Previous 

Использование ФПСУ для объединения офисов с одинаковой внутренней адресацией

Next

Предположим, что есть две территориально разделенные сети с одинаковой адресацией, для защиты которых применяются ФПСУ-IP, необходимо обеспечить доступ хостов одной сети в другую через ФПСУ-туннель. Например, если в одной из сетей расположен сервер, защищенный доступ к которому предоставляется хостам из другой сети.

Такая организация защищаемых подсетей приведет к следующей логике конфигурирования:

обмен между защищаемыми областями должен производиться только внутри организованного ФПСУ-IP VPN-туннеля;

на каждом ФПСУ-IP должны быть установлены ранее выработанные криптографические ключи парно-выборочной связи. Причем на ФПСУ-IP А указан используемый номер ключа 1, на ФПСУ-IP В - номер 2;

ФПСУ-IP А

со стороны внутреннего порта 1 существует одна подсеть; маршрутизаторы и другие ФПСУ-IP, через которые абоненты будут доступны с порта 1, отсутствуют;

со стороны порта 1 описана подсеть, обмен хостов которой через комплекс производится в режиме ретрансляции;

со стороны порта 1 описан абонент 192.168.0.1, обмен данными с которым определяется правилом МЭ, в правиле определена трансляция сетевых адресов и задана переадресация порта;

со стороны внешнего порта 2 определен ФПСУ-IP В и описан как абонент, обмен данными с которым определяется правилом МЭ, в правиле определена трансляция сетевых адресов и задана переадресация порта;

ФПСУ-IP В

со стороны внутреннего порта 1 существует одна подсеть; маршрутизаторы и другие ФПСУ-IP, через которые абоненты будут доступны с порта 1, отсутствуют;

со стороны порта 1 описана подсеть с той же адресацией, что и на ФПСУ-IP А, обмен хостов данной подсети через комплекс производится в режиме ретрансляции;

со стороны внешнего порта 2 определен ФПСУ-IP А, обмен данными с которым определяется правилом МЭ, в правиле задана переадресация порта;

со стороны порта 2 описан абонент 11.11.11.11, обмен данными с которым определяется правилом МЭ, в правиле задана переадресация порта;

Хост 192.168.0.1 защищаемой области А отправляет эхо-запрос (ping) на внутренний IP-адрес ФПСУ-IP А. Правилом МЭ данный запрос разрешен. На ФПСУ-IP А с помощью NAT IP-адрес отправителя 192.168.0.1 подменяется на 11.11.11.11, с помощью MAP IP-адрес получателя 192.168.0.241 подменяется на внешний IP-адрес ФПСУ-IP В 1.1.1.2. Запрос отправляется на ФПСУ-IP В. Правилом МЭ данный запрос разрешен. На ФПСУ-IP В с помощью MAP IP-адрес получателя 1.1.1.2 подменяется на 192.168.0.1. Запрос отправляется хосту 192.168.0.1 защищаемой области В. Ответ хоста 192.168.0.1 защищаемой области В проходит обратное преобразование при прохождении ФПСУ-IP В и ФПСУ-IP А. На ФПСУ-IP реализовано отслеживание инициатора запроса - возвратный трафик разрешен.

ФПСУ-IP А

Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 указаны на ФПСУ А как используемые.

Порт 1:

Номер 1,

Адрес 192.168.000.241,

Маска 255.255.255.000 (24 разряда),

VLAN Нет;

ФПСУ не определены,

Маршрутизаторы:не определены,

протоколы маршрутизации выключены;

флаг "Отвечать на Ping" - на усмотрение администратора.

 

Абоненты:

Подсеть; Адрес 192.000.000.000; Маска 255.000.000.000 (8 разряда);

режим работы ретрансляция;

режим партнера данного порта — включен Ретрансляция  Через ФПСУ;

режим партнера другого порта - включен Ретрансляция  Через ФПСУ;

флаг "Работа разрешена" включен.

 

Хост; Адрес 192.168.000.001;

режим работы ретрансляция;

режим партнера данного порта — включен Ретрансляция  Через ФПСУ;

режим партнера другого порта - включен Ретрансляция  Через ФПСУ;

флаг "Работа разрешена" включен;

Правила межсетевого экрана для этого абонента

ping over nat.

 

Порт 2:

Номер 2,

Адрес 001.001.001.001,

Маска 255.255.255.000 (24 разряда),

VLAN Нет;

Адрес 011.011.011.011,

Маска 255.255.255.000 (24 разряда),

VLAN 111;

ФПСУ:

001.001.001.002, ключевые данные - 1; смена через 120 сек;

сжатие и криптозащита - "запрещено" и "обязательно";

мост - выключен;

Маршрутизаторы:не определены,

протоколы маршрутизации выключены;

 

Абоненты:

Хост; Адрес 192.168.000.002;

режим работы Через ФПСУ  001.001.001.002;

режим партнера данного порта — включен Ретрансляция  Через ФПСУ;

режим партнера другого порта - включен Ретрансляция  Через ФПСУ;

флаг "Работа разрешена" включен;

 

Правила межсетевого экрана для этого ФПСУ-IP

ping over nat.

 

Службы межсетевого экрана для этого ФПСУ-IP:

PING

Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана:

1.Правило, разрешающее исходящие соединения по протоколу ICMP хоста 192.168.0.1 на внутренний порт ФПСУ-IP А, IP-адрес источника и назначения преобразуются по заданным правилам NAT и MAP;

2.Правило, запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.

 

Правила МЭ:

1. ping over nat

     Общие

       Действие        : Accept

       Nat             : port2 iface2 vlan111 011.011.011.011

       Map             : 001.001.001.002 port -

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Адрес           :   192.168.000.001/32 192.168.000.001

     Назначение

       Интерфейс       :   port1 iface1 192.168.000.241

     Служба

       PING

 

2. Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

 

Службы

1. PING

       Описание        : Internet Control Message Protocol

       Протокол        : ICMP

     Тип сообщения ICMP: Любой

 

ФПСУ В

Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 указаны на ФПСУ B как используемые.

Порт 1:

Номер 1,

Адрес 192.168.000.002,

Маска 255.255.255.000 (24 разряда),

VLAN Нет;

ФПСУ не определены,

Маршрутизаторы:не определены,

протоколы маршрутизации выключены;

 

Абоненты:

Подсеть; Адрес 192.168.000.000; Маска 255.255.255.000 (24 разряда);

режим работы ретрансляция;

режим партнера данного порта — включен Ретрансляция  Через ФПСУ;

режим партнера другого порта - включен Ретрансляция  Через ФПСУ;

флаг "Работа разрешена" включен.

 

Порт 2:

Номер 1,

Адрес 001.001.001.002,

Маска 255.255.255.000 (24 разряда),

VLAN Нет;

ФПСУ:

001.001.001.001, ключевые данные - 2.1; смена через 120 сек;

сжатие и криптозащита - "запрещено" и "обязательно";

мост - выключен;

Правила межсетевого экрана для этого ФПСУ-IP

map.

 

Маршрутизаторы:не определены,

протоколы маршрутизации выключены;

 

Абоненты:

Хост; Адрес 011.011.011.011;

режим работы Через ФПСУ  001.001.001.001;

режим партнера данного порта — включен Ретрансляция  Через ФПСУ;

режим партнера другого порта - включен Ретрансляция  Через ФПСУ;

флаг "Работа разрешена" включен;

 

Правила межсетевого экрана для этого ФПСУ-IP

map

Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана:

1.Правило, разрешающее входящие соединения по протоколу ICMP с IP-адреса 11.11.11.11 на внешний порт ФПСУ-IP В, IP-адрес назначения подменяется по заданному правилу MAP;

2.Правило, запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.

Правила МЭ:

1. map

     Общие

       Действие        : Accept

       Map             : 192.168.000.001

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник

       Адрес           :   011.011.011.011/32 011.011.011.011

     Назначение

       Интерфейс       :   port2 iface2 001.001.001.002

     Служба

       PING

 

2. Block other traffic

     Общие

       Действие        : Drop

       Время работы    : Любое

       Лог             : Не вести лог

       Активно         : Да

     Источник        : Любой

     Назначение      : Любой

     Служба          : Любая

В конфигурациях ФПСУ-IP приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора.