Previous 

Использование ФПСУ для контроля доступа ФПСУ-IP/Клиентов

Next

Рассмотрим ситуацию, когда в сеть организации разрешен доступ ФПСУ-IP/Клиентам, которые подключаются удаленно через Интернет. ФПСУ-IP/Клиентам должны быть доступны внутренние ресурсы, но при этом эти ресурсы должны быть закрытыми для общего доступа через Интернет.

С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии принципиальным является следующее:

со стороны внутреннего порта комплекса (порта 2) существует IP подсеть 2, маршрутизаторы отсутствуют;

со стороны внешнего порта (порта 1) существует содержащий общедоступные сервисы сегмент сети - область DMZ, в которой существует локальная IP подсеть 1, и установлен пограничный маршрутизатор, через который осуществляется доступ в интернет и подключаются Клиенты ФПСУ-IP;

Клиенты ФПСУ-IP объединены в IP подсеть 3;

Клиентам ФПСУ-IP разрешен доступ в подсети 1 и 2.

Конфигурация ФПСУ-IP должна содержать следующие установки:

 

Порт 1:

Номер 1,

Адрес 203.0.113.1,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы:203.0.113.2,

протоколы маршрутизации выключены;

флаг "Отвечать на Ping" - на усмотрение администратора.

Правила межсетевого экрана для этого маршрутизатора

Client_local

 

Абоненты:

Хост; Адрес 203.0.113.2; Маска 255.255.255.0 (24 разряда);

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

Client_local

 

Подсеть; Адрес 192.168.001.000; Маска 255.255.255.000 (24 разряда);

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" выключен.

 

Хост; Адрес Произвольный      (из незаданных)

режим работы ретрансляция;

Доступен через маршрутизаторы 203.0.113.2

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Только Broadcast" выключен;

флаг "Работа разрешена" включен.

 

Порт 2:

Номер 2,

Адрес 192.168.0.254,

Маска 255.255.255.0 (24 разряда),

ФПСУ не определены,

Маршрутизаторы не определены;

Абоненты:

Подсеть; Адрес 192.168.0.0; Маска 255.255.255.0;

режим работы ретрансляция;

режим партнера этого порта — включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Правила межсетевого экрана для этого абонента

DNS

Client_local

Internet_All

 

ФПСУ-IP/Клиентами при работе с ФПСУ-IP используются два механизма NAT:

для доступа во внутреннюю сеть, статический NAT (настраивается в описателях Клиентов);

для работы с интернетом, используя ФПСУ-IP как посредника, динамический NAT (настраивается в правилах МЭ).

 

Описатель Клиентов:

 

К-сеть Crypt; Группа 1 Для программных устройств

Обслуживание Разрешено

Диапазон номеров 1 .. 25

Описание Активно

Контроль соединения 10 мин

                        Параметры для портов ФПСУ-IP

              Порт 1                                 Порт 2

                          NAT при соединении

         192.168.003.001     Начальный адрес     192.168.003.001

         255.255.255.000     Маска подсети       255.255.255.000

Правила межсетевого экрана для клиентов этого диапазона

Client_local

 

Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана:

1.Правило, разрешающее исходящие соединения с порта 2;

2.Правило, разрешающее исходящие соединения клиентов, программных (мобильных) клиентов и сервиса example.com в подсети 1 и 2 и порты ФПСУ-IP;

3.Правило, разрешающее исходящие соединения подсетей 1 и 2 с NAT в интернет

4.Правило, запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.

 

Правила МЭ:

 

1 DNS

     Общие

       Действие        : Accept

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Интерфейс       :   port2 iface2 192.168.000.254

     Назначение      : Любой

     Служба          : DNS

 

2 Client_local

     Общие

       Действие        : Accept

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Клиент          :     СисCrypt Грп1

       Клиент          :   Мобильные клиенты  СисCrypt Грп1

       Клиент          :   example.com  СисCrypt Грп1

     Назначение

       Сеть            :   192.168.000.000 192.168.000.000/24

       Сеть            :   192.168.001.000 192.168.001.000/24

       Интерфейс       :   port1 iface1 203.0.113.001

       Интерфейс       :   port2 iface2 192.168.000.254

     Служба          : Любая

 

3 Internet_All

     Общие

       Действие        : Accept

       Nat             : port1 iface1 203.0.113.1

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Сеть            :   192.168.000.000 192.168.000.000/24

       Сеть            :   192.168.001.000 192.168.001.000/24

     Назначение      : Любой

     Служба          : Любая

 

4 Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

 

Службы:

   DNS

     Общие

       Протокол        : TCP/UDP

       Порт источника  : Любой

       Порт назначения : 53 (Domain Name Server)