Базовая настройка ФПСУ-IP для ретрансляции пакетов локальной сети
|
|
Базовая настройка ФПСУ-IP для ретрансляции пакетов локальной сети |
|
|
Предположим, что IP-сеть организации до установки ФПСУ-IP представляла одну подсеть с IP-адресом 203.0.113.0 и маской 255.255.255.0 (24 разряда) и содержала маршрутизатор для выхода в другие IP-сети. IP-адреса 1 и 2 портов ФПСУ-IP совпадают, для ФПСУ-IP это допустимо, если в локальной сети доступно ограниченное количество свободных IP-адресов. После установки ФПСУ-IP топология сети приобрела вид, отображенный на схеме ниже. С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее: •со стороны порта 1 (защищаемая область) существует одна подсеть; маршрутизаторы и другие ФПСУ-IP, через которые абоненты будут доступны с порта 1, отсутствуют; •со стороны порта 2 абоненты не определены, доступ к ним будет осуществляться через маршрутизатор (по IP-адресу связанного с ФПСУ-IP порта), а другие ФПСУ-IP отсутствуют; •обмен абонентов защищаемой области с абонентами Internet/Intranet может производиться только в режиме ретрансляции. Сжатие и криптозащита трафика не применяется; •работа с ключевыми данными при такой топологии не требуется.
Конфигурация ФПСУ-IP должна содержать следующие установки: ===================================================================== Порт 1: Номер 1; Адрес 203.0.113.7; Маска 255.255.255.0 (24 разряда); ФПСУ не определены; Маршрутизаторы не определены; Абоненты: Подсеть; Адрес 203.0.113.0; Маска 255.255.255.0; режим работы ретрансляция; режим партнера этого порта — выключен; режим партнера другого порта - включен только в ретрансляции; флаг "Только Broadcast" выключен; флаг "Отвечать на Ping" - на усмотрение администратора; флаг "Работа разрешена" включен. Хост; 203.0.113.1; режим работы ретрансляция; режим партнера этого порта - выключен; режим партнера другого порта - включен только в ретрансляции; флаг "Отвечать на Ping" - на усмотрение администратора; флаг "Работа разрешена" включен.
Порт 2: Номер 2; Адрес 203.0.113.7; Маска 255.255.255.0 (24 разряда); ФПСУ не определены; Маршрутизаторы 203.0.113.30; протоколы маршрутизации выключены; флаг "Отвечать на Ping" - на усмотрение администратора. Абоненты: Любой хост режим работы ретрансляция; через маршрутизатор 203.0.113.30; флаг "Работа разрешена" включен. ===================================================================== При необходимости администратор может регламентировать доступ к хостам своей подсети только по определенным протоколам и/или TCP/UDP-портам (через включение дополнительных правил межсетевого экрана, см. раздел «Параметры доступа, правила трафика межсетевого экрана», в данном примере их настройка не рассматривается). Остальные параметры конфигурации (например, обработка IP-опций или сокрытие фильтрующих свойств комплекса) описываются на усмотрение администратора. |
