 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Приложение. 8.1 Подключение к межсетевому экрану
|
|
8.1 Подключение к межсетевому экрану
Для начала работы с межсетевым экраном (МСЭ) необходимо произвести к нему физическое подключение. Сначала подключается адаптер питания к разъёму, расположенному на задней панели. Далее в коммутационном шкафу собирается схема сети показанная на рисунке 17. 
Рисунок 17 – Схема подключения к межсетевому экрану
Для этого, необходимо подключить компьютер, с которого будет осуществляться управление, к одному из LAN-портов (1-7) межсетевого экрана DFL. Wan порт подключается с помощью Ethernet кабеля к вышестоящему коммутатору, в коммутационном шкафу.
Далее для подключения к Web-интерфейсу межсетевого экрана (МСЭ) необходимо настроить IP адрес рабочей станции. Для этого необходимо выполнить следующее:
1) Наведите курсор мыши на иконку «Доступ к интернету», кликнуть правой кнопкой и открыть «Центр управления сетями и общим доступом», как показано на рисунке 18.
Рисунок 18 – Вид расположения «Центра управления сетями и общим доступом»
2) Выберите «Изменение параметров адаптера».
3) Наведите курсор на «Подключение по локальной сети» в правом нижнем углу экрана, нажать правую кнопку мыши и выбрать свойства.
4) В появившемся окне выбрать «Протокол интернета версии 4» и нажмите «Свойства».
5) Переставьте флаг в положение «Использовать следующий IP-адрес». В поле IP адрес записать такой адрес вашей рабочей станции, чтобы межсетевой экран и рабочая станция находились в одной сети, например 192.168.1.15. При этом IP адрес межсетевого экрана по умолчанию 192.168.1.1. Указать маску подсети в соответствии с классом IP адреса, например 255.255.255.0. Также ввести адрес основного шлюза и DNS сервера – 192.168.1.1, т.к. их роль играет сам межсетевой экран.
6) Нажмите «ОК» и закрыть все окна.
Далее необходимо отключить обращение к прокси-серверу при работе с межсетевым экраном. Это необходимо сделать, так как при вводе адреса межсетевого экрана 192.168.1.1, компьютер будет обращаться с запросом к прокси-серверу по адресу 10.10.10.10, т.к. этого адреса в сети сейчас нет, обозреватель выдаст сообщение о невозможности соединения. Поэтому адрес 192.168.1.1 необходимо добавить в исключения, для этого нужно выполнить следующее:
1) В меню «Пуск» выбрать «Панель управления», «Сеть и интернет», «Свойства обозревателя».
2) Открыть вкладку «Подключения» (рисунок 19).
Рисунок 19 – Вид вкладки «Подключения»
3) Нажать кнопку «Настройка сети».
4) В появившемся окне в разделе «настройки прок-сервера» нажать «Дополнительно».
5) В исключения ввести адрес межсетевого экрана.
Теперь рабочая станция и межсетевой экран находятся в одной подсети, что позволяет произвести подключение к Web-интерфейсу МСЭ. По умолчанию межсетевой экран поддерживает только более безопасный протокол HTTPS, поэтому, если попытаться ввести в строку браузера адрес http://192.168.1.1 (или просто //192.168.1.1 - такой вид адресации разрешен во многих сетевых устройствах), то межсетевой экран заблокирует попытку подключения и вместо предложения ввести логин и пароль, произойдет отказ доступа. Поэтому вводить следует https://192.168.1.1. Использование протокола HTTPS обеспечивает защиту коммуникации с операционной системой межсетевого экрана «NetDefendOS» [1].
Для подключения к Web-интерфейсу необходимо сделать следующее:
1) Открыть Web-браузер и ввести IP-адрес межсетевого экрана DFL в адресную строку, используя протокол «https»: https:// 192.168.1.1 нажать «Enter». Если все сделано правильно, появится сообщение: «Ошибка сертификата безопасности этого Web-узла». Данное сообщение «об ошибке» генерируется в рамках сертификата SSL — Secure Sockets Layer — стандарт передачи зашифрованных данных через сеть (в рамках протокола HTTPS). SSL-сертификат, это индивидуальная цифровая подпись домена.
2) В окне браузера, после ввода IP адреса выбрать пункт: «Продолжить открытие этого Web-узла». Появится окно доступа, показанное на рисунке 20. Ввести имя пользователя «Username» и пароль. По умолчанию admin/admin.
Рисунок 20 – Вид ввода логина и пароля для доступа к Web-интерфейсу
8.2 Настройка параметров межсетевого экрана через Web-интерфейс
После прохождения аутентификации пользователь попадает в операционную систему D-Link NetDefendOS, которая является основным программным обеспечением, используемым для управления межсетевыми экранами D-Link с расширенным функционалом. Система NetDefendOS предоставляет интуитивный Web-интерфейс(WebUI) для возможности управления системой через Ethernet-интерфейс, используя стандартный Web-браузер. При этом администраторы получают возможность удаленного управления из любой точки частной сети или Интернет, используя стандартный компьютер без специально установленного программного обеспечения. NetDefendOS позволяет визуализировать операции посредством ряда логических блоков или объектов, настраивая тем самым устройство [1].
Слева в Web-интерфейсе представлено древовидное меню, обеспечивающее навигацию по различным объектам «NetDefendOS». Центральная часть Web-интерфейса отображает информацию об этих модулях. Главная страница Web-интерфейса состоит из трех основных разделов: строки меню, древовидного окна навигатора и главного окна. Она может незначительно меняться в зависимости от версии прошивки межсетевого экрана. Вид Web-интерфейса показан на рисунке 21.
Рисунок 21 – Внешний вид Web - интерфейса МСЭ
Внешний вид строки меню показан на рисунке 22.
Рисунок 22 – Внешний вид строки меню
Строка меню, расположенная в верхней части Web-интерфейса, содержит кнопки с выпадающим списком параметров, используемых для выполнения задач, настроек, а также для использования различных инструментов и просмотра страниц статуса, такие как:
1) «Home»– Возврат на главную страницу Web-интерфейса.
2) «Configuration» (Настройки) – содержит выпадающее меню с вкладками:
- «Save and Actvate»– Сохранение и активация настроек;
- «Discard changes»– Отмена изменений в настройках, выполненных во время текущей сессии;
- «View Changes»– Список изменений в настройках с момента последнего сохранения.
3) «Tools»– инструменты, необходимые для обслуживания системы, содержит вкладки:
- «Содержит вкладки:
которые позволяют произвести подключение ЭКРАНА ВА в сетиSSH-Keys» указываются какие размеры ключа использовать при подключении к межсетевому экрану (например через VPN) и виды шифрования.
- «Ping» позволяет получить информацию о качестве связи, для этого в поле «IP Address» указывается адрес узла, который следует протестировать межсетевому экрану. В поле «Number of packets» должно быть указано число пакетов, которые необходимо отправить, и их длина «Packet size».
4) «Status» - содержит страницы, используемые для диагностики системы. Включает таблицу различных событий (Logging – попытки подключения к межсетевому экрану, User Authentications – список пользователей, получивших доступ в Интернет через межсетевой экран, и т.д.)
5. «Maintenance» (Обслуживание) – содержит выпадающее меню с вкладками:
- «Update Center»– обновление антивируса и определения вторжений;
- «License»– подробный просмотр лицензий и ввод кода активации;
- «Backup»– создание резервной копии настроек на локальном компьютере или восстановление резервной копии;
- «Reset»– перезапуск МСЭ или сброс к заводским настройкам;
- «Upgrade»– обновление программного обеспечения МСЭ;
- «Technical support» – предоставляет опцию для загрузки файла с межсетевого экрана.
Вид древовидного окна навигатора показан на рисунке 23.
Рисунок 23 – Вид окна навигатора
Навигатор расположен в левой части Web-интерфейса, содержит настройки системы, отображаемые в виде древовидного меню. Меню состоит из разделов, каждый из которых соответствует основным структурным блокам настроек. Меню может быть расширено при добавлении дополнительных разделов. Вкладка навигатора содержит основные разделы, такие как:
1) System - системный раздел межсетевого экрана, содержит настройки даты и времени, серверов синхронизации, журналы событий и параметры удаленного доступа к настройкам.
2) Objects - эта вкладка содержит «объекты», создаваемые в межсетевом экране. Под объектом понимаются образные элементы, которые описывают какой-либо параметр межсетевого экрана. Допустим можно создать объект Lan-порта межсетевого экрана в котором будет прописан IP адрес и MAC адрес этого порта и добавить этот объект в набор правил для фильтрации трафика. Или создать объект, который будет описывать протокол SNMP и добавить этот объект в исключения при проверке трафика работающего по этому протоколу.
3) Rules - здесь создается набор правил, определенных администратором. Правила используются для фактического применения политик безопасности NetDefendOS.
Основополагающим комплектом правил являются:
- IP-правила (IP Rules), которые используются, чтобы определить политику фильтрации трафика, а также для переадресации и балансировки нагрузки сервера.
- Правила формирования трафика «Traffic Shaping Rules» определяют политику управления полосой пропускания.
- Правила IDP обеспечивают защиту сети от вторжений и т.д.
4) Interfaces - здесь описываются параметры входных и выходных интерфейсов (Lan, Wan, DMZ), такие как: IP адрес интерфейса, MAC адрес, маска, диапазон адресов сети, подключенной к данному интерфейсу.
5) Routing (маршрутизация) – одна из основных функций системы NetDefendOS. При прохождении через межсетевой экран NetDefend любой IP-пакет проверяется, по крайней мере, один раз. В зависимости от результатов данной проверки в этой вкладке описывается, как реагировать на этот пакет.
6) Intrusion Detection and Prevention (IDP) - Обнаружение и предотвращение вторжений является подсистемой NetDefendOS, которая предназначена для защиты от попыток вторжения. Система действует путем мониторинга сетевого трафика, проходящего через межсетевой экран NetDefend, поиска шаблонов, указывающих на попытку вторжения. После обнаружения вторжения, NetDefendOS IDP выполняет шаги по нейтрализации как вторжения, так и его источника. Intrusion Protection Signatures (IPS) – Содержит инструкции по обнаружению вторжений, тем самым указывая на угрозу.
7) User Authentication - в этом разделе представлены функции по описанию процесса аутентификации пользователя в операционной системе NetDefendOS. Это позволяет создавать гибкие правила доступа групп пользователей к ресурсам сети (ограничение полосы пропускания для конкретного пользователя, создание правил доступа к ресурсам сети и т.д.).
8) Traffic Shaping - в этой вкладке определяются функции, которые содержат информацию об управлении трафиком в системе NetDefendOS: создание правил порога и сервера балансировки нагрузки. Traffic shaping действует путем сравнения и постановки IP-пакетов в очередь в соответствии со значением настраиваемых параметров. Используются следующие средства:
- применение ограничений полосы пропускания и постановка в очередь пакетов, превышающих установленные ограничения. Позже, при снижении запросов на полосу пропускания, выполняется отправка данных пакетов;
- отбрасывание пакетов, если буфер пакетов переполнен. Отбрасываемые пакеты выбираются из тех, которые вызвали перегрузку канала связи;
- создание приоритета трафика в соответствии с решениями администратора. Если количество трафика с более высоким приоритетом увеличивается, в то время как канал связи перегружен, трафик с более низким приоритетом можно временно ограничить.
- создание гарантированной полосы пропускания. Как правило, это выполняется за счет обработки определенного количества трафика в качестве высокоприоритетного. Трафик, превышающий гарантированное значение, приобретает такой же приоритет, как и любой другой трафик, конкурируя с неприоритетным трафиком.
9) ZoneDefense - эта функция позволяет межсетевому экрану NetDefend работать с коммутаторами локальных сетей, что позволяет изолировать инфицированные компьютеры сети и предотвратить распространение ими вредоносного трафика. Заражение хоста в сети вирусами или другой формой вредоносного ПО может выражаться в его аномальном поведении, характеризующимся большим числом новых соединений, открываемых к внешним хостам.
Главное окно Web-интерфейса, содержит настройки и детали статуса в соответствии с разделом, выбранном в навигаторе или строке меню.
Дата публикования: 2015-02-28; Прочитано: 1318 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
