Защита локальной сети, состоящей из двух IP-подсетей

Представим теперь, что защищаемая область состоит из двух IP-подсетей, абоненты которых должны обмениваться пакетами не только с абонентами Internet/Intranet, но и друг с другом, причем эти обмены также должны фильтроваться установленным ФПСУ-IP. В таком случае пакеты от абонентов IP-подсети 1 будут передаваться на порт 1 комплекса ФПСУ-IP, с которого они будут передаваться обратно в защищаемую область и доставляться абонентам IP-подсети 2 (аналогично будут передаваться пакеты абонентов подсети 2, направленные абонентам подсети 1).

Такая организация защищаемой подсети приведет к следующей логике конфигурирования:

На порту 1 ФПСУ-IP должны быть описаны две различные IP-подсети и для каждой подсети (или ее отдельных абонентов) должна быть разрешена работа с партнером своего порта в режиме "ретрансляции". Кроме того, все хосты защищаемой области должны быть сконфигурированы таким образом, чтобы в качестве маршрутизатора по умолчанию у них был указан маршрутизатор с адресом 11.12.13.30 или IP-адрес 1-го порта ФПСУ-IP.

На работу подсети наложены следующие ограничения:

•хост с IP-адресом 11.12.13.1 является администратором маршрутизатора, обмен IP-пакетами с подсетью 2 ему запрещен; кроме того, он должен иметь круглосуточный доступ в сеть Internet/Intranet;

•остальные хосты подсети 1 и хосты подсети 2 имеют доступ друг к другу и не должны взаимодействовать с Internet/Intranet.

С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

•со стороны внутреннего порта комплекса (порта 1) существуют две отдельные IP подсети, маршрутизаторы и ФПСУ-IP отсутствуют;

•со стороны порта 2 абоненты не определены, доступ к ним будет осуществляться через маршрутизатор (по IP-адресу связанного с ФПСУ-IP порта), а другие ФПСУ-IP отсутствуют;

•обмен администратора защищаемой области с абонентами общедоступной сети передачи данных может производиться только в режиме ретрансляции, сжатие и криптозащита не применяются;

•работа с ключевыми данными при такой топологии не требуется;

•абонентам подсетей 1 и 2 работа разрешается только с абонентами со стороны своего порта, причем администратор маршрутизатора не должен участвовать в таких обменах;

•абонент с IP-адресом 11.12.13.1 должен обмениваться пакетами с абонентами со стороны порта 2 и должен быть допущен к управлению маршрутизатором.

Конфигурация ФПСУ-IP должна содержать следующие установки:

=====================================================================

Порт 1:

Номер 1,

Адрес 11.12.13.7,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены,

Абоненты:

Подсеть; 11.12.13.0; 255.255.255.0 (24 разряда),

режим работы ретрансляция;

режим партнера этого порта - включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Подсеть; 11.12.14.0; 255.255.255.0 (24 разряда),

режим работы ретрансляция;

режим партнера этого порта - включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Только Broadcast" выключен;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Хост; 11.12.13.1,

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

переключатель "Отвечать на Ping" - на усмотрение администратора;

переключатель "Работа разрешена" включен.

Порт 2:

Номер 2;

Адрес 11.12.13.7;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы

11.12.13.30,

протоколы маршрутизации выключены;

переключатель "Отвечать на Ping" - на усмотрение администратора.

Абоненты:

Любой хост;

режим работы ретрансляция;

через маршрутизатор 11.12.13.30;

переключатель "Работа разрешена" включен.

=====================================================================

Для выполнения дальнейших настроек рекомендуется ознакомиться с разделом "Параметры доступа, правила трафика межсетевого экрана".

Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана:

1.правило, разрешающее взаимодействие абонента 11.12.13.1 (источник) с маршрутизатором 11.12.13.30 (назначение);

2.правило, разрешающее взаимодействие абонента 11.12.13.1 (источник), и абонента Любой хост 2 порта ФПСУ (назначение);

3.правило, разрешающее взаимодействие абонентов всех абонентов подсетей 1 и 2 (источник), и абонентов подсетей 1 и 2 (назначение);

4.правило, запрещающее взаимодействия абонента 11.12.13.1 (и в качестве источника, и в качестве назначения), с абонентами подсети 2 (источник и назначение). Причем это правило должно иметь приоритет выше, чем правило из пункта 3.

Дополнительно, администратор может регламентировать доступ по времени (через выбор из ранее созданных интервалов времени в выпадающем списке "Время работы" правила доступа, см. пункт "Интервалы времени").

Остальные параметры конфигурации (например, обработка IP-опций или сокрытие фильтрующих свойств комплекса) описываются на усмотрение администратора.

В данном примере функциональное отделение абонента 11.12.13.1 от IP-подсети 2 (запрещение обменов) производится двумя независимыми друг от друга ограничениями:

1. по настройке абонента 11.12.13.1 в разделе конфигурации "Порты ФПСУ", по признаку "Режим партнера – Данного порта" (режим "Ретрансляция" выключен);

2.Правилом 4. межсетевого экрана из списка выше.

Несмотря на то, что хостам со стороны порта 1 (исключая администратора) запрещено выходить в общедоступную сеть передачи данных, режим работы с партнером другого порта (ретрансляция) для них включен. Это объясняется тем, что данный режим отключить нельзя, поскольку отключение обоих режимов работы с партнером другого порта (по недосмотру или ошибке администратора) может привести к тому, что обмен пакетами через ФПСУ-IP окажется невозможен и абоненты защищаемой области окажутся отрезанными от сети. Запрещение работы этим хостам будет обеспечиваться тем, что единственный абонент, описанный со стороны порта 2 через запись "Любой хост", включен в только в одно правило доступа, разрешающее взаимодействие лишь с абонентом 11.12.13.1.