Отчет о научно-исследовательской работе Студента Акимова Михаила Владимировича (Фамилия, имя, отчество) Руководитель Журавлев Сергей Иванович
жүктеу/скачать 1 Mb.
|
- Бұл бет үшін навигация:
- 3.3 Режим фильтров координатора в сети с Proxy-серверами
| фильтрации информации
Рассмотрим некоторые простейшие варианты использования ViPNet Coordinator: Нуждается обеспечить возможность взаимодействия каждых компьютеров локальной сети, в том количестве туннелируемых, с открытыми родниками Интернета, а также взаимодействие туннелируемых ресурсов с защищенными узлами. В этом инциденте для всех интерфейсах наступает установить 2 порядок. В окне Открытая сеть следует создать транзитное правило для диапазона адресов локальной сети на соответствующем интерфейсе (устройства 1) и всех адресов на внешнем интерфейсе (устройства 2). Для этого правила создать фильтр Все протоколы, в котором задать направление соединения от устройств 1 к устройствам 2. Для работы туннелируемых устройств никаких дополнительных правил создавать не надо, поскольку правило по умолчанию в окне Туннелируемые источники разрешает работу туннелируемых устройств (если их адреса заданы на координаторе в качестве туннелируемых) со всеми защищенными узлами, с которыми связан Ваш координатор. При таких настройках: координатор полностью защищен от всяких видов атак из открытой внешней сети (Интернет) и из локальной сети; осуществляется защищенное взаимодействие с сетевыми узлами из окна; защищенная сеть и туннелируемыми источниками координаторов; все компьютеры (туннелируемые и нетуннелируемые) внутренней (локальной) сети смогут устанавливать инициативные соединения с открытыми источниками во внешней сети; соединения извне с открытых компьютеров показной сети для компьютеры локальной сети будут невозможны. Когда нуждается установить какие-либо ограничения для работу пользователей локальной сети с родниками показной сети (предполагать, Интернет), то наступает воспользоваться последующими рекомендациями Когда ViPNet Coordinator используется ради организации взаимодействия только защищенных компьютеров (с ПО ViPNet), то устанавливайте ради всех сетевых интерфейсов один порядок работы. Когда ViPNet Coordinator осуществляет туннелирование незащи-щенных компьютеров локальной сети и присутствие этом должна являться исключена возможность работы этих и других открытых компьютеров локальной сети с открытыми родниками во показной сети, то ради внешних сетевых интерфейсов, устанавливайте первый порядок работы, а ради домашних - второй порядок. Если требуются какие-либо ограничения для туннелируемых компьютеров при их взаимодействии с внешними сетевыми узлами, то в окне Туннелируемые источники можно задать частные (пропускающие либо блокирующие) фильтры между туннелируемыми IP-адресами и сетевыми узлами. Когда ViPNet Coordinator используется ради организации доступа из показной сети со стороны открытых источников к отдельным открытым родникам, расположенным в демилитаризованной зоне - ДМ3 (после отдельным интерфейсом координатора), то: На всех интерфейсах следует установить второй режим. В транзитных фильтрах добавьте правило ради всех адресов со стороны внешних интерфейсов (Устройства 1) и конкретных адресов серверов со стороны интерфейса ДМ3. В этом правиле создайте фильтры ради пропуска конкретных протоколов и портов с веянием соединения от устройств 1 к устройствам 2. Предполагать, чтобы позволить работу с FTP-сервером в ДМ3 достаточно задать пропускающий фильтр ради TCP- протокола для 21 порт. Когда всегда же используются для координаторе какие-либо сетевые услуги, которые должны работать с открытыми родниками локальной либо показной сети, то в этом случае: Можно установить на соответствующем интерфейсе третий порядок, который разрешит все исходящие соединения этой службы на координаторе с открытыми источниками соответствующей сети. Но класснее оставить интерфейсы во 2 режиме и настроить в локальных фильтрах правила для исходящих соединений по конкретным протоколам данной службы. 3.3 Режим фильтров координатора в сети с Proxy-серверами В координаторе "Открытого Интернета" с целью сетевого интерфейса со стороны локальной сети вводится 1 порядок (в этом порядке блокируется любой открытый траффик, равно как внешне, таким образом и внутри локальной сети). С целью сетевого интерфейса со стороны Сеть интернет порядок избирается в зависимости от вида установки Proxy-сервера. Данный вид более предпочтителен, поскольку открытый траффик Сеть интернет в координатор никак не попадает. И компьютерам с нашей локальной сети запрещено доступ к сеть интернет ключам, что и необходимо в задании. Этим наиболее обеспечивается полная безопасность координатора. При любом виде: Любой открытый комплект, поступивший внешне сети, присутствие его передаче внутрь сети, шифруется и инкапсулируется в целостный UDP- формат IP-пакета (IP/241 или UDP). Этот комплект может являться восстановлен в исходный тип только узлом с ViPNet Client, которому он предуготовлен. Поступивший внутри сети инкапсулированный программой ViPNet Client IP-комплект Сеть интернет-приложения преобразуется Координатором в исходный тип, поступает в Proxy- компьютер и отправляется им в Сеть интернет. То есть при всяких атаках ни один пакет из Интернета в незашифрованном виде на другие компьютеры попасть не может, а, следовательно, не может нанести и урона. Для координатора "Открытого Интернета" в сетевом интерфейсе со стороны локальной сети устанавливается 1 порядок (в этом режиме блокируется любой открытый трафик, подобно снаружи, беспричинно и изнутри локальной сети). Ради сетевого интерфейса со стороны Интернет порядок выбирается в зависимости от варианта установки Proxy-сервера. Этот вид более предпочтителен, поскольку открытый трафик Интернет для координатора не попадает. И компьютерам из нашей локальной сети запрещён доступ к интернет родникам, что и нуждается в задании. Тем самым обеспечивается полная безопасность координатора. Для любого варианта: Любой открытый часть, поступивший снаружи сети, присутствие его передаче вовнутрь сети, шифруется и инкапсулируется в целый UDP-формат IP-пакета (IP/241 либо UDP). Определенный часть может являться восстановлен в исходный тип только узлом с ViPNet Client, которому он предуготовлен. Поступивший изнутри сети инкапсулированный программой ViPNet Client IP-часть Интернет-приложения преобразуется Координатором в исходный тип, поступает для Proxy- сервер и отправляется им в Интернет. То употреблять присутствие каждых атаках ни один часть из Интернета в незашифрованном образе для другие компьютеры попасть не может, а, следовательно, не может нанести и урона. жүктеу/скачать 1 Mb. Достарыңызбен бөлісу:
|