Защита локальной сети, состоящей из двух IP-подсетей

Представим теперь, что защищаемая область состоит из двух IP-подсетей, абоненты которых должны обмениваться пакетами не только с абонентами Internet/Intranet, но и друг с другом, причем эти обмены также должны фильтроваться установленным ФПСУ-IP. В таком случае пакеты от абонентов IP-подсети 1 будут передаваться на порт 1 комплекса ФПСУ-IP, с которого они будут передаваться обратно в защищаемую область и доставляться абонентам IP-подсети 2 (аналогично будут передаваться пакеты абонентов подсети 2, направленные абонентам подсети 1). IP-адреса 1 и 2 портов ФПСУ-IP совпадают, для ФПСУ-IP это допустимо, если в локальной сети доступно ограниченное количество свободных IP-адресов.

Такая организация защищаемой подсети приведет к следующей логике конфигурирования:

На порту 1 ФПСУ-IP должны быть описаны две различные IP-подсети и для каждой подсети (или ее отдельных абонентов) должна быть разрешена работа с партнером своего порта в режиме «ретрансляции». Кроме того, все хосты защищаемой области должны быть сконфигурированы таким образом, чтобы в качестве маршрутизатора по умолчанию у них был указан маршрутизатор с адресом 192.168.1.30 или IP-адрес 1-го порта ФПСУ-IP.

На работу подсети наложены следующие ограничения:

•хост с IP-адресом 192.168.1.1 является администратором маршрутизатора, обмен IP-пакетами с подсетью 2 ему запрещен; кроме того, он должен иметь круглосуточный доступ в сеть Internet/Intranet;

•остальные хосты подсети 1 и хосты подсети 2 имеют доступ друг к другу и не должны взаимодействовать с Internet/Intranet.

С точки зрения конфигурирования ФПСУ-IP для работы в условиях такой топологии и удовлетворения наложенных требований принципиальным является следующее:

•со стороны внутреннего порта комплекса (порта 1) существуют две отдельные IP подсети, маршрутизаторы и ФПСУ-IP отсутствуют;

•со стороны порта 2 абоненты не определены, доступ к ним будет осуществляться через маршрутизатор (по IP-адресу связанного с ФПСУ-IP порта), а другие ФПСУ-IP отсутствуют;

•обмен администратора защищаемой области с абонентами общедоступной сети передачи данных может производиться только в режиме ретрансляции, сжатие и криптозащита не применяются;

•работа с ключевыми данными при такой топологии не требуется;

•абонентам подсетей 1 и 2 работа разрешается только с абонентами со стороны своего порта, причем администратор маршрутизатора не должен участвовать в таких обменах;

•абонент с IP-адресом 192.168.1.1 должен обмениваться пакетами с абонентами со стороны порта 2 и должен быть допущен к управлению маршрутизатором.

Конфигурация ФПСУ-IP должна содержать следующие установки:

=====================================================================

Порт 1:

Номер 1;

Адрес 192.168.1.7;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы не определены;

Абоненты:

Подсеть; 192.168.1.0; 255.255.255.0 (24 разряда);

режим работы ретрансляция;

режим партнера этого порта - включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Подсеть; 192.168.2.0; 255.255.255.0 (24 разряда);

режим работы ретрансляция;

режим партнера этого порта - включен только в ретрансляции;

режим партнера другого порта - включен только в ретрансляции;

флаг "Только Broadcast" выключен;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Хост; 192.168.1.1;

режим работы ретрансляция;

режим партнера этого порта - выключен;

режим партнера другого порта - включен только в ретрансляции;

флаг "Отвечать на Ping" - на усмотрение администратора;

флаг "Работа разрешена" включен.

Порт 2:

Номер 2;

Адрес 192.168.1.7;

Маска 255.255.255.0 (24 разряда);

ФПСУ не определены;

Маршрутизаторы

192.168.1.30;

протоколы маршрутизации выключены;

флаг "Отвечать на Ping" - на усмотрение администратора.

Абоненты:

Любой хост;

режим работы ретрансляция;

через маршрутизатор 192.168.1.30;

флаг "Работа разрешена" включен.

=====================================================================

Для выполнения дальнейших настроек рекомендуется ознакомиться с разделом «Параметры доступа, правила трафика межсетевого экрана».

Межсетевой экран ФПСУ-IP должен быть задействован. Должны быть созданы и задействованы следующие правила межсетевого экрана:

1.Правило, разрешающее взаимодействие абонента 192.168.1.1 (источник) с маршрутизатором 192.168.1.30 (назначение);

2.Правило, разрешающее взаимодействие абонента 192.168.1.1 (источник), и абонента Любой хост 2 порта ФПСУ-IP (назначение);

3.Правило, разрешающее взаимодействие абонентов всех абонентов подсетей 1 и 2 (источник), и абонентов подсетей 1 и 2 (назначение);

4.Правило, запрещающее взаимодействия абонента 192.168.1.1 (и в качестве источника, и в качестве назначения), с абонентами подсети 2 (источник и назначение). Причем это правило должно иметь приоритет выше, чем правило из пункта 3.

Дополнительно, администратор может регламентировать доступ по времени (через выбор из ранее созданных интервалов времени в выпадающем списке «Время работы» правила доступа, см. пункт «Интервалы времени»).

Остальные параметры конфигурации (например, обработка IP-опций или сокрытие фильтрующих свойств комплекса) описываются на усмотрение администратора.

В данном примере функциональное отделение абонента 192.168.1.1 от IP-подсети 2 (запрещение обменов) производится двумя независимыми друг от друга ограничениями:

1.По настройке абонента 192.168.1.1 в разделе конфигурации «Порты ФПСУ», по признаку «Режим партнера – Данного порта» (режим «Ретрансляция» выключен);

2.Правилом 4. межсетевого экрана из списка выше.

Несмотря на то, что хостам со стороны порта 1 (исключая администратора) запрещено выходить в общедоступную сеть передачи данных, режим работы с партнером другого порта (ретрансляция) для них включен. Это объясняется тем, что данный режим отключить нельзя, поскольку отключение обоих режимов работы с партнером другого порта (по недосмотру или ошибке администратора) может привести к тому, что обмен пакетами через ФПСУ-IP окажется невозможен и абоненты защищаемой области окажутся отрезанными от сети. Запрещение работы этим хостам будет обеспечиваться тем, что единственный абонент, описанный со стороны порта 2 через запись «Любой хост», включен только в одно правило доступа, разрешающее взаимодействие лишь с абонентом 192.168.1.1.