Использование ФПСУ для контроля доступа ФПСУ-IP/Клиентов |
Рассмотрим ситуацию, когда в сеть организации разрешен доступ ФПСУ-IP/Клиентам, которые подключаются удаленно через Интернет. ФПСУ-IP/Клиентам должны быть доступны внутренние ресурсы, но при этом эти ресурсы должны быть закрытыми для общего доступа через Интернет. С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии принципиальным является следующее: •со стороны внутреннего порта комплекса (порта 2) существует IP подсеть 2, маршрутизаторы отсутствуют; •со стороны внешнего порта (порта 1) существует содержащий общедоступные сервисы сегмент сети - область DMZ, в которой существует локальная IP подсеть 1, и установлен пограничный маршрутизатор, через который осуществляется доступ в интернет и подключаются Клиенты ФПСУ-IP; •Клиенты ФПСУ-IP объединены в IP подсеть 3; •Клиентам ФПСУ-IP разрешен доступ в подсети 1 и 2. Конфигурация ФПСУ-IP должна содержать следующие установки:
Порт 1: Номер 1, Адрес 203.0.113.1, Маска 255.255.255.0 (24 разряда), ФПСУ не определены, Маршрутизаторы:203.0.113.2, протоколы маршрутизации выключены; флаг "Отвечать на Ping" - на усмотрение администратора. Правила межсетевого экрана для этого маршрутизатора Client_local
Абоненты: Хост; Адрес 203.0.113.2; Маска 255.255.255.0 (24 разряда); режим работы ретрансляция; режим партнера этого порта — включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Отвечать на Ping" - на усмотрение администратора; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента Client_local
Подсеть; Адрес 192.168.001.000; Маска 255.255.255.000 (24 разряда); режим работы ретрансляция; режим партнера этого порта — включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Отвечать на Ping" - на усмотрение администратора; флаг "Работа разрешена" выключен.
Хост; Адрес Произвольный (из незаданных) режим работы ретрансляция; Доступен через маршрутизаторы 203.0.113.2 режим партнера этого порта — включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Работа разрешена" включен.
Порт 2: Номер 2, Адрес 192.168.0.254, Маска 255.255.255.0 (24 разряда), ФПСУ не определены, Маршрутизаторы не определены; Абоненты: Подсеть; Адрес 192.168.0.0; Маска 255.255.255.0; режим работы ретрансляция; режим партнера этого порта — включен только в ретрансляции; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Отвечать на Ping" - на усмотрение администратора; флаг "Работа разрешена" включен. Правила межсетевого экрана для этого абонента DNS Client_local Internet_All
ФПСУ-IP/Клиентами при работе с ФПСУ-IP используются два механизма NAT: •для доступа во внутреннюю сеть, статический NAT (настраивается в описателях Клиентов); •для работы с интернетом, используя ФПСУ-IP как посредника, динамический NAT (настраивается в правилах МЭ).
Описатель Клиентов:
К-сеть Crypt; Группа 1 Для программных устройств Обслуживание Разрешено Диапазон номеров 1 .. 25 Описание Активно Контроль соединения 10 мин Параметры для портов ФПСУ-IP Порт 1 Порт 2 NAT при соединении 192.168.003.001 Начальный адрес 192.168.003.001 255.255.255.000 Маска подсети 255.255.255.000 Правила межсетевого экрана для клиентов этого диапазона Client_local
Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана: 1.Правило, разрешающее исходящие соединения с порта 2; 2.Правило, разрешающее исходящие соединения клиентов, программных (мобильных) клиентов и сервиса example.com в подсети 1 и 2 и порты ФПСУ-IP; 3.Правило, разрешающее исходящие соединения подсетей 1 и 2 с NAT в интернет 4.Правило, запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.
Правила МЭ:
1 DNS Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Интерфейс : port2 iface2 192.168.000.254 Назначение : Любой Служба : DNS
2 Client_local Общие Действие : Accept Время работы : Любое Лог : Не вести лог Активно : Да Источник Клиент : СисCrypt Грп1 Клиент : Мобильные клиенты СисCrypt Грп1 Клиент : example.com СисCrypt Грп1 Назначение Сеть : 192.168.000.000 192.168.000.000/24 Сеть : 192.168.001.000 192.168.001.000/24 Интерфейс : port1 iface1 203.0.113.001 Интерфейс : port2 iface2 192.168.000.254 Служба : Любая
3 Internet_All Общие Действие : Accept Nat : port1 iface1 203.0.113.1 Время работы : Любое Лог : Не вести лог Активно : Да Источник Сеть : 192.168.000.000 192.168.000.000/24 Сеть : 192.168.001.000 192.168.001.000/24 Назначение : Любой Служба : Любая
4 Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая
Службы: DNS Общие Протокол : TCP/UDP Порт источника : Любой Порт назначения : 53 (Domain Name Server) |