WWW.NET.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Интернет ресурсы
 

Pages:   || 2 | 3 |

«Межсетевой экран R75.40VS Руководство администратора системы 16 октября 2012 © 2010 Check Point Software Technologies Ltd. Все права сохранены. Настоящий продукт и ...»

-- [ Страница 1 ] --

Межсетевой экран

R75.40VS

Руководство администратора системы

16 октября 2012

© 2010 Check Point Software Technologies Ltd.

Все права сохранены. Настоящий продукт и соответствующая документация защищены

авторским правом и предоставляются на основании лицензии, ограничивающей применение,

копирование, распространение и декомпиляцию. Данный продукт или соответствующую

документацию запрещается, полностью или частично, воспроизводить в какой-либо форме или

каким-либо образом без предварительного письменного согласия Check Point. При подготовке настоящей документации она тщательно проверялась авторами, и в то же время Check Point не берет на себя ответственность за возможные ошибки или пропуски. Все имеющиеся в документах материалы могут быть изменены без предварительного уведомления.

ОБ ОГРАНИЧЕНИИ ПРАВ:

Использование, копирование или разглашение государственными органами осуществляется с учетом ограничений, указанных в абзаце (с) (1) (ii) Прав на технические данные и программное обеспечение изложенных в Положении DFARS 252.227-7013 и FAR 52.227-19.

ТОРГОВЫЕ МАРКИ:

Список наших торговых марок приведен на странице авторских прав (http://www.checkpoint.com/copyright.html).

Список соответствующих авторских прав и сторонних лицензий приведен в уведомлениях об авторских правах независимых разработчиков (http://www.checkpoint.com/3rd_party_copyright.html).

Важная информация Последняя версия программного обеспечения Мы рекомендуем вам установить самую новую версию программного обеспечения, чтобы иметь возможность оставаться на современном уровне, используя последние функциональные усовершенствования, исправления, повышающие устойчивость работы, улучшения средств безопасности и защиту против новых и разрабатываемых злонамеренных действий по перехвату информации.

Новейшая документация

Последняя версия этого документа содержится по адресу:

http://supportcontent.checkpoint.com/documentation_download?ID=16261 Для получения дополнительной технической информации посетите центр технического обслуживания Check Point (http://supportcenter.checkpoint.com).

Более подробно об этом выпуске смотрите на домашней странице R75.40VS (http://supportcontent.checkpoint.com/solutions?id=sk76540).

История редакций Дата Описание 16 октября 2012 Обновлено Создание объекта IPv6 (страница 70) 16 июля 2012 Первый выпуск данного документа Обратная связь Check Point непрерывно работает над усовершенствованием своей документации.

Просим Вас помочь нам в этом, направляя Ваши комментарии (mailto:cp_techpub_feedback@checkpoint.com?subject=Feedback on Firewall R75.40VS Administration Guide).

Содержание Важная информация 3 Контроль доступа 8 Обзор контроля доступа

Контроль приложений и Распознавание идентификационной информации................9 Правила и База Правил

Элементы Базы Правил

Подразумеваемые правила

Порядок применения правил

Важные замечания по Контролю доступа

Панель инструментов SmartDashboard

Определение правил Контроля доступа

Определение политики Контроля доступа

Счетчик срабатываний

Предотвращение подмены адреса источника

Конфигурация Анти-спуфинга

Исключение определенных внутренних адресов

Legal Addresses

Контроль доступа групповой передачи

Протокол многоадресной маршрутизации

Динамическая регистрация с использованием IGMP

Групповая адресация IP

Ограничения групповой передачи на уровне интерфейса

Конфигурация контроля доступа групповой передачи

Безопасность служб Microsoft Networking

Защита служб Microsoft Networking (CIFS)

Ограничение доступа к серверам и общим сетевым ресурсам (CIFS ресурс)...........25 Аутентификация 26 Распознавание идентификационной информации Identity Awareness

Запрос AD

Аутентификация на основе браузера

Агенты идентификации (Identity Agents)

Развертывание

Сценарии Identity Awareness

Сбор идентификационной информации от пользователей Active Directory...............35 Конфигурирование Identity Awareness

Трансляция сетевых адресов 46 Способы трансляции NAT

Статический NAT

Маскирующий NAT

Трансляция портов

Автоматический Маскирующий NAT для внутренних сетей

База правил NAT

Порядок соответствия правил

Автоматические и созданные вручную правила NAT

Двунаправленный NAT

Понимание автоматического создания правил

Вопросы планирования для NAT

Маскирование против Статики

Автоматические правила и Ручные правила

Выбор адреса Скрытия в Маскирующем NAT

Частные рекомендации по использованию

Конфигурация NAT

Основные шаги конфигурации NAT

Базовая конфигурация — сетевой узел с Маскирующим NAT

Пример конфигурации (Статический и Маскирующий NAT)

Пример конфигурации (Использование Ручных правил для трансляции портов).....56 Расширенная конфигурация NAT

Подключение транслированных объектов на различные интерфейсы

Внутренний обмен информацией с перекрывающимися адресами

Управление безопасностью за NAT

Пул адресов NAT

IPv6 67 Поддерживаемые функции

Включение протокола IPv6 на Шлюзе Безопасности

SecurePlatform

Устройства IPSO

Gaia

Отключение IPv6 на Шлюзе Безопасности

SecurePlatform

Устройства IPSO

Gaia

Работа с IPv6 в SmartConsole

Создание объекта IPv6

Правила IPv6

Анти-спуфинг для IPv6-адресов

IPv6 в SmartView Tracker

Работа с ICMPv6

IPv6 с ClusterXL

Расширенные функции

Определение правил только для IPv6 или IPv4

Traceroute IPv6

Заголовки расширений IPv6

Работа с туннелями 6in4

Частичная фильтрация на основе адреса

Доступ к ядру IPv6

Резервирование Интернет-провайдера (ISP redundancy) 78 Режимы резервирования провайдера

Конфигурирование ISP Redundancy (Резервирования провайдера)

Конфигурирование каналов связи с провайдером

Конфигурирование Шлюза Безопасности на обработку DNS-запросов

Конфигурирование Межсетевого экрана

Конфигурирование с VPN

Force ISP Link State

Редактирование скрипта резервирования провайдера

Защита от спама и почта 84 Введение в защиту от спама и безопасность почты

Обзор безопасности почты

Защита от спама

Функция Адаптивная непрерывная загрузка (Adaptive Continuous Download)...........86 Конфигурация защиты от спама

Настройка политики защиты от спама на основе содержания

Конфигурация политики IP-репутации

Конфигурация Черного списка (Block List)

Конфигурация Anti-Spam SMTP

Конфигурация Anti-Spam для POP3

Конфигурация исключенных сетей

Конфигурация Белого списка (Allow List)

Выбор специализированного сервера

Защита от спама на устройствах UTM-1 Edge

Режим моста и защита от спама

Конфигурация антивирусной защиты для почты

Конфигурация почтового антивируса

Конфигурация защиты от вредоносных программ нулевого дня

Конфигурация SMTP и POP3

Настройка типов файлов

Конфигурация настроек

Конфигурация сообщения об ограничении ответственности

Протоколирование и мониторинг защиты от спама

Отчеты о ложных срабатываниях для Check Point

Параметры отслеживания и отчетности защиты от спама

SmartView Tracker

SmartView Monitor

SmartReporter

VoIP 95 ConnectControl - балансировка нагрузки на сервер

Введение в ConnectControl

Методы балансировки нагрузки

Поток пакетов при работе ConnectControl

Типы логических серверов

Тип HTTP

Тип Другой

На что обратить внимание при использовании логических типов серверов..............99 Режим постоянный сервер

Постоянство по серверу

Постоянство по службе

Время ожидания для постоянного сервера

Доступность сервера

Измерение нагрузки

Конфигурирование ConnectControl

Администрирование CoreXL

Поддерживаемые платформы и компоненты

Конфигурация по умолчанию

CoreXL для IPv6

Настройка производительности

Распределение обрабатывающих ядер

Распределение процессорных ядер

Конфигурирование CoreXL

Cправочная информация по командной строке

Настройки привязки

fwaffinity.conf

fwaffinty_apply

fw ctl affinity

fw ctl multik stat

Приложение А: Защита до активации Межсетевого экрана 112 Успешное выполнение защиты до активации межсетевого экрана

Защита загрузки системы

Контроль Пересылки IP-пакетов при загрузке системы

Фильтр по умолчанию

Преобразование Фильтра по умолчанию в фильтр Сброса

Определение настраиваемого Фильтра по умолчанию

Использование Фильтра по умолчанию для технического обслуживания................114 Первоначальная политика

Управление Фильтром по умолчанию и Первоначальной политикой

Проверка загрузки Фильтра по умолчанию или Первоначальной политики.............116 Выгрузка Фильтра по умолчанию или Первоначальной политики

Устранение неполадок: не удается выполнить перезагрузку

Справочная информация по командной строке

Приложение Б: Унаследованная аутентификация 120 Конфигурация аутентификации

Как шлюз осуществляет поиск пользователей

Схемы аутентификации

Пароль Check Point

Пароли операционной системы

RADIUS

SecurID

TACACS

Неопределенные

Способы аутентификации

Аутентификация пользователя

Аутентификация сессии

Аутентификация клиента

Создание пользователей и групп

Создание групп пользователей

Создание шаблона пользователя

Создание пользователей

Установка информации о пользователе в базе данных

Конфигурирование отслеживания аутентификации

Конфигурация политики для групп пользователей Windows

Приложение В: Функция Cooperative Enforcement (Согласованное принуждение) 139 Режим принуждения

Условия использования NAT

Режим Monitor Only (Только мониторинг)

Конфигурация Cooperative Enforcement

Алфавитный указатель 142 Глава 1 Контроль доступа В этой главе Обзор контроля доступа 8 Правила и База Правил 10 Предотвращение подмены адреса источника 18 Контроль доступа групповой передачи 21 Безопасность служб Microsoft Networking 24 Обзор контроля доступа На границе сети Шлюз Безопасности проверяет и обеспечивает контроль доступа для всего трафика. Трафик, который не идет через шлюз не регулируется.

Администратор безопасности отвечает за реализацию политики безопасности компании.

С помощью сервера Управления Безопасностью администратор может обеспечить соблюдение политик безопасности последовательно между несколькими шлюзами. Для этого администратор при помощи SmartDashboard определяет в масштабах всей компании Базу Правил политик безопасности и устанавливает ее на сервер Управления Безопасностью. SmartDashboard является клиентским приложением SmartConsole, которое используют администраторы для определения и применения политик безопасности на шлюзах. Детализированное управление политиками безопасности позволяет применять особые правила для конкретных шлюзов.

Детальное понимание Шлюзом Безопасности всех основных служб и приложений передающихся по сети обеспечивает безопасное управление доступом. Технология Инспекции пакетов с учетом состояния протокола (Stateful Inspection) обеспечивает полную осведомленность до уровня приложений и позволяет контролировать доступ для предопределенных приложений, служб и протоколов, а также возможность задавать и определять собственные службы.

Межсетевой экран Руководство администратора системы R75.40VS | 8 Контроль доступа Контроль приложений и Распознавание идентификационной информации

Для эффективного контроля доступа, администраторы должны:

• Контролировать, как приложения получают доступ и используют сетевые ресурсы

• Быть осведомлены об идентификационных данных пользователей и компьютеров за IPадресами Необходимость контроля приложений Широкое внедрение социальных медиа-приложений и приложений Web 2.0 меняет способы использования людьми сети Интернет. Предприятиям больше чем когда-либо приходится поддерживать защиту на должном уровне.

Для администратора использование интернет-приложений представляет собой новые трудности.

Например:

• Угрозы от вредоносного ПО — приложения, использование которых может открыть сеть для угроз от вредоносного ПО. Использование популярных приложений, таких как Twitter, Facebook и YouTube может привести к непреднамеренной загрузке вирусов пользователями.

Общий доступ к файлам может легко привести к загрузке в вашу сеть вредоносного ПО.

• Захват пропускной способности — Приложения, которые используют широкую полосу пропускания, например, потоковое видео, могут ограничить пропускную способность, доступную для важных бизнес-приложений.

• Потеря производительности — сотрудники могут тратить время на социальные сети и другие приложения, серьезно снижающие производительность труда.

Работодатели не знают, что сотрудники делают в интернете, и как на самом деле это влияет на них.

Для получения дополнительной информации о контроле приложений, смотрите в разделе R75.40VS Контроль приложений и фильтрация URL-адресов Руководство администратора (http://supportcontent.checkpoint.com/solutions?id=sk76540).

Необходимость в распознавании идентификационной информации Традиционно, межсетевые экраны используют IP-адреса для мониторинга трафика и не знают пользователей и компьютеры, которым принадлежат IP-адреса. Распознавание идентификационной информации снимает анонимность, поскольку отображает идентификационные данные о пользователях и компьютерах. Это позволяет контролировать доступ и вести аудит на основе идентификационных данных.

Распознавание идентификационной информации (Identity Awareness) — простое в развертывании и масштабируемое решение. Оно применимо как для Active Directory, так и не основанных на Active Directory сетей, а также для работающих по найму и гостевых пользователей. В настоящее время решение доступно на блейдах Firewall и Application Control, в будущем будет работать и с другими блейдами.

Решение Identity Awareness позволяет легко настроить доступ к сети и аудит на основе сетевого расположения, а также:

• Идентификационных данных пользователя

• Идентификационных данных компьютера Когда Identity Awareness определяет источник или назначение, оно отображает IP-адрес пользователя или компьютера вместе с именем. Это, в частности, позволяет создавать правила межсетевого экрана с любым из этих параметров. Вы можете определить правила межсетевого экрана для конкретных пользователей, работающих на конкретных компьютерах или правила Межсетевой экран Руководство администратора системы R75.40VS | 9 Контроль доступа межсетевого экрана для конкретного пользователя, независимо от того, на каком компьютере он работает.

В SmartDashboard, можно использовать объекты Роль доступа (Access Role) для определения пользователей, устройств и сетевого расположения как один объект.

Для получения дополнительной информации о Identity Awareness, смотрите в разделе R75.40VS Распознавание идентификационной информации Руководство администратора (http://supportcontent.checkpoint.com/solutions?id=sk76540).

Правила и База Правил База Правил — это упорядоченный набор правил, задающих Политику Безопасности. Для любого эффективного решения в области безопасности имеет большое значение четко определенная политика безопасности. Основополагающим принципом Базы Правил является то, что все действия, которые явно не разрешены — запрещены.

Каждое правило описывает сетевые взаимодействия в терминах его источника, места назначения, типа используемой службы и действие, которое необходимо принять для каждого сеанса. Правило также определяет, каким образом отслеживаются события. События могут регистрироваться, а затем выдается предупреждающее сообщение. Просмотр журналов трафика и выданных предупреждений является важным аспектом управления безопасностью.

Элементы Базы Правил Правило состоит из следующих элементов Базы Правил (не все поля имеют отношение к данному правилу):

–  –  –

Подразумеваемые правила Помимо правил явно заданных администратором, Шлюз Безопасности также создает подразумеваемые правила, которые вытекают из описаний Глобальных Свойств. Подразумеваемые правила допускают некоторые соединения, как на вход так и на выход из шлюза с использованием различных служб. Межсетевой экран размещает подразумеваемые правила либо в начале, либо в конце или непосредственно перед последним правилом Базы Правил.

Примеры подразумеваемых правил включают в себя правила, которые позволяют Шлюзам Безопасности управлять соединениями и исходящими пакетами, инициированными Шлюзом Безопасности.

Для просмотра подразумеваемых правил:

1. Добавьте хотя бы одно правило к базе правил.

2. Щелкните View Implied Rules (Вид Подразумеваемые правила).

На вкладке Firewall (Межсетевой экран) отображаются подразумеваемые правила в дополнение к правилам определяемых пользователем.

Порядок применения правил Для проверки пакетов Шлюз Безопасности применяет правила в последовательном порядке.

Когда Шлюз Безопасности получает пакет из сети, он проверяет его, используя первое правило

–  –  –

из Базы Правил, затем второе правило и так далее.

После того как все элементы данного правила соответствуют информации, содержащейся в пакете (источник, назначение, служба и т. д.), Шлюз Безопасности прекращает проверку и сразу же применяет это правило. Если нет применимого правила в Базе Правил, трафик автоматически блокируется.

Очень важно, чтобы вы понимали концепцию правила обработки. Межсетевой экран всегда применяет первое согласованное правило для любого пакета. Это может быть правило, которое не лучшим образом подходит для трафика.

Важно тщательно планировать свои Базы Правил и размещать правила в соответствующем порядке. Правила, которые применяются для использования очень специфичных параметров, лучше всего поместить в начале Базы Правил. Более общие правила должны размещаться ближе к концу Базы Правил.

Правила обрабатываются в следующем порядке:

1 Первое подразумеваемое правило: Это правило не может быть изменено или переписано в Базе Правил. Перед ним невозможно размещать какие-либо правила.

2 Явно выраженные правила: Это правила, задаваемые администратором, которые можно располагать между первым и предпоследним подразумеваемым правилом.

3 Предпоследнее подразумеваемое правило: Это более конкретные подразумеваемые правила, которые применяются перед последним подразумеваемым правилом.

4 Последнее подразумеваемое правило: Это правило по умолчанию, которое обычно отбрасывает все пакеты без регистрации.

В этой таблице показано типовое правило контроля доступа, как показано на вкладке Firewall (Межсетевой экран) консоли управления SmartDashboard. Это правило гласит, что HTTPсоединения, источником которых является филиал и направлены на любой адрес, будут пропускаться и регистрироваться.

–  –  –

Важные замечания по Контролю доступа В этом разделе описываются сценарии Контроля доступа.

Простота Ключ к эффективной защите межсетевого экрана простая База Правил. Одна из самых больших угроз для безопасности вашей организации — неправильно заданная конфигурация.

Например, пользователь может попытаться отправить поддельные, фрагментированные пакеты за пределы межсетевого экрана, если вы, случайно, разрешили неограниченные протоколы обмена сообщениями. Краткие, а, следовательно, легко понимаемые Базы Правил проще содержать в работоспособном состоянии. Чем больше правил, тем больше вероятность совершить ошибку.

Основные правила При создании правил, убедитесь, что разрешается только желаемый трафик. Рассмотрим трафик, проходящий через межсетевой экран в обе стороны и инициированный с обеих сторон межсетевого экрана с защищенной и незащищенной.

Для каждой Базы Правил рекомендуются следующие основные правила управления доступом:

• Stealth Rule (Правило Невидимка) для предотвращения прямого доступа к Шлюзу Безопасности.

Межсетевой экран Руководство администратора системы R75.40VS | 12 Контроль доступа

• Cleanup Rule (Правило Очистки) сбрасывает весь трафик, который не был разрешен предыдущими правилами. Существует подразумеваемое правило, которое выполняет то же самое, но Правило Очистки позволяет регистрировать такие попытки доступа.

Необходимо помнить фундаментальную концепцию Базы Правил: действия, которые не разрешены явно — запрещены.

Последовательность правил Последовательность правил является важнейшим аспектом эффективной Базы Правил.

Одни и те же правила, расположенные в другой последовательности, могут радикально изменить эффективность межсетевого экрана. Более конкретные правила лучше всего поставить вначале, а более общие правила в последнюю очередь. Эта последовательность предотвращает использование общего правила раньше более конкретного правила и защищает ваш межсетевой экран от ошибок конфигурации.

Обсуждение топологии: DMZ Если у вас есть серверы, к которым необходим доступ из Интернета, рекомендуется создать демилитаризованную зону (DMZ). Зона DMZ представляет собой изолированную среду для всех серверов, к которым осуществляется доступ из ненадежных источников, таких как Интернет, так что если один из этих серверов скомпрометирован, злоумышленник имеет только ограниченный доступ к другим доступным внешним серверам. Серверы в зоне DMZ доступны из любой сети, поэтому, все серверы, к которым необходимо иметь внешний доступ, должны быть расположены в DMZ. Необходимо обеспечить максимальную безопасность серверов в зоне DMZ.

Не позволяйте инициировать соединения из зоны DMZ во внутреннюю сеть, за исключением специфических приложений, таких как UserAuthority (Авторизация пользователей).

Служба X11 X11 (X Window System версия 11) система графического отображения — стандартная графическая система для окружающей среды Unix. Чтобы разрешить трафик, относящийся к X11, необходимо создать специальное правило, использующее службу X11. Если выбрать Any (Любой) в качестве Source (Источник) или Destination (Назначение), служба X11 не включена, поскольку при использовании службы X11, приложение GUI (графический интерфейс пользователя) выступает в качестве сервера, а не клиента.

Редактирование Подразумеваемых правил Подразумеваемые правила определяются в окне Global Properties (Глобальные Свойства) страница Firewall Implied Rules (Подразумеваемые правила Межсетевого экрана). В общем, менять предопределенные подразумеваемые правила нет никакой необходимости. Но часто, лучше оставить некоторые правила в состоянии unselected, для того чтобы управлять ими более детально, используя Базу Правил. Например, вы желаете разрешить ICMP-пинги только через определенный шлюз.

Ниже приведены рекомендуемые настройки для подразумеваемых правил:

Рекомендуемые настройки Подразумеваемых правил Межсетевого экрана

–  –  –

Определение правил Контроля доступа Чтобы задать правила управления доступом, выполните следующие шаги, используя консоль управления SmartDashboard:

1. Задайте сетевые объекты для каждой сети и узла, при помощи SmartDashboard.

2. В SmartDashboard выберите вкладку Firewall (Межсетевой экран).

3. В меню SmartDashboard, выберите Rules Add Rule (Правила Добавить правило), а затем выберите Bottom, Top, Below или Above (Нижнее, Верхнее, Ниже или Выше).

4. В правиле определите:

• Name (Название)

• Source (Источник)

• Destination (Назначение)

• VPN

–  –  –

• Service (Служба)

• Action (Accept, Drop, or Reject) Действие (Разрешить, Сбросить или Отклонить)

• Track (Отслеживание)

• Install On (Установка на)

• Time (Время) Определение политики Контроля доступа

Политика управления доступом, необходима для того чтобы:

• Разрешить внутренним пользователям доступ в Интернет.

• Разрешить всем пользователям доступ к серверам в сети DMZ.

• Защитить сеть от внешних пользователей.

Политика также требует два основных правила: Правило Невидимка (Stealth rule) и Правило Очистки (Cleanup rule).

Счетчик срабатываний Счетчик срабатываний отслеживает количество соединений, соответствующих каждому правилу.

Для каждого правила в Базе Правил, столбец Hits (Срабатывания) по умолчанию отображает визуальный индикатор соответствия соединений вместе с количеством срабатываний.

Вы можете сконфигурировать для отображения процент срабатывания правила от всех срабатываний, индикатор уровня (очень высокий, высокий, средний, низкий или нулевой) и установить интервал времени, за который будут отображены данные. Эти параметры конфигурируются в Базе Правил Межсетевого экрана и влияют на отображение в других поддерживаемых Программных блейдах.

При включении счетчика срабатываний сервер Управления Безопасностью собирает данные из поддерживаемых шлюзов (начиная с версии R75.40). Счетчик срабатываний работает независимо от журналирования. Нет необходимости устанавливать в поле Track (Отслеживание) значение Log для каждого правила. Счетчик срабатываний работает, даже если в поле Track (Отслеживание) указано значение None.

С данными, которые вы видите в колонке Hits (Срабатывания) Базы Правил, вы можете:

• Сделать Базу Правил более эффективной - Можно удалить правила, которым не соответствуют никакие соединения, если вы видите какое-либо правило с нулевым счетчиком срабатываний, это значит только то, что на Шлюзах Безопасности с включенными Межсетевой экран Руководство администратора системы R75.40VS | 15 Контроль доступа счетчиками срабатываний не было ни одного подходящего соединения. Другие шлюзы (т.е. в которых счетчик Hit Count не был включен) могут иметь соответствующие соединения.

• Повысить производительность Базы Правил — В Базе Правил Межсетевого экрана можно перемещать правило, которое имеет большой счетчик срабатываний на более высокую позицию (одно из первых правил) в Базе Правил.

• Лучше понять поведение политики.

Включение или отключение Счетчика срабатываний (Hit Count) По умолчанию, Счетчик срабатываний включен глобально для всех поддерживаемых Шлюзов Безопасности (начиная с R75.40). Выделенный интервал времени, который определяет временной диапазон сбора данных, конфигурируется глобально. При необходимости вы можете отключить функцию Счетчик срабатываний для одного или нескольких Шлюзов Безопасности.

После включения или отключения Счетчика срабатываний для запуска или остановки сбора данных необходимо установить политику для Шлюза Безопасности.

Чтобы глобально включить или отключить Счетчик срабатываний:

1. В меню Policy (Политики) выберите Global Properties (Глобальные свойства).

2. Из дерева выберите Hit Count (Счетчик срабатываний).

3. Выберите опции:

• Enable Hit Count (Включить Счетчик срабатываний) - Отметьте, чтобы включить или снимите, чтобы отключить на всех Шлюзах Безопасности мониторинг количества подключений которые соответствуют каждому правилу.

• Keep Hit Count data up to (Хранить данные Счетчика срабатываний до) - Выберите один из вариантов временного диапазона. По умолчанию 6 месяцев. Данные за этот период хранятся в базе данных сервера Управления Безопасностью и отображаются в столбце Hits (Срабатывания).

4. Щелкните ОК.

5. Установите политику.

Чтобы включить или отключить Счетчик срабатываний на каждом Шлюзе

Безопасности:

1. Откройте Gateway Properties (Свойства шлюза) Шлюза Безопасности, выберите из дерева Hit Count (Счетчик срабатываний).

2. Отметьте Enable Hit Count (Включить Счетчик срабатываний), чтобы включить функцию или снимите флажок, чтобы отключить ее.

3. Щелкните ОК.

4. Установите политику.

Конфигурирование отображения Счетчика срабатываний Здесь рассматриваются опции конфигурирования того, каким образом данные о срабатывании соединений отображаются в колонке Hits (Срабатывания):

• Value (Значение) - Показывает количество согласованных срабатываний для правила из поддерживаемых Шлюзов Безопасности. Срабатывания соединений не накапливаются в общем счетчике срабатываний для:

• Шлюзов Безопасности, которые не поддерживаются (версии до R75.40)

• Шлюзов Безопасности, на которых отключена функция счетчик срабатываний

Значения отображаются в следующих буквенных сокращениях:

Межсетевой экран Руководство администратора системы R75.40VS | 16 Контроль доступа

• К = 1,000

• M = 1,000,000

• G = 1,000,000,000

• T = 1,000,000,000,000 Например, 259K означает 259 тысяч соединений и 2M представляет 2 миллиона соединений.

• Percentage (Процент) - Показывает процент от числа соответствующих срабатываний правила от общего числа соответствующих срабатываний. В процентах округляется до одной десятой процента.

• Level (Уровень) - Уровень Счетчика срабатываний представляет собой метку для диапазона срабатываний в соответствии с таблицей.

Диапазон срабатываний = Максимальное значение срабатываний - Минимальное значение срабатываний (не включает нулевые срабатывания)

–  –  –

Столбец Hits (Срабатывания) с указанием всех параметров отображения

Чтобы настроить отображение Счетчика срабатываний:

1. Щелкните правой кнопкой мыши заголовок столбца Hits (Срабатывания) или номер правила в строке.

2. В открывшемся меню выберите Display (Отображение).

3. Выберите один или несколько вариантов:

• Percentage (Процент)

• Value (Значение)

• Level (Уровень) Конфигурирование интервала времени Счетчика срабатываний Значения, приведенные в Столбце Hits (Срабатывания) основаны на параметрах интервала времени. По умолчанию интервал времени является кумулятивным согласно параметра Keep Hit Count data up to (Хранить данные Счетчика срабатываний до) в глобальных настройках.

Например, если параметр настроен на 6 месяцев, доступны опции интервала времени Межсетевой экран Руководство администратора системы R75.40VS | 17 Контроль доступа в 1 месяц, 3 месяца и 6 месяцев.

Вы можете изменить интервал времени в соответствии с интервалами на основе параметров Global Settings (Глобальные настройки).

Чтобы настроить интервал времени Счетчика срабатываний:

1. Щелкните правой кнопкой мыши заголовок столбца Hits (Срабатывания) или номер правила в строке.

2. В меню, выберите Timeframe (Интервал времени).

3. Выберите интервал времени.

Обновление данных Счетчика срабатываний Каждые три часа данные счетчика срабатываний каждого правила передаются со Шлюзов Безопасности на сервер Управления Безопасностью. При обновлении отображаемой информации данных счетчика срабатываний, вы получаете обновленные данные из базы данных сервера Управления Безопасностью, а не непосредственно из Шлюза Безопасности.

После установки политики, счетчик срабатываний обновляется с каждого Шлюза Безопасности в политике в базу данных сервера Управления Безопасностью. Эта процедура выполняется один раз в минуту в течение первых 3 минут после установки политики.

Чтобы обновить отображаемую информацию данных счетчика срабатываний в Базе Правил Межсетевого экрана:

1. Щелкните правой кнопкой мыши заголовок столбца Hits (Срабатывания) или номер правила в строке.

2. В меню выберите Hit Count Refresh (Счетчик срабатываний Обновить).

Чтобы обновить отображаемую информацию данных счетчика срабатываний в Базе Правил Контроля приложений и фильтрации URL-адресов:

В панели инструментов политики щелкните Refresh Hits (Обновить срабатывания).

• Предотвращение подмены адреса источника Если ваша сеть не имеет защиты от подмены IP-адреса, ваши правила управления доступом являются неэффективными, злоумышленники могут легко получить доступ, подменив адрес источника пакетов. Поэтому необходимо убедиться, что на каждом интерфейсе шлюза безопасности настроена защита от анти-спуфинга, в том числе и на внутренних интерфейсах.

IP-спуфинг — атака, заключающаяся в попытке получения несанкционированного доступа путем изменения IP-адреса пакета, чтобы казалось, что пакет пришел от узла с более высокими правами доступа.

Примечание — Важно обеспечить, что вся передача происходит от истинного источника.

Анти-спуфинг защита проверяет происхождение пакетов на предмет того, что они приходят через правильный интерфейс и предназначены для правильного интерфейса на шлюзе. Она подтверждает то, какие пакеты на самом деле пришли из указанного внутреннего интерфейса и контролирует, что маршрутизированный пакет уходит через правильный интерфейс.

Пакет из внешнего интерфейса, даже если он имеет поддельный внутренний IP-адрес, блокируется, потому что функция анти-спуфинга на межсетевом экране распознает, что пакет прибыл из неправильного интерфейса.

Межсетевой экран Руководство администратора системы R75.40VS | 18 Контроль доступа

Межсетевой экран на шлюзе Alaska_GW гарантирует, что:

• Все входящие пакеты на интерфейс IF1 приходят из Интернета.

• Все входящие пакеты на интерфейс IF2 приходят из сетей Alaska_LAN, Alaska_RND_LAN или Florida_LAN.

Межсетевой экран на шлюзе Alaska_RND_GW гарантирует, что:

• Все входящие пакеты на интерфейс IF3 приходят из сетей Alaska_LAN, Florida_LAN или из Интернета.

• Все входящие пакеты на интерфейс IF4 приходят из сети Alaka_RND_LAN.

При настройке анти-спуфинга, вам необходимо задать топологию интерфейсов, интерфейсы, которые направлены в Интернет определяются как External (внешние), а интерфейсы, которые направлены во внутреннюю сеть, определяются как Internal (внутренние).

Конфигурация Анти-спуфинга Важно настроить защиту анти-спуфинга на каждом интерфейсе всех шлюзов безопасности, в том числе и на внутренних интерфейсах.

Конфигурация Анти-спуфинга на внешних интерфейсах

Чтобы задать адрес для внешних интерфейсов:

1. В SmartDashboard, выберите Manage Network Objects (Управлять Сетевые объекты).

2. Выберите шлюз и нажмите Edit (Редактировать).

3. Из списка страниц выберите Topology (Топология).

4. Нажмите Get Interfaces (Получить Интерфейсы) для получения информации об интерфейсе шлюза.

5. Нажмите Accept (Принять).

Если SmartDashboard не может получить информацию о топологии, убедитесь, что Общие свойства шлюза перечислены правильно и что шлюз, сервер Security Management (Управления Безопасностью) и SmartDashboard функционируют.

6. На странице Topology (Топология) выберите интерфейс направленный в Интернет и нажмите Edit (Редактировать).

Межсетевой экран Руководство администратора системы R75.40VS | 19 Контроль доступа

7. В окне Interface Properties (Свойства интерфейса) откройте вкладку Topology (Топология).

8. Выберите External (ведет в Интернет).

9. Выберите Perform Anti-Spoofing based on interface topology (Выполните Анти-спуфинг на основе интерфейса топологии).

10. Ниже Anti-Spoofing action is set to (действие Анти-спуфинг установить в), выберите одно из нижеперечисленных значений:

• Prevent (Предотвращать) — для блокирования поддельных пакетов.

• Detect (Обнаруживать) — оставить возможность подделывать пакеты. Эта опция используется в целях мониторинга и должна использоваться в сочетании с одной из опций отслеживания. Она служит в качестве инструмента для изучения топологии сети без отбрасывания пакетов.

11 Don’t check packets from (Не проверять пакеты от) используется для обеспечения антиспуфинг проверки. Проверка не производится для пакетов из определенных внутренних сетей, поступающих на внешний интерфейс.

Чтобы использовать эту опцию необходимо установить соответствующий флажок и из выпадающего списка выбрать сетевой объект, который представляет адреса желаемых внутренних сетей. Если в списке нет нужного сетевого объекта, выберите команду New (Создать) и задать необходимый объект внутренней сети.

Объекты, выбранные в раскрывающемся списке игнорируются механизмом защиты антиспуфинга.

12. В опции Spoof Tracking выберите Log (Протоколировать) и нажмите OK.

Конфигурация Анти-спуфинга на внутренних интерфейсах

Чтобы задать адрес для внутренних интерфейсов:

1. В SmartDashboard, выберите Manage Network Objects (Управлять Сетевые объекты).

2. Выберите шлюз Check Point и нажмите Edit (Редактировать).

3. В окне шлюза выберите Topology (Топология).

4. В окне Topology (Топология) нажмите Get Interfaces (Получить Интерфейсы) для получения информации об интерфейсе шлюза.

5. Ниже колонки Name (Имя) выберите внутренний интерфейс и нажмите Edit (Редактировать).

6. В окне Interface Properties (Свойства интерфейса) нажмите Topology (Топология) и выберите Internal (ведет в локальную сеть).

7. Ниже IP Addresses behind this interface (IP-адреса за этим интерфейсом) выберите одно из нижеперечисленных значений:

Если за интерфейсом только одна сеть, выберите Network defined by the interface IP • and Net Mask (Сеть определяется по IP-интерфейсу и маске сети).

• Если за интерфейсом более чем одна сеть, определите группу сетевых объектов, которая содержит все сети за интерфейсом выбрав Specific (Особый) и группа.

8. Выберите Perform Anti-Spoofing based on interface topology (Выполните Анти-спуфинг на основе интерфейса топологии).

9. Ниже Anti-Spoofing action is set to (действие Анти-спуфинг установить в), выберите одно из нижеперечисленных значений:

• Prevent (Предотвращать) — для блокирования поддельных пакетов.

• Detect (Обнаруживать) — оставить возможность подделывать пакеты. Эта опция используется в целях мониторинга и должна использоваться в сочетании с одной Межсетевой экран Руководство администратора системы R75.40VS | 20 Контроль доступа из опций отслеживания. Она служит в качестве инструмента для изучения топологии сети без отбрасывания пакетов.

10. Ниже Spoof Tracking выберите Log (Протоколировать) и нажмите OK.

11. Повторите шаги от 1 до 8 для всех внутренних интерфейсов.

12. Установите политику безопасности: Policy Install (Политика Установить).

Исключение определенных внутренних адресов В некоторых случаях необходимо, чтобы пакеты с адресами источника, которые принадлежат к внутренней сети приходили на шлюз, через внешний интерфейс. Это может быть полезно, если внешнее приложение назначает внутренние IP-адреса внешним клиентам. В этом случае вы можете указать, что проверка анти-спуфинга не производится над пакетами из указанных внутренних сетей.

Legal Addresses Legal addresses — адреса, с которых разрешается входить через интерфейс Шлюза Безопасности. Legal addresses определяются по топологии сети. При настройке анти-спуфинг защиты межсетевого экрана, администратор определяет legal IP addresses за интерфейсом.

Опция Get Interfaces with Topology (Получить Интерфейсы и Топологию) автоматически определяет интерфейс и его топологию и создает сетевые объекты. Межсетевой экран получает эту информацию из таблицы маршрутизации.

Контроль доступа групповой передачи Multicast (групповая передача) — специальная форма широковещания, при которой одно сообщение передается определенной группе пользователей. Например, распространение в реальном времени аудиоданных и видеоданных для множества узлов, которые присоединились к распределенной конференции.

Групповая передача похожа на радио и телевидение, только те люди, которые настроили свои тюнеры на выбранную частоту, получают информацию. При групповой передаче вы слышите только тот канал, который вам интересен.

Многоадресные IP-приложения направляют одну копию каждой датаграммы (IP-пакета) сразу группе компьютеров, которые хотят его принять. Это способ отправки датаграммы группе получателей (на групповой адрес), а не на одного получателя (на индивидуальный адрес).

В сети маршрутизаторы переадресовывают датаграммы только тем маршрутизаторам и узлам, которые хотят их получать.

Инженерный совет Интернет (IETF) разработал стандарты многоадресной связи, которые определяют:

• Протокол многоадресной маршрутизации

• Динамическую регистрацию

• Групповую адресацию IP Протокол многоадресной маршрутизации Протокол многоадресной маршрутизации передает информацию между многоадресными группами. Протоколы многоадресной маршрутизации: Protocol-Independent Multicast (PIM), Distance Vector Multicast Routing Protocol (DVMRP) и Multicast Extensions to OSPF (MOSPF).

Межсетевой экран Руководство администратора системы R75.40VS | 21 Контроль доступа Динамическая регистрация с использованием IGMP Хосты используют протокол управления группами Интернета (IGMP), чтобы ближайший маршрутизатор многоадресного трафика знал о том, что они хотят принадлежать к определенной группе многоадресной рассылки. Хосты могут покинуть или присоединиться к группе в любое время. IGMP определен в RFC 1112.

Групповая адресация IP Область IP-адресов имеет четыре раздела: класс A, класс B, класс C и класс D. Адреса класса A, B и C используются для одноадресного трафика. Адреса класса D зарезервированы для многоадресного трафика и выделяются динамически.

Диапазон адресов с 224.0.0.0 до 239.255.255.255 используется только для групповой адресации или в качестве адреса назначения многоадресного трафика. Каждая IP-датаграмма, адрес назначения которой начинается с 1110 является многоадресной датаграммой.

Так же, как радио настроено для приема программы передаваемой на определенной частоте, интерфейс хоста может быть настроен на получение датаграммы, посланной определенной группе многоадресной рассылки. Этот процесс называется присоединение к группе многоадресной рассылки.

Остальные 28 бит определяют несколько вариантов диапазона адресов многоадресной группы, которой будет отправлена датаграмма. Членство в группе многоадресной рассылки является динамическим (хосты могут присоединиться и покидать многоадресные группы). Адрес источника для многоадресных дейтаграмм всегда индивидуальный адрес.

Зарезервированные адреса Группы многоадресной рассылки в диапазоне с 224.0.0.0 до 224.0.0.255 назначаются Администрацией адресного пространства Интернет (IANA) для приложений, которые не переадресовываются маршрутизатором (они остаются в локальном сегменте сети).

Эти адреса называются постоянными группами узлов сети. В таблице приведены примеры зарезервированных локальных сетевых многоадресных групп.

Примеры локальных сетевых многоадресных групп

–  –  –

Ограничения групповой передачи на уровне интерфейса Если активирована групповая передача, маршрутизатор пересылает многоадресные датаграммы между интерфейсами. При включении групповой передачи на Шлюзе Безопасности, работающем на SecurePlatform, вы можете задать ограничения доступа групповой передачи для каждого интерфейса. Эти ограничения точно определяют, какие группы многоадресной рассылки (адреса или диапазон адресов) разрешать, а какие блокировать. Правила применяются к исходящим пакетам групповой передачи.

На интерфейсе, при отказе в доступе группе многоадресной рассылки для исходящих IGMPпакетов, входящие пакеты также запрещены.

Когда не заданы ограничения доступа для многоадресных дейтаграмм, приходящим на шлюз через один интерфейс входящим многоадресным дейтаграммам разрешается выходить через все другие интерфейсы.

В дополнение к ограничению доступа на интерфейсе, необходимо задать правила в Базе Правил, которые разрешают трафик и службы групповой передачи, а назначения, определенные в этом правиле должны разрешать необходимые группы многоадресной рассылки.

VPN Соединения Многоадресный трафик может шифроваться и передаваться через VPN-соединения, заданные с помощью множества интерфейсов VPN туннелей (виртуальные интерфейсы, связанные с физическим интерфейсом, VTI).

Конфигурация контроля доступа групповой передачи

Для конфигурации контроля доступа групповой передачи:

1. В SmartDashboard выберите объект шлюз.

2. На странице General Properties (Общие свойства), убедитесь, что версия шлюза указана правильно.

3. На странице Topology (Топология), выберите интерфейс и нажмите Edit (Правка).

4. На странице Interface Properties (Свойства интерфейса) во вкладке Multicast Restrictions (Ограничения групповой передачи) выберите Drop Multicast packets by the following conditions (Сбрасывать пакеты групповой адресации при следующих условиях).

5. Выберите политику групповой передачи для интерфейса:

Межсетевой экран Руководство администратора системы R75.40VS | 23 Контроль доступа

• Отбрасывать пакеты групповой передачи, если адрес назначения в списке

• Отбрасывать все пакеты групповой передачи, кроме тех, чей адрес назначения в списке

6. Нажмите Add (Добавить) для добавления диапазона адресов групповой передачи.

Откроется окно Add Object (Добавить объект), с объектом Multicast Address Ranges (Диапазон адресов групповой передачи) выбранным в списке.

7. Нажмите New Multicast Address Range New (Создать Диапазон адресов групповой передачи). Откроется окно Multicast Address Range Properties (Свойства диапазона адресов групповой передачи).

8. Введите имя для этого диапазона.

9. Задайте либо IP address Range (Диапазон IP-адресов), либо Single IP Address (Единственный IP-адрес) из диапазона 224.0.0.0 до 239.255.255.255.

10. Нажмите OK. В окне Add Object (Добавить объект) появляется созданный диапазон групповой передачи.

11. Нажмите OK. В окне Interface Properties Multicast Restrictions (Свойства интерфейса Ограничения групповой передачи) появляется созданный диапазон групповой передачи.

12. Нажмите OK для закрытия окна Interface Properties (Свойства интерфейса), затем закройте окно шлюза.

13. В Базе Правил, добавьте правило, разрешающее диапазон адресов групповой передачи.

В качестве Destination (Назначение) указать диапазон, заданный в шаге 5.

14. Сохраните и установите политику безопасности: Policy Install (Политика Установить).

Безопасность служб Microsoft Networking

Защита служб Microsoft Networking (CIFS) CIFS (Common Internet File System) представляет собой протокол для удаленного доступа к файлам, принтерам и другим сетевым ресурсам. CIFS является расширением протокола Server Message Block (SMB). CIFS ранее использовал на транспортном уровне службу NETBIOS-сессии (nbsession) через TCP (TCP с использованием 139 порта). В настоящее время в сетях Windows (начиная с Windows 2000), CIFS использует в качестве транспорта протокол Microsoft-DS (TCP порт 445) для создания сетей и обмена файлами. Более подробную информацию о CIFS можно найти на сайте http://samba.org/cifs/.

По умолчанию, сервер Windows имеет открытые для административных целей общие ресурсы (C$, ADMIN$, PRINT$), и по этой причине является потенциальной мишенью для внутренних атак, таких как атаки прямого перебора паролей на файловых серверах.

Шлюз Безопасности обеспечивает защиту служб Microsoft Networking в Модуле контроля (Inspection Module), без необходимости какого-либо сервера защиты. Это отвечает высоким требованиям к производительности защиты локальной сети (Fast Ethernet и Gigabit Ethernet).

Для ресурсов CIFS могут быть принудительно выполнены следующие проверки безопасности

CIFS соединений:

• Проверка правильности (корректности) протокола.

• Предотвращение выхода сообщений CIFS и NETBIOS, сгенерированных клиентом, за пределы границ сообщений.

• Ограничение доступа к списку серверов CIFS и общим сетевым ресурсам.

• Регистрация доступа к общим сетевым ресурсам.

Межсетевой экран Руководство администратора системы R75.40VS | 24 Контроль доступа Ограничение доступа к серверам и общим сетевым ресурсам (CIFS ресурс)

Чтобы ограничить доступ к серверам и общим сетевым ресурсам:

1. Задайте новый ресурс CIFS.

2. Сконфигурируйте CIFS ресурс. Allowed Disk\Print Shares (Доступные сетевые\дисковые Ресурсы) — это список доступных CIFS-серверов и общих сетевых ресурсов. Обратите внимание, что допускается использование групповых символов. Чтобы изменить список, выберите Add, Edit или Delete (Добавить, Редактировать или Удалить).

Например, чтобы разрешить доступ к сетевому ресурсу PAUL на CIFS-сервере BEATLES:

a) Нажмите Add (Добавить) и введите BEATLES в поле Server Name (Имя сервера) и IPC$ в поле Share Name (Имя сетевого ресурса). Нажмите OK.

b) Снова нажмите Add (Добавить), введите BEATLES в поле Server Name (Имя сервера) и PAUL в поле Share Name (Имя сетевого ресурса). Нажмите OK.

3. Добавьте новое правило. В Service (Служба), добавьте nbsession или Microsoft-DS, вместе с настроенными сетевыми ресурсами.

Важно — Не удаляйте и не изменяйте тип протокола объектов служб, которые выполняют проверку содержимого. Если служба была изменена таким образом, защита работать не будет.

4. Установите политику безопасности: Policy Install (Политика Установить).

–  –  –

Распознавание идентификационной информации Identity Awareness Решение Check Point Identity Awareness (Распознавание идентификационной информации) — простое в развертывании и масштабируемое решение аутентификации, применимо как для сетей, использующих Active Directory, так и сетей без Active Directory. Распознавание идентификационной информации (Identity Awareness) позволяет контролировать сетевой доступ работников и гостевых пользователей и проверять данные на основе идентификационных данных.

В настоящее время решение Распознавание идентификационной информации (Identity Awareness) доступно только на блейдах Firewall, Application Control и URL Filtering, в будущем будет работать и с другими блейдами.

Распознавание идентификационной информации (Identity Awareness) позволяет легко настроить доступ к сети и аудит на основе сетевого расположения, а также:

• Идентификационных данных пользователя

• Идентификационных данных устройства Когда решение Identity Awareness идентифицирует источник или назначение, оно отображает IPадрес пользователя или компьютера вместе с именем, что позволяет создавать правила межсетевого экрана с любым из этих параметров. Вы можете установить правила межсетевого экрана для конкретных пользователей, работающих на конкретных компьютерах, или правила межсетевого экрана для конкретного пользователя, независимо от того, на каком компьютере он работает.

В SmartDashboard можно использовать объекты Access Role (Роль доступа) для описания пользователей, устройств и сетевого расположения в одном объекте.

–  –  –

Identity Awareness также позволяет видеть активность пользователей в SmartView Tracker и SmartEvent, включая информацию об имени пользователя и компьютера, а не только IPадреса.

Identity Awareness получает идентификационные данные из следующих источников:

• Запрос AD

• Аутентификация на основе браузера

• Агент идентификации (Identity Agent)

• Агент идентификации для терминальных серверов

• Удаленный доступ

–  –  –

Ниже в таблице показано, чем отличаются источники идентификации данных с точки зрения использования и соображений развертывания. Исходя из этих соображений, Identity Awareness можно настроить на использование как одного источника идентификационной информации, так и комбинации нескольких таких источников

–  –  –

Шлюзы, на которых включено распознавание идентификационной информации, могут обмениваться полученными идентификационными данными друг с другом. Пользователи, которым необходимо пройти через несколько узлов с проверкой идентификации, аутентифицируются лишь один раз. Для получения дополнительной информации смотрите Расширенное развертывание.

Запрос AD Запрос AD является простым в развертывании методом сбора идентификационной информации без использования дополнительного клиента. Он основан на интеграции с Active Directory, и полностью прозрачен для пользователя.

Запрос AD работает, когда:

• Идентифицированный объект (пользователь или компьютер) пытается получить доступ к корпоративному ресурсу, который создает запрос на аутентификацию. Такая ситуация возникает, например, когда пользователь входит в систему, снимает блокировку экрана, подключает сетевой диск, читает электронную почту через Exchange или получает доступ к корпоративному порталу.

• Запрос AD выбран как способ сбора идентификационной информации.

Технология основана на запросах к журналам событий безопасности Active Directory и извлечения из них имен пользователей и компьютеров, сопоставленных сетевым адресам.

Технология опирается на инструмент управления Windows (Windows Management Instrumentation Межсетевой экран Руководство администратора системы R75.40VS | 29 Аутентификация (WMI)) — стандартный протокол Microsoft. Шлюз Безопасности напрямую связывается с контроллером домена без необходимости установки отдельного сервера.

• Нет необходимости установки на клиентах или на сервере Active Directory.

• Решение Identity Awareness поддерживает подключение к Microsoft Active Directory на Windows Server 2003 и 2008.

Как работает Запрос AD на примере Базы Правил Межсетевого экрана

1. Шлюз Безопасности регистрируется на получение журналов событий безопасности от контроллера домена Active Directory.

2. Пользователь входит в систему с настольного ПК, используя свою учетную запись в Active Directory.

3. Контроллер домена посылает журнал событий безопасности на Шлюз Безопасности. Шлюз Безопасности извлекает информацию о пользователе и его IP-адрес (имя пользователя в виде name@domain, имя компьютера и IP-адрес источника).

4. Пользователь инициирует подключение к Интернету.

5. Шлюз Безопасности подтверждает, что пользователь был идентифицирован и разрешает ему доступ в Интернет на основе политики.

Аутентификация на основе браузера Аутентификация на основе браузера получает идентификационную информацию от незарегистрированных пользователей.

Вы можете настроить следующие методы сбора:

• Captive Portal (специальная web-страница для авторизации)

• Прозрачная аутентификация Kerberos Captive Portal представляет собой простой метод аутентификации пользователей через webинтерфейс, перед тем как предоставить им доступ к корпоративным ресурсам. Когда пользователь пытается получить доступ к защищенному ресурсу, он получает web-страницу, которую необходимо заполнить для продолжения.

Межсетевой экран Руководство администратора системы R75.40VS | 30 Аутентификация С помощью прозрачной аутентификации Kerberos, браузер сначала пытается явно аутентифицировать пользователей, получая идентификационную информацию до того, как Captive Portal отобразит пользователю страницу для ввода имени пользователя и пароля. Когда вы выбираете этот метод, Captive Portal запрашивает идентификационные данные из браузера.

После успешной аутентификации, пользователь перенаправляется к своему исходному назначению. Если аутентификация неудачна, пользователь должен ввести учетные данные на странице Captive Portal.

Captive Portal запускается, когда пользователь пытается получить доступ к web-ресурсам, и все ниже перечисленное имеет место:

• Captive Portal выбран в качестве метода сбора идентификационных данных, и для соответствующих правил была установлена опция перенаправления.

• Незарегистрированные пользователи не могут получить доступ к данному ресурсу по причине правил с ролями доступа в Базе Правил Межсетевого экрана/Контроля приложений. Но если бы пользователи были идентифицированы, они могли бы получить доступ к ресурсу.

• Прозрачная аутентификация Kerberos была сконфигурирована, но аутентификация не удалась.

Когда эти критерии верны, Captive Portal запрашивает идентификационные данные пользователей.

На странице Captive Portal пользователи могут:

• Ввести имя и пароль, если они их имеют.

• Для гостевых пользователей, ввести необходимые учетные данные. Необходимые для этого параметры конфигурируется в Portal Settings (Параметры портала).

• Щелкнуть ссылку, чтобы скачать Агент идентификации. Эта возможность также конфигурируется в Portal Settings (Параметры портала).

Как работает Captive Portal на примере Базы Правил Межсетевого экрана Действия, описанные в примере, совпадают с номерами на изображении ниже.

1. Пользователь хочет получить доступ к корпоративному центру обработки данных.

2. Identity Awareness не распознает его и перенаправляет браузер на Captive Portal.

Межсетевой экран Руководство администратора системы R75.40VS | 31 Аутентификация

3. Пользователь вводит свои учетные данные. Учетная запись может быть AD или другого метода аутентификации, который поддерживает Check Point, такого как LDAP, внутренняя учетная запись Check Point или RADIUS.

4. Учетные данные передаются на Шлюз Безопасности и проверяются, в данном случае по отношению к серверу AD.

5. Теперь пользователь может перейти на изначально запрошенный URL-адрес.

Как работает прозрачная аутентификация Kerberos

1. Пользователь хочет получить доступ к корпоративному центру обработки данных.

2. Identity Awareness не распознает пользователя и перенаправляет браузер на страницу прозрачной аутентификации.

3. Страница прозрачной аутентификации запрашивает браузер на аутентификацию.

4. С Active Directory браузер получает билет Kerberos и передает его на страницу прозрачной аутентификации.

5. Страница прозрачной аутентификации посылает билет на Шлюз Безопасности, который аутентифицирует пользователя и перенаправляет его на изначально запрошенный URLадрес.

6. Если аутентификация Kerberos по какой-то причине прошла неудачно, Identity Awareness перенаправляет браузер на Captive Portal.

Агенты идентификации (Identity Agents)

Есть два типа Агентов идентификации:

Агенты идентификации (Identity Agents) — специальные клиентские агенты, установленные на компьютеры пользователей, которые получают и сообщают идентификационные данные Шлюзу Безопасности.

Агент идентификации для терминальных серверов (Terminal Servers Identity Agent) — агент установленный на сервере приложений, который предоставляет терминальные услуги Citrix/Terminal. Он идентифицирует отдельных пользователей, у которых в качестве источника один и тот же IP-адрес.

–  –  –

Агент идентификации Check Point

Использование Агентов идентификации дает вам:

• Идентификационные данные компьютера и пользователя.

• Минимальное вмешательство пользователя — вся необходимая конфигурация выполняется администраторами и не требуют ввода данных пользователем.

• Полная совместимость — прозрачная аутентификация с Единым входом в систему (SSO), использующая протокол Kerberos при регистрации пользователей в домене. Если вы не хотите использовать SSO, пользователи вводят свои учетные данные вручную. Вы можете им позволить сохранять эти данные.

• Способность к подключению в режиме роуминга — пользователи автоматически остаются идентифицированными при перемещении между сетями, поскольку клиент распознает перемещение и восстанавливает соединение.

• Дополнительная безопасность — для предотвращения подмены адреса источника вы можете использовать запатентованную технологию packet tagging (маркировка пакетов).

Агенты идентификации тоже обеспечивают строгую (на основе протокола Kerberos) аутентификацию пользователей и устройств.

Вы можете установить следующие типы Агентов идентификации:

• Полный (Full) — для установки требуются права администратора. Если устанавливается пользователем, не имеющим прав администратора, он автоматически переключается на установку Легкого (Light) агента. Полный агент выполняет маркировку пакетов и идентификацию устройства.

• Легкий (Light) — Для установки не требуются права администратора. Не может быть сконфигурирован на маркировку пакетов или аутентификацию устройства. Легкий агент поддерживает следующие операционные системы — Microsoft Windows и Mac OS X. Для уточнения поддерживаемых версий, смотрите документ R75.40VS Примечания к выпуску (http://supportcontent.checkpoint.co/solutions?id=sk76540).

• Пользовательский (Custom) — пакет установки с измененными параметрами настройки.

Для получения дополнительной информации, см. Подготовка сборок Агентов идентификации.

Межсетевой экран Руководство администратора системы R75.40VS | 33 Аутентификация Пользователи могут загрузить и установить Агенты идентификации на подготовленные к работе компьютеры со страницы Captive Portal или с помощью инсталляционного файла в формате MSI/DMG, или любым другим способом (например, предоставляя ссылку на скачивание клиента).

Пример загрузки Агента идентификации

Как пользователь может загружать Агент идентификации со страницы Captive Portal:

1. Пользователь входит (регистрирутся) на компьютере под своей учетной записью и хочет получить доступ к корпоративному центру обработки данных.

2. Шлюз Безопасности с включенным решением Identity Awareness не распознает его и отправляет на Captive Portal.

3. Шлюз Безопасности отправляет пользователю страницу, Captive Portal. На ней содержится ссылка на загрузку Агента идентификации.

4. Пользователь скачивает Агент идентификации с Captive Portal и устанавливает его на своем компьютере.

5. Агент идентификации клиента подключается к Шлюзу Безопасности.

6. Пользователь автоматически подключается, если сконфигурирован SSO с протоколом Kerberos.

7. Пользователь проходит аутентификацию и Шлюз Безопасности, в соответствии с Базой Правил Межсетевого экрана, направляет подключение к его адресату.

Развертывание Решение Identity Awareness обычно работает на шлюзе периметра организации. Оно часто используется в сочетании с модулями Контроля приложений и фильтрацией URL-адресов (Application Control & URL Filtering).

Для защиты корпоративных центров обработки данных, Identity Awareness может быть включено на внутреннем шлюзе перед внутренними серверами центра обработки данных. Такая схема может быть реализована в дополнение к шлюзу периметра, но не требует использования шлюза периметра.

Межсетевой экран Руководство администратора системы R75.40VS | 34 Аутентификация Решение Identity Awareness может быть развернуто в режиме Моста (Bridge) или в режиме Маршрутизатора (Route).

• В режиме Моста можно использовать существующие подсети без изменения IP адресации узлов.

• В режиме Маршрутизатора шлюз выступает в качестве маршрутизатора с разными подсетями, подключенными к его сетевым интерфейсам.

• Для резервирования, можно развернуть кластер шлюзов в режимах Active-Standby (HA) или Active-Active (LS). Identity Awareness поддерживает режимы ClusterXL HA и LS.

При развертывании Identity Awareness на два и более шлюза, вы можете сконфигурировать их для обмена идентификационной информацией.

Обычные сценарии включают в себя:

• Развертывание на шлюзе периметра и шлюзе центра обработки данных.

• Развертывание на нескольких шлюзах центра обработки данных.

• Развертывание на шлюзе филиала и центральных шлюзах.

Вы можете иметь один или несколько шлюзов сбора идентификационной информации и использовать ее совместно с другими шлюзами.

Вы также можете предоставить идентификационную информацию для использования шлюзами, которые управляются различными серверами многочисленных доменов.

Сценарии Identity Awareness В этом разделе описаны сценарии использования Identity Awareness для предоставления пользователям доступа к сетевым ресурсам.

Первые три сценария описывают различные ситуации сбора идентификационной информации в среде Базы Правил Межсетевого экрана. Последний сценарий описывает использование Identity Awareness в среде Контроля приложений и фильтрации URL-адресов.

Сбор идентификационной информации от пользователей Active Directory Организации, использующие Microsoft Active Directory в качестве главного хранилища данных о сотрудниках, могут использовать Запрос AD для сбора идентификационной информации.

Как только для получения идентификационной информации вы установите опцию Запрос AD, будет сконфигурирован доступ для всех пользователей Active Directory без установки дополнительного клиента. Для обеспечения опций доступа, создайте правила в Базе Правил Межсетевого экрана, которые содержат объекты access role (Роль доступа). Объекты access role (Роль доступа) определяют пользователей, компьютеры и сетевое расположение как один объект.

Пользователи Active Directory, которые вошли в систему и аутентифицировались, будут иметь прямой доступ к ресурсам на основе правил Базы Правил Межсетевого экрана.

Рассмотрим сценарий, чтобы понять, как работает Запрос AD.

Сценарий: доступ с ноутбука Джон Адамс является сотрудником организации ACME. Сотрудники отдела ИТ организации ACME, для минимизации инфицирования вредоносным ПО и рисков, связанных с несанкционированным доступом, хотят ограничить доступ к своим серверам отдела кадров с определенных IP-адресов. Таким образом, политика шлюза разрешает доступ только с персонального компьютера Джона, которому присвоен статический IP-адрес 10.0.0.19.

Он получил ноутбук и хочет получить доступ к web-серверу HR из любого места в организации.

Сотрудники отдела ИТ присвоили ноутбуку статический IP-адрес, но это ограничивает работу

–  –  –

Джона только его рабочим столом. В настоящее время База Правил содержит правило, которое позволяет Джону Адамсу получать доступ к web-серверу HR со своего ноутбука со статическим IP-адресом (10.0.0.19).

ОтслежиНазвание Источник Назначение VPN Служба Действие вание Jadams to Jadams_PC HR_Web_Server Any Traffic Any accept Log HR Server Он хочет перемещаться по организации и по-прежнему иметь доступ к web-серверу HR.

Чтобы реализовать этот сценарий работы, ИТ администратор выполняет следующие действия:

1. Включает на шлюзе Identity Awareness, выбирает Запрос AD (AD Query) как один из Identity Sources (Источников идентификации данных) и устанавливает политику.

2. Проверяет SmartView Tracker, чтобы убедиться, что система идентифицирует Джона Адамса в журналах.

3. Добавляет объект access role (Роль доступа) в Базу Правил Межсетевого экрана, который позволяет Джону Адамсу получить доступ к web-серверу HR с любого компьютера и из любого места.

4. Смотрит, как система отслеживает действия объекта access role (Роль доступа) в SmartView Tracker.

Идентификация пользователя в журналах Ниже показан журнал SmartView Tracker, система распознает Джона Адамса, как пользователя с IP-адресом 10.0.0.19.

Эта запись показывает, что система сопоставляет IP-адрес источника с пользователем Джон Адамс из организации CORP.ACME.COM. При этом идентификационная информация получена из Запроса AD.

Примечание — Запрос AD сопоставляет пользователей на основе деятельности в AD. Это может занять некоторое время и зависит от активности пользователей. Если Джон Адамс не идентифицирован (ИТ администратор не видит запись в журнале), ему нужно заблокировать и разблокировать компьютер.

Межсетевой экран Руководство администратора системы R75.40VS | 36 Аутентификация Использование объектов access role (Роль доступа) Чтобы позволить Джону Адамсу получить доступ к web-серверу HR с любого компьютера, администратору необходимо изменить текущее правило в Базе Правил. Для этого необходимо для Джона Адамса создать объект access role (Роль доступа), который включает в себя конкретного пользователя Джона Адамса, любая сеть (any network) и любой компьютер (any machine).

Затем ИТ администратор заменяет объект источника текущего правила на объект Роль доступа HR_Partner и устанавливает политику для применения изменений.

–  –  –

Сбор идентификационной информации с помощью Аутентификации на основе браузера Аутентификация на основе браузера позволяет собирать идентификационную информацию от неидентифицированных пользователей, таких как:

• Управляемые пользователи, подключающиеся к сети с неизвестных устройств, таких как компьютеры Linux или устройства iPhone.

• Неуправляемые, гостевые пользователи, такие как партнеры или подрядные организации.

Если неидентифицированные пользователи пытаются подключиться к ресурсам в сети, доступ к которым ограничен только для идентифицированных пользователей, они будут автоматически отправлены на Captive Portal. Если используется прозрачная аутентификация Kerberos, то браузер, прежде чем отобразит страницу Captive Portal, попытается идентифицировать пользователей, которые вошли в домен с использованием SSO.

Чтобы понять, как проходит Аутентификация на основе браузера, давайте рассмотрим несколько сценариев и необходимые конфигурации для каждого сценария.

Сценарий: Распознанные пользователи с неуправляемых устройств Генеральный директор организации ACME недавно приобрела себе для личного пользования iPad. Она хочет получить доступ к корпоративному web-серверу Finance со своего iPad. Поскольку IPad не является членом домена Active Directory, она не может идентифицироваться с помощью Запроса AD. Тем не менее, можно внести ее учетные данные в AD с помощью Captive Portal, а затем получить такой же доступ, как с рабочего компьютера.

Доступ к ресурсам основан на правилах Базы Правила Межсетевого экрана.

Требуемая конфигурация в SmartDashboard

Чтобы реализовать этот сценарий, ИТ администратор должен:

1 Включить на шлюзе Identity Awareness и выбрать Browser-Based Authentication (Аутентификация на основе браузера) как один из Identity Sources (Источников идентификации данных).

2. Убедиться, что в окне Portal Settings (Параметры портала) в разделе User Access (Доступ пользователей) выбрано Name and password login (Имя и пароль входа).

3. Создать новое правило в Базе Правил Межсетевого экрана, чтобы позволить Дженнифер МакХенри (Jennifer McHanry) доступ к сетевым ресурсам. В поле Action (Действие) выбрать accept (разрешить).

Межсетевой экран Руководство администратора системы R75.40VS | 37 Аутентификация

4. Щелкнуть правой кнопкой мыши колонку Action (Действие) и выбрать Edit Properties (Изменить свойства).

5. В открывшемся окне установить флажок Redirect http connections to an authentication (captive) portal Note: redirection will not occur if the source IP is already mapped to a user (Переадресация http подключений на аутентификацию (Captive) порталу Примечание:

перенаправление не происходит, если IP-адрес источника уже сопоставлен с пользователем).

6. Щелкнуть OK.

7. В правиле щелкнуть правой кнопкой мыши в поле Source (Источник) для создания Access Role (Роль доступа).

a) Ввести Name (Название) для Access Role.

b) Во вкладке Users (Пользователи), отметить Specific users (Определенные пользователи) и выбрать Jennifer McHanry.

c) Убедиться, что во вкладке Machines (Компьютеры) выбрано Any machine (Любой компьютер).

d) Щелкните OK.

Роль доступа добавилась в правило.

–  –  –

Эта запись показывает, что система сопоставляет источник «Jennifer_McHanry» с именем пользователя. При этом идентификационная информация получена от Captive Portal.

Сценарий: гостевые пользователи с неуправляемых устройств В организацию ACME часто приходят гости. Во время посещения, генеральный директор хочет разрешить им доступ к Интернет с их ноутбуков.

ИТ администратор Эми настраивает Captive Portal, чтобы незарегистрированные гости зарегистрировались на портале для получения доступа к сети. Она создает правило в Базе Правил Межсетевого экрана, чтобы позволить неаутентифицированным гостям доступ только в Интернет.

Когда гости выходят в Интернет, открывается Captive Portal. На портале гости вводят свое имя, название компании, адрес электронной почты и номер телефона. Затем они соглашаются с условиями, описанными в соглашении доступа к сети. После этого они получают доступ к Интернет на определенный период времени.

Требуемая конфигурация в SmartDashboard

Чтобы реализовать этот сценарий, ИТ администратор должен:

1 Включить на шлюзе Identity Awareness и выбрать Browser-Based Authentication (Аутентификация на основе браузера) как один из Identity Sources (Источников идентификации данных).

2. Убедиться, что в окне Portal Settings (Параметры портала) в разделе User Access (Доступ пользователей) выбрано Unregistered guest login (Вход незарегистрированного гостя).

3. Щелкнуть Unregistered guest login — Settings (Вход незарегистрированного гостя — Свойства).

Межсетевой экран Руководство администратора системы R75.40VS | 39 Аутентификация

4. В окне Unregistered Guest Login Settings (Свойства входа незарегистрированного гостя) сконфигурировать:

• Данные, которые должны ввести гости.

• Как долго пользователи могут иметь доступ к сетевым ресурсам.

• Требуется ли соглашение для пользователя и его текст.

5. В Базе Правил Межсетевого экрана создать два новых правила:

a) Создать правило (если оно еще не создано), по которому идентифицированные пользователи из организации могут получить доступ в Интернет.

(i) В правиле щелкнуть правой кнопкой мыши в поле Source (Источник) для создания Access Role (Роль доступа).

(ii) Ввести Name (Название) для Access Role.

(iii) Во вкладке Users (Пользователи), отметить Specific users (Определенные пользователи).

(iv) Щелкнуть OK.

(v) Роль доступа добавилась в правило

–  –  –

Идентификация пользователя в журналах регистрации Ниже в журнале SmartView Tracker показано, как система распознает гостя.

Эта запись показывает, что система сопоставляет IP-адрес источника с идентификационными данными пользователя. В данном случае, идентификационными данными «гостя», потому что он как пользователь идентифицировался на Captive Portal.

Сбор идентификационной информации с помощью Агента идентификации Сценарий: развертывание Агента идентификации и доступ группы пользователей В организации ACME хотят быть уверены, что к web-серверу Finance могут получить доступ только сотрудники финансового отдела. В текущей Базе Правил для определения доступа финансового отдела используются статические IP-адреса.

ИТ администратор Эми хочет использовать Агент идентификации следующим образом:

• Сотрудники финансового отдела будут аутентифицироваться всего один раз с помощью SSO при входе в систему (с использованием протокола Kerberos, который встроен в Microsoft Active Directory).

• Пользователи, которые перемещаются по организации, будут иметь постоянный доступ к web-серверу Finance.

• Предотвращая таким образом попытки подмены IP-адреса, мы обеспечиваем более безопасный доступ к web-серверу Finance.

Эми хочет, чтобы сотрудники финансового отдела загружали Агент идентификации из Captive

Portal. Необходимо сконфигурировать:

• Агент идентификации, как источник идентификационной информации для Identity Awareness.

• Развертывание агента для группы финансового отдела из Captive Portal. Ей нужно, чтобы развертывался Полный (Full) Агент идентификации, таким образом, она может установить защиту от подмены IP-адреса источника (IP-спуфинг). Никакой дополнительной конфигурации защиты от IP-спуфинга на стороне клиента не требуется.

• Правила в Базе Правил для сотрудников финансового отдела с ролью доступа: со всех управляемых компьютеров и из любого места с включенной защитой от IP-спуфинга.

После конфигурации и установки политики, пользователи, которые подключаются к web-серверу Finance, получают страницу Captive Portal и могут скачать Агент идентификации.

Требуемая конфигурация в SmartDashboard

Чтобы реализовать этот сценарий, ИТ администратор должен:

1 Включить на шлюзе Identity Awareness и выбрать Identity Agents (Агенты идентификации) и Browser-Based Authentication (Аутентификация на основе браузера) в качестве Identity Sources (Источников идентификации данных).

2. Щелкнуть кнопку Settings (Параметры) Аутентификации на основе браузера.

3. В окне Portal Settings (Параметры портала) в разделе User Access (Доступ пользователей) выбрать Name and password login (Имя и пароль входа).

4. В разделе Identity Agent Deployment (Развертывание Агента идентификации) выбрать Require users to download (Требовать от пользователей загрузить) и выбрать вариант Identity Agent — Full (Агент идентификации — Полный).

Примечание — Это конфигурирование Агента идентификации для всех пользователей. Однако вы можете сконфигурировать Агент идентификации для конкретной группы.

Межсетевой экран Руководство администратора системы R75.40VS | 41 Аутентификация

5. Настроить SSO с протоколом Kerberos

6. В Базе Правил межсетевого экрана создать правило, которое разрешает доступ к webсерверу Finance только сотрудникам финансового отдела.

a) В правиле щелкнуть правой кнопкой мыши в поле Source (Источник) для создания Access Role (Роль доступа).

b) Ввести Name (Название) для Access Role.

c) Во вкладке Networks (Сети), отметить Specific networks (Определенные сети) и из Active Directory добавить группу пользователей Finance.

d) Во вкладке Users (Пользователи), выбрать All identified users (Все идентифицированные пользователи)

e) Во вкладке Machines (Устройства) выбрать All identified machines (Все идентифицированные устройства) и отметить Enforce IP spoofing protection (Применять защиту от подмены IP-адреса) (Требуется Полный Агент идентификации).

Щелкнуть OK.

f)

g) Роль доступа добавилась в правило

–  –  –

2. Сотрудник щелкает по ссылке загрузки Агента идентификации.

Он автоматически подключается к шлюзу. Откроется окно, предлагающее сотруднику доверять серверу.

–  –  –

Примечание — открывается окно с предупреждением о нарушении доверия, потому что пользователь подключается к Шлюзу Безопасности с Identity Awareness используя функцию обнаружения сервера на основе имени файла. Для дополнительной информации о других методах обнаружения сервера, которые не требуют подтверждения доверия пользователей, см. Обнаружение сервера и доверительные отношения.

3. Щелкнув ОК, сотрудник автоматически подключается к web-серверу Finance.

Сотрудник может успешно выйти в Интернет на определенный период времени Что дальше?

Другие варианты, которые могут быть сконфигурированы для Агентов идентификации:

• Способ, который определяет, как Агенты идентификации подключаются к Шлюзу Безопасности с включенным решением Identity Awareness и доверяют ему. Для дополнительной информации, см. Обнаружение сервера и доверительные отношения.

В этом сценарии используется метод обнаружения сервера по имени файла.

• Использование Ролей доступа для осведомленности об устройствах.

• Защита интерфейса конечного пользователя, чтобы пользователи не смогли получить доступ к параметрам клиента.

• Разрешение пользователям отложить установку клиента на определенное время и запросить у пользователя подтверждение соглашения. Смотрите Доступ пользователя.

Сбор идентификационной информации в среде терминального сервера Сценарий: Идентификация пользователей, подключающихся к Интернет через терминальные серверы В организации ACME определили новую политику, которая разрешает сотрудникам получать доступ в Интернет только через терминальные серверы. В ACME хотят быть уверены в том, что только коммерческий отдел будет иметь доступ к Facebook. В текущей Базе Правил используются статические IP адреса для определения доступа к Facebook, но теперь все соединения будут инициированы с IP адресов терминальных серверов.

ИТ администратор Эми хочет воспользоваться решением для Терминальных серверов, чтобы:

• При входе в терминальную сессию сотрудники коммерческого отдела автоматически были аутентифицированы решением Identity Awareness.

• Все подключения к Интернет, были идентифицированы при входе в систему.

• Доступ к Facebook был закрыт для всех, кроме сотрудников коммерческого отдела.

Чтобы включить решение Терминальные серверы, Эми должна:

• Сконфигурировать Агенты идентификации для терминального сервера/Citrix как источник идентификационной информации для Identity Awareness.

• Установить Агент идентификации для терминальных серверов на каждом терминальном сервере.

• Сконфигурировать общий секретный ключ между Агентом идентификации для терминальных серверов и сервером идентификации.

• После конфигурации и установки политики, пользователи, выходящие в Интернет с использованием терминальной сессии, будут идентифицированы, а доступ к Facebook смогут получить только сотрудники отдела продаж.

Межсетевой экран Руководство администратора системы R75.40VS | 43 Аутентификация Сбор идентификационной информации в Контроле приложений и фильтрации URL адресов (Application Control & URL Filtering) Identity Awareness, Контроль приложений и фильтрация URL-адресов могут быть использованы вместе, чтобы шлюз Check Point, был осведомлен о пользователе, об устройстве, и о приложении.

Блейды работают вместе в следующих процессах:

• Используйте Роли доступа Identity Awareness в поле source (источник) правил Контроля приложений и фильтрации URL-адресов.

• Вы можете использовать все типы источников идентификации данных для сбора идентификационной информации о пользователях, которые пытаются получить доступ к приложениям.

• В журналах SmartView Tracker и событиях SmartEvent, вы можете увидеть, какой пользователь и с какого IP-адреса имел доступ и к каким приложениям.

Сценарий: идентификация пользователей в журналах Контроля приложений и фильтрации URL-адресов В организации ACME хотят использовать Identity Awareness для контроля исходящего трафика приложений и знать, чем занимаются их сотрудники. Для этого ИТ администратору необходимо включить Контроль приложений и фильтрацию URL-адресов и Identity Awareness. Журналы SmartView Tracker и SmartEvent затем покажут идентификационную информацию для трафика.

Далее, чтобы сделать правила еще более эффективными, ИТ отдел может добавлять их для блокирования определенных приложений и их разнообразного отслеживания в политиках Контроля приложений и фильтрации URL-адресов. Для получения дополнительной информации, см. R75.40VS Контроль приложений и фильтрация URL-адресов. Руководство администратора (http://supportcontent.checkpoint.com/solutions?id=sk76540).

Требуемая конфигурация в SmartDashboard

Чтобы реализовать этот сценарий, ИТ администратор должен:

1. На Шлюзе Безопасности включить блейды Application Control и URL Filtering.

Этим добавляется правило по умолчанию в Базу Правил Контроля приложений и фильтрации URL-адресов, которое разрешает трафик известных приложений с протоколированием в журнале Источник Назначение Приложение/Сайты Действие Отслеживание Any Internet Any Recognized Allow Log

2. На шлюзе включить Identity Awareness, выбрать AD Query (Запрос AD) как один из Identity Sources (Источников идентификации данных).

3. Установить политику.

Идентификация пользователя в журналах регистрации

• Журналы, связанные с трафиком приложений в SmartView Tracker и SmartEvent, показывают данные для идентифицированных пользователей.

• Записи SmartView Tracker показывают, что система сопоставляет IP-адрес источника, с идентификационными данными пользователя. Эту же информацию показывает решение Контроль приложений и фильтрация URL-адресов.

• Вводные записи журнала SmartEvent показывают подробности событий Контроля приложений и фильтрации URL-адресов с Identity Awareness, идентификационную информацию пользователей и устройств.

Межсетевой экран Руководство администратора системы R75.40VS | 44 Аутентификация Конфигурирование Identity Awareness Для конфигурирования Identity Awareness, смотрите документ R75.40VS Распознавание идентификационной информации Руководство администратора (http://supportcontent.checkpoint.com/solutions?id=sk76540).

–  –  –

Трансляция сетевых адресов (NAT) предполагает замену одного IP-адреса другим. NAT может изменить как адрес отправителя, так и адрес получателя внутри пакета. Это означает, что пакет, который отправляется из внутренней (защищенной) стороны к внешней (незащищенной) стороне межсетевого экрана, в пункте назначения отображается, как пришедший с другого адреса, а пакет, который отправляется от внешней к внутренней стороне межсетевого экрана приходит на соответствующий адрес.

NAT работает со всеми объектами Check Point: сетевыми объектами, узлами, сетями, диапазонами адресов и динамическими объектами. Вы можете задать NAT автоматически с помощью конфигурации сетевого объекта, который автоматически добавляет правила в базу правил NAT. В базе правил NAT можно создавать правила и вручную.

Создание правил NAT вручную добавляет дополнительную гибкость. Например, в дополнение к трансляции IP-адресов, вы можете транслировать службы или номера портов назначения.

Трансляция номеров портов является одним из видов Статического NAT, в которых один номер порта транслируется в другой номер порта.

Способы трансляции NAT

Шлюз Безопасности поддерживает два типа трансляции NAT:

• Статический (Static) NAT: Каждый индивидуальный частный адрес транслируется в соответствующий публичный адрес. Соединения могут исходить с обеих сторон Шлюза Безопасности, внутренние серверы становятся доступными для внешних источников.

• Маскирующий (Hide) NAT: Определенным внутренним адресам сопоставляется один внешний IP-адрес, таким образом, внутренняя IP-структура скрывается от внешних источников. Соединения могут исходить только из внутренней, защищенной стороны Шлюза Безопасности. Внутренние ресурсы не доступны для внешних источников.

Статический NAT Следующий пример иллюстрирует типичное использование Статического NAT. Статический NAT на узле транслирует его частный адрес в уникальный публичный адрес. Статический NAT на сеть или диапазон адресов транслирует каждый IP-адрес сети или диапазона в соответствующий публичный IP-адрес, начиная с определенного статического IP-адреса.

Межсетевой экран Руководство администратора системы R75.40VS | 46 Трансляция сетевых адресов Маскирующий NAT В режиме Маскирующий NAT, изменяются номера портов всех пакетов источника. Когда вернувшиеся пакеты поступают на межсетевой экран, Шлюз Безопасности использует номер порта, чтобы определить, для каких внутренних машин предназначены пакеты. Номера портов динамически назначаются из двух пулов номеров: от 600 до 1023 и от 10000 до 60000.

Номера портов, как правило, назначаются со второго пула. Первый пул используется только для трех служб: Rlogin (порт назначения 512), rshell (порт назначения 513) и Rexec (порт назначения 514). Если соединение использует одну из этих служб и оригинальный порт источника меньше 1024, то номер порта назначается с первого пула. Эта динамика назначения портов настраивается.

Шлюз Безопасности отслеживает все номера назначенных портов, так чтобы исходный номер порта правильно восстанавливался для возврата пакетов, и номер порта, который в настоящее время используется, не был еще раз назначен новому соединению.

Маскирующий NAT поддерживает до 50000 подключений на сервер. Этот предел вместимости достигается только, если NATом маскируется более 50000 соединений внутренних клиентов и одновременно направленных на один сервер в незащищенную сторону Шлюза Безопасности — маловероятный сценарий.

NAT на шлюзе позволяет использовать один публичный адрес для большого числа компьютеров внутренней сети с частными адресами. В Интернете не известно о разделяющем устройстве, установленном между Интернетом и внутренней сетью, и ваши многочисленные компьютерные соединения видятся как соединения с одного источника.

Маскирующий NAT санкционирует только те соединения, которые исходят из внутренней сети.

Это позволяет внутренним узлам инициировать соединения как внутрь, так и за пределы внутренней сети, однако, узел за пределами сети не может инициировать соединение с внутренним узлом.

Адрес Маскировки — это адрес, за которым будет скрыта внутренняя сеть, диапазон адресов или узел.

У вас есть выбор, скрыть внутренний адрес (адреса), либо:

• За маршрутизируемым виртуальным IP-адресом — публичным IP-адресом, который не принадлежит ни одной физической машине, или

• IP-адресом интерфейса Шлюза Безопасности, через который пакет маршрутизируется.

Например, предположим, что диапазон адресов 10.1.1.2 до 10.1.1.10 скрывается за адресом внешнего интерфейса 192.168.0.1. Cоединение устанавливается с адреса 10.1.1.3, и источник и назначение исходных и ответных пакетов транслируется.

Межсетевой экран Руководство администратора системы R75.40VS | 47 Трансляция сетевых адресов Трансляция портов Трансляция портов позволяет использовать несколько серверов приложений в скрытой сети и получать к ним доступ с помощью одного IP-адреса, на основе запрашиваемых служб (или порта назначения), что позволяет экономить дефицитные публичные IP-адреса. Типичная реализация обеспечивает доступ к серверу FTP (доступный через порт 21), серверу SMTP (порт 25) и серверу HTTP (порт 80) с помощью одного публичного IP-адреса.

Для использования Трансляции порта необходимо вручную создать правила NAT.

Автоматический Маскирующий NAT для внутренних сетей Вы можете использовать Маскирующий NAT, чтобы организовать доступ в Интернет для крупных и сложных внутренних сетей, которые содержат много подсетей, не все из которых могут быть известны.

Обыкновенный (Regular) Маскирующий NAT требует, чтобы были указаны все внутренние сетевые адреса, которые будут транслироваться, хотя это может быть нереально.

В этом случае вы можете установить автоматический Маскирующий NAT для всех внутренних сетей. Каждое соединение, поступающее из внутреннего интерфейса и выходящее через внешний интерфейс шлюза (как определено на странице Topology объекта шлюз) транслируется NAT во внешний адрес интерфейса шлюза и отправляется наружу.

Например, предположим, клиенты внутренней сети инициируют соединения с серверами

–  –  –

в Интернете. Исходные адреса внутренних клиентов транслируются NAT в адрес внешнего интерфейса 192.168.0.1 или 172.16.1.1, в зависимости от интерфейса, из которого инициируется соединение.

Примечание — обыкновенные (Regular) правила NAT имеют приоритет перед правилами NAT-для-внутренних-сетей (NAT-for-internal-networks).

Если соединение соответствует обоим типам правил NAT, то соединение соответствует обыкновенному правилу NAT.

Правила доступа должны быть определены в Базе Правил.

База правил NAT Каждое правило определяет, что происходит с первого пакета соединения. Ответные пакеты курсируют в противоположном направлении относительно исходных пакетов, но соответствуют одному и тому же правилу.

База правил NAT состоит из двух разделов:

• Исходный пакет (Original Packet): Определяет условия, при которых применяется правило.

• Транслированный пакет (Translated Packet): Определяет принятые меры, когда правило применяется.

Каждая секция в редакторе базы правил NAT разделена на Источник, Назначение и Служба.

Выполняются следующие действия:

• Источник, указанный в разделе Исходный пакет, транслируется в Источник в разделе Транслированный пакет

• Назначение, указанное в разделе Исходный пакет, транслируется в Назначение в разделе Транслированный пакет

• Служба, указанная в разделе Исходный пакет, транслируется в Службу в разделе Транслированный пакет

–  –  –

Порядок соответствия правил Порядок соответствия базы правил NAT следует тому же принципу, как в Базе Правил. Когда межсетевой экран получает пакет, принадлежащий соединению, вначале сравнивает его с первым правилом базы правил, затем со вторым, а затем третьим и так далее. Когда находит правило, которое соответствует, останавливает проверку и применяет это правило.

Исключение из этого принципа, когда соединению соответствуют два автоматических правила, в этом случае применяется двунаправленный NAT.

Автоматические и созданные вручную правила NAT NAT может быть задан автоматически, через сетевой объект (узел, сети или диапазон адресов).

При определении NAT таким образом, правила автоматически добавляются в базу правил NAT.

Можно вручную указать правила NAT, добавив или изменив их в базе правил NAT. Межсетевой экран проверяет правила NAT, созданные вручную, помогая избежать ошибок в процессе установки. Создание правил NAT вручную дает максимальный контроль над тем, как функционирует NAT. Вы можете указать источник, место назначения и службу отдельно для исходного и транслированного пакета.

При создании Ручных правил NAT (Manual NAT rules), вы должны задать, в дополнение к исходным объектам, транслируемые сетевые объекты.

Двунаправленный NAT Двунаправленный NAT относится к автоматическим правилам NAT в базе правил NAT и позволяет двум автоматическим правилам NAT соответствовать соединению. Без двунаправленного NAT соединению может соответствовать только одно автоматическое правило NAT.

Когда для сетевого объекта задан NAT, генерируется автоматическое правило NAT, которое выполняет необходимые трансляции. Если есть два сетевых объекта, где один является источником соединения, а другой — местом назначения, используется двунаправленный NAT, применяются оба автоматических правила NAT и оба объекта транслируются.

Логика двунаправленного NAT следующая:

• Если первое совпадение соединения приходится на Ручное правило NAT (созданное вручную), никакие дальнейшие проверки по базе правил NAT не выполняются.

• Если первое подходящее соединению правило является Автоматическим правилом NAT, по одному проверяются остальные правила базы правил NAT, чтобы проверить, может ли соответствовать соединению другое Автоматическое правило NAT. Если находится еще одно совпадение, подходящими становятся оба правила и дальнейшая проверка не выполняется.

Работу двунаправленного NAT можно отслеживать с помощью SmartView Tracker, полей NAT Rule Number (номер правила NAT) и NAT Additional Rule Number (номер дополнительного правила NAT). Дополнительное правило — это правило, которое соответствует автоматической трансляции осуществляемой на второй объект в двунаправленном NAT.

Понимание автоматического создания правил NAT может быть определен автоматически через сетевой объект (узел, сеть или диапазон адресов), с автоматическим добавлением правил в базу правил NAT.

Маскирующий NAT добавляет одно правило на узел в базу правил NAT. Он указывает, что адрес источника пакетов транслируется для соединений, исходящих от данного узла внутренней сети (Правило маскирования источника).

Статический NAT добавляет два правила на узел в базу правил NAT. В дополнение к Правилу Межсетевой экран Руководство администратора системы R75.40VS | 50 Трансляция сетевых адресов маскирования источника, второе правило указывает, что для соединений, исходящих из внешней сети, транслируется адрес назначения пакета (Статическое правило для места назначения).

Если NAT (Маскирующий или Статический) выполняется на сеть или диапазон адресов, добавляется дополнительное правило, которое указывает, что связь внутри сети или диапазона адресов не транслируется (пакет, отправленный от одной машины к другой в пределах сети, не изменяется).

Пример автоматически создаваемых правил (Маскирующий NAT) Этот пример показывает правила Маскируюшего NAT для диапазона адресов узла, созданные автоматически.

–  –  –

Range_Hide Any Any Range_Hide = Original = Original (Hiding Address)

• Правило 1 указывает, что для соединений в пределах внутренней (незащищенной) стороны межсетевого экрана, транслирование адресов не происходит.

• Правило 2 указывает, что для соединений, инициированных за пределы внутренней (защищенной) стороны межсетевого экрана, адрес источника пакетов транслируется в публичный адрес Маскирующего NAT.

В автоматических правилах Маскирующего NAT, транслирование адреса называется также Скрытием или Маскированием адреса и используется на незащищенной стороне Шлюза Безопасности. Настоящие адреса — частные адреса, которые используются на защищаемой стороне Шлюза Безопасности.

Пример автоматически создаваемых правил (Статический NAT) Этот пример показывает автоматически сгенерированные правила Статического NAT для диапазона адресов на узле.

–  –  –

межсетевого экрана, допустимые (публичные) адреса места назначения транслируются в адреса статического NAT.

В автоматических правилах Статического NAT статически транслированные публичные адреса называются Допустимыми адресами (Valid addresses) и используются на незащищенной стороне Шлюза Безопасности. Настоящие адреса — частные адреса, которые используются на защищаемой стороне Шлюза Безопасности.

Порядок автоматических правил

Автоматические правила помещаются в базу правил NAT в следующем порядке:

1. Правила статического NAT.

2. Правила маскируемого NAT.

3. NAT на узел.

4. NAT на сеть или диапазон адресов.

Вопросы планирования для NAT Маскирование против Статики Маскирующий NAT не может быть использован для протоколов, в которых не может быть изменен номер порта.

Когда внешнему серверу необходимо различать клиентов на основе их IP-адресов, Маскирующий NAT использоваться не может, потому что все клиенты имеют один и тот же IPадрес, используемый при маскировании NAT.

Только Статический NAT может использоваться для обеспечения возможности соединения из внешней сети во внутреннюю сеть.

Автоматические правила и Ручные правила Автоматические правила NAT просты в настройке и, следовательно, в меньшей степени подвержены ошибкам конфигурации. Автоматическая конфигурация ARP подходит только для автоматических правил.

Правила NAT, задаваемые вручную, могут быть сложными, но это дает вам полный контроль над NAT.

Следующие операции могут быть выполнены только с помощью правила NAT, созданного вручную:

• Ограничение правил для указанных IP-адресов назначения и для указанных IP-адресов источника.

• Транслирование IP-адресов источника и назначения в одном пакете.

• Выполнение Статического NAT только в одном направлении.

• Транслирование служб (портов назначения).

• Ограничение правил указанных служб (портов).

• Выполнение NAT над динамическими объектами.

Выбор адреса Скрытия в Маскирующем NAT Адрес Скрытия — это адрес, за которым будут скрыты сеть, диапазон адресов или узел.

Можно скрыться за адресом любого интерфейса Шлюза Безопасности или за каким-либо определенным IP-адресом.

–  –  –

Выбор постоянного публичного IP-адреса является хорошим вариантом, если вы хотите скрыть адрес Шлюза Безопасности, однако, это означает, что вы должны использовать дополнительный публично маршрутизируемый IP-адрес.

Скрыться за адресом Шлюза Безопасности является хорошим вариантом для административных целей, например, если внешний IP-адрес межсетевого экрана изменится, нет необходимости менять настройки NAT.

Частные рекомендации по использованию В этом разделе представлены сведения об использовании NAT в реальных сетях.

Автоматический и Proxy ARP Предоставление машине из внутренней сети с помощью NAT внешнего IP-адреса делает эту машину видимой в Интернете так, как будто она во внешней сети или со стороны Интернет от межсетевого экрана. Когда NAT настроен автоматически, Шлюз Безопасности от имени транслированных сетевых объектов отвечает на ARP-запросы пришедшие от маршрутизатора из Интернет на адрес внутренней машины.

Если вы пишете правило вручную, вы должны настроить proxy ARP для связи транслированного IP-адреса с МАС-адресом интерфейса Шлюза Безопасности, который находится в одной сети с транслируемым адресом.

NAT и анти-спуфинг NAT выполняется после анти-спуфинг проверок, которые проводятся только над IP-адресом источника пакета. Это означает, что защита от подмены настроена на интерфейсе Шлюза Безопасности так же, как NAT.

–  –  –

Отключение NAT в VPN туннеле При взаимодействии через VPN, как правило, нет необходимости выполнять преобразование NAT. Вы можете отключить NAT в VPN туннеле одним щелчком мыши в объекте «VPN сообщество». Если отключение NAT в VPN туннеле задано правилом NAT, то снижается производительность VPN.

Конфигурация NAT

Основные шаги конфигурации NAT

Для конфигурации NAT:

1. Установите, какие IP-адреса будут использоваться для преобразования.

2. Задайте сетевые объекты.

3. Задайте правила доступа в Базе Правил. При определении Ручных правил NAT вы должны задать сетевые объекты, адреса которых будут транслироваться. При использовании автоматического правила NAT вы должны задать только один сетевой объект согласно реально существующему объекту. Например, если Статический NAT задается на объект, называемый Alaska_Web, то Базе Правил необходимо только обратиться к Alaska_Web, задавать правило для Alaska_Web нет необходимости (Действительный адрес).

4. Задайте правила NAT (автоматические и/или ручные).

5. Установите политику безопасности: Policy Install (Политика Установить).

Базовая конфигурация — сетевой узел с Маскирующим NAT Например, предположим, базовую конфигурацию сетевого узла с Маскирующим NAT. Его целью является, скрыть IP-адрес Web-сервера Alaska_Web (10.1.1.10) от соединений из Интернета.

Шлюз Alaska_GW имеет три интерфейса, один из которых обращен к сети, где находится Alaska_Web.

–  –  –

Для настройки сетевого узла с Маскирующим NAT:

1. Правьте объект узел для Alaska_Web, и на странице NAT, выберите Add Automatic Address Translation rules (Добавить автоматическое правило NAT).

2. Выберите Translation Method (Способ трансляции) Hide (Скрыть) и опцию Hide behind the interface of the Install on Gateway (Скрыть за интерфейсом шлюза).

3. Выберите Install on Gateway (Установить на шлюз). В приведенном выше примере, NATшлюзом является Alaska_GW, следовательно, выбрать Alaska_GW или All (Все).

У пакетов, исходящих от Alaska_Web с Интернет в поле destination (назначение), адрес источника транслируется с 10.1.1.10 на 192.168.0.1. Например, пакеты, идущие от Web-сервера, имеют измененный адрес источника с 172.16.10.3 на 192.168.0.1.

Пример конфигурации (Статический и Маскирующий NAT) Цель следующего примера — сделать SMTP и HTTP серверы внутренней сети доступными из Интернет посредством публичных адресов и предоставить доступ в Интернет для всех пользователей внутренней сети.

Для Web-сервера и почтового сервера требуется статическая трансляция, поскольку к ним необходимо обеспечить входящие подключения из Интернета. Имеются два маршрутизируемых адреса. В этом примере 192.168.0.5 используется для Alaska.Web HTTP сервера и 192.168.0.6 используется для Alaska.Mail SMTP сервера.

Межсетевой экран Руководство администратора системы R75.40VS | 55 Трансляция сетевых адресов Для внутренних клиентов требуется Маскирующий NAT, потому что они будут инициировать соединения. Входящие соединения из Интернета к ним не разрешены. Они будут скрыты за внешним интерфейсом Шлюза Безопасности.

Чтобы выполнить пример конфигурации со Статическим и Маскирующим NAT:

1. Задайте сетевые объекты для Alaska.Web (10.1.1.5), Alaska.Mail (10.1.1.6), Alaska_LAN (10.1.1.0 с маской сети 255.255.255.0) и Шлюза Безопасности (Alaska.GW).

2. Правка объекта Alaska.Web, на странице NAT выберите Add Automatic Address Translation Rules (Добавить автоматические правила трансляции адресов).

3 Translation Method (Способ трансляции) выберите Статический и задайте Translate to IP Address (Транслировать в IP-адрес) 19216805

4. Для Alaska.Mail, Translation Method (Способ трансляции) выберите Статический и задайте Translate to IP Address (Транслировать в IP-адрес) 192.168.0.6.

5. Правка объекта Alaska_LAN и на странице NAT:

a) Выберите Hide (Скрыть) в поле Translation Method (Способ трансляции).

b) Выберите Hide behind Gateway (Скрыть за шлюзом).

Следовательно 192.168.0.1 — адрес Скрытия для внутренних клиентов сети Alaska_ LAN. Следующий снимок экрана показывает результирующую базу правил NAT.

–  –  –

Пример конфигурации (Использование Ручных правил для трансляции портов) В следующем примере необходимо обеспечить доступ из Интернет к Web-серверу и почтовому серверу сети DMZ, используя один IP-адрес. Маскирование NAT выполняется для всех адресов в DMZ.

Межсетевой экран Руководство администратора системы R75.40VS | 56 Трансляция сетевых адресов Чтобы выполнить пример конфигурации для трансляции портов с помощью ручных правил:

1. Задайте сетевые объекты для сети Alaska.DMZ.LAN (172.16.0.0 с маской сети 255.255.0.0), Web-сервера Alaska_DMZ_Web (172.16.1.7), почтового сервера Alaska_DMZ_Mail (172.16.1.5) и Шлюза Безопасности (Alaska.GW).

1. В закладке NAT сетевого объекта Alaska.DMZ.LAN выберите Add Automatic Address Translation Rules (Добавить автоматические правила NAT).

2. Выберите Hide (Скрыть) как Translation Method (Способ трансляции), а затем Hide behind Gateway (Скрыть за шлюз). Это действие добавляет два автоматических правила в базу правил NAT (Правила 1 и 2).

3. В базе правил NAT, задать Ручное правило NAT, которое транслирует запросы для службы HTTP к Web-серверу (Правило 3) и Ручное правило NAT транслирующее SMTP-запросы на сервер SMTP (Правило 4).

–  –  –

Расширенная конфигурация NAT Подключение транслированных объектов на различные интерфейсы В следующих разделах описывается, как разрешить соединения в обоих направлениях между статически транслированными объектами (узлами, сетями или диапазонами адресов)

–  –  –

на различные интерфейсы Шлюза Безопасности.

Если NAT задается через сетевой объект (в отличие от использования Ручных правил NAT), то необходимо убедиться, что включен двунаправленный NAT.

Внутренний обмен информацией с перекрывающимися адресами

Если две внутренние сети имеют перекрывающиеся (или частично перекрывающиеся) IPадреса, шлюз безопасности разрешает:

• Связь между перекрывающимися внутренними сетями.

• Связь между перекрывающимися внутренними сетями и внешним миром.

• Принудительное применение различных политик безопасности для каждой из перекрывающихся внутренних сетей.

Конфигурация сети

Например, предположим, сеть А и сеть B используют одно и то же адресное пространство (192.168.1.0/24), поэтому, для обеспечения связи между двумя сетями, не может быть использован стандартный NAT. Вместо этого для каждого интерфейса должно быть выполнено перекрытие NAT.

Пользователи сети А для связи с пользователями сети B должны использовать в качестве назначения сеть 192.168.30.0/24. Пользователи сети B для связи с пользователями сети А должны использовать в качестве назначения сеть 192.168.20.0/24.

Шлюз Безопасности транслирует IP-адреса для каждого интерфейса следующим образом:

Межсетевой экран Руководство администратора системы R75.40VS | 58 Трансляция сетевых адресов Интерфейс A Входящий IP-адрес источника транслируется в виртуальную сеть 192.168.20.0/24.

• Исходящий IP-адрес назначения транслируется в сеть 192.168.1.0/24.

• Интерфейс B Входящий IP-адрес источника транслируется в виртуальную сеть 192.168.30.0/24.

• Исходящий IP-адрес назначения транслируется в сеть 192.168.1.0/24.

• Интерфейс C Для этого интерфейса Перекрытие NAT не настраивается. Вместо этого следует использовать Маскирующий NAT в обычном порядке (не на основе каждого интерфейса), чтобы скрыть адрес источника за IP-адресом интерфейса (192.168.4.1).

Примеры связи В этом разделе описывается, как организовать связь между внутренними сетями, а также между внутренней сетью и Интернетом Связь между внутренними сетями Если пользователь А, с IP-адресом 192.168.1.10 в сети А, хочет подключиться к пользователю B, на IP-адрес 192.168.1.10 (тот же IP-адрес) в сети B, пользователь открывает соединение с IPадресом 192.168.30.10.

Связь между внутренними сетями

–  –  –

Связь между внутренней сетью и Интернет Если пользователь А, с IP-адресом 192.168.1.10 в сети А подключается к IP-адресу 10.10.10.10 в Интернете.

Связь между внутренней сетью и Интернет

–  –  –

Рекомендации по маршрутизации Чтобы разрешить маршрутизацию из сети А в сеть B, ее необходимо настроить на компьютере с межсетевым экраном.

Ниже приведены примеры команд для настройки маршрутизации в операционных системах

Windows и Linux (для других операционных систем, используйте соответствующие команды):

В Windows

• route add 192.168.30.0 mask 255.255.255.0 192.168.3.2

• route add 192.168.20.0 mask 255.255.255.0 192.168.2.2 В Linux

• route add -net 192.168.30.0/24 gw 192.168.3.2

• route add -net 192.168.20.0/24 gw 192.168.2.2 Конфигурация объектов базы данных Для активации функции перекрытия NAT, используйте графический редактор базы данных dbedit (или утилиту командной строки). В приведенном примере сетевой конфигурации, значения для интерфейса А и интерфейса B устанавливаются следующим образом:

Пример конфигурации сети: конфигурация интерфейса

–  –  –

Управление безопасностью за NAT Сервер Управления Безопасностью, из-за отсутствия публичного IP-адреса, иногда использует частный IP-адрес (как указано в RFC 1918) или другой не маршрутизируемый IP-адрес.

Для IP-адреса сервера Управления Безопасностью одним щелчком мыши может быть настроен NAT (Статический или Маскирующий), при этом остается возможность для подключения к управляемым шлюзам. Все шлюзы могут управляться с сервера Управления Безопасностью, журналы регистрации событий также могут быть отправлены на сервер Управления Безопасностью. Также NAT можно настроить для сервера Management High Availability (дополнительный сервер Управления в режиме отказоустойчивости) и сервера регистрации событий.

Примечание — Управление безопасностью за NAT не поддерживается для ситуаций, в которых Сервер Безопасности действует еще и в качестве шлюза, и должно проводиться за пределами домена, к которому применен NAT, например, когда он принимает команды SAM.

В типовом сценарии Управления безопасностью за NAT: сервер Управления Безопасностью находится в сети, в которой выполняется Трансляция Сетевых Адресов («сеть, к которой применяется NAT»). Сервер Управление Безопасностью может управлять Шлюзами Безопасности, которые находятся как внутри сети, к которой применяется NAT, на границе между сетью, к которой применяется NAT, и внешним миром, так и за пределами сети, к которой

–  –  –

применяется NAT.

В обычных конфигурациях маскирующего NAT, соединение не может быть установлено с внешней стороны NAT Шлюза Безопасности. Однако, при использовании Маскирующего NAT на сервере Управления Безопасностью, шлюзы могут отправлять журналы регистрации событий на сервер Управления Безопасностью.

При использовании Управления безопасностью за NAT, удаленный шлюз автоматически выбирает адрес сервера Управления Безопасностью, к которому следует обращаться, и одновременно применяет настройки NAT.

Чтобы включить NAT для сервера Управления Безопасностью:

На странице NAT объекта сервер Управления Безопасностью, задайте NAT и выберите • Apply for A Security Gateway control connections (Применить для управления соединениями Шлюза Безопасности).

Несоответствующие адреса шлюза Иногда шлюз связывается с сервером Управления Безопасностью с адреса, который не соответствует размещению удаленного шлюза, например:

• Когда автоматический выбор шлюза не соответствует маршрутизации размещения шлюза.

В этом случае серверы регистрации событий (masters and loggers) определяются вручную, чтобы обеспечить связь удаленного шлюза с сервером Управления Безопасностью, используя подходящие адреса. Когда входящее соединение с управляемым шлюзом входит на Шлюз Безопасности, используется трансляция порта для трансляции адреса скрытия в реальный IP-адрес сервера Управления Безопасностью.

Чтобы задать серверы регистрации событий (masters and loggers), выберите Use local definitions for Log Servers (Использовать локальные определения для серверов регистрации событий) и Use local definitions for Masters (Использовать локальные определения для мастеров) и указать верный IP-адрес на шлюзе.

Это решение включает в себя различные сценарии:

• Удаленный шлюз обращается к IP-адресу, транслированному NAT, когда вы хотите, чтобы он обратился к реальному IP-адресу.

• Удаленный шлюз обращается к реальному IP-адресу, в то время как вы хотите обратиться к его транслированному IP-адресу. В этом случае укажите SIC-имя сервера Управления Безопасностью в файле masters.

Примечания:

• С этими настройками может быть задан только один объект, второй объект может быть только вторичный сервер Управления Безопасностью или сервер регистрации событий.

• Убедитесь, что вы правильно задали настройки Топологии на всех шлюзах. Все обходные пути, необходимые для предыдущих версий все еще функционируют без каких-либо изменений в их поведении.

Межсетевой экран Руководство администратора системы R75.40VS | 61 Трансляция сетевых адресов Конфигурация объекта сервер Управления Безопасностью

Для конфигурации объекта сервер Управления Безопасностью:

1. На странице NAT объекта Primary_Security_Management, выберите Статический NAT или Маскирующий NAT. При использовании Маскирующего NAT, выберите Hide behind IP Address (Скрыть за IP-адрес), например, 192.168.55.1. Не выбирайте Hide behind Gateway (Скрыть за Шлюз) (адрес 0.0.0.0).

2. Выберите Install on Gateway (Установить на шлюз) для защиты сети или объектов, к которым применен NAT. Не выбирайте All.

3. Выберите Apply for Security Gateway control connections (Применить для управляющих соединений со Шлюзами Безопасности).

Конфигурация объекта Шлюз

Для конфигурации объекта шлюз:

1. На странице Topology (Топология) Шлюза Безопасности задайте интерфейс.

2. В закладке General (Общее) окна Interface Properties (Свойства интерфейса), задайте IP Address и Net mask (IP-адрес и маску сети).

3. В закладке Topology (Топология) окна Interface Properties (Свойства интерфейса), выберите Network defined by the interface IP and Net Mask (Сеть задана IP-интерфейсом и маской сети).

Пул адресов NAT Пул адресов — это диапазон IP-адресов (диапазон адресов, сеть или группа диапазонов адресов или сетей), который маршрутизируется на шлюз.

Пул адресов NAT обеспечивает правильную маршрутизацию зашифрованных соединений для следующих двух сценариев связи:

• Клиенты SecuRemote/SecureClient, подключающиеся к MEP- шлюзам (Multiple Entry Point — множественные точки входа)

• Шлюзы, подключающиеся к MEP-шлюзам При открытии соединения со стороны SecuRemote/SecureClient или от клиента, находящегося за шлюзом, к серверу за шлюзами MEP, пакеты маршрутизируются одним из шлюзов MEP. Обратные пакеты в соединении должны быть направлены обратно через тот же шлюз, для поддержания связи. Чтобы убедиться, что это происходит, каждый из шлюзов MEP поддерживает пул IP-адресов, маршрутизируемых к шлюзу. При открытии соединения с сервером, шлюз использует вместо IP-адреса источника IP-адрес из пула адресов. Ответные пакеты от сервера возвращаются к шлюзу, который восстанавливает оригинальный IP-адрес источника и пересылает пакеты к источнику.

Пул IP-адресов конфигурируется на странице IP Pool (IP Пул) объекта шлюз. Для получения дополнительной информации о том, как используется пул IP-адресов NAT в сценариях MEP, смотрите «Multiple Entry Point VPNs».

Пул адресов на интерфейс Вы можете задать отдельный пул IP-адресов на одном или нескольких интерфейсах шлюза вместо определения единого пула IP-адресов для подключения к шлюзу.

Задание пула адресов на интерфейс решает вопросы маршрутизации, которые возникают, когда шлюз имеет более двух интерфейсов. Иногда необходимо, чтобы ответные пакеты возвращались к шлюзу через тот же интерфейс. На следующем рисунке показано использование одного из шлюзов MEP в SecuRemote/SecureClient к шлюзу MEP (Multiple Entry Point — множественные точки входа).

Межсетевой экран Руководство администратора системы R75.40VS | 62 Трансляция сетевых адресов Если удаленный клиент открывает соединение с внутренней сетью, ответные пакеты с узлов внутренней сети, направляются на надлежащий интерфейс шлюза, благодаря использованию статических IP-адресов пула адресов NAT.

IP-адрес удаленного VPN-клиента транслируется в адрес из пула адресов одного из интерфейсов шлюза. Адреса в пуле адресов могут быть маршрутизированы только этим интерфейсом шлюза, так что все ответные пакеты целевого узла возвращаются только на этот интерфейс. Поэтому важно, чтобы пулы адресов NAT интерфейсов не перекрывались.

Когда пакет возвращается на интерфейс шлюза, шлюз восстанавливает IP-адрес источника удаленного узла.

Таблицы маршрутизации на маршрутизаторах, которые находятся за шлюзом, должны быть настроены так, что адреса из пула адресов шлюза возвращаются на надлежащий интерфейс шлюза.

Переключение между пулом адресов NAT на шлюз и пулом адресов NAT на интерфейс с последующей установкой политики безопасности удаляет все результаты распределения пула адресов и все соединения, к которым применен NAT.

Приоритеты NAT Пул адресов NAT может использоваться для зашифрованных (VPN) и незашифрованных (дешифрованных шлюзом) соединений.

Примечание — Чтобы включить пул адресов NAT для незашифрованных соединений через шлюз, конфигурируйте изменения параметров INSPECT в файле userdef. Для получения дополнительной информации обращайтесь к технической поддержке Check Point.

Для незашифрованных соединений, пул адресов NAT имеет следующие преимущества перед

Маскирующим NAT:

• хоста, к которому применен NAT, могут быть открыты новые обратные соединения (например, для X11).

Межсетевой экран Руководство администратора системы R75.40VS | 63 Трансляция сетевых адресов

• Сопоставление пользователь-IP-адрес сервера для протоколов, разрешающих одно соединение на IP-адрес, может работать с несколькими узлами, а не только с одним узлом.

• Протоколы IPSec, GRE и IGMP могут быть транслированы NAT с использованием пула адресов NAT (и статического NAT). Маскирующий NAT работает только с протоколами TCP, UDP и ICMP.

С учетом этих преимуществ, можно отметить, что пул адресов NAT имеет приоритет над Маскирующим NAT, если оба соответствуют одному и тому же соединению. Маскирующий NAT применяется, только если израсходован пул адресов.

Порядок приоритетов NAT:

1. Статический NAT

2. Пул адресов NAT

3. Маскирующий NAT Поскольку Статический NAT содержит все преимущества пула адресов NAT и многое другое, он имеет более высокий приоритет, чем другие способы NAT.

Повторное использование пула IP-адресов для различных направлений Повторное использование пула IP-адресов для различных адресов назначения, позволяет более эффективно использовать адреса в пуле. Если пул содержит N адресов, тогда любому количеству клиентов могут назначаться IP-адреса из пула до тех пор, пока имеется не более чем N клиентов на один сервер.

Использование распределения пула адресов на один адрес назначения. Два различных клиента могут получить из пула один и тот же IP-адрес до тех пор, пока они общаются с разными серверами. При повторном использовании адресов из пула адресов, обратные соединения поддерживаются только с исходного сервера. Это означает, что соединения обратно к клиенту могут быть открыты только с конкретного сервера, к которому было открыто соединение.

По умолчанию режим работы Do not reuse IP Pool (Не используйте повторно пул адресов) означает, что каждый IP-адрес в пуле адресов используется только один раз (соединения 1 и 2 на рисунке ниже). В этом режиме, если пул адресов содержит 20 адресов, то будут транслированы NAT до 20 разных клиентов, обратные соединения могут быть открыты из любого источника к клиенту.

–  –  –

Переключение между режимами Повторное использование и Без повторного использования с последующей установкой политики безопасности, удаляет все результаты распределения пула адресов и все соединения, к которым применен NAT.

Конфигурация пула адресов NAT

Для конфигурации пула адресов NAT:

1. На странице Global Properties NAT (Глобальные Свойства NAT), выберите Enable IP Pool NAT (Включить пул адресов NAT) и необходимые параметры отслеживания.

2. На странице шлюза General Properties (Общие свойства), убедитесь, что версия шлюза указана правильно.

3. Для каждого шлюза или интерфейса шлюза, создать сетевой объект, который представляет собой его пул адресов NAT. Пулом адресов может быть сеть, группа или диапазон адресов.

Например, для диапазона адресов, выполните следующие действия:

a) В дереве сетевых объектов, щелкните правой кнопкой мыши ветку Network Objects (Сетевые объекты) и выберите New Address Range (Новый Диапазон адресов).

Откроется окно Address Range Properties (Свойства диапазона адресов).

b) На вкладке General, введите первый и последний IP-адрес диапазона.

c) Нажмите OK. В ветке Address Ranges (Диапазон адресов) дерева сетевых объектов появится новый диапазон адресов.

4. Выберите объект шлюз, откройте окно Gateway Properties (Свойства шлюза) и выберите NAT IP Pool NAT (NAT Пул адресов NAT).

5. На странице IP Pool NAT выберите один из следующих вариантов:

a) Allocate IP Addresses from (Выделить IP-адреса из), а затем выберите диапазон адресов созданный при конфигурировании пула адресов NAT для всего шлюза, или

b) Define IP Pool addresses on gateway interfaces (Задать пул адресов на интерфейс шлюза) для конфигурирования пула адресов NAT на интерфейс.

6. Если потребуется, выберите один или несколько из следующих вариантов:

a) Use IP Pool NAT for VPN client connections (Использовать пул адресов NAT для VPN-подключений клиентов)

b) Use IP Pool NAT for gateway to gateway connections (Использовать пул адресов NAT для связи между шлюзами)

c) Prefer IP Pool NAT over Hide NAT (Предпочитать пул адресов NAT над маскирующим NAT), чтобы указать, что пул адресов NAT, имеет приоритет над маскирующим NAT, если оба соответствуют одному и тому же соединению.

Межсетевой экран Руководство администратора системы R75.40VS | 65 Трансляция сетевых адресов Маскирующий NAT применяется, только если израсходован пул адресов.

7. Нажмите Advanced (Дополнительно).

a) Return unused addresses to IP Pool after (Возврат неиспользуемых адресов в пул адресов после): Адреса в пуле зарезервированы на время 60 минут (по умолчанию), даже если пользователь выходит из системы. Если пользователь отключается от своего Интернет провайдера, а затем осуществляет повторное соединение, для него будет использоваться два адреса из пула NAT, пока первый адрес из пула адресов не освободится по тайм-ауту. Если пользователи регулярно теряют соединения с ISP, вы можете уменьшить тайм-аут для предотвращения истощения пула адресов.

b) Reuse IP addresses from the pool for different destinations (Повторное использование IP-адресов из пула для различных направлений): Это хороший вариант, если вам необходимо разрешить открывать обратные соединения для клиентов из любого источника, а не только от конкретного сервера, к которому клиент первоначально открыл соединение.

8. Нажмите OK.

9. Измените таблицу маршрутизации каждого внутреннего маршрутизатора таким образом, чтобы пакеты с IP-адреса, назначенного из пула NAT, маршрутизировались на соответствующий шлюз, а при использовании пула адресов на интерфейс, на соответствующий интерфейс шлюза.

Пулы IP-адресов NAT для кластеров

Пулы IP-адресов для кластера шлюзов настраиваются в SmartDashboard в двух местах:

На странице шлюза объект кластер NAT IP Pool NAT (NAT Пул адресов NAT), выберите • подключение сценария.

На странице IP Pool NAT (Пул адресов NAT) объекта элемент кластера, задать пул адресов • на элемент кластера. Для каждого кластера необходимо настроить отдельный пул адресов.

Нельзя задать отдельные пулы адресов для каждого интерфейса элемента кластера.

–  –  –

Архитектура Check Point предоставляет администраторам плавный и безопасный путь миграции на протокол IPv6. Многие сети все еще используют протокол IPv4, а некоторые приложения, даже после обновления версии, не поддерживают IPv6. По этой причине, решение Check Point IPv6 включает полную поддержку IPv4. На самом деле, в то время как поддержка IPv6 не обязательна, отключить поддержку IPv4 вы не можете.

Решение Check Point IPv6 включает в себя двойной стек протоколов, который поддерживает обе версии IP. Для этого одновременно используются разные стеки протоколов IPv4 и IPv6. Решение Check Point Двойной стек (Dual Stack) также использует два разных драйвера ядра: одно для трафика IPv4 и одно для трафика IPv6.

Поддерживаемые функции Поддерживаемые функции Check Point Поддерживаемые платформы: Gaia, SecurePlatform и IPSO

• Правила Контроля доступа — в Базе Правил Межсетевого экрана могут быть сконфигурированы узлы IPv6 и сети IPv6

• Службы ICMPv6, определенные пользователем

• Анти-спуфинг

• Модули защиты IPS:

• Сканирование портов

• Агрессивное устаревание (Aggressive Aging)

• Ограничение максимального размера пакетов Ping

• Небольшие значения PMTU

• Ускорение с помощью SecureXL (только SecurePlatform и Gaia)

• ClusterXL в режиме Высокой готовности (только SecurePlatform и Gaia)

• CoreXL (только SecurePlatform и Gaia)

• SmartView Tracker с поддержкой фильтрации по протоколу IPv6 Характерные функциональные возможности IPv6

• Может быть разрешен или запрещен расширенный заголовок IPv6

• Полностью проверяется фрагментация заголовков IPv6

• Может быть разрешен или запрещен трафик туннеля 6in4

• Может быть проверен трафик IPv6 в туннелях 6in4 (только SecurePlatform и Gaia) Межсетевой экран Руководство администратора системы R75.40VS | 67 IPv6 Не поддерживаемые функции Все функции и возможности, не рассмотренные выше, не поддерживаются для IPv6. Список включает, но не ограничивается следующими пунктами:

• IPS (за исключением защиты, рассмотренной выше)

• Трансляция сетевых адресов (NAT)

• Фильтрация приложений и URL (Application & URL Filtering)

• IPSec VPN (Эта функция поддерживалась в R70 IPv6Pack)

• Антиспам и почта (Anti-Spam & Mail)

• Антивирус (Anti-Virus)

• DLP

• QoS Включение протокола IPv6 на Шлюзе Безопасности В этом разделе показано, как включить поддержку IPv6 на различных платформах.

SecurePlatform

Чтобы включить IPv6 на Шлюзе Безопасности под управлением SecurePlatform:

1. Перейдите в /etc/rc.d/rc3.d и создайте файл S11ipv6

2. Добавьте следующие команды в файл S11ipv6:

#!/bin/sh modprobe ipv6 /sbin/ifconfig dev inet6 add IPv6-Address/Prefix-Length

–  –  –

3. Сделайте файл S11ipv6 исполняемым.

4. Выполните S11ipv6.

5. Выполните $FWDIR/scripts/fwipv6_enable on.

6. Перезагрузите Шлюз Безопасности.

Устройства IPSO

Чтобы включить IPv6 на устройствах IPSO:

1. Используйте Voyager или интерфейс командной строки для включения и конфигурирования подходящих интерфейсов для трафика IPv6.

2. Используйте Voyager или интерфейс командной строки для конфигурирования статических маршрутов IPv6.

3. Выполните $FWDIR/scripts/fwipv6_enable on

4. Перезагрузите Шлюз Безопасности.

Межсетевой экран Руководство администратора системы R75.40VS | 68 IPv6 Gaia

Чтобы включить IPv6 на Шлюзе Безопасности под управлением Gaia:

1. В WebUI, перейдите на страницу System Management System Configuration (Управление системой Конфигурирование системы).

2. Выберите опцию IPv6 Support On (Поддержка IPv6 Активировать).

3. Перезагрузите Шлюз Безопасности.

4. Используйте WebUI или интерфейс командной строки для включения и конфигурирования подходящих интерфейсов для IPv6.

5. Используйте WebUI или интерфейс командной строки для конфигурирования статических маршрутов IPv6.

Отключение IPv6 на Шлюзе Безопасности В этом разделе показано, как отключить IPv6 на различных платформах.

SecurePlatform Чтобы отключить IPv6 на Шлюзе Безопасности с активированным протоколом

IPv6:

1. Выполните команду в режиме expert:

$FWDIR/scripts/fwipv6_enable off

2. Удалите файл S11ipv6 из /etc/rc.d/rc3.d.

3. Перезагрузите Шлюз Безопасности.

Для отключения функциональных возможностей IPv6, отключите поддержку IPv6 на всех Шлюзах Безопасности.

Устройства IPSO

Чтобы отключить IPv6 на устройствах IPSO:

1. Выполните $FWDIR/scripts/fwdir6_enable off

2. Используйте Voyager или интерфейс командной строки для отключения поддержки IPv6 на каждом соответствующем интерфейсе.

3. Перезагрузите Шлюз Безопасности.

Gaia

Чтобы отключить IPv6 на Шлюзе Безопасности под управлением Gaia:

1. В WebUI, перейти на страницу System Management System Configuration (Управление системой Конфигурирование системы).

2. Выбрать опцию IPv6 Support Off (Поддержка IPv6 Выключить).

3. Перезагрузить Шлюз Безопасности.

Работа с IPv6 в SmartConsole В SmartDashboard можно создать объекты IPv6 host (узел) и network (сеть) и использовать в Базе Правил в качестве источника и назначения. Можно создавать правила, которые в одной колонке содержат объекты IPv4 и IPv6.

–  –  –

Создание и управление объектами IPv6 выполняется таким же образом, как для сетевых объектов IPv4.

Поддерживаются два типа объектов IPv6:

• Узел

• Сеть Создание объекта IPv6

Для создания объекта IPv6 в SmartDashboard:

1. В строке меню выберите Manage Network Objects (Управлять Сетевые объекты).

Откроется окно Network Object (Сетевые объекты).

2. В поле Show, выберите IPv6.

3. Щелкните New IPv6 IPv6 Host или IPv6 Network.

Откроется окно General Properties (Общие свойства) объекта.

4. Для объекта Узел, введите Name (Название) и IPv6 Address (IPv6-адрес) (например, 2001:db8::11).

Для объекта Сеть, введите Name (Название), IPv6 Address (IPv6-адрес) сети и Prefix length (Длина префикса) (например, 2001:db8::11 и 64).

5. Щелкните OK, а затем Close.

Объект IPv6 отобразится в дереве Network Objects (Сетевые объекты).

Правила IPv6 Для создания правила IPv6, просто используйте объект(ы) IPv6 в правилах точно так же, как и объекты IPv4. Например, чтобы разрешить и регистрировать в журнале FTP соединения по

–  –  –

Правила, в котором поле источник или назначение определяется как Any (любой), применяются к трафику протоколов как IPv4, так и IPv6. Вы можете создать правила, которые в одной колонке содержат объекты IPv4 и IPv6.

Например, это правило отбрасывает все IPv4 и IPv6 пакеты telnet:

Источник Назначение VPN Служба Действие Отслеживание Установить на Any Any Any Traffic telnet drop None Policy Targets Анти-спуфинг для IPv6-адресов Анти-спуфинг полностью поддерживает IPv6-адреса.

Чтобы сконфигурировать Анти-спуфинг для IPv6:

1. Дважды щелкните объект Шлюз Безопасности.

2. Откройте Topology (Топология).

3. На странице Topology (Топология), выберите интерфейс и щелкните Edit (Редактировать).

Откроется окно Interface Properties(Свойства интерфейса).

4. Добавьте IPv6-адрес.

5. Откройте вкладку Topology (Топология).

–  –  –

6. Сконфигурируйте топологию IPv6 для этого интерфейса.

Если выберете External (Внешний), топология включает все адреса, не указанные в • топологии внутренних интерфейсов.

Если выберете Internal Network defined by the Interface IP and Net Mask • (Внутренний Сеть определяется по IP-адресу интерфейса и маске сети), топология рассчитывается с использованием указанных IPv6 и IPv4 адресов.

Если выберете Internal Specific (Внутренний Особый), выберите группу, которая • содержит все сетевые объекты за этим интерфейсом.

7. Включить Anti-Spoofing.

8. Щелкнуть OK.

IPv6 в SmartView Tracker В SmartView Tracker можно просмотреть события протокола IPv6, также доступен и предопределенная выборка для IPv6. Чтобы увидеть события IPv6, в свойствах запроса выберите IPv6-адрес источника и IPv6-адрес назначения.

–  –  –

Определение служб ICMPv6 Вы можете вручную определить службы ICMPv6 Чтобы получать сообщения об ошибках при обработке пакетов и выполнять другие функции интернет-уровня, необходимо определить подходящую службу ICMPv6.

Чтобы определить службу ICMPv6:

1. Во вкладке Object List Services (Список объектов Службы), выберите ICMP.

В области окна Object List (Список объектов), Services (Службы) и действия отобраны для ICMP.

2. Щелкните Action New ICMPv6 (Действие Создать ICMPv6).

3. В окне ICMPv6 Service Properties (Свойства службы ICMPv6), дайте название и введите значение в поле Type (как указано в RFC 792).

4. Щелкните ОК.

Чтобы разрешить или блокировать службу ICMP с типом сервиса ICMPv6, вы можете использовать правила межсетевого экрана. Этот тип сервиса позволяет фильтровать службы ICMPv6 в зависимости от типа и кода спецификации. Для использования в правилах также можно определить специальную (неизвестную) службу ICMPv6.

Контроль неизвестных кодов ICMPv6 По умолчанию Шлюз Безопасности контролирует только набор известных служб ICMPv6.

Контроль неизвестных кодов ICMPv6 может быть включен путем установки параметра ядра fw_allow_unknown_icmpv6 Шлюза Безопасности в значение 1, затем определить их в базе правил.

Чтобы изменить глобальные параметры ядра, см. sk26202 (http://supportcontent.checkpoint.com/solutions?id=sk26202).

IPv6 с ClusterXL R75.40 ClusterXL поддерживает кластеры Высокой готовности (High Availability) для IPv6. Вся информация о состоянии IPv6 синхронизирована и механизм кластеризации IPv6 активируется при сбое.

При использовании R75.40 ClusterXL (как и с IPv4), ClusterXL поддерживает оба состояния и синхронизации и кластеризации. В SmartDashboard, необходимо определить IPv6-адреса кластера для каждого кластерного интерфейса Чтобы включить для интерфейса функциональные возможности IPv6, определите IPv6-адрес для соответствующего интерфейса в кластере и на каждом члене кластера. Все интерфейсы, сконфигурированные с IPv6-адресом, также должны иметь соответствующий IPv4-адрес. Если на интерфейсе не требуется IPv6-адрес, необходимо определить только адрес IPv4.

Примечание — Необходимо настроить для синхронизации только интерфейсы с адресом IPv4, Потому что механизм синхронизации работает только с использованием IPv4. Вся информация и состояние IPv6 синхронизируется с помощью этого интерфейса.

Для конфигурирования IPv6-адресов для интерфейсов кластера и членов кластера:

1. В SmartDashboard, создайте новый объект кластер или дважды щелкните существующий объект кластер.

2. В дереве навигации щелкните ClusterXL.

3. Выберите High Availability (Высокая готовность).

4. Щелкните Topology Edit (Топология Редактирование).

Межсетевой экран Руководство администратора системы R75.40VS | 73 IPv6 Открывается окно Edit Topology.

5. Щелкните Add Network (Добавить сеть).

6. В соответствующие поля введите информацию об интерфейсе кластера и о членах кластера (IPv4-адрес, маску сети, IPv6-адрес, длину префикса).

Для ввода информации, выделите ячейку и щелкните Edit (Редактировать).

Примечание — члены кластера должны иметь одинаковый префикс IPv6-адреса на интерфейсе кластера. Различные префиксы не поддерживаются.

7. Щелкните ОК, чтобы сохранить изменения.

Команды cphaprob stat или cphaprob -a показывают только информацию об IPv4-адресах, потому что механизм ClusterXL основан на IPv4. Если cphaprob stat показывает, что IPv4адрес в состоянии up и активный, это означает, что и IPv6-адрес также в состоянии up и активный.

Расширенные функции

Определение правил только для IPv6 или IPv4 Вы можете определить правила, которые проверяют трафик для указанного IP протокола, только для одной его версии. Например, правило может блокировать трафик, использующий IP протокол 42 для IPv6, но не для IPv4.

Для этого вы можете использовать макросы IPV4_MATCH или IPv6_MATCH, как параметры правила в поле Match (Совпадение).

Чтобы создать правило только для IPv6 или IPv4, нужно:

1. Определить новое или выбрать существующее правило, которое использует неуказанную службу.

2. В колонке Service (Служба), щелкнуть значок плюс.

3. Щелкнуть New (Создать) и выбрать Other.

4. В окне Other Service Properties (Свойства службы Other) щелкнуть Advanced (Дополнительно).

5. В окне Advanced Other Services Properties, в поле Match (Совпадение) ввести для соответствующего протокола соответствующий макрос:

• Для протокола IPv4, использовать IPv4_MATCH.

• Для протокола IPv6, использовать IPv6_MATCH.

–  –  –

Например, чтобы блокировать IP протокол 41 только для IPv6, в поле Мatch введите IPv6_MATCH.



Pages:   || 2 | 3 |
Похожие работы:

«©1993 г. А.И. СМИРНОВ ОТНОШЕНИЕ МОЛОДЕЖИ К КОНТРАКТНОЙ СЛУЖБЕ СМИРНОВ Александр Ильич — кандидат философских наук, сотрудник Центра военносоциологических, психологических и правовых исследований. В нашем журнале публикуется впервые. С введением в...»

«1 ПРЕДИСЛОВИЕ Бюллетень новых поступлений информирует читателей о новых книгах, которые поступили в отделы библиотеки. Размещение материала в бюллетене – тематическое, внутри раздела – в алфавитном порядке. С правой стороны описания книги указывается сигла отдела библиотеки, получившего книгу.Расшифровка сигл отделов библиотеки:...»

«Журнал "Психология и право" www.psyandlaw.ru / ISSN-online: 2222-5196 / E-mail: info@psyandlaw.ru 2014, № 3 -Возможности социальнопсихологических моделей для разработки профилактических программ (Часть 1) Бовина И.Б., доктор психологических наук, доцент, профессор каф...»

«Александр Николаевич Островский Доходное место Текст предоставлен издательством "Эксмо" http://www.litres.ru/pages/biblio_book/?art=172628 А.Н.Островский Бесприданница (пьесы): Эксмо; Москва; 2007 ISBN 978-5-699-19334-9, 5-04-001645-X,5-699-19334-0 Аннотация "Большая зала в...»

«Практическое руководство по устройству полов Краткий справочник по напольным технологиям Качество для Профессионалов LABELS AND SYMBOLS Компания Henkel предлагает широкий спектр материалов торговых марок Ceresit и Thomsit для реализации разнообразных конструктивных решений в области устройства полов. Смес...»

«ПРИЛОЖЕНИЕ АННОТАЦИИ РАБОЧИХ ПРОГРАММ ДИСЦИПЛИН Министерство образования и науки Российской Федерации РГУ нефти и газа (НИУ) имени И.М. Губкина АННОТАЦИЯ РАБОЧЕЙ ПРОГРАММЫ ДИСЦИПЛИНЫ Философия права Направление подготовки, специальность 40.04...»

«Апрель 2015 года НА ДРУГИХ ЯЗЫКАХ Введение Представляем вашему вниманию "Красный бюллетень" за апрель 2015 года, выпускаемый фирмой Akin Gump Strauss Hauer & Feld LLP.В этом месяце в "Новостях в сфере борьбы с коррупцией": канадский транспортный гиг...»

«План методического объединения по теме: "Нормативно-правовые документы, регламентирующие организацию обучения детей с особыми возможностями здоровья (далееОВЗ) Цель: формирование профессиональны...»

«УДК 336 Л. В. Товкун, канд. экон. наук, доцент Национальный университет "Юридическая академия Украины имени Ярослава Мудрого", г. Харьков ОСОБЕННОСТИ РЕФОРМИРОВАНИЯ НАЛОГОВОЙ СИСТЕМЫ УКРАИНЫ В статье исследуется развитие налоговой сис...»

«ЭТО ВАЖНО!!! Обязательно в заявке указывайте учетн. № типовой ТК, типового решения, журналов (из нашего перечня) Для приобретения типовых технологических карт необходимо направить письмо-заявк...»

«КМ РТ 3 этаж 10 мая 2014 года Уважаемый Рустам Нургалиевич! Уважаемый Ильдар Шафкатович! Уважаемые коллеги, руководители муниципальных образований, приглашенные! Слайд 1 Программы Сегодня мы рассмотрим программы 1-ой недели, реализуемые министерством. Соблюдение правил охраны труда и техники безопасности Справочно: Количес...»

«Возникли трудности с прочтением данного электронного письма? Просмотрите его в своем браузере Поделиться этой страницей Февраль 2017г.В ЭТОМ ВЫПУСКЕ Новости в сфере борьбы с коррупцией • Действующий председатель Комиссии по ценным бумагам и биржам (S...»

«"Утверждено" Исполкомом ОЮЛ "Федерация футбола г. Астаны" Протокол № от "" _ 20 г. РЕГЛАМЕНТ ЗИМНЕГО ПЕРВЕНСТВА ГОРОДА АСТАНЫ ПО ФУТБОЛУ НА 2017 ГОД АСТАНА, 2016 ОПРЕДЕЛЕНИЯ ФФК – Объединение юридических лиц "Ассоциация Федерация футбола Казахст...»

«Сер. 14. 2009. Вып. 3 ВЕСТНИК САНКТ-ПЕТЕРБУРГСКОГО УНИВЕРСИТЕТА К. Б. Кораев* ПРАВОВОЙ СТАТУС КОНКУРСНЫХ КРЕДИТОРОВ ПРИ ПРОВЕДЕНИИ КОНКУРСНОГО ПРОИЗВОДСТВА Конкурсное производство является традиционной процедурой банкротства. Согласно ст. 2 Закона о банкротстве под ним понимается процедура банкротства, применяемая к должнику, признанному ба...»

«2014.01.007 В заключение Тойбнер обращается к проблеме соотношения политики и права и через ее призму анализирует задачи конституционного права и конституционной социологии в ситуации транснациональной конст...»

«Частное образовательное учреждение высшего профессионального образования "ИНСТИТУТ ПРАВОВЕДЕНИЯ И ПРЕДПРИНИМАТЕЛЬСТВА" УТВЕРЖДЕНО Решением Ученого совета ЧОУ ВПО "Институт правоведения...»

«Правила игры хоккей с шайбой Хоккейные правила не раз менялись, – причем весьма существенно. Так, в 19 в. иным было количество игроков на площадке (9ґ9, затем – 7ґ7), команды обходились без запасных игроков, а в их составе были хоккеисты с необычным по современным меркам амплуа: например, так называемый...»

«НОВА ФІЛОЛОГІЯ № 62 2014 УДК 81'276.6:34 БАЛАНАЕВА О.В. (Донецкий юридический институт МВД Украины) СМЫСЛОВЫЕ ОСНОВЫ ЮРИДИЧЕСКИХ ТЕРМИНОВ У роботі досліджено процес формування термінологічних одиниць шляхом десимволізації лексики. Розглянуто функціонування цього способу та його знач...»

«Вестник Томского государственного университета. Право. 2015. №3 (17) УДК 349.3 DOI 10.17223/22253513/17/10 Г.Г. Пашкова ПРАВА И ОБЯЗАННОСТИ ЗАСТРАХОВАННЫХЛИЦ – СУБЪЕКТОВ ОБЯЗАТЕЛЬНОГО СОЦИАЛЬНОГО СТРАХОВАНИЯ Рассматриваются права и обязанности застрахованных лиц – субъектов различных видов об...»

«РУССКАЯ ПРАВОСЛАВНАЯ ЦЕРКОВЬ ! ОТДЕЛ РЕЛИГИОЗНОГО ОБРАЗОВАНИЯ И КАТЕХИЗАЦИИ ! ! ! ПРОГРАММА !XXII МЕЖДУНАРОДНЫХ РОЖДЕСТВЕНСКИХ ОБРАЗОВАТЕЛЬНЫХ ЧТЕНИЙ ! ! "ПРЕПОДОБНЫЙ СЕРГИЙ. РУСЬ.НАСЛЕДИЕ, СОВРЕМЕННОСТЬ, БУДУЩЕЕ" ! ! Синодальный отдел религиозного обра...»

«АННОТАЦИЯ ДОПОЛНИТЕЛЬНОЙ ПРОФЕССИОНАЛЬНОЙ ПРОГРАММЫ ПОВЫШЕНИЯ КВАЛИФИКАЦИИ ВРАЧЕЙ ПО СПЕЦИАЛЬНОСТИ "ПСИХИАТРИЯ НАРКОЛОГИЯ" ПО ТЕМЕ: "АКТУАЛЬНЫЕ ВОПРОСЫ ПСИХИАТРИИ НАРКОЛОГИИ" (144 ч.) ОЧНАЯ ФОРМА...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего образования "Саратовский национальный исследовательский государственный университет имени Н.Г. Чернышевск...»

















 
2017 www.ne.knigi-x.ru - «Бесплатная электронная библиотека - электронные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.