Примеры настройки ФПСУ-IP
Previous 

Использование одного ФПСУ-IP для защиты локальной сети

 Next

Предположим, что IP-сеть организации до установки ФПСУ-IP представляла из себя одну подсеть с IP-адресом 11.12.13.0 и маской 255.255.255.0 (24 разряда) и содержала маршрутизатор для выхода в другие IP-сети. После установки ФПСУ-IP топология сети приобрела вид, отображенный на схеме ниже.

С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

со стороны порта 1 (защищаемая область) существует одна подсеть; маршрутизаторы и другие ФПСУ-IP, через которые абоненты будут доступны с порта 1, отсутствуют;

со стороны порта 2 абоненты не определены, доступ к ним будет осуществляться через маршрутизатор (по IP-адресу связанного с ФПСУ-IP порта), а другие ФПСУ-IP отсутствуют;

обмен абонентов защищаемой области с абонентами Internet/Intranet может производиться только в режиме ретрансляции. Сжатие и криптозащита трафика не применяется;

работа с ключевыми данными при такой топологии не требуется.

 

Sample_CFG_Scheme1

Конфигурация МЭ должна содержать следующие установки:

=====================================================================

Порт 1:

Номер 1

Адрес 11.12.13.7

Маска 255.255.255.0 (24 разряда)

ФПСУ не определены

Маршрутизаторы не определены

Абоненты:

Подсеть; Адрес 11.12.13.0; Маска 255.255.255.0;

режим работы ретрансляция;

режим партнера этого порта — выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Только Broadcast" выключен; переключатель "Отвечать на Ping" - на усмотрение администратора; переключатель "Работа разрешена" включен.

Хост; 11.12.13.1;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

 

Порт 2:

Номер 2;

Адрес 11.12.13.7;

Маска 255.255.255.0 (24 разряда;

ФПСУ не определены;

Маршрутизаторы 11.12.13.30;

протоколы маршрутизации выключены;

переключатель "Отвечать на Ping" - на усмотрение администратора.

Абоненты: Любой хост

режим работы ретрансляция;

через маршрутизатор 11.12.13.30;

переключатель "Работа разрешена" включен.

=====================================================================

При необходимости администратор может регламентировать доступ к хостам своей подсети только по определенным протоколам и/или TCP/UDP-портам (через включение дополнительных правил межсетевого экрана, см. раздел "Параметры доступа, правила трафика межсетевого экрана", в данном примере их настройка не рассматривается).

Остальные параметры конфигурации (например, обработка IP-опций или сокрытие фильтрующих свойств комплекса) описываются на усмотрение администратора.