Общие параметры конфигурации ФПСУ-IP
|
|
Общие параметры конфигурации ФПСУ-IP |
|
|
Группа установок "Общие параметры" определяет правила работы ФПСУ-IP в различных частных случаях функционирования.
Окно установки содержит следующие настраиваемые общие параметры:
Настройки, находящиеся в левой части окна Общие параметры: Аварийный перезапуск. Если при работе ФПСУ-IP происходит аппаратный сбой сетевых адаптеров, ФПСУ-IP способен детектировать это событие и выдать на экран монитора специальное сообщение, сопровождающееся звуковым сигналом, после чего через некоторое время ПО сетевых адаптеров и ПО ФПСУ-IP автоматически перегрузятся, после чего и ФПСУ-IP попытается восстановить работу режима фильтрации пакетов. В диалоговом поле строки укажите время, в течение которого будет выдаваться сообщение перед перезагрузкой (в диапазоне от 5 секунд до 1 часа). Если автоматический перезапуск не нужен (например, необходимо ознакомиться с диагностикой неполадок, выданной на экран монитора), оставьте поле пустым; в таком случае при возникновении аппаратного сбоя сообщение, сопровождаемое звуковым сигналом, будет выдаваться до его отмены администратором при локальном управлении. Переход на резервный. Если при работе ФПСУ-IP получает сигнал от сетевой аппаратуры об отсутствии физического соединения на каком-либо из рабочих портов, ФПСУ-IP может передать управление партнеру по системе горячего резервирования. В диалоговом поле строки укажите время, по истечении которого будет задействован резервный ФПСУ-IP (в диапазоне от 5 до 255 секунд), или оставьте поле пустым, если такая операция не требуется. Гашение экрана. В ряде случаев при работе ФПСУ-IP возникает необходимость визуально отслеживать происходящие на экране события. Если такой необходимости нет, с точки зрения сбережения ресурсов монитора и повышения быстродействия ФПСУ-IP целесообразно прибегать к гашению экрана. В поле ввода справа от строки введите время (от 1 до 20 минут), по истечении которого с момента последнего действия администратора (обращения к клавиатуре или к консоли) экран монитора будет автоматически погашен до следующего обращения. Если оставить поле пустым, гашение экрана производиться не будет. Включить сторожевой таймер (watchdog). Этот флаг позволяет активировать автоматическую перезагрузку ФПСУ-IP при аппаратном или программном "зависании" комплекса. При включении таймера активизируется аппаратный таймер, если материнская плата им оборудована, и его программный аналог, который реализован в операционной системе и не зависит от материнской платы. В случае задействования обоих датчиков, порядок их срабатывания следующий: через 30 секунд после зависания ФПСУ-IP должен сработать программный датчик, перегрузив ФПСУ-IP, если программный датчик не сработал в течение 5 минут, сработает аппаратный watchdog. Запрет работы при сбоях жесткого диска. Если во время работы подсистемы фильтрации возникают сбои или неполадки ПЗУ, ФПСУ-IP продолжает функционировать до принудительного выхода из подсистемы фильтрации без записи регистрационных данных в хранилище статистической информации. Если политика безопасности исключает подобный аварийный режим без записи статистики, и ФПСУ-IP при сбоях ПЗУ должен прекращать свою работу – задействуйте этот переключатель. Включение или выключение опции запрета осуществляется клавишей <Пробел>. ВНИМАНИЕ! При работе ФПСУ-IP в режиме резервирования возможны ситуации, при которых запрет будет игнорироваться. При сбоях ПЗУ на активном ФПСУ-IP, управление передается резервному, который будет продолжать работу даже в случае возникновения собственных аппаратных неполадок. Сокрытие работы ФПСУ. В зависимости от требуемой степени защиты администратор может включить переключатель конфигурации, указывающий ФПСУ-IP, что он должен работать в режиме сокрытия своих защитных (фильтрующих) функций. При включенном переключателе ICMP-сообщения о недоступности абонента по причине административного запрета для пакета, не прошедшего фильтрацию, генерироваться не будут, а если ошибка произошла по другой причине, в посылаемом ICMP-сообщении в качестве адреса отправителя сообщения будет проставлен не адрес ФПСУ-IP, а адрес того абонента, кому был направлен пакет, вызвавший ошибку. Включение или выключение опции сокрытия осуществляется клавишей <Пробел>. Не выдавать ICMP-сообщения об ошибках. Если переключатель выставлен, ФПСУ-IP никогда не будет генерировать ICMP-сообщения, кроме сообщений о необходимости изменения MTU. Включение или выключение опции осуществляется клавишей <Пробел>. Не изменять TTL IP-пакетов — переключатель, позволяющий дать указание ФПСУ-IP не изменять поле "время жизни" в заголовке IP-пакета. Эта опция может быть использована с целью сокрытия работы ФПСУ-IP, а также для передачи через него пакетов, "время жизни" которых равно единице. Включение или выключение опции осуществляется клавишей <Пробел>. Отключить <ARP-proxy>. Для обеспечения "прозрачности" функционирования, в ФПСУ-IP реализован стандартный механизм ARP-proxy со специфичной ARP-фильтрацией, гарантирующей получение ARP-ответа станции, запрашивающей проход через ФПСУ-IP к удаленному ресурсу. Если необходимость в такой функции отсутствует (например, в случае когда по обе стороны ФПСУ-IP установлены маршрутизаторы) или требуется снизить нагрузку на сеть, ARP-proxy можно отключить, выставив описываемый переключатель. В этом случае ФПСУ-IP будет отвечать только на те ARP-запросы, которые касаются его собственных IP-адресов или адресов клиентов, находящихся в состоянии соединения. Включение или выключение опции осуществляется клавишей <Пробел>. ВНИМАНИЕ! При отключении ARP-proxy для обеспечения работоспособности сети необходимо в конфигурации смежного сетевого оборудования описать конфигурируемый ФПСУ-IP в качестве одного из маршрутизаторов. Включить <ARP-proxy> для маршрутизаторов — переключатель, позволяющий при отключении <ARP-proxy> (см. выше) сохранить этот механизм для маршрутизаторов, "прописанных" на портах ФПСУ-IP. Доступен, если опция "Отключить <ARP-proxy>" включена. Включение или выключение опции осуществляется клавишей <Пробел>. Запретить ARP-публикацию удаленных ФПСУ — переключатель, позволяющий с целью снижения нагрузки на сеть отменить ARP-публикацию аппаратных адресов удаленных ФПСУ-IP, описанных со стороны одного из рабочих портов ФПСУ-IP, в локальную сеть со стороны другого порта. Включение или выключение опции осуществляется клавишей <Пробел>. Запретить ARP-публикацию абонентов ФПСУ — переключатель, позволяющий с целью снижения нагрузки на сеть отменить ARP-публикацию аппаратных адресов абонентов, описанных со стороны одного из рабочих портов ФПСУ-IP, в локальную сеть со стороны другого порта. Включение или выключение опции осуществляется клавишей <Пробел>. Игнорировать запрет фрагментации — переключатель, работающий в VPN-туннелях между ФПСУ-IP, и в VPN-туннелях между ФПСУ-IP и ФПСУ-IP/Клиент, влияет на обработку пакетов с установленным флагом DF запрета фрагментации. Если опция включена, то пакет, длина которого превышает установленное значение MTU для текущего сетевого соединения или туннеля, будет разбиваться на минимальное количество пакетов примерно равной длины. Производительность ФПСУ-IP при включении опции будет снижена. Если опция выключена – слишком длинный для соединения или туннеля пакет с флагом DF будет сброшен, а отправитель получит ICMP-сообщение о необходимости смены MTU. Включение или выключение опции осуществляется клавишей <Пробел>. Корректировать TCP MSS — опция, включающая дополнительный механизм (к имеющемуся PATH MTU DISCOVERY с отсылкой отправителю ICMP-пакета) регулирования MTU IP пакетов, предназначенный для исключения фрагментации или проблем с передачей пакетов при установленном флаге DF. Значение MSS отправляется как опция TCP заголовка в пакетах TCP SYN и SYN ACK. Каждая сторона при установлении TCP-соединения сообщает свое значение MSS другой стороне. ФПСУ-IP эти значения уменьшает на размер служебных данных туннельного пакета (для ФПСУ-IP - 28 байт). Включение опции позволяет избежать ошибок фрагментации, если при передаче данных используется протокол TCP. Разрешён пропуск MPLS меток — переключатель, позволяющий ФПСУ-IP обрабатывать и передавать дальше пакеты с метками MPLS-протокола. При выключенной опции такие пакеты не обрабатываются ФПСУ-IP и сбрасываются. Пропускать BPDU-фреймы — переключатель, позволяющий ФПСУ-IP обрабатывать и передавать дальше фреймы BPDU-протокола (Bridge Protocol Data Unit). Включите эту опцию, если ФПСУ-IP подключен в разрыв сети, использующей протокол STP (Spanning Tree Protocol, IEEE 802.1D). При выключенной опции такие пакеты не обрабатываются ФПСУ-IP и сбрасываются, что может вызвать ошибки в работе протокола STP. Отображать нарушения — переключатель, при включении которого ФПСУ-IP будет выводить на монитор и в консоль служебные оповещения о сбросе пакетов абонентов по причине запрещающего правила межсетевого экрана. По умолчанию, отключен, и информация о сброшенных пакетах пишется в статистику, но не выводится на экран и в консоль отдельными сообщениями. Пропускать VTP-фреймы — переключатель, позволяющий ФПСУ-IP обрабатывать и передавать дальше фреймы VTP-протокола (VLAN Trunking Protocol). Включите эту опцию, если ФПСУ-IP подключен в разрыв сети, использующей технологию VLAN, и VLAN управляется с применением протокола VTP. При выключенной опции такие пакеты не обрабатываются ФПСУ-IP и сбрасываются, что может привести к ошибке вследствие несогласованности в конфигурации VLAN-сетей. Ограничения по сбору статистики. Эта кнопка позволяет наложить ограничения на сбор регистрационной информации ФПСУ-IP. Подробнее см. пункт "Ограничение сбора статистики". Совместимость с предыдущими версиями СКЗИ Туннель/Клиент – опция, разрешающая тестовую работу ФПСУ-IP с пользователями ПАК ФПСУ-IP/Клиент, которые используют СКЗИ предыдущих версий. По умолчанию переключатель установлен в положение "Отключена". Возможные параметры: •КРОМЕ Тун 1 —принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент, на которых установлена версия СКЗИ, отличная от "Туннель/Клиент"; •КРОМЕ Тун 2 — принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент, на которых установлена версия СКЗИ, отличная от "Туннель 2.0". •Полная — принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент с любой версией СКЗИ; •Отключена — принимаются пользовательские подключения только от ПАК ФПСУ-IP/Клиент с последней версией СКЗИ. Настройки, которые находятся в правой части окна Общие параметры: Пакеты с SourceRoute. Опция SourceRoute, если она содержится в заголовке IP пакета, требует, чтобы пакет следовал по указанному ею маршруту, что может приводить к передаче пакета в обход ФПСУ-IP и нарушению безопасности. С другой стороны, игнорирование этой опции может влиять на работу сети и приводить к каким-либо другим нарушениям. Поэтому администратор в индивидуальном порядке должен решить, как ФПСУ-IP будет обрабатывать эту опцию и указать это в описываемом поле. ФПСУ-IP предоставляет три возможных способа обработки опции SourсeRoute: •не пропускать пакеты, содержащие эту опцию, сбрасывая их без отправки сообщения; •передать пакет получателю (если он удовлетворит требованиям фильтрации), но удалить заданный маршрут и передать пакет по маршруту, который установил при конфигурировании для данного абонента администратор; •передать пакет, оставив опцию без изменения. Включение или выключение радио-кнопки, отображающей выбираемый способ обработки, осуществляется клавишей <Пробел>. Режим работы с ARP — опция, позволяющая выбирать режим формирования ARP-таблицы на ФПСУ-IP. Возможны два варианта настройки: •ARP-запросы + трафик - опция по умолчанию, ARP-таблица формируется из ответов на собственные ARP-запросы, а так же из входящих пакетов, передаваемых через ФПСУ; •Только ARP-запросы - при выборе этой опции, ARP-таблица формируется только из ответов на собственные ARP-запросы. Рекомендуется при использовании ФПСУ-IP вместе со сторонними решениями оптимизации передаваемого трафика (таких как Riverbed SteelHand). Горячий резерв — кнопка перехода в окно настроек работы ФПСУ-IP в подсистеме горячего резерва:
Отключение LAN-адаптеров в пассивном режиме — опция, относящаяся к схеме горячего резервирования. Включите эту опцию, если хотите, что бы ФПСУ-IP горячего резерва, который на данный момент работает в пассивном режиме (состояние "в резерве" на экране отображения состояния горячего резервирования, см. "Окно состояния подсистемы "горячего" резервирования"), отключал все сетевые адаптеры, кроме адаптеров, соединяющего с партнером по резервированию. Включение данной опции позволяет сетевым устройствам класса сетевой коммутатор (switсh) быстрее обновить таблицу соответствия МАС-адреса ФПСУ-IP физическому порту коммутатора при переключении управления между основным и резервным комплексами. •Дополнительные порты горячего резерва — переключатели "[ ] 1" и "[ ] 2". Позволяют комплексу устанавливать через сетевые адаптеры, настроенные как рабочие порты, туннель с партнером горячего резерва. Без включения данной опции туннель между комплексами ФПСУ-IP, работающими в режиме горячего резервирования, устанавливается через специально выделенные для этой цели дополнительные LAN-адаптеры. Опция не работает со включенной опцией Отключение LAN-адаптеров в пассивном режиме. Опция не работает, если для рабочего порта ФПСУ-IP настроен работающий в режиме моста туннель (см. пункт "Описание параметров удаленных ФПСУ-IP"). •Автовыбор канала резервирования - опция, позволяющая в случае обрыва канального соединения переключаться на следующий активный канал связи с партнером по горячему резервированию (в том числе доступно переключение на резервный канал связи с использованием «рабочих» интерфейсов). •Синхронизация МЭ - опция, позволяющая передавать активные сессии абонентов при передаче управления партнеру по горячему резервированию. При включении такой синхронизации работа сетевых сервисов абонентов не прерывается из-за передачи управления горячему резерву. Учет трафика — кнопка перехода в окно настроек работы сенсора IPFIX на ФПСУ-IP, подробная информация находится в пункте Учет трафика IPFIX SysLog/SNMP — кнопка, при нажатии которой происходит переход в окно настроек отправки сообщений SysLog и SNMP серверу о происходящих на ФПСУ-IP событиях. Подробные настройки этой опциональной подсистемы ФПСУ-IP описаны в пунктах "Syslog-клиент на ФПСУ-IP" и "SNMP-клиент на ФПСУ-IP". Если ни одна из подсистем SysLog/SNMP не установлена, кнопка не отображается. DHCP Relay — кнопка, вызывающая окно "DHCP Relay". В нем администратором ФПСУ-IP включается поддержка DHCP Relay и ведется список IP-адресов хостов, используемых абонентами ФПСУ-IP в качестве DHCP-серверов. Детальная информация по настройке и работе DHCP Relay на ФПСУ-IP находится в пункте "DHCP-Relay". Запретить открытые соединения — кнопка, включающая режим ″Запрет открытых соединений″, в котором вся информация, передаваемая из внутреннего порта ФПСУ-IP на внешний порт ФПСУ-IP (подробнее про внутренние и внешние порты см. п. "Порты ФПСУ"), и в обратную сторону, в принудительном порядке шифруется, либо передача блокируется. После включения режима он может быть снят только повторной инсталляцией программного обеспечения ФПСУ-IP. Для исключения утечки через ФПСУ требующей защиты информации объектов защищаемой локальной сети, комплекс во время штатной эксплуатации рекомендуется использовать с включенным режимом ″Запрет открытых соединений″. Если режим "Запрет открытых соединений" выключен, то, при установке параметров, позволяющих создавать соединения отличные от криптографически защищенных (выбор режима "запрещено" или "нежелательно" в настройке "Криптозащита", п. "Описание параметров удаленных ФПСУ-IP", или режима абонента "Ретрансляция", п. "Описание абонента "Host""), должны быть приняты меры, исключающие утечку требующей защиты информации с защищаемого объекта информатизации или с объектов информатизации в защищаемой ЛВС. Не сообщать об устаревших ключах — если на ФПСУ-IP установлены ключевые данные класса КС3, то ФПСУ-IP при старте выдает информационное оповещение об истечении срока действия ключей. Для отмены выдачи такого информационного оповещения следует установить флаг "Не сообщать об устаревших ключах". По умолчанию, флаг снят. Примечание! При использовании ФПСУ-IP по классу КС3, в настройках должен быть включен режим информирования об использовании ключа при превышении срока его действия (флаг "Не сообщать об устаревших ключах" должен быть снят). Контроль сети — кнопка перехода в окно настроек контроля доступности списка IP-адресов, подробнее см. пункт "Параметры проверки линий связи для портов ФПСУ-IP". После установки настроек, для их сохранения в конфигурацию, необходимо выполнить команду "Сохранить", после чего произойдет выход в окно установки параметров конфигурации. |
