Использование ФПСУ-IP для объединения офисов с одинаковой внутренней адресацией
|
|
Использование ФПСУ-IP для объединения офисов с одинаковой внутренней адресацией |
|
|
Предположим, что есть две территориально разделенные сети с одинаковой адресацией, для защиты которых применяются ФПСУ-IP, необходимо обеспечить доступ хостов одной сети в другую через ФПСУ-туннель. Например, если в одной из сетей расположен сервер, защищенный доступ к которому предоставляется хостам из другой сети. Такая организация защищаемых подсетей приведет к следующей логике конфигурирования: •обмен между защищаемыми областями должен производиться только внутри организованного ФПСУ-IP VPN-туннеля; •на каждом ФПСУ-IP должны быть установлены ранее выработанные криптографические ключи парно-выборочной связи. Причем на ФПСУ-IP А указан используемый номер ключа 1, на ФПСУ-IP В - номер 2; ФПСУ-IP А •со стороны внутреннего порта 1 существует одна подсеть; маршрутизаторы и другие ФПСУ-IP, через которые абоненты будут доступны с порта 1, отсутствуют; •со стороны порта 1 описана подсеть, обмен хостов которой через комплекс производится в режиме ретрансляции; •со стороны порта 1 описан абонент 192.168.0.1, обмен данными с которым определяется правилом МЭ, в правиле определена трансляция сетевых адресов и задана переадресация порта; •со стороны внешнего порта 2 определен ФПСУ-IP В и описан как абонент, обмен данными с которым определяется правилом МЭ, в правиле определена трансляция сетевых адресов и задана переадресация порта; ФПСУ-IP В •со стороны внутреннего порта 1 существует одна подсеть; маршрутизаторы и другие ФПСУ-IP, через которые абоненты будут доступны с порта 1, отсутствуют; •со стороны порта 1 описана подсеть с той же адресацией, что и на ФПСУ-IP А, обмен хостов данной подсети через комплекс производится в режиме ретрансляции; •со стороны внешнего порта 2 определен ФПСУ-IP А, обмен данными с которым определяется правилом МЭ, в правиле задана переадресация порта; •со стороны порта 2 описан абонент 11.11.11.11, обмен данными с которым определяется правилом МЭ, в правиле задана переадресация порта; Хост 192.168.0.1 защищаемой области А отправляет эхо-запрос (ping) на внутренний IP-адрес ФПСУ-IP А. Правилом МЭ данный запрос разрешен. На ФПСУ-IP А с помощью NAT IP-адрес отправителя 192.168.0.1 подменяется на 11.11.11.11, с помощью MAP IP-адрес получателя 192.168.0.241 подменяется на внешний IP-адрес ФПСУ-IP В 1.1.1.2. Запрос отправляется на ФПСУ-IP В. Правилом МЭ данный запрос разрешен. На ФПСУ-IP В с помощью MAP IP-адрес получателя 1.1.1.2 подменяется на 192.168.0.1. Запрос отправляется хосту 192.168.0.1 защищаемой области В. Ответ хоста 192.168.0.1 защищаемой области В проходит обратное преобразование при прохождении ФПСУ-IP В и ФПСУ-IP А. На ФПСУ-IP реализовано отслеживание инициатора запроса - возвратный трафик разрешен.
ФПСУ-IP А Установлены выработанные ЦВК ключи парно-выборочной связи номер 1. Ключи номер 1 указаны на ФПСУ А как используемые. Порт 1: Номер 1, Адрес 192.168.000.241, Маска 255.255.255.000 (24 разряда), VLAN Нет; ФПСУ не определены, Маршрутизаторы:не определены, протоколы маршрутизации выключены; флаг "Отвечать на Ping" - на усмотрение администратора.
Абоненты: Подсеть; Адрес 192.000.000.000; Маска 255.000.000.000 (8 разряда); режим работы ретрансляция; режим партнера данного порта — включен Ретрансляция Через ФПСУ; режим партнера другого порта - включен Ретрансляция Через ФПСУ; флаг "Работа разрешена" включен.
Хост; Адрес 192.168.000.001; режим работы ретрансляция; режим партнера данного порта — включен Ретрансляция Через ФПСУ; режим партнера другого порта - включен Ретрансляция Через ФПСУ; флаг "Работа разрешена" включен; Правила межсетевого экрана для этого абонента ping over nat.
Порт 2: Номер 2, Адрес 001.001.001.001, Маска 255.255.255.000 (24 разряда), VLAN Нет; Адрес 011.011.011.011, Маска 255.255.255.000 (24 разряда), VLAN 111; ФПСУ: 001.001.001.002, ключевые данные - 1; смена через 120 сек; сжатие и криптозащита - "запрещено" и "обязательно"; мост - выключен; Маршрутизаторы:не определены, протоколы маршрутизации выключены;
Абоненты: Хост; Адрес 192.168.000.002; режим работы Через ФПСУ 001.001.001.002; режим партнера данного порта — включен Ретрансляция Через ФПСУ; режим партнера другого порта - включен Ретрансляция Через ФПСУ; флаг "Работа разрешена" включен;
Правила межсетевого экрана для этого ФПСУ-IP ping over nat.
Службы межсетевого экрана для этого ФПСУ-IP: PING Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана: 1.Правило, разрешающее исходящие соединения по протоколу ICMP хоста 192.168.0.1 на внутренний порт ФПСУ-IP А, IP-адрес источника и назначения преобразуются по заданным правилам NAT и MAP; 2.Правило, запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана.
Правила МЭ: 1. ping over nat Общие Действие : Accept Nat : port2 iface2 vlan111 011.011.011.011 Map : 001.001.001.002 port - Время работы : Любое Лог : Не вести лог Активно : Да Источник Адрес : 192.168.000.001/32 192.168.000.001 Назначение Интерфейс : port1 iface1 192.168.000.241 Служба PING
2. Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая
Службы 1. PING Описание : Internet Control Message Protocol Протокол : ICMP Тип сообщения ICMP: Любой
ФПСУ В Установлены выработанные ЦВК ключи парно-выборочной связи номер 2. Ключи номер 2 указаны на ФПСУ B как используемые. Порт 1: Номер 1, Адрес 192.168.000.002, Маска 255.255.255.000 (24 разряда), VLAN Нет; ФПСУ не определены, Маршрутизаторы:не определены, протоколы маршрутизации выключены;
Абоненты: Подсеть; Адрес 192.168.000.000; Маска 255.255.255.000 (24 разряда); режим работы ретрансляция; режим партнера данного порта — включен Ретрансляция Через ФПСУ; режим партнера другого порта - включен Ретрансляция Через ФПСУ; флаг "Работа разрешена" включен.
Порт 2: Номер 1, Адрес 001.001.001.002, Маска 255.255.255.000 (24 разряда), VLAN Нет; ФПСУ: 001.001.001.001, ключевые данные - 2.1; смена через 120 сек; сжатие и криптозащита - "запрещено" и "обязательно"; мост - выключен; Правила межсетевого экрана для этого ФПСУ-IP map.
Маршрутизаторы:не определены, протоколы маршрутизации выключены;
Абоненты: Хост; Адрес 011.011.011.011; режим работы Через ФПСУ 001.001.001.001; режим партнера данного порта — включен Ретрансляция Через ФПСУ; режим партнера другого порта - включен Ретрансляция Через ФПСУ; флаг "Работа разрешена" включен;
Правила межсетевого экрана для этого ФПСУ-IP map Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана: 1.Правило, разрешающее входящие соединения по протоколу ICMP с IP-адреса 11.11.11.11 на внешний порт ФПСУ-IP В, IP-адрес назначения подменяется по заданному правилу MAP; 2.Правило, запрещающее любые входящие и исходящие соединения, обязательно присутствует последним правилом в правилах МЭ при активации межсетевого экрана. Правила МЭ: 1. map Общие Действие : Accept Map : 192.168.000.001 Время работы : Любое Лог : Не вести лог Активно : Да Источник Адрес : 011.011.011.011/32 011.011.011.011 Назначение Интерфейс : port2 iface2 001.001.001.002 Служба PING
2. Block other traffic Общие Действие : Drop Время работы : Любое Лог : Не вести лог Активно : Да Источник : Любой Назначение : Любой Служба : Любая В конфигурациях ФПСУ-IP приведены только необходимые для работоспособности схемы настройки, дополнительно для абонентов должен быть выключен флаг «Только Broadcast», флаг «Отвечать на Ping» устанавливается на усмотрение администратора. |
