Общие параметры конфигурации ФПСУ-IP |
Группа установок «Общие параметры» определяет правила работы ФПСУ-IP в различных частных случаях функционирования. Окно установки содержит следующие настраиваемые общие параметры: Включение или выключение опций осуществляется клавишей <Пробел>. Настройки на вкладке «Базовые» окна «Общие параметры»: Аварийный перезапуск. Если при работе ФПСУ-IP происходит аппаратный сбой сетевых адаптеров, ФПСУ-IP способен детектировать это событие и выдать на экран монитора специальное сообщение, сопровождающееся звуковым сигналом, после чего через некоторое время ПО сетевых адаптеров и ПО ФПСУ-IP автоматически перегрузятся, после чего и ФПСУ-IP попытается восстановить работу режима фильтрации пакетов. В диалоговом поле строки укажите время, в течение которого будет выдаваться сообщение перед перезагрузкой (в диапазоне от 5 секунд до 1 часа). Если автоматический перезапуск не нужен (например, необходимо ознакомиться с диагностикой неполадок, выданной на экран монитора), оставьте поле пустым; в таком случае при возникновении аппаратного сбоя сообщение, сопровождаемое звуковым сигналом, будет выдаваться до его отмены администратором при локальном управлении. Переход на резервный. Если при работе ФПСУ-IP получает сигнал от сетевой аппаратуры об отсутствии физического соединения на каком-либо из рабочих портов, ФПСУ-IP может передать управление партнеру по системе горячего резервирования. В диалоговом поле строки укажите время, по истечении которого будет задействован резервный ФПСУ-IP (в диапазоне от 5 до 255 секунд), или оставьте поле пустым, если такая операция не требуется. Включить сторожевой таймер (watchdog). Этот флаг позволяет активировать автоматическую перезагрузку ФПСУ-IP при аппаратном или программном «зависании» комплекса. При включении таймера активизируется аппаратный таймер, если материнская плата им оборудована, и его программный аналог, который реализован в операционной системе и не зависит от материнской платы. В случае задействования обоих датчиков, порядок их срабатывания следующий: через 30 секунд после зависания ФПСУ-IP должен сработать программный датчик, перегрузив ФПСУ-IP, если программный датчик не сработал в течение 5 минут, сработает аппаратный watchdog. Запрет работы при сбоях жесткого диска. Если во время работы подсистемы фильтрации возникают сбои или неполадки ПЗУ, ФПСУ-IP продолжает функционировать до принудительного выхода из подсистемы фильтрации без записи регистрационных данных в хранилище статистической информации. Если политика безопасности исключает подобный аварийный режим без записи статистики, и ФПСУ-IP при сбоях ПЗУ должен прекращать свою работу – задействуйте этот флаг. ВНИМАНИЕ! При работе ФПСУ-IP в режиме резервирования возможны ситуации, при которых запрет будет игнорироваться. При сбоях ПЗУ на активном ФПСУ-IP, управление передается резервному, который будет продолжать работу даже в случае возникновения собственных аппаратных неполадок. Сокрытие работы ФПСУ. В зависимости от требуемой степени защиты администратор может включить флаг конфигурации, указывающий ФПСУ-IP, что он должен работать в режиме сокрытия своих защитных (фильтрующих) функций. При включенном флаге ICMP-сообщения о недоступности абонента по причине административного запрета для пакета, не прошедшего фильтрацию, генерироваться не будут, а если ошибка произошла по другой причине, в посылаемом ICMP-сообщении в качестве адреса отправителя сообщения будет проставлен не адрес ФПСУ-IP, а адрес того абонента, кому был направлен пакет, вызвавший ошибку. Не выдавать ICMP-сообщения об ошибках. Если флаг установлен, ФПСУ-IP никогда не будет генерировать ICMP-сообщения, кроме сообщений о необходимости изменения MTU. Не изменять TTL IP-пакетов – флаг, позволяющий дать указание ФПСУ-IP не изменять поле «время жизни» в заголовке IP-пакета. Эта опция может быть использована с целью сокрытия работы ФПСУ-IP, а также для передачи через него пакетов, «время жизни» которых равно единице. Игнорировать запрет фрагментации – флаг, работающий в VPN-туннелях между ФПСУ-IP, и в VPN-туннелях между ФПСУ-IP и ФПСУ-IP/Клиент, влияет на обработку пакетов с установленным флагом DF запрета фрагментации. Если опция включена, то пакет, длина которого превышает установленное значение MTU для текущего сетевого соединения или туннеля, будет разбиваться на минимальное количество пакетов примерно равной длины. Производительность ФПСУ-IP при включении опции будет снижена. Если опция выключена – слишком длинный для соединения или туннеля пакет с флагом DF будет сброшен, а отправитель получит ICMP-сообщение о необходимости смены MTU. Корректировать TCP MSS – опция, включающая дополнительный механизм (к имеющемуся PATH MTU DISCOVERY с отсылкой отправителю ICMP-пакета) регулирования MTU IP пакетов, предназначенный для исключения фрагментации или проблем с передачей пакетов при установленном флаге DF. Значение MSS отправляется как опция TCP заголовка в пакетах TCP SYN и SYN ACK. Каждая сторона при установлении TCP-соединения сообщает свое значение MSS другой стороне. ФПСУ-IP эти значения уменьшает на размер служебных данных туннельного пакета (для ФПСУ-IP - 28 байт). Включение опции позволяет избежать ошибок фрагментации, если при передаче данных используется протокол TCP. Разрешён пропуск MPLS меток – флаг, позволяющий ФПСУ-IP обрабатывать и передавать дальше пакеты с метками MPLS-протокола. При выключенной опции такие пакеты не обрабатываются ФПСУ-IP и сбрасываются. Пропускать BPDU-фреймы – флаг, позволяющий ФПСУ-IP обрабатывать и передавать дальше фреймы BPDU-протокола (Bridge Protocol Data Unit). Включите эту опцию, если ФПСУ-IP подключен в разрыв сети, использующей протокол STP (Spanning Tree Protocol, IEEE 802.1D). При выключенной опции такие пакеты не обрабатываются ФПСУ-IP и сбрасываются, что может вызвать ошибки в работе протокола STP. Отображать нарушения – флаг, при включении которого ФПСУ-IP будет выводить на монитор и в консоль служебные оповещения о сбросе пакетов абонентов по причине запрещающего правила межсетевого экрана. По умолчанию, отключен, и информация о сброшенных пакетах пишется в статистику, но не выводится на экран и в консоль отдельными сообщениями. Пропускать VTP-фреймы – флаг, позволяющий ФПСУ-IP обрабатывать и передавать дальше фреймы VTP-протокола (VLAN Trunking Protocol). Включите эту опцию, если ФПСУ-IP подключен в разрыв сети, использующей технологию VLAN, и VLAN управляется с применением протокола VTP. При выключенной опции такие пакеты не обрабатываются ФПСУ-IP и сбрасываются, что может привести к ошибке вследствие несогласованности в конфигурации VLAN-сетей. Не сообщать об устаревших ключах – если на ФПСУ-IP установлены ключевые данные класса КС3, то ФПСУ-IP при старте выдает информационное оповещение об истечении срока действия ключей. Для отмены выдачи такого информационного оповещения следует установить флаг «Не сообщать об устаревших ключах». По умолчанию, флаг снят. ВНИМАНИЕ! При использовании ФПСУ-IP по классу КС3, в настройках должен быть включен режим информирования об использовании ключа при превышении срока его действия (флаг «Не сообщать об устаревших ключах» должен быть снят). Ограничения сбора статистики. Эта кнопка позволяет наложить ограничения на сбор регистрационной информации ФПСУ-IP. Подробнее см. пункт «Ограничение сбора статистики». Пакеты с SourceRoute. Опция SourceRoute, если она содержится в заголовке IP пакета, требует, чтобы пакет следовал по указанному ею маршруту, что может приводить к передаче пакета в обход ФПСУ-IP и нарушению безопасности. С другой стороны, игнорирование этой опции может влиять на работу сети и приводить к каким-либо другим нарушениям. Поэтому администратор в индивидуальном порядке должен решить, как ФПСУ-IP будет обрабатывать эту опцию и указать это в описываемом поле. ФПСУ-IP предоставляет три возможных способа обработки опции SourсeRoute: •не пропускать пакеты, содержащие эту опцию, сбрасывая их без отправки сообщения; •удалить эту опцию – передать пакет получателю (если он удовлетворит требованиям фильтрации), но удалить заданный маршрут и передать пакет по маршруту, который установил при конфигурировании для данного абонента администратор; •передать не изменяя пакет, оставить опцию SourсeRoute без изменения. Включение или выключение радио-кнопки, отображающей выбираемый способ обработки, осуществляется клавишей <Пробел>. Горячий резерв – кнопка перехода в окно настроек работы ФПСУ-IP в подсистеме горячего резерва:
•Отключение LAN-адаптеров в пассивном режиме – опция, относящаяся к схеме горячего резервирования. Включите эту опцию, если хотите, чтобы ФПСУ-IP горячего резерва, который на данный момент работает в пассивном режиме (состояние «в резерве» на экране отображения состояния горячего резервирования, см. «Окно состояния подсистемы «горячего» резервирования»), отключал все сетевые адаптеры, кроме адаптеров, соединяющего с партнером по резервированию. Включение данной опции позволяет сетевым устройствам класса сетевой коммутатор (switсh) быстрее обновить таблицу соответствия МАС-адреса ФПСУ-IP физическому порту коммутатора при переключении управления между основным и резервным комплексами. •Дополнительные интерфейсы горячего резерва – флаги «[ ] 1» и «[ ] 2». Позволяют комплексу устанавливать через сетевые адаптеры, настроенные как рабочие порты, туннель с партнером горячего резерва. Без включения данной опции туннель между комплексами ФПСУ-IP, работающими в режиме горячего резервирования, устанавливается через специально выделенные для этой цели дополнительные LAN-адаптеры. Опция не работает с включенной опцией Отключение LAN-адаптеров в пассивном режиме. Опция не работает, если для рабочего порта ФПСУ-IP настроен работающий в режиме моста туннель (см. пункт «Описание параметров туннелей с другими ФПСУ»). •Автовыбор канала резервирования – опция, позволяющая в случае обрыва канального соединения переключаться на следующий активный канал связи с партнером по горячему резервированию (в том числе доступно переключение на резервный канал связи с использованием «рабочих» интерфейсов). •Синхронизация сессий МЭ – опция, позволяющая передавать активные сессии абонентов при передаче управления партнеру по горячему резервированию. При включении такой синхронизации работа сетевых сервисов абонентов не прерывается из-за передачи управления горячему резерву. •Выбор VLAN для работы каналов резервирования – назначение тега VLAN для каналов «горячего» резервирования. Фреймы «горячего» резервирования будут тегированы соответствующим идентификатором VLAN. Для включения данной опции должен быть задан хотя бы один Дополнительный интерфейс горячего резерва. •Рабочие интерфейсы – поля 3 и 4 - это 1 и 2 LAN-адаптеры в настройках конфигурации (окно «Конфигурация LAN-адаптеров», открывается по одноименной команде меню). •Выделенные интерфейсы – поля 1 и 2 - это 3 и 4 LAN-адаптеры в настройках конфигурации для горячего резерва (окно «Конфигурация LAN-адаптеров»). Нумерация полей 1 и 2 отображается для адаптеров горячего резерва в настройках Дополнительные интерфейсы горячего резерва, а также в окне «Горячий резерв» (открывается по нажатию клавиши <F11>). Совместимость СКЗИ – кнопка перехода в окно настроек алгоритмов шифрования СКЗИ. ВНИМАНИЕ! Взаимодействие с совместимыми, но не сертифицированными СКЗИ равносильно отсутствию шифрования! Настройка криптопротоколов ФПСУ-Клиент – опции, устанавливающие работу ФПСУ-IP с ФПСУ-IP/Клиентами в режиме шифрования по заданному алгоритму: •Приоритет Магма – при установлении флага передаваемые данные между ФПСУ-IP и ФПСУ-IP/Клиентом будут шифроваться по алгоритму «Магма», если и ФПСУ-IP, и ФПСУ-IP/Клиент поддерживают этот алгоритм. •Совместимость с криптопротоколами ФПСУ/Клиент в рамках ГОСТ-89 – По умолчанию установлено значение «Отключена». Возможные параметры: КРОМЕ Тун 1 – принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент, на которых установлена версия СКЗИ, отличная от «Туннель/Клиент». КРОМЕ Тун 2 – принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент, на которых установлена версия СКЗИ, отличная от «Туннель 2.0». Полная – принимаются пользовательские подключения от ПАК ФПСУ-IP/Клиент с любой версией СКЗИ. Отключена – принимаются пользовательские подключения только от ФПСУ-IP/Клиентов, начиная с версии ПО 6.0.38 (и устройства VPN-Key с версией микрокода 7-й или выше, поддерживающей алгоритм МАГМА). •Запрет ГОСТ-89 – при установлении флага на ФПСУ-IP будут запрещены любые соединения, использующие алгоритм шифрования ГОСТ 28147-89. Настройка криптопротоколов ФПСУ-ФПСУ – опции, устанавливающие работу ФПСУ-IP с ФПСУ-IP в режиме шифрования по заданному алгоритму, в отдельном окне «Виды шифров»:
•Кузнечик-MGM – опция, разрешающая шифрование данных блочным шифром «Кузнечик» в режиме MGM (Multilinear Galois Mode), активируется лицензией. Если лицензия отсутствует, данная опция недоступна (отмечена белым фоном); •Магма-MGM – опция, разрешающая шифрование данных блочным шифром «Магма» в режиме MGM, активируется лицензией. Если опция «Приоритет Кузнечик» не установлена, то работа ФПСУ-IP будет происходить по алгоритму шифрования «Магма MGM», в случае если партнер поддерживает этот алгоритм. Если лицензия отсутствует, данная опция недоступна (отмечена белым фоном); •Магма – опция, разрешающая работу по алгоритму шифрования «Магма». Если опция «Приоритет ГОСТ» не установлена, то работа ФПСУ-IP будет происходить по алгоритму шифрования «Магма», в случае если партнер поддерживает этот алгоритм. •ГОСТ 28147-89 – опция, разрешающая работу по алгоритму шифрования ГОСТ 28147-89. •Приоритет ГОСТ – при включении опции передаваемые данные между ФПСУ-IP будут шифроваться по алгоритму ГОСТ 28147-89, в случае если этот алгоритм не запрещен у партнера. Если не выбран ни один алгоритм, данная опция недоступна (отмечена белым фоном). •Приоритет Кузнечик – при включении опции передаваемые данные между ФПСУ-IP будут шифроваться по алгоритму «Кузнечик MGM», в случае если партнер поддерживает этот алгоритм. Если лицензия на алгоритм шифрования «Кузнечик MGM» отсутствует, данная опция недоступна (отмечена белым фоном). По умолчанию опции «Магма», «ГОСТ 28147-89» и «Приоритет ГОСТ» установлены. В случае, когда не установлена ни одна опция, при передаче данных применяется алгоритм шифрования ГОСТ 28147-89. Контроль сети – кнопка перехода в окно настроек контроля доступности списка IP-адресов, подробнее см. пункт «Параметры проверки линий связи для портов ФПСУ-IP». Запретить открытые соединения – кнопка, включающая режим «Запрет открытых соединений», в котором вся информация, передаваемая из внутреннего порта ФПСУ-IP на внешний порт ФПСУ-IP (подробнее про внутренние и внешние порты см. пункт «Порты ФПСУ»), и в обратную сторону, в принудительном порядке шифруется, либо передача блокируется. После включения режима он может быть снят только повторной инсталляцией программного обеспечения ФПСУ-IP. Для активации кнопки необходимо открыть общие параметры конфигурации ФПСУ-IP («Конфигурация ФПСУ»→«Отредактировать»→«Общие параметры») с правами классов «Администратор» и «Главный Администратор» (см. пункт «Разграничение доступа и пользователи»). Для исключения утечки через ФПСУ-IP требующей защиты информации объектов защищаемой локальной сети, комплекс во время штатной эксплуатации рекомендуется использовать с включенным режимом «Запрет открытых соединений». Если режим «Запрет открытых соединений» выключен, то, при установке параметров, позволяющих создавать соединения отличные от криптографически защищенных (выбор режима «запрещено» или «нежелательно» в настройке «Криптозащита», п. «Описание параметров туннелей с другими ФПСУ», или режима абонента «Ретрансляция», п. «Описание абонента «Хост»), должны быть приняты меры, исключающие утечку требующей защиты информации с защищаемого объекта информатизации или с объектов информатизации в защищаемой ЛВС. Настройки на вкладке «ARP» окна «Общие параметры»: Отключить <ARP-proxy>. Для обеспечения «прозрачности» функционирования, в ФПСУ-IP реализован стандартный механизм ARP-proxy со специфичной ARP-фильтрацией, гарантирующей получение ARP-ответа станции, запрашивающей проход через ФПСУ-IP к удаленному ресурсу. Если необходимость в такой функции отсутствует (например, в случае когда по обе стороны ФПСУ-IP установлены маршрутизаторы) или требуется снизить нагрузку на сеть, ARP-proxy можно отключить, установив описываемый флаг. В этом случае ФПСУ-IP будет отвечать только на те ARP-запросы, которые касаются его собственных IP-адресов или адресов клиентов, находящихся в состоянии соединения. ВНИМАНИЕ! При отключении ARP-proxy для обеспечения работоспособности сети необходимо в конфигурации смежного сетевого оборудования описать конфигурируемый ФПСУ-IP в качестве одного из маршрутизаторов. Режим работы с ARP – опция, позволяющая выбирать режим формирования ARP-таблицы на ФПСУ-IP. Возможны два варианта настройки: •ARP-запросы + трафик – опция по умолчанию, ARP-таблица формируется из ответов на собственные ARP-запросы, а также из входящих пакетов, передаваемых через ФПСУ; •Только ARP-запросы – при выборе этой опции, ARP-таблица формируется только из ответов на собственные ARP-запросы. Рекомендуется при использовании ФПСУ-IP вместе со сторонними решениями оптимизации передаваемого трафика (таких как Riverbed SteelHead).
Настройки на вкладке «DHCP» окна «Общие параметры»: Использовать адрес после истечения аренды – ФПСУ-IP может выступать в роли DHCP-клиента, в этом случае ФПСУ-IP может запрашивать у DHCP-сервера IP-адреса для своих портов. IP-адрес для порта ФПСУ-IP арендуется на определенное время, установленное на DHCP-сервере. По истечении срока аренды ФПСУ-IP должен либо продлить аренду, либо перестать использовать IP-адрес. После истечения срока аренды сетевая активность на порту прекращается (ФПСУ-IP отправляет сообщение DHCPDISCOVER), чтобы предотвратить обрыв соединений в случае недоступности DHCP-сервера, можно установить время в минутах, в течении которого порт будет доступен по старому IP-адресу (ФПСУ-IP продолжает отсылать сообщение DHCPREQUEST в течении этого времени для продления аренды). После истечения и этого времени ФПСУ-IP перестанет использовать IP-адрес. Настраивая данную опцию, администратор должен быть уверен, что понимает последствия данного решения. После установки настроек, для их сохранения в конфигурацию, необходимо выполнить команду «Сохранить», после чего произойдет выход в окно установки параметров конфигурации. |