования текстового доменного имени в цифровой IP-адрес и наоборот.