Manual-DIONIS-DUAL-ARC - КРИПТОМАРШРУТИЗАТОР. Руководство по настройке изделий и управлению их работой ru. Нкбг. 3000903 91 Под
Скачать 7.28 Mb.
|
Оперативное управление криптотуннелями изделия Администратор (оператор) изделия имеет возможность оперативно проконтролировать параметры всех криптотуннелей (всех типов), созданных в изделии к настоящему моменту времени. Для этого он должен выбрать цепочку альтернатив ГМ: Диагностика Туннели. В ответ будет выдан экран оперативного контроля параметров криптотуннелей, аналогичный представленному на Рис. 3.15, со списком описателей криптотуннелей, созданных в изделии на текущий момент. Описатели криптотуннелей отображаются на экране в том же формате, что и в списке описателей статических криптотуннелей изделия (см. раздел 3.1.1.2, с. 78). В первой позиции строки описателя – символ, определяющий тип криптотуннеля: - символ пробел у описателей статических криптотуннелей; - символ «*» (звездочка) у описателей TNL- и L2–TNL-интерфейсов. Рис. 3.15 Экран оперативного контроля параметров криптотуннелей изделия Для визуализации состояния, в котором находится туннель, строка с его описателем выделяется цветом: - черный цвет – туннель находится в рабочем состоянии; - зеленый цвет – статический туннель настроен как не обрабатываемый (выключенный); - красный – туннель заблокирован; - голубой – в туннеле включена трассировка. Следующие два состояния отображаются только при просмотре списка с применением средств ЛКУ, подключенных к БВМ изделия: - желтый цвет − TNL- или L2–TNL-интерфейс открыт, но не активен; включен контроль состояния интерфейса; - желтый цвет в мигающем режиме– TNL- или L2–TNL-интерфейс находится в состоянии не открыт, включён контроль состояния интерфейса. Глава 3. Средства защиты при передаче данных через сети 89 Верхняя часть экрана содержит стандартную информацию о навигационных клавишах и справа от нее информацию об операции, выполняемой при нажатии клавиши В нижней части экрана приведены операции и клавиши (или их комбинации), с помощью которых эти операции выполняются. Пояснения по их назначению и применению даны ниже. Enter – просмотр (Рис. 3.15). При нажатии клавиши Рис. 3.16 Экран параметров настройки и текущих значений рабочих параметров криптотуннеля F5 – рестарт (Рис. 3.15). При нажатии клавиши < F5> начинается процедура перезапуска туннеля. F2 – блокировка (Рис. 3.15). Нажатие клавиши F7 – трассировка (Рис. 3.15). При нажатии клавиши < F7> включается/отключается запись в системный журнал (файл log.ema) процесса обработки датаграммы данным туннелем. При включении трассировки цвет соответствующей строки в списке описателей меняется на голубой. Ctrl+Enter – правила отбора (Рис. 3.15). При нажатии комбинации клавиш Следующие три команды доступны только при подключении блока ЛКУ к БВМ. F4 – номер соединения (Рис. 3.15). При нажатии клавиши Alt+F4/Shift+F4 – вход./исход. соединения (Рис. 3.15). Команды позволяют при необходимости скорректировать порядковые номера входящего или исходящего соединения. Рис. 3.17 Экран записей расписания графика замены ключевых документов изделия F6 – график замен ключей (Рис. 3.15) – при нажатии клавиши 3.2. Фильтрация потоков данных Одним из важнейших видов защиты, используемых при передаче данных Пользователя через сети общего пользования, является механизм фильтрации потоков данных, циркулирующих через сетевые интерфейсы и внутренние интерфейсы маршрутизаторов изделия. С помощью этого механизма выполняется управление исходящими и входящими потоками данных. Логика обработки потоков данных, проходящих через физические интерфейсы двух типов различна (подробнее см. раздел 2.1, с. 19): - обработка потоков данных физическим Ethernet-интерфейсом ориентирована на обработку IP-датаграмм на сетевом (L3) уровне; - обработка потоков данных физическим L2–Eth-интерфейсом ориентирована на обработку Ethernet-кадров на канальном (L2) уровне. 90 Глава 3. Средства защиты при передаче данных через сети И в соответствии с этим изделиями, исполненными в двухсегментной архитектуре технологии DioNIS®, поддерживаются два вида фильтрации потоков данных, проходящих через интерфейсы изделия: - фильтрация на сетевом (L3) уровне – фильтрация потоков IP-датаграмм; фильтрация этого вида выполняется для потоков IP-датаграмм, циркулирующих через физические Ethernet-интерфейсы и через виртуальные интерфейсы (VLAN, TNL и GRE), для которых физический Ethernet-интерфейс является базовым,а также через внутренние (служебные) интерфейсы любого из маршрутизаторов изделия (вопросам организации работы механизма фильтрации потоков IP-датаграмм посвящен материал раздела 3.2.1, с. 90); - фильтрация на канальном (L2) уровне – фильтрация потоков Ethernet-кадров; фильтрация этого вида выполняется для потоков Ethernet-кадров, циркулирующих через физические L2–Eth-интерфейсы (вопросы организации работы механизма фильтрации потоков Ethernet-кадров рассмотрены в разделе 3.2.2, с. 109). 3.2.1. Фильтрация потоков IP-датаграмм Поддерживаемый изделием механизм фильтрации IP-датаграмм на сетевом (L3) уровне – механизм IP-фильтрации – предоставляет персоналу возможность организации обеспечения изделием процесса непрерывного анализа потоков IP-датаграмм, проходящих через сетевые и внутренние (служебные) интерфейсы любого из маршрутизаторов изделия (БВМ или БНМ) на соответствие набору настраиваемых персоналом параметров – параметрам IP-фильтрации. По результатам анализа на соответствие параметрам IP-фильтрации программой управления автоматически (в реальном масштабе времени) индивидуально для каждой проходящей через интерфейс IP-датаграммы принимается решение о продолжении или прекращении ее дальнейшей обработки. 3.2.1.1. Общие сведения о фильтрации потоков IP-датаграмм (L3-уровень) При работе с изделием фильтром называется поименованный список, содержащий набор правил проверки IP- датаграмм – правил IP-фильтрации. Количество правил IP-фильтрации в каждом IP-фильтре, а также количество IP-фильтров в изделии не ограничено. Список IP-фильтров изделия является общим для наружного и внутреннего маршрутизаторов изделия. Текущее состояние всех IP-фильтров сохраняется в обобщенной базе параметров (БпО. Работу механизма IP-фильтрации рассмотрим на примере схемы, приведенной на Рис. 3.18. Рис. 3.18 Схема применения IP-фильтров на внутреннем и на сетевых интерфейсах маршрутизатора Изделие взаимодействует с каналами связи через сетевые интерфейсы различного типа (подробнее см. раздел 2.1, с. 19). При этом через каждый интерфейс проходят два потока информации: - входящий поток – поток данных, принимаемый сетевым интерфейсом из канала связи для дальнейшей обработки изделием; - исходящий поток – поток данных, передаваемый изделием через сетевой интерфейс в канал связи. Кроме того, для организации взаимодействия каждого из маршрутизаторов изделия с собственными обработчиками IP-пакетов, адресованных протоколам прикладного уровня, существует внутренний (служебный) интерфейс, через который также проходят два потока информации: - входящий поток – поток IP-датаграмм, принимаемых от маршрутизатора обработчиками IP-датаграмм, адресованных протоколам прикладного уровня – службам маршрутизатора; - исходящий поток – поток IP-датаграмм, передаваемых маршрутизатору от обработчиков IP-датаграмм. Глава 3. Средства защиты при передаче данных через сети 91 Для полного контроля потоков IP-датаграмм, циркулирующих через каждый из интерфейсов маршрутизатора (включая внутренний интерфейс) может быть создано и настроено по два IP-фильтра для каждого из интерфейсов (сетевого или внутреннего): - входной IP-фильтр – для IP-фильтрации входящего потока IP-датаграмм; - выходной IP-фильтр – для IP-фильтрации исходящего потока IP-датаграмм. Назначение конкретного списка правил IP-фильтрации в качестве входного или выходного IP-фильтра конкретного интерфейса выполняется простым указанием имени этого списка (заранее созданного – о порядке создания IP-фильтра см. раздел 3.2.1.2, с. 92) в качестве значения параметров Фильтр входящих или Фильтр исходящих соответствующего бланка создания и настройки интерфейсов (см. Рис. 2.4, с. 25; Рис. 2.19, с. 38; Рис. 2.22, с. 39; Рис. 2.30, с. 45). Назначение IP-фильтров для внутренних (служебных) интерфейсов маршрутизаторов изделия выполняется путем применения специальных (системных) имен для обозначения соответствующего списка правил IP- фильтрации (в блоках наружной и внутренней маршрутизации используются IP-фильтры с разными системными именами): - int_in – входной фильтр внутреннего интерфейса БВМ; - int_out – выходной фильтр внутреннего интерфейса БВМ; - ext_in – входной фильтр внутреннего интерфейса БНМ; - ext_out – выходной фильтр внутреннего интерфейса БНМ. В плане создания и настройки системные IP-фильтры ничем не отличаются от IP-фильтров общего назначения. Их особенностями являются только использование для обозначения специальных системных имен и место применения фильтра – внутренний (служебный) интерфейс маршрутизатора. Программа управления изделием в процессе IP-фильтрации использует соответствующий IP-фильтр, состоящий из набора настраиваемых персоналом правил IP-фильтрации. Правила IP-фильтрации подразделяются на следующие виды: - простое правило (см. раздел 3.2.1.3, с. 93); - расширенное правило (см. раздел 3.2.1.6, с. 100); - правило типа элемент расписания (см. раздел 3.2.1.6, с. 100). В зависимости от набора правил IP-фильтрации, составляющих IP-фильтр, различают: - простой IP-фильтр – в набор его правил входят только простые правила IP-фильтрации (см. раздел 3.2.1.3, с. 93); - IP-фильтр расширенного формата – в набор его правил могут входить не только простые правила IP- фильтрации, но и расширенные правила и правила типа элемент расписания (см. раздел 3.2.1.6, с. 100). Системные IP-фильтры также могут быть простыми или фильтрами расширенного формата. Смысловое содержание правил, составляющих IP-фильтр, зависит от места применения самого IP-фильтра. Рассмотрим это положение на примере схемы, представленной на Рис. 3.19. Пусть изделие включается в ЗСПД по типовой схеме включения межсетевого экрана и имеет два интерфейса: один – во внешнюю сеть (EXT на схеме) и один – во внутреннюю сеть (INT на схеме). В такой схеме возможно одновременное использование до четырех фильтров одновременно. Присвоим IP-фильтрам следующие имена: ФН_in – фильтр потока входящих IP-датаграмм интерфейса EXT блока наружной маршрутизации. Фильтр ФН_in – основной фильтр, ограничивающий доступ абонентов сети общего пользования к ресурсам самого изделия и к защищаемой им сети Пользователя. Именно на этот фильтр приходится основная нагрузка по блокировке нежелательных воздействий на объекты внутренней сети со стороны источников нежелательного трафика, размещаемых во внешней сети общего пользования. ФВ_in – фильтр потока входящих IP-датаграмм интерфейса INT блока внутренней маршрутизации. ФВ_in – основной фильтр, ограничивающий доступ абонентов защищаемой (внутренней) сети Пользователя к открытым внешним ресурсам, размещаемым в сети общего пользования. Правилами этого IP-фильтра обеспечивается разграничение полномочий абонентов внутренней сети. ФН_out – фильтр потока исходящих IP-датаграмм интерфейса EXT блока наружной маршрутизации. ФН_out – вспомогательный фильтр. С его помощью можно уточнить действие фильтра ФВ_in, а также ограничить поток ответов от обработчиков прикладных протоколов изделия, направляемых во внешнюю сеть. ФВ_out – фильтр потока исходящих IP-датаграмм интерфейса INT блока внутренней маршрутизации. 92 Глава 3. Средства защиты при передаче данных через сети ФВ_out – вспомогательный фильтр. С его помощью можно ввести дополнительные ограничения на доступ к ресурсам защищаемой сети со стороны внешней сети, а также со стороны прикладных протоколов изделия. Рис. 3.19 Пример схемы применения IP-фильтров на сетевых интерфейсах изделия 3.2.1.2. Управление IP-фильтрами изделия Управление IP-фильтрами изделия, независимо от того, являются ли они системными, простыми IP-фильтрами или IP-фильтрами расширенного формата, выполняется по единой технологии, описанной в данном подразделе. Для создания и настройки IP-фильтра следует выбрать цепочку альтернатив ГМ: Настройка Защита Фильтры. В ответ будет выдан экран создания и настройки IP-фильтров, аналогичный представленному на Рис. 3.20. Рис. 3.20 Экран создания и настройки IP-фильтров изделия Средняя часть экрана содержит список имен ранее созданных IP-фильтров (изначально список пустой). В верхней части экрана − стандартная информация о средствах навигации по списку. Нижняя часть экрана содержит сведения о клавишах и их комбинациях, с помощью которых администратор изделия выполняет создание и настройку IP-фильтров. Создание нового IP-фильтра выполняется в два этапа: сначала надо задать его имя, а потом сформировать список правил, его составляющих. F7 – создать (Рис. 3.20). Нажатие клавиши После ввода имени IP-фильтра на видеомонитор ЛКУ выводится экран редактора IP- фильтра (Рис. 3.21, с. 93), позволяющий сформировать список правил IP-фильтрации (работа с редактором IP-фильтра описана ниже в разделе 3.2.1.3, с. 93). Enter – редактировать (Рис. 3.20). Нажатие клавиши F6 – переименовать (Рис. 3.20). Нажатие клавиши Глава 3. Средства защиты при передаче данных через сети 93 В результате IP-фильтр, на имени которого в момент нажатия клавиши F8 – удалить (Рис. 3.20). При нажатии клавиши F5 – выгрузить в файл или Alt+F7 – загрузить из файла (Рис. 3.20). Эти две операции служат для облегчения труда администратора изделия. Первая позволяет выгрузить указанный курсором IP-фильтр в файл, вторая позволяет создать новый IP-фильтр и загрузить в него содержимое IP-фильтра из файла. Имя файла и имя IP-фильтра для операции Alt+F7 – загрузить из файла запрашиваются дополнительно. Информация, переносимая из конфигуратора в файл, хранится в нем в бинарном виде. F4 – распечатать в файл (Рис. 3.20). При нажатии клавиши 3.2.1.3. Создание и редактирование простых IP-фильтров Большинство задач, решаемых изделием с помощью IP-фильтрации, решаются применением простых фильтров. Простые IP-фильтры включают только простые правила IP-фильтрации. Создание и настройка простых правил IP-фильтрации. Перед тем как приступить к созданию правил IP-фильтрации, надо выполнить первый шаг создания IP-фильтра − задать имя фильтра (согласно порядку, приведенному в разделе 3.2.1.2, с. 92). После этого в списке имен IP-фильтров на экране создания и настройки IP-фильтров (Рис. 3.20, с. 92) появится заданное имя. Примечание. Экран создания и настройки IP-фильтров (Рис. 3.20, с. 92) можно вызвать на видеомонитор ЛКУ в любой момент, выбрав цепочку альтернатив ГМ: Настройка Защита Фильтры. Для выполнения второго шага создания IP-фильтра (создание правил IP-фильтрации) надо в списке имен IP- фильтров (Рис. 3.20) перевести курсор на заданное имя и нажать клавишу На верхней рамке указаны: в центре – имя IP-фильтра (в нашем примере – FLT2 ); слева – номер строки в списке имен IP-фильтров на экране создания и настройки IP-фильтров (Рис. 3.20, с. 92), на которую был установлен курсор перед нажатием клавиши Рис. 3.21 Экран создания и настройки правил IP-фильтрации (редактор IP-фильтра) В средней части экрана в удобной для просмотра форме отображаются строки описателей правил IP-фильтрации, содержащие значения параметров правил IP-фильтрации (изначально, если IP-фильтр только что создан, строки отсутствуют). Строки описателей расширенных правил IP-фильтрации на экране (Рис. 3.21) выводятся желтым цветом; описатели правил IP-фильтрации типа элемент расписания – зеленым; описатели заблокированных правил IP- фильтрации – красным. Примечание. В настоящем разделе рассматривается создание (редактирование) только простых фильтров. Фильтры расширенного формата, содержащие расширенные правила и элементы расписания, рассмотрены ниже в разделе 3.2.1.6, с. 100. Восклицательным знаком в первой позиции строки описателя отмечены те правила, для которых задано фиксирование в журнале IP-датаграмм, подпадающих под значения параметров этого правила (параметр правила |