Защита локальной сети, состоящей из двух IP-подсетей |
Представим теперь, что защищаемая область состоит из двух IP-подсетей, абоненты которых должны обмениваться пакетами не только с абонентами Internet/Intranet, но и друг с другом, причем эти обмены также должны фильтроваться установленным ФПСУ-IP. В таком случае пакеты от абонентов IP-подсети 1 будут передаваться на порт 1 комплекса ФПСУ-IP, с которого они будут передаваться обратно в защищаемую область и доставляться абонентам IP-подсети 2 (аналогично будут передаваться пакеты абонентов подсети 2, направленные абонентам подсети 1). Такая организация защищаемой подсети приведет к следующей логике конфигурирования: На порту 1 ФПСУ-IP должны быть описаны две различные IP-подсети и для каждой подсети (или ее отдельных абонентов) должна быть разрешена работа с партнером своего порта в режиме "ретрансляции". Кроме того, все хосты защищаемой области должны быть сконфигурированы таким образом, чтобы в качестве маршрутизатора по умолчанию у них был указан маршрутизатор с адресом 11.12.13.30 или IP-адрес 1-го порта ФПСУ-IP. На работу подсети наложены следующие ограничения: •хост с IP-адресом 11.12.13.1 является администратором маршрутизатора, обмен IP-пакетами с подсетью 2 ему запрещен; кроме того, он должен иметь круглосуточный доступ в сеть Internet/Intranet; •остальные хосты подсети 1 и хосты подсети 2 имеют доступ друг к другу и не должны взаимодействовать с Internet/Intranet. С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны внутреннего порта комплекса (порта 1) существуют две отдельные IP подсети, маршрутизаторы и ФПСУ-IP отсутствуют; •со стороны порта 2 абоненты не определены, доступ к ним будет осуществляться через маршрутизатор (по IP-адресу связанного с ФПСУ-IP порта), а другие ФПСУ-IP отсутствуют; •обмен администратора защищаемой области с абонентами общедоступной сети передачи данных может производиться только в режиме ретрансляции, сжатие и криптозащита не применяются; •работа с ключевыми данными при такой топологии не требуется; •абонентам подсетей 1 и 2 работа разрешается только с абонентами со стороны своего порта, причем администратор маршрутизатора не должен участвовать в таких обменах; •абонент с IP-адресом 11.12.13.1 должен обмениваться пакетами с абонентами со стороны порта 2 и должен быть допущен к управлению маршрутизатором. Конфигурация ФПСУ-IP должна содержать следующие установки: ===================================================================== Порт 1: Номер 1, Адрес 11.12.13.7, Маска 255.255.255.0 (24 разряда), ФПСУ не определены, Маршрутизаторы не определены, Абоненты: Подсеть; 11.12.13.0; 255.255.255.0 (24 разряда), режим работы ретрансляция; режим партнера этого порта - включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; переключатель "Только Broadcast" выключен; переключатель "Отвечать на Ping" - на усмотрение администратора; переключатель "Работа разрешена" включен. Подсеть; 11.12.14.0; 255.255.255.0 (24 разряда), режим работы ретрансляция; режим партнера этого порта - включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; переключатель "Только Broadcast" выключен; переключатель "Отвечать на Ping" - на усмотрение администратора; переключатель "Работа разрешена" включен. Хост; 11.12.13.1, режим работы ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включен только в ретрансляции; переключатель "Отвечать на Ping" - на усмотрение администратора; переключатель "Работа разрешена" включен. Порт 2: Номер 2; Адрес 11.12.13.7; Маска 255.255.255.0 (24 разряда); ФПСУ не определены; Маршрутизаторы 11.12.13.30, протоколы маршрутизации выключены; переключатель "Отвечать на Ping" - на усмотрение администратора. Абоненты: Любой хост; режим работы ретрансляция; через маршрутизатор 11.12.13.30; переключатель "Работа разрешена" включен. ===================================================================== Для выполнения дальнейших настроек рекомендуется ознакомиться с разделом "Параметры доступа, правила трафика межсетевого экрана". Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана: 1.правило, разрешающее взаимодействие абонента 11.12.13.1 (источник) с маршрутизатором 11.12.13.30 (назначение); 2.правило, разрешающее взаимодействие абонента 11.12.13.1 (источник), и абонента Любой хост 2 порта ФПСУ (назначение); 3.правило, разрешающее взаимодействие абонентов всех абонентов подсетей 1 и 2 (источник), и абонентов подсетей 1 и 2 (назначение); 4.правило, запрещающее взаимодействия абонента 11.12.13.1 (и в качестве источника, и в качестве назначения), с абонентами подсети 2 (источник и назначение). Причем это правило должно иметь приоритет выше, чем правило из пункта 3. Дополнительно, администратор может регламентировать доступ по времени (через выбор из ранее созданных интервалов времени в выпадающем списке "Время работы" правила доступа, см. пункт "Интервалы времени"). Остальные параметры конфигурации (например, обработка IP-опций или сокрытие фильтрующих свойств комплекса) описываются на усмотрение администратора. В данном примере функциональное отделение абонента 11.12.13.1 от IP-подсети 2 (запрещение обменов) производится двумя независимыми друг от друга ограничениями: 1. по настройке абонента 11.12.13.1 в разделе конфигурации "Порты ФПСУ", по признаку "Режим партнера – Данного порта" (режим "Ретрансляция" выключен); 2.Правилом 4. межсетевого экрана из списка выше. Несмотря на то, что хостам со стороны порта 1 (исключая администратора) запрещено выходить в общедоступную сеть передачи данных, режим работы с партнером другого порта (ретрансляция) для них включен. Это объясняется тем, что данный режим отключить нельзя, поскольку отключение обоих режимов работы с партнером другого порта (по недосмотру или ошибке администратора) может привести к тому, что обмен пакетами через ФПСУ-IP окажется невозможен и абоненты защищаемой области окажутся отрезанными от сети. Запрещение работы этим хостам будет обеспечиваться тем, что единственный абонент, описанный со стороны порта 2 через запись "Любой хост", включен в только в одно правило доступа, разрешающее взаимодействие лишь с абонентом 11.12.13.1. |