Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

diplom-Baikonur / diplom-Baikonur / интсрукции к оборудованию / DFL-1100 Руководство администратора

.pdf
Скачиваний:
34
Добавлен:
16.04.2013
Размер:
3.15 Mб
Скачать

Меню Firewall (Межсетевой экран)

Меню Policy (Правила)

Правила межсетевого экрана – это «сердце» межсетевого экрана. Правила – это основной фильтр, который разрешает или запрещает определенному типу трафика проходить через межсетевой экран. Правила также используются для управления пропускной способностью, функцией формирования трафика, проходящего через интерфейс WAN.

Когда через межсетевой экран устанавливается новое соединение, то проверяются правила по списку сверху вниз до тех пор, пока не будет найдено правило, соответствующее новому соединению. Для нового соединения выполнятся действие, записанное в правиле. Если это действие – разрешить (Allow), соединение устанавливается, и структура, описывающая соединение, добавляется во внутреннюю таблицу соединений межсетевого экрана. Если действие – запретить, или отбросить (Drop), соединение будет отклонено. Следующий раздел описывает значение различных действий, применимых к соединению.

Режимы применения правил

Первым шагом настройки политики безопасности является настройка режима работы межсетевого экрана. Межсетевой экран может работать в режиме NAT (трансляция сетевых адресов) или No NAT (режим маршрутизации - Route). Выберите режим NAT, если хотите использовать трансляцию сетевых адресов на DFL-1100 для защиты частных сетей от вторжений из публичных сетей. В режиме NAT можно подключить частную (локальную) сеть к внутреннему интерфейсу, сеть DMZ к интерфейсу dmz, а публичную (глобальную) сеть, например, Интернет, к внешнему интерфейсу. Затем можно создать правила для режима NAT, чтобы разрешить или запретить соединения между этими сетями. Правила в режиме NAT скрывают адреса внутренней сети и сети DMZ от пользователей Интернет. В режиме No NAT (Route) также можно создать правила маршрутизации между интерфейсами. Правила для режима маршрутизации разрешают или отклоняют соединения между сетями без выполнения трансляции адресов. Для использования режима NAT выберите опцию

Hide source addresses (many-to-one NAT), а для использования режима No NAT (Route) выберите No NAT.

Типы применяемых действий

Drop (отбросить) – Пакеты, попадающие под действие правила Drop будут немедленно отброшены. Информация о таких пакетах будет занесена в журнал, если регистрация событий в журнале включена на странице Logging Settings.

Reject (отклонить) – Действие «отклонить» работает примерно также как и Drop. Но кроме этого, межсетевой экран отправляет сообщение ICMP UNREACHABLE назад отправителю пакета или, если отклоненный пакет был пакетом TCP, сообщение TCP RST. Информацию о таких пакетах будет занесена в журнал, если регистрация событий в журнале включена на странице Logging Settings.

Allow (разрешить) – Пакеты, попадающие под действие правила Allow, будут проходить далее в систему проверки содержимого, которая будет помнить, какое соединение было открыто. Поэтому, правила для обратного трафика не требуются, поскольку трафик, относящийся к отрытым соединениям, автоматически пропускается, не добираясь до правил проверки. Если регистрация проверки трафика включена на странице Logging Settings, будет выполняться запись в журнал соответствующих сообщений.

Фильтр по адресу источника и назначения

Source Nets – Определяет диапазон IP-адресов, с которыми будет сравниваться адрес источника в принятом пакете. Чтобы совпадение происходило всегда, оставьте это поле пустым.

Source Users/Groups – Указывает, требуется ли аутентифицированное имя пользователя для совпадения правила. Можно указать или список имен пользователей, разделяемых запятой, или указать Any для любого аутентифицированного пользователя. Если аутентификация не требуется для правила, оставьте поле пустым.

Destination Nets – Определяет диапазон IP-адресов, с которыми будет сравниваться адрес назначения в принятом пакете. Чтобы совпадение происходило всегда, оставьте это поле пустым.

Destination Users/Groups – Указывает, требуется ли аутентифицированное имя пользователя для совпадения правила. Можно указать или список имен пользователей, разделяемых запятой, или указать Any для любого аутентифицированного пользователя. Если аутентификация не требуется для правила, оставьте поле пустым.

Фильтр протоколов

Или выберите предопределенный сервис из выпадающего меню, или создайте собственный.

Следующие сервисы предопределены: All – Совпадение со всеми протоколами.

TCP+UDP+ICMP – Совпадение со всеми портами для протокола TCP или UDP, включая ICMP.

Custom TCP – Настраиваемый сервис на основе протокола TCP.

Custom UDP – Настраиваемый сервис на основе протокола UDP.

Custom TCP+UDP – Настраиваемый сервис на основе протокола TCP или UDP.

Следующие параметры используются для создания собственного сервиса:

Custom source/destination ports – Для многих сервисов достаточно одного единственного порта назначения. Порт-источник чаще всего выбирается из всего диапазона 0-65535. Сервис http, к примеру, использует порт назначения 80. Также можно использовать диапазон портов, например, в диапазон 137-139 входят порты 137, 138 и 139. Кроме того, можно указать несколько диапазонов или несколько отдельных портов, разделяя их запятой. Например, можно определить сервис с портами-источниками 102465535 и портами назначения 80-82, 90-92, 95. В этом случае, пакет TCP или UDP с портом назначения 80, 81, 82, 90, 91, 92 или 95, и портом источника в диапазоне 1024-65535, будет соответствовать данному сервису.

Расписание применения правил

Если необходимо использовать расписание применения правил, выберите нужное из выпадающего меню, которое располагается на странице Schedules. Если правило должно быть активно всегда, выберите Always из выпадающего меню.

Система обнаружения/предотвращения вторжений

Система обнаружения/предотвращений вторжений DFL-1100 (Intrusion Detection/Prevention System, IDS/IDP) – это система реального времени, которая идентифицирует и предпринимает действия против широкого диапазона подозрительной сетевой активности. IDS использует сигнатуры вторжений, хранимые в базе данных атак, для идентификации широко распространенных атак. При атаке IDS защищает сеть за DFL-1100, отбрасывая пакеты. Для оповещения об атаке IDS отправляет уведомления по email системным администраторам, если система уведомлений по email включена. Можно использовать два режима работы системы, или Inspection Only (только проверка), или Prevention (предотвращение). В режиме Inspection Only система IDS будет только проверять трафик, и если DFL-1100 увидит что-либо, то зарегистрирует в журнале, отправит уведомление по email (если включено) и пропустит трафик. Если же включен режим Prevention, подозрительные пакеты будут отброшены, информация о них будет зарегистрирована в журнале, и будет отправлено уведомление по email (если включено).

D-Link периодически обновляет базу данных сигнатур сетевых атак. С выходом firmware версии 1.30.00 возможно автоматическое обновление. Если система IDS или IDP включена как минимум для одного правила межсетевого экрана или одного правила перенаправления портов, автоматическое обновление базы данных IDS будет включено. Межсетевой экран будет автоматически загружать последнюю версию базы данных с Web-сайта D-Link.

Функция формирования трафика

Самый простой способ организации качества сервиса в сети, как по части безопасности, так и по части функциональности, - это просто переложить ответственность за управление трафиком на компоненты сети в определенных узлах сети, а не на приложения.

Функция формирования трафика работает, оценивая и выстраивая в очередь IPпакеты в соответствии с определенными настроенными параметрами. Определить различные ограничения скоростей и выделить гарантированную полосу пропускания можно на основании адреса источника, адреса назначения и параметров протокола; в основном, так же, как и определяются правила межсетевого экрана.

Существует три различных приоритета для настройки функции формирования трафика: Normal (нормальный), High (высокий) и Critical (критичный).

Функция ограничения трафика (Limit) определяет пределы скорости для входящего и исходящего трафика. Это максимальная полоса пропускания, выделяемая для передачи трафика для этого правила. Однако если также определены и другие правила ограничения трафика, и суммарный предел больше доступной пропускной способности подключения к Интернет, то этот предел немного снижается, чтобы трафик с большим приоритетом имел преимущество при передаче.

Используя функцию выделения гарантированной пропускной способности (Guarantee), можно определить минимальную гарантированную пропускную способность; эта функция будет работать, только если пределы скорости передачи трафика на интерфейсе WAN заданы корректно.

Правила маршрутизации

Можно сказать, обычная маршрутизация является простейшей формой маршрутизации, основанной на правилах; правила – это таблица маршрутизации, а единственные данные, которые можно фильтровать, - это IP-адрес назначения пакета. Маршрутизацией, основанной на правилах, обычно называется расширенная маршрутизация, при которой дополнительные поля пакета учитываются при принятии решения о его маршрутизации. В DFL-1100 каждое правило межсетевого экрана может содержать собственное решение по маршрутизации; по существу, маршрутизация проводится в соответствии с IP-адресами источника и назначения и номерами портов.

Основанная на правилах маршрутизация может быть, например, использована для маршрутизации определенных протоколов через прозрачные прокси-серверы, такие как Web-серверы кэша и антивирусные сканеры, не добавляя при этом другой точки возможного сбоя для сети, как для единого целого. Очень важно, что прокси-сервер также должен поддерживать такую функцию для возможности ее работы.

Существует два способа настройки правил маршрутизации (Policy Routing); оба требуют указания шлюза (Gateway) для передачи трафика. Первый, Redirect via routing (make gateway next hop), будет просто перенаправлять трафик на указанный шлюз, также как это был бы просто другой маршрутизатор. Второй режим,

Via address translation (change destination IP), будет изменять IP-адрес назначения в заголовке IP и затем передавать пакет шлюзу; можно использовать, например, вместе с прозрачным squid-прокси сервером.

Добавление нового правила

Выполните следующие шаги для добавления нового правила для исходящего трафика.

Шаг 1. Выберите список LAN->WAN из всех доступных списков правил.

Шаг 2. Нажмите на ссылку Add new.

Шаг 3. Введите значения следующих параметров:

Name: Определяет символическое имя правила. Это имя используется в основном для ссылки на правило в журнальных сообщениях и списках правил.

Action: Выберите Allow, чтобы разрешить данный тип трафика.

Source Nets: – Определяет диапазон IP-адресов, с которыми будет сравниваться адрес источника в принятом пакете. Чтобы совпадение происходило всегда, оставьте это поле пустым.

Source Users/Groups: Указывает, требуется ли аутентифицированное имя пользователя для совпадения правила. Можно указать или список имен пользователей, разделяемых запятой, или указать Any для любого аутентифицированного пользователя. Если аутентификация не требуется для правила, оставьте поле пустым.

Destination Nets: Определяет диапазон IP-адресов, с которыми будет сравниваться адрес назначения в принятом пакете. Чтобы совпадение происходило всегда, оставьте это поле пустым.

Destination Users/Groups: Указывает, требуется ли аутентифицированное имя пользователя для совпадения правила. Можно указать или список имен пользователей, разделяемых запятой, или указать Any для любого аутентифицированного пользователя. Если аутентификация не требуется для правила, оставьте поле пустым.

Service: Или выберите предопределенный сервис из выпадающего меню, или создайте собственный.

Schedule: Выберите расписание применения правила или выберите Always, чтобы правило было всегда активно.

Шаг 4. Если используется функция формирования трафика (Traffic shaping), введите необходимые значения или пропустите шаг в противном случае.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Изменение порядка правил

Выполните следующее для изменения порядка правил.

Шаг 1. Выберите список правил, в котором хотите изменить порядок следования правил, из доступных списков.

Шаг 2. Нажмите на ссылку Edit для правила, которое хотите изменить.

Шаг 3. Измените порядковый номер в поле Position на новый номер; после нажатия кнопки Apply данное правило переместится на новую строку, а предыдущее правило и все правила ниже его переместятся на строку ниже.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Удаление правила

Выполните следующее для удаления правила.

Шаг 1. Выберите список правил, в котором хотите удалить правило, из доступных списков.

Шаг 2. Нажмите на ссылку Edit для правила, которое хотите удалить.

Шаг 3. Поставьте флажок в поле Delete policy.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Настройка системы обнаружения вторжений (IDS)

Выполните следующее для настройки IDS для правила.

Шаг 1. Выберите правило, для которого хотите настроить IDS.

Шаг 2. Нажмите на ссылку Edit для правила, для которого настраивается IDS.

Шаг 3. Поставьте флажок в поле Intrusion Detection / Prevention.

Шаг 4. Выберите Intrusion Detection из выпадающего меню режимов работы.

Шаг 5. Выберите опцию Alerting, если необходимо отправлять уведомления по email.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Настройка системы предотвращения вторжений (IDP)

Выполните следующее для настройки IDP для правила.

Шаг 1. Выберите правило, для которого хотите настроить IDP.

Шаг 2. Нажмите на ссылку Edit для правила, для которого настраивается IDP.

Шаг 3. Поставьте флажок в поле Intrusion Detection / Prevention.

Шаг 4. Выберите Prevention из выпадающего меню режимов работы.

Шаг 5. Выберите опцию Alerting, если необходимо отправлять уведомления по email.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Меню Port Mapping (Перенаправление портов/виртуальные серверы)

Меню настройки перенаправления портов/виртуальных серверов (Port mapping / Virtual Servers) позволяет настроить виртуальные серверы, например, Web-серверы в зоне DMZ и т.п. Также можно регулировать то, как функции управления пропускной способностью, формирования трафика применяются к трафику, проходящему через интерфейс WAN межсетевого экрана. Кроме того, можно использовать систему обнаружения/предотвращения вторжений и функцию формирования трафика для сервисов на перенаправленных портах; это выполняется так же, как и для правил межсетевого экрана, поэтому можно обратиться в соответствующий раздел за более подробной информацией.

Правила перенаправления портов читаются сверху вниз, и первое совпавшее правило будет применено.

Добавление нового правила перенаправления портов

Выполните следующее для добавления нового правила перенаправления портов на интерфейс WAN.

Шаг 1. Выберите список правил WAN из доступных списков правил.

Шаг 2. Нажмите на ссылку Add new.

Шаг 3. Введите значения следующих параметров:

Name: Определяет символическое имя правила. Это имя используется в основном для ссылки на правило в журнальных сообщениях и списках правил.

Source Nets: Указывает сети – источники пакетов; оставьте поле пустым для указания любой сети (0.0.0.0/0).

Source Users/Groups: Указывает, требуется ли аутентифицированное имя пользователя для совпадения правила. Можно указать или список имен пользователей, разделяемых запятой, или указать Any для любого аутентифицированного пользователя. Если аутентификация не требуется для правила, оставьте поле пустым

Destination Nets: Оставьте поле пустым для задания собственного IP-адреса интерфейса или введите новый IP-адрес, если используется виртуальный IP-адрес

(Virtual IP).

Service: Или выберите предопределенный сервис из выпадающего меню, или создайте собственный.

Pass To: IP-адрес сервера, на который будет перенаправляться трафик.

Schedule: Выберите расписание применения правила или выберите Always, чтобы правило было всегда активно.

Шаг 4. Если используется функция формирования трафика (Traffic shaping), введите необходимые значения или пропустите шаг в противном случае.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.

Удаление правила перенаправления портов

Выполните следующее для удаления правила перенаправления портов.

Шаг 1. Выберите список правил перенаправления портов (WAN, LAN или DMZ), из которого хотите правило.

Шаг 2. Нажмите на ссылку Edit для правила, которое хотите удалить.

Шаг 3. Поставьте флажок в поле Delete mapping.

Нажмите расположенную ниже кнопку Apply, чтобы применить новые параметры, или нажмите Cancel для отмены изменений.