Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

diplom-Baikonur / diplom-Baikonur / интсрукции к оборудованию / DFL-1100 Руководство администратора

.pdf
Скачиваний:
34
Добавлен:
16.04.2013
Размер:
3.15 Mб
Скачать

Функция обнаружения и предотвращения вторжений

Функцию обнаружения и предотвращения вторжений можно включить и для правил межсетевого экрана, и для правил перенаправления портов. В данном примере мы используем правила перенаправления портов. Настройка для правил межсетевого экрана очень похожа.

В данном примере почтовый сервер с IP-адресом 192.168.2.4 и Web-сервер с IPадресом 192.168.2.5 подключены к интерфейсу DMZ межсетевого экрана.

Для включения функции обнаружения и предотвращения вторжений для Webсервера выполните следующее:

1. Создайте правило перенаправления портов для Web-сервера, Firewall->Port Mapping:

Под заголовком Configured mappings нажмите Add new

2. Отредактируйте созданное правило перенаправления портов:

Введите имя правила (Name) map_www

Выберите сервис (Service) http-in-all

Введите IP-адрес, на который будет перенаправляться трафик (Pass to): 192.168.2.5 (IP-адрес Web-сервера)

Поставьте флажок Intrusion detection / prevention

Выберите режим (Mode) Prevention

Включите функцию уведомления по email, поставив флажок в поле Alerting

Нажмите Apply

Новое правило появится в списке.

3. Настройте почтовый сервер и уведомления по email, System->Logging:

Поставьте флажок Enable E-mail alerting for IDS/IDP events

Выберите уровень важности событий (Sensitivity) Normal

Введите IP-адрес сервера SMTP (SMTP server): 192.168.2.4

Введите адрес отправителя (Sender): idsalert@examplecompany.com

Введите адрес назначения 1 (E-mail address 1): webmaster@examplecompany.com

Введите адрес назначения 2 (E-mail address 2): steve@examplecompany.com

Нажмите Apply

4. Нажмите Activate и подождите, пока межсетевой экран перезагрузится.

Когда атаки блокируются межсетевым экраном, информация о них появится в журнале. Поскольку в этом примере мы включили уведомления по email, также будут отправляться email пользователям webmaster и steve.

Чтобы получить более подробную информацию об атаке, скопируйте строку описания атаки и вставьте ее в поле By message по следующему адресу: http://www.snort.org/cgi-bin/sigs-search.cgi (конечно, можно вручную ввести описание атаки).

В этом примере мы использовали режим предотвращения атак - prevention. Это значит, что межсетевой экран будет блокировать все атаки. В режиме Inspection

only (только обнаружение) межсетевой экран будет только регистрировать атаку в журнале и отправлять предупреждения по email (если включено).

Функция формирования трафика

В приведенных примерах принимается, что порт WAN межсетевого экрана подключен к каналу доступа в Интернет со скоростями нисходящего и восходящего потоков 2 Мбит/с.

Ограничение пропускной способности для сервиса

Для ограничения пропускной способности, которую может использовать сервис (в случае FTP), выполните следующее:

1. создайте новое правило. В меню Firewall->Policy нажмите LAN->WAN.

Нажмите Add new.

2. Отредактируйте новое правило

Введите имя правила (Name) allow_ftp

Введите номер позиции (Position) 2

Выберите действие (Action) allow

Выберите сервис (Service): ftp_outbound

Выберите расписание применения (Schedule) always

Поставьте флажок Traffic shaping и введите 400 в качестве ограничения скорости восходящего и нисходящего потока.

Нажмите Apply

3. Нажмите Activate и подождите, пока межсетевой экран перезагрузится.

Весь трафик FTP от компьютеров сети LAN будет ограничен пропускной способностью в 400 Кбит/с в обоих направлениях.

Ограничение пропускной способности для одного или более IPадресов

Приведенный выше пример можно изменить для ограничения трафика FTP только для одного или более IP-адресов. В меню настройки правил добавьте IP-адреса, для которых необходимо ввести ограничение в поле Source Nets.

Теперь весь трафик FTP с адреса 192.168.1.125 в сети LAN будет ограничен пропускной способностью в 400 Кбит/с в обоих направлениях. Если требуется ограничение для большего количества адресов, можно ввести список адресов, разделяя их запятыми, или адрес всей сети (например, 192.168.1.125, 192.168.1.126

или 192.168.1.0/24).

Выделение гарантированной пропускной способности для сервиса

Для настройки функции формирования трафика для выделения гарантированной пропускной способности для сервиса, выполните следующее:

1. Установите скорость интерфейса WAN в меню System->Interfaces:

Нажмите Edit для настройки интерфейса WAN.

Поставьте флажок Traffic shaping.

Введите ограничение скорости восходящего потока (Upstream bandwidth): 2000 (2 Мбит/с)

Введите ограничение скорости нисходящего потока: 2000 (2 Мбит/с)

Нажмите Apply

2. Создайте новое правило. В меню Firewall->Policy нажмите LAN->WAN.

Нажмите Add new.

2. Отредактируйте новое правило

Введите имя правила (Name) allow_ftp

Введите номер позиции (Position) 2

Выберите действие (Action) allow

Выберите сервис (Service): ftp_outbound

Выберите расписание применения (Schedule) always

Поставьте флажок Traffic shaping и введите 1000 в качестве гарантированной пропускной способности восходящего и нисходящего потока.

Нажмите Apply

3. Нажмите Activate и подождите, пока межсетевой экран перезагрузится.

Трафик FTP из LAN в WAN теперь получит половину всей пропускной способности канала доступа в Интернет, 1 Мбит/с из 2 Мбит/с. Если нет соединений FTP, или их суммарная пропускная способность меньше 1 Мбит/с, другие сервисы могут использовать эту пропускную способность. Гарантированная пропускная способность не резервируется только для трафика FTP. Например, если сессия FTP использует 800 Кбит/с, все другие сервисы могут использовать оставшиеся 1200 Кбит/с.

Важное замечание! Скорость интерфейса WAN, указанная в меню System- >Interfaces должна соответствовать реальной скорости доступа в Интернет для правильной работы. Если установлено значение выше, функция формирования трафика не будет работать.

Функцию формирования трафика также можно использовать для соединений VPN. Соединение IP-телефонии через туннель IPsec LAN-to-LAN может, например, получить гарантированную пропускную способность. Функция формирования трафика для VPN настраивается так же, как и для физических интерфейсов. Вначале убедитесь, что опция Allow all VPN traffic не выбрана (Firewall->Policies->Global settings). Выберите интерфейс в меню Custom policy, например LAN к IPsecTunnel01, и нажмите Show. Теперь можно создать правила для интерфейсов VPN точно так же, как описано в приведенном выше руководстве, чтобы выделить гарантированную пропускную способность или ограничить пропускную способность.

Приложение

Приложение A: Типы и коды сообщений ICMP

Протокол ICMP (Internet Control Message Protocol) имеет много сообщений, которые идентифицируются по полю типа “type” ; многие из них имеют поле кода "code". Здесь приведен список типов сообщений со значениями поля кода.

Тип

Имя

Код

Описание

Ссылка

 

 

 

 

 

0

Echo Reply

0

No Code

RFC792

3

Destination

0

Net Unreachable

RFC792

 

Unreachable

 

 

 

 

 

1

Host Unreachable

RFC792

 

 

2

Protocol Unreachable

RFC792

 

 

3

Port Unreachable

RFC792

 

 

4

Fragmentation Needed and Don't

RFC792

 

 

 

Fragment was Set

 

 

 

5

Source Route Failed

RFC792

 

 

6

Destination Network Unknown

RFC792

 

 

7

Destination Host Unknown

RFC792

 

 

8

Source Host Isolated

RFC792

 

 

9

Сommunication with Destination

RFC792

 

 

 

Network is Administratively Prohibited

 

 

 

10

Сommunication with Destination Host

RFC792

 

 

 

is Administratively Prohibited

 

 

 

11

Destination Network Unreachable for

RFC792

 

 

 

Type of Service

 

 

 

12

Destination Host Unreachable for

RFC792

 

 

 

Type of Service

 

 

 

13

Communication Administratively

RFC1812

 

 

 

Prohibited

 

 

 

14

Host Precedence Violation

RFC1812

 

 

15

Precedence cutoff in effect

RFC1812

4

Source Quench

0

No code

RFC792

5

Redirect

0

Redirect Datagram for the Network (or

RFC792

 

 

 

subnet)

 

 

 

1

Redirect Datagram for the Host

RFC792

 

 

2

Redirect Datagram for the Type of

RFC792

 

 

 

Service and Network

 

 

 

3

Redirect Datagram for the Type of

RFC792

 

 

 

Service and Host

 

8

Echo

0

No code

RFC792

9

Router

0

Normal router advertisement

RFC1256

 

Advertisement

 

 

 

 

 

16

Does not route common traffic

RFC2002

10

Router Selection

0

No Code

RFC1256

11

Time Exceeded

0

Time to Live exceeded in Transit

RFC792

 

 

1

Fragment Reassembly Time

RFC792

 

 

 

Exceeded

 

12

Parameter Problem

0

Pointer indicates the error

RFC792

 

 

1

Missing a Required Option

RFC1108

 

 

2

Bad Length

RFC792

13

Timestamp

0

No Code

RFC792

14

Timestamp Reply

0

No Code

RFC792

15

Information Request

0

No Code

RFC792

16

Information Reply

0

No Code

RFC792

17

Address Mask

0

No Code

RFC950

 

Request

 

 

 

18

Address Mask

0

No Code

RFC950

 

Reply

 

 

 

30

Traceroute

 

 

RFC1393

31

Datagram

 

 

RFC1475

 

Conversion Error

 

 

 

40

Photuris

 

 

RFC2521

 

 

0

Bad SPI

RFC2521

 

 

1

Authentication Failed

RFC2521

 

 

2

Decompression Failed

RFC2521

 

 

3

Decryption Failed

RFC2521

 

 

4

Need Authentication

RFC2521

 

 

5

Need Authorization

RFC2521

Источник: http://www.iana.org/assignments/icmp-parameters

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.