Континент_5
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,
СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Программно-аппаратные средства защиты информации
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №11
Настройка входящего правила трансляции
(тема отчета)
Направление/специальность подготовки
10.03.01 Информационная безопасность
(код и наименование направления/специальности)
Студенты:
Преподаватель:
Штеренберг С.И.
(Ф.И.О) (подпись)
Оглавление
Цель лабораторной работы
Создать правило трансляции, которое позволяет пользователю из внешней сети обращаться на веб-сервер в защищенной сети.
Оборудование
Виртуальные машины с установленным ARM, ЦУС, Роутером и AP.
Выполнение лабораторной работы
Создаем правило трансляции для CUS:
Рис1.
Рис.2
Рис 3.
Производимо проверку применения правил на CUS:
Рис 4.
Производим проверку работоспоособности созданного правила:
Рис 5.
Доступ к веб серверу получен. Из этого следует что созданное правило работает корректно.
Создание правила трансляции для порта:
Рис 6.
Рис 7.
Создание самого правила трансляци:
Рис 8.
Рис 9.
Рис 10.
Производим проверку применения созданного правила на CUS:
Рис 11.
Рис 12.
Производим проверку созданного ранее правила:
Рис 12.
У AP есть доступ к веб-серверу и с указанным портом 1800 значит созданное ранее правило работает корректно.
Контрольные вопросы
Какие функции выполняет межсетевой экран?
защита и изоляция пользователей внутренней сети от нежелательного трафика, поступающего из внешней сети Интернет;
ограничение или запрещение доступа пользователей внутренней сети к сервисам внешней сети;
обеспечение отказоустойчивости канала связи;
выполнение приоритизации трафика (QoS);
поддержка преобразования сетевых адресов (networkaddresstranslation, NAT), что дает возможность задействовать во внутренней сети локальные IP-адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP-адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).
Для чего предназначена технология "Контроль состояния соединений" в пакетном фильтре, применяемом в АПКШ "Континент"?
Разрешает прохождение "обратных" пакетов от получателя к отправителю в рамках одного соединения
Благодаря какой технологии межсетевой экран предотвращает атаки, блокирующие доступ пользователей к ресурсам VPN?
Stateful Packet Inspection
Что происходит с IP-пакетами, если по правилам фильтрации их прохождение запрещено, а межсетевой экран установлен в мягком режиме?
IP-пакеты, прохождение которых не разрешено, только регистрируются в журнале НСД, но пропускаются фильтром. Данный режим предназначен только для настройки КШ при вводе его в эксплуатацию.
Что понимается под сетевым объектом в ПУ ЦУС?
сетевой объект – используется в правилах фильтрации для определения отправителя и получателя IP-пакетов. Можно задать отдельный хост, сеть, группу пользователей (с привязкой к сетевому объекту). В случае использования в правиле группы пользователей на соответствующих сетевых объектах должно быть установлено ПО "Клиент аутентификации пользователя". Сетевые объекты могут быть объединены в группу и использоваться в правилах в составе группы
Какой из трех типов привязки к КШ –"защищаемый", "внутренний", "без привязки"– должен иметь сетевой объект, чтобы на него распространялось правило фильтрации?
Внутренний или защищаемый.
Если сетевой объект имеет внутренний тип привязки к КШ, но при этом в его свойствах указано "Интерфейс: Любой", к каким последствиям может привести использование этого объекта в правилах фильтрации?
Правила фильтрации с упоминанием данного сетевого объекта будут формироваться для всех внутренних интерфейсов КШ.
В каких целях используется трансляция сетевых адресов?
Трансляция сетевых адресов используется для преобразования IP-адреса транзитных пакетов и решает следующие задачи:
предоставление пользователям с неуникальными внутрисетевыми адресами доступа к внешним сетям общего пользования;
обеспечение доступа извне к внутрисетевым сервисам – по определенным портам либо с переопределением портов, либо по всем портам.
В чем заключается суть технологии исходящего транслирования адресов?
Инициатор соединения –пользователь внутренней сети. В исходящих IP-пакетах внутрисетевой IP-адрес отправителя заменяется на указанный публичный. Имеется возможность динамического выбора из диапазона публичных адресов. Во входящих IP-пакетах, соответствующих данному соединению, публичный адрес получателя заменяется на соответствующий внутрисетевой
В чем заключается суть технологии входящего транслирования адресов?
Инициатор соединения –сторонний пользователь, которому известен только публичный IP-адрес получателя. Во входящих IP-пакетах публичный IP-адрес получателя заменяется на указанный внутрисетевой. Порт назначения у входящих IP-пакетов можно также переопределить. В исходящих IP-пакетах, соответствующих данному соединению, внутрисетевой адрес отправителя заменяется на соответствующий публичный
Какие условия необходимо выполнить при создании входящих правил трансляции?
Нужно выбрать сетевой объект, который определяет в правилах трансляции источника и получателя IP-пакетов, а также сервис, который определяет в правилах трансляции характеристику IP-пакетов, к которым следует применять данное правило. Обязательно нужно выбрать сетевое устройство в качестве получателя, его нельзя оставить любым.
Вывод
Созданное правило трансляции, заменяет публичный IP-адрес сервера на внутрисетевой. Это позволяет обеспечить внешним пользователям доступ к серверу в защищаемой сети за КШ. Кроме того, создано правило трансляции, заменяющее не только публичный IP-адрес хоста на внутрисетевой, но и порт, что позволит обеспечить внешним пользователям доступ к каждому серверу в защищаемой сети за КШ, если бы таких серверов было несколько.
Санкт-Петербург
2021