diplom-Baikonur / diplom-Baikonur / интсрукции к оборудованию / DFL-1100 Руководство администратора
.pdfпередачи «состояния» другому устройству, которое по иному интерпретирует это «состояние».
IP-адреса в кластере
Для каждого интерфейса кластера существует три IP-адреса:
•Два "реальных" IP-адреса; один для каждого межсетевого экрана. Эти адреса используются для взаимодействия с самими устройствами, то есть для удаленного управления и мониторинга. Они не должны быть каким-либо образом связаны с потоком трафика через кластер; если межсетевой экран не функционирует, соответствующий IP-адрес будет не доступен.
•Один "виртуальный" IP-адрес; совместно используется обоими межсетевыми экранами. Этот IP-адрес используется при указании основного шлюза и другой маршрутной информации. Это адрес, который будет использоваться при динамической трансляции адресов, до тех пор, пока не будет указан другой адрес.
Ореальных IP-адресах больше нечего сказать - они будут работать как обычные интерфейсы межсетевых экранов при нормальных условиях. Можно выполнить pingтест этих интерфейсов или использовать функцию удаленного управления через эти интерфейсы, если параметры настройки позволяют. Межсетевой экран будет отвечать на запросы ARP для соответствующих адресов, используя нормальный аппаратный адрес, как это обычно выполняют устройства IP.
Примечание: При использовании функции High Availability нельзя использовать протокол PPPoE/DHCP/L2TP на внешнем интерфейсе.
Совместный IP-адрес и механизм восстановления после сбоя
Оба межсетевых экрана в кластере знают о совместном IP-адресе. Запросы ARP для совместного адреса или для любого другого IP-адреса, опубликованного при настройке ARP или через Proxy ARP, будут обрабатываться активным межсетевым экраном.
Аппаратные адреса для совместного IP-адреса и других опубликованных адресов не соответствуют аппаратным адресам интерфейсов межсетевого экрана. Вместо этого они строятся из идентификатора кластера (cluster ID) по следующему правилу: 10-00- 00-C1-4A-nn, где nn - это идентификатор Cluster ID, указанный в разделе Settings.
Поскольку совместный IP-адрес всегда имеет один и тот же аппаратный адрес, то не будет задержки при обновлении кэша ARP устройств, подключенных к той же сети, что и кластер, когда происходит сбой.
Когда межсетевой экран обнаружит, что другой межсетевой экран в кластере больше не функционирует, он широковещательно разошлет ряд запросов ARP для себя, используя совместный аппаратный адрес в качестве адреса отправителя, на все интерфейсы. Это приведет к тому, что коммутаторы и мосты заново изучат, куда
отправлять пакеты, направленные на совместный аппаратный адрес, за несколько миллисекунд.
Следовательно, единственно реальная задержка при восстановлении после сбоя обнаруживается, когда межсетевой экран больше не функционирует.
Описанные выше сообщения (запросы ARP) также периодически широковещательно рассылаются, чтобы гарантировать, что коммутаторы «не забудут», куда отправить пакеты, направленные на совместный аппаратный адрес.
«Пульс» кластера
Межсетевой экран обнаруживает, что другой межсетевой экран не работает, когда больше не слышит его «пульс».
При нормальной работе межсетевой экран будет отправлять пять признаков «пульса» в секунду.
Когда межсетевой экран не подал трех признаков «пульса», то есть после 0.6 секунд, он считается не функционирующим.
«Пульс» кластера имеет следующие характеристики:
•IP-адрес источника – адрес интерфейса отправляющего межсетевого экрана
•IP-адрес назначения – совместный IP-адрес
•Параметр IP TTL равен всегда 255. Если межсетевой экран получает «пульс» кластера с другим значением TTL, принимается, что пакет прошел через маршрутизатор, и поэтому ему нельзя всецело доверять.
•Это пакет UDP, отправленный с порта 999 на порт 999.
•MAC-адрес назначения – это групповой (multicast) адрес Ethernet, соответствующий совместному аппаратному адресу, то есть 11-00-00-C1-4A- nn. Были выбраны многоадресные пакеты канального уровня, а не обычные одноадресные пакеты, по соображениям безопасности: при использовании одноадресных пакетов локальный атакующий может обмануть коммутаторы, и они будут маршрутизировать пакеты «пульсации» куда-нибудь в другое место. Это приведет к тому, что межсетевой экран никогда не услышит «пульса».
Интерфейс синхронизации
Межсетевые экраны соединяются между собой по отдельному интерфейсу синхронизации; для этой цели выделяется четвертый порт, когда межсетевой экран настроен на поддержку функции High Availability.
Активный межсетевой экран непрерывно отправляет сообщения об обновлении состояния резервному межсетевому экрану, информируя его об открытых и закрытых соединениях, состояниях и времени жизни соединений и т.д. Кроме того, через интерфейс синхронизации передаются параметры настройки.
Когда активный межсетевой экран прекращает функционировать по какой-либо причине даже на короткий промежуток времени, механизм «пульсации» кластера, описанный выше, обнаружит это и передаст активную роль резервному устройству. Поскольку резервное устройство уже знает обо всех открытых соединениях, взаимодействие будет продолжено без каких-либо перерывов.
Настройка кластера High Availability
Во-первых, необходимо настроить два DFL-1100 через Web-интерфейс. В данном примере устройства настраиваются следующим образом: ведущий DFL-1100 будет настраиваться через внутренней интерфейс с адресом 192.168.1.2, а ведомый DFL1100 через интерфейс с адресом 192.168.1.3. После того, как выполнена настройка функции High Availability, виртуальный, или совместный, IP-адрес будет установлен равным 192.168.1.1 на интерфейсе LAN. Это IP-адрес, который клиенты локальной сети будут использовать в качестве адреса основного шлюза.
Когда оба устройства настроены с индивидуальными IP-адресами, необходимо соединить их четвертые интерфейсы перекрестным кабелем. Этот интерфейс (ETH4) больше не будет доступен для использования в качестве дополнительного интерфейса DMZ или LAN, так как он используется функцией High availability.
Подключитесь к ведущему устройству через Web-интерфейс и нажмите System в панели меню, а затем нажмите слева HA; в этом окне нажмите Configure additional HA parameters. Появится показанное ниже окно; здесь нужно будет ввести IP-адреса интерфейсов каждого устройства и задать совместный IP-адрес для каждого интерфейса. This Unit означает ведущий межсетевой экран, то есть тот, который настраивается в данный момент. Other Unit означает ведомый межсетевой экран,
другой DFL-1100.
Кроме того, необходимо настроить идентификатор кластера Cluster ID, это должно быть число от 0 до 63. Идентификатор должен совпадать на обоих межсетевых экранах в кластере. Это должен быть уникальный идентификатор в локальной сети, если используется более одного кластера.
После настройки нажмите Apply.
Теперь подключитесь к Web-интерфейсу ведомого межсетевого экрана и нажмите System в панели меню, и затем нажмите слева HA; в появившемся окне нажмите
Receive configuration from first unit. Появится показанное ниже окно; здесь необходимо ввести идентификатор кластера (cluster id), указанный на первом устройстве. После нажатия Apply устройство должно принять параметры настройки с ведущего устройства, и кластер High Availability должен начать работать.
Мониторинг интерфейсов
Когда функция High Availability настроена, можно будет настроить функцию, называемую мониторингом интерфейсов (Interface Monitoring). Она используется для мониторинга до 6 IP-адресов на каждом сегменте (LAN/WAN или DMZ) кластера DFL1100. Если 50% указанных в списке адресов недоступны в течение нескольких секунд, будет приведен в действие механизм восстановления, и резервный межсетевой экран станет активным.
Меню Logging (Регистрация событий)
Нажмите System в панели меню и затем слева кнопку Logging. Регистрация событий (Logging), возможность контроля решений, принимаемых межсетевым экраном, является важной частью всех продуктов по обеспечению сетевой безопасности. D- Link DFL-1100 обеспечивает несколько опций регистрации событий. D-Link DFL-1100 регистрирует события, отправляя журнальные сообщения (Syslog) одному или более получателей этих сообщений.
Вся действия по регистрации событий выполняются получателями сообщений Syslog. Формат этих сообщений подходит для автоматической обработки и поиска.
D-Link DFL-1100 определяет число событий, которое может быть зарегистрировано. Некоторые из этих событий, например, загрузка и выключение, обязательны для регистрации и всегда будут генерировать журнальные сообщения. Другие, например, открытие и закрытие соединений, настраиваемы. Кроме того, можно настроить отправку уведомлений на три адреса E-mail о событиях IDS/IDP.
Включение регистрации событий
Выполните следующее для включения регистрации событий.
Шаг 1. Разрешите отправку сообщений Syslog, поставив флажок в поле Syslog.
Шаг 2. Введите адрес первого сервера в поле Syslog server 1; если есть второй сервер syslog, введите его адрес в поле Syslog server 2. Необходимо ввести как минимум адрес одного сервера syslog для возможности регистрации событий.
Шаг 3. Укажите, какое значение facility будет использоваться, выбрав походящее значение из выпадающего меню Syslog facility. По умолчанию используется Local0.
Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.
Включение функции проверки трафика
Чтобы включить проверку всего проходящего через межсетевой экран трафика, выполните приведенные ниже шаги. Это требуется для сторонних анализаторов журнальных сообщений, с помощью которых можно просмотреть, какое количество трафика проходит по различным соединениям.
Выполните следующее для включения проверки трафика.
Шаг 1. Включите функцию проверки трафика, поставив флажок в поле Enable audit logging.
Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.
Включение уведомлений по E-mail о событиях ISD/IDP
Выполните следующее для включения уведомлений по E-mail.
Шаг 1. Включите уведомления по E-mail, поставив флажок в поле Enable E-mail alerting for IDS/IDP events.
Шаг 2. Выберите уровень важности уведомлений. Более высокий уровень важности означает, что уведомления будут отправляться чаще, чем для низкого уровня.
Шаг 3. В поле SMPT Server введите адрес сервера SMTP, который будет использовать DFL-1100 для отправки сообщений.
Шаг 4. Можно указать до трех адресов email для отправки уведомлений.
Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.
Когда была зафиксирована атака, можно поискать более подробную информацию о ней. Скопируйте строку описания атаки и вставьте ее в поле By message по следующему адресу: http://www.snort.org/cgi-bin/sigs-search.cgi (конечно, можно вручную ввести описание атаки).
Вторжения всегда регистрируются в обычных журнальных событиях, если включена функция IDS для любых правил.
За более подробной информацией о том, как включить систему обнаружения вторжений и защиту от них для правил безопасности или перенаправления портов,
прочтите параграфы Правила безопасности и Перенаправление портов в разделе Межсетевой экран.
Меню Time (Системное время)
Нажмите System в панели меню и затем нажмите слева кнопку Time. Это даст возможность настроить системное время или путем синхронизации с сервером времени (Network Time Server, NTP), или вводом системного времени вручную.
Изменение часового пояса
Выполните следующее для изменения часового пояса.
Шаг 1. Выберите подходящий часовой пояс из выпадающего меню Time Zone.
Шаг 2. Укажите время перехода на летнее время в поле Apply Daylight Saving Time From .. To или отключите переход, выбрав No daylight saving time.
Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.
Использование протокола NTP для синхронизации времени
Выполните следующее для настройки синхронизации времени с сервером NTP. Шаг 1. Включите синхронизацию, поставив флажок Enable NTP.
Шаг 2. Введите IP-адрес сервера или его имя в поле Primary NTP Server.
Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.
Установка системного времени и даты вручную
Выполните следующее для установки системного времени вручную. Шаг 1. Поставьте флажок в поле Set the system time.
Шаг 2. Выберите правильную дату.
Шаг 3. Введите текущее время в 24-часовом формате.
Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.