Скачиваний:
20
Добавлен:
09.04.2023
Размер:
533.54 Кб
Скачать

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ,

СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ

«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

(СПбГУТ)

Факультет Инфокоммуникационных сетей и систем

Кафедра Защищенных систем связи

Дисциплина Программно-аппаратные средства защиты информации

ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №11

Настройка входящего правила трансляции

(тема отчета)

Направление/специальность подготовки

10.03.01 Информационная безопасность

(код и наименование направления/специальности)

Студенты:

Преподаватель:

Штеренберг С.И.

(Ф.И.О) (подпись)

Оглавление

Цель лабораторной работы

Создать правило трансляции, которое позволяет пользователю из внешней сети обращаться на веб-сервер в защищенной сети.

Оборудование

Виртуальные машины с установленным ARM, ЦУС, Роутером и AP.

Выполнение лабораторной работы

Создаем правило трансляции для CUS:

Рис1.

Рис.2

Рис 3.

Производимо проверку применения правил на CUS:

Рис 4.

Производим проверку работоспоособности созданного правила:

Рис 5.

Доступ к веб серверу получен. Из этого следует что созданное правило работает корректно.

Создание правила трансляции для порта:

Рис 6.

Рис 7.

Создание самого правила трансляци:

Рис 8.

Рис 9.

Рис 10.

Производим проверку применения созданного правила на CUS:

Рис 11.

Рис 12.

Производим проверку созданного ранее правила:

Рис 12.

У AP есть доступ к веб-серверу и с указанным портом 1800 значит созданное ранее правило работает корректно.

Контрольные вопросы

  1. Какие функции выполняет межсетевой экран?

  • защита и изоляция пользователей внутренней сети от нежелательного трафика, поступающего из внешней сети Интернет;

  • ограничение или запрещение доступа пользователей внутренней сети к сервисам внешней сети;

  • обеспечение отказоустойчивости канала связи;

  • выполнение приоритизации трафика (QoS);

  • поддержка преобразования сетевых адресов (networkaddresstranslation, NAT), что дает возможность задействовать во внутренней сети локальные IP-адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP-адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).

  1. Для чего предназначена технология "Контроль состояния соединений" в пакетном фильтре, применяемом в АПКШ "Континент"?

Разрешает прохождение "обратных" пакетов от получателя к отправителю в рамках одного соединения

  1. Благодаря какой технологии межсетевой экран предотвращает атаки, блокирующие доступ пользователей к ресурсам VPN?

Stateful Packet Inspection

  1. Что происходит с IP-пакетами, если по правилам фильтрации их прохождение запрещено, а межсетевой экран установлен в мягком режиме?

IP-пакеты, прохождение которых не разрешено, только регистрируются в журнале НСД, но пропускаются фильтром. Данный режим предназначен только для настройки КШ при вводе его в эксплуатацию.

  1. Что понимается под сетевым объектом в ПУ ЦУС?

сетевой объект – используется в правилах фильтрации для определения отправителя и получателя IP-пакетов. Можно задать отдельный хост, сеть, группу пользователей (с привязкой к сетевому объекту). В случае использования в правиле группы пользователей на соответствующих сетевых объектах должно быть установлено ПО "Клиент аутентификации пользователя". Сетевые объекты могут быть объединены в группу и использоваться в правилах в составе группы

  1. Какой из трех типов привязки к КШ –"защищаемый", "внутренний", "без привязки"– должен иметь сетевой объект, чтобы на него распространялось правило фильтрации?

Внутренний или защищаемый.

  1. Если сетевой объект имеет внутренний тип привязки к КШ, но при этом в его свойствах указано "Интерфейс: Любой", к каким последствиям может привести использование этого объекта в правилах фильтрации?

Правила фильтрации с упоминанием данного сетевого объекта будут формироваться для всех внутренних интерфейсов КШ.

  1. В каких целях используется трансляция сетевых адресов?

Трансляция сетевых адресов используется для преобразования IP-адреса транзитных пакетов и решает следующие задачи:

 предоставление пользователям с неуникальными внутрисетевыми адресами доступа к внешним сетям общего пользования;

 обеспечение доступа извне к внутрисетевым сервисам – по определенным портам либо с переопределением портов, либо по всем портам.

  1. В чем заключается суть технологии исходящего транслирования адресов?

Инициатор соединения –пользователь внутренней сети. В исходящих IP-пакетах внутрисетевой IP-адрес отправителя заменяется на указанный публичный. Имеется возможность динамического выбора из диапазона публичных адресов. Во входящих IP-пакетах, соответствующих данному соединению, публичный адрес получателя заменяется на соответствующий внутрисетевой

  1. В чем заключается суть технологии входящего транслирования адресов?

Инициатор соединения –сторонний пользователь, которому известен только публичный IP-адрес получателя. Во входящих IP-пакетах публичный IP-адрес получателя заменяется на указанный внутрисетевой. Порт назначения у входящих IP-пакетов можно также переопределить. В исходящих IP-пакетах, соответствующих данному соединению, внутрисетевой адрес отправителя заменяется на соответствующий публичный

  1. Какие условия необходимо выполнить при создании входящих правил трансляции?

Нужно выбрать сетевой объект, который определяет в правилах трансляции источника и получателя IP-пакетов, а также сервис, который определяет в правилах трансляции характеристику IP-пакетов, к которым следует применять данное правило. Обязательно нужно выбрать сетевое устройство в качестве получателя, его нельзя оставить любым.

Вывод

Созданное правило трансляции, заменяет публичный IP-адрес сервера на внутрисетевой. Это позволяет обеспечить внешним пользователям доступ к серверу в защищаемой сети за КШ. Кроме того, создано правило трансляции, заменяющее не только публичный IP-адрес хоста на внутрисетевой, но и порт, что позволит обеспечить внешним пользователям доступ к каждому серверу в защищаемой сети за КШ, если бы таких серверов было несколько.

Санкт-Петербург

2021

Соседние файлы в предмете Программно-аппаратные средства защиты информации