Эти действия имеют тот же результат, что и ввод следующих команд CLI:
nat add globalpool
nat list globalpools
nat delete globalpool
Щелкните мышью на Return to Interface List для отображения страницы Security Interface Configuration. Для создания резервируемого соответствия щелкните на гиперссылке Add Reserved Mapping.
9.2.3. Pезервируемые преобразования NAT
Резервируемое преобразование позволяет преобразовать внешний интерфейс безопасности или IP-адрес из пула глобальных адресов в индивидуальный IP-адрес внутри сети. Преобразование основано на типе транспортировки и номере порта. Перед конфигурированием резервируемого преобразования следует сконфигурировать NAT.
Конфигурирование резервируемого преобразования NAT
Для установки резервируемого преобразования для существующих интерфейсов NAT выполните следующие операции.
1. В таблице NAT Security Interfaces щелкните мышью на гиперссылке Advanced NAT Configuration для интерфейса, к которому следует добавить резервируемое преобразования адресов. Появится страница Advanced NAT Configuration.
2.
 |
Щелкните на гиперссылке Add Reserved Mapping. Появится следующая страница:
Рис.76. Страница NAT Add Reserved Mapping
3. Эта страница позволяет сконфигурировать резервируемое преобразования адресов. Добавьте конкретные значения для следующих полей таблицы:
· Global IP Address: если выполняется преобразование относительно глобального IP-адреса, введите здесь этот адрес. Если преобразование выполняется относительно интерфейса безопасности (например, ppp - интерфеса по умолчанию), введите 0.0.0.0.
· Internal IP Address: IP-адрес конкретного хоста внутри сети.
· Transport Type: укажите тип транспортировки, который вы хотите отобразить с внешнего интерфейса на внутренний.
· Port Number: номер порта, который данный тип транспортировки использует для внешнего и внутреннего обмена данными в локальной сети.
4. После завершения конфигурирования таблицы щелкните мышью на Add reserved mapping. Таблица обновляется, и резервируемое преобразование адресов добавляется к конфигурации NAT.
Для удаления заданного резервируемого преобразования адресов щелкните на мышью на гиперссылке Delete, затем щелкните на кнопке Delete Reserved Mapping.
Эти действия имеют тот же результат, что и ввод следующих команд CLI:
nat add resvmap globalip
nat add resvmap interfacename
nat list resvmaps
nat delete resvmap
Щелкните мышью на Return to Interface List для отображения страницы Security Interface Configuration.
9.3. Брандмауэр (firewall)
Для использования функций брандмауэра необходимо ознакомиться со следующими терминами.
Фильтры портов (port filters)
Фильтры портов – это правила, определяющие, как должен обрабатываться пакет. Эти правила определяют тип протокола, диапазон номеров портов источника и назначения, а также указывают, разрешается или нет передача пакета. При поступлении пакета производится поиск его соответствия правилу в списке фильтрации для определения того, будет ли разрешено прохождение пакета. Если соответствие в списке не обнаружено, то по умолчанию пакет отклоняется. Фильтры могут перекрываться, так как при поиске ищется наиболее точное правило.
Проверки допустимости (validators)
Проверки допустимости аналогичны фильтрам портов. Это некие правила, определяющие обработку пакетов в зависимости от IP-адреса источника или назначения. Они позволяют указывать диапазоны IP-адресов и предпринимаемые действия над пакетами, посылаемыми или получаемыми с IP-адресов, лежащих в данном диапазоне. Этот эффективный механизм позволяет пользователям блокировать пакеты с определенных адресов, разрешая прохождение других пакетов.
Триггеры (triggers)
Триггеры безопасности, или триггеры защиты, используются для работы с протоколами, создающими отдельные сеансы. Некоторые прикладные протоколы во время нормальной работы открывают вторичные соединения. Самый простой пример этого – FTP (см. RFC 959). Клиент FTP устанавливает соединение с сервером, используя порт 21, но передача данных выполняется по отдельному соединению. Номер порта и инициатор соединения могут меняться в зависимости от FTP-клиента. Для того, чтобы FTP мог работать без триггеров, следует установить фильтры портов, разрешающие прохождение пакетов через правильные номера портов. Естественно, это связано со значительным риском для безопасности.
Можно избежать этого риска, используя триггеры защиты. Триггеры дают информацию механизму защиты о том, что возможны такие вторичные сеансы, и указывают метод их обработки. Вместо разрешения прохождения данных через порты в определенном диапазоне номеров, триггеры отслеживают ситуацию динамически, разрешая вторичные сеансы только тогда, когда это необходимо. Механизм триггеров не зависит от работы прикладного протокола и не требует считывания полезной нагрузки пакета, хотя это и происходит при использовании NAT.
Обнаружение вторжений в сеть
Маршрутизатор SI2000 Europa 728+ имеет средства защиты от ряда сетевых атак. Некоторые виды атак приводят к занесению хоста на некоторое время в черный список (т. е. никакой трафик от хоста не принимается ни при каких обстоятельствах). Другие атаки просто регистрируются.
9.3.1. Политики брандмауэра (Firewall)
Конфигурирование политик брандмауэра
Политика – это собирательный термин, применяемый для обозначения правил, применяемых ко входящему и исходящему трафику между двумя типами интерфейсов. Перед созданием политики требуется включить (enable) функцию Firewall.
Для отображения информации о политиках щелкните мышью на Security Policy Configuration в разделе Policies, Triggers, Intrusion Detection, Logging главной страницы Security. Появится следующая страница, содержащая таблицу текущих политик брандмауэра (Current Firewall Policies).
Рис.78. Страница с таблицей Current Policy Configuration
Таблица содержит информацию по каждой политике брандмауэра. Теперь можно сконфигурировать политики для включения в них фильтров портов и проверок допустимости.
Конфигурирование фильтров портов
Фильтр порта – это индивидуальное правило, которое определяет, какой вид трафика может передаваться между двумя интерфейсами, указанными в существующей политике.
Для конфигурирования фильтра портов выполните следующие операции.
· В таблице Current Security Policies щелкните на гиперссылке Port Filters для политики, которую требуется сконфигурировать. Появившаяся страница содержит три гиперссылки Add Filter, позволяющие создать три разных вида фильтров портов.
· Для фильтра TCP или UDP щелкните на Add TCP или UDP Filter. Появится следующая страница:
Рис.79. Страница Add TCP Port Filter
Укажите начало и конец диапазона портов (для протокола TCP или UDP), который необходимо фильтровать. Можно указать диапазон для номеров портов источника и назначения. Информацию о номерах портов приложений можно найти по ссылке http://www.ietf.org/rfc/rfc1700.txt. Затем, используя ниспадающие списки Direction, укажите, желаете ли вы разрешить или заблокировать входящий трафик и исходящий трафик. Щелкните мышью на Apply. Появится страница Firewall Port Filters, содержащая информацию о только что добавленном фильтре портов TCP.
· Для фильтров портов, отличных от TCP/UDP, щелкните на Add Raw IP Filter. Появится следующая страница:
Рис.80. Страница Add Raw IP Filter
Укажите номер протокола в текстовом поле Transport Type, например, для IGMP введите номер протокола 2. Более подробную информацию по номерам протоколов можно найти по ссылке http://www.ietf.org/rfc/rfc1700.txt. Затем, используя ниспадающие списки Direction, укажите, желаете ли вы разрешить или заблокировать входящий трафик и исходящий трафик. Щелкните мышью на Apply. Появится страница Firewall Port Filters, содержащая информацию о только что добавленном фильтре портов IP.
· Каждый отображаемый на странице Firewall Port Filters фильтр портов имеет связанную с ним гиперссылку Delete. Для удаления фильтра портов щелкните на этой ссылке, а затем на странице подтверждения щелкните на кнопке Delete. Фильтр будет удален из конфигурации брандмауэра.
Эти действия обеспечивают такой же результат, как и ввод следующих команд CLI:
firewall add portfilter
firewall list portfilters
firewall delete portfilter
Конфигурирование проверок допустимости (validators)
Проверка допустимости позволяет разрешать или блокировать трафик в зависимости от IP-адресов источника/назначения и маски сети. Трафик будет разрешен или заблокирован в зависимости от конфигурации проверки допустимости, указанной при создании политики.
Для конфигурирования проверки допустимости выполните следующие операции.
В таблице Current Firewall Policies щелкните на ссылке Host Validators для политики, которую требуется сконфигурировать. Появится страница Configure Validators. Щелкните мышью на ссылке Add Host Validator. Появится следующая страница: |
Рис.81. Страница Add Host Validator
В текстовом поле Host IP Address введите IP-адрес, который требуется разрешить или заблокировать. В текстовом поле Host Subnet Mask введите IP-адрес маски. Если необходимо фильтровать диапазон адресов, можно указать маску, например, 255.255.255.0. Если требуется фильтровать отдельный IP-адрес, используйте конкретный IP-адрес маски, например, 255.255.255.255. Щелкните на ниспадающем списке Direction и выберите направление трафика, которое проверка допустимости должна фильтровать. Щелкните мышью на Apply. Появится страница Configure Validators, содержащая информацию о только что добавленных проверках допустимости хоста. Каждый отображаемый на странице Configure Validators фильтр портов имеет связанную с ним гиперссылку Delete Host Validator. Для удаления проверки допустимости щелкните на этой ссылке, а затем на странице подтверждения щелкните на кнопке Delete Host Validator. Проверка допустимости будет удалена из конфигурации брандмауэра.9.3.2. Триггеры (triggers)
Конфигурирование тригеров
Триггер позволяет приложению открывать вторичный порт для передачи пакетов. Наиболее простые приложения, требующие вторичных портов – это FTP и NetMeeting.
Для конфигурирования триггера выполните следующие операции.
Перейдите в раздел Policies, Triggers and Intrusion Detection страницы Security Interface Configuration. Щелкните на Firewall Trigger Configuration. Появится страница Firewall Trigger |
Configuration. На данный момент на ней не определены никакие триггеры. Щелкните на ссылке New Trigger. Появится следующая страница:
Рис.83. Страница Add Trigger
Сконфигурируйте триггер следующим образом:· Transport Type: выберите тип транспортировки из ниспадающего списка, в зависимости от того, добавляете вы триггер для TCP - или для UDP-приложения.
· Port Number Start: введите начальный номер порта для диапазона портов триггера, используемого первичным сеансом.
· Port Number End: введите конечный номер порта для диапазона портов триггера, используемого первичным сеансом.
· Secondary Port Number Start: введите начальный номер порта для диапазона портов триггера, используемого вторичным сеансом.
· Secondary Port Number End: введите конечный номер порта для диапазона портов триггера, используемого вторичным сеансом.
· Allow Multiple Hosts: выберите allow, если вы желаете, чтобы вторичный сеанс инициировался к разным удаленным хостам (или с разных удаленных хостов). Выберите block, если вы желаете, чтобы вторичный сеанс инициировался только к одному и тому же удаленному хосту (или с одного и того же удаленного хоста).
· Max Activity Interval: введите максимальный интервал времени (в миллисекундах) между использованием сеансов через вторичный порт.
· Enable Session Chaining: выберите Allow или Block в зависимости от того, желаете ли вы или нет разрешить цепочку многоуровневых TCP-сеансов.
· Enable UDP Session Chaining: выберите Allow или Block в зависимости от того, желаете ли вы или нет разрешить цепочку многоуровневых UDP- и TCP-сеансов. Чтобы разрешить цепочку сеансов, необходимо задать для Enable Session Chaining значение Allow.
· Binary Address Replacement: выберите Allow или Block в зависимости от того, желаете ли вы или нет использовать замену двоичного адреса на существующем триггере.
· Address Translation Type: укажите, какой тип замены адреса установлен на триггере. Для разрешения замены адреса необходимо задать для Binary Address Replacement значение Allow.
После завершения конфигурирования триггера щелкните на Apply. Появится страница Firewall Trigger Configuration, содержащая информацию о только что сконфигурированном триггере. Каждый отображаемый триггер на странице Firewall Trigger Configuration имеет назначенную ему гиперссылку Delete. Для удаления триггера щелкните мышью на этой ссылке, затем на странице подтверждения щелкните на кнопке Delete. Появится страница Firewall Trigger Configuration с удаленной информацией об этом триггере. На странице имеются две гиперссылки:· Для добавления триггера щелкните на New Trigger.
· Для отображения страницы Security Interface Configuration щелкните на Return to Interface List.
Эти действия имеют тот же результат, что и ввод следующих команд CLI:
security add trigger
security list triggers
security set trigger endport
security set trigger startport
security set trigger multihost
security set trigger maxactinterval
security set trigger sessionchaining
security set trigger security set trigger UDPsessionchaining
security set trigger binaryaddressreplacement
security set trigger addressreplacement
9.3.3. Настройки для обнаружения вторжений в сеть
Конфигурирование настроек для обнаружения вторжений в сеть
Настройки условий обнаружения вторжений в сеть позволяют защитить сеть от таких вторжений, как атаки «отказ в обслуживании» (Denial of Service, DOS), сканирование портов и WEB-спуфинг.
Для конфигурирования настроек обнаружения вторжения в сеть выполните следующие операции.
1. Перейдите в раздел Policies, Triggers, Intrusion Detection, Logging страницы Security Interface Configuration. Шелкните мышью на Configure Intrusion Detection. Появится страница Firewall Configure Intrusion Detection, содержащая настройки по умолчанию:
Рис.84. Страница Configure Intrusion Detection
2. Сконфигурируйте обнаружение вторжений в сеть следующим образом.
3. Use Blacklist: выберите true или true в зависимости от того, желаете ли вы, чтобы внешние хосты заносились в черный список, если брандмауэр обнаруживает вторжение с этого хоста. Дя очистки черного списка внешних хостов щелкните на кнопке Clear Blacklist в нижней части страницы. Появится страница Security Interface Configuration.
4. Use Victim Protection: выберите true или false в зависимости от того, желаете ли вы защитить потенциальную жертву от предпринимаемых атак WEB-спуфинга.
5. DOS Attack Block Duration: введите время (в секундах), на которое брандмауэр блокирует подозрительные хосты при обнаружении попытки DOS-атаки.
6. Scan Attack Block Duration: введите время (в секундах), на которое брандмауэр блокирует подозрительные хосты при обнаружении попытки сканирования.
7. Victim Protection Block Duration: введите время (в секундах), в течение которого брандмауэр блокирует пакеты, адресованные жертве атаки типа спуфинга.
8. Maximum TCP Open Handshaking Count: введите максимальное число незаконченных сеансов квитирования TCP (в секунду), которое допускается брандмауэром до регистрации атаки SYN Flood.
9. Maximum Ping Count: введите максимальное число получаемых команд ping (в секунду), которое допускается брандмауэром до регистрации им атаки Echo Storm DOS.
10. Maximum ICMP Count: введите максимальное число пакетов ICMP (в секунду), которое допускается брандмауэром до регистрации им атаки ICMP Flood DOS.
11. После завершения конфигурирования условий обнаружения вторжений в сеть щелкните на Apply. Настройки обнаружения вторжений в сеть применяются к брандмауэру, и появляется страница Security Interface Configuration.
Эти действия имеют тот же результат, что и ввод следующих команд CLI:
security enable
firewall enable IDS
firewall set IDS blacklist
firewall set IDS victimprotection
firewall set IDS DOSattackblock
firewall set IDS SCANattackblock
firewall set IDS MaxTCPopenhandshake
firewall set IDS MaxPING
firewall set IDS MaxICMP
firewall set IDS blacklist clear
10. Поиск и устранение неисправностей
10.1. Режим восстановления
О работе маршрутизатора SI2000 Europa 728+ в режиме восстановления сигнализирует быстрое мигание двух светодиодных индикаторов: WAN и LAN.
10.1.1. Флэш-память
Основная флэш-память
Флэш-память Europa 728+ делится на две части. Первая часть содержит данные, необходимые для нормального функционирования Europa 728+. Это основной раздел памяти. В эту часть флэш-памяти записывается микропрограммное обеспечение. Основная часть флэш-памяти используется также для сохранения конфигураций, созданных посредством Telnet-управления или WEB-управления. Ознакомьтесь с примечанием "Внимание!" в разделе данного руководства, описывающем сохранение конфигураций. Если маршрутизатор Europa 728+ выключить или перезапустить до появления подтверждающего сообщения 'saved', то основная часть флэш-памяти будет повреждена. Такая же проблема возникает при обновлении микропрограммного обеспечения, когда во время этой процедуры выключается электропитание.
Флэш-память восстановления
Вторая часть флэш-памяти используется для загрузки маршрутизатора SI2000 Europa 728+ в режиме восстановления. В случае, если основная часть флэш-памяти повреждена, маршрутизатор Europa 728+ будет загружен в режиме восстановления, при этом необходимо будет переписать данные в основной раздел памяти вручную.
10.1.2. Обновление основной флэш-памяти
В случае, если основная часть флэш-памяти повреждена, маршрутизатор Europa 728+ будет загружен в режиме восстановления. В этом случае необходимо будет вручную обновить основной раздел памяти. При работе Europa 728+ в режиме восстановления Ethernet-соединение с ПК остается возможным. IP-адрес устанавливается на 192.168.1.1 и не подлежит изменению.
Процедуру обновления основной флэш-памяти из режима восстановления можно разделить на три части.
Конфигурирование LAN-интерфейса на ПК
Еще раз напомним о том, что для правильного конфигурирования ПК необходимо установить IP-адрес маршрутизатора Europa 728+ в режиме восстановления равным 192.168.1.1. Поэтому вам необходимо сконфигурировать LAN-интерфейс ПК с тем же значением подсети, что и для Europa 728+: 192.168.1.0. Информация о том, как изменить IP адрес ПК, содержится в подразделе IP-адрес, определяемый пользователем раздела «Настройки локальной сети и протокола TCP/IP».
Обновление флэш-памяти
Войдите в папку, в которой содержится файл .tar. Для обновления флэш-памяти введите следующую команду в окне терминала Linux/Unix или командной строке Windows:
recovery <имя tar-файла >
В процессе обновления мигает индикатор ALM. Когда мигание прекратится, процедура закончится, и маршрутизатор перезагрузится с использованием нового программного обеспечения.
Если после завершения этой процедуры маршрутизатор не перезагружается в нормальном режиме, следует обратиться к продавцу устройства или в центр техобслуживания.
10.2. Устранение неисправностей
Неиспранвость | Предлагаемый метод устранения |
При включения питания маршрутизатора Europa 728+ никакие индикаторы не горят. | Проверьте, подключен ли адаптер питания Europa 728+ к розетке питающей электросети. Если соединение адаптера с розеткой нормальное, обратитесь к дилеру или в центр техобслуживания. |
Невозможно установить соединение с использованием Telnet- или WEB-управления. | Проверьте соединение с Ethernet-портом и убедитесь в том, что кабель подключен. Убедитесь, что значение подсети на интерфейсе LAN ПК соответствует значению подсети на маршрутизаторе Europa 728+. Если вы не можете определить IP-адрес маршрутизатора Europa 728+, выключите устройство и снова включите его, удерживая кнопку RST нажатой для восстановления конфигурации по умолчанию, для которой известен IP-адрес: 192.168.1.1. |
Доступ в Интернет невозможен. | Убедитесь, что вы ввели правильную информацию, полученную от провайдера. Проверьте имя пользователя, пароль, VCI, VPI, инкапсуляцию. Проверьте кабели, подключенные к Ethernet-порту. |
Некоторые WEB-страницы доступны, а некоторые – нет. | Когда маршрутизатор SI2000 Europa 728+ сконфигурирован как PPPoE-клиент, то может оказаться так, что некоторые WEB-страницы будут загружаться, а некоторые – нет. Иногда по некоторым IP-маршрутам узел TCP/IP может посылать небольшое количество данных (обычно менее 1500 байт) без проблем, но попытки передать большее количество данных приводят к зависанию и блокировке по времени. Часто это наблюдается как проблема при передаче в одном направлении. передача большого объема данных в одном направлении происходит успешно, но невозможна в другом напралении. Эта проблема обычно связана со значением TCP MSS. Включите (enable) TCP MSS Clamp в настройках IP-интерфейса WAN-соединения. |
[ДС1]Including what? If including some of the following items below, they must be bulleted differently…
[ДС2]
[d3] There is no such section.
[d4] There is no such section?
[d5] I hope we guessed correctly about its destination…
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 |
