DFL 260E - User Manual - EN - US Firewall - En.español PDF

Manual del usuario de la red de seguridad
Firewall
NetDefendOS
Seguridad
Seguridad
Ver. 2.40.00
Solución de seguridad de red http://www.dlink.com

Manual de usuario
DFL-260E / 860E / 1660/2560 / 2560G
NetDefendOS versión 2.40.00
D-Link Corporation
Nº 289, Sinhu tercera Rd, Neihu Distrito, la ciudad de Taipei 114, Taiwán ROC
http://www.DLink.com
Publicado 2011-09-06
Derechos de autor © 2011
Manual de usuario
DFL-260E / 860E / 1660/2560 / 2560G
NetDefendOS versión 2.40.00
Publicado 2011-09-06
Copyright © 2011
Aviso de copyright
Esta publicación, incluyendo todas las fotografías, ilustraciones y el software, está protegido por las leyes internacionales de derechos de autor,
todos los derechos reservados. Ni este manual, ni ninguno de los materiales contenidos en este documento, puede ser reproducida sin el
consentimiento por escrito de D-Link.
Renuncia
La información contenida en este documento está sujeta a cambios sin previo aviso. D-Link no hace representaciones o garantías con
respecto al contenido de este documento y rechaza específicamente cualquier garantía implícita de comerciabilidad o aptitud para un
propósito particular. D-Link se reserva el derecho de revisar esta publicación ya realizar cambios de vez en cuando en el contenido de la
misma, sin ninguna obligación de notificar a ninguna persona o partes de dichas revisiones o modificaciones.
Limitaciones de responsabilidad
EN NINGUNA CIRCUNSTANCIA, D-LINK O SUS PROVEEDORES RESPONSABLES DE DAÑO DE

CUALQUIER CARÁCTER (daños por ejemplo, para pérdida de beneficio, restauración de software,
INTERRUPCIÓN DEL TRABAJO, PÉRDIDA DE SAVED de datos o cualquier otro daño comercial O PÉRDIDAS)
resultante de la aplicación o uso IMPROPIA DEL PRODUCTO D-LINK O FALLO DEL PRODUCTO, AUNQUE
D-LINK es informado de la posibilidad de tales daños. ADEMÁS, D-LINK NO SERÁ RESPONSABLE DE
RECLAMACIONES DE TERCEROS AL CLIENTE por pérdidas o daños. D-LINK no será en ningún caso será
responsable por cualquier daño EN exceso de la cantidad D-LINK recibido de la USUARIO FINAL DEL
PRODUCTO.
Tabla de contenido
Prefacio ................................................. .................................................. ............15
1. Descripción general NetDefendOS .............................................. ...................................... 17
1.1. Caracteristicas ................................................. ............................................... 17
1.2. NetDefendOS Arquitectura ................................................ ...................... 20
1.2.1. Arquitectura basada en el estado .............................................. ................. 20
1.2.2. NetDefendOS Building Blocks ............................................... ........ 20
1.2.3. Flujo básico de paquetes ............................................... ......................... 21
1.3. Flujo de paquetes Motor NetDefendOS Estado ............................................. ........ 24
2. Gestión y Mantenimiento ............................................. ............................... 29
2.1. NetDefendOS gestión de ................................................ .......................... 29
2.1.1. Visión de conjunto ................................................. .................................. 29
2.1.2. La cuenta de administrador predeterminada .............................................. ... 30
2.1.3. La Interfaz Web ............................................... ........................ 30
2.1.4. La CLI ................................................ ..................................... 36
2.1.5. Secuencias de comandos de la CLI ................................................ ................................. 44
2.1.6. Secure Copy ................................................ ............................... 48
2.1.7. El menú de la consola de arranque .............................................. ................. 50
2.1.8. Gestión de Configuración avanzada ............................................... ...... 52
2.1.9. Trabajar con Configuraciones ............................................... .......... 53
2.2. Eventos y registro ............................................... ................................. 59
2.2.2. Mensajes de registro ................................................ ............................. 59
2.2.3. La creación de Receptores Log ............................................... .................. 60
2.2.4. Registrar en MemoryLogReceiver ............................................... ..... 60
2.2.5. Ingreso a los ejércitos Syslog .............................................. ................. 60
2.2.6. Severidad de filtro y Mensaje Excepciones ........................................... 62
2.2.7. SNMP Traps ................................................ ............................... 62
2.2.8. Avanzadas Configuración de registro ............................................... .................. 64
2.3. Radio de la contabilidad ................................................ ..............................sesenta y cinco
2.3.1. Visión de conjunto ................................................. ..................................sesenta y cinco
2.3.2. Los mensajes RADIUS Accounting ............................................... .......sesenta y cinco
2.3.3. Los mensajes de Contabilidad provisionales ............................................... ......... 67
2.3.4. La activación de Radio de la contabilidad ............................................... ...... 67
2.3.5. RADIUS Seguridad Contabilidad ............................................... ......... 68
2.3.6. Radio de la contabilidad y de alta disponibilidad ...................................... 68
2.3.7. Manejo de servidores RADIUS que no responden ......................................... 68
2.3.8. Contabilidad y apagados del sistema .............................................. ... 69
2.3.9. Limitaciones con NAT ............................................... .................... 69
2.3.10. RADIUS Configuración avanzada ............................................... ......... 69
2.4. Supervisión ................................................. ........................................... 71
2.4.1. El Monitor de Enlace ............................................... ......................... 71
2.4.2. Monitoreo SNMP ................................................ ....................... 73
2.4.3. Monitorización de hardware ................................................ ................... 76
2.4.4. Supervisión de la memoria Ajustes ............................................... .......... 78
2.5. los pcapdump Comando ................................................. ....................... 80
2.6. Mantenimiento ................................................. ......................................... 83
2.6.1. Mecanismo de actualización automática .............................................. ................. 83
2.6.2. Realizar copias de seguridad Configuraciones ............................................... ............ 83
2.6.3. Restaurar valores predeterminados de fábrica .............................................. .............. 85
3. Fundamentos ............................................... .................................................. ..88
3.1. La libreta de direcciones ............................................... ................................... 88
3.1.2. Direcciones IP ................................................ ............................... 88
3.1.3. Las direcciones Ethernet ................................................ ....................... 90
3.1.4. Grupos de direcciones ................................................ ........................... 91
3.1.5. Dirección Objects AUTOGENERADAS ............................................. ....... 92
3.1.6. Dirección carpetas Libro ............................................... .................... 92
4
Manual de usuario
3.2. Soporte IPv6 ................................................ ......................................... 93

3.3. Servicios ................................................. ............................................... 98
3.3.2. La creación de servicios personalizados ............................................... ............... 99
3.3.3. Servicios ICMP ................................................ .......................... 102
3.3.4. Personalizados IP Servicios de Protocolo .............................................. .......... 104
3.3.5. Grupos de servicios ................................................ .......................... 104
3.3.6. Tiempos de espera de servicios personalizados ............................................... ............. 105
3.4. Interfaces ................................................. ........................................... 106
3.4.1. Visión de conjunto ................................................. ................................ 106
3.4.2. Interfaces Ethernet ................................................ ..................... 108
3.4.3. VLAN ................................................. .................................... 115
3.4.4. PPPoE ................................................. .................................... 118
3.4.5. Túneles GRE ................................................ ............................ 120
3.4.6. Grupos de interfaz ................................................ ........................ 124
3.5. ARP ................................................. ................................................. 126
3.5.2. El NetDefendOS caché ARP .............................................. ....... 126
3.5.3. La creación de objetos ARP ............................................... .................. 128
3.5.4. Utilizando ARP Configuración avanzada .............................................. ....... 130
3.5.5. Resumen Configuración avanzada ARP .............................................. 131 ..
3.6. Reglas IP ................................................ ............................................. 135
3.6.1. Políticas de seguridad ................................................ ........................ 135
3.6.2. IP evaluación de las reglas ............................................... ...................... 138
3.6.3. IP las acciones de reglas ............................................... .......................... 139
3.6.4. regla de edición de IP fija entradas ............................................. ............... 140
3.6.5. IP carpetas conjunto de reglas .............................................. ...................... 141
3.6.6. Grupos objeto de configuración ............................................... ........ 142
3.7. Horarios ................................................. .......................................... 146
3.8. Certificados ................................................. ........................................ 148
3.8.2. Certificados en NetDefendOS ............................................... ......... 150
3.8.3. Las solicitudes de certificados CA ............................................... ............... 151
3.9. Fecha y hora ............................................... ...................................... 153
3.9.2. Ajuste de la fecha y la hora .............................................. .................. 153
3.9.3. Servidores de tiempo ................................................ ............................ 154
3.9.4. Resumen para la configuración de fecha y hora ............................................ 157
3.10. DNS ................................................. ................................................ 160
4. Enrutamiento ............................................... .................................................. ........ 164
4.1. Visión de conjunto ................................................. ........................................... 164
4.2. Enrutamiento estatico ................................................ ...................................... 165
4.2.1. Los Principios de enrutamiento .............................................. .............. 165
4.2.2. Enrutamiento estatico ................................................ ........................... 169
4.2.3. Ruta de conmutación por error ................................................ .......................... 174
4.2.4. Monitorización acogerá por la ruta de conmutación por error ............................................. 177 ..
4.2.5. Configuración avanzada para la ruta de conmutación por error ............................................ 179
4.2.6. Proxy ARP ................................................ ............................... 180
4.3. basado en políticas de enrutamiento .............................................. .............................. 183
4.4. Ruta de equilibrio de carga ............................................... ............................ 190
4.5. OSPF ................................................. ................................................ 196
4.5.1. Enrutamiento dinámico ................................................ ....................... 196
4.5.2. Conceptos de OSPF ................................................ ......................... 199
4.5.3. OSPF Componentes ................................................ ..................... 204
4.5.4. Reglas de enrutamiento dinámico ............................................... ............... 210
4.5.5. Configuración de OSPF ............................................... ........................ 213
4.5.6. Un ejemplo OSPF ............................................... ...................... 217
4.6. Enrutamiento multicast ................................................ ................................. 220
4.6.2. Multicast Forwarding con SAT Reglas Multiplex ............................. 221
4.6.3. Configuración IGMP ................................................ .................. 225
4.6.4. Configuración avanzada de IGMP ............................................... ............. 230
5
Manual de usuario
4.7. Modo transparente ................................................ ................................ 233

4.7.2. Activación del acceso a Internet ............................................... .............. 238
4.7.3. Escenarios de modo transparente ............................................... ......... 239
4.7.4. Spanning Tree BPDU Soporte .............................................. ........ 243
4.7.5. Configuración avanzada de modo transparente ....................................... 244
5. Servicios DHCP .............................................. ................................................ 249
5.2. Servidores DHCP ................................................ ..................................... 250
5.2.1. Los anfitriones DHCP estáticas ............................................... ...................... 253
5.2.2. Opciones personalizadas ................................................ ......................... 255
5.3. DHCP retransmisión ................................................ ................................... 256
5.3.1. DHCP Relay Configuración avanzada .............................................. ..... 257
5.4. Conjuntos de IP ................................................ .............................................. 259
6. Mecanismos de seguridad .............................................. ......................................... 263
6.1. Reglas de acceso ................................................ ....................................... 263
6.1.2. IP Spoofing ................................................ .............................. 264
6.1.3. De acceso Configuración de reglas ............................................... ................... 264
6.2. ALG ................................................. ................................................ 266
6.2.2. El HTTP ALG ............................................... ......................... 267
6.2.3. El FTP ALG ............................................... ............................ 270
6.2.4. El TFTP ALG ............................................... .......................... 279
6.2.5. El SMTP ALG ............................................... ......................... 280
6.2.6. El POP3 ALG ............................................... .......................... 289
6.2.7. El PPTP ALG ............................................... .......................... 290
6.2.8. La SIP ALG ............................................... ............................. 291
6.2.9. El H.323 ALG ............................................. ........................... 302
6.2.10. El TLS ALG ............................................... .......................... 316
6.3. Filtrado de Contenido Web ............................................... ............................ 319
6.3.2. Manipulación de contenido activo ............................................... .............. 319
6.3.3. Filtrado de contenido estático ............................................... ................ 320
6.3.4. Filtrado de Contenido Web dinámico .............................................. ..... 322
6.4. Scanning Anti-Virus .............................................. ............................... 337
6.4.2. Implementación ................................................. ........................ 337
6.4.3. Activación de Scanning Anti-Virus ............................................. ....... 338
6.4.4. La base de firmas ............................................... ............... 338
6.4.5. La suscripción al Servicio Anti-Virus D-Link ................................. 339
6.4.6. Opciones de Anti-Virus .............................................. ....................... 339
6.5. La detección y prevención de intrusiones .............................................. ............ 343
6.5.2. IDP disponibilidad para el D-Link Modelos ........................................... ... 343
6.5.3. Reglas de desplazados ................................................ ................................. 345
6.5.4. Inserción / Evasión la prevención de ataques ............................................. . 347
6.5.5. IDP Pattern Matching ............................................... .................. 348
6.5.6. IDP Firma Grupos ............................................... .................. 349
6.5.7. Acciones de desplazados ................................................ .............................. 350
6.5.8. Receptor SMTP registro para los eventos de desplazados ............................................ 351 ..
6.6. Denegación de Servicio de Prevención de Ataque ........................................... ............. 355
6.6.2. Mecanismos de ataque de denegación de servicio ............................................... .............. 355
6.6.3. Ping de la Muerte y Sacudida Ataques ................................................. .... 355
6.6.4. La fragmentación ataques de superposición: Lágrima, Bonk, Boink y Nestea ...... 356
6.6.5. los Tierra y LaTierra ataques ................................................. .... 356
6.6.6. los WinNuke ataque ................................................. .................. 356
6.6.7. ataques de amplificación: Pitufo, Papasmurf, Fraggle ........................... 357
6.6.8. Los ataques TCP SYN Flood .............................................. ............... 358
6.6.9. los Jolt2 Ataque ................................................. ....................... 358
6.6.10. Los ataques de denegación de servicio distribuidos ............................................... ............. 358
6
Manual de usuario
6.7. Listas negras de máquinas y redes .............................................. ............... 360

7. Traducción de Direcciones de .............................................. .......................................... 363
7.2. NAT ................................................. ................................................. 364
7.3. Piscinas NAT ................................................ .......................................... 369
7.4. SAB ................................................. .................................................. 372
7.4.1. Traducción de una sola dirección IP (1: 1) ....................................... 372 ..
7.4.2. Traducción de varias direcciones IP (M: N) .................................... 377
7.4.3. All-to-One Asignaciones (N: 1) ....................................... .................. 379
7.4.4. Traducción de puertos ................................................ ......................... 381
7.4.5. Protocolos manejado por satélite .............................................. ............ 381
7.4.6. Múltiple SAB Regla Partidos ................................................ ......... 381
7.4.7. SAB y FwdFast Reglas ................................................. ............. 382
8. autenticación de usuario .............................................. .......................................... 385
8.2. Configuración de la autenticación ................................................ ............................. 387
8.2.1. Resumen de configuración ................................................ ......................... 387
8.2.2. La base de datos local ............................................... ..................... 387
8.2.3. Los servidores RADIUS externos ............................................... ............ 389
8.2.4. Los servidores LDAP externos ............................................... ................ 389
8.2.5. Normas de autenticación ................................................ .................. 396
8.2.6. Procesamiento de autenticación ................................................ ........... 398
8.2.7. Un uso Grupo Ejemplo .............................................. ............... 399
8.2.8. Autenticación HTTP ................................................ ................. 399
8.3. Personalización de autenticación páginas HTML .............................................. 404 ..
9. VPN ............................................... .................................................. ............ 409
9.1.1. Uso de VPN ................................................ ............................... 409
9.1.2. VPN cifrado ................................................ ........................ 410
9.1.3. Planificación VPN ................................................ ........................... 411
9.1.4. Distribución de claves ................................................ ........................ 411
9.1.5. La Alternativa TLS para VPN ............................................. ......... 412
9.2. VPN de inicio rápido ............................................... ................................... 413
9.2.1. IPsec LAN a LAN con claves compartidas Pre-....................................... 414
9.2.2. IPsec LAN a LAN con Certificados ............................................ . 415
9.2.3. IPsec clientes de uso móvil con claves compartidas Pre-.................................. 416
9.2.4. IPsec clientes de uso móvil con certificados ......................................... 418
9.2.5. L2TP clientes de uso móvil con Pre-Shared Keys ................................. 419
9.2.6. L2TP Roaming clientes con Certificados ........................................ 421
9.2.7. PPTP Roaming clientes ............................................... ................ 421
9.3. IPsec Componentes ................................................ ................................ 423
9.3.2. Internet Key Exchange (IKE) ............................................ ........... 423
9.3.3. IKE autenticación ................................................ .................... 429
9.3.4. Protocolos de IPsec (ESP / AH) ........................................... ................ 430
9.3.5. NAT ................................................ .......................... 431
9.3.6. Listas de propuestas de algoritmos ............................................... .............. 433
9.3.7. Claves pre-compartida .............................................. .......................... 434
9.3.8. Listas de identificación ................................................ ..................... 435
9.4. Los túneles IPsec ................................................ ...................................... 438
9.4.2. LAN a LAN Túneles con claves compartidas Pre-................................... 440
9.4.3. Los clientes de itinerancia ................................................ ........................ 440
9.4.4. Obtención de las CRL desde un servidor LDAP alternativo ................................ 445
9.4.5. Solución de problemas con ikesnoop ................................................. .... 446
9.4.6. IPsec Configuración avanzada ............................................... .............. 453
9.5. PPTP / L2TP ............................................... .......................................... 457
9.5.1. Los servidores PPTP ................................................ ............................ 457
9.5.2. Servidores L2TP ................................................ ............................ 458
9.5.3. configuración avanzada L2TP / PPTP Server ............................................ 463
9.5.4. Los clientes PPTP / L2TP .............................................. ...................... 463
9.6. SSL VPN ................................................ ............................................ 466
7
Manual de usuario

9.6.2. Configuración de SSL VPN en NetDefendOS ......................................... 467
9.6.3. Instalación del cliente de VPN SSL ............................................. ......... 469
9.6.4. Ejemplo de configuración ................................................ .......................... 472
9.7. CA servidor de acceso ............................................... ................................. 474
9.8. Solución de problemas de VPN ................................................ ........................... 477
9.8.1. Solución de problemas generales ................................................ ............. 477
9.8.2. Certificados de solución de problemas ................................................ ........ 478
9.8.3. Solución de problemas de IPsec Comandos ............................................... . 478
9.8.4. Error de interfaz de gestión con VPN ........................................ 479
9.8.5. Mensajes de error específicos ............................................... ............... 479
9.8.6. Los síntomas específicos ................................................ .................... 482
10. Gestión de Tráfico .............................................. ........................................ 485
10.1. Traffic Shaping ................................................ .................................. 485
10.1.1. Visión de conjunto ................................................. ............................... 485
10.1.2. Traffic Shaping en NetDefendOS .............................................. ... 486
10.1.3. Ancho de banda sencilla Limitar ............................................... ........ 488
10.1.4. La limitación de ancho de banda en ambas direcciones ........................................ 489
10.1.5. La creación de los límites de distinguir empleando Cadenas ................................. 490
10.1.6. Precedencias ................................................. ........................... 492
10.1.7. Grupos de tubería ................................................ ............................ 496
10.1.8. Traffic Shaping Recomendaciones .............................................. 499
10.1.9. Un resumen de Traffic Shaping ............................................. ...... 500
10.1.10. Más ejemplos de tubería ............................................... ................ 501
10.2. IDP Traffic Shaping ............................................... ............................. 506
10.2.2. Configuración de IDP Traffic Shaping ............................................. ..... 506
10.2.3. Flujo de procesamiento ................................................ ....................... 507
10.2.4. La importancia de especificar una Red ...................................... 507
10.2.5. Un escenario P2P ............................................... ......................... 508
10.2.6. Viendo el tráfico de forma a objetos .............................................. 509 ..
10.2.7. Garantizando en lugar de limitar ancho de banda ................................. 510
10.2.8. Tala ................................................. ................................ 510
10.3. Reglas de umbral ................................................ ................................. 511
10.4. Servidor de equilibrio de carga ............................................... ......................... 514
10.4.2. Algoritmos de distribución de SLB ............................................... ....... 515
10.4.3. Selección de pegajosidad ................................................ .................. 516
10.4.4. SLB Algoritmos y pegajosidad .............................................. ..... 517
10.4.5. Vigilancia de la Salud del servidor ............................................... ........... 518
10.4.6. Configuración SLB_SAT Reglas ................................................. ....... 519
11. Alta disponibilidad .............................................. ............................................ 523
11.1. Visión de conjunto ................................................. ......................................... 523
11.2. Mecanismos de HA ................................................ ................................. 525
11.3. Configuración de HA ............................................... .................................... 528
11.3.1. Configuración de hardware HA ............................................... .................. 528
11.3.2. NetDefendOS Configuración manual HA .............................................. ... 529
11.3.3. Verificación de las funciones de clúster .............................................. .... 530
11.3.4. Único compartido direcciones MAC .............................................. ..... 531
11.4. Problemas HA ................................................ ......................................... 532
11.5. Actualizar un clúster de HA .............................................. ....................... 534
11.6. Verificación de Enlace y HA .............................................. ........................ 536
11.7. HA Configuración avanzada ............................................... ......................... 537
12. ZoneDefense ............................................... ................................................. 539
12.1. Visión de conjunto ................................................. ......................................... 539
12.2. ZoneDefense Interruptores ................................................ ......................... 540
12.3. Operación ZoneDefense ................................................ ....................... 541
12.3.1. SNMP ................................................. ................................... 541
12.3.2. Reglas de umbral ................................................ ....................... 541
12.3.3. Manuales de bloqueo y listas de excluidos ............................................. 541
12.3.4. ZoneDefense con el escaneado Anti-Virus ........................................ 543
12.3.5. Limitaciones ................................................. ............................ 543
8
Manual de usuario
13. Configuración avanzada .............................................. ........................................... 546

13.1. IP Configuración del nivel de ............................................... ................................. 546
13.2. Configuración del nivel de TCP ............................................... .............................. 550
13.3. ICMP Configuración del nivel de ............................................... ............................ 555
13.4. Ajustes para el estado ................................................ ..................................... 556
13.5. Configuración de conexión de tiempo de espera ............................................... ................. 558
13.6. Ajustes límite de longitud ............................................... ........................... 560
13.7. Ajustes de fragmentación ................................................ ........................ 562
13.8. Ajustes locales reensamblaje de fragmentos .............................................. ....... 566
13.9. Otras configuraciones ................................................ ........................ 567
A. La suscripción a actualizaciones ............................................. ...................................... 570
B. IDP Firma Grupos ............................................. ........................................ 572
tipos de archivos C. Verified MIME ............................................. .................................... 576
D. El Marco OSI ............................................. .......................................... 580
Índice alfabético ................................................ ............................................. 581
9
Lista de Figuras
1.1. Esquema de flujo de paquetes Parte I ............................................. .............................. 24
1.2. Esquema de flujo de paquetes Parte II ............................................. ............................. 25
1.3. Paquete de flujo esquemático de la Parte III ............................................. ............................ 26
1.4. Expandido aplicar reglas Lógica ................................................. ........................... 27
3.1. Conexiones VLAN ................................................ ...................................... 116
3.2. Un ARP Publicar trama Ethernet ............................................. ........................ 130
3.3. Simplificada NetDefendOS Flujo de Tráfico .............................................. ............... 138
4.1. Un escenario de enrutamiento Típica .............................................. ............................. 166
4.2. Utilizando Dirección IP local Sin consolidar con una red ............................................ 168
4.3. Un escenario de ruta de conmutación por error de ISP de acceso ........................................... .............. 174
4.4. Un Proxy ARP Ejemplo .............................................. .................................... 181
4.5. La RLB Round Robin Algoritmo ............................................. ...................... 191
4.6. La RLB Spillover Algoritmo .............................................. ........................... 192
4.7. Un escenario Ruta de equilibrio de carga ............................................. ...................... 194
4.8. Un escenario simple OSPF .............................................. ................................. 197
4.9. Proporcionar OSPF Ruta redundancia .............................................. ................... 198
4.10. Enlaces virtuales conectan las áreas .............................................. ...................... 202
4.11. Enlaces virtuales con Backbone con particiones ............................................. ............ 203
4.12. Objetos NetDefendOS OSPF ............................................... ......................... 204
4.13. Los objetos dinámicos regla de enrutamiento .............................................. ....................... 211
4.14. Reenvío de multidifusión - Sin traducción de direcciones de ............................................ .... 222
4.15. Reenvío de multidifusión - Traducción de Direcciones de ............................................. ....... 224
4.16. Modo de multidifusión Snoop ............................................... .................................. 226
4.17. Modo Proxy multidifusión ............................................... .................................. 226
4.18. Acceso a Internet de modo no transparente ............................................ ............... 238
4.19. El acceso a Internet transparente Modo .............................................. ................... 238
4.20. Transparente Escenario Modo 1 .............................................. .......................... 240
4.21. Transparente Escenario Modo 2 .............................................. .......................... 241
4.22. Un escenario de ejemplo BPDU retransmisión ............................................. .............. 244
5.1. Objetos del servidor DHCP ............................................... .................................... 253
6.1. La implementación de un ALG ............................................... ........................................ 266
6.2. HTTP ALG procesamiento de pedidos .............................................. ........................... 269
6.3. FTP ALG Modo híbrido .............................................. ................................... 271
6.4. SMTP ALG procesamiento de pedidos .............................................. ........................... 282
6.5. Anti-Spam Filtrado .............................................. ........................................ 284
6.6. El uso de PPTP ALG ............................................... ......................................... 290
6.7. Terminación TLS ................................................ .......................................... 317
6.8. Flujo de filtrado de contenido dinámico .............................................. ....................... 323
6.9. La actualización de base de datos IDP ............................................... .................................. 344
6.10. Selección Firma IDP ............................................... ................................ 346
7.1. NAT Traducción de direcciones IP .............................................. ............................ 364
7.2. A Ejemplo NAT ............................................... ........................................... 366
7.3. Anonimizar con NAT ............................................... ................................. 368
7.4. El papel de la DMZ ............................................. ....................................... 373
8.1. Normal de autenticación LDAP ............................................... ......................... 395
8.2. LDAP para PPP con CHAP, MS-CHAPv1 o MS-CHAPv2 .................................. 396
9.1. El protocolo AH ............................................... ........................................... 431
9.2. El protocolo ESP ............................................... .......................................... 431
9.3. PPTP uso del cliente ............................................... ........................................ 465
9.4. VPN SSL Navegador de opciones de conexión ............................................. ............... 469
9.5. La sesión SSL VPN Client ............................................. ............................... 470
9.6. Las estadísticas de clientes VPN SSL ............................................. ........................... 471
9.7. Certificado de componentes de validación ............................................... ................... 475
10.1. Reglas de tubería determinar el uso de tuberías ............................................. ..................... 487
10.2. FwdFast Reglas de derivación Traffic Shaping .............................................. ............. 488
10.3. Límites diferenciadas Uso de Cadenas .............................................. .................. 491
10.4. Los ocho precedencias de tubería .............................................. ............................ 492
10.5. Mínima y máxima del tubo Precedencia ............................................. .......... 494
10
Manual de usuario
10.6. Tráfico agrupados por dirección IP ............................................. ........................ 498

10.7. Un básico Traffic Shaping Escenario ............................................. ..................... 502
10.8. IDP Traffic Shaping P2P Escenario ............................................. .................... 508
10.9. Una carga del servidor de configuración de equilibrio ............................................. ............. 514
10.10. Las conexiones desde tres clientes .............................................. ..................... 517
10.11. Pegajosidad y Round-Robin ............................................. .......................... 518
10.12. Pegajosidad y del tipo de conexión ............................................. ....................... 518
D.1. Las 7 capas del modelo OSI ........................................... ........................... 580
11
Lista de ejemplos
1. Ejemplo de notación .............................................. ...............................................15
2.1. Que permite la gestión remota a través de HTTPS ............................................. .............. 35
2.2. La activación de SSH de acceso remoto .............................................. ............................ 41
2.3. Lista de objetos de configuración ............................................... ............................ 53
2.4. Viendo un objeto de configuración .............................................. ....................... 54
2.5. Edición de un objeto de configuración .............................................. ........................... 55
2.6. Adición de un objeto de configuración .............................................. ........................... 55
2.7. La eliminación de un objeto de configuración .............................................. .......................... 56
2.8. Restauración de un objeto de configuración .............................................. ...................... 56
2.9. Modificado lista de objetos de configuración .............................................. ................ 57
2.10. Activación y confirmación de una configuración ............................................. .......... 57
2.11. Habilitar el registro a un host Syslog ............................................ ......................... 61
2.12. El envío de mensajes de alerta SNMP a un receptor de captura SNMP .......................................... ..... 63
2.13. Configuración del servidor RADIUS Contabilidad .............................................. .................... 70
2.14. Habilitación de SNMP Monitoreo ............................................... ............................ 74
2.15. La realización de una copia de seguridad completa ............................................. ............... 85
2.16. Restablecimiento de hardware completa a los valores de fábrica ............................................ ....... 85
3.1. Adición de una dirección de host IP ............................................. ................................. 89
3.2. Adición de una red IP .............................................. ....................................... 89
3.3. La adición de un rango de IP .............................................. .......................................... 90
3.4. La eliminación de un objeto de dirección .............................................. ................................ 90
3.5. Adición de una dirección Ethernet .............................................. ............................... 91
3.6. Adición de direcciones de host IPv6 .............................................. .............................. 93
3.7. Habilitación de IPv6 a nivel mundial ............................................... .................................... 94
3.8. Habilitación de IPv6 en una interfaz ............................................. .............................. 94
3.9. Habilitación de IPv6 Anuncios ............................................... ........................... 95
3.10. Una lista de los servicios disponibles .............................................. ........................... 98
3.11. Visualización de un servicio específico .............................................. ............................... 99
3.12. La creación de un / UDP servicio personalizado TCP ........................................... .................. 102
3.13. Adición de un servicio de protocolo IP ............................................. ......................... 104
3.14. La definición de una VLAN ............................................... ........................................ 117
3.15. Configuración de un cliente PPPoE .............................................. ........................... 120
3.16. Creación de un grupo de interfaz .............................................. ............................ 124
3.17. Viendo la caché ARP .............................................. ............................. 127
3.18. Vaciar la caché ARP .............................................. ................................ 127
3.19. Definición de una entrada ARP estática ............................................. ............................ 128
3.20. Adición de una Permitir Regla IP ................................................ .............................. 141
3.21. La creación de una política de seguridad Time-programada .......................................... ......... 147
3.22. Carga de un certificado ............................................... ................................. 150
3.23. La asociación de certificados con túneles IPsec ............................................. ........ 151
3.24. Ajuste de la fecha y hora actuales ............................................ ..................... 153
3.25. Ajuste del huso horario .............................................. ................................... 154
3.26. Activación DST ................................................ ............................................ 154
3.27. Habilitación de sincronización de tiempo SNTP usando ............................................. ....... 155
3.28. La activación manual de un tiempo de sincronización ............................................. ..... 156
3.29. Modificar el valor de ajuste máximo ............................................. ....... 156
3.30. Forzar sincronización de tiempo ............................................... ....................... 157
3.31. Permitiendo el D-Link Servidor NTP ........................................... ........................ 157
3.32. Configuración de servidores DNS ............................................... .............................. 160
4.1. Viendo la principal Tabla de ruteo ................................................ .................. 171
4.2. Adición de una ruta a la principal Mesa ................................................. .................. 172
4.3. Viendo las Rutas Core .............................................. .............................. 173
4.4. Creación de una tabla de enrutamiento .............................................. ................................. 184
4.5. Adición de rutas ................................................ ............................................. 184
4.6. Creación de una regla de enrutamiento .............................................. .................................. 185
4.7. Enrutamiento basado en políticas con los ISP múltiples ........................................... ............... 188
4.8. Configuración de RLB ............................................... ............................................ 194
4.9. la creación de una Proceso OSPF Router ............................................... .................... 217
12
Manual de usuario
4.10. Añadir una OSPF Área ................................................ ..................................... 217

4.11. Añadir Interfaz OSPF Objetos ................................................. ........................ 217
4.12. Las rutas de importación de un AS OSPF en la tabla de enrutamiento principal ............................ 218
4.13. Exportación de la ruta por defecto en un OSPF AS .......................................... ....... 218
4.14. Reenvío de multidifusión de tráfico utilizando la Regla SAT Multiplex ........................... 222
4.15. Reenvío de multidifusión - Traducción de Direcciones de ............................................. ....... 224
4.16. IGMP - Sin traducción de direcciones de ............................................. ....................... 227
4.17. IF1 Configuración ................................................. ....................................... 228
4.18. IF2 Configuración - Grupo de Traducción .............................................. ............... 229
4.19. Configuración de modo transparente para el Escenario 1 ........................................... ......... 240
4.20. Configuración de modo transparente para el Escenario 2 ........................................... ......... 241
5.1. Configuración de un servidor DHCP ............................................. ................................. 251
5.2. Asignación estática de host DHCP .............................................. .......................... 254
5.3. La creación de un retransmisor de DHCP ............................................. ............................... 256
5.4. Creación de una piscina IP .............................................. ......................................... 261
6.1. La creación de una regla de acceso ............................................. ................................. 265
6.2. La protección de un servidor FTP con un ALG ........................................... .................. 274
6.3. La protección de clientes FTP ............................................... ................................... 277
6.4. Proteger Móviles detrás de cortafuegos NetDefend ............................................. ..... 305
6.5. H.323 con direcciones IPv4 privadas ........................................... ....................... 306
6.6. Dos teléfonos en diferentes firewalls NetDefend ............................................ 307
6.7. Uso de direcciones IPv4 privadas .............................................. ........................... 308
6.8. H.323 con Gatekeeper ............................................. ..................................... 309
6.9. H.323 con Gatekeeper y dos servidores de seguridad NetDefend ......................................... . 311
6.10. Utilizando el H.323 ALG en un entorno corporativo ........................................ ... 312
6.11. Configuración de oficinas remotas para H.323 ........................................... .................. 315
6.12. Permitiendo que la puerta de enlace H.323 a registrarse con el Gatekeeper .............................. 315
6.13. Excluyendo los applets de Java y ActiveX ............................................. ................... 320
6.14. La creación de una lista negra blanco y ............................................ ......................... 321
6.15. Permitiendo Web dinámica de filtrado de contenidos ............................................. .......... 324
6.16. Activación del modo de Auditoría ............................................... ................................... 326
6.17. La reclasificación de un sitio bloqueado .............................................. ............................ 327
6.18. Edición de filtrado de contenido HTTP Banner archivos ............................................ ....... 334
6.19. Activación de Scanning Anti-Virus ............................................. ........................ 341
6.20. Configuración de un receptor de registro SMTP ............................................. ................. 351
6.21. Configuración de IDP para un servidor de correo ........................................... ......................... 352
6.22. Adición de un host a la lista blanca ............................................ .......................... 361
7.1. Especificación de una NAT Regla ................................................. ................................. 366
7.2. Utilización de grupos de NAT ............................................... .......................................... 370
7.3. Permitiendo el tráfico a un servidor Web protegido en una DMZ ........................................ . 373
7.4. Permitiendo el tráfico a un servidor Web en una red interna .................................... 375
7.5. La traducción de tráfico a los servidores web protegidos Múltiples ........................................ 377
7.6. La traducción de tráfico a un servidor web individual Protegida (N: 1) .................................. 380
8.1. Creación de un grupo de autenticación de usuario ............................................. ............... 402
8.2. Configuración de la autenticación de usuario para Web Access ............................................ ........... 402
8.3. Configuración de un servidor RADIUS .............................................. ......................... 403
8.4. Edición de filtrado de contenido HTTP Banner archivos ............................................ ........ 405
9.1. El uso de una lista de propuestas Algoritmo ............................................. ....................... 433
9.2. El uso de una clave precompartida ............................................ ..................................... 434
9.3. El uso de una lista de Identidad .............................................. ...................................... 436
9.4. La creación de un túnel VPN basado PSK para clientes de uso móvil ....................................... 441
9.5. La creación de un túnel VPN basado en certificado autofirmado para clientes de uso móvil ............... 441
9.6. Configuración de certificado de CA del servidor túneles VPN basados para clientes de uso móvil ................. 443
9.7. Configuración del modo de configuración .............................................. .................................. 445
9.8. Uso del modo Config con túneles IPsec ............................................ ................ 445
9.9. Configuración de un servidor LDAP ............................................. ................................ 446
9.10. Configuración de un servidor PPTP ............................................. ................................. 458
9.11. Configuración de un servidor L2TP ............................................. ............................... 459
9.12. La creación de un túnel L2TP sobre IPSec ........................................... ................ 459
9.13. Configuración de una VPN SSL interfaz ............................................ ...................... 472
10.1. La aplicación de un límite de ancho de banda simple ............................................. ................. 488
10.2. La limitación de ancho de banda en ambas direcciones ............................................. .............. 490
13
Manual de usuario
10.3. La creación de SLB ............................................... ............................................ 519

12.1. Un simple escenario ZoneDefense .............................................. ...................... 542
14
Prefacio
Público destinatario
El público objetivo de esta guía de referencia está administradores que son responsables de la configuración y administración de
servidores de seguridad NetDefend que se ejecutan el sistema operativo los NetDefendOS. Esta guía asume que el lector tiene un
conocimiento básico de las redes y seguridad de la red.
La estructura del texto y Convenciones
El texto se divide en capítulos y subsecciones. Numeradas sub-secciones se muestran en la tabla de contenido al

principio. Un índice se incluye al final del documento para ayudar con búsqueda alfabético de los sujetos.
Cuando un enlace de "Ver capítulo / sección" (como por ejemplo: ver Capítulo 9, VPN) se proporciona en el texto principal, esto se puede hacer clic para
llevar al lector directamente a esa referencia.
El texto que pueden aparecer en la interfaz de usuario del producto se designa por estar en caso negrita. Cuando se está introduciendo un término
por primera vez o que es tensionada que puede aparecer en cursiva.
Donde la interacción de la consola se muestra en el texto principal en el exterior de un ejemplo, que aparecerá en una caja con un fondo gris.
Donde se muestra una referencia de dirección Web en el texto, al hacer clic se abrirá la URL especificada en un navegador en una nueva
ventana (algunos sistemas pueden no permitir esto). Por ejemplo, http://www.dlink.com.
Imágenes
Esta guía contiene un mínimo de capturas de pantalla. Esto es deliberado y se realiza porque las ofertas manuales
específicamente con NetDefendOS y administradores tienen la opción de gestión de interfaces de usuario. Se decidió que el
manual sería menos claro y más fácil de leer si se concentra en describir cómo NetDefendOS funciones en lugar de incluir un gran
número de capturas de pantalla que muestran cómo se utilizan los diversos interfaces. Se dan ejemplos, pero estos son en gran
medida las descripciones textuales de uso de la interfaz de gestión.
Ejemplos
Ejemplos en el texto se indican mediante el encabezado Ejemplo y aparecen con un fondo gris, como se muestra a continuación. Contienen
un ejemplo de la CLI y / o un ejemplo Interfaz Web según el caso. (Los NetDefendOS Guía de referencia de la CLI documentos de todos los
comandos de la CLI).
Ejemplo 1. Ejemplo de notación
Información sobre lo que el ejemplo está tratando de lograr aquí se encuentra, a veces con una imagen explicativa.
Interfaz de línea de comandos
El ejemplo de interfaz de línea de comandos aparecería aquí. Sería comenzar con el símbolo del sistema seguido por el comando:
GW-mundo: /> algúncomando someparameter = somevalue
Interfaz web
15
Prefacio
Las acciones de la interfaz web Para el ejemplo se muestran aquí. Están también típicamente una lista numerada mostrando lo que los elementos en la lista de vista de
árbol a la izquierda de la interfaz o en la barra de menús o en un menú de contexto necesita ser abierta seguida de información sobre los elementos de datos que
necesitan ser introducida:
1. Ir a: Artículo X> artículo Y> Z artículo
2. Ahora ingrese:
• DataItem1: datavalue1
• DataItem2: datavalue2
contenido destacado
Las secciones del texto, que el lector debe prestar especial atención a se indican mediante iconos en la parte izquierda de la página
seguido de un breve párrafo en el texto en cursiva. Tales secciones son de los siguientes tipos con los siguientes propósitos:
Nota
Esto indica alguna pieza de información que es una adición al texto anterior. Puede tratarse de algo que
se está haciendo hincapié, o algo que no es obvio o se indique explícitamente en el texto anterior.
Propina
Esto indica una pieza de información no crítica que es útil saber en ciertas situaciones, pero no es una
lectura esencial.
Precaución
Esto indica que el lector debe tener cuidado con sus acciones como una situación indeseable puede resultar
si no se tiene cuidado.
Importante
Este es un punto esencial que el lector debe leer y entender.
Advertencia
Esto es esencial la lectura para el usuario, ya que deben ser conscientes de que una situación grave puede resultar si se
toman ciertas acciones o no tomada.
Marcas comerciales
Ciertos nombres contenidos en este documento son marcas comerciales de sus respectivos propietarios.
ventanas, Windows XP, Windows Vista y windows 7 son marcas comerciales registradas o marcas comerciales de Microsoft
Corporation en los Estados Unidos y / o en otros países.
dieciséis
Capítulo 1. Visión general NetDefendOS
En este capítulo se describen las características clave de NetDefendOS.
• Características, página 17
• NetDefendOS Arquitectura, página 20
• Flujo de paquetes NetDefendOS el Estado de Motor, página 24
1.1. Caracteristicas
D-Link NetDefendOS es el motor de software de base que impulsa y controla la gama de productos de hardware NetDefend
Firewall.
NetDefendOS como un sistema de seguridad de la red de servicio
Diseñado como una sistema operativo de seguridad de red, NetDefendOS cuenta el rendimiento de alto rendimiento con una alta fiabilidad
además de control super-granular. En contraste con los productos creados por encima de los sistemas operativos estándar, tales como Unix
o Microsoft Windows, NetDefendOS ofrece una perfecta integración de todos sus subsistemas, el control administrativo a fondo de todas las
funciones, así como una superficie de ataque mínima que ayuda a anular el riesgo de ataques a la seguridad.
Objetos NetDefendOS
Desde la perspectiva del administrador del enfoque conceptual de NetDefendOS es visualizar las operaciones a través de un conjunto
de bloques de construcción lógicos o objetos. Estos objetos permiten la configuración de NetDefendOS en un número casi ilimitado de
maneras diferentes. Este control granular permite al administrador para cumplir los requisitos de los escenarios de seguridad de red
más exigentes.
Características principales
NetDefendOS tiene un extenso conjunto de características. La siguiente lista presenta las características clave del producto:
enrutamiento IP NetDefendOS proporciona una variedad de opciones para enrutamiento IP incluyendo

enrutamiento estático, enrutamiento dinámico, así como capacidades de enrutamiento de
multidifusión. Además, NetDefendOS soporta características tales como redes de área local
virtuales, Supervisión de ruta, Proxy ARP y la transparencia. Para obtener más información,
consulte
Capítulo 4, enrutamiento.
Las políticas de cortafuegos NetDefendOS proporciona cortafuegos basado en la inspección de estado para una
amplia gama de protocolos tales como TCP, UDP e ICMP. El administrador puede
definir políticas de cortafuegos detallados basados en la red de origen / destino /
interfaz, protocolos, puertos, las credenciales del usuario, la hora del día y más. Sección
3.6, “Reglas IP”, describe cómo configurar estas políticas para determinar qué tráfico
está permitido o rechazado por NetDefendOS.
Traducción de direcciones Por funcionalidad, así como razones de seguridad, NetDefendOS apoya la traducción de
direcciones basada en políticas. La traducción dinámica de direcciones (NAT), así como
traducción de direcciones estáticas (SAT) está soportado, y resuelve la mayoría de los tipos
de necesidades de traducción de direcciones. Esta característica está cubierto de Capítulo
7, traducción de direcciones.
17
1.1. Caracteristicas Capítulo 1. Visión general NetDefendOS
VPN NetDefendOS es compatible con una amplia gama de soluciones de red

privada virtual (VPN). existe soporte para IPSec, L2TP y PPTP, así como SSL
VPN con las políticas de seguridad definibles para conexiones VPN
individuales. Este tema se trata en
Capítulo 9, VPN.
Terminación TLS NetDefendOS apoya la terminación para que TLS el

NetDefend Firewall puede actuar como el punto final para las conexiones HTTP de los
clientes de navegador Web (esta función se llama a veces terminación SSL). Para
obtener información detallada, consulte
Sección 6.2.10, “El TLS ALG”.
Scanning Anti-Virus NetDefendOS funciones integradas funcionalidad antivirus. El tráfico que pasa a
través de la NetDefend Firewall puede ser sometida a escaneo en profundidad en
busca de virus, y virus hosts envían puede ser negro-lista y bloqueado. Para más
detalles de esta función, consulte Sección 6.4, “Anti-Virus Scanning”.
La detección y prevención de Para mitigar los ataques a nivel de aplicaciones hacia las vulnerabilidades de los
intrusiones servicios y aplicaciones, NetDefendOS proporciona un potente La detección y
prevención de intrusiones ( IDP) del motor. El motor IDP es basada en políticas y
es capaz de realizar la exploración de alto rendimiento y detección de ataques y
puede realizar el bloqueo y opcional negro-lista de atacar a los ejércitos. Más
información sobre las capacidades de desplazados internos de NetDefendOS se
puede encontrar en Sección 6.5, “Detección y prevención de intrusiones”.
Nota
IDP completo está disponible en todos los modelos de productos de
D-Link NetDefend como un servicio de suscripción. En algunos modelos,
un subsistema IDP simplificada se proporciona como estándar.
Filtrado de Contenido Web NetDefendOS proporciona varios mecanismos para el filtrado de contenido web que se
considera inadecuada de acuerdo a una política de uso web. Con Filtrado de Contenido
Web ( WCF) de contenido web puede ser bloqueado según la categoría ( Dinámica WCF), objetos
maliciosos pueden ser retirados de las páginas web y sitios web pueden ser incluidos en
lista blanca o lista negra. Más información sobre este tema puede encontrarse en Sección
6.3, “Filtrado de Contenido Web”.
La gestión del tráfico NetDefendOS ofrece amplias capacidades de gestión del tráfico a través de Traffic
Shaping, reglas de umbral ( sólo ciertos modelos) y Servidor de equilibrio de carga.
Traffic Shaping permite limitar el ancho de banda y el equilibrio de; Reglas de umbral
permiten la especificación de los umbrales para el envío de alarmas y / o limitar el
tráfico en la red; Equilibrio de carga del servidor permite a un dispositivo que ejecuta
NetDefendOS para distribuir la carga de red a varios hosts. Estas características se
analizan en detalle en Capítulo 10, Gestión de Tráfico.
Nota
Reglas de umbral sólo están disponibles en ciertos modelos de
productos de D-Link NetDefend.
Operaciones y mantenimiento gestión del administrador de NetDefendOS es posible a través de un conector de

interfaz de usuario basada en Web (Web UI) oa través de una interfaz de línea de
comandos (CLI). también NetDefendOS
18
1.1. Caracteristicas Capítulo 1. Visión general NetDefendOS
proporciona capacidades además de soporte para el seguimiento a través de SNMP

de eventos y el registro detallado. información más detallada sobre este tema se puede
encontrar en Capítulo 2, Gestión y Mantenimiento.
ZoneDefense NetDefendOS se pueden utilizar para controlar los conmutadores D-Link utilizando la
función ZoneDefense. Esto permite NetDefendOS para aislar partes de una red que
contienen hosts que son la fuente de tráfico de red no deseado.
Nota
NetDefendOS ZoneDefense sólo está disponible en ciertos modelos
de productos de D-Link NetDefend.
IPv6 Las direcciones IPv6 son compatibles con las interfaces y dentro de los conjuntos de
reglas. Esta función no está activada por defecto y debe ser explícitamente permite en
una interfaz Ethernet. Más información sobre este tema puede encontrarse en Sección
3.2, “Soporte IPv6”.
Documentación NetDefendOS
Lectura a través de la documentación disponible con cuidado se asegurará de obtener el máximo rendimiento del producto
NetDefendOS. Además de este documento, el lector también debe ser consciente de las guías de referencia compañera:
• Los Guía de referencia de la CLI que detalla todos los comandos de la CLI NetDefendOS.
• Los Guía de referencia de registro NetDefendOS que detalla todos los mensajes de registro de eventos NetDefendOS. En conjunto, estos
documentos forman el material de referencia esencial para la operación NetDefendOS.
19
1.2. NetDefendOS Arquitectura Capítulo 1. Visión general NetDefendOS
1.2. NetDefendOS Arquitectura

1.2.1. Arquitectura basada en el Estado
La arquitectura NetDefendOS se centra en el concepto de conexiones basadas en el estado. routers IP tradicionales o interruptores
inspeccionan comúnmente todos los paquetes y luego realizar reenvío de decisiones basadas en la información que se encuentra en la
cabecera del paquete. Con este enfoque, los paquetes se envían sin ningún sentido de contexto que elimina cualquier posibilidad de
detectar y analizar los protocolos complejos y hacer cumplir las políticas de seguridad correspondientes.
inspección de estado
NetDefendOS emplea una técnica llamada inspección de estado lo que significa que inspecciona y reenvía el tráfico en una base por
conexión. NetDefendOS detecta cuando se está estableciendo una nueva conexión, y mantiene una pequeña pieza de información o estado
en su tabla de estados durante toda la vida de esa conexión. Al hacer esto, NetDefendOS es capaz de entender el contexto del tráfico
de red que le permite llevar a cabo el análisis de tráfico en profundidad, aplicar la gestión de ancho de banda y una variedad de otras
funciones.
El enfoque de la inspección de estado, además, proporciona un rendimiento de alto rendimiento con la ventaja añadida de un diseño que
es altamente escalable. El subsistema NetDefendOS que implementa la inspección de estado a veces se hace referencia en la
documentación como los NetDefendOS el estado del motor.
1.2.2. NetDefendOS Building Blocks

Los bloques de construcción básicos en NetDefendOS son interfaces, objetos lógicos y varios tipos de reglas (o conjuntos de reglas).
Interfaces
Interfaces son los portales a través del cual entra o sale del NetDefend Firewall tráfico de red. Sin interfases, un
sistema NetDefendOS no tiene medios para recibir o enviar tráfico.
Los siguientes tipos de interfaz se admiten en NetDefendOS:
• Las interfaces físicas - Estos corresponden a las interfaces Ethernet físicas reales.
• Subinterfaces - Estos incluyen interfaces VLAN y PPPoE.
• - interfaces de túnel Se utiliza para recibir y enviar tráfico a través de túneles VPN.
interfaz Simetría
El diseño de la interfaz NetDefendOS es simétrica, lo que significa que las interfaces del dispositivo no son fijos como en el
"inseguros fuera" o "segura dentro" de una topología de red. La noción de lo que está dentro y fuera es totalmente para el
administrador definir.
Los objetos lógicos
objetos lógicos puede ser visto como bloques de construcción predefinidos para su uso por los conjuntos de reglas. La libreta de direcciones, por
ejemplo, contiene el nombre objetos que representan las direcciones de host y de red.
Otro ejemplo de objetos lógicos son servicios que representan combinaciones de protocolo y puerto específico. También
importantes son la capa de aplicación Gateway (ALG) objetos que se utilizan para definir los parámetros adicionales en
protocolos específicos, como HTTP, FTP, SMTP y H.323.
20
1.2.3. Flujo básico de paquetes Capítulo 1. Visión general NetDefendOS
Los conjuntos de reglas NetDefendOS
Por último, las reglas que se definen por el administrador en los distintos conjuntos de reglas se utilizan para la aplicación real de las políticas de
seguridad NetDefendOS. El conjunto más fundamental de reglas son las Reglas IP,
que se utilizan para definir la política de filtrado de capa 3 IP, así como llevar a cabo la traducción de direcciones y balanceo de carga del servidor. Las
Reglas de la modulación del tráfico definen la política de gestión de ancho de banda, las Reglas de desplazados internos controlan el comportamiento
del motor de prevención de intrusiones y así sucesivamente.
1.2.3. Flujo básico de paquetes
Esta sección describe el flujo básico en el estado-motor para los paquetes recibidos y transmitidos por NetDefendOS. La siguiente
descripción se simplifica y puede que no sea plenamente aplicable en todos los escenarios, sin embargo, los principios básicos serán
válidas para todas las implementaciones NetDefendOS.
1. Un marco Ethernet se recibe en una de las interfaces Ethernet en el sistema. validación trama Ethernet básica se lleva a
cabo y el paquete se descarta si el marco es válido.
2. El paquete está asociado con una interfaz de origen. La interfaz de origen se determina como sigue:
• Si la trama de Ethernet contiene un ID de VLAN (Identificador de LAN Virtual), el sistema comprueba una interfaz VLAN
configurado con un ID de VLAN correspondiente. Si se encuentra uno, que la interfaz VLAN se convierte en la interfaz de origen
para el paquete. Si no se encuentra una interfaz de juego, el paquete se descarta y se registra el suceso.
• Si la trama Ethernet contiene una carga útil de PPP, el sistema comprueba una interfaz PPPoE coincidente. Si se encuentra
uno, esa interfaz se convierte en la interfaz de origen para el paquete. Si no se encuentra una interfaz de juego, el paquete se
descarta y se registra el suceso.
• Si ninguno de lo anterior es cierto, la interfaz Ethernet de recepción se convierte en la interfaz de origen para el paquete.
3. El datagrama IP dentro del paquete se pasa a la NetDefendOS Comprobador de coherencia. El comprobador de coherencia realiza una serie de
comprobaciones de validez en el paquete, incluyendo la validación de las sumas de comprobación, banderas de protocolo, la longitud del
paquete y así sucesivamente. Si las comprobaciones de coherencia fallan, el paquete se cae y se registra el suceso.
4. NetDefendOS ahora trata de las operaciones de búsqueda una conexión existente, haciendo coincidir los parámetros del paquete
entrante. Una serie de parámetros se utilizan en el intento partido, incluyendo la interfaz de origen, fuente y direcciones IP de
destino y el protocolo IP.
Si un partido no puede ser encontrado, un proceso de establecimiento de la conexión se inicia el cual incluye los pasos de aquí a 9 abajo. Si se
encuentra una coincidencia, el proceso continúa en la etapa de reenvío 10 abajo.
5. El Reglas de acceso son evaluados para averiguar si la dirección IP de origen de la nueva conexión es
permitidos en la interfaz recibido. Si no hay regla de acceso coincide entonces una consulta de rutas inversa se hará en las tablas de
enrutamiento.
En otras palabras, por defecto, una interfaz sólo aceptará direcciones IP de origen que pertenecen a redes enrutadas a través de esa
interfaz. UN búsqueda inversa significa que nos fijamos en las tablas de enrutamiento para confirmar que hay una ruta en la que si esta
red es el destino a continuación, la misma interfaz podría ser utilizado.
Si la búsqueda de regla de acceso o la búsqueda de ruta inversa determinan que la IP de origen no es válida, el paquete se
descarta y se registra el suceso.
6. Una consulta de rutas está siendo hecha usando la tabla de enrutamiento apropiado. La interfaz de destino para la conexión ha
determinado ahora.
7. Las normas de PI están buscado una regla que coincide con el paquete. Los siguientes parámetros son parte del proceso de
correspondencia:
21
• interfaces de origen y de destino
• Origen y destino de red
• protocolo IP (por ejemplo TCP, UDP, ICMP)
• puertos TCP / UDP
• tipos ICMP
• Punto en el tiempo en referencia a un programa predefinido
Si un partido no puede ser encontrado, el paquete se descarta.
Si se encuentra una regla que coincide con la nueva conexión, el Acción parámetros de la regla decide qué NetDefendOS debe
hacer con la conexión. Si la acción es la gota, el paquete se descarta y el evento se registra de acuerdo con la configuración del
registro para la regla.
Si la acción es Permitir, el paquete se permite a través del sistema. Un estado correspondiente se añadirá a la tabla de conexión
para hacer coincidir los paquetes posteriores que pertenecen a la misma conexión. Además, el objeto de servicio que se
correspondía con el protocolo IP y los puertos podría haber contenido una referencia a una puerta de enlace de objeto de capa de
aplicación (ALG). Esta información se registra en el estado de modo que NetDefendOS sabrán que el procesamiento de capa de
aplicación tendrá que ser realizado en la conexión.
Por último, la apertura de la nueva conexión se registra de acuerdo con la configuración del registro de la regla.
Nota: Las acciones adicionales
En realidad, hay una serie de medidas adicionales disponibles como traducción de direcciones y balanceo de
carga del servidor. El concepto básico de goteo y permitiendo que el tráfico sigue siendo el mismo.
8. La detección de intrusiones y Normas de Prevención (IDP) están ahora evaluaron de una manera similar a las normas IP. Si se
encuentra una coincidencia, los datos IDP se registra con el estado. Al hacer esto, NetDefendOS sabrán que IDP exploración se
supone que debe ser llevado a cabo en todos los paquetes que pertenecen a esta conexión.
9. El Traffic Shaping y los conjuntos de reglas límite del umbral se buscaron ahora. Si se encuentra una coincidencia, la
información correspondiente se registra en el estado. Esto permitirá una gestión adecuada del tráfico en la conexión.
10. A partir de la información en el estado, NetDefendOS ahora sabe qué hacer con el paquete entrante:
• Si la información ALG está presente o si se va a realizar la exploración IDP, la carga útil del paquete está cuidado por el
subsistema TCP Pseudo-montaje, que a su vez hace uso de las diferentes puertas de enlace de capa de aplicación, la capa
7 motores de análisis y así sucesivamente , para analizar más o transformar el tráfico.
• Si el contenido del paquete se encapsula (tal como con IPsec, PPTP / L2TP o algún otro tipo de protocolo de túnel),
entonces las listas de interfaz se comprueban para una interfaz coincidente. Si se encuentra uno, el paquete se
decapsulated y la carga útil (el texto en claro) se envía en NetDefendOS otra vez, ahora con interfaz de origen siendo la
interfaz de túnel emparejado. En otras palabras, el proceso continúa en el paso 3 anterior.
• Si la información de gestión del tráfico está presente, el paquete podría obtener en cola o de otra manera ser sometido a acciones
relacionadas con la gestión del tráfico.
11. Finalmente, el paquete será reenviado a cabo en la interfaz de destino de acuerdo con el estado.
22
Si la interfaz de destino es una interfaz de túnel o una sub-interfaz física, el procesamiento adicional tal como el
cifrado o encapsulación pudiera ocurrir.
La siguiente sección proporciona un conjunto de diagramas que ilustran el flujo de paquetes a través de NetDefendOS.
23
1.3. Flujo de paquetes Motor Estado NetDefendOS Capítulo 1. Visión general NetDefendOS
1.3. Flujo de paquetes Motor Estado NetDefendOS
Los diagramas de esta sección proporcionan un resumen del flujo de paquetes a través del estado del motor NetDefendOS. Hay
tres diagramas, cada uno que fluye en el siguiente. No es necesario entender estos diagramas, sin embargo, pueden ser útiles
como referencia para configurar NetDefendOS en ciertas situaciones.
Figura 1.1. Esquema de flujo de paquetes Parte I
El flujo de paquetes se continúa en la página siguiente.
24
Figura 1.2. Esquema de flujo de paquetes Parte II
El flujo de paquetes se continúa en la página siguiente.
25
Figura 1.3. Paquete de flujo esquemático de la Parte III
26
aplicar reglas
La figura a continuación presenta la lógica detallada de la aplicar reglas en función de Figura 1.2, “Packet de flujo esquemático de la Parte II” encima.
Figura 1.4. Expandido aplicar reglas Lógica
27
28
Capítulo 2. Gestión y Mantenimiento
En este capítulo se describen las operaciones de gestión, y los aspectos relacionados con el mantenimiento de NetDefendOS.
• NetDefendOS de gestión, página 29
• Eventos y registro, página 59
• Radio de la contabilidad, página 65
• Monitoreo, página 71
• Los pcapdump De comandos, página 80
• Mantenimiento, página 83
2.1. La gestión de NetDefendOS
2.1.1. Visión de conjunto
NetDefendOS está diseñado para dar un alto rendimiento y alta fiabilidad. No sólo proporcionan un amplio conjunto de funciones,
sino que también permite al administrador estar en pleno control de casi todos los detalles del sistema. Esto significa que el
producto se puede implementar en los entornos más difíciles.
Una buena comprensión de cómo se realiza la configuración NetDefendOS es crucial para el uso apropiado del sistema. Por esta
razón, esta sección se ofrece una presentación en profundidad del subsistema de configuración, así como una descripción de cómo
trabajar con las diversas interfaces de gestión.
Interfaces de gestión
NetDefendOS proporciona las siguientes interfaces de gestión:
La Interfaz Web los Interfaz web ( también conocido como el Interfaz de usuario Web o WebUI) está integrado
en NetDefendOS y proporciona una interfaz de administración gráfica fácil de usar e intuitiva,
accesible desde un navegador web estándar.
El navegador se conecta a una de las interfaces Ethernet del hardware usando

HTTP o HTTPS y la NetDefendOS responde como un servidor web, permitiendo que las páginas web para
ser utilizado como la interfaz de administración.
Esta característica se describe completamente en Sección 2.1.3, “La interfaz web”.
la CLI los Interfaz de línea de comandos ( CLI), accesible localmente a través del puerto de consola serie o de
forma remota utilizando el protocolo Secure Shell (SSH), proporciona el control más preciso sobre todos
los parámetros en NetDefendOS.
Esta característica se describe completamente en Sección 2.1.4, “La línea de comandos”.
Secure Copy Secure Copy ( SCP) es un protocolo de comunicación ampliamente utilizado para la transferencia de archivos.
Ningún cliente específico SCP está dotado de NetDefendOS distribuciones pero existe una amplia selección
de clientes de CPS disponible para casi todas las plataformas de estaciones de trabajo.
SCP es un complemento al uso de la CLI y proporciona un medio seguro de transferencia

de archivos entre el equipo administrador y el NetDefend
29
2.1.2. La cuenta de administrador Capítulo 2. Gestión y Mantenimiento
predeterminada
Firewall. Varios archivos utilizados por NetDefendOS pueden ser cargados y descargados tanto en la
SCP.
Esta característica se describe completamente en Sección 2.1.6, “Secure Copy”.
Menú de arranque de la consola Antes NetDefendOS se pone en marcha, una consola conectada directamente al puerto RS232 del
NetDefend Firewall puede ser utilizado para hacer la configuración básica a través de la menú de
arranque. Este menú se puede introducir pulsando cualquier tecla de la mesa entre el encendido y
arranque NetDefendOS. Es el
D-Link cargador de firmware que se está accediendo al menú de arranque.
Esta característica se describe completamente en Sección 2.1.7, “Menú La consola de arranque”.
Las políticas de gestión remota
El acceso a las interfaces de gestión remota puede ser regulada por una política de gestión remota por lo que el administrador puede
restringir el acceso de gestión basado en red de origen, interfaz de origen y las credenciales de usuario / contraseña.
El acceso a la interfaz web se puede permitir a los usuarios administrativos en una determinada red, mientras que al mismo tiempo que permite
el acceso CLI para un administrador remoto se conecta a través de un túnel IPsec específica.
Por defecto, el acceso Interfaz Web está habilitada para los usuarios de la red conectada a través de la LAN
interfaz del firewall D-Link (en productos en los que más de una interfaz LAN está disponible,
LAN1 es la interfaz por defecto).
2.1.2. La cuenta de administrador predeterminada
Por defecto, NetDefendOS tiene una base de datos local, adminusers, que contiene uno predefinido
administrador cuenta. Esta cuenta tiene el nombre de usuario administración con la contraseña administración. Esta cuenta tiene privilegios de lectura /
escritura administrativos completos para NetDefendOS.
Importante
Por razones de seguridad, se recomienda cambiar la contraseña predeterminada de la cuenta predeterminada tan pronto como sea
posible después de conectar con el servidor de seguridad NetDefend.
Creación de cuentas adicionales
cuentas de usuario adicionales pueden ser creados según sea necesario. Las cuentas pueden o bien pertenecer a la Administrador
grupo de usuarios, en cuyo caso se ha leído completa / escritura de acceso administrativo. Alternativamente, pueden pertenecer a la Auditor grupo
de usuarios, en cuyo caso tienen un acceso de sólo lectura.
Múltiples inicios de sesión de la Administración
NetDefendOS no permite más de una cuenta de administrador para iniciar sesión en al mismo tiempo. Si un administrador inicia una
sesión, a continuación, un segundo o más se les permitió ingresar, pero sólo tendrán privilegios de auditoría. En otras palabras, los
segundos o más administradores que inician sesión sólo será capaz de leer las configuraciones y no serán capaces de cambiarlos.
2.1.3. La Interfaz Web

NetDefendOS proporciona una interfaz intuitiva Interfaz web ( WebUI) para la gestión del sistema a través de una
30
2.1.3. La Interfaz Web Capítulo 2. Gestión y Mantenimiento
interfaz Ethernet utilizando un navegador web estándar. Esto permite al administrador realizar la gestión remota desde cualquier
lugar en una red privada o la Internet pública mediante un ordenador estándar sin tener que instalar el software de cliente.
Nota: Se recomienda navegadores web
Los navegadores recomendados para utilizar con la interfaz web son los siguientes:
• Microsoft Internet Explorer (versión 7 y posterior)

• Firefox (versión 3 y posterior)
• Safari (versión 3 y posterior)
• Chrome (versión 4 y posterior)
• Opera (versión 10.5 y posteriores)
La asignación de una dirección IP predeterminada
Para un nuevo firewall D-Link NetDefend con los valores de fábrica, una dirección IP interna por defecto se asigna
automáticamente por NetDefendOS al hardware de LAN1 interfaz (o la LAN interfaz en modelos wihout múltiples interfaces
LAN). La dirección IP asignada a la interfaz de gestión difiere según el modelo NetDefend de la siguiente manera:
• Por NetDefend DFL-210, 260, 800, 860, 1600 y 2500, la dirección IP de la interfaz de administración predeterminado es 192.168.1.1.
• Por NetDefend DFL-260E, 860E, 1660, 2560 y 2560G, la dirección IP de la interfaz de administración predeterminado es 192.168.10.1.
Configuración de la estación de trabajo de gestión de IP
La interfaz Ethernet de administración predeterminado del servidor de seguridad y la interfaz Ethernet de la estación de trabajo externo
tiene que ser miembros de la misma red IP lógica para la comunicación entre ellos para tener éxito. Por lo tanto, la interfaz Ethernet de
conexión de la estación de trabajo debe asignarse manualmente los siguientes valores de IP estática:
DFL-210/260/800/860/1600/2500 DFL-260E / 860E / 1660/2560 / 2560G
Dirección IP: 192.168.1.30 Dirección IP: 192.168.10.30
Máscara de subred: 255.255.255.0 Máscara de subred: 255.255.255.0
Puerta de enlace predeterminada: 192.168.1.1 Puerta de enlace predeterminada: 192.168.10.1
Inicio de sesión en la interfaz web
Para acceder a la interfaz web utilizando la configuración predeterminada de fábrica, el lanzamiento de un navegador web en la estación de trabajo
externa y apunte el navegador a la dirección IPv4:
DFL-210/260/800/860/1600/2500 DFL-260E / 860E / 1660/2560 / 2560G
Dirección IP: 192.168.1.1 Dirección IP: 192.168.10.1
Al realizar la conexión inicial a NetDefendOS, el administrador debe utilizar https: // como el protocolo de URL en el navegador
(en otras palabras, https://192.168.1.1 o https://192.168.10.1 según el modelo). El uso de HTTPS asegura que la comunicación
con NetDefendOS es seguro.
Si se establece correctamente la comunicación con los NetDefendOS, a continuación, se mostrará un cuadro de diálogo de autenticación de usuario
similar a la que se muestra a continuación en la ventana del navegador.
31
Introduzca el nombre de usuario y contraseña y haga clic en el Iniciar sesión botón. El nombre de usuario y contraseña por defecto es administración y
administrador. Si las credenciales de usuario son correctos, será trasladado a la página principal de la interfaz web.
Interfaz Web de inicio de sesión de la primera vez y el asistente de configuración
Al iniciar la sesión por primera vez, el nombre de usuario por defecto es siempre administración y la contraseña es
administrador.
Después de iniciar sesión correctamente, el WebUI interfaz de usuario será presentado en la ventana del navegador. Si no hay cambios de
configuración no se han subido a la NetDefend Firewall, el Asistente de configuración NetDefendOS se iniciará automáticamente para tomar un nuevo
usuario a través de los pasos esenciales para la configuración NetDefendOS y el establecimiento de la conexión a Internet.
Importante: Desconectar bloqueo de ventanas emergentes
bloqueo de ventanas emergentes debe estar desactivado en el navegador web para permitir que el Asistente de configuración
NetDefendOS para funcionar ya que esto aparece en una ventana emergente.
Soporte multi-idioma
El diálogo de entrada Interfaz Web ofrece la opción de seleccionar un idioma distinto del Inglés para la interfaz. Soporte de idiomas es
proporcionada por un conjunto de archivos de recursos independientes. Estos archivos pueden ser descargados desde el sitio web de D-Link.
En ocasiones puede ser el caso de que una actualización NetDefendOS puede contener características que carecen temporalmente
una traducción completa no-Inglés por falta de tiempo. En este caso el Inglés original se utiliza como una solución temporal, en lugar de
una traducción al idioma seleccionado.
La interfaz del navegador Web
En el lado izquierdo de la interfaz web es un árbol que permite la navegación a los diversos conjuntos de objetos
NetDefendOS. La zona central de la Interfaz Web muestra información sobre los módulos. información sobre el rendimiento
actual se muestra por defecto.
32
Para obtener información sobre el nombre de usuario y contraseña por defecto, consulte Sección 2.1.2, “La cuenta predeterminada del administrador”.
Nota: el acceso de administración remota
El acceso a la interfaz web se rige por la política de gestión remota configurada. Por defecto, el
sistema sólo permitirá acceso a la web de la red interna.
diseño de interfaz
La página principal de la interfaz web se divide en tres secciones principales:
A. barra de menú La barra de menús situada en la parte superior de la interfaz web contiene una serie de botones y menús
desplegables que se utilizan para realizar tareas de configuración, así como para la navegación a varias
herramientas y páginas de estado.
• Casa - Se desplaza a la primera página de la Interfaz Web.
• Configuración
yo. Guardar y activar - Guarda y activa la configuración.
ii. Descartar los cambios - Descarta los cambios realizados en la configuración

durante la sesión actual.
Iii. Ver cambios - Enumerar los cambios realizados en la configuración, ya que

se guardó por última vez.
• Herramientas - Contiene una serie de herramientas que son útiles para el mantenimiento del sistema.
• status - Proporciona varias páginas de estado que se pueden utilizar para el diagnóstico del sistema.
33
• Mantenimiento
yo. Centro de Actualización - actualizar manualmente o programar las actualizaciones de las firmas de
detección de intrusiones y antivirus.
ii. Licencia - Ver los detalles de la licencia o introduzca el código de activación.
Iii. Apoyo - Hacer una copia de seguridad de la configuración de un equipo local o

restaurar una copia de seguridad previamente descargado.
iv. Reiniciar - Reiniciar el servidor de seguridad o restablecer los valores de fábrica.
v. Actualización - Actualizar el firmware del servidor de seguridad.
VI. Soporte técnico - Esta opción ofrece la posibilidad de descargar un archivo

desde el servidor de seguridad que se puede estudiar de forma local o enviada a un especialista de soporte
técnico para el análisis de problemas. Esto puede ser muy útil, ya que la información proporcionada de
forma automática incluye detalles importantes que se requieren para la solución de problemas.
SEGUNDO. Navegador El navegador se encuentra en el lado izquierdo de la interfaz web contiene una representación del árbol
de la configuración del sistema. El árbol se divide en varias secciones que corresponden a los
principales bloques de construcción de la configuración. El árbol puede ser ampliado para exponer las
secciones adicionales y el conjunto de objetos seleccionados se muestran en, ventana principal central
de la Interfaz Web.
DO. Ventana principal La ventana principal contiene de configuración o estado detalles correspondientes a la sección
seleccionada en el navegador o la barra de menú.
Cuando se muestran las tablas de información en la ventana principal, haciendo clic derecho en una línea (por
ejemplo, una regla IP) hará que aparezca un menú contextual.
Este menú contextual se puede utilizar para añadir un nuevo objeto, elimine el actual, cambiar el
orden y otras operaciones. los Clon función se utiliza para hacer una copia completa del objeto actual
y luego añadirlo como el último objeto en la tabla. A continuación se muestra un ejemplo típico del
menú contextual.
34
Control de acceso a la interfaz web
Por defecto, la interfaz web sólo es accesible desde la red interna. Si se requiere tener acceso desde otras partes de la
red, esto se puede hacer mediante la modificación de la política de gestión remota.
Ejemplo 2.1. Que permite la gestión remota a través de HTTPS
GW-mundo: /> añadir RemoteManagement RemoteMgmtHTTP https

Red = Interfaz de todos los mosquiteros = cualquier
LocalUserDatabase = adminusers HTTPS = Sí
Interfaz web
1. Ir a: Sistema> Administración remota> Añadir> HTTP / HTTPS Gestión
2. Introduzca una Nombre para la política de gestión remota HTTP / HTTPS, por ejemplo, https
3. Comprobar la HTTPS caja
4. Seleccione las siguientes opciones en las listas desplegables:
• Base de datos del usuario: adminusers
• Interfaz: alguna
• Red: todas las redes de
5. Haga clic DE ACUERDO
Precaución: No exponga la interfaz de gestión
Se proporciona el ejemplo anterior sólo tiene fines informativos. Nunca se recomienda para exponer
cualquier interfaz de gestión a cualquier usuario de Internet.
Cierre de sesión de la Interfaz Web
Después de terminar el trabajo con la interfaz web, es recomendable cerrar la sesión siempre para evitar que otros usuarios con acceso a la
estación de trabajo de conseguir el acceso no autorizado a NetDefendOS. Salir se consigue haciendo clic en el Cerrar sesión botón en la parte
derecha de la barra de menú.
35
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
Consejo: correctamente encaminar el tráfico de administración
Si hay un problema con la interfaz de administración cuando se comunica junto túneles VPN, consulte la tabla de
enrutamiento principal y buscar una todas las redes de ruta al túnel VPN. el tráfico de administración puede ser
mediante esta ruta.
Si hay una ruta específica está configurado para la interfaz de gestión a continuación, todo el tráfico procedente de
la gestión NetDefendOS automáticamente se dirigirá hacia el túnel VPN. Si este es el caso, entonces una ruta se
debe agregar por el administrador para el tráfico de gestión de rutas con destino a la red de gestión de la interfaz
correcta.
2.1.4. la CLI
NetDefendOS proporciona una Interfaz de línea de comandos ( CLI) para los administradores que prefieren o requieren un enfoque de línea de
comandos para la administración, o que necesitan un control más detallado de la configuración del sistema. El CLI está disponible de forma local
a través del puerto de consola serie (conexión a esto se describe más adelante), o de forma remota a través de una interfaz Ethernet utilizando el Cubierta
segura ( SSH) protocolo de un cliente SSH.
La CLI proporciona un amplio conjunto de comandos que permiten la visualización y modificación de datos de configuración, así como permitir
que los datos de tiempo de ejecución que se mostrarán y permitiendo que las tareas de mantenimiento del sistema a realizar.
Esta sección sólo proporciona un resumen para el uso de la CLI. Para una referencia completa para todos los comandos de la CLI, consulte el
documento adjunto D-Link Guía de referencia de la CLI.
Los comandos de la CLI utilizados con más frecuencia son:
• añadir - Añade un objeto tal como una dirección IP o una regla para una configuración NetDefendOS.
• set - Establece una propiedad de un objeto a un valor. Por ejemplo, esto podría ser utilizado para establecer la interfaz de origen en una norma IP.
• espectáculo - Muestra las categorías actuales o mostrar los valores de un objeto en particular.
• borrar - Elimina un objeto específico.
Estructura Comando de la CLI
Los comandos de CLI por lo general comienzan con la estructura: < comando> <tipo_objeto> <object_name>. Por ejemplo, para mostrar
un objeto de dirección IP llamada mi dirección, el comando sería:
GW-mundo: /> Ver dirección IP4Address my_address
La segunda parte del comando especifica el tipo de objeto y es necesario identificar qué categoría de objeto el nombre del objeto se
refiere a (tener en cuenta que el mismo nombre puede existir en dos categorías diferentes).
Nota: Categoría y Contexto
El termino categoría se refiere a veces como la contexto de un objeto.
Un comando como añadir también puede incluir propiedades del objeto. Para añadir un nuevo objeto IP4Address con una dirección IP de 10.49.02.01,
el comando sería:
GW-mundo: /> añadir IP4Address my_address Dirección = 10.49.02.01
36
El objeto tipo puede estar opcionalmente precedido por el objeto categoría. UN categoría agrupa un conjunto de tipos y se utiliza principalmente con la
implementación del tabulador que se describe a continuación.
Consejo: Cómo obtener ayuda acerca de la ayuda
Escribiendo el comando CLI:
GW-mundo: /> ayuda ayuda
dará información sobre el propio comando de ayuda.
La historia comando de la CLI
Al igual que la consola en muchas versiones de Microsoft Windows ™, las teclas de flecha arriba y abajo permiten al usuario desplazarse por la
lista de comandos en el historial de comandos CLI. Por ejemplo, al pulsar la tecla de flecha hacia arriba una vez hará que el último comando
ejecutado aparece en el indicador CLI actual. Después de que aparezca un comando que se puede volver a ejecutar en su forma original o
modificado antes de la ejecución.
del tabulador
Recordando a todos los comandos y sus opciones puede ser difícil. NetDefendOS proporciona una función llamada la implementación del
tabulador lo que significa que al presionar la tecla de tabulación causará automáticamente la terminación de la parte actual del comando. Si la
terminación no es posible, pulsando la tecla de tabulación, alternativamente, se mostrará las posibles opciones de comandos que están
disponibles.
Los parámetros opcionales se Tab Último
La implementación del tabulador no funciona con parámetros opcionales hasta que se hayan introducido todos los parámetros obligatorios.
Por ejemplo, al crear una regla de IP para un conjunto de reglas IP en particular, la línea de comandos podría comenzar:
añadir iprule
Si la tecla de tabulación es presionado, los parámetros obligatorios se muestran por NetDefendOS:
Se requiere un valor de las siguientes propiedades:
Acción DestinationNetwork SourceInterface

Servicio DestinationInterface SourceNetwork
los Nombre parámetro no está en esta lista ya que no es obligatoria ya que las reglas pueden ser referenciados con su número de índice. Del
mismo modo, podría introducir lo siguiente:
añadir iprule Na
Si la tecla de tabulación está presionado, las letras N / A No se completará a ser name = porque Nombre es opcional y se deben introducir todos los
parámetros obligatorios antes de la implementación del tabulador funciona para parámetros opcionales.
Por ejemplo, si el comando siguiente se escribe:
añadir iprule SourceInterface = if12 SourceNetwork = all-redes

DestinationInterface = IF2 DestinationNetwork = redes de toda acción = Permitir a los
servicios all_services = Na
Si la tecla de tabulación está presionado, las letras N / A ahora será completado para ser name = porque todo el
37
ya se han introducido los parámetros obligatorios.
Nota: Se recomienda nombres de las reglas
Incluso cuando es opcional, se recomienda que una Nombre valor se asigna a una regla. Esto hace que el examen y
la comprensión de la configuración más sencilla.
Especificando el valor predeterminado
El período "." personaje antes de una ficha se puede utilizar para rellenar automáticamente el valor predeterminado para una propiedad de objeto. Por
ejemplo:
añadir LogReceiver LogReceiverSyslog log_example

Dirección = = example_ip LogSeverity. (lengüeta)
Se rellenará con el valor por defecto para LogSeverity:
añadir LogReceiverSyslog ejemplo Dirección = example_ip

LogSeverity = Emergencia, Alerta, crítico, error, advertencia, aviso, la información
Esta lista de gravedad se puede editar con las teclas de flecha y la tecla de retroceso de la espalda. Un valor por defecto no siempre está disponible.
Por ejemplo, el Acción de una regla IP tiene ningún valor predeterminado.
Otro uso del carácter de punto antes de una pestaña es para rellenar automáticamente el valor actual de una propiedad de objeto en una línea
de comandos. Por ejemplo, podríamos haber escrito el comando sin terminar:
Seleccionar la dirección de DirecciónIP If1_ip Dirección =
Si ahora escribimos "" seguido de una pestaña, NetDefendOS mostrará el valor actual para el Dirección
parámetro. Si ese valor es, por ejemplo, 10.6.58.10 a continuación, la línea de comandos sin terminar se convertirá automáticamente en:
Seleccionar la dirección de DirecciónIP If1_ip Dirección = 10.6.58.10
NetDefendOS inserta automáticamente el valor actual de 10.6.58.10 y esto, entonces se puede cambiar con la tecla de retroceso o teclas de
flecha hacia atrás antes de completar el comando.
Categorías de objetos
Se ha mencionado que los objetos están agrupados por tipo, como IP4Address. Tipos mismos están agrupados por categoría. El tipo IP4Address
pertenece a la categoría Dirección. El uso principal de las categorías está en la implementación del tabulador cuando se busca el tipo de
objeto derecho de uso.
Si un comando como añadir se introduce y luego se presiona la tecla de tabulación, NetDefendOS muestra todas las categorías disponibles. Al
elegir una categoría y luego pestaña pulsando de nuevo todos los tipos de objetos de esa categoría se muestra. El uso de categorías significa que
el usuario tiene una forma sencilla de especificar qué tipo de objeto que están tratando de especificar y se muestran un número manejable de
opciones después de pulsar la pestaña.
No todos los tipos de objetos pertenecen a una categoría. El tipo de objeto UserAuthRule es un tipo sin una categoría y aparecerá en la lista de
categorías después de pestaña presionando al comienzo de un comando.
La categoría a veces también se denomina contexto.
Selección de objetos Categorías
Con algunas categorías, es necesario elegir primero un miembro de esa categoría con los cc ( cambio de categoría) de comandos
antes de objetos individuales pueden ser manipulados. Este es el caso, por ejemplo,
38
con las rutas. No puede haber más de una tabla de enrutamiento, por lo que cuando la adición o la manipulación de una ruta que primero tendrá que
utilizar el cc comando para identificar qué tabla de enrutamiento que nos interesa.
Supongamos que una ruta es que se añade a la tabla de enrutamiento principal. El primer comando sería:
GW-mundo: /> principal cc RoutingTable
GW-mundo: / principal>
Observe que los cambios de símbolo del sistema para indicar la categoría actual. La ruta ahora se puede añadir:
GW-mundo: / principal> Agregar ruta Name = new_route1 Interfaz de red LAN = = Lannet
Para anular la selección de la categoría, el comando es cc por sí mismo:
GW-mundo: / principal> cc
GW-mundo: />
Las categorías que requieren una inicial cc comando antes de la manipulación de objetos tiene un carácter "/" después de sus nombres cuando
se ordenan por una espectáculo mando. Por ejemplo: Tabla de ruteo/.
Especificación de valores múltiples de propiedad
A veces una propiedad de comandos puede tener varios valores. Por ejemplo, algunos comandos utilizan la propiedad AccountingServers
y más de un valor se puede especificar para esta propiedad. Al especificar múltiples valores, deben estar separados por una coma
"" carácter. Por ejemplo, si tres servidores server1, server2, servidor3 es necesario especificar entonces la asignación de
propiedad en el comando sería:
AccountingServers = server1, server2, server3
La inserción en listas de reglas
listas de reglas tales como el conjunto de reglas IP tienen un ordenamiento que es importante. Al agregar mediante la CLI
añadir comando, el valor predeterminado es añadir una nueva regla al final de una lista. Cuando la colocación en una posición particular es
crucial, la añadir comando puede incluir la index = parámetro como una opción. Inserción en la primera posición en una lista se especifica con
el parámetro Index = 1 en una añadir comando, la segunda posición con el parámetro Index = 2 y así.
Hacer referencia por Nombre
El nombramiento de algunos objetos es opcional y se realiza con la name = parámetro en una añadir mando. Un objeto, como una regla de
umbral, siempre tendrá una Índice valor que indica su posición en la lista de reglas, pero opcionalmente se puede asignar un nombre
también. la manipulación posterior de una norma de este tipo puede hacerse ya sea refiriéndose a ella por su índice, es decir, su posición
lista, o, alternativamente, utilizando el nombre asignado a la misma.
los Guía de referencia de la CLI enumera las opciones de los parámetros disponibles para cada objeto, incluyendo el NetDefendOS name = y index
= Opciones.
Uso de nombres únicos
Para mayor comodidad y claridad, se recomienda que se asigna un nombre a todos los objetos de manera que pueda ser utilizado como referencia, si
es necesario. Referencia por su nombre es particularmente útil cuando se escriben los guiones de la CLI.
39
Para más información sobre esto ver los guiones Sección 2.1.5, “Secuencias de comandos de la CLI”.
La CLI hará cumplir denominación única dentro de un tipo de objeto. Por razones de compatibilidad con versiones anteriores a NetDefendOS
comunicados, existe una excepción a las normas de propiedad intelectual que pueden tener nombres duplicados, sin embargo se recomienda para
evitar esto. Si se utiliza un nombre de regla IP duplicada en dos reglas IP a continuación, sólo el Índice valor puede identificar de manera única cada
regla IP en los comandos de la CLI posteriores. Hacer referencia a una regla de IP con un nombre duplicado va a fallar y dar lugar a un mensaje de
error.
El uso de nombres de host en la CLI
Para ciertos comandos de la CLI, las direcciones IP opcionalmente se pueden especificar como un nombre de host textual en lugar de un objeto
IP4Address o la dirección IP en bruto tal como 192.168.1.10. Cuando se hace esto, el nombre de host debe tener el prefijo con las letras DNS: para
indicar que una búsqueda de DNS se debe hacer para resolver el nombre de host a una dirección IP. Por ejemplo, el nombre de host host.company.com
se especificaría como
DNS: host.company.com en el CLI.
Los parámetros donde los URN podrían utilizarse con la CLI son:
• Los Punto final remoto para IPsec, L2TP y PPTP túneles.
• Los Anfitrión para los servidores LDAP.
Cuando la búsqueda de DNS que hay que hacer, al menos un servidor DNS público debe estar configurado en NetDefendOS de nombres
de host que se traducen a direcciones IP.
Serial acceso a la consola CLI
El puerto serie de consola es un puerto local RS-232 en el Firewall NetDefend que permite el acceso directo a la NetDefendOS CLI a
través de una conexión en serie a un PC o terminal. Para localizar el puerto de consola serie en el hardware de D-Link, consulte la Guía
de inicio rápido D-Link.
Para utilizar el puerto de la consola, se requiere el siguiente equipo:
• Un terminal o un ordenador con un puerto serie y la capacidad de emular un terminal (como el uso de la Hiper terminal software
incluido en algunas ediciones de Microsoft Windows ™). El puerto de consola serie utiliza la siguiente configuración predeterminada: 9600
bps, sin paridad, 8 bits de datos y 1 bit de parada.
• Un cable RS-232 con conectores apropiados. Un paquete de electrodomésticos incluye un cable de módem nulo RS-232.
Para conectar ahora un terminal al puerto de consola, siga estos pasos:
1. Ajuste el protocolo de terminal como se describe anteriormente.
2. Conecte uno de los conectores del cable RS-232 directamente al puerto de consola del sistema NetDefend
Firewall.
3. Conectar el otro extremo del cable a la terminal o el conector serie del equipo que ejecuta el software de
comunicaciones.
4. presione el entrar clave en el terminal. Los NetDefendOS indicador de conexión debe aparecer en la pantalla del terminal.
SSH (Secure Shell) Acceso CLI
El protocolo SSH (Secure Shell) se puede utilizar para acceder a la CLI través de la red desde un host remoto. SSH es un protocolo utilizado
principalmente para la comunicación segura a través de redes inseguras, proporcionando fuerte autenticación e integridad de datos. clientes
SSH están libremente disponibles para casi todo el hardware
40
plataformas.
NetDefendOS soporta la versión 1, 1,5 y 2 del protocolo SSH. acceso SSH está regulada por la política de gestión remota en
NetDefendOS, y está desactivado por defecto.
Ejemplo 2.2. La activación de SSH de acceso remoto
Este ejemplo muestra cómo habilitar el acceso remoto SSH desde el Lannet red a través de la lan interfaz mediante la adición de una regla a la política
de gestión remota.
GW-mundo: /> añadir RemoteManagement RemoteMgmtSSH ssh

Red = Lannet interfaz LAN = =
LocalUserDatabase adminusers
Interfaz web
1. Ir a: Sistema> Administración remota> Añadir> Secure Shell de administración
2. Introduzca una Nombre para la política de gestión remota SSH, por ejemplo, ssh_policy
• Base de datos del usuario: adminusers
• Interfaz: lan
• Red: Lannet
Inicio de sesión en la CLI
Cuando el acceso a la CLI se ha establecido a través de la consola NetDefendOS serial o un cliente SSH, el administrador tendrá que iniciar
sesión en el sistema antes de poder ejecutar cualquier comando CLI. Este paso es necesario para garantizar la autenticación que sólo los
usuarios de confianza pueden acceder al sistema, así como proporcionar información de usuario para la auditoría.
Al acceder a la CLI de forma remota a través de SSH, NetDefendOS responderá con un mensaje de login. Introduzca el nombre de usuario y
pulse el Entrar clave, seguido de la contraseña y luego Entrar de nuevo.
Después de un inicio de sesión correcto, aparecerá el símbolo del sistema de la CLI:
GW-mundo: />
Si un mensaje de bienvenida se ha establecido a continuación, se mostrará inmediatamente después del inicio de sesión. Por razones de seguridad, es
recomendable desactivar cualquiera o anonimizar el mensaje de bienvenida de la CLI.
Cambiando el administración Contraseña de usuario
Se recomienda cambiar la contraseña predeterminada de la administración cuenta desde administración a otra cosa tan pronto como sea posible
después de la puesta en marcha inicial. Las contraseñas de usuario puede ser cualquier combinación de caracteres y no puede ser mayor de 256
caracteres de longitud. Se recomienda utilizar sólo caracteres imprimibles.
Para cambiar la contraseña, por ejemplo, mi contraseña Se utilizan los siguientes comandos CLI. En primer lugar debemos cambiar la
categoría actual a ser el LocalUserDatabase llamado (adminusers que existe por defecto):
41
GW-mundo: /> Adminusers cc LocalUserDatabase
Ahora estamos en adminusers y puede cambiar la contraseña de la administración usuario:
GW-mundo: / adminusers> conjunto de administrador de usuario Contraseña = "mi-contraseña"
Por último, volvemos la categoría actual al nivel superior:
GW-mundo: / adminusers> cc
Nota: La contraseña de la consola es independiente
La contraseña que se puede configurar para proteger el acceso directo de la consola serie es una contraseña separada y no se
debe confundir con las contraseñas relacionadas con las cuentas de usuario. La contraseña de la consola se describe en Sección
2.1.7, “Menú La consola de arranque”.
Cambio de la indicación de la CLI
El símbolo de CLI por defecto es:
GW-mundo: />
dónde Dispositivo es el número de modelo del NetDefend Firewall. Esto se puede modificar para requisitos particulares, por ejemplo, a mi-prompt: />, utilizando
el comando de la CLI:
GW-mundo: /> Nombre del dispositivo de juego = "mi-prompt"
los Guía de referencia de la CLI utiliza el símbolo del sistema GW-mundo: /> en todo.
Consejo: El símbolo de CLI es el nombre del dispositivo WebUI
Cuando el indicador de línea de comandos se cambia a un nuevo valor de cadena, esta cadena también aparece como el nuevo
nombre del dispositivo en el nodo de nivel superior de la WebUI de vista de árbol.
Activación y confirmar los cambios
Si se realiza algún cambio en la configuración actual a través de la CLI, esos cambios no se subirán a NetDefendOS
hasta que el comando:
GW-mundo: /> activar
se emite. Inmediatamente después de la activar comando, el comando:
GW-mundo: /> cometer
debe ser emitida para hacer esos cambios sean permanentes.
Si una cometer comando no se emite dentro de un período de tiempo predeterminado de 30 segundos después los cambios se revierten
automáticamente y la configuración antigua restaurada.
Reinicio NetDefendOS con la CLI
El CLI puede utilizarse para reiniciar NetDefendOS utilizando el comando:
42
GW-mundo: /> apagar
Esto es suficiente para la mayoría de las situaciones que requieren un reinicio del sistema. Para apagar y reiniciar ambos NetDefendOS
y reinicializar completamente el hardware, incluyendo el cargador NetDefendOS (equivalente a cambiar el hardware de ahí en adelante)
utiliza el comando:
GW-mundo: /> -reboot apagado
Un posible efecto secundario de confirmar los cambios aunque la CLI es que cualquier sesión del navegador Interfaz Web que se registra
en el momento de la confirmación, será necesario que el usuario inicie sesión de nuevo. Esto se debe a la vista de la interfaz Web de la
configuración puede no ser válida.
Comprobar la integridad de configuración
Después de cambiar una configuración NetDefendOS y antes de emitir el activar y cometer

comandos, es posible comprobar explícitamente de cualquier problema en una configuración con el comando:
GW-mundo: /> Mostrar -errors
Esto hará que NetDefendOS para escanear la configuración a punto de ser activado y la lista de cualquier problema. Un posible problema que podría
encontrarse de esta manera es una referencia a un objeto IP en la libreta de direcciones que no existe una copia de seguridad de configuración
restaurada.
Cierre de sesión en la CLI
Después de terminar el trabajo con la CLI, se recomienda cerrar la sesión con el fin de evitar que cualquier persona obtener acceso no autorizado al
sistema. Cierre la sesión mediante el uso de la salida o el cerrar sesión mando.
Configuración del acceso de gestión remota en una interfaz
puede necesitar ser configurado a través de la CLI de acceso de administración remota. Supongamos que es el acceso de administración a ser a través
de la interfaz Ethernet IF2 que tiene una dirección IP 10.8.1.34.
En primer lugar, establecemos los valores de los objetos de dirección IPv4 para IF2 que ya existen en el libro NetDefendOS dirección,
comenzando con el IP de la interfaz:
GW-mundo: /> Seleccionar la dirección de IP4Address if2_ip Dirección = 10.8.1.34
La dirección IP de red para la interfaz también se debe establecer en el valor adecuado:
GW-mundo: /> Seleccionar la dirección de IP4Address if2_net Dirección = 10.8.1.0 / 24
En este ejemplo, las direcciones IP locales se utilizan para la ilustración, pero estos podrían ser públicas las direcciones IPv4 en su lugar.
A continuación, crear un acceso a objetos de gestión remota HTTP, en este ejemplo se llama HTTP_if2:
GW-mundo: /> añadir RemoteManagement RemoteMgmtHTTP HTTP_if2

Interfaz de Red = IF2 = todas las redes de
LocalUserDatabase = = adminusers AccessLevel
administración HTTP = Sí
Si ahora activar y cometer la nueva configuración, acceso de gestión a distancia a través de la IPv4
43
2.1.5. Secuencias de comandos de la CLI Capítulo 2. Gestión y Mantenimiento
dirección 10.8.1.34 es ahora posible utilizando un navegador web. Si se requiere acceso SSH a continuación, una gestión RemoteMgmtSSH objeto
debe ser añadido.
El supuesto hecho con los comandos anteriores es que una todas las redes de ruta existe para la puerta de enlace del ISP. En otras palabras, el
acceso a Internet se ha habilitado para la NetDefend Firewall.
Gestión de sesiones de gestión con SessionManager
La CLI proporciona un comando llamado SessionManager para la gestión de sesiones de gestión propios. El comando se utiliza
para gestionar todos los tipos de sesiones de gestión, incluyendo:
• Asegure sesiones de CLI Shell (SSH).
• Cualquier sesión de CLI a través de la interfaz de la consola serie.
• Secure Copy sesiones (SCP).
• sesiones interfaz web conectados por HTTP o HTTPS.
El comando sin ninguna opción da un resumen de las sesiones abiertas en ese momento:
GW-mundo: /> SessionManager
Gestor de estado de la sesión

- - - - - - - - - - - - - - - - - - - - - -
Las conexiones activas : 3
Máximas conexiones permitidas: 64
Local de tiempo de espera de inactividad de sesión: 900
NetCon tiempo de espera de sesión inactiva: 600
Para ver una lista de todas las sesiones utilizan el - lista opción. A continuación se muestra una cierta salida típica que muestra la sesión de consola
local:
GW-mundo: /> SessionManager -lista
Usuario Base de datos IP Tipo Modo Acceso

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
local (ninguna) 0.0.0.0 La consola de administración local,
Si el usuario tiene privilegios de administrador completos, que pueden poner fin a la fuerza a otra sesión de gestión utilizando el - desconectar
de la opción SessionManager mando.
los SessionManager opciones de comando están completamente documentadas en el Guía de referencia de la CLI.
2.1.5. Secuencias de comandos de la CLI
Para permitir que el administrador para almacenar y ejecutar conjuntos de comandos de la CLI fácilmente, NetDefendOS proporciona una función
llamada secuencias de comandos CLI. UN escritura de la CLI es una secuencia predefinida de comandos de la CLI que se pueden ejecutar después de
que se guardan en un archivo y el archivo se sube a la NetDefend Firewall.
Los pasos para crear una secuencia de comandos CLI son los siguientes:
1. Crear un archivo de texto con un editor de texto que contiene una lista secuencial de los comandos de la CLI, uno por línea.
La convención recomendada D-Link es que estos archivos utilizan la extensión de archivo. SGS ( S eguridad
GRAMO ateway S cripta). El nombre de archivo, incluyendo la extensión, no debe contener más de 16 caracteres.
2. Sube el archivo en el servidor de seguridad NetDefend usando Secure Copy (SCP). Los archivos de comandos deben ser almacenados
44
en un directorio en la raíz llamada / guiones. SCP carga se discute en detalle en

Sección 2.1.6, “Secure Copy”.
3. Utilice el comando CLI -execute guión para ejecutar el archivo de script.
la CLI guión comando es la herramienta utilizada para la gestión de la escritura y ejecución. La sintaxis completa del comando se
describe en el Guía de referencia de la CLI y ejemplos específicos de uso se detallan en las siguientes secciones. Ver también Sección
2.1.4, “El CLI” en este manual.
Sólo cuatro comandos están permitidos en Scripts
Los comandos permitidos en un archivo de script se limitan a cuatro y estos son:
• añadir
• conjunto
• borrar
• cc
Si aparece cualquier otro comando en un archivo de script, se ignora durante la ejecución y un mensaje de advertencia se emite. Por
ejemplo, el silbido comando será ignorado.
La ejecución de secuencias de comandos
Como se mencionó anteriormente, la -execute guión comando inicia un archivo script llamado que se ha cargado previamente a la
NetDefend Firewall. Por ejemplo, para ejecutar el archivo de script my_script.sgs
que ya ha sido cargado, el comando CLI sería:
GW-mundo: /> guión -execute -name = my_script.sgs
Las variables de script
Un archivo de script puede contener cualquier número de variables de proceso que se denominan:
$ 1, $ 2, $ 3, $ 4 ...... $ n
Los valores sustituidos para estos nombres de variables se especifican como una lista al final de la -execute guión
línea de comando. El número norte en el nombre de la variable indica la posición del valor de la variable en esta lista.
$ 1 es lo primero, $ 2 ocupa el segundo lugar y así sucesivamente.
Nota: El símbolo $ 0 está reservado
Observe que el nombre de la primera variable es de $ 1. La variable $ 0 está reservado y siempre se sustituye antes de la
ejecución por el nombre del archivo de secuencia de comandos.
Por ejemplo, un script llamado my_script.sgs está para ser ejecutado con la dirección IP 126.12.11.01 reemplazando todas las ocurrencias de $ 1 en el
archivo de secuencia de comandos y la cadena dirección IF1 reemplazando todas las ocurrencias de $ 2.
El archivo my_script.sgs contiene la única línea de comando de la CLI:
añadir IP4Address If1_ip Dirección = $ = $ 1 Comentarios 2
Para ejecutar este archivo de comandos después de la carga, el comando CLI sería:
> guión -execute -name = 126.12.11.01 my_script.sgs "dirección de IF1"
45
Cuando se ejecuta el archivo de comandos, la sustitución variables significaría que el archivo se convierte en:
añadir IP4Address If1_ip Dirección = 126.12.11.01 Comentarios = "dirección IF1"
Comandos de validación y pedidos de comandos
secuencias de comandos de la CLI no son, por defecto, validado. Esto significa que el pedido por escrito de la secuencia de comandos no importa. No
puede ser una referencia a un objeto de configuración en el comienzo de una secuencia de comandos que sólo se crea al final de la secuencia de
comandos. Aunque esto puede parecer ilógico, que se hace para mejorar la legibilidad de los guiones. Si hay algo que siempre tiene que ser creado
antes de que se hace referencia a continuación, esto puede resultar en un archivo de script confuso y desarticulado y en grandes archivos de
comandos a menudo es preferible agrupar los comandos de la CLI que son similares.
Manejo de errores
Si un archivo de secuencia de comandos CLI ejecutando encuentra una condición de error, el comportamiento por defecto es que el guión para
terminar. Este comportamiento puede ser anulado por el uso de la - fuerza opción. Para ejecutar un archivo script llamado
my_script2.sgs De esta manera, el comando CLI es:
GW-mundo: /> guión -execute -name = my_script2.sgs force
Si - fuerza se utiliza, el script continuará ejecutando incluso si los errores son devueltos por un comando en el archivo de script.
salida de la escritura
Cualquier salida de la ejecución del script aparecerá en la consola CLI. Normalmente esta salida sólo se compone de cualquier mensaje
de error que se producen durante la ejecución. Para ver la confirmación de cada orden de terminar, la - verboso opción debe utilizarse:
GW-mundo: /> guión -execute -name = my_script2.sgs -verbose
ahorro de secuencias de comandos
Cuando un archivo de script se carga en el servidor de seguridad NetDefend, se mantuvo inicialmente sólo en la memoria RAM temporal. Si
NetDefendOS reinicia entonces cualquier script subidas se perderán de esta memoria volátil y deben subirse de nuevo a correr. Para almacenar un
guión entre puestas en marcha, deberá haber sido expresamente se trasladó a NetDefendOS no volátiles disco mediante el uso de la memoria -store
guión mando.
Para mover el ejemplo my_script.sgs a la memoria no volátil del comando sería:
GW-mundo: /> guión -store -name = my_script.sgs
Por otra parte, todos los scripts se pueden mover a la memoria no volátil con el comando:
GW-mundo: /> guión -store -todas
La eliminación de secuencias de comandos
Para eliminar un script guardado. el -remove guión comando se puede utilizar.
Para eliminar el ejemplo my_script.sgs archivo de comandos, el comando sería:
46
GW-mundo: /> guión -remove -name = my_script.sgs
listado de secuencias de comandos
los guión por sí solo, el comando sin ningún parámetro, se enumeran todas las secuencias de comandos disponibles en la actualidad y se indica el
tamaño de cada secuencia de comandos, así como el tipo de memoria donde reside (residencia en la memoria no volátil se indica mediante la palabra
" Disco" en el Memoria columna).
GW-mundo: /> guión
Nombre Almacenamiento Tamaño (bytes)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
my_script.sgs RAM 8
my_script2.sgs disco 10
Para listar el contenido de un archivo de script cargado específica, por ejemplo, my_script.sgs el comando sería:
GW-mundo: /> guión -demostrar -name = my_script.sgs
Creación de secuencias automáticamente
Cuando tiene que ser copiado entre varios servidores de seguridad NetDefend, a continuación, una manera de hacer esto con la CLI de los mismos
objetos de configuración es crear un archivo de secuencia de comandos que crea los objetos requeridos y luego subir a ejecutar y el mismo guión en
cada dispositivo.
Si ya tenemos una instalación NetDefendOS que ya tiene los objetos configurados que necesitan ser copiados, a continuación, ejecutar el -create
guión comando en la instalación que proporciona una forma de crear automáticamente el archivo de secuencia de comandos necesaria.
Este archivo de script puede ser descargado en la estación de trabajo de gestión local y se ha cargado y ejecutado en otros servidores de
seguridad NetDefend duplicar los objetos.
Por ejemplo, supongamos que el requisito es crear el mismo conjunto de IP4Address objetos en varios Firewalls NetDefend
que ya existen en una sola unidad. El administrador se conectaría a la unidad individual con la CLI y ejecute el comando:
GW-mundo: /> guión -create Dirección IP4Address -nombre new_script.sgs
Esto crea un archivo script llamado new_script_sgs que contiene todos los comandos de la CLI necesario para crear todos IP4Address dirección
de objetos en la configuración de dicha unidad. el contenido del archivo creado podrían, por ejemplo, ser:
añadir IP4Address If1_ip Dirección = 10.6.60.10 añadir IP4Address

If1_net Dirección = 10.6.60.0 / 24 Añadir IP4Address If1_br Dirección =
10.6.60.255 añadir IP4Address If1_dns1 Dirección = 141.1.1.1
"""
El archivo new_script_sgs a continuación, se puede descargar en la SCP a la estación de trabajo de gestión local y luego cargado y ejecutado en los
otros servidores de seguridad NetDefend. El resultado final es que todas las unidades tendrán el mismo IP4Address objetos en su libreta de
direcciones.
El nombre del archivo creado usando el - crear opción no puede ser mayor que 16 caracteres de longitud (incluyendo la extensión) y
el tipo de archivo debe ser. SGS.
47
2.1.6. Secure Copy Capítulo 2. Gestión y Mantenimiento
Consejo: Listado de comandos en la consola
Para una lista de los comandos CLI creado en la consola en lugar de guardar en un archivo, dejar de lado la opción - name
= en el -create guión mando.
Ciertos aspectos de una configuración que son dependientes del hardware no puede tener una entrada del archivo de secuencia de comandos creada
cuando se utiliza el - crear opción. Esto es cierto cuando el tipo de nodo en el CLI -create guión
comando es uno de:
• COMPortDevice
• Ethernet
• EthernetDevice
• Dispositivo
Estos tipos de nodos se omiten cuando se crea el archivo de comandos y NetDefendOS da el mensaje No hay objetos de categoría o tipo
seleccionado.
Al comentar archivos de comandos
Cualquier línea en un archivo de secuencia de comandos que se inicia con el # carácter se trata como un comentario. Por ejemplo:
# La siguiente línea define la dirección IP IF1 añadir IP4Address If1_ip

Dirección = 10.6.60.10
Secuencias que se ejecutan otros scripts
Es posible que una secuencia de comandos para ejecutar otro script. Por ejemplo, la secuencia de comandos my_script.sgs podría contener la línea:
"" Guión -execute -nombre my_script2.sgs ""
NetDefendOS permite que el archivo de script my_script2.sgs para ejecutar otro archivo de guión y así sucesivamente. La profundidad máxima de este
anidación guión es 5.
2.1.6. Secure Copy

Para cargar y descargar archivos desde o hacia el NetDefend Firewall, el copia de seguridad ( SCP) protocolo se puede utilizar. SCP se basa en
el protocolo SSH y muchos clientes de CPS libre disposición existe para casi todas las plataformas. Los ejemplos de línea de comandos a
continuación se basan en el formato del comando más común para el software de cliente de SCP.
Formato de comando SCP
sintaxis del comando SCP es sencillo para la mayoría de los clientes basados en la consola. El comando básico que se utiliza aquí es SCP seguido por
la fuente y destino para la transferencia de archivos.
Subir se realiza con el comando:
> scp <local_filename> <destination_firewall>
48
2.1.6. Secure Copy Capítulo 2. Gestión y Mantenimiento
Descarga se realiza con el comando:
> scp <source_firewall> <local_filename>
El origen o destino NetDefend servidor de seguridad es de la forma:

<Nombre_de_usuario> @ <firewall_ip_address>: <ruta de archivo>.
Por ejemplo: admin@10.62.11.10: config.bak. la < nombre_usuario> debe ser un usuario NetDefendOS definido en el grupo de usuario del
administrador.
Nota: Los ejemplos de CPS no muestran la solicitud de contraseña
SCP normalmente pedirá la contraseña de usuario después de la línea de comandos, pero que no está pronta se muestra en
los ejemplos que se dan aquí.
En la siguiente tabla se resumen las operaciones que se pueden realizar entre un cliente y NetDefendOS SCP:
Tipo de archivo Sube posible descarga posible
Copia de seguridad de configuración (config.bak) Sí (también con WebUI) Sí (también con WebUI)
Copia de seguridad del sistema (full.bak) Sí (también con WebUI) Sí (también con WebUI)
Las actualizaciones de firmware Sí No
certificados Sí No
claves públicas SSH Sí No
archivos de la bandera de autenticación Web Sí Sí
archivos de banner filtro de contenido web Sí Sí
Organización de archivos NetDefendOS
NetDefendOS mantiene una sencilla estructura de directorios de nivel 2 que consiste en el nivel superior raíz y un número de subdirectorios. Sin
embargo, estos "directorios", tales como sshlclientkey se debe pensar más correctamente como de tipos de objetos. Todos los archivos
almacenados en la raíz NetDefendOS, así como todos los tipos de objetos se pueden visualizar utilizando el comando CLI ls.
La salida resultante se muestra a continuación:
GW-mundo: /> ls
HTTPALGBanners /
HTTPAuthBanners /
certificado / full.bak
config.bak script /
sshclientkey /
Además de los archivos individuales, los tipos de objetos que figuran son:
• HTTPALGBanners / - Los archivos HTML de la bandera para la autenticación de usuarios. La posibilidad de subir estos se describe
adicionalmente en Sección 6.3.4.4, “Personalización de WCF HTML Pages”.
• HTTPAuthBanner / - Los archivos de banner para el filtrado de contenido dinámico HTML ALG. La posibilidad de subir estos se describe
adicionalmente en Sección 6.3.4.4, “Personalización de WCF HTML Pages”.
• certificado/ - El tipo de objeto para todos los certificados digitales.
49
2.1.7. El menú de la consola de arranque Capítulo 2. Gestión y Mantenimiento
• script / - El tipo de objeto para todas las secuencias de comandos de la CLI. Scripts se describen adicionalmente en Sección 2.1.5, “Secuencias de
comandos de la CLI”.
• sshclientkey / - El cliente SSH tipo de objeto clave.
Ejemplos de cargar y descargar
En algunos casos, un archivo se encuentra en la raíz NetDefendOS. El archivo de licencia ( license.lic) entra en esta categoría, así como los archivos de
copia de seguridad para las configuraciones ( config.bak) y el sistema completo ( full.bak).
Al subir, estos archivos contienen una cabecera única que identifica cuáles son. NetDefendOS comprueba esta cabecera y asegura que el
archivo se almacena sólo en la raíz (todos los archivos no tienen un encabezado).
Si un nombre de usuario administrador es admin1 y la dirección IPv4 del servidor de seguridad es NetDefend
10.5.62.11 a continuación, para cargar una copia de seguridad de configuración, el comando SCP sería:
> SCP config.bak admin1@10.5.62.11:
Para descargar una copia de seguridad de configuración en el directorio actual, el comando sería:
> SCP admin1@10.5.62.11: config.bak ./
Para cargar un archivo a un tipo de objeto en la raíz, el comando es un poco diferente. Si tenemos un archivo local escritura CLI llamada my_script.sgs
a continuación, el comando de carga sería:
> SCP my_script.sgs admin1@10.5.62.11: script /
Si tenemos el mismo archivo de comandos CLI llamada my_scripts.sgs almacenado en el servidor de seguridad NetDefend entonces el comando de
descarga sería:
> SCP admin1@10.5.62.11: script / my_script.sgs ./
La activación de Cargas
Al igual que todos los cambios de configuración, sólo subirá SCP se activa después de que los comandos de la CLI activar
se han emitido y esto debe ser seguido por cometer para hacer el cambio permanente.
Subidas de actualizaciones de firmware (empaquetados en. UPG archivos) o una copia de seguridad completa del sistema ( full.bak) son la excepción.
Ambos de estos tipos de archivo se traducirá en un reinicio automático del sistema. La otra excepción es para la carga de secuencias de comandos que
no afectan a la configuración.
2.1.7. El menú de la consola de arranque
los NetDefendOS cargador es el software de base sobre la cual corre NetDefendOS y la interfaz directa del administrador para esto se
llama el menú de arranque de la consola ( también conocido simplemente como la
menú de arranque). Esta sección analiza las opciones del menú de arranque.
Acceso al menú de la consola de arranque
El menú de arranque sólo se puede acceder a través de un dispositivo de consola conectada directamente a la consola de serie ubicado en la
NetDefend Firewall. Se puede acceder a través de la consola después de la NetDefend Firewall está encendido y antes de NetDefendOS esté
totalmente activado.
Después de encender el NetDefend Firewall, hay un segundo intervalo de 3 antes de NetDefendOS se pone en marcha y en ese tiempo el mensaje Pulse
cualquier tecla para abortar y menú de arranque de carga se visualiza como se muestra
50
2.1.7. El menú de la consola de arranque Capítulo 2. Gestión y Mantenimiento
abajo:
Si se pulsa cualquier tecla de la mesa durante estos 3 segundos y luego hace una pausa de inicio y la NetDefendOS
menú de arranque de la consola se visualiza.
Opciones de menú de arranque iniciales sin un conjunto contraseña
Cuando NetDefendOS se inicia por primera vez sin la contraseña de la consola fija para acceso a la consola a continuación se muestra el conjunto
completo de opciones de menú de arranque, como se muestra a continuación:
Las opciones disponibles en el menú de arranque son:
1. iniciar cortafuegos
Esto inicia la puesta en marcha completa del software NetDefendOS en el NetDefend Firewall.
2. La unidad vuelve a los ajustes de fábrica
Esta opción restaurará el hardware a su estado inicial de fábrica. Las operaciones que se realizan si se selecciona esta opción son
los siguientes:
• Eliminar la seguridad de la consola para que no haya contraseña de la consola.
• Restaurar NetDefendOS predeterminados ejecutables junto con la configuración predeterminada.
3. Revertir a la configuración predeterminada
Esto sólo se restablecerá la configuración a ser el, archivo de configuración por defecto NetDefendOS originales. Otras opciones, como la
seguridad de la consola, no se verán afectados.
4. Configurar contraseña de la consola
Establecer una contraseña para el acceso a la consola. Hasta que se establece una contraseña, cualquier persona puede utilizar la consola
para seleccionar configuración de la contraseña tan pronto como sea posible se recomienda. Una vez configurada, la consola le pedirá la
contraseña antes de permitir el acceso a cualquiera el menú de inicio o la interfaz de línea de comandos (CLI).
Opciones iniciales con una contraseña de de consola
Si una contraseña de la consola se establece a continuación, las opciones iniciales que aparecen cuando NetDefendOS carga se interrumpe con una
pulsación de tecla se muestra a continuación.
51
2.1.8. Configuración avanzada de gestión Capítulo 2. Gestión y Mantenimiento
los 1. cortafuegos de inicio opción de re-continúa el proceso de inicio NetDefendOS interrumpido. Si el 2. Inicio de sesión la opción elegida, se debe
introducir la contraseña de la consola y se entra en el menú de arranque completo descrito anteriormente.
Eliminación de la contraseña de la consola
Una vez que la contraseña de la consola se establece que se puede eliminar mediante la selección de la Configurar contraseña de la consola opción en
el menú de inicio y entrar nada como la contraseña y simplemente presionando el Entrar clave para el indicador.
La contraseña de la consola es sólo para la consola
La contraseña establecida para la consola no está conectada a las combinaciones de nombre de usuario / contraseña de gestión utilizados para el
acceso de administrador a través de un navegador web. Es válido sólo para acceso a la consola.
2.1.8. Configuración avanzada de gestión

Bajo la Gestión remota sección de la Interfaz Web una serie de ajustes avanzados se puede encontrar. Estos son:
SSH Antes de Reglas
Habilitar el tráfico SSH al servidor de seguridad, independientemente de Reglas IP configuradas.
Defecto: Activado
WebUI Antes de Reglas
Habilitar HTTP (S) el tráfico al servidor de seguridad, independientemente de Reglas IP configuradas.
Defecto: Activado
Tiempo de espera de consola local
Número de segundos de inactividad hasta que el usuario consola local se registra de forma automática.
Defecto: 900
Tiempo de espera de la validación
Especifica la cantidad de segundos de espera para que el administrador iniciar sesión antes de volver a la configuración anterior.
Defecto: 30
puerto HTTP WebUI
52
2.1.9. Trabajar con Configuraciones Capítulo 2. Gestión y Mantenimiento
Especifica el puerto HTTP para la interfaz web.
Defecto: 80
WebUI puerto HTTPS
Especifica el puerto HTTP (S) para la Interfaz Web.
Defecto: 443
Certificado HTTPS
Especifica el certificado a utilizar para el tráfico HTTPS. Sólo los certificados RSA son compatibles.
Defecto: HTTPS
2.1.9. Trabajar con Configuraciones
Objetos de configuración
La configuración del sistema se construye por Objetos de configuración, donde cada objeto representa un elemento configurable de ningún tipo.
Ejemplos de objetos de configuración son entradas de enrutamiento de mesa, las entradas de la libreta de direcciones, las definiciones de servicio,
reglas de IP y así sucesivamente. Cada objeto de configuración tiene un número de propiedades que constituyen los valores del objeto.
Tipos de objetos
Un objeto de configuración tiene un tipo bien definido. El tipo define las propiedades que están disponibles para el objeto de
configuración, así como las restricciones para esas propiedades. Por ejemplo, la IP4Address
tipo se utiliza para todos los objetos de configuración que representan una dirección IPv4 nombrado.
Organización de objetos
En la interfaz web de configuración de los objetos se organizan en una estructura de árbol basado en el tipo de objeto.
En la CLI, tipos de objetos de configuración similares se agrupan juntos en una categoría. Estas categorías son diferentes de la estructura
utilizada en la Interfaz Web para permitir un acceso rápido a los objetos de configuración de la CLI. Los tipos IP4Address, IP4Group y
direccionethernet son, por ejemplo, agrupadas en una categoría denominada Dirección, ya que todos ellos representan diferentes direcciones. En
consecuencia, los objetos Ethernet VLAN y se agrupan en una categoría denominada Interfaz, como lo son todos los objetos de la interfaz. Las
categorías tienen en realidad ningún impacto en la configuración del sistema; que se proporcionan simplemente como un medio para simplificar
la administración.
Los siguientes ejemplos muestran cómo manipular objetos.
Ejemplo 2.3. Lista de objetos de configuración
Para averiguar qué existen objetos de configuración, puede recuperar una lista de los objetos. Este ejemplo muestra cómo enumerar todos los objetos de servicio.
GW-mundo: /> Concursos Servicios
Se mostrará una lista de todos los servicios, agrupados por su respectivo tipo.
53
Interfaz web
1. Ir a: Objetos> Servicios
2. Se presentará la página web una lista de todos los servicios. Una lista
contiene los siguientes elementos básicos:
• Añadir Botón - Muestra un menú desplegable al hacer clic. El menú mostrará una lista de todos los tipos de elementos de configuración que se pueden agregar a la lista.
• cabecera - La fila de encabezado muestra los títulos de las columnas de la lista. Las diminutas imágenes flecha situada junto a cada título se pueden utilizar para
clasificar la lista según esa columna.
• filas - Cada fila de la lista corresponde a un elemento de configuración. Por lo general, cada fila comienza con el nombre del objeto (si el
elemento tiene un nombre), seguido por los valores de las columnas de la lista. Una sola fila de la lista se puede seleccionar haciendo clic en la fila
en un lugar donde no hay ningún hipervínculo. El color de fondo de la fila se vuelve azul oscuro. Haga clic en la fila se mostrará un menú que le da
la opción de editar o eliminar el objeto, así como modificar el orden de los objetos.
Ejemplo 2.4. Viendo un objeto de configuración
La operación más simple en un objeto de configuración es para mostrar su contenido, en otras palabras, los valores de las propiedades del objeto. Este
ejemplo muestra cómo mostrar el contenido de un objeto de configuración que representa la telnet
Servicio.
GW-mundo: /> mostrar ServiceTCPUDP servicio telnet
El valor de la propiedad
- - - - - - - - - - - - - - - - - - - - - - - -
Nombre: telnet
DestinationPorts: 23
SourcePorts TCP:: Tipo
0-65535
SYNRelay: No
PassICMPReturn: No
ALG: (ninguno)
MaxSessions: 1000
Comentarios: Telnet
La columna Propiedad enumera los nombres de todas las propiedades de la clase ServiceTCPUDP y la columna Valor muestra los valores de propiedad
correspondientes.
Interfaz web
2. Haga clic en la telnet hipervínculo en la lista
3. Se presentará una página web que muestra el servicio telnet
Nota
Cuando se accede a través de la CLI objeto se puede omitir el nombre de la categoría y sólo tiene que utilizar el nombre del
tipo. El comando CLI en el ejemplo anterior, por ejemplo, podría simplificarse a:
GW-mundo: /> Mostrar ServiceTCPUDP telnet
54
Ejemplo 2.5. Edición de un objeto de configuración
Cuando se cambia el comportamiento de NetDefendOS, lo más probable es necesario modificar uno o varios objetos de configuración. Este ejemplo muestra
cómo editar el comentarios propiedad de la telnet Servicio.
GW-mundo: /> Conjunto de servicios ServiceTCPUDP telnet

Comentarios = "Comentario Modificado"
Mostrar de nuevo el objeto de verificar el nuevo valor de la propiedad:
GW-mundo: /> mostrar ServiceTCPUDP servicio telnet
- - - - - - - - - - - - - - - - - - - - - - - -
Nombre: telnet
DestinationPorts: 23
SourcePorts TCP:: Tipo
0-65535
SYNRelay: No
PassICMPReturn: No
ALG: (ninguno)
MaxSessions: 1000
Comentarios: Comentario Modificado
Interfaz web
2. Haga clic en la telnet hipervínculo en la lista
3. En el comentarios cuadro de texto, un comentario adecuado
Verificar que el comentario se ha actualizado en la lista.
Importante: Los cambios de configuración deben ser activados
Los cambios en un objeto de configuración no se pueden aplicar a un sistema en funcionamiento hasta que se active la
configuración nuevos NetDefendOS.
Ejemplo 2.6. Adición de un objeto de configuración
Este ejemplo muestra cómo añadir un nuevo IP4Address objeto, aquí la creación de la dirección IPv4 192.168.10.10, a la libreta de direcciones.
GW-mundo: /> Añadir dirección IP4Address myhost Dirección = 192.168.10.10
Mostrar el nuevo objeto:
GW-mundo: /> Ver dirección IP4Address myhost
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre: myhost Dirección:
192.168.10.10 UserAuthGroups: (ninguno)
NoDefinedCredentials: No
Comentarios: (ninguno)
55
Interfaz web
1. Ir a: Objetos> Libreta de direcciones
2. Haga clic en la Añadir botón
3. En el menú desplegable que aparece, seleccione Dirección IP
4. En el Nombre cuadro de texto, introduzca Mi anfitrión
5. Introducir en el 192.168.10.10 Dirección IP caja de texto
7. Verificar que el nuevo objeto de dirección IP4 se ha añadido a la lista
Ejemplo 2.7. La eliminación de un objeto de configuración
Este ejemplo muestra cómo eliminar el objeto IP4Address recién agregado.
GW-mundo: /> Eliminar dirección IP4Address myhost
Interfaz web
2. Haga clic en la línea que contiene el Mi anfitrión objeto
3. En el menú desplegable que aparece, seleccione Borrar
La fila se representa con una línea de penetración lo que indica que el objeto está marcado para eliminación.
Ejemplo 2.8. Restauración de un objeto de configuración
Un objeto eliminado siempre puede ser restaurada hasta que la configuración se ha activado y comprometido. Este ejemplo muestra cómo restaurar el
objeto IP4Address borrado se muestra en el ejemplo anterior.
GW-mundo: /> recuperar Dirección IP4Address myhost
Interfaz web
2. Haga clic en la línea que contiene el Mi anfitrión objeto
3. En el menú desplegable que aparece, seleccione Deshacer eliminación
Añadir objetos modificados
Después de modificar varios objetos de configuración, es posible que desee ver una lista de los objetos que se han cambiado, añadir y eliminar
desde la última confirmación.
56
Ejemplo 2.9. Lista de objetos de configuración modificados
Este ejemplo muestra cómo enumerar los objetos de configuración que han sido modificados.
GW-mundo: /> Mostrar -cambios
Tipo Objeto
- - - - - - - - - - - - - - - - - - -
- IP4Address Mi anfitrión
* telnet ServiceTCPUDP
Un signo "+" delante de la fila indica que el objeto se ha añadido. Un carácter "*" indica que el objeto ha sido modificado. Un carácter "-" indica
que el objeto se ha marcado para su eliminación.
Interfaz web
1. Ir a: Los cambios de configuración> Ver en el menú de la barra Una lista de
cambios se visualiza
Activación y confirmación de una configuración
Después se han hecho cambios en una configuración, la configuración tiene que ser activado para que esos cambios tienen un
impacto en el sistema en funcionamiento. Durante el proceso de activación, la nueva configuración propuesta se valida y
NetDefendOS intentará inicializar subsistemas afectados con los nuevos datos de configuración.
Importante: La comisión de IPsec Cambios
El administrador debe tener en cuenta que si se cometen todos los cambios que afectan a las configuraciones de túneles
IPsec en vivo, a continuación, se dará por terminado esas conexiones en directo túneles y deben ser restablecidos.
Si se valida la nueva configuración, NetDefendOS esperará un corto período de tiempo (30 segundos por defecto) durante el cual se
debe volver a establecer una conexión con el administrador. Como se ha descrito anteriormente, si la configuración se activa a través de
la CLI con el activar a continuación, un comando cometer
comando debe emitirse dentro de ese período. Si una pérdida de conexión no pudo ser re-establecido o si el
cometer comando no se emitió, a continuación, NetDefendOS volverá a utilizar la configuración anterior. Este es un mecanismo a
prueba de fallos y, entre otras cosas, puede ayudar a prevenir un administrador remoto de bloqueo a sí mismos.
Ejemplo 2.10. Activación y confirmación de una configuración
Este ejemplo muestra cómo activar y cometer una nueva configuración.
GW-mundo: /> activar
El sistema validará y comenzar a usar la nueva configuración. Cuando el símbolo del sistema se muestra de nuevo:
GW-mundo: /> cometer
La nueva configuración se ha comprometido.
Interfaz web
1. Ir a: Configuración> Guardar y activar en la barra de menú
57
2. Haga clic DE ACUERDO para confirmar
El navegador web intentará automáticamente conectarse de nuevo a la interfaz web después de 10 segundos. Si la conexión se realiza correctamente, esto es interpretado
por NetDefendOS como la confirmación de que la gestión remota todavía está trabajando. La nueva configuración es entonces comprometido automáticamente.
Nota: Los cambios deben estar comprometidos
La configuración debe estar comprometido antes de guardar los cambios. Todos los cambios en una configuración pueden ser
ignorados simplemente por no haber cometido una configuración cambiada.
58
2.2. Eventos y registro Capítulo 2. Gestión y Mantenimiento
2.2. Eventos y registro

La capacidad de registrar y analizar las actividades del sistema es una característica esencial de NetDefendOS. Registro no sólo permite el monitoreo
del estado del sistema y la salud, sino que también permite la auditoría del uso de la red y ayuda en la resolución de problemas.
Mensaje de registro Generación
NetDefendOS define un gran número de diferentes los mensajes de registro de eventos, que se generan como resultado de los eventos del sistema
correspondiente. Ejemplos de este tipo de eventos son el establecimiento y desmontaje de las conexiones, la recepción de paquetes mal formados,
así como la caída de tráfico de acuerdo con las políticas de filtrado.
Cada vez que se genera un mensaje de evento, puede ser filtrada y se distribuye a todo configurado Receptores de eventos. receptores de eventos
múltiples se pueden configurar por el administrador, con cada receptor de eventos que tiene su propio filtro de eventos personalizable.
2.2.2. Mensajes de registro
Tipos de eventos
NetDefendOS define varios cientos de eventos para los cuales se pueden generar mensajes de registro. Los eventos van desde alto nivel, eventos
de usuario personalizables, abajo a bajo nivel y los eventos del sistema obligatorias.
los conn_open caso, por ejemplo, es un caso típico de alto nivel que genera un mensaje de evento cada vez que se establece una
nueva conexión, dado que la regla de política de seguridad coincidente ha definido que los mensajes de eventos se deben generar para
esa conexión.
Un ejemplo de un evento de bajo nivel sería el startup_normal evento, que genera un mensaje de evento obligatorio tan pronto como
se inicie el sistema.
Formato de los mensajes
Todos los mensajes de eventos tienen un formato común, con atributos que incluyen la categoría, la gravedad y las acciones recomendadas.
Estos atributos permiten una fácil filtrado de los mensajes, ya sea dentro de NetDefendOS antes de enviar a un receptor de eventos, o como
parte del análisis después de la tala y el almacenamiento de mensajes en un servidor de registro externo.
Una lista de todos los mensajes de eventos se puede encontrar en las NetDefendOS Entrar Guía de referencia. Esa guía también describe el diseño
de mensajes de eventos, el significado de los niveles de gravedad y los diversos atributos disponibles.
la gravedad del suceso
El valor por defecto gravedad de cada registro de sucesos está predefinido y que puede ser, en orden de mayor a la gravedad más bajo, uno de:
• Emergencia
• Alerta
• Crítico
• Error
• Advertencia
• darse cuenta
• información
59
2.2.3. La creación de Receptores Log Capítulo 2. Gestión y Mantenimiento
• Depurar
Por defecto, NetDefendOS envía todos los mensajes de nivel información y por encima de cualquier servidor de registro configurado pero el nivel para
el envío puede ser cambiado por el administrador. los Depurar la gravedad debe usarse únicamente para la solución de problemas del sistema y sólo
se debe utilizar si es necesario. Todos los mensajes de eventos de registro de todos los niveles de gravedad se enumeran en la separada NetDefendOS
Entrar Guía de referencia.
2.2.3. La creación de Receptores Log
Para distribuir y registrar los mensajes de eventos generados por NetDefendOS, es necesario definir uno o más receptores de eventos que
especifican qué eventos para capturar y dónde para enviarlos.
NetDefendOS pueden distribuir mensajes de eventos de diferentes tipos de receptores y éstos están habilitados mediante la creación de cualquiera de
los siguientes receptor de registro objetos.
• MemoryLogReceiver
NetDefendOS tiene una única construida en el mecanismo de registro también conocido como el MEMlog. Esto conserva todos los mensajes de
registro de eventos en la memoria y permite la visualización directa de los últimos mensajes de registro a través de la interfaz web.
Esto está activada por defecto, pero se puede desactivar.
este receptor tipo se discute más adelante en Sección 2.2.4, “Inicio de sesión de
MemoryLogReceiver”.
• receptor syslog
syslog es el estándar de facto para el registro de eventos de los dispositivos de red. Si otros dispositivos de red ya están conectando a los
servidores de registro del sistema, utilizando syslog con mensajes NetDefendOS puede simplificar la administración general.
Este tipo de receptor se discute más adelante en Sección 2.2.5, “Registro de los ejércitos Syslog”.
2.2.4. Registrar en MemoryLogReceiver

los MemoryLogReceiver ( también conocido como MEMlog) es una característica opcional que NetDefendOS permite el registro directo a la memoria
en el servidor de seguridad NetDefend en lugar de enviar mensajes a un servidor externo. Estos mensajes pueden ser examinados a través de las
interfaces de usuario estándar.
Memoria de registro está limitado
MEMlog de memoria disponible para los nuevos mensajes se limita a un tamaño fijo predeterminado. Cuando la memoria asignada se llena
de mensajes de registro, los mensajes más antiguos se descartan para hacer espacio para los mensajes entrantes nuevos. Esto significa
que MEMlog tiene un número limitado de mensajes desde la última inicialización del sistema y una vez que la memoria intermedia se llena
sólo será la más reciente. Esto significa que cuando NetDefendOS es la creación de un gran número de mensajes en los sistemas con, por
ejemplo, un gran número de túneles VPN, la información MEMlog se vuelve menos significativa ya que refleja un período de tiempo limitado
reciente.
Deshabilitar el registro de memoria
los MemoryLogReceiver objeto existe por defecto en NetDefendOS. Si no se requiere este receptor, entonces se puede
eliminar y este tipo de registro se desconecta.
2.2.5. Ingreso a los ejércitos Syslog
60
2.2.5. Ingreso a los ejércitos Syslog Capítulo 2. Gestión y Mantenimiento
Visión de conjunto
syslog es un protocolo estandarizado para el envío de datos de registro, aunque no existe un formato estandarizado para los mensajes
de registro en sí. El formato utilizado por NetDefendOS se adapta bien a tratamiento automatizado, filtrado y búsqueda.
Aunque el formato exacto de cada entrada de registro depende de cómo funciona un receptor Syslog, la mayoría son muy parecidos. La forma en que
se leen registros también depende de cómo funciona el receptor syslog. demonios de registro del sistema en servidores UNIX suele conectarse a
archivos de texto, línea por línea.
Formato de los mensajes
La mayoría de los receptores Syslog prefacio cada entrada de registro con una marca de tiempo y la dirección IP de la máquina que envía los datos de
registro:
5 Feb firewall.ourcompany.com el año 2000 09:45:23
Esto es seguido por el texto del remitente ha elegido enviar.
5 Feb el año 2000 09:45:23 firewall.ourcompany.com EFW: DROP:
El texto subsiguiente depende del evento que ha ocurrido.
Con el fin de facilitar el procesamiento automatizado de todos los mensajes, NetDefendOS escribe todos los datos de registro a una sola línea de texto.
Todos los datos siguientes del texto inicial se presenta en el formato nombre = valor. Esto permite a los filtros automáticos para encontrar fácilmente los
valores que están buscando sin asumir que una parte específica de los datos está en una ubicación específica en la entrada de registro.
Nota: Los campos Prio y la severidad
los prio = campo en los mensajes Syslog contiene la misma información que la Gravedad campo para los mensajes de
D-Link Logger. Sin embargo, el orden de la numeración se invierte.
Ejemplo 2.11. Habilitar el registro a un host de Syslog
Para habilitar el registro de todos los eventos con una gravedad mayor que o igual a la Guía para un servidor Syslog con la dirección IP
195.11.22.55, siga los pasos que se indican a continuación:
GW-mundo: /> añadir LogReceiverSyslog my_syslog Dirección IP = 195.11.22.55
Interfaz web
1. Ir a: Sistema> Registro y receptores de eventos> Añadir> receptor Syslog
2. Especificar un nombre adecuado para el receptor de eventos, por ejemplo my_syslog
3. Introduzca 195.11.22.55 como el Dirección IP
4. Seleccionar una instalación adecuada de la Instalaciones lista - el nombre de la instalación se utiliza comúnmente como un parámetro de filtro en
la mayoría de los demonios de registro del sistema.
El sistema será ahora registrando todos los eventos con una gravedad mayor que o igual a la Guía para el servidor syslog en
195.11.22.55.
61
2.2.6. Filtrar gravedad y Mensaje Capítulo 2. Gestión y Mantenimiento
Excepciones
Nota: la configuración del servidor Syslog
El servidor syslog puede tener que ser configurado para recibir mensajes de registro de NetDefendOS. Por favor,
consulte la documentación de servidores Syslog específicos con el fin de configurar correctamente.
2.2.6. Filtrar gravedad y Mensaje Excepciones

Para cada receptor de registro es posible imponer reglas en lo que ingrese categorías de mensajes y niveles de gravedad se envían a ese receptor.
También puede bajar o subir la gravedad de los acontecimientos específicos.
El Filtro de Gravedad
los Filtro de Gravedad es un medio de especificar qué niveles de gravedad, en su caso, se envían al receptor. Por defecto, todos los mensajes
excepto log Depurar se envían. Esto puede ser aún más restringido así, por ejemplo, sólo
Alerta de emergencia y Crítico los mensajes se envían.
Entrar excepciones de mensajes
Después se aplica el filtro gravedad, cualquier Entrar excepciones de mensajes se aplican a los mensajes generados. No puede haber más de una
excepción de mensajes para un receptor de registro y cada uno se compone de los siguientes:
• Categoría e ID
Esto especifica los mensajes de registro que se verán afectados por la excepción. Si no se especifica el número de identificación del mensaje de
registro a continuación, todos los mensajes de registro para la categoría especificada se incluirán.
El ID de mensajes de registro específicos se puede encontrar en el Entrar Guía de referencia.
• Tipo
Este puede ser uno de los siguientes:
yo. Excluir - Esto excluirá el mensaje de registro especificado (s), incluso si se les permite por el filtro de la gravedad.
ii. incluir - Esto incluirá el mensaje de registro especificado (s), incluso si están excluidos por el filtro de la gravedad.
además, el Gravedad del mensaje (s) incluido puede ser especificado. Si esto se establece en
Defecto se utiliza la gravedad originales. De lo contrario, la gravedad se establece en el valor especificado. Esto proporciona la capacidad
de subir (o bajar) la gravedad de los mensajes de registro específicos.
2.2.7. Las trampas SNMP
El protocolo SNMP
Protocolo Simple de Manejo de Red ( SNMP) es un medio para la comunicación entre un Sistema de Gestión de Red
(NMS) y un dispositivo gestionado. SNMP define 3 tipos de mensajes: una Leer
de comandos para un NMS para examinar un dispositivo gestionado, una Escribir comando para modificar el estado de un dispositivo gestionado y una Trampa
que es utilizado por los dispositivos gestionados para enviar mensajes de forma asíncrona a un NMS sobre un cambio de estado.
Las trampas SNMP en NetDefendOS
62
2.2.8. Configuración de registro avanzada Capítulo 2. Gestión y Mantenimiento
NetDefendOS lleva el concepto de un SNMP Trap un paso más allá al permitir alguna mensaje de evento que se enviará como una trampa
SNMP. Esto significa que el administrador puede configurar SNMP notificación de captura de eventos que se consideran importantes en el
funcionamiento de una red.
El archivo DFLNNN-TRAP.MIB ( dónde NNN indica el número de modelo del firewall) es proporcionado por D-Link y define los
objetos SNMP y tipos de datos que se utilizan para describir un SNMP Trap recibió de NetDefendOS.
Nota
Hay un archivo MIB diferente para cada modelo de NetDefend Firewall. Asegúrese de que se utiliza el archivo correcto.
Para cada modelo NetDefend Firewall no es un objeto genérico llamado trampa DLNNNosGenericTrap,
que se utiliza para todas las trampas (donde NNN indica el número de modelo). Este objeto incluye los siguientes parámetros:
• sistema - El sistema de generación de la trampa
• Gravedad - Gravedad del mensaje
• Categoría - Lo subsistema NetDefendOS informa que el problema
• CARNÉ DE IDENTIDAD - identificación única dentro de la categoría
• Descripción - Una breve descripción textual
• acción - Qué acción tomar es NetDefendOS
Esta información puede ser una referencia cruzada a la Entrar Guía de referencia.
Nota: Las normas de trampas SNMP
NetDefendOS envía trampas SNMP que se basa en el estándar SNMPv2c como se define en
RFC1901, RFC1905 y RFC1906.
Ejemplo 2.12. El envío de mensajes de alerta SNMP a un receptor de capturas SNMP
Para habilitar la generación de trampas SNMP para todos los eventos con una gravedad mayor que o igual a Alert a una trampa SNMP receptor con una dirección IP de
195.11.22.55, siga los pasos que se indican a continuación:
GW-mundo: /> añadir LogReceiver EventReceiverSNMP2c my_snmp

Dirección IP = 195.11.22.55
Interfaz web
1. Ir a: Receptores de registro de eventos> Añadir> SNMP2cEventReceiver
2. Especifique un nombre para el receptor de eventos, por ejemplo, my_snmp
4. Introduzca un SNMP cadena de comunidad si es necesario por el receptor de capturas
El sistema será ahora el envío de capturas SNMP para todos los eventos con una gravedad mayor que o igual a Alert a un receptor de trampas SNMP al
195.11.22.55.
63
2.2.8. Configuración de registro avanzada Capítulo 2. Gestión y Mantenimiento
2.2.8. Configuración de registro avanzada
Las siguientes opciones avanzadas para NetDefendOS registro de eventos están disponibles para el administrador:
Enviar Límite
Esta configuración especifica los mensajes de registro máximos que NetDefendOS enviará por segundo. Este valor no debe ser
demasiado baja ya que esto puede resultar en eventos importantes no están registrados, ni tampoco debe ser demasiado alto. Cuando se
supera el máximo, los mensajes en exceso se eliminan y no se almacenan.
El administrador debe hacer caso por caso un juicio acerca de la carga de mensajes que ingrese servidores pueden tratar. A menudo, esto puede
depender de la plataforma de hardware de servidor que se utiliza y si los recursos de la plataforma están siendo compartidos con otras tareas.
Defecto: 2000
Repetición de alarma de intervalo
El retraso en segundos entre las alarmas cuando se usa una alarma continua. Como se discutió en
Sección 2.4.3, “Monitorización de hardware”, los mensajes de sucesos de registro generados por monitoreo de hardware son continuas y este
ajuste se deben utilizar para limitar la frecuencia de esos mensajes.
Mínimo 0, máximo 10.000.
Defecto: 60 ( un minuto)
64
2.3. Radio de la contabilidad Capítulo 2. Gestión y Mantenimiento
2.3. Radio de la contabilidad
El enfoque de base de datos central
Dentro de un entorno de red que contiene un gran número de usuarios, es ventajoso tener una o un grupo de servidores centrales que
mantienen la información de la cuenta de usuario y son responsables de las tareas de autenticación y autorización. La base de datos
central que residen en dichos servidores dedicados contiene todas las credenciales de usuario, así como detalles de las conexiones.
Esta complejidad administración que reduce significativamente.
los La autenticación remota telefónica de servicio de usuario ( RADIUS) es una Autenticación, autorización y contabilidad ( AAA) de protocolo
ampliamente utilizado para implementar este enfoque base de datos central y es utilizado por NetDefendOS para implementar el control de usuarios.
RADIUS Arquitectura
El protocolo RADIUS se basa en una arquitectura cliente / servidor. El NetDefend Firewall actúa como el cliente del servidor RADIUS,
crear y enviar peticiones a un servidor (s) dedicado. En la terminología de RADIUS el servidor de seguridad actúa como el Network
Access Server ( NAS).
Para la autenticación de usuario, el servidor RADIUS recibe las solicitudes, verifica la información del usuario mediante la consulta de la base
de datos y devuelve o una "aceptar" o "rechazar" respuesta al cliente solicitante.
Con el estándar RFC 2866, RADIUS se amplió para manejar la entrega de la información contable y este es el estándar seguido por
NetDefendOS para la contabilidad de usuario. De esta manera, todos los beneficios de los servidores centralizados de este modo se
extendieron a la contabilidad de conexión de usuario.
El uso de RADIUS para la autenticación NetDefendOS se discute en Sección 8.2, “Configuración de la autenticación”.
2.3.2. Los mensajes RADIUS Accounting
mensaje Generación
Estadísticas, como el número de bytes enviados y recibidos, y el número de paquetes enviados y recibidos son actualizados y almacenados a lo largo
sesiones RADIUS. Todas las estadísticas se actualizan para un usuario autenticado cada vez que una conexión relacionada con un usuario
autenticado está cerrado.
Cuando una nueva sesión de cliente se inicia por un usuario establecer una nueva conexión a través del servidor de seguridad
NetDefend, NetDefendOS envía una AccountingRequest COMIENZO mensaje a un servidor RADIUS nominado, para registrar el inicio
de la nueva sesión. información de la cuenta del usuario también se entrega al servidor RADIUS. El servidor enviará de vuelta un AccountingResponse
mensaje a NetDefendOS, reconociendo que el mensaje ha sido recibido.
Cuando un usuario ya no está autenticado, por ejemplo, después de que el usuario cierra la sesión o el tiempo de la sesión expira, una AccountingRequest
DETENER mensaje es enviado por NetDefendOS que contienen las estadísticas de la sesión pertinentes. La información incluida en estas estadísticas
es configurable por el usuario. El contenido de la COMIENZO y DETENER mensajes se describen en detalle a continuación:
Parámetros mensaje de inicio
Parámetros incluidos en COMIENZO los mensajes enviados por NetDefendOS son:
• Tipo - Marcas esta AccountingRequest como indica el comienzo del servicio (START).
sesenta y cinco
2.3.2. Los mensajes RADIUS Accounting Capítulo 2. Gestión y Mantenimiento
• CARNÉ DE IDENTIDAD - Un identificador único para permitir la adaptación de un AccountingRequest con juego Acct-Status-Type a la posición
STOP.
• Nombre de usuario - El nombre de usuario del usuario autenticado.
• La dirección IP NAS - La dirección IP del servidor de seguridad NetDefend.
• NAS Puerto - El puerto de la NAS en que haya sido autenticado el usuario (esto es una interfaz física y no un puerto
TCP o UDP).
• Dirección IP del usuario - La dirección IP del usuario autenticado. Esto sólo se envía si se especifica en el servidor de autenticación.
• Cómo autenticados - ¿Cómo se ha autenticado el usuario. Esto se establece en RADIO si el usuario se autentica a través de
RADIUS, o LOCAL si el usuario se autentica a través de una base de datos de usuario local.
• Tiempo de retardo - El retardo de tiempo (en segundos) desde el paquete AccountingRequest se envió y se recibió el acuse de
recibo de autenticación. Esto puede restarse de la hora de llegada en el servidor para encontrar el tiempo aproximado del hecho
generador de este AccountingRequest. Tenga en cuenta que esto no refleja retrasos en la red. El primer intento tendrá este
parámetro se establece en 0.
• Marca de tiempo - El número de segundos desde el 1 de enero de 1970. Se utiliza para establecer una marca de tiempo cuando este paquete fue
enviado desde NetDefendOS.
Parámetros mensaje de detención
Parámetros incluidos en DETENER los mensajes enviados por NetDefendOS son:
• Tipo - Marca esta solicitud de contabilidad como indica el final de una sesión (STOP).
• CARNÉ DE IDENTIDAD - Un identificador de búsqueda de un paquete AccountingRequest enviado previamente, con Acct-Status-Type SET para
iniciar.
• Nombre de usuario - El nombre de usuario del usuario autenticado.
• La dirección IP NAS - La dirección IP del servidor de seguridad NetDefend.
• NAS Puerto - El puerto en el NAS en que haya sido autenticado el usuario. (Esta es una interfaz física y no un puerto
TCP o UDP).
• Dirección IP del usuario - La dirección IP del usuario autenticado. Esto sólo se envía si se especifica en el servidor de autenticación.
• Bytes de entrada - El número de bytes recibidos por el usuario. (*)
• Bytes de salida - El número de bytes enviados por el usuario. (*)
• Los paquetes de entrada - El número de paquetes recibidos por el usuario. (*)
• Los paquetes de salida - El número de paquetes enviados por el usuario. (*)
• Tiempo de sesión - El número de segundos que duró esta sesión. (*)
• Terminación Causa - La razón por la cual se dio por terminada la sesión.
• Cómo autenticados - ¿Cómo se ha autenticado el usuario. Esto se establece en RADIO si el usuario se autentica a través de
RADIUS, o LOCAL si el usuario se autentica a través de una base de datos de usuario local.
• Tiempo de retardo - Ver el comentario anterior sobre este parámetro.
66
2.3.3. Los mensajes de Contabilidad provisionales Capítulo 2. Gestión y Mantenimiento
• Marca de tiempo - El número de segundos desde 1970-01-01. Se utiliza para establecer una marca de tiempo cuando este paquete fue enviado
desde el servidor de seguridad NetDefend. Además, dos atributos más pueden ser enviados:
• Gigawords de entrada - Indica cuántas veces el contador de bytes de entrada ha envuelto. Esto sólo se envía si Bytes de entrada ha
envuelto, y si se envía el atributo de entrada Bytes.
• Gigawords de salida - Indica cuántas veces la salida Bytes contador ha envuelto. Esto sólo se envía si la Salida Bytes
ha envuelto, y si se envía el atributo de bytes de salida.
Consejo: El significado del asterisco después de una entrada de la lista
El símbolo asterisco (*) después de una entrada en la lista anterior indica que el envío del parámetro es opcional y
se puede configurar.
2.3.3. Los mensajes de Contabilidad provisionales
Además de COMIENZO y DETENER mensajes NetDefendOS opcionalmente pueden enviar periódicamente Los mensajes de Contabilidad
provisionales para actualizar el servidor de contabilidad con el estado actual de un usuario autenticado.
Los mensajes son instantáneas
Un mensaje de contabilidad intermedia puede ser visto como una instantánea de los recursos de red que un usuario autenticado ha utilizado
hasta un punto dado. Con esta característica, el servidor RADIUS puede realizar un seguimiento de la cantidad de bytes y paquetes de un usuario
autenticado ha enviado y recibido hasta el momento en que se envió el último mensaje.
Un mensaje de contabilidad provisional contiene los valores actuales de las estadísticas para un usuario autenticado. Contiene más o menos los
mismos parámetros que se encuentran en una solicitud de contabilidad DETENER mensaje, excepto que el Acct-Terminate-Cause no se incluye
(como el usuario no se ha desconectado todavía).
Frecuencia de mensajes
La frecuencia de los mensajes de cuentas provisionales se puede especificar en el servidor de autenticación o en NetDefendOS.
Cambio de la configuración en NetDefendOS anulará la configuración en el servidor de contabilidad.
2.3.4. Activación de cuentas RADIUS

Para activar la contabilidad RADIUS una serie de pasos a seguir es:
• El servidor RADIUS de contabilidad se debe configurar.
• Un objeto de autenticación de usuario debe tener una regla asociada a ella, donde se especifica un servidor RADIUS.
• servidor RADIUS Ther sí debe estar configurado correctamente
Importante: La identificación del vendedor debe ser RADIUS 5089
Al configurar el servidor RADIUS en sí para comunicarse con NetDefendOS, es necesario introducir un valor
para el ID de proveedor ( vid). Este valor debe especificarse como
5089.
67
2.3.5. RADIUS Seguridad Contabilidad Capítulo 2. Gestión y Mantenimiento
Algunos puntos importantes deben tenerse en cuenta acerca de la activación:
• Radio de la contabilidad no funcionará cuando una conexión está sujeta a una FwdFast gobernar en el conjunto de reglas IP.
• El mismo servidor RADIUS no tiene que manejar tanto la autenticación y contabilidad; un servidor puede ser responsable de la
autenticación mientras que otro es responsable de las tareas de contabilidad.
• Los servidores RADIUS múltiples se pueden configurar en NetDefendOS para tratar el caso cuando el servidor primario es
inalcanzable.
2.3.5. RADIUS Seguridad Contabilidad

La comunicación entre NetDefendOS y cualquier servidor de contabilidad RADIUS está protegido por el uso de un secreto
compartido. Este secreto nunca se envía por la red, pero en cambio un 16 bytes de largo
código autenticador se calcula utilizando una función hash MD5 de una manera y esto se utiliza para autenticar los mensajes de contabilidad.
El secreto compartido entre mayúsculas y minúsculas, puede contener hasta 100 caracteres, y se debe escribir exactamente lo mismo para
NetDefendOS y para el servidor RADIUS.
Los mensajes se envían utilizando el protocolo UDP y el número de puerto predeterminado utilizado se 1813 aunque esto es configurable por el
usuario.
2.3.6. Radio de la contabilidad y de alta disponibilidad
En un clúster HA, información de contabilidad se sincroniza entre los Firewalls NetDefend activos y pasivos. Esto significa que la
información contable se actualiza automáticamente en ambos miembros del clúster cada vez que una conexión se cierra.
Contabilidad Eventos especiales
Dos hechos contables especiales también son utilizados por la unidad activa para mantener la unidad pasiva sincronizado:
• Un AccountingStart evento es enviado al miembro inactivo en una configuración de HA cada vez que una respuesta ha sido recibida desde el
servidor de contabilidad. Esto especifica que la información contable debe ser almacenado para un usuario autenticado específica.
• Un problema con la contabilidad de la sincronización de información podría ocurrir si una unidad activa tiene un usuario autenticado para
los que los tiempos de conexión asociados fuera antes de que se sincroniza en la unidad inactiva.
Para solucionar este problema, un especial AccountingUpdate evento se envía a la unidad pasiva en un tiempo de espera y esto
contiene la información contable más reciente para las conexiones.
2.3.7. Manejo de servidores RADIUS que no responden
Puede ocurrir que un cliente envía un RADIIUS AccountingRequest COMIENZO paquete que un servidor RADIUS no responde a. Si esto
sucede, NetDefendOS se volverá a enviar la petición después del número especificado por el usuario de segundos. Esto significa, sin
embargo, que un usuario todavía habrá acceso autenticado mientras NetDefendOS está intentando contactar con el servidor de
contabilidad.
Tres intentos de conexión se hacen las
Sólo después de NetDefendOS ha hecho tres intentos de alcanzar el servidor va a la conclusión de que el servidor de contabilidad es
inalcanzable. El administrador puede utilizar las avanzadas de configuración de NetDefendOS
68
2.3.8. Contabilidad y apagados del Capítulo 2. Gestión y Mantenimiento
sistema
Permitir que en caso de error para determinar cómo se maneja esta situación.
Si el Permitir que en caso de error configuración está habilitada, la sesión de un usuario autenticado ya no se verá afectado. Si no está
activado, cualquier usuario afectado será automáticamente cerrará la sesión, incluso si ya se han autenticado.
2.3.8. Contabilidad y apagados del sistema

En el caso de que el cliente por alguna razón no puede enviar un RADIUS AccountingRequest DETENER paquete, el servidor de contabilidad
nunca será capaz de actualizar sus estadísticas de usuarios, pero lo más probable es creer que la sesión está todavía activo. Esta situación debe
ser evitado.
En el caso de que el administrador del servidor de seguridad NetDefend emite un comando de apagado mientras que los usuarios autenticados
están todavía en línea, la AccountingRequest DETENER potencialmente no enviará paquetes. Para evitar esto, la configuración avanzada Cerrar
sesión en el apagado Permite al administrador especificar explícitamente que NetDefendOS deben enviar primero una DETENER mensaje para
los usuarios autenticados a cualquier servidor RADIUS configurado antes de comenzar con el apagado.
2.3.9. Limitaciones con NAT

El módulo de autenticación de usuario en NetDefendOS se basa en la dirección IP del usuario. Por lo tanto, los problemas pueden ocurrir con los
usuarios que tienen la misma dirección IP.
Esto puede suceder, por ejemplo, cuando varios usuarios están detrás de la misma red utilizando NAT para permitir el acceso a la
red a través de una única dirección IP externa. Esto significa que tan pronto como un usuario se autentica, el tráfico que viene a
través de esa dirección IP NAT podría asumirse que puede venir desde que un usuario autenticado a pesar de que puede venir de
otros usuarios en la misma red. Por lo tanto, NetDefendOS Radio de la contabilidad se reúnen estadísticas de todos los usuarios de
la red juntos como si fueran un solo usuario en lugar de individuos.
2.3.10. Configuración avanzada de RADIUS
Las siguientes opciones avanzadas están disponibles con cuentas RADIUS:
Permitir que en caso de error
Si no hay respuesta por parte de una contabilidad RADIUS configurado el servidor al enviar los datos de contabilidad para un usuario que ya
ha sido autenticado, a continuación, habilitar esta configuración significa que el usuario continuará estar conectado.
La desactivación del ajuste significará que el usuario se registra si el servidor RADIUS de contabilidad no puede ser alcanzado a
pesar de que el usuario ha sido autenticado previamente.
Defecto: Activado
Cerrar sesión en el apagado
Si hay un cierre ordenado de la NetDefend Firewall por el administrador, entonces NetDefendOS retrasará la desconexión hasta que se
haya enviado la contabilidad RADIUS DETENER mensajes a cualquier servidor RADIUS configurado.
Si esta opción no está activada, NetDefendOS se apagará a pesar de que puede haber sesiones de contabilidad RADIUS que
no se han eliminado correctamente. Esto podría llevar a la situación de que el servidor RADIUS asumirá los usuarios todavía
se registran en sus sesiones a pesar de que se han terminado.
Defecto: Activado
69
2.3.10. Configuración avanzada de RADIUS Capítulo 2. Gestión y Mantenimiento
Contextos Radio máximo
El número máximo de contextos permitidos con RADIUS. Esto se aplica a RADIUS utilizar tanto con la contabilidad y la
autenticación.
Defecto: 1024
Ejemplo 2.13. Configuración del servidor RADIUS Contabilidad
Este ejemplo muestra configuración de un servidor RADIUS local conocido como radio-contable con la dirección IP
123.04.03.01 utilizando el puerto 1813.
Interfaz web
1. Ir a: Autenticación de usuario> Servidores de Contabilidad> Añadir> servidor Radius
2. Ahora ingrese:
• Nombre: radio-contable
• Dirección IP: 123.04.03.01
• Puerto: 1813
• Tiempo de espera de volver a intentar: 2
• Secreto compartido: Ingrese una contraseña
• Confirmar secreto: vuelva a introducir la contraseña
• Tabla de ruteo: principal
70
2.4. Supervisión Capítulo 2. Gestión y Mantenimiento
2.4. Supervisión
El rendimiento en tiempo real de NetDefendOS se puede controlar en un número de maneras. Son:
• Los NetDefendOS enlace Observatorio.
• Monitoreo a través de un cliente SNMP.
• monitoreo de hardware para los modelos de hardware específicos.
2.4.1. El Monitor de Enlace
Visión de conjunto
los enlace monitor es una característica NetDefendOS que permite la monitorización de la conectividad a una o más direcciones IP
externa a la NetDefend Firewall. Este seguimiento se realiza mediante solicitudes ICMP estándar "ping" y permite NetDefendOS para
evaluar la disponibilidad de las vías de la red a estas direcciones IP. El administrador puede seleccionar una de una serie de acciones
que se produzca debería aparecer a ser roto por alguna razón una vía.
Nota: Enlace de supervisión no está disponible en todos los modelos NetDefend
La función de supervisión de enlace sólo está disponible con el D-Link DFL-NetDefend 1600,
1660, 2500, 2560 y 2560G.
Seguir el enlace de acciones
Si suficientes respuestas no se reciben a Monitor de Enlace de votación, NetDefendOS hace la suposición de que el enlace común a los que la
dirección IP es hacia abajo y luego puede iniciar una de las 3 acciones configurables:
• A NetDefendOS reconfiguran.
• Una conmutación por error de clúster de alta disponibilidad (HA).
• Un clúster de conmutación HA seguido de un reconfigure NetDefendOS.
El Monitor de Enlace Reconfigurar es diferente
El reconfigure que puede ser desencadenada por el Monitor de Enlace tiene un aspecto especial para ella. El reconfigure Enlace Monitor tiene la acción
adicional de reiniciar todas las interfaces. Esto significa que si hay un problema relacionado con una tarjeta de red Ethernet en particular, tal vez debido
a una sobrecarga, entonces esto se puede borrar la inicialización de interfaz. Esto da como resultado solamente un retraso momentáneo en el
rendimiento, mientras que la reconfiguración se lleva a cabo.
Usos Seguir el enlace
El Monitor de Enlace es útil en dos escenarios distintos:
• Un dispositivo externo se desarrolla un problema ocasional con su enlace a la NetDefend Firewall y el enlace físico necesita ser
renegociado. Tales problemas pueden ocurrir a veces con algunos equipos más antiguos, tales como ADSL Módems. Para esta
acción escenario 1. Reconfigurar debe ser seleccionado.
A reconfigure significa que la configuración NetDefendOS se volverá a cargar. Todas las conexiones y los estados se guardan para la
reconfiguración pero volver a cargar significa que todo el tráfico se suspende durante un corto
71
2.4.1. El Monitor de Enlace Capítulo 2. Gestión y Mantenimiento
período y todos los enlaces de interconexión con los dispositivos externos se vuelven a negociar.
• En una configuración de clúster de alta disponibilidad, el enlace desde el maestro a la Internet externa (u otra parte de una red) puede ser
monitoreado continuamente por lo que si el enlace falla, el esclavo se hará cargo de (suponiendo que el esclavo tiene una conexión física
diferente a la dirección supervisado). La acción elegida para HA debe ser 2. conmutación por error o 3. conmutación por error y
reconfigurar.
Si la primera opción de acción 1. Reconfigurar se elige en un clúster de alta disponibilidad, entonces el reconfigure también causará una
conmutación por error, ya que suspenderá temporalmente la operación del maestro, mientras que la reconfiguración se lleva a cabo y el
esclavo se hará cargo cuando detecta esta inactividad. Si reconfiguración con conmutación por error es deseable que es mejor seleccionar la
opción 3. conmutación por error y reconfigurar ya que esto hace la conmutación por error y la primera es casi instantánea, casi sin
interrupción del tráfico. Reconfigurar primera es más lenta y los resultados de alguna interrupción del tráfico.
Para preservar todos los túneles VPN en un escenario, lo mejor es elegir el 2. conmutación por error opción ya una reconfiguración puede
causar algunos túneles que se pierdan.
Verificación de Enlace con los racimos de HA
El uso más común para la supervisión enlace está en el escenario de clúster HA descrito anteriormente. Es importante que el maestro y
el esclavo no duplican la misma condición que provocó el Monitor de Enlace. Por ejemplo, si un router en particular conectado a la
maestro NetDefend Firewall estaba siendo "ping" por Link Control, el esclavo no se debe también conectado a ese enrutador. Si lo es, por
continuación del disparo de una reconfiguración por el Monitor de Enlace luego hacer que el esclavo de conmutación por error al maestro,
que a su vez la conmutación por error de vuelta al esclavo de nuevo y así sucesivamente.
Si es importante para no permitir una conmutación por error durante la reconfiguración de la unidad activo en un clúster HA entonces la configuración
avanzada Reconf Tiempo de conmutación por error se debe establecer en un valor que no es ni demasiado baja o demasiado alta.
Reconf Tiempo de conmutación por error controla el tiempo que la unidad inactiva esperará a que la unidad activa para volver a configurar antes de
hacerse cargo. Al establecer este valor demasiado bajo significará la unidad inactiva no espera el tiempo suficiente. Establecer el valor demasiado alto
podría significar el tiempo de inactividad significativo si la unidad activo falla durante la reconfiguración y la unidad inactiva necesita tomar el relevo.
Más información sobre los grupos se pueden encontrar en Capítulo 11, de alta disponibilidad.
Parámetros de Verificación de Enlace
El Monitor de Enlace toma los siguientes parámetros:
Acción Especifica cuál de las 3 acciones descritas anteriormente

NetDefendOS deben tomar.
direcciones Especifica un grupo de hosts para monitorear. Si al menos la mitad de ellos no

responden, NetDefendOS asume que hay un problema de enlace. Las respuestas de un
anfitrión se ignoran hasta NetDefendOS ha sido capaz de alcanzar al menos una vez.
Esto significa que un host inalcanzable puede ser responsable de desencadenar una
acción una vez, pero no dos veces.
Un grupo de tres anfitriones donde uno ha sido inalcanzable desde la última

configuración por lo tanto será tratado como un grupo de dos anfitrión hasta la
tercera huésped se vuelve accesible. Esto también significa que si un problema de
enlace activa una acción y el problema no se resuelve, NetDefendOS no intentará
repetir la misma acción hasta que el problema se resuelve y los anfitriones son más
accesibles.
72
2.4.2. Monitoreo SNMP Capítulo 2. Gestión y Mantenimiento
Pérdida máxima Un único host se considera inalcanzable si este número de respuestas de ping
consecutivos a ese host no se contestan a.
Periodo de gracia No permita que el monitor de enlace para desencadenar una acción para este número de
segundos después de la última reconfiguración. Esto evita falsos positivos durante la
negociación del enlace inicial. El valor predeterminado es de 45 segundos.
Envíe de dirección IP compartida Esta opción sólo aparece en un clúster de alta disponibilidad y se debe utilizar si las
direcciones IPv4 públicas individuales no están disponibles para los dispositivos en un clúster.
2.4.2. Monitoreo SNMP
Visión de conjunto
Protocolo Simple de Manejo de Red ( SNMP) es un protocolo estandarizado para la gestión de dispositivos de red. Un cliente
compatible SNMP puede conectarse a un dispositivo de red que soporte el protocolo SNMP para consultar y controlarlo.
NetDefendOS soporta SNMP versión 1 y 2. La conexión puede realizarse por cualquier cliente compatibles con SNMP a los dispositivos
con NetDefendOS. Sin embargo, sólo se permiten operaciones de consulta por razones de seguridad. Específicamente, NetDefendOS
admite las siguientes operaciones solicitud SNMP por un cliente:
• Los Solicitud de Obtener operación
• Los GET siguiente solicitud operación
• Los Petición GET A GRANEL operación (sólo SNMP versión 2c)
El MIB NetDefendOS
los Base de Información de Gestión ( MIB) es una base de datos, por lo general en forma de un archivo de texto, que define los parámetros en
un dispositivo de red que un cliente SNMP puede consultar o cambiar. El archivo MIB para un dispositivo que ejecuta NetDefendOS se
distribuye con el paquete de distribución NetDefendOS norma como un archivo con el nombre DFLNNN-TRAP.MIB ( dónde NNN indica el
número de modelo del servidor de seguridad).
Este archivo MIB debe ser transferido al disco duro de la estación de trabajo que va a ejecutar el cliente de SNMP para que pueda ser importado
por el software de cliente. Cuando el cliente SNMP se ejecuta, el archivo MIB se lee y le dice al cliente qué valores se pueden consultar en un
dispositivo NetDefendOS.
Definición de acceso SNMP
acceso SNMP se define a través de la definición de un NetDefendOS Remoto objeto con una Modo valor de SNMP. El objeto remoto
requiere la entrada de:
• Interfaz - La interfaz NetDefendOS en la que llegarán las solicitudes SNMP.
• Red - La dirección IP o red desde la que las solicitudes SNMP vendrán.
• comunidad - La cadena de comunidad que proporciona seguridad de contraseñas para los accesos.
La cadena de comunidad
73
Seguridad para SNMP versiones 1 y 2c es manejado por el cadena de comunidad que es lo mismo que una contraseña para el acceso
SNMP. La cadena de comunidad debe ser difícil de adivinar y por lo tanto debe ser construido de la misma manera que cualquier otra
contraseña, usando combinaciones de letras mayúsculas y minúsculas junto con los dígitos.
Habilitación de una regla IP para SNMP
La configuración avanzada SNMP Antes de Reglas controles si la regla IP establecida cheques todos los accesos por los clientes SNMP. Esta es
desactivada de forma predeterminada y la recomendación es para que siempre este ajuste.
El efecto de la activación de este valor es añadir un invisible Permitir regla en la parte superior del conjunto de reglas IP que permite
automáticamente accede en el puerto 161 de la red y en la interfaz especificada para el acceso SNMP. El puerto 161 se utiliza generalmente
para SNMP y NetDefendOS siempre espera que el tráfico SNMP en ese puerto.
Cifrado de acceso remoto
Cabe señalar que el SNMP versión 1 ó 2c acceso significa que la cadena de comunidad se enviará como texto sin formato en una red.
Esto es claramente inseguro si un cliente remoto se comunica a través de Internet pública. Por tanto, es aconsejable disponer de
acceso remoto tienen lugar sobre un túnel VPN encriptado o los medios de comunicación de manera similar seguras.
La prevención de sobrecarga SNMP
La configuración avanzada SNMP Solicitud Límite restringe el número de SNMP peticiones permitidas por segundo. Esto puede ayudar a prevenir
ataques a través de la sobrecarga de SNMP.
Ejemplo 2.14. Habilitación de SNMP Monitoreo
Este ejemplo permite el acceso SNMP a través de la interna lan de interfaz de la red MGMT-net el uso de la cadena de comunidad Mg1RQqR.
Dado que el cliente es la gestión de la red interna, no hay necesidad de que se comunique a través de un túnel VPN.
GW-mundo: /> añadir RemoteManagement RemoteMgmtSNMP my_snmp

Interfaz de red LAN = = MGMT-net
SNMPGetCommunity = Mg1RQqR
En caso de que sean necesarias para permitir SNMP Antes de Reglas ( que está activada de forma predeterminada), el comando es:
GW-mundo: /> establecer la configuración RemoteMgmtSettings SNMPBeforeRules = Sí
Interfaz web
1. Goto Sistema> Administración remota> Añadir> gestión SNMP
2. Para Tipo de acceso remoto entrar:
• Nombre: un nombre adecuado, por ejemplo snmp_access
• Comunidad: Mg1RQqR
3. Para Filtrar el acceso entrar:
• Interfaz: lan
• Red: MGMT-net
74
En caso de que sean necesarias para permitir SNMP Antes de Reglas ( que está habilitado de forma predeterminada), la configuración se puede encontrar en Sistema>
Administración remota> Configuración avanzada.
Parámetros avanzados de SNMP
Los siguientes ajustes avanzados de SNMP se pueden encontrar bajo la Gestión remota la sección de la interfaz web. También se
pueden establecer a través de la CLI.
Antes de SNMP RulesLimit
Habilitar el tráfico SNMP al servidor de seguridad, independientemente de Reglas IP configuradas.
Defecto: Activado
SNMP Solicitud Límite
El número máximo de solicitudes SNMP que serán procesadas cada segundo por NetDefendOS. En caso de solicitudes SNMP superan esta tasa
a continuación, el exceso de solicitudes serán ignorados por NetDefendOS.
Defecto: 100
Contacto del sistema
La persona de contacto para el nodo administrado.
Defecto: N / A
Nombre del sistema
El nombre para el nodo administrado.
Defecto: N / A
sistema de Localización
La ubicación física del nodo.
Defecto: N / A
Descripción de la interfaz (SNMP)
Lo que se mostrará en las variables SNMP MIB-II ifDescr.
Defecto: Nombre
interfaz de Alias
Lo que se mostrará en las variables SNMP ifAlias ifMIB.
75
2.4.3. Monitorización de hardware Capítulo 2. Gestión y Mantenimiento
Defecto: Hardware
2.4.3. Monitorización de hardware
disponibilidad de funciones
Ciertos modelos de hardware D-Link permiten al administrador utilizar la CLI para consultar el valor actual de los parámetros de funcionamiento
diferentes de hardware, tales como la temperatura actual dentro del firewall. Esta característica se conoce como Monitorización de hardware.
Nota: El monitoreo de Hardware no está disponible en todos los modelos NetDefend
La función de monitoreo de hardware sólo está disponible en el D-Link DFL-NetDefend 1660, 2560
y 2560G.
Configurar y realizar la monitorización del hardware puede hacerse ya sea a través de la CLI o a través de la interfaz web.
Habilitar la supervisión de hardware
los Sistema> Monitorización de hardware sección de la interfaz web proporciona al administrador la siguiente configuración para permitir
la monitorización del hardware cuando está disponible:
Habilitar Sensores
Activar / desactivar todas las funciones de monitorización del hardware.
Defecto: Discapacitado
Intervalo de encuesta
Intervalo de sondeo para el Monitor de Hardware, que es el retardo en milisegundos entre las lecturas de valores de monitorización hardware.
Valor mínimo: 100

Valor máximo: 10000
Defecto: 500
Utilizando el hwm comando de la CLI
Para obtener una lista de los valores actuales de todos los sensores disponibles, el siguiente comando se puede utilizar:
GW-mundo: /> hwm -todas
Esto se puede abreviar a:
GW-mundo: /> hwm -a
Algunos salida típica de este comando para dos sensores de temperatura se muestra a continuación:
GW-mundo: /> hwm -a
Nombre valor actual (unidad)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Temperatura SYS = 44,000 (C) (x)
76
2.4.3. Monitorización de hardware Capítulo 2. Gestión y Mantenimiento
Temperatura de la CPU = 41,500 (C) (x)
los SYS la temperatura es la temperatura global dentro de la unidad de hardware. los UPC temperatura se refiere específicamente a
procesador central de la unidad que puede ser inferior a la temperatura global debido al método de enfriamiento.
Nota: El significado de "(x)"
El "(x)" en el lado de cada línea del sensor, indica que el sensor está activado.
Los - verboso opción muestra los valores actuales, además de los rangos configurados:
GW-mundo: /> hwm -a -v
2 sensores disponibles Poll tiempo intervalo

= 500 ms
Nombre [tipo] [número] = LOW_LIMIT] Current_Value [HIGH_LIMIT (unidad)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Temperatura SYS [TEMP] [0] = 44.000] 45,000 [0,000 (C)
Temperatura de la CPU [TEMP] [1] = 42.000] 42,500 [0,000 (C)
Tiempo para sondear sensores: 2.980000e-05 segundos
Cada atributo físico que aparece a la izquierda se le da un rango mínimo y máximo dentro del cual debe funcionar. Cuando el valor
devuelto después de sondeo cae fuera de este rango, NetDefendOS genera opcionalmente un mensaje de registro que se envía a los
servidores de registro configurados.
Nota: hardware diferente tiene diferentes sensores y rangos
Cada modelo de hardware puede tener un conjunto diferente de sensores y un rango de operación diferente. La salida de
arriba y sus valores son sólo para ilustración.
Configuración del rango mínimo y máximo
Los valores mínimos y máximos que se muestran en la salida de la hwm comando se establecen a través de la interfaz web, vaya a Sistema>
Hardware Monitoring> Añadir y seleccionar el parámetro de hardware para supervisar. El rango de funcionamiento deseado puede ser
especificado.
Un sensor se identifica en la interfaz web mediante la especificación de una combinación única de los siguientes parámetros:
• Tipo
Este es el tipo del sensor que se muestra en la salida CLI anterior y se presenta como una lista de opciones en la interfaz web. Por
ejemplo, Temperatura.
• Sensor
Este es el número del sensor como se muestra en la salida CLI anteriormente. Por ejemplo, el Temperatura SYS
número es 0.
• Nombre
Este es el Nombre del sensor como se muestra en la salida CLI anteriormente. Por ejemplo, Temperatura SYS.
• Activado
Un sensor individual puede ser activado o desactivado utiliza esta configuración. Cuando está activada, una "( x)" es
77
2.4.4. Configuración de monitoreo de memoria Capítulo 2. Gestión y Mantenimiento
aparece junto al sensor en la salida de la hwm mando.
El control de la frecuencia de envío de eventos
La frecuencia máxima de generación de eventos de registro cuando los valores de monitoreo de hardware caen fuera de su rango preestablecido se
puede limitar el uso de la AlarmRepeatInterval en el establecimiento de LOGSETTINGS objeto. Este ajuste se utiliza debido a que los valores
monitorizados son continuas.
Por ejemplo, para cambiar el intervalo del valor predeterminado de 60 segundos a un nuevo valor de 900 segundos, utilice el comando de la CLI:
GW-mundo: /> Configuración del conjunto de LOGSETTINGS AlarmRepeatInterval = 900
Esto significa que un nuevo mensaje de evento ahora debe esperar 900 segundos después de la anterior ha sido enviado.
Todas las opciones para LOGSETTINGS puede encontrarse en Sección 2.2.8, “Configuración Avanzada Entrar”.
2.4.4. Configuración de monitoreo de memoria
los Sistema> Monitorización de hardware sección de la interfaz web proporciona al administrador con una serie de ajustes relacionados
con el seguimiento de la memoria disponible. Estos son:
Memoria Intervalo de sondeo
intervalo de sondeo de memoria, que es el retraso en minutos entre lecturas de valores de memoria. Mínimo 1, máximo
200.
Defecto: 15 minutos
Uso de memoria Porcentaje
Cierto Si el monitor de memoria utiliza un porcentaje como la unidad de monitorización, Falso si se utilizan megabytes. Se aplica a nivel de
alerta, nivel crítico y nivel de advertencia.
Defecto: Cierto
Memoria de registro de Repetición
¿Hay que enviar un mensaje de registro para cada resultado de la encuesta que se encuentra en el nivel de alerta, advertencia o crítico, o debemos
enviar sólo cuando se alcanza un nuevo nivel. Si es verdad, se envía un mensaje cada vez que la memoria Intervalo de sondeo se dispara. Si es falso,
se envía un mensaje cuando un valor pasa de un nivel a otro.
Defecto: Falso
Nivel de alerta
Generar un mensaje de registro de alertas si la memoria libre es inferior a este número de bytes. Desactivar ajustando a 0. El valor máximo es de
10.000.
Defecto: 0
Nivel crítico
78
2.4.4. Configuración de monitoreo de memoria Capítulo 2. Gestión y Mantenimiento
Generar un mensaje de registro crítico si la memoria libre es inferior a este número de bytes. Desactivar mediante el establecimiento de
0. El valor máximo es de 10.000.
Defecto: 0
Nivel de alerta
Generar un mensaje de registro de un aviso si la memoria libre está por debajo de este número de bytes. Desactivar mediante el establecimiento de
0. El valor máximo 10.000.
Defecto: 0
79
2.5. El Comando pcapdump Capítulo 2. Gestión y Mantenimiento
2.5. los pcapdump Mando

Una valiosa herramienta de diagnóstico es la capacidad de examinar los paquetes que entran y salen de las interfaces de un NetDefend
Firewall. Para este propósito, NetDefendOS proporciona el comando de la CLI pcapdump que no sólo permite el examen de los flujos de
paquetes que entran y salen de interfaces sino que también permite el filtrado de estas corrientes de acuerdo con los criterios especificados.
Los paquetes que se filtran a cabo por pcapdump a continuación, se pueden guardar en un archivo de tipo. gorra que es el de facto libpcap estándar de
formato de archivo de la biblioteca para la captura de paquetes.
La sintaxis completa de la pcapdump mandato se describe en el Guía de referencia de la CLI.
Un ejemplo sencillo
Un ejemplo de pcapdump uso es la siguiente secuencia:
GW-mundo: /> pcapdump -tamaño 1024 -start int

GW-mundo: /> pcapdump -stop int
GW-mundo: /> pcapdump -demostrar
GW-mundo: /> pcapdump -Escritura int -filename = cap_int.cap
GW-mundo: /> pcapdump -cleanup
Pasar por esta línea por línea tenemos:
1. La grabación se inicia para el int interfaz utilizando un tamaño de búfer de 1024 Kbytes.
GW-mundo: /> pcapdump -tamaño 1024 -start int
2. La grabación se detiene para el int interfaz.
GW-mundo: /> pcapdump -stop int
3. La salida del comando se visualiza en la consola de forma resumida.
GW-mundo: /> pcapdump -demostrar
4. La misma información está escrita en su forma completa a un archivo llamado cap_int.cap.
GW-mundo: /> pcapdump -Escritura int -filename = cap_int.cap
En este punto, el archivo cap_int.cap debe ser descargado en la estación de trabajo de gestión para el análisis.
5. Una limpieza final se realiza y toda memoria que se libera.
GW-mundo: /> pcapdump -cleanup
La reutilización de archivos de captura
Dado que la única manera de eliminar archivos de la NetDefend Firewall es a través de la consola serie, la recomendación es utilizar siempre el
mismo nombre de archivo cuando se utiliza el pcapdump - escribir opción. Cada nueva operación de escritura A continuación, sobrescribir el archivo
antiguo.
Que se ejecuta en múltiples interfaces
80
Es posible tener múltiples pcapdump ejecuciones que se realizan al mismo tiempo. Los siguientes puntos describen esta
característica:
1. Toda la captura de todas las ejecuciones va a la misma memoria intermedia.
El comando se puede ejecutar varias veces con diferentes interfaces especificadas. En este caso el flujo de paquetes
para las diferentes ejecuciones se agrupan en diferentes secciones del informe.
Si se requiere una visión más clara de paquetes que circulan entre las interfaces de la salida, entonces es mejor para emitir uno es pcapdump
comando con las interfaces de interés especificados.
2. Si no se especifica una interfaz después de la captura se realiza en todas las interfaces.
3. El - detener opción sin una interfaz especificada detendrá la captura en todas las interfaces.
4. pcapdump evita la captura de correr más de una vez en la misma interfaz mediante la detección de la duplicación de comandos.
Las expresiones de filtro
Al ver todos los paquetes que pasan a través de una interfaz particular, a menudo proporciona un exceso de información para ser útil. Para
centrarse en determinados tipos de tráfico del pcapdump comando tiene la opción de añadir una
expresión de filtro que tiene una de las siguientes formas:
- eth = <macaddr> - Filtrar por origen o destino la dirección MAC.

- ethsrc = <macaddr> - Filtrar por dirección MAC de origen.
- ethdest = <macaddr> - Filtrar por dirección MAC de destino.
- ip = <ipaddr> - fuente del filtro o la dirección IP de destino.
- ipsrc = <ipaddr> - Filtrar por dirección IP de origen.
- ipdest = <ipaddr> - Filtran la dirección IP de destino.
- port = <portnum> - Se filtra la fuente o el número de puerto de destino.
- srcport = <portnum> - Filtrar el número de puerto de origen.
- DestPort = <portnum> - Filtrar el número de puerto de destino.
- proto = <ID> - Filtro en protocolo donde id es el decimal Identificación del protocolo.
- <ProtocolName> - En lugar del número de protocolo, el nombre del protocolo solo se puede especificar y puede ser uno de - tcp, -udp o - ICMP.
La descarga del archivo de salida
Como se muestra en uno de los ejemplos anteriores, el - escribir opción de pcapdump puede guardar la información de paquetes tamponada a un
archivo en el servidor de seguridad NetDefend.
Estos archivos de salida se colocan en el directorio raíz NetDefendOS y el nombre del archivo se especifica en el pcapdump línea de comandos, por
lo general con un tipo de archivo de. gorra. El nombre de los archivos de salida debe seguir ciertas reglas que se describen a continuación. Archivos
pueden ser descargados a la estación de trabajo local utilizando Secure Copy (SCP) (ver Sección 2.1.6, “Secure Copy”). Una lista de todos los
archivos en el directorio raíz NetDefendOS se puede ver mediante la emisión de la ls comando CLI.
Los - limpiar opción borrará todos los salvados pcapdump archivos (incluyendo cualquier sobrante de usos anteriores de la orden), de modo de limpieza
se debe hacer solamente después de archivo de descarga se ha completado.
Nota: NetDefendOS realiza un seguimiento de los archivos guardados
NetDefendOS realiza un seguimiento de todos los archivos creados por pcapdump. Esto es cierto incluso entre el sistema se
reinicia por lo que el - limpiar opción siempre es capaz de eliminar todos los archivos de la memoria del servidor de seguridad.
81
Archivo de salida restricciones de nomenclatura
El nombre del archivo utilizado para la salida pcapdump deben cumplir con las siguientes reglas:
• Excluyendo la extensión de nombre de archivo, el nombre no puede exceder de 8 caracteres de longitud.
• La extensión de nombre de archivo no puede exceder de 3 caracteres de longitud.
• El nombre de archivo y extensión sólo puede contener los caracteres AZ, 0-9, "-" y "_".
la combinación de filtros
Es posible utilizar varias de estas expresiones de filtro junto con el fin de perfeccionar los paquetes que son de interés. Por
ejemplo lo que se quiere examinar los paquetes que van a un puerto de destino en particular a una dirección IP de destino en
particular.
Compatibilidad con Wireshark
La herramienta de código abierto Wireshark ( antiguamente llamada Etéreo) es una herramienta de análisis extremadamente útil para examinar los
registros de paquetes capturados. El estándar de la industria. PCAP formato de archivo utilizado por pcapdump con su - escribir opción significa que es
compatible con Wireshark.
Para obtener información más completa acerca de este tema, véase http://www.wireshark.org.
82
2.6. Mantenimiento Capítulo 2. Gestión y Mantenimiento
2.6. Mantenimiento
2.6.1. Mecanismo de actualización automática
Varias de las características de seguridad NetDefendOS se basan en servidores externos para actualizaciones automáticas y filtrado de contenidos.
Los módulos del sistema y Anti-Virus de prevención y detección de intrusiones requieren el acceso a bases de datos de firmas actualizados con el fin
de proporcionar protección contra las amenazas más recientes.
Para facilitar la actualización automática función D-Link mantiene una infraestructura global de servidores que proporcionan servicios de actualización
para NetDefend cortafuegos. Para asegurar la disponibilidad y los tiempos de respuesta bajos, NetDefendOS emplea un mecanismo para seleccionar
automáticamente el servidor más adecuado para suministrar actualizaciones.
Para más detalles sobre estas funciones consulte las secciones siguientes:
• Sección 6.5, “Detección y prevención de intrusiones”
• Sección 6.4, “Anti-Virus Scanning”
• Sección 6.3, “Filtrado de Contenido Web”
2.6.2. Copia de seguridad de Configuraciones
El administrador tiene la capacidad de tomar una instantánea de un sistema NetDefendOS en un punto dado en el tiempo y restaurarla cuando
sea necesario. La instantánea puede ser de dos tipos:
• Una copia de seguridad de configuración
Esta es la configuración completa NetDefendOS actual guardado en un único archivo. No incluye la versión NetDefendOS
instalado. Esto es útil cuando se restaura únicamente la configuración.
Es importante crear, como mínimo, una copia de seguridad de configuración en una base regular para que una configuración puede ser
fácilmente recreada en el caso de sustitución del hardware. La alternativa es volver a crear una configuración mediante la adición
manualmente sus contenidos, pieza por pieza.
• Un sistema de respaldo
Esta una copia de seguridad completa de tanto la configuración y el software instalado NetDefendOS guardado en un único archivo.
Esto es útil si la restauración. tanto la configuración como la versión NetDefendOS actualizado.
Una copia de seguridad completa del sistema es un archivo mucho más grande que una copia de seguridad de configuración y puede haber
muchos megabytes, por lo tanto, no se recomienda realizar esto de forma regular debido a la época en cuestión. Sin embargo, se recomienda
para crear al menos una vez cuando el NetDefend Firewall se configura inicialmente y va en vivo. Esto se debe a que una copia de seguridad
completa del sistema hace que sea más fácil para restaurar la configuración actual en un nuevo hardware.
Advertencia: No cargue una copia de seguridad del sistema en hardware diferente
Hacer no tratar de subir una copia de seguridad completa del sistema (configuración más NetDefendOS) de hardware que no es
el mismo modelo que el original.
Esto hará que la configuración que se activa automáticamente y reinicia el hardware, con la posibilidad de que
NetDefendOS vuelve inalcanzable. Subir de copias de seguridad completas del sistema debe hacerse a un
hardware similar ya que no hay posibilidad de cambiar la configuración antes de que se active.
83
2.6.2. Copia de seguridad de Configuraciones Capítulo 2. Gestión y Mantenimiento
versión Compatibilidad
Desde una copia de seguridad completa del sistema incluye una versión NetDefendOS, la compatibilidad no es un problema con este tipo de copia de
seguridad.
Con la configuración sólo copias de seguridad, la siguiente hay que señalar:
• Una copia de seguridad de configuración creado en una versión más alta NetDefendOS nunca debe ser subido a una versión inferior
NetDefendOS. Por ejemplo, una copia de seguridad creada a partir de una versión 9.15.02 nunca debe ser subido a una versión 9.10.02.
• Una copia de seguridad de configuración creado en una versión inferior se puede cargar a una versión superior, sin embargo no puede
haber problemas de compatibilidad en algunos casos que se indicarán por los mensajes de NetDefendOS cuando se activa la
configuración cargada. Tales problemas pueden resultar en un reinicio NetDefendOS.
Por esta razón, una copia de seguridad completa del sistema es útil cuando se trata de transferir una configuración guardada a un nuevo
hardware en el que el nuevo hardware viene precargado con una versión NetDefendOS superior. En primer lugar, cargar el sistema de copia de
seguridad completa para conseguir un sistema con la versión correcta y luego subir la última copia de seguridad de configuración. Si hay un
requisito para pasar a una versión NetDefendOS superior, una actualización NetDefendOS entonces se puede realizar.
Las interfaces de gestión utilizadas
Ambos tipos de copia de seguridad, la configuración y el sistema, se pueden realizar ya sea mediante la descarga del archivo directamente desde la
NetDefend Firewall utilizando SCP (Secure Copy) o, alternativamente, utilizando la WebUI. Copia de seguridad no se puede hacer usando los
comandos de la CLI.
Del mismo modo, la restauración de una copia de seguridad se realiza de la manera inversa. Ya sea por la posibilidad de subir el archivo de copia de
seguridad utilizando SCP o, alternativamente, a través de la Web UI. Una restauración no se puede hacer con los comandos de la CLI.
operación Interrupción
Las copias de seguridad se pueden crear en cualquier momento sin perturbar el funcionamiento NetDefendOS. Para restauraciones, sin embargo, no
se recomienda tener tráfico en tiempo real que fluye desde la configuración restaurada puede alterar significativamente las políticas de seguridad del
servidor de seguridad.
Después de restaurar una copia de seguridad es necesario Activar la nueva configuración, como se hace con un cambio en la configuración normal.
Una restauración completa del sistema, será necesario que NetDefendOS reinicializa, con la pérdida de todas las conexiones existentes.
Inicialización puede requerir algunos segundos para completarse, dependiendo del tipo de hardware y el funcionamiento normal no será posible
durante este tiempo.
Copia de seguridad y restauración mediante SCP
Hay dos archivos que se encuentran en el directorio raíz NetDefendOS:
• config.bak - Esta es la copia de seguridad de la configuración actual.
• full.bak - Esta es la copia de seguridad del sistema completo.
SCP se puede utilizar para descargar cualquiera de estos archivos. Cuando la descarga se haya completado el nombre del archivo será alterado para
incluir la fecha. Por ejemplo, full.bak podría convertirse -20081121.bak completa para mostrar que es una instantánea del estado el 21 de noviembre de
2008.
Para restaurar un archivo de copia de seguridad, el administrador debe cargar el archivo en el servidor de seguridad NetDefend. los
84
2.6.3. Restaurar valores predeterminados de fábrica Capítulo 2. Gestión y Mantenimiento
nombre del archivo no necesita ser cambiado en cualquier forma y puede conservar la fecha, ya NetDefendOS leerá un encabezado en el
archivo para determinar lo que es.
De seguridad y restauración mediante WebUI
Como una alternativa al uso de SCP, el administrador puede iniciar una copia de seguridad o restauración de la configuración o sistema completo
directamente a través de la WebUI. El siguiente ejemplo ilustra cómo se hace esto.
Ejemplo 2.15. La realización de una copia de seguridad completa
En este ejemplo se copia de seguridad de todo el sistema el 12 de diciembre de 2008.
Interfaz web
1. Ir a: Mantenimiento> Copia de seguridad
2. El Apoyo se mostrará de diálogo
3. Pulse el configuración de copia de seguridad botón
4. Se muestra un diálogo de archivo - elegir un directorio para el archivo creado
5. Descargar el archivo de copia de seguridad continuación, se iniciará
Lo mismo mantenimiento opción del menú se puede utilizar para restaurar una copia de seguridad creada anteriormente.
Nota: Las copias de seguridad no contienen todo lo
Las copias de seguridad incluyen información solamente estática de la configuración NetDefendOS. La información dinámica, como
las bases de datos de bases de datos del servidor DHCP de arrendamiento o Anti-Virus / IDP no será una copia de seguridad.
2.6.3. Restaurar valores predeterminados de fábrica
UN restaurar los valores de fábrica puede ser aplicado de manera que es posible volver al estado original del hardware que existía cuando el
NetDefend Firewall fue enviado por D-Link. Cuando una restauración se aplica todos los datos, tales como las bases de datos de PDI y Anti-Virus
se pierde y debe ser recargada.
Ejemplo 2.16. Restablecimiento de hardware completa a los valores de fábrica
GW-mundo: /> restablecer -unit
Interfaz web
1. Ir a: Mantenimiento> Restablecer
2. Seleccionar Restaurar la unidad de toda la configuración de fábrica a continuación, confirmar y esperar a que la restauración para completar.
Importante: Cualquier actualización se perderán después de un restablecimiento de fábrica
Debe entenderse que un restablecimiento para fallas de fábrica es exactamente eso. Cualquier NetDefendOS actualizaciones
realizadas desde la unidad salieron de la fábrica se perderá.
85
Restablecer Procedimiento para la NetDefend DFL-210, 260, 260E, 800, 860 y 860E
Para restablecer el NetDefend DFL-210, 260, 260E, 800, 860 y modelos 860E, mantenga pulsado el botón de reinicio situado en la parte trasera de la
unidad durante 10-15 segundos, mientras que el encendido de la unidad. Después de eso, suelte el botón de reinicio y la unidad continuará cargando y
puesta en marcha con sus ajustes de fábrica por defecto.
La dirección IPv4 192.168.1.1 será asignado a la interfaz de LAN en los modelos DFL-210, 260, 800 y 860. La
dirección IPv4 192.168.10.1 se asigna a la interfaz LAN en los modelos DFL-260E y 860E-DFL.
Procedimiento de reinicio para la NetDefend DFL-1600, 1660, 2500, 2560 y 2560G
Para restablecer el DFL-1600, 1660, 2500, 2560 y los modelos 2560G, pulse cualquier tecla del teclado cuando el
Prensa teclado para acceder a la configuración Aparece el mensaje en la pantalla frontal. Ahora, seleccione la Restablecer cortafuegos
y confirme seleccionando Sí. Luego esperar a que el proceso de restablecimiento para completar después de lo cual la unidad arrancará con la
configuración de fábrica por defecto.
La dirección IPv4 192.168.1.1 será asignado a la interfaz de administración predeterminado LAN1 en los modelos DFL-1600 y
DFL-2500. La dirección IP de la interfaz de gestión para el DFL-1660, los modelos DFL-2560 y DFL-2560G será por defecto 192.168.10.1.
La configuración de la interfaz de administración por defecto de fábrica dirección IP por defecto se discute más adelante en
Sección 2.1.3, “La interfaz web”.
Advertencia: NO abortar un restablecimiento a los valores predeterminados
Si el proceso de restablecimiento a los valores de fábrica se aborta antes de que finalice, el NetDefend Firewall continuación,
puede dejar de funcionar correctamente con la pérdida completa de todos los datos de usuario almacenados.
Procedimientos final de la vida
La opción de restaurar los valores de fábrica debe utilizarse también como parte del procedimiento de final de la vida cuando un NetDefend
Firewall está fuera de servicio y ya no se utiliza. Como parte del procedimiento de desmantelamiento, una restauración a los valores de
fábrica siempre se debe ejecutar con el fin de eliminar toda la información confidencial, como los ajustes de VPN.
Como precaución adicional al final de la vida del producto, sino que también recomienda que el soporte de memoria en un servidor de seguridad
NetDefend se destruye y certificados como destruido por un proveedor adecuado de servicios de eliminación de ordenador.
86
87
Capítulo 3. Fundamentos
En este capítulo se describen los objetos lógicos fundamentales que constituyen una configuración NetDefendOS. Estos objetos incluyen artículos
tales como direcciones IP y las normas de propiedad intelectual. Algunos existen por defecto y algunos deben ser definidos por el administrador.
Además, el capítulo se explican los diferentes tipos de interfaz y explica cómo las políticas de seguridad se construyen con el
administrador.
• La libreta de direcciones, página 88
• Soporte IPv6, página 93
• Servicios, página 98
• Interfaces, página 106
• ARP, página 126
• Reglas IP, página 135
• Horarios, página 146
• Certificados, página 148
• Fecha y hora, página 153
• DNS, página 160
3.1. La libreta de direcciones
los NetDefendOS Directorio contiene objetos con nombre que representan diversos tipos de direcciones IP, incluyendo direcciones de IP
individuales, redes así como rangos de direcciones IP.
El uso de objetos de libreta de direcciones tiene una serie de ventajas importantes:
• Se aumenta la comprensión de la configuración mediante el uso de nombres simbólicos significativas.
• Uso de nombres de objetos de direcciones en lugar de la introducción de direcciones numéricas reduce los errores.
• Mediante la definición de un objeto de dirección IP sólo una vez en la libreta de direcciones y luego hacer referencia a esta definición, el cambio
de la definición de forma automática también cambia todas las referencias a ella.
3.1.2. Direcciones IP
Dirección IP objetos se utilizan para definir los nombres simbólicos para los distintos tipos de direcciones IP. Dependiendo de cómo se
especifica la dirección, un objeto de dirección IP puede representar una sola dirección IP (un host específico), una red o un rango de
direcciones IP.
Además, los objetos de direcciones IP se pueden utilizar para especificar las credenciales utilizadas en la autenticación de usuario. Para obtener
más información sobre este tema, véase Capítulo 8, la autenticación de usuario.
La siguiente lista presenta los diferentes tipos de direcciones de un objeto de dirección IP puede contener, junto con el formato que se utiliza
para representar ese tipo específico:
88
3.1.2. Direcciones IP Capítulo 3. Fundamentos
Anfitrión Un único host se representa simplemente por su dirección IP. Por

ejemplo, 192.168.0.14.
Red IP Una red IP se representa mediante Itinerario entre recesos ( CIDR) formulario. CIDR utiliza una barra diagonal y
un dígito (0-32) para indicar el tamaño de la red como un sufijo. Esto también se conoce como el máscara de red.
/ 24 corresponde a una red de clase C con 256 direcciones (máscara de red 255.255.255.0), / 27
corresponde a una red de 32 direcciones (máscara de red 255.255.255.224) y así.
Los números 0-32 se corresponden con el número de unos binarios en la máscara de red. Por ejemplo: 192.168.0.0/24.
Rango de IP Una gama de direcciones IPv4 se representa con la forma abcd - EFGH
Tenga en cuenta que los rangos no se limitan a los límites de la máscara de red. Pueden incluir cualquier espacio de
direcciones IP. Por ejemplo, 192.168.0.10-192.168.0.15 representa seis ejércitos en orden consecutivo.
Ejemplo 3.1. Adición de una dirección de host IP
En este ejemplo se agrega el host IPv4 www_srv1 con la dirección IP 192.168.10.16 a la libreta de direcciones:
GW-mundo: /> Añadir dirección IP4Address www_srv1 Dirección = 192.168.10.16
Interfaz web
1. Ir a: Objetos> Contactos> Añadir> IP4 Dirección
2. Especificar un nombre adecuado para el host IP, en este caso wwww_srv1
3. Introduzca 192.168.10.16 para el Dirección IP
Ejemplo 3.2. Adición de una red IP
En este ejemplo se agrega una red IPv4 llamado wwwsrvnet con domicilio 192.168.10.0/24 a la libreta de direcciones:
GW-mundo: /> Añadir dirección IP4Address wwwsrvnet Dirección = 192.168.10.0 / 24
Interfaz web
2. Especificar un nombre adecuado para la red IP, por ejemplo, wwwsrvnet
3. Introduzca 192.168.10.0/24 como el Dirección IP
89
3.1.3. Las direcciones Ethernet Capítulo 3. Fundamentos
Ejemplo 3.3. La adición de un rango de IP
En este ejemplo se agrega un rango de direcciones IPv4 a partir 192.168.10.16 a 192.168.10.21 y los nombres de la gama
wwwservers:
GW-mundo: /> Añadir dirección wwwservers IP4Address

Dirección = 192.168.10.16-192.168.10.21
Interfaz web
2. Especificar un nombre adecuado para el rango de IP, por ejemplo, wwwservers.
3. Introduzca 192.168.10.16-192.168.10.21 como el Dirección IP
Ejemplo 3.4. La eliminación de un objeto de dirección
Para eliminar un objeto denominado wwwsrv1 en la libreta de direcciones, haga lo siguiente:
GW-mundo: /> Eliminar dirección IP4Address wwwsrv1
Interfaz web
2. Seleccione el objeto de dirección wwwsrv1
3. Elegir Borrar en el menú
La eliminación en uso objetos IP
Si un objeto IP se elimina que está en uso por otro objeto entonces NetDefendOS no permitirá que la configuración para ser
desplegado y producirá un mensaje de advertencia. En otras palabras, se verá que el objeto se ha eliminado correctamente, pero
NetDefendOS no permitirá la configuración que se guarda en el servidor de seguridad NetDefend.
3.1.3. Las direcciones Ethernet
Dirección Ethernet objetos se utilizan para definir los nombres simbólicos para las direcciones MAC. Esto es útil, por ejemplo, al
rellenar la tabla ARP con entradas ARP estáticas o para otras partes de la configuración donde se prefieren los nombres simbólicos
sobre direcciones Ethernet numéricos.
Al especificar una dirección Ethernet del formato aa-bb-cc-dd-ee-ff debería ser usado. direcciones Ethernet también se muestran
utilizando este formato.
90
3.1.4. Grupos de direcciones Capítulo 3. Fundamentos
Ejemplo 3.5. Adición de una dirección Ethernet
En el siguiente ejemplo se agrega un objeto de dirección Ethernet llamado wwwsrv1_mac con la dirección MAC numérica
08-a3-67-bc-2e-f2.
GW-mundo: /> Añadir dirección direccionethernet wwwsrv1_mac

Dirección = 08-a3-67-bc-2e-f2
Interfaz web
1. Ir a: Objetos> Contactos> Añadir> dirección Ethernet
2. Especificar un nombre adecuado para el objeto de dirección Ethernet, por ejemplo, wwwsrv1_mac
3. Introduzca 08-a3-67-bc-2e-f2 como el Dirección MAC
3.1.4. Grupos de direcciones
Configuración Simplificar grupos
objetos de dirección pueden agruparse con el fin de simplificar la configuración. Considerar una serie de servidores públicos que deben ser
accesibles desde Internet. Los servidores tienen direcciones IP que no están en una secuencia, y pueden por lo tanto no ser referenciados
como una sola gama IP. En consecuencia, los objetos dirección IP individual tienen que ser creados para cada servidor.
En lugar de tener que hacer frente a la carga de la creación y mantenimiento de políticas de filtrado separadas permitiendo el tráfico a cada
servidor, una dirección de grupo llamado, por ejemplo servidores web, se podrían crear con los anfitriones del servidor web como miembros del
grupo. Ahora, una única política se puede utilizar con este grupo, lo que reduce en gran medida la carga de trabajo administrativo.
Las direcciones IP pueden ser excluidas
Cuando los grupos son creados con la Interfaz Web, es posible no sólo añadir objetos de dirección a un grupo, sino también para excluir
explícitamente las direcciones del grupo. Sin embargo, la exclusión no es posible cuando la creación de grupos con la CLI.
Por ejemplo, si un objeto de red es la red 192.168.2.0/24 y esto se añade a un grupo, es posible excluir explícitamente a
continuación, la dirección IPv4 192.168.2.1. Esto significa que el grupo contendrá entonces el rango 192.168.2.2 a 192.168.2.255.
Los grupos pueden contener diferentes subtipos
objetos de dirección de grupo no se limitan a contener miembros del mismo subtipo. objetos host IP se pueden asoció con rangos de IP, redes
IP y así sucesivamente. Todas las direcciones de todos los miembros del grupo se combinan entonces por NetDefendOS, lo que resulta
efectivamente en la unión de todas las direcciones.
Por ejemplo, si un grupo contiene los siguientes dos intervalos de direcciones IP:
• 192.168.0.10 - 192.168.0.15
• 192.168.0.14 - 192.168.0.19
91
3.1.5. AUTOGENERADAS objetos de dirección Capítulo 3. Fundamentos
El resultado de la combinación de estos dos será un solo rango de direcciones que contiene 192.168.0.10 -
192.168.0.19.
3.1.5. AUTOGENERADAS objetos de dirección
Para simplificar la configuración, una serie de objetos de dirección en la libreta de direcciones se crean automáticamente por
NetDefendOS cuando el sistema se inicia por primera vez y estos objetos se utilizan en diversas partes de la configuración inicial.
Los siguientes objetos de dirección son generados automáticamente:
Las direcciones de interfaz Para cada interfaz Ethernet en el sistema, dos objetos de direcciones IP
están predefinidos; un objeto para la dirección IPv4 de la interfaz real, y un
objeto que representa la red local para esa interfaz.
Interfaz IPv4 dirección objetos son llamado

<Interface-name> _IP y objetos de red se denominan
<Interface-name> _net. Como un ejemplo, una interfaz llamada
lan tendrá un objeto IP de la interfaz asociada con nombre LAN_IP,
y un objeto de red nombrado Lannet.
La puerta de enlace predeterminada Dirección Un objeto de dirección IPv4 con el sufijo "_ gw" También es auto-generado para la interfaz
por defecto utilizado para la conexión a la Internet pública. Por ejemplo, si se supone que
la conexión a Internet para estar en interface pálido a continuación, la dirección de puerta
de enlace predeterminada obtiene el nombre wan_gw. Esta dirección IP representa el
router externo que actúa como puerta de enlace a Internet.
Esta dirección se utiliza sobre todo por la tabla de enrutamiento, pero también es utilizado por
el subsistema de cliente DHCP para almacenar la información de dirección de la entrada
adquirida a través de DHCP. Si una dirección de puerta de enlace predeterminada ha sido
proporcionada durante la fase de configuración, el objeto de puerta de enlace predeterminada
contendrá esa dirección. De lo contrario, el objeto se deja como 0.0.0.0/0.
todas las redes de los todas las redes de objeto de dirección IP se inicializa a la dirección IPv4 0.0.0.0/0,
lo que representa todas las posibles direcciones IP. los todas las redes de objeto IP
es ampliamente utilizado en la configuración de NetDefendOS y es importante para
entender su significado.
3.1.6. Dirección carpetas Libro

Con el fin de ayudar a organizar un gran número de entradas de la libreta de direcciones, es posible crear la libreta de direcciones carpetas. Estas
carpetas son como una carpeta en el sistema de archivos de un ordenador. Se crean con un nombre dado y luego se pueden utilizar para contener
todos los objetos de direcciones IP que están relacionados entre sí como grupo.
El uso de carpetas es simplemente una manera para que el administrador de dividir convenientemente las entradas de la libreta de direcciones y no hay
propiedades especiales se les da a las entradas en diferentes carpetas. NetDefendOS continúa para ver todas las entradas como si estuvieran en una
mesa grande de objetos de dirección IP.
El concepto de la carpeta también es utilizado por NetDefendOS en otros contextos, tales como conjuntos de reglas IP, donde las reglas de propiedad
intelectual relacionados pueden ser agrupados en administrador crea carpetas.
92
3.2. Soporte IPv6 Capítulo 3. Fundamentos
3.2. Soporte IPv6

Todas las direcciones IP discutido hasta ahora son de la IPv4 tipo. El estándar de la dirección IP IPv6 está diseñado como un sucesor de
IPv4 con la principal ventaja de proporcionar un espacio mucho más grande de direcciones de 128 bits. Entre las muchas ventajas, la gran
cantidad de direcciones IPv6 globales disponibles NAT significa que ya no tendrá que compartir un número limitado de direcciones IPv4
públicas.
Configuración NetDefendOS Objetos apoyo IPv6
Las siguientes partes de NetDefendOS proporcionan soporte IPv6:
• La libreta de direcciones.
• tablas de enrutamiento.
• Las reglas de enrutamiento.
• las normas de PI (con exclusión de algunas acciones).
Adición de una dirección IPv6
objetos de dirección IPv6 se crean en el libro de direcciones NetDefendOS como objetos que son distintos de los objetos IPv4.
Solo el todo nets6 objeto (dirección IPv6 :: / 0) ya existe en la libreta de direcciones. Esto significa que la dirección de red y de
objetos IPv6 asociadas con una interfaz primero se deben crear.
Ejemplo 3.6. Adición de direcciones de host IPv6
Supongamos que una dirección IPv6 y la red tienen que estar asociados con la pálido interfaz. En este ejemplo se añade dos nuevos objetos de dirección IPv6
a la libreta de direcciones de la red que consiste wan_net6 ( el prefijo IPv6 2001: DB8 :: / 32)
y la única dirección IP wan_ip6 (2001: DB8 :: 1) dentro de esa red.
GW-mundo: /> Añadir dirección IP6Address wan_net6 Dirección = 2001: DB8 :: / 32
GW-mundo: /> Añadir dirección IP6Address wan_ip6 Dirección = 2001: DB8 :: 1
Interfaz web
Añadir la dirección de red (el prefijo IPv6):
2. Especificar un nombre adecuado para el objeto, en este caso: wan_net6
3. Introduzca 2001: DB8 :: / 32 para el IP6 Dirección
Agregue la dirección IP:
2. Especificar un nombre adecuado para el objeto, en este caso: wan_ip6
3. Introduzca 2001: DB8 :: 1 para el IP6 Dirección
93
Nota: El prefijo 2001: DB8 :: / 32 está reservado para la documentación
Como se describe en RFC3849, el prefijo IPv6 2001: DB8 :: / 32 está reservado específicamente para fines de
documentación. Todos los ejemplos de este manual IPv6, por lo tanto utilizan esta red o direcciones de ella.
IPv6 debe estar habilitado a nivel mundial y en una interfaz
IPv6 debe estar habilitado explícitamente en NetDefendOS para que funcione. Esto se hace de dos maneras:
A. Habilitar IPv6 a nivel mundial.
B. Habilitar IPv6 en una interfaz Ethernet.
Estos se describen a continuación.
A. Habilitar IPv6 a nivel mundial
Hay una configuración avanzada global que permite a IPv6 y si no está activada, se ignora todo el tráfico IPv6. Por defecto esta
configuración avanzada está desactivada.
Ejemplo 3.7. Habilitación de IPv6 a nivel mundial
Este ejemplo permite que todas las características de IPv6 a través de la totalidad de NetDefendOS. Si se utiliza una función de IPv6 y esta opción no está
habilitada, una advertencia se genera cuando se activa la configuración.
GW-mundo: /> establecer ajustes IPSettings EnableIPv6 = Sí
Interfaz web
1. Ir a: Sistema> Opciones avanzadas> Configuración IP
2. Activar el ajuste: Activar IPv6
B. Habilitar IPv6 en una interfaz
Una vez que se habilita IPv6 a nivel mundial, a continuación, IPv6 debe estar habilitado en cualquier interfaz Ethernet con el que se utiliza.
Al mismo tiempo que una interfaz está habilitado para IPv6, una dirección IPv6 y la red IPv6 (prefijo) debe ser asignado a la misma. La
interfaz se puede usar entonces en reglas y rutas con propiedades IPv6.
Ejemplo 3.8. Habilitación de IPv6 en una interfaz
94
Este ejemplo habilita IPv6 en el pálido interfaz Ethernet usando los objetos de dirección creados previamente.
GW-mundo: /> Ajustar interface Ethernet wan

EnableIPv6 = Sí IPv6IP =
wan_ip6 IPv6Network =
wan_net6
Interfaz web
1. Ir a: Interfaces Ethernet>> WAN
2. Active la opción: Activar IPv6
3. Ahora introduzca:
• Dirección IP: wan_ip6
• Red: wan_net6
Una dirección de puerta de enlace IPv6 también podría ser introducido para la interfaz si está conectado a un router ISP.
Una ruta de la interfaz se añade automáticamente
Cuando una dirección IPv6 y de la red son asignados a una interfaz Ethernet (ambos son necesarios), entonces una ruta IPv6 para esa
interfaz se debe agregar a la principal tabla de ruteo.
Se añade la ruta proporcionado la creación automática de ruta para la interfaz está activada (está activado por defecto).
Habilitación de IPv6 Router Advertisement
Una opción adicional para una interfaz Ethernet es habilitar IPv6 anuncio de enrutador. Esto significa que cualquier cliente
externo conectado a la interfaz puede solicitar y recibir mensajes IPv6 para permitir que se realice Dirección estado de
configuración automática ( SLAAC). El proceso SLAAC permite al cliente crear su propia dirección IPv6 global única basada en
la dirección MAC de su interfaz y el prefijo de la dirección IPv6 para los NetDefendOS interfaz que se conecta a.
Ejemplo 3.9. Habilitación de IPv6 anuncios
Este ejemplo permite que los anuncios de IPv6 en el pálido interfaz Ethernet.
GW-mundo: /> configurar la interfaz Ethernet WAN EnableRouterAdvertisement = Sí
Interfaz web
1. Ir a: Interfaces Ethernet>> WAN
2. Seleccione la ficha: Avanzado
3. Active la opción: Habilitar el anuncio de enrutador para esta interfaz
95
IPv4 e IPv6 no pueden compartir un objeto de dirección de grupo
objetos de dirección IPv6 se crean y administran de una manera similar a los objetos IPv4 Se llaman una
IP6 Dirección y puede ser utilizado en las reglas NetDefendOS y otros objetos de la misma manera como una dirección IPv4. Sin embargo, no
es posible combinar los dos en un solo objeto de configuración.
Por ejemplo, no es posible crear una dirección de grupo que contiene ambos. El estandar dirección de grupo objeto sólo puede contener
objetos de dirección IPv4. Para IPv6 no es un objeto especial llamado Grupo IP6 objeto que puede contener sólo las direcciones IPv6.
Del mismo modo, el preconfigurado todas las redes de objetos de dirección es un cajón de sastre objeto para todas las direcciones IPv4. Otro objeto, todo
nets6 representa todas IPv6 y addreses solamente IPv6 addreses.
Además, no es posible combinar todas las redes de ( todas las direcciones IPv4) con todo nets6 en una sola
dirección de grupo objeto. Por ejemplo, si una DropAll Se necesita regla como la última regla de "catch-all" en un conjunto de reglas IP, se
requieren dos reglas para capturar todo el tráfico IPv4 e IPv6. Esto se discute más en
Sección 3.6, “Reglas IP”.
De la misma manera, una tabla de enrutamiento podría encaminar el tráfico, ya sea para una red IPv4 o una red IPv6 a la misma interfaz,
pero esto debe hacerse con dos rutas separadas en la tabla de enrutamiento, uno para IPv4 e IPv6 uno para. No se puede lograr utilizando
una sola ruta.
Troubelshooting IPv6 con ICMP Ping
El comando de la CLI silbido se puede utilizar tanto para las direcciones IPv4 e IPv6. Por ejemplo:
GW-mundo: /> de ping 2001: DB8 :: 2
Esto proporciona los medios para determinar si un host IPv6 es alcanzable y de responder.
Restricciones de uso de IPv6
El siguiente es un resumen de las restricciones de IPv6 en la versión actual de NetDefendOS:
• acceso a la administración con cualquier interfaz de gestión NetDefendOS no es posible utilizar IPv6.
• normas IP mediante direcciones IPv4 e IPv6 pueden coexistir en la misma regla IP establecida, pero una sola regla no pueden combinar
IPv4 e IPv6.
• Las direcciones IPv6 son no Actualmente apoyado en reglas IP con las siguientes acciones:
yo. NAT
ii. SAB
Iii. SLB SAT
iv. múltiplex SAT
• Rutas utilizando direcciones IPv4 e IPv6 pueden coexistir en el mismo conjunto tabla de encaminamiento pero una sola ruta no pueden combinar
IPv4 e IPv6.
• Las reglas de enrutamiento que utilizan direcciones IPv4 e IPv6 coexistan, sino una sola regla no pueden combinar IPv4 e IPv6.
• IPv6 no se puede utilizar para VPN o con ALG, PDI o la modulación del tráfico.
96
IPv6 y alta disponibilidad
NetDefendOS Alta disponibilidad ( HA) no es totalmente compatible con IPv6. Todos los objetos de configuración de IPv6 se reflejarán en ambos los
maestros y esclavos unidades HA. Sin embargo, si se produce una conmutación por error, la información de estado se perderá cuando una unidad de
procesamiento se hace cargo de las otras conexiones IPv6 y se perderán.
En una configuración HA, donde las interfaces han permitido a IPv6 y direcciones IPv6 asignada, no hay IP privada y compartida
IPv6 para cada par de interfaces. Cada par de interfaz tendrá la misma dirección IP IPv6 en maestro y el esclavo. Una dirección
privada interfaz de IPv6 para cada interfaz en un par no es posible.
97
3.3. Servicios Capítulo 3. Fundamentos
3.3. Servicios
UN Servicio objeto es una referencia a un protocolo IP específico con parámetros asociados. Una definición de servicio se basa
generalmente en uno de los principales protocolos de transporte tales como TCP o UDP que se asocia con una fuente específica y / o
número (s) de puerto de destino. Por ejemplo, el HTTP de servicio se define como el uso del protocolo TCP con el puerto de destino
asociado 80 y cualquier puerto de origen.
Sin embargo, los objetos de servicio no se limitan a sólo el TCP o UDP. Pueden ser utilizados para abarcar mensajes ICMP, así
como un protocolo IP definible por el usuario.
Un servicio es pasiva
Los servicios son objetos pasivos NetDefendOS en que ellos mismos no llevan a cabo ninguna acción en la configuración. En su lugar, los objetos
de servicio deben estar asociados con las políticas de seguridad definidas por varios conjuntos de reglas NetDefendOS y luego actúan como un
filtro para aplicar dichas normas sólo para un tipo específico de tráfico.
Por ejemplo, una regla de IP en un conjunto de reglas NetDefendOS IP tiene un objeto de servicio asociado a él como un parámetro de
filtrado para decidir si permite o no a un determinado tipo de tráfico atraviese el NetDefend Firewall. La inclusión en las normas de PI es
uno el uso más importante de objetos de servicio y también es la forma ALG se asocian con las normas IP desde un ALG está asociado
con un servicio y no directamente con una regla IP.
Para obtener más información sobre cómo se utilizan los objetos de servicio con las normas de propiedad intelectual, véase Sección 3.6, “Reglas IP”.
Los servicios predefinidos
Un gran número de objetos de servicio están predefinidos en NetDefendOS. Estos incluyen servicios comunes tales como HTTP, FTP,
Telnet y SSH.
servicios predefinidos se pueden utilizar y también modificarse al igual que los servicios personalizados, definidos por el usuario. Sin embargo, se
recomienda NO realizar ningún cambio en los servicios predefinidos y en su lugar crear servicios personalizados con las características deseadas.
la creación de servicios personalizados en detalle más adelante en Sección 3.3.2, “Creación de Servicios personalizados”.
Ejemplo 3.10. Una lista de los servicios disponibles
Para producir una lista de los servicios disponibles en el sistema:
GW-mundo: /> Concursos Servicios
La salida será similar a la siguiente lista con los servicios agrupados por tipo con los grupos de servicio que aparece en primer lugar:
Servicegroup
Nombre comentarios
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Todo all_services ICMP, TCP y UDP servicios all_tcpudp
Todos los servicios TCP y UDP
ipsec-suite El IPSec IKE + suite de L2TP IPSec
L2TP utilizando IPsec para encriptación y autenticación
L2TP-prima control de L2TP y transporte, sin cifrar
PPTP suite control de PPTP y el transporte
ServiceICMP
98
3.3.2. La creación de servicios personalizados Capítulo 3. Fundamentos
Nombre comentarios
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
all_icmp Todos los servicios de ICMP
""
Interfaz web
Ejemplo 3.11. Visualización de un servicio específico
Para ver un servicio específico en el sistema:
GW-mundo: /> Servicio mostrar ServiceTCPUDP eco
La salida será similar a la lista siguiente:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre: echo
DestinationPorts: 7
Tipo: TCPUDP (TCP / UDP)
SourcePorts: 0-65535 PassICMPReturn: No
ALG: (ninguno)
MaxSessions: 1000
Comentarios: Echo servicio
Interfaz web
2. Seleccione el objeto de servicio específico en la tabla
3. Una lista de todos los servicios se presentará
3.3.2. La creación de servicios personalizados
Si la lista de objetos de servicio predefinidos NetDefendOS no cumple con los requisitos para cierto tipo de tráfico a continuación, un nuevo
servicio puede ser creado. La lectura de esta sección se explica no sólo cómo los nuevos servicios se crean sino que también proporciona una
comprensión de las propiedades de los servicios predefinidos.
los Tipo de servicio creado puede ser uno de los siguientes:
• TCP / UDP Servicio - Un servicio basado en el protocolo UDP o TCP o ambos. Este tipo de servicio se discute más adelante en
esta sección.
• Servicio ICMP - Un servicio basado en el protocolo ICMP. Esto se discute más en

Sección 3.3.3, “Servicios” ICMP.
• Servicio IP Protocolo - Un servicio basado en un protocolo definido por el usuario. Esto se discute más en
Sección 3.3.4, “IP Servicios de protocolo personalizado”.
• Grupo de Servicio - Un grupo de servicio que consiste en una serie de servicios. Esto se discute más en
Sección 3.3.5, “Grupos de servicios”.
99
Vamos a echar un vistazo más de cerca a los servicios TCP / UDP.
Los servicios basados en TCP y UDP
La mayoría de las aplicaciones utilizan TCP y / o UDP como protocolo de transporte para la transferencia de datos a través de redes IP.
Protocolo de Control de Transmisión ( TCP) es un protocolo orientado a la conexión que incluye mecanismos para punto fiable para la
transmisión punto de datos. TCP es utilizado por muchas aplicaciones comunes donde las transferencias libres de errores son obligatorias,
como HTTP, FTP y SMTP.
Aplicaciones UDP Orientated
Para aplicaciones en las que la velocidad de entrega de datos es de la mayor importancia, por ejemplo, con el streaming de audio y video, la User
Datagram Protocol ( UDP) es el protocolo preferido. UDP es sin conexión, proporciona la recuperación de errores de transmisión mínima, y tiene
una sobrecarga mucho menor cuando se compara con TCP. Debido a la sobrecarga menor, UDP se utiliza también para algunos servicios que
no son de streaming y en esos casos las propias aplicaciones debe proporcionar ningún mecanismo de recuperación de errores.
Definición de servicios TCP y UDP
Para definir un protocolo TCP o UDP en base a NetDefendOS, una TCP / UDP se utiliza objeto de servicio. Aparte de un nombre
único que describe el servicio, el objeto contiene información sobre qué protocolo (TCP, UDP o ambos) y qué puertos de origen y
destino son aplicables para el servicio.
Especificando los números de puerto
Los números de puerto se especifican con todo tipo de servicios y es útil para entender cómo estos se pueden introducir en las interfaces de
usuario. Pueden especificarse tanto para el Puerto de origen y / o la Puerto de destino de un servicio de las siguientes maneras:
solo puerto Para muchos servicios, un único puerto de destino es suficiente. Por ejemplo, HTTP
por lo general utiliza el puerto de destino 80. El protocolo SMTP utiliza el puerto 25 y
así. Para este tipo de servicio, el número de puerto único es simplemente especifica
en la definición de servicio como un solo número.
Los rangos de puertos Algunos servicios utilizan una serie de puertos de destino. Como ejemplo,
el protocolo NetBIOS utilizado por Microsoft Windows ™ utiliza
los puertos de destino 137 a 139.
Para definir un rango de puertos en un objeto de servicio TCP / UDP, el formato mmm-nnn se
utiliza. Un intervalo de puertos es inclusivo, significando que un intervalo especificado como 137-139
cubre los puertos 137, 138 y
139.
Varios puertos y rangos de puertos Múltiples rangos o puertos individuales también se pueden introducir,
separado por comas. Esto proporciona la capacidad para cubrir una amplia gama de
puertos usando sólo una única / UDP objeto de servicio TCP.
Por ejemplo, todas las redes de Microsoft Windows puede cubrirse mediante una
definición de puerto especificado como 135-139,445.
HTTP y HTTPS pueden ser cubiertos mediante la especificación de los puertos de destino 80,443.
100
Tip: Especificación de puertos de origen
Es habitual con muchos servicios que los puertos de origen se dejan como su valor por defecto que es el rango 0-65535
(correspondiente a todos los posibles puertos de origen).
Con ciertas aplicaciones, puede ser útil especificar también el puerto de origen si esto es siempre dentro de un
rango limitado de valores. Haciendo la definición del servicio lo más estrecha posible es el método recomendado.
Otras propiedades del servicio
Aparte del protocolo básico y la información de puerto, objetos de servicio TCP / UDP también tienen otras propiedades:
• Protección contra inundaciones SYN
Esta opción permite que un servicio basado en TCP para ser configurado con protección contra SYN Flood
ataques. Esta opción sólo existe para el TCP / IP Tipo de servicio.
Para más detalles sobre cómo funciona esta característica ver Sección 6.6.8, “Los ataques TCP SYN Flood”.
• Pasar los errores ICMP
Si un intento de abrir una conexión TCP se realiza mediante una aplicación de usuario detrás de la NetDefend Firewall y el servidor remoto
no está en funcionamiento, un mensaje de error ICMP se devuelve como respuesta. Tales mensajes ICMP son interpretados por
NetDefendOS como nuevas conexiones y será dado de baja a menos que una norma IP les permite de forma explícita.
los Pasar mensajes ICMP de error devueltos por destino opción permite ese tipo de mensajes ICMP que se pasarán
automáticamente a la aplicación solicitante. En algunos casos, es útil que los mensajes ICMP no se descartan. Por
ejemplo, si un ICMP aplacar mensaje se envía a reducir la tasa de flujo de tráfico. Por otro lado, dejando caer los
mensajes ICMP aumenta la seguridad al evitar que éstos sean utilizados como medio de ataque.
• ALG
Un servicio TCP / UDP puede estar vinculado a una Capa de aplicación Gateway ( ALG) para permitir la inspección profunda de ciertos
protocolos. Esta es la forma en que un ALG está asociado con una regla IP. En primer lugar, asociar la ALG con un servicio y luego
asociar el servicio con una regla IP.
Para obtener más información sobre este tema, véase Sección 6.2, “ALGs”.
• Max Sessions
Un parámetro importante asociado a un servicio es Max Sessions. Este parámetro se le asigna un valor por defecto cuando el
servicio se asocia con un ALG. El valor predeterminado varía de acuerdo con la ALG que está asociado. Si el defecto es, por
ejemplo, 100, esto significaría que sólo 100 se permiten las conexiones en total para este servicio a través de todas las interfaces.
Para un servicio que implica, por ejemplo, un ALG HTTP el valor por defecto puede a menudo ser demasiado baja si hay un gran
número de clientes que se conectan a través de la NetDefend Firewall. Por tanto, se recomienda tener en cuenta si se requiere un
valor más alto para un escenario particular.
Especificando todos los servicios
Cuando la creación de reglas que filtran por los servicios, es posible utilizar el objeto de servicio de llamada all_services
101
3.3.3. Servicios ICMP Capítulo 3. Fundamentos
para referirse a todos los protocolos. Sin embargo, el uso de esto no es recomendable y especificando un servicio más estrecho proporciona una mejor
seguridad.
Si, por ejemplo, el requisito es sólo para filtro utilizando los principales protocolos de TCP, UDP e ICMP a continuación, el grupo de servicio all_tcpudpicmp
se puede utilizar en su lugar.
Consejo: El HTTP, todo servicio no incluye el DNS
Un error común es suponer que el servicio predefinido http-todo incluye el protocolo DNS. No lo hace por lo que el servicio
predefinido dns-todo es por lo general también se requiere para la mayoría de navegación web. Esto podría ser incluido en un
grupo con http-todo y luego asociado con las normas de propiedad intelectual que permiten la navegación por Internet.
Restringir los servicios a la mínima necesaria
Al elegir un objeto de servicio para construir una política como una regla IP, los protocolos incluidos en ese objeto debe ser tan
pocos como sea necesario para lograr el objetivo de filtrado de tráfico. Utilizando el
all_services objeto puede ser conveniente pero elimina los beneficios de seguridad que un objeto de servicio más específico podría proporcionar.
El mejor enfoque es reducir el filtro de servicio en una política de seguridad por lo que permite que sólo los protocolos que son absolutamente
necesarias. los all_tcpudpicmp objeto de servicio es a menudo la primera opción para el tráfico general, pero incluso esto puede permitir que
muchos más protocolos que son normalmente necesarias y el administrador puede a menudo reducir la gama de protocolos permitidos
adicionales.
Ejemplo 3.12. La creación de un servicio personalizado TCP / UDP
Este ejemplo muestra cómo agregar un / servicio UDP TCP, utilizando el puerto de destino 3306, que se utiliza por MySQL:
GW-mundo: /> Servicio añadir ServiceTCPUDP MySQL

DestinationPorts = 3306 = Tipo
TCP
Interfaz web
1. Ir a: Objetos> Servicios> Añadir> TCP / UDP servicio
2. Especificar un nombre adecuado para el servicio, por ejemplo, MySQL
• Tipo: TCP
• Fuente: 0-65535
• Destino: 3306
3.3.3. Servicios ICMP

Otro tipo de servicio personalizado que puede ser creado es una Servicio ICMP.
los Protocolo de mensajes de control de Internet ( ICMP) es un protocolo que se integra con IP para la presentación de informes de errores y
transmitir información de control. Por ejemplo, el ICMP Silbido función utiliza ICMP para probar la conectividad a Internet.
102
3.3.3. Servicios ICMP Capítulo 3. Fundamentos
Tipos ICMP y códigos
Los mensajes ICMP se suministran en paquetes IP, e incluye una Tipo de mensaje que especifica el formato del mensaje ICMP y
una Código que se utiliza para calificar aún más el mensaje. Por ejemplo, el tipo de mensaje Destino inalcanzable utiliza el Código parámetro
para especificar el motivo exacto del error.
Cualquiera de todos los tipos de mensajes ICMP pueden ser aceptadas por un servicio (hay 256 tipos posibles) o es posible para filtrar los
tipos.
Especificación de Códigos
Si se selecciona un tipo entonces los códigos de este tipo se pueden especificar de la misma manera que los números de puerto están
especificados. Por ejemplo, si el Destino inalcanzable tipo se selecciona con la lista de códigos de coma deliminated 0,1,2,3 entonces esto
va a filtrar Red inalcanzable, Host inalcanzable, inalcanzable Protocolo y Puerto inalcanzable.
Cuando se selecciona un tipo de mensaje, pero no se dan valores de código a continuación, todos los códigos para ese tipo se supone.
Tipos de mensajes ICMP
Los tipos de mensaje que se pueden seleccionar son los siguientes:
Echo Request Enviado por PING a un destino con el fin de comprobar la conectividad.
Destino inalcanzable La fuente dijo que se ha producido un problema al entregar un paquete.

Hay códigos de 0 a 5 para este tipo:
• Código 0: Net Inalcanzable
• Código 1: host inalcanzable
• Código 2: Protocolo Inalcanzable
• Código 3: Puerto Inalcanzable
• Código 4: No se puede fragmentar
• Código 5: Fuente de carreteras Falló
redireccionar La fuente se le dice que hay una mejor ruta para un paquete en particular. Códigos
asignados son los siguientes:
• Código 0: Redirigir datagramas para la red
• Código 1: Redirigir datagramas para el anfitrión
• Código 2: Redirigir datagramas para el tipo de servicio y la red
• Código 3: Redirigir datagramas para el tipo de servicio y el anfitrión
Problema parámetro Identifica un parámetro incorrecto en el datagrama.
Echo Responder La respuesta desde el destino que se envía como consecuencia de la solicitud de eco.
fuente Amortiguamiento La fuente está enviando datos demasiado rápido para el receptor, el búfer
103
3.3.4. Servicios de protocolo IP personalizados Capítulo 3. Fundamentos
ha llenado.
Tiempo excedido El paquete ha sido desechado, ya que ha llevado demasiado tiempo para ser entregados.
3.3.4. Servicios de protocolo IP personalizados
Los servicios que se ejecutan sobre IP y realizan application / funciones de la capa de transporte puede ser identificada por números de
protocolo IP. IP puede transportar datos de un número de diferentes protocolos. Estos protocolos son cada uno identificado por un número de
protocolo IP única especificada en un campo de la cabecera IP. Por ejemplo, ICMP, IGMP y EGP tienen números de protocolo 1, 2 y 8,
respectivamente.
Similar a los intervalos de puertos TCP / UDP descritas previamente, un intervalo de números de protocolo IP puede utilizarse para
especificar varias aplicaciones para un servicio. Por ejemplo, especificar la gama 1-4,7 coincidirán con los protocolos ICMP, IGMP, GGP,
IP-en-IP y TCC.
números de protocolo IP
Los números de protocolo IP asignadas actualmente y referencias han sido publicadas por la Autoridad de asignación de números de Internet ( IANA)
y se puede encontrar en:
http://www.iana.org/assignments/protocol-numbers
Ejemplo 3.13. Adición de un servicio de protocolo IP
Este ejemplo muestra cómo agregar un servicio de protocolo IP, con el Virtual Router Redundancy Protocol.
GW-mundo: /> Servicio añadir ServiceIPProto VRRP IPProto = 112
Interfaz web
1. Ir a: Objetos> Servicios> Añadir> servicio de protocolo IP
2. Especificar un nombre adecuado para el servicio, por ejemplo, VRRP
3. Introduzca 112 en el Protocolo IP controlar
4. Opcionalmente entrar Virtual Router Redundancy Protocol en el comentarios controlar
3.3.5. Grupos de servicios
UN Service Group es, tal y como su nombre indica, un objeto NetDefendOS que consiste en una colección de servicios. Aunque el
concepto de grupo es simple, puede ser muy útil en la construcción de políticas de seguridad desde que el grupo se puede utilizar en
lugar de un servicio individual.
La ventaja de los grupos
Por ejemplo, puede haber una necesidad de un conjunto de reglas IP que son idénticos entre sí excepto por el parámetro de servicio. Mediante la
definición de un grupo de servicio que contiene todos los objetos de servicio de todas las reglas individuales, podemos reemplazar todos ellos con
sólo una regla IP que utiliza el grupo.
Supongamos que creamos un grupo de servicio llamada correo electrónico de servicios que combina los tres objetos de servicios SMTP,
POP3 y IMAP. Ahora sólo una regla IP necesita ser definido que utiliza este grupo
104
3.3.6. Tiempos de espera de servicios personalizados Capítulo 3. Fundamentos
servicio para permitir que todo el tráfico de correo electrónico relacionados con fluya.
Los grupos pueden contener otros grupos
Cuando un grupo se define a continuación, puede contener servicios individuales y / o grupos de servicio. Esta capacidad de tener grupos
dentro de grupos se debe utilizar con precaución ya que puede aumentar la complejidad de la configuración y disminuir la capacidad de
solucionar problemas.
3.3.6. Tiempos de espera de servicios personalizados
Cualquier servicio puede tener su los tiempos de espera personalizados conjunto. Estos también se pueden configurar a nivel mundial en NetDefendOS
pero es más habitual para cambiar estos valores individualmente en un servicio personalizado.
Los ajustes de tiempo de espera que se pueden personalizar son los siguientes:
• Tiempo de espera inicial
Este es el tiempo permitido para una nueva conexión de estar abierto.
• Establecer (inactivo) Tiempo de espera
Si no hay actividad en una conexión para esta cantidad de tiempo, entonces se considera que ser cerrado y se elimina de la
tabla de estado NetDefendOS. El valor predeterminado de este tiempo con conexiones TCP / UDP es de 3 días.
• Tiempo de espera de cerrar
El es el tiempo permitido para la conexión a ser cerrado.
El administrador debe hacer un juicio como lo que los valores aceptables deben ser para un protocolo particular. Esto puede depender, por
ejemplo, en la capacidad de respuesta esperada de servidores a los que se conectan los clientes.
105
3.4. Interfaces Capítulo 3. Fundamentos
3.4. Interfaces
Un Interfaz es un importante bloque de construcción lógico en NetDefendOS. Todo el tráfico de red que transita a través, procede total
o parcialmente terminada en el NetDefend Firewall, hace a través de una o más interfaces.
Interfaces de origen y de destino
Una interfaz puede ser visto como una puerta por la que el tráfico de red pasa a o desde NetDefendOS. Una interfaz
NetDefendOS tiene una de dos funciones:
• La interfaz de origen
Cuando el tráfico llega a través de una interfaz, esa interfaz se refiere el NetDefendOS como el
fuente interfaz (también a veces conocido como el recepción o entrante interfaz).
• La interfaz de destino
Cuando el tráfico se marcha después de que se comprueba en contra de las políticas de seguridad NetDefendOS, la interfaz utilizada para
enviar el tráfico se hace referencia en el NetDefendOS como el destino interfaz (también a veces conocido como el enviando interfaz).
Todo el tráfico que pasa a través NetDefendOS tiene tanto una fuente y destino interfaz. Como se explica en mayor profundidad más
adelante, la interfaz lógica especial núcleo se utiliza al mismo NetDefendOS es el origen o el destino para el tráfico.
Tipos de interfaz
NetDefendOS soporta un número de tipos de interfaz, que se pueden dividir en los siguientes cuatro grupos principales:
• Interfaces Ethernet
Cada interfaz Ethernet representa una interfaz Ethernet físico en un producto basado en NetDefendOS. Todo el tráfico
de red que se origina desde o entra en un NetDefend Firewall pasará a través de una de las interfaces físicas.
NetDefendOS soporta actualmente Ethernet como el único tipo de interfaz física. Para obtener más información acerca de las
interfaces Ethernet, consulte Sección 3.4.2, “Interfaces Ethernet”.
• Subinterfaces
Algunas interfaces requieren una unión a una interfaz física subyacente con el fin de transferir datos. Este grupo de
interfaces se llama Sub-interfaces físicas.
NetDefendOS tiene soporte para dos tipos de sub-interfaces:
• LAN virtual ( VLAN) de interfaces según lo especificado por IEEE 802.1Q. Al encaminar paquetes IP a través de una interfaz LAN
virtual, que se encapsulan en tramas Ethernet VLAN con etiquetas. Para obtener más información acerca de las interfaces LAN
virtuales, consulte Sección 3.4.3, “VLAN”.
• PPPoE ( PPP a través de Ethernet) interfaces para la conexión con servidores PPPoE. Más información sobre este tema puede
encontrarse en Sección 3.4.4, “PPPoE”.
• interfaces de túnel
106
3.4.1. Visión de conjunto Capítulo 3. Fundamentos
interfaces de túnel se utilizan cuando el tráfico de red está siendo un túnel entre el sistema y otro túnel punto final de
la red, antes de que se encamina a su destino final. túneles VPN se utilizan a menudo para poner en práctica redes
privadas virtuales ( VPNs) que puede proteger la comunicación entre dos cortafuegos.
Para lograr un túnel, cabeceras adicionales se agregan al tráfico que va a ser un túnel. Además, diversas transformaciones se
pueden aplicar al tráfico de red en función del tipo de interfaz de túnel. Por ejemplo, cuando el encaminamiento del tráfico a
través de una interfaz de IPsec, la carga es generalmente encriptada para lograr la confidencialidad.
NetDefendOS soporta los siguientes tipos de interfaz de túnel:
yo. IPsec las interfaces se utilizan como puntos finales para túneles IPsec VPN. Más información sobre este tema puede encontrarse en Sección
9.3, “Componentes de IPsec”.
ii. PPTP / L2TP las interfaces se utilizan como puntos finales para PPTP o L2TP túneles. Más información
sobre este tema se puede encontrar en Sección 9.5, “PPTP / L2TP”.
Iii. GRE las interfaces se utilizan para establecer túneles GRE. Más información sobre este tema puede ser
encontrado en Sección 3.4.5, “Túneles GRE”.
Todas las interfaces son lógicamente equivalentes
A pesar de que los diferentes tipos de interfaces pueden ser muy diferentes en la forma en que funcionan, NetDefendOS trata a todas las
interfaces como lógicamente equivalentes. Este es un concepto importante y de gran alcance y significa que todos los tipos de interfaces se
pueden utilizar de manera casi intercambiable en los diferentes conjuntos de reglas NetDefendOS y otros objetos de configuración. Esto se
traduce en un alto grado de flexibilidad en cómo el tráfico se puede examinar, controla y dirige.
Interfaces tienen nombres únicos
Cada interfaz en NetDefendOS se le da un nombre único para ser capaz de identificar y seleccionar para su uso con otros NetDefendOS
objetos en una configuración. Algunos tipos de interfaces, tales como interfaces Ethernet físicas, ya están previstas por NetDefendOS con
nombres predeterminados que son relevantes posible modificar si es necesario. Las nuevas interfaces definidas por el administrador siempre
requerirá un nombre proporcionado por el usuario a especificar.
Advertencia
Si una definición de interfaz se elimina de una configuración NetDefendOS, es importante eliminar primero o cambiar
cualquier referencia a esa interfaz. Por ejemplo, las reglas en el conjunto de reglas IP que hacen referencia a que la interfaz
deben ser retirados o cambiados.
los alguna y núcleo Interfaces
Además, NetDefendOS proporciona dos interfaces lógicas especiales que llevan el nombre alguna y núcleo.
El significado de estos son:
• alguna representa todas las interfaces posibles, incluyendo la núcleo interfaz.
• núcleo indica que es en sí NetDefendOS que lidiar con el tráfico hacia y desde esta interfaz. Ejemplos de la utilización de núcleo son
cuando el NetDefend Firewall actúa como un servidor PPTP o L2TP o responde a las peticiones ICMP "ping". Especificando el Interfaz
de destino de una ruta como núcleo,
NetDefendOS sabrá entonces que es en sí mismo que es el mejor destino del tráfico.
107
3.4.2. Interfaces Ethernet Capítulo 3. Fundamentos
Desactivación de una interfaz
¿Debería ser deseable desactivar una interfaz de manera que no hay tráfico puede fluir a través de él, esto se puede hacer con la CLI mediante el
comando:
GW-mundo: /> configurar la interfaz Ethernet <interface-name> -disable
donde < interface-name> es la interfaz estar deshabilitado.
Para volver a habilitar una interfaz, el comando es:
GW-mundo: /> configurar la interfaz Ethernet <interface-name> -enable
interfaces de discapacitantes también se puede hacer a través de la interfaz web.
3.4.2. Interfaces Ethernet

La norma Ethernet IEEE 802.3 permite varios dispositivos a estar unidos en puntos arbitrarios o "puertos" a un mecanismo de
transporte físico tal como un cable coaxial. Utilizando el protocolo CSMA / CD, cada dispositivo conectado Ethernet "escucha" a la red
y envía datos a otro dispositivo conectado cuando no hay otra está enviando. Si 2 dispositivos emitir simultáneamente, algoritmos les
permiten volver a enviar en diferentes momentos.
Nota: El uso de los términos "interface" y "puerto"
Los términos interfaz Ethernet y Puerto Ethernet se pueden utilizar indistintamente. En este documento, el término interfaz
Ethernet se utiliza en todo lo que no se confunde con el
Puerto asociados a la comunicación IP.
tramas Ethernet
Dispositivos de difusión de datos como Ethernet marcos y otros dispositivos "escuchan" para determinar si son el destino previsto para cualquiera
de estos marcos. Una trama es una secuencia de bits que especifican el dispositivo de origen más el dispositivo de destino, más la carga útil de
datos, junto con los bits de comprobación de errores. Una pausa entre la transmisión de tramas individuales permite tiempo dispositivos para
procesar cada trama antes de la siguiente llega y esta pausa es progresivamente menor con las velocidades de transmisión de datos más rápidas
que se encuentran en Ethernet normal, a continuación, Fast Ethernet y finalmente Gigabit Ethernet.
Interfaces Ethernet físicos
Cada interfaz Ethernet NetDefendOS lógico corresponde a una interfaz Ethernet físico en el sistema. El número de interfaces,
su velocidad de transferencia y la forma en que se realizan las interfaces, depende del modelo de hardware.
Nota: Desmontes de interfaz conectados a través de una matriz de conmutación
Algunas plataformas de hardware para NetDefendOS utilizan un interruptor integrado de capa 2 para proporcionar tomas
adicionales de interfaz Ethernet física. Externamente puede haber varias tomas separadas pero éstas están unidas a través
de una matriz de conmutación interna.
Tales interfaces unidas son vistos como una única interfaz por NetDefendOS y la configuración NetDefendOS utiliza
un único nombre de la interfaz lógica para referirse a todos ellos. Las especificaciones que se relacionan con
diferentes modelos de hardware se indican cuando sea el caso.
108
Parámetros de la interfaz Ethernet
Los siguientes son los diversos parámetros que se pueden ajustar para una interfaz Ethernet:
• Nombre de interfaz
Los nombres de las interfaces Ethernet están predefinidos por el sistema, y se asignan a los nombres de las interfaces
físicas.
Los nombres de las interfaces Ethernet se pueden cambiar para reflejar mejor su uso. Por ejemplo, si una interfaz llamada DMZ está
conectado a una LAN inalámbrica, puede ser conveniente cambiar el nombre de la interfaz de radio. Para el mantenimiento y
resolución de problemas, se recomienda para etiquetar la interfaz física correspondiente con el nuevo nombre.
Nota: la enumeración de interfaz
El proceso de inicio enumerará todas las interfaces Ethernet disponibles. Cada interfaz se le dará un
nombre de la forma Lann, Wann y DMZ, donde N representa el número de la interfaz si el NetDefend
Firewall tiene más de una de estas interfaces. En la mayoría de los ejemplos en esta guía lan se utiliza
para el tráfico de LAN y WAN se utiliza para el tráfico WAN. Si el Firewall NetDefend no tiene estos
nombres de interfaz, deberá sustituir las referencias con los nombres reales de las interfaces.
• Dirección IP
Cada interfaz Ethernet está obligado a tener una Dirección IP de la interfaz, que puede ser una dirección estática o una dirección
proporcionada por DHCP. La dirección IP de la interfaz se utiliza como la dirección principal para comunicarse con el sistema a
través de la interfaz de Ethernet específico.
NetDefendOS IP4 Dirección objetos se utilizan generalmente para definir las direcciones IPv4 de las interfaces Ethernet. Esos
objetos son normalmente auto-generado por el sistema. Para obtener más información, consulte Sección 3.1.5, “Auto-Generado
Dirección Objects”.
Consejo: Especificación de múltiples direcciones IP en una interfaz
Varias direcciones IP pueden ser especificados para una interfaz Ethernet utilizando la función ARP Publicar. (Para
obtener más información, consulte la Sección 3.5, “ARP”).
• Red
Además de la dirección IP de la interfaz, una Red dirección también se especifica para una interfaz Ethernet. La dirección de
red proporciona información acerca de lo que NetDefendOS direcciones IP son directamente accesibles a través de la interfaz.
En otras palabras, aquellos que residen en el mismo segmento LAN como la propia interfaz. En la tabla de enrutamiento
asociado con la interfaz, NetDefendOS creará automáticamente una ruta directa a la red especificada por la interfaz real.
• Puerta de enlace predeterminada
UN Puerta de enlace predeterminada dirección opcionalmente se puede especificar para una interfaz Ethernet. Se trata de una normalmente la
dirección de un router y muy a menudo el router que actúa como puerta de enlace a Internet.
Normalmente, sólo un defecto todas las redes de la ruta a la puerta de enlace predeterminada debe existir en la tabla de enrutamiento.
109
• Habilitar cliente DHCP
NetDefendOS incluye una función de cliente DHCP para la asignación dinámica de la información de la dirección por un servidor
DHCP conectado. Esta característica se utiliza a menudo para recibir información de la dirección IP externa del servidor DHCP del
ISP para la conexión a Internet.
La información que se puede establecer usando DHCP incluye la dirección IP de la interfaz, la red local que la interfaz está
unido a, y la puerta de enlace por defecto.
Todas las direcciones recibidas desde el servidor DHCP se asignan a los objetos IP4Address correspondiente. De esta manera, las
direcciones asignadas dinámicamente pueden ser utilizados a lo largo de la configuración de la misma manera que las direcciones estáticas.
Por defecto, los objetos de uso son los mismos como se define en
Sección 3.1.5, “Auto-Generado Dirección Objects”.
Por defecto, DHCP está deshabilitado en las interfaces Ethernet. Si la interfaz está siendo utilizado para la conexión a la Internet pública a través
de un ISP mediante direcciones IP fijas a continuación DHCP no debe ser utilizado.
direcciones de servidor DNS recibidos a través de DHCP en una interfaz llamada <interface-name> serán asignados a
NetDefendOS frente a los objetos con los nombres < interface-name> _dns1 y
<Interface-name> _dns2.
Nota: Una puerta de enlace IP no se puede eliminar con DHCP activado
Si DHCP está habilitado para una interfaz Ethernet dada entonces cualquier dirección IP de puerta de enlace que se define
para que la interfaz no se puede eliminar. Para quitar la dirección de puerta de enlace, la opción DHCP debe estar
deshabilitado en primer lugar.
Si DHCP está habilitado, entonces hay una serie de ajustes avanzados específicos de interfaz:
yo. Una dirección IP preferida puede ser solicitada.
ii. Un tiempo de concesión preferido puede ser solicitada.
Iii. Las rutas estáticas se pueden enviar desde el servidor DHCP.
iv. No permita que las colisiones de direcciones IP con rutas estáticas.
v. No permita que las colisiones de red con rutas estáticas.
VI. Especificar una dirección IP permitida para la concesión DHCP.
vii. Especificar un rango de direcciones para servidores DHCP de la cual se aceptarán contratos de alquiler.
• nombre de servidor
En algunos, casos poco frecuentes de un servidor DHCP pueden requerir una nombre de host para ser enviado por el cliente DHCP.
• Habilitar modo transparente
La forma recomendada para habilitar el modo transparente es añadir rutas de conmutación, como se describe en
Sección 4.7, “Modo transparente”. Un método alternativo es para habilitar el modo transparente directamente en una interfaz con esta
opción.
Cuando está habilitada, las rutas de conmutación por defecto se añaden automáticamente a la tabla de encaminamiento para la interfaz y
cualquier ruta no interruptor correspondiente se eliminan automáticamente.
• Configuración del hardware
En algunas circunstancias, puede ser necesario cambiar la configuración del hardware para una interfaz. Las opciones disponibles son:
yo. La velocidad del enlace se puede ajustar. Por lo general, lo mejor es dejar que Auto.
110
ii. La dirección MAC se puede establecer si tiene que ser diferente a la dirección MAC incorporado en el hardware. Algunas
conexiones ISP pueden requerir esto.
• virtual Routing
Para implementar enrutamiento virtual donde las rutas relacionadas con diferentes interfaces se mantienen en la tabla de enrutamiento separada,
hay una serie de opciones:
yo. Hacer que la interfaz de un miembro de todas las tablas de enrutamiento. Esta opción está activada por defecto y significa que el tráfico
que llega en la interfaz será dirigida de acuerdo con el principal tabla de ruteo. Las rutas para la interfaz IP se insertarán en todas las
tablas de enrutamiento.
ii. La alternativa a lo anterior es insertar la ruta para este interfaz en solamente una tabla de enrutamiento específico. La tabla de
enrutamiento especificada se utilizará para todas las consultas de rutas a menos que exista una regla de enrutamiento.
• Creación automática de ruta
Las rutas se pueden añadir de forma automática para la interfaz. Esta adición puede ser de los siguientes tipos:
yo. Añadir una ruta para esta interfaz para la red dada. Esto está habilitado por defecto.
ii. Añadir una ruta predeterminada para esta interfaz utilizando la puerta de enlace predeterminada dado. Esto está habilitado por defecto.
• MTU
Esto determina el tamaño máximo de paquetes en bytes que pueden ser enviadas en esta interfaz. Por defecto, la interfaz
utiliza el tamaño máximo admitido.
• Alta disponibilidad
Hay dos opciones que son específicas de clústeres de alta disponibilidad:
1. Una dirección IPv4 privada se puede especificar para esta interfaz.
2. Una opción adicional es desactivar el envío de latidos de clúster de alta disponibilidad de esta interfaz.
• Calidad de servicio
Existe la opción de copiar la IP DSCP precedencia al campo de prioridad de VLAN para los paquetes VLAN. Esto está deshabilitado
por defecto.
Cambio de la dirección IPv4 de una interfaz Ethernet
Para cambiar la dirección IPv4 en una interfaz, podemos utilizar uno de dos métodos:
• Cambiar la dirección IPv4 directamente en la interfaz. Por ejemplo, si queremos cambiar la dirección IPv4 de la lan interfaz
para 10.1.1.2, podríamos utilizar el comando CLI:
GW-mundo: /> configurar la interfaz Ethernet LAN IP = 10.1.1.2
Como se explica a continuación, no se recomienda esta forma de cambiar la dirección IPv4.
• En cambio, el yo planeo objeto en los NetDefendOS Directorio se debe asignar la nueva dirección, ya que es este objeto que es utilizado por
muchos otros objetos NetDefendOS como las normas de propiedad intelectual. El comando CLI para hacer esto sería la siguiente:
GW-mundo: /> Seleccionar la dirección de IP4Address ip_lan Dirección = 10.1.1.2
111
Esta misma operación también podría hacerse a través de la interfaz web.
Un resumen de los comandos de la CLI que se puede utilizar con interfaces Ethernet se puede encontrar en
Sección 3.4.2.1, “Comandos de la CLI útiles para interfaces Ethernet”.
La diferencia entre interfaces Ethernet lógicos y físicos
La diferencia entre las interfaces lógicas y físicas a veces puede ser confuso. los lógico
interfaces Ethernet son los que se hace referencia en una configuración NetDefendOS. Cuando se utiliza la interfaz web, solamente las
interfaces lógicas son visibles y pueden ser manejados.
Cuando se utiliza la CLI, tanto las interfaces lógicas y físicas pueden ser manejados. Por ejemplo, para cambiar el nombre de
la interfaz lógica IF1 ser lan, el comando CLI es:
GW-mundo: /> configurar la interfaz Ethernet LAN Nombre IF1 =
Esto cambia el nombre lógico de la interfaz (y todas las referencias a ella), pero no cambia el nombre físico subyacente. Por
ejemplo, el comando de la CLI ifstat muestra sólo los nombres de las interfaces físicas y esta lista no es afectado por el cambio
de nombre anteriormente.
En la CLI, una interfaz física está representado por el objeto EthernetInterface. Para mostrar todas las características de una
interfaz, por ejemplo para la interfaz IF1, el comando CLI es:
GW-mundo: /> Mostrar EthernetInterface IF1
La salida de este comando muestra detalles acerca de la tarjeta de Ethernet físico incluyendo el número de bus, la ranura y el puerto
de la tarjeta, así como el controlador de Ethernet se utiliza. Estos detalles no son relevantes para el objeto de interfaz lógica asociada
con la interfaz física.
3.4.2.1. CLI útil Comandos para interfaces Ethernet

Esta sección resume los comandos CLI más comúnmente utilizado para examinar y manipular las interfaces Ethernet
NetDefendOS.
interfaces Ethernet también pueden ser examinados a través de la interfaz web, pero para algunas operaciones se deben utilizar la CLI.
Mostrando la Asignación de interfaces
Para mostrar la interfaz actual asignado a la dirección IP wan_ip:
GW-mundo: /> Ver dirección IP4Address InterfaceAddresses / wan_ip
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre: wan_ip
Dirección: 0.0.0.0 UserAuthGroups:
<vacío> NoDefinedCredentials: No
Comentarios: dirección IP de la interfaz WAN
Para mostrar la interfaz actual asignado a la red wan_net:
GW-mundo: /> Ver dirección IP4Address InterfaceAddresses / wan_net
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre: wan_net
Dirección: 0.0.0.0/0
112
UserAuthGroups: <vacío>
NoDefinedCredentials: No se
Comentarios: Red en la interfaz WAN
Para mostrar la interfaz actual asignada a la pasarela wan_gw:
GW-mundo: /> Ver dirección IP4Address InterfaceAddresses / wan_gw
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre: wan_gw
Dirección: 0.0.0.0 UserAuthGroups:
<vacío> NoDefinedCredentials: No
Comentarios: Puerta de enlace predeterminada para la interfaz WAN
Mediante el uso de la tecla de tabulación al final de una línea, la implementación del tabulador puede ser utilizado para completar el comando:
GW-mundo: /> Ver dirección IP4Address InterfaceAddresses / wan_ < pestaña>
[<Categoría>] [<tipo> [<identificador>]]:
InterfaceAddresses / wan_br InterfaceAddresses / wan_gw

InterfaceAddresses / wan_dns1 InterfaceAddresses / wan_ip InterfaceAddresses / wan_dns2
InterfaceAddresses / wan_net
Aquí, la implementación del tabulador se utiliza de nuevo al final de la línea de comandos:
GW-mundo: /> establecer la dirección IP4Address < pestaña>
[<Categoría>] <tipo> [<identificador>]:
dnsserver1_ip InterfaceAddresses / wan_br timesyncsrv1_ip

InterfaceAddresses / aux_ip InterfaceAddresses / wan_dns1 InterfaceAddresses / aux_net
InterfaceAddresses / wan_dns2 InterfaceAddresses / dmz_ip InterfaceAddresses / wan_gw
InterfaceAddresses / dmz_net InterfaceAddresses / wan_ip InterfaceAddresses / LAN_IP
InterfaceAddresses / wan_net InterfaceAddresses / lan_net servidor
Configuración de las direcciones de interfaz
El CLI puede utilizarse para establecer la dirección de la interfaz:
GW-mundo: /> Seleccionar la dirección de IP4Address

InterfaceAddresses / wan_ip Dirección
= 172.16.5.1
Modificado IP4Address InterfaceAddresses / wan_ip.
permitiendo DHCP
El CLI puede utilizarse para habilitar DHCP en la interfaz:
GW-mundo: /> configurar la interfaz Ethernet WAN DHCPEnabled = yes
Modificado Ethernet WAN.
113
Órdenes de dispositivo Ethernet
Algunas configuraciones de interfaz proporcionan una gestión directa de la Ethernet de los propios ajustes. Estos son particularmente útiles si el
hardware D-Link ha sido reemplazado y configuración de la tarjeta Ethernet han de ser cambiado, o si la configuración de las interfaces cuando se
ejecuta NetDefendOS en hardware que no sea de D-Link.
Por ejemplo, para mostrar toda la información interfaz Ethernet utiliza el comando:
GW-mundo: /> Mostrar EthernetDevice
Este comando muestra las listas de todas las interfaces Ethernet. Los definidos como interfaces lógicas en la configuración actual están
marcados por un signo más "+" a la izquierda de la lista.
Esas interfaces que existen físicamente, pero no son parte de la configuración se indican con un signo menos "-" símbolo del margen izquierdo.
Estos serán eliminados después de la configuración se activa. Si una interfaz de borrado en la lista de interfaces va a ser restaurada, esto se
puede hacer con el Undelete mando:
GW-mundo: /> undelete EthernetDevice <interface>
detalles de la interfaz individuales se pueden mostrar, por ejemplo para la interfaz IF1, con el comando:
GW-mundo: /> Mostrar EthernetDevice IF1
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Nombre: IF1
EthernetDriver: E1000EthernetPCIDriver
PCIbus: 0 PCISlot:
17 PCIPort: 0
""
los conjunto comando se puede utilizar para controlar una interfaz Ethernet. Por ejemplo, para desactivar una interfaz LAN, se puede utilizar el
comando siguiente:
GW-mundo: /> establecer EthernetDevice lan -disable
Para habilitar la interfaz LAN:
GW-mundo: /> establecer EthernetDevice lan -enable
Para configurar el controlador en una tarjeta de interfaz de Ethernet del comando es:
GW-mundo: /> establecer EthernetDevice lan EthernetDriver = <controlador>

PCIbus = <X> PCISlot = <Y> PCIPort = <Z>
Por ejemplo, si el nombre del controlador es IXP4NPEEthernetDriver para el bus, ranura, combinación de puerto 0, 0, 2 sobre el pálido interfaz, el conjunto
comando sería:
GW-mundo: /> establecer EthernetDevice lan

EthernetDriver = IXP4NPEEthernetDriver PCIbus = 0
PCISlot = 0 PCIPort = 2
Este comando es útil cuando una configuración restaurada contiene los nombres de interfaces que no coinciden con los nombres de interfaz de
hardware nuevo. Mediante la asignación de los valores de bus, ranura, puerto y conductor de un
114
3.4.3. VLAN Capítulo 3. Fundamentos
interfaz física a una interfaz lógica en la confguración, la interfaz lógica se asigna a la interfaz física. Sin embargo, esta
asignación debe hacer antes de que se activa la configuración.
Para obtener una lista completa de todas las opciones de la CLI ver el Guía de referencia de la CLI.
3.4.3. VLAN
Visión de conjunto
LAN virtual ( VLAN) en NetDefendOS permite la definición de una o varias interfaces LAN virtuales que están asociados con una
interfaz física particular. Estos son considerados entonces como interfaces lógicas por NetDefendOS y puede ser tratado como
cualquier otra interfaz en NetDefendOS conjuntos de reglas y tablas de enrutamiento.
VLANs son útiles en varios escenarios diferentes. Una aplicación típica es permitir una interfaz Ethernet para que aparezca como
muchas interfaces separadas. Esto significa que el número de interfaces Ethernet físicas en un NetDefend Firewall no necesita limitar
la cantidad de redes externas totalmente separadas se pueden conectar.
Otro uso típico de las VLAN es agrupar los clientes en una organización para que el tráfico perteneciente a diferentes grupos se
mantiene completamente separado en diferentes VLAN. El tráfico puede entonces sólo fluir entre las VLAN diferentes bajo el control
de NetDefendOS y se filtra utilizando las políticas de seguridad descritos por los conjuntos de reglas NetDefendOS.
Como se explica en más detalle a continuación, la configuración de VLAN con NetDefendOS implica una combinación de troncos de VLAN Del
NetDefend Firewall para interruptores y estos interruptores están configurados con
VLAN basada en el puerto en sus interfaces. Cualquier interfaz de servidor de seguridad física puede, al mismo tiempo, llevar el tráfico de
VLAN no así el tráfico troncal de VLAN para una o varias VLAN.
Procesamiento de VLAN
NetDefendOS sigue la especificación IEEE 802.1Q. Las funciones especifica cómo VLAN mediante la adición de una Identificador de LAN virtual ( ID
de VLAN) para encabezados de tramas Ethernet que forman parte del tráfico de una VLAN.
La VLAN ID es un número entre 0 y 4095 que se utiliza para identificar la LAN Virtual específica a la que pertenece cada trama. Con este
mecanismo, las tramas Ethernet pueden pertenecer a diferentes redes de área local virtuales, pero todavía pueden compartir el mismo enlace
físico Ethernet.
Los siguientes principios son la base del procesamiento NetDefendOS de VLAN etiquetada tramas Ethernet en una interfaz física:
• tramas Ethernet recibidas en una interfaz física por NetDefendOS, se examinan para un ID de VLAN. Si se encuentra un ID de
VLAN y una interfaz de VLAN encontrado está definido para que la interfaz, NetDefendOS utilizarán la interfaz VLAN como interfaz
de origen lógico para su posterior procesamiento conjunto de reglas.
• Si no hay ID VLAN unido a una trama de Ethernet recibido en una interfaz, entonces el origen de la trama se
considera que es la interfaz física y no una VLAN.
• Si VLAN etiquetada tráfico se recibe en una interfaz física y no hay VLAN definido para que la interfaz en la configuración
NetDefendOS con un ID de VLAN correspondiente a continuación, que el tráfico se deja caer por NetDefendOS y una unknown_vlanid
se genera mensaje de registro.
• El ID de VLAN debe ser único para una interfaz física NetDefendOS individuales pero el mismo ID de VLAN se puede utilizar en
más de una interfaz física. En otras palabras, una misma VLAN puede abarcar muchas interfaces físicas.
• Una interfaz física no necesita estar dedicado a las VLAN y puede transportar una mezcla de VLAN y el tráfico no VLAN.
115
Conexión VLAN físico con VLAN
La ilustración siguiente muestra las conexiones para un escenario típico NetDefendOS VLAN.
Figura 3.1. Conexiones VLAN
Con NetDefendOS VLAN, las conexiones físicas son las siguientes:
• Uno de más VLAN están configurados en una interfaz de NetDefend Firewall física y este está conectado directamente a un conmutador. Este
enlace actúa como una tronco de VLAN. El interruptor utilizado debe ser compatible
VLANs basadas en puertos. Esto significa que cada puerto del conmutador se puede configurar con el ID de la VLAN o las VLANs que un
puerto está conectado. El puerto del conmutador que se conecta al servidor de seguridad debe estar configurado para aceptar las ID de
VLAN que fluirán a través del tronco.
En la ilustración anterior las conexiones entre las interfaces IF1 y IF2 a los interruptores
switch1 y switch2 son troncos de VLAN.
• Otros puertos del conmutador que se conectan a los clientes de VLAN se configuran con los ID de VLAN individuales. Cualquier dispositivo
conectado a uno de estos puertos se convertirán, automáticamente parte de la VLAN configurada para ese puerto. En los switches Cisco Esto
se conoce como la configuración de una VLAN de acceso estático.
En switch1 en la ilustración anterior, una interfaz se configura para ser dedicado a VLAN1 y otros dos están dedicados a VLAN2.
El interruptor podría también tráfico de tronco hacia delante desde el servidor de seguridad en otro tronco si es necesario.
• Más de una interfaz en el servidor de seguridad puede transportar tráfico de tronco de VLAN y éstos se conectará con los interruptores
separados. Más de un tronco puede ser configurado para transportar tráfico con el mismo ID de VLAN.
116
Nota: No se admite 802.1ad
NetDefendOS no es compatible con el estándar IEEE 802.1ad (puentes proveedor) que permite a las VLAN para
ejecutar dentro de otras VLAN.
Limitaciones de la Licencia
El número de interfaces VLAN que se pueden definir para una instalación NetDefendOS está limitado por los parámetros de la licencia
utilizada. modelos de hardware diferentes tienen diferentes licencias y diferentes límites en las VLAN.
Resumen de la instalación de VLAN
A continuación se presentan los pasos clave para configurar una interfaz VLAN.
1. Asignar un nombre a la interfaz VLAN.
2. Seleccione la interfaz física para la VLAN.
3. Asignar una ID de VLAN que es único en la interfaz física.
4. Opcionalmente, especifique una dirección IP para la VLAN.
5. Opcionalmente, especifique una dirección IP de difusión para la VLAN.
6. Crear la ruta (s) requerido para la VLAN en la tabla de enrutamiento apropiado.
7. Crear reglas de la norma IP configurada para permitir el tráfico a través de la interfaz VLAN.
Es importante entender que el administrador debe tratar a una interfaz VLAN igual que una interfaz física ya que requieren tanto las
reglas como las rutas IP apropiadas para existir en la configuración NetDefendOS para el tráfico fluya a través de ellos. Por ejemplo, si
hay una regla IP con una interfaz de VLAN en particular como interfaz de origen se define permitiendo que el tráfico fluya a
continuación, los paquetes que llegan en esa interfaz será dado de baja.
la configuración avanzada de VLAN
Hay una sola configuración avanzada de VLAN:
Desconocidos etiquetas VLAN
¿Qué hacer con los paquetes de VLAN etiquetadas con un ID desconocido.
Defecto: DropLog
Ejemplo 3.14. La definición de una VLAN
Este sencillo ejemplo define una LAN virtual llamado VLAN10 con un ID de VLAN de 10. La dirección IP de la VLAN se asume que ya está definido en la
libreta de direcciones como el objeto vlan10_ip.
GW-mundo: /> añadir la interfaz VLAN VLAN10

Ethernet LAN IP =
= vlan10_ip
117
3.4.4. PPPoE Capítulo 3. Fundamentos
Red = todas las redes de

VLANID = 10
Interfaz web
1. Ir a: Interfaces> VLAN> Añadir> VLAN
2. Ahora ingrese:
• Nombre: Introduzca un nombre, por ejemplo, VLAN10
• Interfaz: lan
• VLAN ID: 10
• Dirección IP: vlan10_ip
3.4.4. PPPoE
PPPoE ( PPPoE) es un protocolo de túnel utilizado para la conexión de múltiples usuarios en una red Ethernet a Internet a través de
una interfaz serie común, como una sola línea DSL, el dispositivo inalámbrico o un módem por cable. Todos los usuarios de la red
Ethernet comparten una conexión común, mientras que el control de acceso puede hacerse sobre una base por usuario.
proveedores de servidores de Internet (ISP) a menudo requieren que los clientes conectarse a través de PPPoE para su servicio de banda ancha. A
través de PPPoE del ISP puede:
• Implementar la seguridad y control de acceso mediante nombre de usuario / autenticación de contraseña
• Traza las direcciones IP para un usuario específico
• Asignar la dirección IP automáticamente para usuarios de PC (similares a DHCP). dirección IP de aprovisionamiento puede ser por grupo de
usuarios
El protocolo PPP
Punto-a-punto Protocolo ( PPP), es un protocolo para la comunicación entre dos ordenadores que utilizan una interfaz en serie, tal como el
caso de un ordenador personal conectado a través de una línea telefónica conmutada a un ISP.
En términos del modelo OSI en capas, PPP proporciona un mecanismo 2 de encapsulación de capa para permitir que los paquetes de los protocolos
en los viajan a través de redes IP. PPP utiliza el Protocolo de Control de Enlace (LCP) para el establecimiento del enlace, configuración y pruebas.
Una vez que el LCP se inicializa, uno o Protocolos de Control de varios de Red (NCP) se puede utilizar para el transporte de tráfico de un conjunto de
protocolos en particular, de modo que múltiples protocolos pueden interoperar en el mismo enlace, por ejemplo, tráfico IP y IPX puede compartir una
PPP enlazar.
La autenticación PPP
autenticación de PPP es opcional con PPP. Los protocolos de autenticación soportados son Protocolo de autenticación de
contraseña ( PAPILLA), Protocolo de autenticación por desafío mutuo ( CHAP) y
Microsoft CHAP ( versión 1 y 2). Si se utiliza la autenticación, al menos uno de los compañeros tiene que autenticarse a sí mismo antes de
que los parámetros de protocolo de capa de red pueden ser negociados usando NCP. Durante el LCP y la negociación de NCP, parámetros
opcionales tales como el cifrado, se pueden negociar.
118
3.4.4. PPPoE Capítulo 3. Fundamentos
Configuración del cliente de PPPoE
Dado que el protocolo PPPoE permite PPP para operar a través de Ethernet, el servidor de seguridad tiene que utilizar una de las interfaces normales
de Ethernet físico para ejecutar PPPoE sobre.
Cada túnel PPPoE se interpreta como una interfaz lógica por NetDefendOS, con las mismas configuración de enrutamiento y
capacidades como interfaces regulares y con las normas de PI se aplican a todo el tráfico. El tráfico de red de llegar al servidor de
seguridad a través del túnel PPPoE tendrá la interfaz de túnel PPPoE como su interfaz de origen. Para el tráfico saliente, la interfaz de
túnel PPPoE será la interfaz de destino.
Al igual que con cualquier interfaz, una o más rutas se definen de manera NetDefendOS sabe qué direcciones IP que debe aceptar el
tráfico desde y para enviar tráfico a través del túnel PPPoE. El cliente PPPoE puede ser configurado para utilizar un nombre de
servicio para distinguir entre diferentes servidores en la misma red Ethernet.
información de la dirección IP
PPPoE utiliza la asignación automática de direcciones IP que es similar a DHCP. Cuando NetDefendOS recibe esta información
de la dirección IP del ISP, la almacena en un objeto de red y lo utiliza como la dirección IP de la interfaz.
Autenticacion de usuario
Si la autenticación de usuario es requerido por el ISP, el nombre de usuario y la contraseña se puede configurar en NetDefendOS para el
envío automático al servidor PPPoE.
Marque cuando lo desee
Si se habilita la marcación bajo demanda, la conexión PPPoE sólo será cuando hay tráfico en la interfaz PPPoE. Es posible configurar el
modo en el servidor de seguridad debe detectar la actividad en la interfaz, ya sea en el tráfico de salida, el tráfico de entrada o ambos.
También es configurable por el tiempo de espera sin actividad antes de que se desconecta el túnel.
PPPoE sin numerar
Cuando NetDefendOS actúa como un cliente PPPoE, para apoyar PPPoE sin numerar se proporciona de forma predeterminada. La opción adicional
también existe para forzar PPPoE sin numerar para ser utilizado en sesiones PPPoE.
Sin numerar PPPoE se utiliza típicamente cuando los ISP quieren asignar una o más direcciones IP asignada previamente a los usuarios.
Estas direcciones IP son luego introducidos manualmente en los equipos cliente. El ISP no asigna una dirección IP al cliente PPPoE en el
momento en que se conecta.
Una opción adicional con la función de PPPoE sin numeración en NetDefendOS es permitir la especificación de una sola dirección IP que
se utiliza como la dirección de la interfaz de cliente de PPPoE. Esta dirección puede servir los siguientes propósitos:
• La dirección IP especificada se envía al servidor PPPoE como "IP preferido". Si no numerada PPPoE no es forzado, el servidor
puede optar por no aceptar la propiedad intelectual y en su lugar preferido asignar otra dirección IP para el cliente PPPoE.
Cuando se selecciona la opción de forzar sin numerar PPPoE, el cliente (es decir NetDefendOS) no aceptará
asignación de otra dirección IP por el servidor.
• La dirección IP especificada, o, posiblemente, la dirección asignada por el servidor PPPoE cuando no numerada de PPPoE no
se ve obligado, servirá como la dirección IP de la interfaz de cliente PPPoE. Esto será utilizado como la dirección IP local del
tráfico de salir de la interfaz cuando se originó el tráfico
119
3.4.5. Los túneles GRE Capítulo 3. Fundamentos
o NATed por el NetDefend Firewall.
Nota: PPPoE tiene un protocolo de descubrimiento
Para proporcionar una conexión de punto a punto a través de Ethernet, cada sesión PPP debe conocer la dirección Ethernet
del par remoto, así como establecer un identificador de sesión único. PPPoE incluye un protocolo de descubrimiento que
proporciona esta.
PPPoE no se puede utilizar con HA
Por razones relacionadas con la forma en que las direcciones IP son compartidos en un clúster de alta disponibilidad NetDefendOS, PPPoE
no funcionará correctamente. Debe no hay configurarse con HA.
Ejemplo 3.15. Configuración de un cliente PPPoE
Este ejemplo muestra cómo configurar un cliente PPPoE en el pálido interfaz con el tráfico enruta a través de PPPoE.
CLI
GW-mundo: /> añadir la interfaz PPPoETunnel PPPoEClient

EthernetInterface = Red WAN = todas
las redes de Nombre de usuario
Contraseña = exampleuser =
examplepw
Interfaz web
1. Ir a: Interfaces> PPPoE> Añadir> PPPoE túnel
2. A continuación, introduzca:
• Nombre: PPPoEClient
• Interfaz física: pálido
• Red remota: todas las redes de (a medida que le permitirá dirigir todo el tráfico en el túnel)
• Nombre del Servicio: Nombre del servicio proporcionado por el proveedor de servicios
• Nombre de usuario: Nombre de usuario proporcionado por el proveedor de servicios
• Contraseña: Contraseña proporcionada por el proveedor de servicios
• Confirmar contraseña: Vuelva a escribir la contraseña
• Debajo Autenticación especificar qué protocolo de autenticación a utilizar (la configuración por defecto
se utilizarán si no se especifica)
• Desactivar la opción Active la marcación bajo demanda
• Debajo Avanzado, Si Añadir ruta para la red remota a continuación, se habilita una nueva ruta será añadido para la interfaz
3.4.5. Los túneles GRE
Visión de conjunto
los La encapsulación genérica Router ( GRE) protocolo es un protocolo simple, encapsulación que se puede utilizar siempre que exista una
necesidad de tráfico del túnel a través de redes y / o a través de dispositivos de red.
120
GRE no proporciona características de seguridad, pero esto significa que su uso tiene muy bajo costo operativo.
usando GRE
GRE se utiliza típicamente para proporcionar un método de conectar dos redes entre sí a través de una tercera red, tal
como Internet. Las dos redes están conectadas entre sí comunican con un protocolo común que se túnel usando GRE
través de la red intermedia. Ejemplos de uso GRE son:
• Atravesando el equipo de red que bloquea un protocolo particular.
• Tunneling tráfico IPv6 en una red IPv4.
• Cuando un flujo de datos UDP es ser multidifusión y es necesario para el tránsito a través de un dispositivo de red que no
soporta la multidifusión. GRE permite un túnel a través del dispositivo de red.
GRE Seguridad y Rendimiento
Un túnel GRE no utiliza ningún tipo de cifrado para la comunicación y por lo tanto no es, en sí mismo, seguro. Ninguna
seguridad debe venir del protocolo que se está túnel. La ventaja de la falta de cifrado de GRE es el alto rendimiento que se
puede lograr debido a la sobrecarga de baja procesamiento de tráfico.
La falta de cifrado puede ser aceptable en algunas circunstancias si el túnel se realiza a través de una red interna que no
es pública.
Configuración de GRE
Al igual que otros túneles en NetDefendOS tales como un túnel IPsec, un túnel GRE se trata como una interfaz lógica por NetDefendOS, con las
capacidades de filtrado de mismo, para la conformación de tráfico y de configuración como una interfaz estándar. Las opciones GRE son:
• Dirección IP
Esta es la dirección IPv4 del interior del túnel en el lado local. Esto no puede dejarse en blanco y se debe dar un
valor.
La dirección IP especificada se utiliza para lo siguiente:
yo. un ICMP Silbido puede ser enviado a este punto final del túnel.
ii. Registrar los mensajes relacionados con el túnel será generado con esta dirección IP como la fuente.
Iii. Si NAT está siendo utilizado entonces no será necesario ajustar la IP de origen en la norma IP que realiza NAT
en el tráfico a través del túnel. Esta dirección IP se utiliza como dirección de origen para NAT.
• Red remota
La red remota que el túnel GRE se conectará con.
• Punto final remoto
Esta es la dirección IPv4 del dispositivo remoto que el túnel se conectará con.
• Uso de la clave de sesión
Un número único opcionalmente se puede especificar para el túnel. Esto permite que más de un túnel GRE para funcionar entre los
mismos dos puntos finales. los clave de sesión valor se utiliza para distinguir
121
entre ellos.
• Suma de comprobación de encapsulación adicional
El protocolo GRE permite una suma de comprobación adicional por encima de la suma de comprobación IPv4. Esto proporciona una
comprobación adicional de la integridad de los datos.
los Avanzado la configuración de una interfaz GRE son:
• Añadir automáticamente la ruta para la red remota - Esta opción normalmente se comprueba con el fin de que la tabla de
enrutamiento se actualiza automáticamente. La alternativa es crear manualmente la ruta a seguir.
• Dirección a utilizar como IP de origen - Es posible especificar una dirección IP en particular como el IP interfaz de origen para el
túnel GRE. aparecerá ser iniciado por esta dirección IP en lugar de la dirección IPv4 de la interfaz que realmente establece el túnel
de la configuración del túnel.
Esto podría hacerse si, por ejemplo, si se está utilizando la publicación de ARP y el túnel es configurar mediante un ARP publicó
dirección IP.
GRE y el conjunto de reglas IP
Un túnel GRE establecida no significa automáticamente que todo el tráfico que viene desde o hacia el túnel GRE es de
confianza. Por el contrario, el tráfico de red procedente del túnel GRE será transferido a la regla NetDefendOS IP establecida
para su evaluación. La interfaz de origen del tráfico de la red será el nombre del túnel GRE asociado.
Lo mismo es cierto para el tráfico en la dirección opuesta, es decir, entrar en un túnel GRE. Además, una
Ruta tiene que ser definido de manera NetDefendOS sabe qué direcciones IP deben ser aceptados y enviados a través del túnel.
Un escenario de ejemplo GRE
El diagrama anterior muestra un típico escenario GRE, donde dos NetDefend Firewalls UN y segundo deben comunicarse
entre sí a través de la red interna intervenir 172.16.0.0/16.
Todo el tráfico que pasa entre UN y segundo es un túnel a través de la red de intervención utilizando un túnel GRE y ya que
la red es interno y no pública no hay necesidad de cifrado.
122
Configuración de Firewall NetDefend " UN"
Suponiendo que la red 192.168.10.0/24 es Lannet sobre el lan interfaz, el procedimiento para la instalación de NetDefendOS UN son:
1. En la libreta de direcciones configurar los siguientes objetos de PI:
• remote_net_B: 192.168.11.0/24
• remote_gw: 172.16.1.1
• ip_GRE: 192.168.0.1
2. Crear un objeto denominado túnel GRE GRE_to_B con los siguientes parámetros:
• Dirección IP: ip_GRE
• Red remota: remote_net_B
• Punto final remoto: remote_gw
• Utilice Clave de Sesión: 1
• Adicional Encapulation Checksum: Activado
3. Definir una ruta en el principal la tabla de enrutamiento que enruta todo el tráfico remote_net_B sobre el
GRE_to_B Interfaz GRE. Esto no es necesario si la opción Añadir ruta para la red remota
está activado en el Avanzado pestaña, ya que esto añadirá la ruta de forma automática.
4. Crear las siguientes reglas en el conjunto de reglas IP que permite que el tráfico pase por el túnel:
Nombre Acción src Int src neto dest Int dest Net Servicio
To_B Permitir lan Lannet GRE_to_B remote_net_B all_services
From_B Permitir GRE_to_B remote_net_B lan Lannet all_services
Configuración de Firewall NetDefend " SEGUNDO"
Suponiendo que la red 192.168.11.0/24 es Lannet sobre el lan interfaz, el procedimiento para la instalación de NetDefendOS segundo son como
sigue:
1. En la libreta de direcciones configurar los siguientes objetos de PI:
• remote_net_A: 192.168.10.0/24
• remote_gw: 172.16.0.1
• ip_GRE: 192.168.0.2
2. Crear un objeto denominado túnel GRE GRE_to_A con los siguientes parámetros:
• Dirección IP: ip_GRE
• Red remota: remote_net_A
• Punto final remoto: remote_gw
• Utilice Clave de Sesión: 1
• Adicional Encapulation Checksum: Activado
123
3.4.6. Grupos de interfaz Capítulo 3. Fundamentos
3. Definir una ruta en el principal la tabla de enrutamiento que enruta todo el tráfico remote_net_A sobre el
GRE_to_A Interfaz GRE. Esto no es necesario si la opción Añadir ruta para la red remota
está activado en el Avanzado pestaña, ya que esto añadirá la ruta de forma automática.
4. Crear las siguientes reglas en el conjunto de reglas IP que permite que el tráfico pase por el túnel:
Nombre Acción src Int src neto dest Int dest Net Servicio
to_a Permitir lan Lannet GRE_to_A remote_net_A all_services
A partir de una Permitir GRE_to_A remote_net_A lan Lannet all_services
Comprobación GRE túnel Estado
túneles IPsec tienen un estatus de ser ya sea hacia arriba o no hacia arriba. Con túneles GRE en NetDefendOS esto no se aplica
realmente. El túnel GRE es de hasta si existe en la configuración.
Sin embargo, podemos comprobar en el lo que está pasando con un túnel GRE. Por ejemplo, si el túnel se llama gre_interface entonces
podemos utilizar el ifstat comando CLI:
GW-mundo: /> ifstat gre_interface
Esto nos mostrará lo que está sucediendo con el túnel y el ifstat opciones de comando pueden proporcionar diversos detalles.
3.4.6. Grupos de interfaz

Cualquier conjunto de interfaces NetDefendOS puede agruparse juntos en una Grupo interfaz. Este actúa entonces como un objeto de
configuración NetDefendOS única que se puede utilizar en la creación de políticas de seguridad en el lugar de un único grupo. Cuando se usa un
grupo, por ejemplo, como interfaz de origen en una regla de IP, cualquiera de las interfaces en el grupo podrían proporcionar a la altura de la
regla.
Un grupo puede consistir en interfaces Ethernet ordinarias o podría consistir en otros tipos tales como interfaces de VLAN o
túneles VPN. Además, los miembros de un grupo no tienen que ser del mismo tipo. Un grupo podría consistir, por ejemplo, de
una combinación de dos interfaces Ethernet y cuatro interfaces VLAN.
los Seguridad / Equivalente Transporte Opción
Al crear un grupo de interfaz, la opción Seguridad / Equivalente Transporte puede ser activado (que está desactivado por defecto). Al
activar la opción significa que el grupo puede ser usado como la interfaz de destino en las reglas NetDefendOS donde podrían
necesitar ser movido entre dos interfaces de conexiones. Por ejemplo, la interfaz podría cambiar con conmutación por error ruta o
OSPF.
Si una conexión se mueve de una interfaz a otra dentro de un grupo y Seguridad / Equivalente Transporte está activada,
NetDefendOS no se compruebe la conexión contra los conjuntos de reglas NetDefendOS con la nueva interfaz.
Con la opción de desactivar, una conexión no se puede mover a otra interfaz en el grupo y en su lugar se cayó y se debe volver a
abrir. Esta nueva conexión se comprueba en los conjuntos de reglas NetDefendOS. En algunos casos, como una interfaz
alternativa que es mucho más lento, puede que no sea razonable para permitir que ciertas conexiones a través de la nueva
interfaz.
Ejemplo 3.16. La creación de un Grupo de Interfaz
124
3.4.6. Grupos de interfaz Capítulo 3. Fundamentos
GW-mundo: /> añadir la interfaz InterfaceGroup examplegroup

Miembros = exampleif1, exampleif2
Interfaz web
1. Ir a: Interfaces> grupos de interfaces> Añadir> InterfaceGroup
2. Introduzca la información siguiente para definir el grupo:
• Nombre: El nombre del grupo que se utilizará más adelante
• Seguridad / Transporte equivalente: Si está habilitado, el grupo de interfaz se puede utilizar como una interfaz de destino en reglas, donde podrían
necesitar ser movido entre las interfaces de conexiones.
• Interfaces: Seleccionar las interfaces para estar en el grupo
125
3.5. ARP Capítulo 3. Fundamentos
3.5. ARP
Protocolo de resolucion de DIRECCION ( ARP) permite la asignación de un protocolo de capa de red (capa OSI 3) Dirección a una dirección de
hardware de capa de enlace de datos (capa OSI 2). En las redes de datos que se utiliza para resolver una dirección IP en su dirección Ethernet
correspondiente. ARP opera en la capa OSI 2, la capa de enlace de datos, y se encapsula por cabeceras de Ethernet para su transmisión.
Tip: Capas OSI
Ver Apéndice D, El Marco OSI para una visión general de las diferentes capas del modelo OSI.
Direccionamiento IP sobre Ethernet
Un host en una red Ethernet puede comunicarse con otro host sólo si se conoce la dirección Ethernet (dirección MAC) de dicho host.
protocolos de nivel superior, tales como IP hacen uso de direcciones IP que son fundamentalmente diferentes de un esquema de
hardware de nivel inferior se ocupó como la dirección MAC. ARP se utiliza para recuperar la dirección MAC de Ethernet de un host
utilizando su dirección IP.
Cuando un host tiene que resolver una dirección IP a la dirección Ethernet correspondiente, difunde un paquete de solicitud de
ARP. El paquete de petición ARP contiene la dirección MAC de origen, la dirección IP de origen y la dirección IP de destino. Cada
host en la red local recibe este paquete. El host con la dirección IP de destino especificado, envía un paquete de respuesta ARP
para el host de origen con su dirección MAC.
3.5.2. La caché ARP NetDefendOS

los caché ARP en equipos de red, tales como conmutadores y cortafuegos, es un componente importante en la aplicación de
la ARP. Consiste en una tabla dinámica que contiene el mapeo entre las direcciones IP y direcciones MAC Ethernet.
NetDefendOS utiliza una caché ARP exactamente de la misma forma que otros equipos de la red. Inicialmente, la caché está vacío en el
arranque NetDefendOS y se puebla con las entradas como las vías de circulación.
Los contenidos típicos de una tabla mínima de caché ARP puede tener un aspecto similar al siguiente:
Tipo Dirección IP Dirección Ethernet expira
Dinámica 192.168.0.10 08: 00: 10: 0F: BC: a5 45
Dinámica 193.13.66.77 0a: 46: 42: 4f: ac: 65 136
Publicar 10.5.16.3 4a: 32: 12: 6c: 89: a4 -
La explicación de los contenidos de la tabla son los siguientes:
• La primera entrada en este caché ARP es una entrada ARP dinámica que nos dice que la dirección IP
192.168.0.10 está asignada a una dirección Ethernet de 08: 00: 10: 0F: BC: A5.
• La segunda entrada en la tabla asigna dinámicamente la dirección IPv4 193.13.66.77 a la dirección Ethernet 0a: 46: 42: 4f: ac: 65.
• La tercera entrada es una unión de la dirección IPv4 entrada ARP estática 10.5.16.3 a la dirección Ethernet
4a: 32: 12: 6c: 89: a4.
los expira Columna
126
3.5.2. La caché ARP NetDefendOS Capítulo 3. Fundamentos
La tercera columna de la tabla, expira, se utiliza para indicar cuánto tiempo más la entrada ARP será válido para.
Por ejemplo, la primera entrada tiene un valor de expiración del 45 lo que significa que esta entrada se representará no válida y
se elimina de la caché ARP en 45 segundos. Si el tráfico va a ser enviado a la
192.168.0.10 dirección IP después de la expiración, NetDefendOS emitirá una nueva petición ARP.
El tiempo de expiración por defecto para las entradas dinámicas ARP es de 900 segundos (15 minutos). Esto se puede cambiar modificando la
configuración avanzada ARP caduca.
La configuración avanzada ARP caducar Desconocido especifica cómo NetDefendOS largos recordarán las direcciones que no pueden ser
alcanzadas. Se necesita este límite para asegurar que NetDefendOS no solicita continuamente dichas direcciones. El valor predeterminado de
esta configuración es de 3 segundos.
Ejemplo 3.17. Viendo la caché ARP
El contenido de la caché ARP se pueden visualizar desde el interior de la CLI.
GW-mundo: /> arp -demostrar
caché ARP del iface de LAN

10.4.0.1 dinámico = 1000: 0000: 4009 Caducar = 196
dinámica 10.4.0.165 = 0002: A529: 1f65 Caducar = 506
Vaciar la caché ARP
Si un host en una red se reemplaza con un nuevo hardware y conserva la misma dirección IP, entonces es probable que tenga una
nueva dirección MAC. Si NetDefendOS tiene una vieja entrada ARP para el host en su caché ARP entonces que la entrada no será
válida debido a la dirección MAC cambiado y esto hará que los datos sean enviados al host a través de Ethernet, que nunca llegará a
su destino.
Después del tiempo de caducidad de una entrada ARP, NetDefendOS aprenderá la nueva dirección MAC de la máquina, pero a veces puede ser
necesario forzar manualmente la actualización. La forma más fácil de lograrlo es mediante la
enrojecimiento la caché ARP. Esto elimina todas las entradas ARP dinámicas de la caché y fuerza a NetDefendOS emitir nuevas consultas
ARP para descubrir las asignaciones de direcciones MAC / IP para los hosts conectados.
Flushing se puede hacer con el comando CLI -flush arp.
Ejemplo 3.18. Vaciar la caché ARP
Este ejemplo muestra cómo vaciar la caché ARP desde el interior de la CLI.
GW-mundo: /> arp -flush
caché ARP de todas las interfaces enrojecida.
El tamaño de la caché ARP
Por defecto, el caché ARP es capaz de mantener 4.096 entradas ARP al mismo tiempo. Esto es adecuado para la mayoría de los escenarios,
pero en raras ocasiones, como cuando hay varias redes locales muy grandes directamente
127
3.5.3. La creación de objetos ARP Capítulo 3. Fundamentos
conectado al servidor de seguridad, puede ser necesario ajustar este valor hacia arriba. Esto se puede hacer mediante la modificación de la
configuración avanzada de ARP Tamaño de la caché ARP.
Las tablas hash se utilizan para buscar rápidamente las entradas en la caché ARP. Para una eficacia máxima, una tabla hash debe ser dos veces
mayor que las entradas que es la indexación, por lo que si el mayor directamente conectada a internet contiene 500 direcciones IP, el tamaño de la
tabla hash de entrada ARP debe ser al menos 1000. El administrador puede modificar el configuración avanzada de ARP ARP Hash Tamaño para
reflejar los requisitos específicos de la red. El valor predeterminado de esta configuración es 512.
El ajuste ARP Hash Tamaño VLAN configuración es similar a la ARP Hash Tamaño ajuste, sino que afecta el tamaño de hash para interfaces VLAN
solamente. El valor por defecto es 64.
3.5.3. La creación de objetos ARP
Para cambiar la forma en que maneja NetDefendOS ARP en una interfaz, el administrador puede crear NetDefendOS objetos ARP, cada
uno de los cuales tiene los siguientes parámetros:
Modo El tipo de objeto ARP. Este puede ser uno de:
• Estática - Crear una correspondencia fija en la caché ARP local.
• Publicar - Publicar una dirección IP en una dirección MAC particular (o esta interfaz).
• XPublish - Publicar una dirección IP en una dirección MAC particular y "mentira" sobre la
dirección MAC envío de la trama Ethernet contiene la respuesta ARP.
Interfaz La interfaz física local para el objeto ARP.
Dirección IP La dirección IP para la asignación de direcciones MAC / IP.
Dirección MAC La dirección MAC para la asignación de direcciones MAC / IP.
Los tres modos de ARP Estática, Publicar y XPublish se discuten a continuación.
Estática ARP Mode Objetos
UN Estático objeto ARP inserta una asignación particular, dirección de MAC / IP en la caché ARP NetDefendOS.
El uso más frecuente de objetos ARP estáticas es en situaciones en algún dispositivo de red externa no está respondiendo a las peticiones ARP
correctamente y está informando una dirección MAC incorrecta. Algunos dispositivos de red, tales como módems inalámbricos, pueden tener este
tipo de problemas.
También puede ser usado para bloquear una dirección IP a una dirección MAC específica para aumentar la seguridad o para evitar ataques de
denegación de servicio si hay usuarios deshonestos en una red. Sin embargo, esta protección sólo se aplica a los paquetes que se envían a esa
dirección IP. No se aplica a los paquetes que se envían desde esa dirección IP.
Ejemplo 3.19. Definición de una entrada ARP estática
En este ejemplo se creará una asignación estática entre la dirección IP 192.168.10.15 y la dirección Ethernet
4b: 86: f6: c5: a2: 14 sobre el lan interfaz:
GW-mundo: /> añadir ARP = Interfaz de red LAN

IP 192.168.10.15 = = Modo
estático
MACAddress = 4b-86-f6-c5-A2-14
128
3.5.3. La creación de objetos ARP Capítulo 3. Fundamentos
Interfaz web
1. Ir a: Interfaces> ARP> Añadir> ARP
• Modo: Estático
• Interfaz: lan
3. Introduzca la siguiente:
• Dirección IP: 192.168.10.15
• MAC: 4b-86-f6-c5-A2-14
Publicar ARP
soportes NetDefendOS publicación direcciones IP en una interfaz particular, opcionalmente junto con una dirección específica MAC en lugar
de la dirección MAC de la interfaz. NetDefendOS enviará entonces a cabo estos como respuestas ARP para cualquier ARP solicitudes
recibidas en la interfaz de las direcciones IP publicados.
Esto se puede hacer por un número de razones:
• Para dar la impresión de que una interfaz en NetDefendOS tiene más de una dirección IP.
Esto es útil si hay varios tramos IP separadas en una sola LAN. Los anfitriones de cada lapso de IP pueden entonces utilizar una puerta de
enlace en su propio lapso cuando estas direcciones de puerta de enlace se publican en la interfaz NetDefendOS correspondiente.
• Otro uso es la publicación de varias direcciones en una interfaz externa, lo que permite NetDefendOS para abordar de forma estática traducir
el tráfico a estas direcciones y enviarlo hacia adelante a los servidores internos con direcciones IPv4 privadas.
• Un objetivo menos común es ayudar a los equipos de la red cerca de responder a ARP de una manera incorrecta.
Modos de edición
Hay dos modos de publicación disponibles cuando se publica un par de direcciones MAC / IP:
• Publicar
• XPublish
En ambos casos, una dirección IP y una dirección MAC asociada se especifican. Si no se especifica la dirección MAC (es todo ceros),
entonces se utiliza la dirección MAC de la interfaz física que envía.
Para entender la diferencia entre Publicar y XPublish es necesario entender que cuando NetDefendOS responde a una
consulta ARP, hay dos direcciones MAC en la trama Ethernet enviados de regreso con la respuesta ARP:
1. La dirección MAC de la trama Ethernet de la interfaz Ethernet de enviar la respuesta.
2. La dirección de MAC en la respuesta ARP que está contenida dentro de este marco. Este suele ser el mismo que ( 1) la fuente
de la dirección MAC en la trama Ethernet, pero no tiene que ser.
129
3.5.4. Utilizando ARP Configuración avanzada Capítulo 3. Fundamentos
Estos se muestran en la siguiente ilustración de una trama de Ethernet que contiene una respuesta ARP:
Figura 3.2. Un ARP Publicar trama Ethernet
los Publicar opción utiliza la dirección MAC real de la interfaz de envío para la dirección ( 1) en la trama Ethernet.
En casos raros, algunos equipos de la red requerirá que las direcciones MAC tanto en la respuesta ( 1 y
2 más arriba) son los mismos. En este caso XPublish se utiliza, ya que cambia ambas direcciones MAC en la respuesta a ser la dirección
MAC publicada. En otras palabras, XPublish " mentiras" acerca de la dirección de origen de la respuesta ARP.
Si una dirección MAC publicada es la misma que la dirección MAC de la interfaz física, no hará ninguna diferencia si Publicar o XPublish
se selecciona, el resultado será el mismo.
La publicación de redes enteras
Al utilizar las entradas ARP, las direcciones IP sólo se publicarán uno a la vez. Sin embargo, el administrador puede utilizar la
alternativa Proxy ARP en función NetDefendOS manejar publicación de redes completas (ver Sección 4.2.6, “proxy ARP”).
3.5.4. Utilizando ARP Configuración avanzada
Esta sección presenta algunos de los ajustes avanzados relacionados con ARP. En la mayoría de los casos, estos ajustes no necesitan ser cambiados,
pero en algunas implementaciones, podrían ser necesarias modificaciones. Un resumen de todas las configuraciones avanzadas ARP se puede
encontrar en la siguiente sección.
Multicast y broadcast
peticiones ARP y respuestas ARP que contiene las direcciones de difusión o multidifusión son generalmente nunca correcta, con la excepción de
ciertos dispositivos de balanceo de carga y redundancia, que hacen uso de las direcciones de multidifusión de la capa de hardware.
El comportamiento predeterminado de NetDefendOS es dejar caer y registrar dichas peticiones ARP y respuestas ARP. Esto puede, sin embargo,
puede cambiar modificando la configuración avanzada ARP multidifusión y ARP Broadcast.
130
3.5.5. Configuración avanzada de ARP Capítulo 3. Fundamentos
Resumen
Respuestas ARP no solicitados
Es posible que un host en una red conectada para enviar una respuesta ARP a NetDefendOS a pesar de una solicitud ARP correspondiente
no se emitió. Esto se conoce como una respuesta ARP no solicitados.
De acuerdo con la especificación de ARP, el destinatario debe aceptar estos tipos de respuestas ARP. Sin embargo, ya que esto
podría ser un intento malicioso de secuestrar una conexión, NetDefendOS van a gota defecto y registro solicitado respuestas ARP.
Este comportamiento se puede cambiar modificando la configuración avanzada No solicitado respuestas ARP.
Las solicitudes ARP
La especificación ARP establece que un anfitrión debe actualizar su caché ARP con datos de ARP solicitudes recibidas de otros hosts. Sin
embargo, ya que este procedimiento puede facilitar el secuestro de conexiones locales, NetDefendOS normalmente no permiten esto.
Para hacer que el comportamiento compatible con la especificación RFC 826, el administrador puede modificar la configuración Las solicitudes
ARP. Incluso si esto se establece en Soltar ( lo que significa que el paquete se descarta sin ser almacenadas), NetDefendOS responderán a ella
siempre que otras reglas aprueban la solicitud.
Los cambios en la caché ARP
Una respuesta ARP recibido o petición ARP, posiblemente, puede modificar una entrada existente en la caché ARP. Permitiendo que esto
ocurra puede permitir el secuestro de conexiones locales. Sin embargo, no permitir que esto puede causar problemas si, por ejemplo, se
sustituye un adaptador de red desde NetDefendOS no aceptarán la nueva dirección hasta que la anterior entrada de caché ARP ha agotado el
tiempo.
La configuración avanzada Cambios estática ARP puede modificar este comportamiento. El comportamiento por defecto es que NetDefendOS
permitirán cambios tengan lugar, pero todos estos cambios se registrarán.
Un problema similar se produce cuando la información en respuestas ARP o peticiones ARP podría chocar con entradas estáticas en la
caché ARP. Esto no se debe permitir que esto ocurra y cambiando el ajuste Cambios estática ARP permite al administrador especificar
si o no este tipo de situaciones se registran.
IP del remitente 0.0.0.0
NetDefendOS se pueden configurar para el manejo de las consultas ARP que tienen un remitente de IP 0.0.0.0. Tales direcciones IP del remitente no
son válidos como las respuestas, pero las unidades de red que todavía no han aprendido de su dirección IP a veces hacer preguntas ARP con una
dirección IP del remitente "no especificado". Normalmente, estas respuestas ARP se dejan caer y se registran, pero el comportamiento se puede
cambiar modificando el entorno La consulta ARP Sin remitente.
Coincidencia de direcciones Ethernet
Por defecto, NetDefendOS, será necesario que la dirección del remitente a nivel Ethernet debe cumplir con la dirección Ethernet según
los datos de ARP. Si este no es el caso, la respuesta será dado de baja y se registra. El comportamiento se puede cambiar
modificando el entorno Remitente ARP Partido Ethernet.
3.5.5. Configuración avanzada de ARP Resumen
Las siguientes opciones avanzadas están disponibles con ARP:
Remitente ARP Partido Ethernet
131
Resumen
Determina si NetDefendOS requerirán la dirección del remitente a nivel Ethernet para cumplir con la dirección de hardware según
los datos de ARP.
Defecto: DropLog
La consulta ARP Sin Remitente
Maneja las consultas ARP que tienen un remitente de IP 0.0.0.0. Tales direcciones IP del remitente no son válidos en las respuestas, pero las unidades
de red que todavía no han aprendido de su dirección IP a veces hacen preguntas ARP con una dirección IP del remitente "no especificado".
Defecto: DropLog
IP del remitente ARP
Determina si la dirección IP del remitente debe cumplir con las normas de la sección de acceso.
Defecto: Validar
Respuestas ARP no solicitados
Determina cómo NetDefendOS manejarán ARP responde que no ha pedido. De acuerdo con la especificación de ARP, el destinatario
debe aceptar estos. Sin embargo, ya que esto puede facilitar el secuestro de conexiones locales, no está permitido normalmente.
Defecto: DropLog
Las solicitudes ARP
Determina si NetDefendOS añadirán automáticamente los datos de las solicitudes ARP a su tabla ARP. La especificación ARP afirma que
esto se debe hacer, pero ya que este procedimiento puede facilitar el secuestro de conexiones locales, que normalmente no se permite.
Incluso si ARPRequests se establece en "Drop", lo que significa que el paquete se descarta sin ser almacenadas, NetDefendOS será,
siempre que otras reglas apruebe la solicitud, la respuesta recibida.
Defecto: soltar
Los cambios ARP
Determina cómo se NetDefendOS hacer frente a situaciones en que la respuesta ARP recibido o petición ARP alteraría un elemento
existente en la tabla ARP. Permitiendo que esto ocurra puede facilitar el secuestro de conexiones locales. Sin embargo, no permitir que
esto puede causar problemas si, por ejemplo, se sustituye un adaptador de red, como NetDefendOS no aceptarán la nueva dirección
hasta que la entrada de la tabla ARP anterior ha caducado.
Defecto: AcceptLog
Cambios estática ARP
Determina cómo se NetDefendOS manejar situaciones en que la respuesta ARP recibido o petición ARP alteraría un elemento estático en la tabla
ARP. Por supuesto, esto nunca se permite que esto ocurra. Sin embargo, esta configuración hace que el administrador pueda especificar si o no
este tipo de situaciones son que estar conectado.
Defecto: DropLog
Si no ingrese ARP Resolve
132
Resumen
Esto determina si NetDefendOS registrará fallado solicitudes de resolución ARP o no. El registro puede ser utilizado para propósitos de monitoreo y
puede ser útil para la solución de problemas de red problemas relacionados. Sin embargo, puede deshabilitar el registro de prevenir los intentos de
"spam" receptores de registro con las solicitudes de resolución fallidos.
Defecto: Activado
ARP caducar
Especifica el tiempo que un elemento dinámico normales en la tabla ARP es para ser retenido antes de que se elimina de la tabla.
Defecto: 900 segundos (15 minutos)
ARP caducar Desconocido
Especifica en segundos el tiempo que NetDefendOS es recordar las direcciones que no pueden ser alcanzadas. Esto se hace para asegurar
que NetDefendOS no solicita continuamente dichas direcciones.
Defecto: 3
ARP multidifusión
Determina cómo NetDefendOS es para hacer frente a las peticiones ARP y respuestas ARP ese estado que son las direcciones de multidifusión.
Tales demandas son generalmente nunca correcta, con la excepción de ciertos dispositivos de balanceo de carga y redundancia, que hacen uso de
direcciones de multidifusión de capa de hardware.
Defecto: DropLog
ARP Broadcast
Determina cómo NetDefendOS se ocupa de las peticiones ARP y respuestas ARP ese estado que se transmiten direcciones. Tales
afirmaciones son por lo general no correcta.
Defecto: DropLog
ARP tamaño de la caché
¿Cuántas entradas ARP no puede haber en la memoria caché en total.
Defecto: 4096
ARP Hash Tamaño
Hashing se usa para buscar rápidamente entradas en una tabla. Para una máxima eficiencia, el tamaño de hash debe ser dos veces mayor que la
mesa es la indexación. Si la mayor LAN conectado directamente contiene 500 direcciones IP entonces el tamaño de la entrada de hash ARP debe
ser de al menos 1000 entradas.
Defecto: 512
ARP Hash Tamaño VLAN
Hashing se usa para buscar rápidamente entradas en una tabla. Para una máxima eficiencia, el tamaño de hash debe ser dos veces mayor que la
mesa es la indexación, por lo que si la VLAN más grande conectado directamente contiene 500 direcciones IP, el tamaño de la entrada de hash ARP
debe ser de al menos 1000 entradas.
133
Resumen
Defecto: 64
ARP IP de colisión
Determina el comportamiento cuando se recibe una solicitud ARP con una dirección IP del remitente que choca con uno ya utilizado en la
interfaz de recepción. Las acciones posibles: Caída o Notificar.
Defecto: soltar
134
3.6. Reglas IP Capítulo 3. Fundamentos
3.6. Reglas IP
3.6.1. Políticas de seguridad
Antes de examinar la regla IP fija en detalle, vamos a mirar primero el concepto genérico de políticas de seguridad
a la que pertenecen los conjuntos de reglas IP.
Características política de seguridad
políticas de seguridad NetDefendOS son configurados por el administrador para regular la forma en que el tráfico puede fluir a través
de la NetDefend Firewall. Estas políticas se describen por el contenido de diferentes NetDefendOS conjuntos de reglas. Estos conjuntos
de reglas comparten un medio uniforme de especificar criterios de filtrado que determinan el tipo de tráfico a la que se aplicarán. Los
posibles criterios de filtrado consisten en lo siguiente:
Interfaz de origen Un Interfaz o Interface Group en el que el paquete se recibe en el NetDefend

Firewall. Esto también podría ser un túnel VPN.
de red de origen La red que contiene la dirección IP de origen del paquete. Esto podría ser un
objeto NetDefendOS IP, que podría definir una única dirección IP o intervalo de
direcciones.
Interfaz de destino Un Interfaz o un Interface Group a partir de la cual el paquete dejaría la

NetDefend Firewall. Esto también podría ser un túnel VPN.
Red de destino La red a la que la dirección IP de destino del paquete pertenece. Esto podría ser
un objeto NetDefendOS IP, que podría definir una única dirección IP o intervalo
de direcciones.
Servicio El tipo de protocolo a la que pertenece el paquete. objetos de servicio definen un tipo de
protocolo / puerto. Ejemplos de ello son HTTP y ICMP.
objetos de servicio también definen cualquier ALG, que se va a aplicar al tráfico
NetDefendOS ofrece un gran número de objetos de servicio predefinidos, pero el administrador

definidos servicios personalizados También se pueden crear. objetos de servicio existentes
también pueden ser recogidos juntos en grupos de servicio.
Ver Sección 3.3, “Servicios” Para obtener más información acerca de este tema.
Los conjuntos de reglas de política de seguridad NetDefendOS
Los NetDefendOS principales conjuntos de reglas que definen las políticas de seguridad NetDefendOS, y que funcionen con los mismos parámetros de
filtrado descritos anteriormente (redes / las interfaces / servicio), incluyen:
• Reglas IP
Estos determinan la cual el tráfico se le permite pasar a través de la NetDefend Firewall, así como determinar si el tráfico está
sujeto a la traducción de direcciones. El filtro de red para estas reglas puede ser direcciones IPv4 o IPv6 (pero no ambos en una
sola regla). Ellos se describen más adelante en esta sección.
• Reglas de tuberías
Estos determinan que el tráfico desencadena formación de tráfico a tener lugar y se describen en
Sección 10.1, “Asignación de tráfico”.
135
3.6.1. Políticas de seguridad Capítulo 3. Fundamentos
• Reglas de enrutamiento basado en políticas
Estas reglas determinan la tabla de enrutamiento para ser utilizado por el tráfico y se describen en Sección 4.3, “Enrutamiento basado en
directivas”. El filtro de red para estas reglas puede ser direcciones IPv4 o IPv6 (pero no ambos en una sola regla).
• Normas de autenticación
Estos determinan el que el tráfico provoca la autenticación a tener lugar (sólo fuente neta / interfaz) y se describen en Capítulo
8, la autenticación de usuario.
Reglas IP y el valor predeterminado principal Regla IP Set
conjuntos de reglas IP son los más importantes de estos conjuntos de reglas de política de seguridad. Ellos determinan la función de filtrado de
paquetes crítica de NetDefendOS, la regulación de lo que está permitido o no permite que pase a través de la NetDefend Firewall, y si es necesario,
cómo se aplican traducciones de direcciones como NAT. Por defecto, una regla NetDefendOS IP establecida siempre existirá y esto tiene el nombre principal.
Hay dos formas posibles de cómo el tráfico que atraviesa el NetDefend Firewall podría abordarse:
• Todo se negó a menos que esté específicamente permitido.
• O todo está permitido a menos que sea específicamente denegado.
Para proporcionar la mejor seguridad, el primero de estos enfoques es adoptado por NetDefendOS. Esto significa que la primera vez que se
instala y se inicia, el NetDefendOS no tiene reglas definidas en el IP principal norma IP fija y por lo tanto todo el tráfico se redujo. Con el fin de
permitir cualquier tráfico para atravesar el NetDefend Firewall (así como permitiendo NetDefendOS para responder a ICMP Silbido solicitudes),
algunas reglas IP deben ser definidos por el administrador.
Cada regla IP que se agrega por el administrador definirá los siguientes criterios de filtrado básicas:
• De qué interfaz a lo que los flujos de tráfico de la interfaz.
• A partir de lo que la red a la red lo que los flujos de tráfico.
• ¿Qué tipo de protocolo se ve afectada (la Servicio).
• ¿Qué medidas tomará la regla cuando un partido en el filtro desencadena.
Especificación de cualquier interfaz de red o
Al especificar los criterios de filtrado en cualquiera de los conjuntos de reglas de política, hay varios objetos de configuración predefinidos
útiles que pueden ser utilizados:
• Por un origen o destino de red, la todas las redes de opción es equivalente a la dirección IP 0.0.0.0/0
lo que significa que cualquier dirección IP es aceptable.
• Para Fuente o interfaz de destino, el alguna opción se puede utilizar para que NetDefendOS no se preocupan
por la interfaz que el tráfico va o viene de.
• La interfaz de destino se puede especificar como núcleo. Esto significa que el tráfico, como por ejemplo un ICMP
Silbido, está destinado para el propio NetDefend Firewall y NetDefendOS responderá a ella.
Las nuevas conexiones que se inician por sí mismo NetDefendOS no necesitan una regla IP explícita, ya que están habilitados de forma
predeterminada. Por esta razón, la interfaz núcleo no se utiliza como interfaz de origen. Tales conexiones incluyen los necesarios para
conectarse a las bases de datos externos necesarios para tales
136
3.6.1. Políticas de seguridad Capítulo 3. Fundamentos
características como IDP.
• El servicio puede ser especificado como all_services que incluye todos los protocolos posibles.
La creación de una gota de todo gobierno
El tráfico que no coincide con ninguna regla en el conjunto de reglas IP está, por defecto, se redujo en NetDefendOS. Con el fin de ser capaz de
registrar las conexiones caídas, se recomienda que una regla IP explícita con una acción de soltar para todos los de origen / destino / interfaces
redes se coloca como la última regla IP en el conjunto de reglas IP. Esto se refiere a menudo como una Colgar todas regla.
Consejo: Incluir el conjunto de reglas en nombre de la caída de todo nombre
Puede haber varios conjuntos de reglas IP en uso. Se recomienda incluir el nombre del conjunto de reglas IP en nombre de la
caída de toda regla para que pueda ser fácilmente identificado en los mensajes de registro.
Por ejemplo, la caída de toda regla para el principal conjunto de reglas debe ser llamado main_drop_all o similar.
Las direcciones IP de Reglas IP pueden ser IPv4 o IPv6
normas IP son compatibles con cualquiera de las direcciones IPv4 o IPv6 como la fuente y la red de destino para las características de filtrado de una
regla.
Sin embargo, tanto la fuente y red de destino debe ser IPv4 o IPv6. No está permitido combinar las direcciones IPv4 e IPv6 en una
sola regla. Por esta razón, dos Colgar todas reglas serán necesarios cuando se utiliza IPv6, una para IPv4 y una para IPv6 como se
muestra a continuación:
Nombre Acción Fuente de Iface fuente neta dest de Iface dest Net Servicio
DropAll soltar alguna todas las redes de alguna todas las redes de all_services
DropAll6 soltar alguna todo nets6 alguna todo nets6 all_services
Para mayor información sobre este tema, véase Sección 3.2, “Soporte IPv6”.
Flujo de Tráfico Necesita una regla IP y una ruta
Como se ha indicado anteriormente, cuando NetDefendOS se inicia por primera vez, las reglas IP por defecto eliminan todo el tráfico para que al menos
una regla IP debe ser añadido para permitir que el tráfico fluya. De hecho, dos componentes NetDefendOS necesitan estar presentes:
• UN ruta debe existir en un NetDefendOS tabla de ruteo que se especifica en el que los paquetes de interfaz deben salir con el fin de
llegar a su destino.
Una segunda ruta también debe existir que indica la fuente del tráfico se encuentra en la interfaz donde los paquetes entran.
• Una regla de IP en un NetDefendOS conjunto de reglas IP que especifica la política de seguridad que permite a los
paquetes desde la interfaz de red de origen y destino a la red de destino para dejar el NetDefend Firewall en la interfaz
decidido por la ruta.
Si la regla de IP que se utiliza es una Permitir entonces esta regla es bidireccional por defecto.
El orden de estos pasos es importante. La búsqueda de rutas que ocurra primero para determinar la interfaz de salir y luego
NetDefendOS busca una regla de IP que permite que el tráfico a dejar en esa interfaz. Si una regla no existe, entonces se descarta el
tráfico.
137
3.6.2. Evaluación Regla IP Capítulo 3. Fundamentos
Figura 3.3. Simplificado de flujo de tráfico NetDefendOS
Esta descripción del flujo de tráfico es una versión muy simplificada de la descripción que se encuentra en pleno desarrollo Sección 1.3, “NetDefendOS
motor de estado de Flujo de paquetes”.
Por ejemplo, antes de realizar la búsqueda de rutas, NetDefendOS comprueba en primer lugar que el tráfico de la red de origen
debe, de hecho, llegaría en la interfaz donde se recibió. Esto se hace mediante NetDefendOS que realizan una consulta de rutas
inversa lo que significa que las tablas de enrutamiento se buscaron una ruta que indica que la red debe encontrarse en esa interfaz.
Esta segunda ruta debe existir lógicamente si una conexión es bidireccional y debe tener un par de rutas asociadas con él,
uno para cada dirección.
3.6.2. Evaluación Regla IP

Cuando una nueva conexión, tal como una conexión TCP / IP, se establece a través de la NetDefend Firewall, la lista de reglas IP se evalúan
de arriba a abajo hasta que una regla que coincide con los parámetros de la nueva conexión se encuentra. La primera regla de coincidencia
de Acción se realiza a continuación.
Si la acción le permite entonces el establecimiento de la nueva conexión seguirá adelante. Una nueva entrada o
estado que representa la nueva conexión será entonces añadido a la NetDefendOS interna tabla de estados
que permite la monitorización de conexiones abiertas y activas pasan a través del NetDefend Firewall. Si la acción es soltar o Rechazar a
continuación, la nueva conexión se rechaza.
Tip: Las reglas en el orden equivocado a veces causar problemas
Es importante recordar el principio de que NetDefendOS busca en las normas de propiedad intelectual, de arriba abajo, en busca
de la primera regla coincidente.
Si una regla IP parece ser ignorado, compruebe que alguna otra regla anterior no se está activando en primer lugar.
inspección de estado
Después de evaluación de la regla inicial de la conexión de apertura, no tendrán que ser evaluados individualmente contra el conjunto de
reglas paquetes posteriores que pertenecen a esa conexión. En su lugar, un algoritmo muy eficiente busca en la tabla de estado para
cada paquete para determinar si pertenece a una conexión establecida.
138
3.6.3. Las acciones de reglas IP Capítulo 3. Fundamentos
Este enfoque se conoce como inspección de estado y se aplica no sólo a los protocolos con estado, tales como TCP, pero también por medio de
"pseudo-conexiones" a protocolos sin estado tales como UDP e ICMP. Este enfoque significa que la evaluación contra el conjunto de reglas IP
sólo se realiza en la fase inicial de apertura de una conexión. El tamaño de la norma IP establecida por consiguiente, tiene un efecto insignificante
en el rendimiento general.
El primer principio de congruencia
Si varias reglas coinciden con los mismos parámetros, la primera regla coincidente en una exploración de arriba a abajo es el que
decide cómo se manejará la conexión.
La excepción a esto es SAB normas, ya que éstos se basan en un emparejamiento con una segunda regla para funcionar. Después de encontrar una
coincidencia SAB descarta, por tanto, la búsqueda continuará en la búsqueda de una segunda regla de coincidencia. Ver Sección 7.4, “SAT” Para
obtener más información acerca de este tema.
Tráfico no coincidentes
Los paquetes entrantes que no coinciden con ninguna regla en el conjunto de reglas y que no dispone de una conexión correspondiente ya abierto
en la tabla de estado, estará sujeta automáticamente a una soltar acción. Como se mencionó anteriormente, para poder registrar el tráfico no
coincidente, se recomienda crear una regla explícita llamada
DropAll como la regla final en el conjunto de reglas con una acción de soltar con el origen de red / Destino
todas las redes de Fuente y / interfaz de destino todas. Esto permite el registro para ser encendido para el tráfico que coincide con ninguna regla IP.
3.6.3. Las acciones de reglas IP
Una regla consiste en dos partes: los parámetros de filtrado y la acción a tomar si hay una coincidencia con esos parámetros. Como se describió
anteriormente, los parámetros de cualquier regla NetDefendOS, incluidas las normas de propiedad intelectual son:
• Interfaz de origen
• de red de origen
• Interfaz de destino
• Red de destino
• Servicio
Cuando una regla IP se desencadena por un partido a continuación, una de las siguientes Comportamiento puede ocurrir:
Permitir Se deja que el paquete a pasar. A medida que se aplica la regla de que solamente la apertura de una conexión, una entrada
en la "tabla de estado" está hecho para registrar que una conexión está abierta. El resto de los paquetes relacionados con
esta conexión pasarán a través de la NetDefendOS "motor de estado".
FwdFast Dejó pasar el paquete a través de la NetDefend Firewall sin necesidad de crear un estado para ella en la tabla de estado. Esto
significa que el proceso de inspección de estado se pasa por alto y por lo tanto es menos seguro que Permitir o NAT reglas. tiempo
de procesamiento de paquetes también es más lento que Permitir reglas desde cada paquete se compara con todo el conjunto de
reglas.
NAT Esto funciona como una Permitir regla, pero con la traducción dinámica de direcciones (NAT) activada (véase Sección 7.2, “NAT” en
Capítulo 7, traducción de direcciones para una descripción detallada).
SAB Esto le dice a NetDefendOS para realizar la traducción de direcciones estáticas. UN SAB regla siempre requiere de un juego Permitir,
NAT o FwdFast IP descarta más abajo en el conjunto de reglas (ver
Sección 7.4, “SAT” en Capítulo 7, traducción de direcciones para una descripción detallada).
soltar Esto le dice a NetDefendOS para descartar inmediatamente el paquete. Se trata de una "mala educación"
139
3.6.4. Las entradas de conjuntos de reglas de edición de IP Capítulo 3. Fundamentos
versión de Rechazar en que ninguna respuesta se envía de vuelta al remitente. A menudo es preferible, ya que le da un
potencial atacante no hay pistas sobre lo ocurrido a sus paquetes.
Rechazar Esto actúa como soltar pero volverá una TCP RST o ICMP inalcanzable mensaje, informando al ordenador que envía de
que se ha colocado el paquete. Esta es una versión "amable" de la soltar acción de regla IP.
Rechazar es útil en aplicaciones que envían el tráfico de espera para un tiempo de espera que se produzca antes de darse cuenta
de que el tráfico se redujo. Si se envía una respuesta explícita que indica que el tráfico se ha caído, la aplicación no necesita
esperar a que el tiempo de espera.
Nota: algunas acciones alteran los números de secuencia TCP
En algunas situaciones con ciertos tipos de equipos de red, el número de secuencia TCP tiene que seguir siendo el
mismo que el tráfico de datos atraviesa el firewall.
Por tanto, es importante saber que sólo el FwdFast acción garantiza que el número de secuencia TCP es inalterada. Otras
acciones de las reglas de propiedad intelectual, tales como Permitir y NAT
cambiar el número de secuencia TCP como los flujos de tráfico a través de NetDefendOS.
Conexiones bidireccionales
Un error común al configurar las reglas de PI es definir dos reglas, una regla para el tráfico en una dirección y otra regla para el tráfico que
viene de vuelta en la otra dirección. De hecho casi todos los tipos de Reglas IP permiten bi-direccional el flujo de tráfico una vez que la
conexión inicial se ha configurado. los de red de origen
y Interfaz de origen en la regla significa que la fuente de la solicitud de conexión inicial. Si se permite una conexión y luego pasa a ser
designada, el tráfico puede fluir en cualquier dirección sobre ella.
La excepción a este flujo bi-direccional es FwdFast reglas. Si el FwdFast Se utiliza la acción, la regla no permitirá que el tráfico
fluya desde el destino de vuelta a la fuente. Si se requiere flujo bidireccional luego dos FwdFast Se necesitan reglas, una para
cada dirección. Este es también el caso si una
FwdFast regla se utiliza con una SAB regla.
Utilizando Rechazar
En ciertas situaciones, la Rechazar Se recomienda la acción en lugar de la soltar acción debido a una respuesta "educada" se requiere de
NetDefendOS. Un ejemplo de tal situación es cuando se responde con el protocolo de identificación de usuario IDENT. Algunas
aplicaciones pausa por un tiempo de espera si soltar se utiliza y
Rechazar puede evitar tales retardos de procesamiento.
3.6.4. Las entradas de conjuntos de reglas de edición de IP
Después de añadir varias reglas al conjunto de reglas edición de cualquier regla que puede lograrse en la interfaz web haciendo clic derecho sobre esa
línea.
Un menú contextual aparecerá con las siguientes opciones:
Editar Esto permite que el contenido de la regla para ser cambiados.
Borrar Esto eliminará la regla de forma permanente del conjunto de reglas.
Desactivar Activar Esto permite que la regla se desactivará, pero dejó en el conjunto de reglas. Mientras que la línea discapacitados
conjunto de reglas no afectará el flujo de tráfico y aparecerá en gris en la interfaz de usuario. Se puede volver a
habilitarse en cualquier momento.
opciones de movimiento La última sección del menú contextual permite que la regla se mueve a una posición diferente en el
conjunto de reglas y por lo tanto tienen una precedencia diferente
140
3.6.5. Conjunto de carpetas Regla IP Capítulo 3. Fundamentos
3.6.5. Conjunto de carpetas Regla IP
Con el fin de ayudar a organizar un gran número de entradas en los conjuntos de reglas IP, es posible crear conjunto de reglas IP
carpetas. Estas carpetas son como una carpeta en el sistema de archivos de un ordenador. Se crean con un nombre dado y luego se pueden utilizar
para contener todas las normas de propiedad intelectual que se relacionan entre sí como grupo.
El uso de carpetas es simplemente una manera para que el administrador de dividir convenientemente hasta las entradas de conjuntos de reglas IP y
no hay propiedades especiales se les da a las entradas en diferentes carpetas. NetDefendOS continúa para ver todas las entradas como si estuvieran
en un único conjunto de reglas IP.
El concepto de la carpeta también es utilizado por NetDefendOS en la libreta de direcciones, donde los objetos relacionados con la dirección IP pueden
ser agrupados juntos en el administrador crea carpetas.
Ejemplo 3.20. Adición de una Permitir Regla IP
Este ejemplo muestra cómo crear un sencillo Permitir regla que permita las conexiones HTTP a abrirse desde el
Lannet en la red lan interfaz a cualquier red ( todos-redes) sobre el pálido interfaz.
En primer lugar, cambiar la categoría actual a ser el principal norma IP fija:
GW-mundo: /> principal cc IPRuleSet
Ahora, crear la regla de IP:
GW-mundo: / principal> Agregar acción iprule = Permitir

Servicio = http SourceInterface = lan
SourceNetwork = Lannet
DestinationInterface = wan
DestinationNetwork = todas las redes de
Name = lan_http
Volver al nivel superior:
Los cambios de configuración deben ser salvados por entonces emitir una activar seguido de una cometer mando.
Interfaz web
1. Ir a: Reglas> Reglas IP> Añadir> iprule
2. Especificar un nombre adecuado para la regla, por ejemplo, LAN_HTTP
• Nombre: Un nombre adecuado para la regla. Por ejemplo lan_http
• Acción: Permitir
• Servicio: http
• Interfaz de origen: lan
• Fuente de red: Lannet
• Interfaz de destino: pálido
• Red de destino: todas las redes de
141
3.6.6. Grupos objeto de configuración Capítulo 3. Fundamentos
3.6.6. Grupos objeto de configuración

El concepto de carpetas se puede utilizar para organizar grupos de NetDefendOS objetos en colecciones relacionadas. Estos funcionan al igual que el
concepto de carpetas que se encuentra en el sistema de archivos de un ordenador. Las carpetas se describen en relación con la libreta de direcciones
en Sección 3.1.6, “Dirección carpetas Libro” y también puede ser utilizado en la organización de las normas de PI.
Un complemento y una alternativa a las carpetas para organizar los objetos se utilizan grupos de objetos de configuración.
grupos de objetos permite que el administrador se reúnen y objetos de configuración de código de color bajo un texto de título especificado por lo
que sus relaciones se comprenderán más fácilmente cuando se diaplayed en una interfaz gráfica de usuario NetDefendOS. A diferencia de las
carpetas, que no requieren de cada carpeta para abrir para los objetos individuales a ser visible. En su lugar, todos los objetos de todas las
agrupaciones son visibles a la vez.
grupos de objetos se pueden utilizar no sólo para los objetos de la libreta de direcciones, pero en la mayoría de los casos en que NetDefendOS objetos
se muestran como tablas y cada línea representa una instancia de objeto. El uso más común de esta característica es probable que sea, ya sea para
los NetDefendOS libreta de direcciones para organizar las direcciones IP o de la organización de normas en conjuntos de reglas IP.
Consejo: grupos de objetos ayudan a configuraciones de documentos
grupos de objetos son el método recomendado para documentar el contenido de configuraciones NetDefendOS.
Esto puede ser muy útil para alguien viendo una configuración por primera vez. En un conjunto de reglas IP que contiene
cientos de reglas, grupos de objetos proporcionan un medio para identificar rápidamente las reglas asociadas a un aspecto
específico de la operación NetDefendOS.
Grupos de objetos y la CLI
La función de visualización de grupos de objetos significa que no tienen relevancia para la interfaz de línea de comandos (CLI). No es
posible definir o modificar los grupos de objetos con la CLI de otra manera y no se mostrará en la salida de CLI. Cualquier edición de
grupo debe hacerse a través de la interfaz web y esto se describe a continuación.
Un ejemplo sencillo
Como ejemplo, considere el conjunto de reglas IP principal los cuales contiene sólo dos reglas para permitir la navegación por Internet desde una red
interna y una tercera Drop-todo gobernar para recoger cualquier otro tipo de tráfico para que pueda iniciar sesión:
Nota
Las imágenes de las pantallas utilizadas en este ejemplo muestran sólo las primeras columnas de las propiedades del objeto.
Si se desea crear un grupo de objetos de las dos reglas IP para navegar por la red, esto se hace con los siguientes pasos:
• Seleccionar el primer objeto de estar en el nuevo grupo haciendo clic en él.
• Selecciona el Nuevo grupo opción en el menú contextual.
142
• Un grupo ya está creado con una línea de título y la regla IP como su único miembro. El título predeterminado "( nuevo grupo)" se utiliza.
Todo el grupo también se le asigna un color predeterminado y el miembro de grupo también está sangrado. El objeto en el interior del
grupo conserva el mismo número de índice para indicar su posición en toda la tabla. El índice no se ve afectada por la pertenencia al
grupo. La línea de título del grupo no tiene ni necesita un número de índice ya que sólo es una etiqueta textual.
Propiedades de edición de grupo
Para cambiar las propiedades de un grupo, haga clic en la línea de título del grupo y seleccione el Editar opción en el menú contextual.
UN Grupo diálogo de edición se mostrará lo que permite dos funciones:
• Especificar el Título
El título del grupo puede ser cualquier texto que se requiere y puede contener nuevas líneas, así como líneas vacías. También hay ningún
requisito de que el nombre de grupo es único ya que se utiliza simplemente como una etiqueta.
• Cambiar el color de la pantalla
Cualquier color puede ser elegido para el grupo. El color puede ser seleccionado a partir de los cuadros de color predefinidas 16 o introduce
como un valor RGB hexadecimal. Además, cuando se selecciona la casilla valor hexadecimal, una paleta a todo color espectro aparece que
permite la selección haciendo clic en cualquier color en el cuadro con el ratón.
En este ejemplo, podemos cambiar el nombre del grupo para ser navegación en la web y también cambiar el color a verde grupo. El indicador de
grupo resultante se muestra a continuación:
143
Adición de objetos adicionales
Un nuevo grupo siempre contendrá un solo objeto. Ahora, hay que añadir más objetos al grupo. Al hacer clic derecho en el objeto que
sigue inmediatamente al grupo, podemos seleccionar el Precediendo a unirse
opción para agregarlo al grupo precedente.
Una vez que hacemos esto para la segunda regla IP en nuestro ejemplo, entonces el resultado será el siguiente:
Para añadir cualquier objeto al grupo primero tenemos que colocarlo inmediatamente después el grupo y luego seleccione el Precediendo a unirse opción.
Esto se explica con más detalle a continuación.
Adición de objetos precedentes
Si un objeto precede a un grupo o en cualquier otra posición que no sea inmediatamente después del grupo, a continuación, esto se hace en un
proceso de múltiples pasos:
yo. Haga clic derecho en el objeto y seleccione la Mover a opción.
ii. Introduzca el índice de la posición inmediatamente después del grupo objetivo.
Iii. Después de que el objeto se ha movido a la nueva posición, a la derecha haga clic en el objeto y seleccione la
Precediendo a unirse opción.
Mover Agrupar objetos
Una vez que un objeto, como una regla de IP, está dentro de un grupo, el contexto de las operaciones de movimiento se convierte en el grupo. Por
ejemplo, haciendo clic derecho en un objeto de grupo y seleccionar Mover al principio se mover el objeto a la parte superior del grupo, no la parte
superior de toda la tabla.
moviendo Grupos
Los grupos pueden ser movidos de la misma manera como objetos individuales. Haciendo clic derecho en la línea de título del grupo, el menú
contextual incluye opciones para mover todo el grupo. Por ejemplo, el Mover al principio opción mueve todo el grupo a la parte superior de la tabla.
Dejando a un Grupo
144
Si un objeto en un grupo que se hace clic en ese mismo momento el menú contextual contiene la opción Dejar el grupo.
La selección de este elimina el objeto del grupo y se mueve hacia abajo a una posición inmediatamente posterior al grupo.
Eliminación de un grupo
Haciendo clic derecho en un título del grupo, el menú contextual que se muestra incluye el desagrupar opción. Esto elimina el grupo,
permanecen sin embargo todos los objetos miembro del grupo. La línea de título del grupo desaparece y los miembros individuales aparecer
sin sangrar en el color no agrupados normal. posiciones de índice objeto individual dentro de la tabla no se ven afectados.
Un grupo también se elimina si no hay miembros que quedan. Si sólo hay un miembro de un grupo, cuando este abandona el
grupo, el grupo ya no existe y la línea de título desaparecerá ..
Grupos y carpetas
Es importante distinguir entre la recogida de objetos utilizando un conjunto carpeta y recogiendo juntos usando grupos.
Cualquiera puede ser utilizado para agrupar objetos, sino una carpeta es similar al concepto de una carpeta en el sistema de archivos de un
ordenador. Sin embargo, una carpeta no puede ser parte de un grupo. Grupos junte relacionan objetos básicos y una carpeta no es de este tipo.
Es posible, por otra parte, al utilizar grupos dentro de una carpeta.
Corresponde al administrador de cómo utilizar mejor estas características para organizar mejor NetDefendOS objetos.
145
3.7. horarios Capítulo 3. Fundamentos
3.7. horarios
En algunos casos, podría ser útil para controlar no sólo lo que está activada la función, sino también cuando se está utilizando esa
funcionalidad.
Por ejemplo, la política de TI de una empresa podría estipular que el tráfico de Internet a partir de un determinado departamento solamente se permite
el acceso fuera de ese departamento durante horas normales de oficina. Otro ejemplo podría ser que la autenticación mediante una conexión VPN
específica sólo está permitida durante la semana antes del mediodía.
programar objetos
NetDefendOS aborda este requisito proporcionando Programar objetos (a menudo denominado simplemente como
horarios) que se puede seleccionar y utilizar con diversos tipos de políticas de seguridad para llevar a cabo el control basado en el tiempo.
Intervalos de tiempo múltiples
Un objeto Programación también ofrece la posibilidad de introducir varios intervalos de tiempo para cada día de la semana. Por otra
parte, un inicio y una fecha de parada se pueden especificar que impondrá restricciones adicionales en el calendario. Por ejemplo, un
horario puede ser definido como los lunes y martes, 8:30-10:40 y 11:30-14:00, viernes 14:30-17:00.
Parámetros de programación
Cada objeto de programación consta de los siguientes parámetros:
Nombre El nombre de la programación. Esto se utiliza en la pantalla de interfaz de usuario y como una referencia a la
programación de otros objetos.
Los tiempos programados Estos son los tiempos durante cada semana cuando se aplica el horario. Los tiempos han de
resultar a la hora más cercana. Un horario es activo o inactivo durante cada hora de cada día
de la semana.
Fecha de inicio Si se utiliza esta opción, que es la fecha después de la cual este objeto de programación se activa.
Fecha final Si se utiliza esta opción, que es la fecha después de la cual este objeto de programación ya no está activa.
Comentario Cualquier texto descriptivo que debe ser asociado con el objeto.
Esta funcionalidad no se limita a las normas de PI, pero es válida para la mayoría de tipos de políticas, incluidas las normas Traffic Shaping, la
detección y prevención de intrusiones (IDP) las normas y reglas de enrutamiento virtual. incluidas las normas Traffic Shaping y detección de
intrusiones y las normas de prevención (IDP). Un objeto Programación es, en otras palabras, un componente muy potente que puede permitir la
regulación detallada de las funciones cuando en NetDefendOS están activados o desactivados.
Importante: Ajuste la fecha y hora del sistema
Como los horarios dependen de una fecha precisa del sistema y el tiempo, es muy importante que la fecha y la hora del sistema se
establecen correctamente. Esto también es importante para algunas otras características tales como el uso de certificados en los
túneles VPN.
Preferiblemente, la sincronización de hora también ha sido habilitada para asegurar que las políticas programadas se pueden
activar y desactivar en el momento adecuado. Para obtener más información, consulte la Sección 3.9, “fecha y hora”.
146
3.7. horarios Capítulo 3. Fundamentos
Ejemplo 3.21. La creación de una Política de Seguridad de tiempo regulares
En este ejemplo se crea un objeto de programación para el horario de oficina de lunes a viernes, y se fija el objeto a una regla de IP que permite el tráfico HTTP.
GW-mundo: /> añadir ScheduleProfile OfficeHours

Mon = 8-17 mar = 8-17 = 8-17 Mier Jue Vier = 8-17 = 8-17
Ahora crear la regla de IP que utiliza este horario. En primer lugar, cambiar la categoría actual a ser el principal norma IP fija:
GW-mundo: / principal> añadir iprule Action = NAT

Servicio = http SourceInterface = lan SourceNetwork = Lannet
DestinationInterface = cualquier DestinationNetwork = todas
las redes de nombre de la programación = = OfficeHours
AllowHTTP
Los cambios de configuración deben ser salvados por entonces emitir una activar seguido de una cometer mando.
Interfaz web
1. Ir a: Objetos> Horarios> Añadir> Programación
• Nombre: Horas de oficina
3. Seleccione 08-17, de lunes a viernes en la cuadrícula
• Nombre: AllowHTTP
• Acción: NAT
• Servicio: http
• Programar: Horas de oficina
• SourceInterface: lan
• SourceNetwork Lannet
• DestinationInterface: alguna
147
3.8. certificados Capítulo 3. Fundamentos
3.8. certificados
El estándar X.509
NetDefendOS compatible con los certificados digitales que cumplen con el estándar ITU-T X.509. Esto implica el uso de una jerarquía de
certificados X.509 con criptografía de clave pública para llevar a cabo la distribución de claves y la autenticación de la entidad. Las
referencias en este documento a certificados media certificados X.509.
Cuando se distribuye a otra parte, un certificado realiza dos funciones:
• Se distribuye la clave pública del titular del certificado.
• Se establece la identidad del propietario del certificado.
Un certificado actúa como una prueba digital de la identidad. Se une una identidad a una clave pública con el fin de establecer si una clave pública
pertenece realmente al supuesto propietario. De esta manera, se evita la interceptación de transferencia de datos por un tercero malintencionado que
podría publicar una clave falsa con el nombre de usuario y la ID de un destinatario.
Los certificados con túneles VPN
El uso principal de los certificados en NetDefendOS es con túneles VPN. La forma más sencilla y rápida para proporcionar seguridad entre los
extremos de un túnel es el uso de teclas de pre-compartida (PSK). Como una red VPN crece también lo hace la complejidad del uso de PSK. Los
certificados proporcionan un medio para mejorar la gestión de la seguridad en redes mucho más grandes.
componentes de certificado
Un certificado consta de lo siguiente:
• Una clave pública.
• La "identidad" del usuario, como el nombre y el ID de usuario.
• Las firmas digitales que verifican que la información incluida en el certificado ha sido verificado por una CA.
Uniendo la información anterior en conjunto, un certificado es una clave pública con la identificación adjunta, junto con un sello de
aprobación por una parte de confianza.
Autoridades de Certificación
UN Autoridad certificada ( CA) es una entidad de confianza que emite certificados a otras entidades. La CA firma digitalmente
todos los certificados que emite. Una CA firma válida en un certificado verifica la identidad del titular del certificado, y garantiza
que el certificado no ha sido manipulado por un tercero.
Una CA es responsable de asegurarse de que la información en todos los certificados que expida es correcta. También tiene que asegurarse
de que la identidad del certificado coincide con la identidad del titular del certificado.
cadenas de certificados
148
3.8.1. Visión de conjunto Capítulo 3. Fundamentos
Una CA también puede emitir certificados a otras CA. Esto conduce a una jerarquía de certificados de tipo cadena. El certificado más alto
se llama el Certificado raíz y está firmado por el CA raíz Cada certificado de la cadena está firmado por la entidad emisora del certificado
directamente por encima de ella en la cadena. Sin embargo, el certificado raíz está firmado por sí mismo (que es "auto-firmado").
Certificados de la cadena entre el certificado raíz y el certificado final se llaman Certificados intermedios.
UN Ruta de certificación se refiere a la trayectoria de los certificados de un certificado a otro. Al verificar la validez de un certificado de
usuario, todo el camino desde el certificado de usuario hasta el certificado raíz de confianza tiene que ser examinado antes de
establecer la validez del certificado de usuario.
El certificado de la AC es igual que cualquier otro certificado, salvo que permite la correspondiente clave privada para firmar otros certificados.
En caso de que la clave privada de la CA se vea comprometida, toda la CA, incluyendo todos los certificados que ha firmado, también se ve
comprometida.
En NetDefendOS, la longitud máxima de una cadena de certificados es 4. En los escenarios de VPN con los clientes itinerantes, con el certificado del
cliente será la parte inferior de una cadena de certificados.
Tiempo de validez
Un certificado no es válido para siempre. Cada certificado contiene valores para dos puntos en el tiempo entre las que el certificado es
válido. Cuando este período de validez expira, el certificado ya no se puede utilizar y un nuevo certificado debe ser emitido.
Importante: La fecha y hora del sistema deben ser correctos
Asegúrese de que la fecha del sistema NetDefendOS y la hora se establecen correctamente al utilizar certificados. Los problemas
con los certificados, por ejemplo, en el establecimiento del túnel VPN, puede ser debido a una fecha del sistema incorrecta o
tiempo.
El certificado en la caché NetDefendOS
NetDefendOS mantiene una certificado en la caché en la memoria local que proporciona mejora de la velocidad de procesamiento cuando se
está accediendo repetidamente certificados. Esta caché sólo está completamente curada y se inicializa cuando se reinicia NetDefendOS.
Por esta razón, es importante para reiniciar NetDefendOS si se suman todos los certificados, modificados o eliminados. Esto se puede
hacer con el comando de la CLI:
GW-mundo: /> apagar
Las listas de revocación de certificados
UN Lista de revocación de certificados ( CRL) contiene una lista de todos los certificados que han sido canceladas antes de su fecha de caducidad. Por
lo general se llevan a cabo en un servidor externo al que se accede para determinar si el certificado sigue siendo válido. La capacidad de validar un
certificado de usuario de esta manera es una razón clave por la seguridad de certificado simplifica la administración de grandes comunidades de
usuarios.
CRL se publican en los servidores que todos los usuarios pueden acceder certificado, utilizando el LDAP o protocolos HTTP. La revocación
puede ocurrir por varias razones. Una de las razones podría ser que las llaves del certificado han sido comprometida de alguna manera, o
tal vez que el propietario del certificado ha perdido los derechos para autenticar el uso de ese certificado, tal vez debido a que han dejado la
empresa. Cualquiera que sea la razón, las CRL de servidores pueden ser actualizados para cambiar la validez de uno o varios certificados.
Certificados a menudo contienen un campo de distribución de CRL Point (CDP), que especifica la ubicación de donde el CRL puede ser
descargado. En algunos casos, los certificados no contienen este campo. En esos casos, la ubicación de la CRL tiene que ser configurado
manualmente.
Una CA usualmente actualiza su CRL en un intervalo dado. La longitud de este intervalo depende de cómo el
149
3.8.2. Certificados en NetDefendOS Capítulo 3. Fundamentos
CA está configurado. Por lo general, esto es en algún lugar entre una hora hasta varios días.
Los certificados de confianza
Cuando se utilizan certificados, NetDefendOS confía cualquier persona cuyo certificado está firmado por una CA dada Antes de aceptar un
certificado, se toman las siguientes medidas para verificar la validez del certificado:
• Construir una ruta de certificación hasta la CA raíz de confianza
• Verificar las firmas de todos los certificados en la ruta de certificación.
• Buscar el CRL para cada certificado para verificar que ninguno de los certificados de haber sido revocado.
Listas de identificación
Además de verificar las firmas de los certificados, NetDefendOS también emplea listas de identificación. Una lista de identificación es una lista de
nombres todas las identidades remotos que se permite el acceso a través de un túnel VPN específico, siempre que el procedimiento de validación
de certificados descrito anteriormente tenido éxito.
La reutilización de certificados raíz
En NetDefendOS, certificados raíz deben ser vistos como entidades globales que pueden ser reutilizados entre los túneles VPN. A pesar de
que un certificado raíz está asociada a un túnel VPN en NetDefendOS, todavía puede volver a utilizar con cualquier número de otros,
diferentes túneles VPN.
Otras Consideraciones
Un número de otros factores que deben tenerse en cuenta al utilizar certificados:
• Si se utilizan listas de revocación de certificados (CRL) a continuación, el punto de distribución de CRL se define como un FQDN (por
ejemplo, caserver.somecompany.com) que debe resolverse a una dirección IP mediante un servidor DNS público. Por lo tanto, al
menos un servidor DNS que pueda resolver este FQDN debe definirse en NetDefendOS.
• No permita que los archivos de certificado de host y los archivos de certificado raíz mezclados. Aunque no es posible utilizar un
certificado de host en NetDefendOS como un certificado raíz, es posible utilizar accidentalmente un certificado de host como un
certificado raíz.
• Los certificados tienen dos archivos asociados con ellos y estos tienen los tipos de archivos. llave y presentar. CER.
El nombre de archivo de estos archivos debe será el mismo para NetDefendOS para poder utilizarlos. Por ejemplo, si el certificado se
llama my_cert a continuación, los archivos my_cert.key y my_cert.cer.
3.8.2. Certificados en NetDefendOS

Los certificados pueden ser subidos a NetDefendOS para su uso en la autenticación IKE / IPsec, WebAuth, etc. Hay dos tipos de
certificados que se pueden cargar: certificados firmados y certificados remotos que pertenecen a un par remoto o servidor de CA. Los
certificados auto-firmados pueden ser generados mediante el uso de una de una serie de utilidades de libre disposición para hacer esto.
Ejemplo 3.22. Carga de un certificado
El certificado puede ser o bien autofirmado o pertenecer a un par remoto o servidor de CA.
150
3.8.3. Las solicitudes de certificados CA Capítulo 3. Fundamentos
Interfaz web
1. Ir a: Objetos> Autenticación de objetos> Añadir> Certificado
2. Especificar un nombre adecuado para el certificado
3. A continuación, seleccione una de las siguientes:
• Cargar certificado X.509 autofirmado
• Cargar un certificado remoto
4. Haga clic DE ACUERDO y siga las instrucciones
Ejemplo 3.23. La asociación de certificados con túneles IPsec
Para asociar un certificado importado con un túnel IPsec.
Interfaz web
1. Ir a: Interfaces> IPsec
2. Mostrar las propiedades del túnel IPsec
3. Seleccione el Autenticación lengüeta
4. Seleccione el Certificado X509 opción
5. Seleccione la correcta Puerta y Raíz certificados
3.8.3. Las solicitudes de certificados CA
Para solicitar certificados desde un servidor de CA o de la empresa CA, el mejor método es enviar una Solicitud de certificado de CA
que es un archivo que contiene una solicitud de certificado en un formato conocido, predefinido.
Creación manual de peticiones del servidor de Windows CA
La Interfaz Web NetDefendOS (WebUI) no incluye actualmente la capacidad de generar peticiones de certificados que se pueden
enviar a un servidor de CA para la generación de la. cer y. llave archivos requeridos por NetDefendOS.
Es posible, sin embargo, para crear manualmente los archivos necesarios para un servidor Windows CA utilizando las siguientes etapas.
• Crear un certificado del gateway en el servidor de Windows CA y exportarlo como un archivo en el. pfj formato.
• Convertir el. pfj presentar en el. pem formato.
• Sacar las partes pertinentes de la. pem presentar para formar el requerido. cer y. llave archivos.
Los pasos detallados para las etapas anteriores son como sigue:
1. Crear el certificado del gateway en el servidor de Windows CA y exportarlo a una. pfj presentar en el
NetDefendOS locales Disco estación de trabajo.
151
3.8.3. Las solicitudes de certificados CA Capítulo 3. Fundamentos
2. Ahora convertir el local. pfj presentar a una. pem archivo. Esto se puede hacer con el OpenSSL utilidad de usar
la línea de comandos de la consola:
> openssl pkcs12 -en gateway.pfx salida privado gateway.pem -nodes
En este ejemplo de línea de comandos, el archivo exportado desde el servidor de CA se supone que se llama
gateway.pfx y se supone que estar en el mismo directorio local que el ejecutable OpenSSL.
El original gateway.pfx archivo contenía 3 certificados: certificados raíz de CA, un certificado personal y un certificado de clave
privada. los gateway.pem archivo contiene ahora estos en el formato que se puede cortar y pegar con un editor de texto.
Nota
OpenSSL se utiliza aquí como una utilidad de conversión y no en su función normal de una utilidad de
comunicación.
3. Cree dos archivos de texto en blanco con un editor de texto, como el Bloc de notas de Windows. Dar a los archivos del mismo nombre de
archivo pero el uso de la extensión. cer para uno y. llave para el otro. Por ejemplo,
gateway.cer y Gateway.key podrían ser los nombres.
4. Iniciar un editor de texto y abrir el archivo descargado. pem archivo y busque la línea que comienza:
- - - - - COMENZAR la clave privada RSA -----
5. Marcar y copiar en el portapapeles del sistema de esa línea y todo debajo de ella, hasta e incluyendo la línea:
- - - - - FIN clave privada RSA -----
6. Ahora pegar el texto copiado en el. llave archivo y guardarlo.
7. De vuelta en el. pem presentar, busque la línea que comienza:
- - - - - BEGIN CERTIFICATE -----
y copiar en el portapapeles del sistema de esa línea y todo debajo de ella, hasta e incluyendo:
- - - - - END CERTIFICATE -----
8. Ahora pega este texto copiado en el. cer archivo y guardarlo.
El salvado. llave y. cer archivos están ahora listas para su carga en NetDefendOS.
152
3.9. Fecha y hora Capítulo 3. Fundamentos
3.9. Fecha y hora

establecer correctamente la fecha y la hora es importante para NetDefendOS para operar correctamente. políticas de tiempo programado, la
actualización automática de las bases de datos de PDI y Anti-Virus, y otras características del producto, tales como certificados digitales requieren que
el sistema está configurado con precisión.
Además, los mensajes de registro se etiquetan con marcas de tiempo con el fin de indicar que se produjo un evento
específico. Esto no sólo asume un reloj de trabajo, sino también de que el reloj se sincroniza correctamente con otros equipos
en la red.
Los protocolos de sincronización de tiempo
NetDefendOS apoya el uso opcional de Los protocolos de sincronización de tiempo con el fin de ajustar automáticamente el reloj del sistema local a
partir de la respuesta a las preguntas enviadas a través de Internet pública a servidores externos especiales que se conocen como Servidores de
tiempo.
3.9.2. Ajuste de la fecha y la hora
Fecha y hora actuales
El administrador puede configurar la fecha y la hora manualmente y esto se recomienda cuando se inicia una nueva instalación
NetDefendOS por primera vez.
Ejemplo 3.24. Ajuste de la fecha y hora actuales
Para ajustar la fecha y la hora actuales, siga los pasos que se indican a continuación:
GW-mundo: /> tiempo -set AAAA-MM-DD HH: MM: SS
Donde AAAA-MM-DD HH: MM: SS es la nueva fecha y hora. Tenga en cuenta que el orden de la fecha es el año, a continuación, mes y luego los días. Por ejemplo,
para ajustar la fecha y la hora a la 9:25 de la mañana el 27 de abril de 2008, el comando sería:
GW-mundo: /> 2008-04-27 09:25:00 tiempo -set
Interfaz web
1. Ir a: Sistema> Fecha y hora
2. Haga clic Establecer fecha y hora
3. Ajuste el año, mes, día y hora a través de los controles desplegables
Nota: No se requiere una reconfiguración
Una nueva fecha y hora serán aplicadas por NetDefendOS tan pronto como se establece. No hay necesidad de reconfigurar
o reiniciar el sistema.
Zonas horarias
153
3.9.3. servidores de hora Capítulo 3. Fundamentos
El mundo se divide en una serie de zonas de tiempo con la hora de Greenwich (GMT) en Londres en la longitud cero se toma como la zona
horaria base. Todas las demás zonas horarias que van de este a oeste de la longitud cero se toman como GMT más o menos un número
entero determinado de horas. Todas las ubicaciones cuentan como estar dentro de una zona de tiempo dado tendrá entonces la misma hora
local y esto será una de las compensaciones de número entero de GMT.
La configuración de zona horaria NetDefendOS refleja la zona horaria donde se encuentra físicamente el NetDefend Firewall.
Ejemplo 3.25. Ajuste del huso horario
Para modificar la zona NetDefendOS tiempo para estar GMT más de 1 hora, siga los pasos que se indican a continuación:
GW-mundo: /> establecer DateTime Zona horaria = GMTplus1
Interfaz web
2. Seleccionar ( GMT + 01: 00) en el Zona horaria la lista desplegable
Horario de verano
Muchas regiones siguen Horario de verano ( DST) (o "en tiempo de verano", como se le llama en algunos países) y esto significa que los
relojes se adelantan para el período estival. Por desgracia, los principios que regulan el horario de verano varían de país a país, y en algunos
casos puede haber variaciones dentro del mismo país. Por esta razón, NetDefendOS no sabe cuándo ajustar automáticamente para el
horario de verano. En su lugar, esta información tiene que ser proporcionada de forma manual si es el horario de verano para ser utilizado.
Hay dos parámetros que rigen el horario de verano; el periodo de DST y la diferencia de DST. El período DST especifica en qué fechas
ahorro de comienzo y fin de la luz del día. El horario de verano de desplazamiento indica el número de minutos para avanzar el reloj
durante el período de horario de verano.
Ejemplo 3.26. permitiendo el horario de verano
Para activar el horario de verano, siga los pasos que se indican a continuación:
GW-mundo: /> establecer DateTime DSTEnabled = Sí
Interfaz web
1. Ir a: Sistema / Fecha y Hora
2. Comprobar Activar el horario de verano
3.9.3. servidores de hora
154
El reloj de hardware, que NetDefendOS usos a veces pueden llegar a ser rápido o lento después de un periodo de funcionamiento. Este
comportamiento es normal en la mayoría de equipos de red y el ordenador y se resuelve mediante la utilización de Servidores de tiempo.
NetDefendOS es capaz de ajustar el reloj automáticamente en función de la información recibida de uno o más servidores de tiempo que
proporcionan un tiempo de alta precisión, por lo general el uso de relojes atómicos. El uso de los servidores de tiempo es muy recomendable, ya
que garantiza NetDefendOS tendrán su fecha y hora alineado con otros dispositivos de red.
Los protocolos de sincronización de tiempo
Los protocolos de sincronización de tiempo son métodos estandarizados para recuperar la información horaria de los servidores de tiempo
externos. NetDefendOS soporta los siguientes protocolos de sincronización de tiempo:
• SNTP
Definido por el RFC 2030, El Protocolo simple de tiempo de red (SNTP) es una aplicación ligera de NTP (RFC 1305).
Esto es utilizado por NetDefendOS para consultar servidores NTP.
• UDP / HORA
El protocolo de tiempo (UDP / HORA) es un método más antiguo de proporcionar un servicio de sincronización de tiempo a través de Internet. El
protocolo proporciona una, fecha y hora de lectura mecánica sitio independiente. El servidor devuelve el tiempo en segundos desde la medianoche
del primero de enero de 1900. La mayoría de los servidores públicos de tiempo corren el protocolo NTP y son accesibles mediante SNTP.
Configuración de los servidores de tiempo
Hasta tres servidores de tiempo pueden configurarse para consultar información de tiempo. Mediante el uso de más de un solo servidor, situaciones en
las que un servidor inalcanzable hace que el proceso de sincronización de tiempo a fallar se pueden prevenir. NetDefendOS siempre consulta todos los
servidores de hora configurados y luego calcula un promedio de tiempo sobre la base de todas las respuestas. buscadores de Internet se pueden
utilizar para enumerar los servidores de tiempo a disposición del público.
Importante: los servidores DNS deben configurarse en NetDefendOS
Asegúrese de que al menos un servidor DNS externo está configurado correctamente en NetDefendOS para que el tiempo URL del
servidor pueden ser resueltas (véase la Sección 3.10 “DNS”,). Esto no es necesario si el uso de direcciones IP para los servidores.
Ejemplo 3.27. Habilitación de sincronización de hora usando SNTP
En este ejemplo, la sincronización de tiempo está configurado para utilizar el protocolo SNTP para comunicarse con los servidores NTP en el Laboratorio Nacional
Sueco de tiempo y frecuencia. Las direcciones URL del servidor NTP son ntp1.sp.se y ntp2.sp.se.
GW-mundo: /> establecer DateTime = Timesynchronization personalizada

TimeSyncServer1 = DNS: ntp1.sp.se
TimeSyncServer2 = DNS: ntp2.sp.se
TimeSyncInterval = 86400
Interfaz web
2. Comprobar la Habilitar sincronización de tiempo
155
• Tiempo Tipo de servidor: SNTP
• Tiempo del servidor primario: DNS: ntp1.sp.se
• Secundaria en el Servidor: DNS: ntp2.sp.se
Las direcciones URL del servidor de tiempo deben tener el prefijo DNS: para especificar que deben ser resueltos con un servidor DNS. NetDefendOS por lo tanto también
debe tener un servidor DNS se define por lo que esta resolución se puede realizar.
Nota
Si el TimeSyncInterval parámetro no se especifica cuando se utiliza la CLI para configurar el intervalo de sincronización,
se usa el valor por defecto de 86.400 segundos (equivalentes a un día).
Ejemplo 3.28. La activación manual de un tiempo de sincronización
sincronización de tiempo puede ser disparado desde la CLI. La salida a continuación muestra una respuesta típica.
GW-mundo: /> -sync tiempo

Intentar sincronizar la hora del sistema ...
Hora del Servidor: 2008-02-27 12:21:52 (GMT + 00: 00) Hora local: 2008-02-27 12:24:30 (GMT
+ 00: 00) (esta: 158)
hora local cambió con éxito a la hora del servidor.
Ajuste de Tiempo máximo
Para evitar situaciones en las que un servidor de tiempo defectuoso provoca el reloj para ser actualizado con un tiempo extremadamente
inexacta, una Ajuste máximo valor (en segundos) se puede ajustar. Si la diferencia entre el tiempo NetDefendOS actual y el tiempo recibido
de un servidor de tiempo es mayor que este valor máximo de ajuste, entonces la respuesta del servidor de tiempo será descartado. Por
ejemplo, supongamos que el valor de ajuste máxima se establece en 60 segundos y el tiempo NetDefendOS actual es 16:42:35. Si un
servidor de tiempo responde con un tiempo de 16:43:38 entonces la diferencia es de 63 segundos. Esto es mayor que el valor máximo de
ajuste por lo que no se produce la actualización de esta respuesta.
Ejemplo 3.29. Modificación de la máxima Ajuste de Valores
GW-mundo: /> establecer DateTime TimeSyncMaxAdjust = 40,000
Interfaz web
2. Para el ajuste la deriva de tiempo máximo que se permite que un servidor para ajustar, anote la diferencia de tiempo máximo
en segundos que se permite a un servidor externo para ajustarse a. Puede haber una razón válida por la que hay una diferencia significativa,
como una configuración incorrecta NetDefendOS.
156
3.9.4. Resumen para la configuración de fecha y hora Capítulo 3. Fundamentos
A veces puede ser necesario anular el ajuste máximo. Por ejemplo, si la sincronización de tiempo sólo se ha activado y
la diferencia temporal de inicio es mayor que el máximo valor de ajuste. Es entonces posible forzar manualmente una
sincronización y no tener en cuenta el parámetro de ajuste máximo.
Ejemplo 3.30. Forzar sincronización de tiempo
Este ejemplo muestra cómo forzar la sincronización de tiempo, controlando el sistema de ajuste máximo.
GW-mundo: /> tiempo de force -sync
intervalos de sincronización
El intervalo entre cada intento de sincronización se puede ajustar si es necesario. Por defecto, este valor es 86.400 segundos (1 día), lo que
significa que el proceso de sincronización de tiempo se ejecuta una vez en un período de 24 horas.
Servidores D-Link Tiempo
Utilizando los propios servidores de hora de D-Link es una opción en NetDefendOS y esta es la forma recomendada de sincronización del reloj del
servidor de seguridad. Estos servidores se comunican con NetDefendOS utilizando el protocolo SNTP.
Cuando se elige la opción D-Link Servidor, se utiliza un conjunto predefinido de valores por defecto recomendados para la sincronización.
Ejemplo 3.31. Activar el servidor NTP D-Link
Para habilitar el uso del servidor de D-Link NTP:
GW-mundo: /> establecer DateTime Timesynchronization = D-Link
Interfaz web
2. Seleccione el D-Link Servidor TimeSync boton de radio
Como se mencionó anteriormente, es importante contar con un servidor DNS externo configurado de manera que las direcciones URL de D-Link
Servidor de tiempo pueden ser resueltos durante el proceso de acceso.
3.9.4. Resumen para la configuración de fecha y hora
A continuación se muestra un resumen de los diferentes ajustes de fecha y hora:
Zona horaria
157
La zona horaria en minutos.
Defecto: 0
DST Offset
El horario de verano compensado en cuestión de minutos.
Defecto: 0
El horario de verano Fecha de Inicio
¿En qué mes y el día comienza el horario de verano, en el formato MM-DD.
Defecto: ninguna
El horario de verano Fecha de finalización
¿En qué mes y el día termina el horario de verano, en el formato MM-DD.
Defecto: ninguna
Tipo de tiempo de sincronización del servidor
Tipo de servidor de sincronización de tiempo, UDPTime o SNTP (Simple Network Time Protocol).
Defecto: SNTP
Tiempo de servidores primarios
nombre de host DNS o la dirección IP del servidor de hora 1.
Defecto: Ninguna
Servidor Secundario Tiempo
Defecto: Ninguna
teriary servidor de tiempo
Defecto: Ninguna
Intervalo entre sincronización
Segundos entre cada resincronización.
Defecto: 86400
Tiempo máximo de la deriva
158
la deriva de tiempo máximo en segundos que se permite un servidor de ajustar.
Defecto: 600
intervalo de grupo
Intervalo de acuerdo con la cual se agrupan las respuestas del servidor.
Defecto: 10
159
3.10. DNS Capítulo 3. Fundamentos
3.10. DNS
Visión de conjunto
Un servidor DNS puede resolver una Nombre de dominio completo ( FQDN) en la dirección IP numérica correspondiente. FQDN son los
nombres de dominio Pruebas inequívocas que especifican la posición única de un nodo en la jerarquía del árbol de DNS de Internet. FQDN
resolución permite que la dirección IP física real para cambiar mientras que el FQDN puede permanecer igual.
UN Localizador Uniforme de Recursos ( URL) difiere de un FQDN en el que la dirección URL incluye el protocolo de acceso junto con el nombre de
dominio completo. Por ejemplo, el protocolo podría ser especificado http //: para las páginas World Wide Web.
FQDN se utilizan en muchos aspectos de una configuración NetDefendOS donde las direcciones IP son desconocidos o donde tiene más sentido
para hacer uso de la resolución de DNS en lugar de utilizar direcciones IP estáticas.
DNS con NetDefendOS
Para llevar a cabo la resolución de DNS, NetDefendOS tiene incorporado un cliente DNS que puede ser configurado para hacer uso de
hasta tres servidores DNS. El reciben el nombre de Servidor primario, el servidor secundario y el Servidor terciario. Para el DNS funcione,
al menos el servidor principal se debe configurar. Se recomienda tener tanto una primaria y secundaria se define por lo que hay una
copia de seguridad debe estar disponible la primaria.
Características que requieran la resolución de DNS
Tener al menos un servidor DNS definido es vital para el funcionamiento de los siguientes módulos en NetDefendOS:
• la sincronización automática de la hora.
• El acceso a un servidor de la autoridad de certificación externa para CA firmó los certificados.
• UTM características que requieren acceso a servidores externos, tales como anti-virus y de desplazados internos.
Ejemplo 3.32. Configuración de servidores DNS
En este ejemplo, el cliente DNS está configurado para utilizar una primaria y un servidor DNS secundario, que tiene direcciones IPv4 10.0.0.1 y 10.0.0.2 respectivamente.
GW-mundo: /> configurar DNS DNSServer1 = 10.0.0.1 DNSServer2 = 10.0.0.2
Interfaz web
1. Ir a: Sistema> DNS
• Servidor primario: 10.0.0.1
• Servidor secundario: 10.0.0.2
160
Búsqueda de DNS y normas de PI
En el caso de solicitud del servidor DNS que se genera por NetDefendOS en sí, no hay normas de propiedad intelectual deben ser
definidas para la conexión con éxito. Esto se debe a que se consideran las conexiones iniciadas por NetDefendOS de fiar. Por ejemplo,
este sería el caso si NetDefendOS está accediendo a un servidor de CA para establecer la validez de un certificado y primero debe
resolver el FQDN del certificado a una dirección IP.
DNS dinámico y cartel HTTP
Una característica DNS ofrecido por NetDefendOS es la capacidad de informar de manera explícita los servidores DNS cuando la
dirección IP externa del NetDefend Firewall ha cambiado. Esto se refiere a veces como
DNS Dinámico y es útil cuando el NetDefend Firewall tiene una dirección externa que puede cambiar.
DNS dinámico también puede ser útil en escenarios VPN donde ambos extremos del túnel tienen direcciones IP dinámicas. Si sólo hay un lado
del túnel tiene una dirección dinámica, entonces el VPN NetDefendOS mantener viva característica resuelve este problema.
Debajo Sistema> Misc. Clientela en la WebUI, se definen varios servicios de DNS dinámico. los
HTTP cartel objeto cliente es un cliente de DNS dinámico genérico con las siguientes características:
• Múltiple HTTP cartel los objetos pueden ser definidos, cada uno con una URL diferente y diferentes configuraciones opcionales.
• Por defecto, una HTTP cartel objeto envía un HTTP OBTENER solicitar a la dirección URL definida. Algunos servidores
requieren un HTTP ENVIAR solicitar y para ello la opción HTTP Post los valores
debe estar habilitado. Esto es generalmente necesaria cuando los parámetros de autenticación se envían en la URL.
• Por defecto, HTTP cartel hace no enviar automáticamente la solicitud del servidor después de NetDefendOS reconfiguración. Este
comportamiento se puede cambiar activando la opción Volver a publicar en cada reconfiguración.
Hay una excepción al comportamiento predeterminado y que es después de una reconfiguración que es el resultado de obtener una
nueva dirección IP local en la interfaz que se conecta al servidor DNS.
NetDefendOS siempre espera un periodo predefinido de 20 segundos antes de volver a colocar después de una configuración.
• El valor por defecto Retraso repost es de 1200 segundos (20 minutos). Esto puede ser alterado.
el predefinido DynDNS cliente tiene un tiempo refetch incorporada de 30 días, que no puede ser cambiado.
La diferencia entre HTTP cartel y los servidores DNS nombre predefinido es que HTTP cartel
se puede utilizar para enviar cualquier URL. Los servicios mencionados son una comodidad que hacen que sea fácil para formatear correctamente la
URL necesaria para ese servicio en particular. Por ejemplo, el http: // URL para el dyndns.org
servicio podría ser:
myuid:? mypwd@members.dyndns.org/nic/update nombre de host = mydns.dyndns.org
Esto podría ser enviada mediante el uso de Cartel de HTTP. Como alternativa, la URL podría ser formateado de forma automática para que el
administrador de NetDefendOS mediante el uso de la DynDNS opción e introducir sólo la información necesaria para la dyndns.org.
El comando de la consola CLI httpposter se puede utilizar para solucionar problemas por ver lo que está enviando y NetDefendOS lo
que los servidores están regresando:
GW-mundo: /> httpposter
161
Nota: Una alta tasa de consultas de servidor puede causar problemas
servicios de DNS dinámicos suelen ser sensibles a los intentos de inicio de sesión repetidas en cortos períodos de tiempo y
pueden lista negra direcciones IP de origen que están enviando solicitudes excesivas. Por ello no es aconsejable consultar estos
servidores con demasiada frecuencia, de lo contrario, pueden dejar de responder.
Un repost de un servidor individual puede ser forzado con el comando:
GW-mundo: /> httpposter -repost = <índice>
donde < índice> es la posición del objeto en la lista de los carteles. Por ejemplo, para forzar un informe de la segunda en la lista:
GW-mundo: /> httpposter -repost = 2
HTTP cartel tiene otros usos
HTTP cartel puede ser utilizado para otros fines que DNS dinámico. Cualquier requisito para NetDefendOS para enviar un HTTP OBTENER
o ENVIAR mensaje a una URL concreta se pudo cumplir con esta función.
162
163
Capítulo 4. Enrutamiento
En este capítulo se describe cómo configurar el enrutamiento IP en NetDefendOS.
• Descripción general, página 164
• Enrutamiento estático, página 165
• Enrutamiento basado en políticas, página 183
• Ruta de equilibrio de carga, página 190
• OSPF, página 196
• Enrutamiento multicast, página 220
• Modo transparente, página 233
4.1. Visión de conjunto
enrutamiento IP es una de las funciones más fundamentales de NetDefendOS. Cualquier paquete IP que fluye a través de un servidor de seguridad
NetDefend será sometido al menos a una decisión de enrutamiento en algún momento en el tiempo, y configurar en forma adecuada de enrutamiento
es crucial para que el sistema funcione como se espera.
NetDefendOS ofrece soporte para los siguientes tipos de mecanismos de enrutamiento:
• Enrutamiento estatico
• El enrutamiento dinámico
Además, NetDefendOS apoya verificación de la derrota para lograr la ruta y redundancia de enlaces con capacidad de conmutación por error.
164
4.2. enrutamiento estatico Capítulo 4. Enrutamiento
4.2. enrutamiento estatico
La forma más básica de encaminamiento se conoce como Enrutamiento estatico. La palabra " estático" se refiere al hecho de que las entradas en la tabla
de enrutamiento se añaden manualmente y son por lo tanto permanente (o estática) por naturaleza.
Debido a este enfoque manual, enrutamiento estático es el más apropiado para utilizar en despliegues de redes más pequeñas, donde las
direcciones son bastante fijos y donde la cantidad de redes conectadas se limitan a unos pocos. Sin embargo, para redes más grandes, o
cuando la topología de red es compleja, el trabajo de mantener manualmente las tablas de enrutamiento estático puede ser mucho tiempo y
es también problemático. por lo tanto, el enrutamiento dinámico se debe utilizar en tales casos.
Para obtener más información acerca de las capacidades de enrutamiento dinámico de NetDefendOS, consulte
Sección 4.5, “OSPF”. Tenga en cuenta, sin embargo, que incluso si el enrutamiento dinámico se elige para una red, la comprensión de los principios
de enrutamiento estático y la forma en que se implementa en NetDefendOS sigue siendo necesaria.
4.2.1. Los Principios de enrutamiento
enrutamiento IP es el mecanismo utilizado en las redes basadas en TCP / IP para la entrega de paquetes IP desde su origen hasta su
destino final a través de un número de dispositivos de red intermedios. Estos dispositivos se denominan a menudo como la mayoría enrutadores
ya que están realizando la tarea de encaminar los paquetes a su destino.
En cada router, uno o más tablas de enrutamiento contener una lista de rutas y estos son consultados para saber dónde enviar un paquete
para que pueda llegar a su destino. Los componentes de una sola ruta se discuten a continuación.
Los componentes de una ruta
Cuando se define una ruta que consta de los siguientes parámetros:
• Interfaz
La interfaz para enviar el paquete en el fin de alcanzar la red de destino. En otras palabras, la interfaz a la que está
conectado el rango de IP de destino, ya sea directamente o a través de un router.
La interfaz puede ser una interfaz física del servidor de seguridad o podría ser túnel VPN (túneles son tratados como interfaces
físicas por NetDefendOS).
• Red
Este es el rango de direcciones IP de red de destino, que llegará a esta ruta. La ruta elegida de una tabla de
enrutamiento es el que tiene un rango de IP de destino que incluye que se busca la dirección IP. Si hay más de una
ruta coincidente, la ruta elegida es la que tiene el rango de direcciones IP más pequeño.
La red de destino todas las redes de por lo general siempre se utiliza en la ruta de acceso público a Internet a través de un ISP.
• Puerta
La dirección IP de la puerta que es el siguiente router en la ruta de acceso a la red de destino. Esto es opcional. Si la
red de destino está conectado directamente a la interfaz, esto no es necesario.
Cuando un router se encuentra entre el NetDefend firewall y la red de destino, una dirección IP de puerta de enlace debe ser especificado. Por
ejemplo, si la ruta es de acceso público a Internet a través de un ISP a continuación, la dirección IPv4 pública del enrutador de puerta de enlace
del ISP se especificaría.
• Dirección IP local
165
4.2.1. Los Principios de enrutamiento Capítulo 4. Enrutamiento
Este parámetro generalmente no necesita ser especificado. Si se especifica, NetDefendOS ARP responde a las preguntas enviadas a esta
dirección. Una sección especial a continuación explica este parámetro en más profundidad.
Dirección IP local y Puerta son mutuamente excluyentes y, o bien uno o el otro debe ser especificado.
• Métrico
Este es un valor de métrica asignado a la ruta y se utiliza como un peso al realizar comparaciones entre rutas alternativas.
Si dos rutas son equivalentes, pero tienen diferentes valores métricos entonces la ruta con el valor de la métrica más baja
se toma.
El valor de la métrica también es utilizado por ruta de conmutación por error y Ruta de equilibrio de carga.
Para más información, ver Sección 4.4, “Ruta de equilibrio de carga” y Sección 4.2.3, “Ruta de conmutación por error”.
Un escenario de enrutamiento Típica
El siguiente diagrama ilustra un escenario de uso típico NetDefend Firewall.
Figura 4.1. Un escenario de enrutamiento Típica
En el diagrama anterior, el LAN de interfaz está conectado a la red 192.168.0.0/24 y el DMZ

de interfaz está conectado a la red 10.4.0.0/16. los PÁLIDO de interfaz está conectado a la red
195.66.77.0/24 y la dirección de la puerta de enlace del ISP a la Internet pública es 195.66.77.4.
La tabla de enrutamiento asociado para esto sería la siguiente:
ruta # Interfaz Destino Puerta
1 lan 192.168.0.0/24
2 DMZ 10.4.0.0/16
166
3 pálido 195.66.77.0/24
4 pálido todas las redes de 195.66.77.4
La tabla de enrutamiento anterior proporciona la siguiente información:
• Ruta # 1
Todos los paquetes que van a los hosts en la red 192.168.0.0/24 deben ser enviados a cabo en la interfaz LAN. Como no se especifica ninguna
puerta de entrada para la entrada de ruta, se supone que el ejército para ser situado en el segmento de red directamente accesible desde la
interfaz LAN.
• Ruta # 2
Todos los paquetes que van a los hosts en la red 10.4.0.0/16 deben ser enviados a cabo en la interfaz DMZ. También para esta ruta, no se
especifica ninguna puerta de enlace.
• Ruta # 3
Todos los paquetes que van a los hosts en la red 195.66.77.0/24 serán enviados en la interfaz WAN. No se requiere ninguna puerta de enlace
para llegar a los anfitriones.
• Ruta # 4
Todos los paquetes que van a cualquier host (el todas las redes de red coincidirá con todos los hosts) será enviado en la interfaz WAN y a la
pasarela con la dirección IP 195.66.77.4. Esa puerta de enlace a continuación, consulte la tabla de enrutamiento para averiguar dónde enviar los
paquetes a continuación.
Una ruta con el destino todas las redes de se refiere a menudo como el Ruta por defecto ya que coincidirá con todos los
paquetes a los que se ha configurado ninguna ruta específica. Esta ruta suele especificar la interfaz que se conecta a la Internet
pública.
La Tabla de enrutamiento de ajuste más estrecho está seleccionada
Cuando se evalúa una tabla de enrutamiento, el orden de las rutas no es importante. En su lugar, todas las rutas en la tabla de enrutamiento
relevantes son evaluados y los más específico se utiliza ruta. En otras palabras, si dos rutas tienen redes de destino que se superponen, la
definición de la red más estrecho será tomada antes de la una más ancha. Este comportamiento contrasta con las reglas IP que se utiliza la
primera regla coincidente.
En el ejemplo anterior, un paquete con una dirección IP de destino 192.168.0.4 coincidirá en teoría, tanto la primera ruta y el último.
Sin embargo, la primera entrada de ruta es un estrecho, partido más específica lo que la evaluación va a terminar allí y el paquete
será enrutado de acuerdo con esa entrada.
A pesar de enrutamiento Tabla de pedido no es importante, todavía se recomienda para facilitar la lectura para tratar de colocar las rutas más estrechos
primero y el valor por defecto todas las redes de ruta pasada.
los Dirección IP local Parámetro
El uso correcto de la Dirección IP local parámetro puede ser difícil de entender la explicación de manera adicional puede ser útil.
Normalmente, una interfaz física, tales como lan está conectado a una única red y la interfaz y de la red están en la
misma red. Podemos decir que la red está obligado a una interfaz física y clientes en la red conectada puede encontrar
automáticamente el Firewall NetDefend través de consultas ARP. ARP funciona porque los clientes y la interfaz
NetDefendOS son parte de la misma red.
Una segunda red puede entonces ser añadido a la misma interfaz física a través de un interruptor, pero con un nuevo
167
alcance de la red que no incluya la dirección IP de la interfaz física. Esta red se dice que es
No unido a la interfaz física. Los clientes de esta segunda red no serán entonces capaces de comunicarse con el servidor
de seguridad NetDefend porque ARP no funcionará entre los clientes y la interfaz.
Para resolver este problema, se añade una nueva ruta a NetDefendOS con los siguientes parámetros:
• Interfaz: La interfaz en la que se encuentra la segunda red.
• Red: El rango de direcciones IP de la segunda red.
• Dirección IP local: Una dirección IP dentro del rango de la segunda red.
Cuando el Puerta de enlace predeterminada de los clientes de la segunda red ya está configurado en el mismo valor que el Dirección IP
local de la ruta anterior, los clientes serán capaces de comunicarse con éxito con la interfaz. La dirección IP elegido en la segunda red no
es significativo, con tal de que es el mismo valor para el Puerta de enlace predeterminada de los clientes y el Dirección IP local.
El efecto de la adición de la ruta con el Dirección IP local es que los NetDefendOS actuarán como una puerta de enlace con el Dirección
IP local y responder a, así como enviar consultas ARP, como si la interfaz tenía esa dirección IP.
El diagrama a continuación ilustra un escenario en el que se podría utilizar esta característica. la red de 10.1.1.0/24
está unido a una interfaz física que tiene una dirección IP dentro de la red de 10.1.1.1. Si ahora le damos una segunda red 10.2.2.0/24 a
través de la interfaz del conmutador, que está consolidado desde la dirección IP de la interfaz no pertenece a ella.
Figura 4.2. Utilizando Dirección IP local con una red de consolidar
Mediante la adición de una ruta NetDefendOS para esta segunda red con el Dirección IP local especificado como
10.2.2.1, la interfaz entonces responderá a las solicitudes de la ARP 10.2.2.0/24 red. Los clientes en esta segunda red también deben tener
su Puerta de enlace predeterminada ajustado a 10.2.2.1 con el fin de llegar a la NetDefend Firewall.
168
4.2.2. enrutamiento estatico Capítulo 4. Enrutamiento
Esta característica se utiliza normalmente cuando una red adicional es que se añade a una interfaz pero no es deseable cambiar las
direcciones IP existentes de la red. Desde el punto de vista de seguridad, hacer esto puede presentar riesgos significativos desde
diferentes redes normalmente se van a unir a través de un interruptor que impone ningún control sobre el tráfico que pasa entre
dichas redes. Por lo tanto, se debe tener precaución antes de utilizar esta función.
Todo el tráfico debe tener dos rutas asociadas
Algo que no es intuitivo cuando se intenta comprender el encaminamiento en NetDefendOS es el hecho de que todo el tráfico debe
tener dos rutas asociadas con ella. No sólo debe ser una ruta definida para la red de destino de una conexión, pero también para la red
de origen.
La ruta que define la red de origen simplemente dice que la red de origen se encuentra en una interfaz particular. Cuando se abre
una nueva conexión, NetDefendOS realiza una comprobación conocido como
consulta de rutas inversa que se ve para esta ruta. La ruta de red de fuente no se utiliza para realizar el enrutamiento sino como una
comprobación de que la red de origen debe ser encontrado en la interfaz donde llegó. Si esta comprobación falla, genera un NetDefendOS Regla
de acceso por defecto mensaje de registro de errores.
Incluso el tráfico destinado a Core ( NetDefendOS sí mismo), tales como solicitudes de ping ICMP debe seguir esta regla de tener dos
rutas asociadas con ella. En este caso, la interfaz de una de las rutas se especifica como Núcleo.
4.2.2. enrutamiento estatico
En esta sección se describe cómo se implementa el enrutamiento en NetDefendOS, y cómo configurar el enrutamiento estático.
NetDefendOS soporta múltiples tablas de enrutamiento. Una tabla por defecto llamada principal está predefinido y siempre está presente en
NetDefendOS. Sin embargo, las tablas de enrutamiento adicionales y completamente separadas pueden ser definidos por el administrador para
proporcionar encaminamiento alternativo.
Estos toubles de enrutamiento adicionales definidos por el usuario se pueden utilizar para poner en práctica Enrutamiento basado en políticas lo que
significa que el administrador puede configurar reglas en el conjunto de reglas IP que decidir cuál de las tablas de enrutamiento se encargará de ciertos
tipos de tráfico. (ver Sección 4.3, “Enrutamiento basado en políticas”).
El Mecanismo de Consulta de rutas
El mecanismo de búsqueda de rutas NetDefendOS tiene algunas ligeras diferencias en el funcionamiento de algunos otros productos de router. En
muchos enrutadores, donde los paquetes IP se reenvían sin contexto (en otras palabras, el reenvío es sin estado), la tabla de enrutamiento se
escanea para todos y cada paquete IP recibido por el router. En NetDefendOS, los paquetes se envían con el estado de conciencia, por lo que el
proceso de búsqueda de rutas está estrechamente integrado en los NetDefendOS mecanismo de inspección de estado.
Cuando se recibe un paquete IP en cualquiera de las interfaces, la tabla de conexiones se consulta para ver si hay una conexión ya abierta a la
que pertenece el paquete recibido. Si se encuentra una conexión existente, la entrada de la tabla de conexión incluye información sobre dónde
encaminar el paquete así que no hay necesidad de operaciones de búsqueda en la tabla de enrutamiento. Esto es mucho más eficiente que las
búsquedas tradicionales tabla de enrutamiento, y es una de las razones para el alto rendimiento de reenvío de NetDefendOS.
Si no se puede encontrar una conexión establecida, a continuación, la tabla de enrutamiento es consultado. Es importante entender que
la búsqueda de rutas se realiza antes de cualquiera de las distintas reglas de política se evalúan (por ejemplo, las normas de PI). En
consecuencia, la interfaz de destino es conocida en el momento NetDefendOS decide si la conexión se debe permitir o caer. Este diseño
permite un control más preciso de las políticas de seguridad.
NetDefendOS Ruta notación
NetDefendOS utiliza una forma ligeramente diferente de la descripción de rutas en comparación con la mayoría de los otros sistemas, pero
169
de esta manera es más fácil de entender, por lo que los errores sean menos probables.
Muchos otros productos no utilizan la interfaz específica en la tabla de enrutamiento, pero especifican la dirección IP de la interfaz en su lugar. La tabla
de enrutamiento de abajo es de una estación de trabajo de Microsoft Windows XP:
================================================== ================== lista de interfaces
0x1 ........................... MS TCP interfaz de bucle invertido 0x10003 ... 00 13 51 d4 8d dd ...... Intel ( R) PRO / 1000
CT Red 0x20004 ... 00 53 45 00 00 00 ...... WAN (PPP / SLIP) Interfaz ====================
=============================================== ===
================================================== ============== Rutas activas de red de
destino:
máscara de red Puerta interfaz métrica

0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.10 20
10.0.0.0 255.0.0.0 10.4.2.143 10.4.2.143 1
10.4.2.143 255.255.255.255 127.0.0.1 127.0.0.1 50
10.255.255.255 255.255.255.255 10.4.2.143 10.4.2.143 50
85.11.194.33 255.255.255.255 192.168.0.1 192.168.0.10 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.10 192.168.0.10 20
192.168.0.10 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.10 192.168.0.10 20
224.0.0.0 240.0.0.0 10.4.2.143 10.4.2.143 50
224.0.0.0 240.0.0.0 192.168.0.10 192.168.0.10 20
255.255.255.255 255.255.255.255 10.4.2.143 10.4.2.143 1
255.255.255.255 255.255.255.255 192.168.0.10 192.168.0.10 1
Puerta de enlace predeterminada: 192.168.0.1
================================================== ================= Rutas persistentes:
Ninguno
La tabla de enrutamiento correspondiente en NetDefendOS será similar a la siguiente:
Red de banderas Yo afronto Puerta Métricas IP local

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
192.168.0.0/24 lan 20
10.0.0.0/8 pálido 1
0.0.0.0/0 pálido 192.168.0.1 20
Ventajas de definición de ruta NetDefendOS
El método NetDefendOS de rutas que definen hace que la lectura y la comprensión de la información de enrutamiento más fácil.
Una ventaja adicional con el enfoque NetDefendOS es que el administrador puede especificar directamente una puerta de enlace para una
ruta particular y el siguiente es cierto:
• Una ruta diferente no necesita ser definido que incluye la dirección IP de la pasarela.
• No importa incluso si hay una ruta separada que incluye la dirección de puerta de enlace IP y que las rutas de tráfico a una
interfaz diferente.
Las subredes compuestos se pueden especificar
Otra ventaja con el enfoque NetDefendOS de definición de ruta es que permite al administrador especificar rutas para
destinos que no están alineados con las máscaras de subred tradicionales.
170
Por ejemplo, es perfectamente legal para definir una ruta para el rango de direcciones IP de destino 192.168.0.5
a 192.168.0.17 y otra ruta para direcciones IP 192.168.0.18 a 192.168.0.254. Esta es una característica que hace que NetDefendOS muy
adecuado para el encaminamiento en topologías de red de alta complejidad.
Viendo tablas de enrutamiento
Es importante señalar que las tablas de enrutamiento que están configurados inicialmente por el administrador puede tener rutas añadir, eliminar y
modificar de forma automática durante el funcionamiento en vivo y aparecerán estos cambios cuando se muestran los contenidos de la tabla de
enrutamiento.
Estos cambios tabla de enrutamiento puede tener lugar por diferentes razones. Por ejemplo, si el enrutamiento dinámico con OSPF se ha activado a
continuación las tablas de enrutamiento será completada con nuevas rutas aprendidas de la comunicación con otros routers OSPF en una red
OSPF. Otros eventos como ruta de conmutación por error también puede causar enrutamiento contenidos de la tabla a cambiar con el tiempo.
Ejemplo 4.1. Viendo la principal Tabla de ruteo
Este ejemplo ilustra cómo mostrar el contenido del defecto principal tabla de ruteo.
Para ver la tabla de enrutamiento configurado:
GW-mundo: / principal> espectáculo
Ruta
# Interfaz de red de puerta de enlace IP local
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 wan 213.124.165.1 todo-redes (ninguno)
2 LAN Lannet (ninguna) (ninguna)
3 wan Wannet (ninguna) (ninguna)
Para ver la tabla de enrutamiento activa entre:
GW-mundo: /> rutas

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
192.168.0.0/24 lan 0
213.124.165.0/24 wan 0
0.0.0.0/0 pálido 213.124.165.1 0
Interfaz web
1. Ir a: Enrutamiento> Tablas de enrutamiento
2. Seleccione el principal La tabla de enrutamiento ventana principal
mostrará una lista de las rutas configuradas
Para ver la tabla de enrutamiento activo en la interfaz Web, seleccione el rutas elemento de la Estado Menú desplegable de la barra de menús - la ventana principal mostrará una
lista de la tabla de enrutamiento activo
Consejo: El comando CLI cc puede ser necesario primero
En el ejemplo CLI anterior, fue necesario seleccionar en primer lugar el nombre de una tabla de enrutamiento específico con el
comando cc (lo que significa cambio de categoría o contexto de cambio)
antes de manipular rutas individuales. Esto es necesario para cualquier categoría que podría contener más de un
grupo con nombre de objetos.
171
Rutas estáticas por defecto se añaden automáticamente para cada interfaz
Cuando el NetDefend Firewall se inicia por primera vez, NetDefendOS añadirá automáticamente una ruta en el principal tabla de
enrutamiento para cada interfaz física. Estas rutas se les asigna un objeto de dirección IP por defecto en la libreta de direcciones IP y
estos objetos deben tener sus direcciones cambian en la posición adecuada para el tráfico fluya.
Nota: La métrica de las rutas por defecto es 100
La métrica asignada a las rutas predeterminadas creadas automáticamente para las interfaces físicas es siempre 100.
Estas rutas añadidas automáticamente no se puede quitar manualmente por ellos la supresión de uno a la vez de una tabla de enrutamiento.
En su lugar, las propiedades de la interfaz deben ser seleccionados y la opción avanzada Agregar automáticamente una ruta para esta
interfaz utilizando la red dada debe estar inhabilitado. Esto eliminará cualquier ruta que se ha añadido automáticamente al inicio. Esta opción
no tiene otro propósito sino para eliminar las rutas añadidas automáticamente.
los todas las redes de Ruta
La ruta más importante que debe ser definido es la ruta a todas las redes de que por lo general corresponde a un ISP que ofrece el acceso a
Internet. Si se utiliza el asistente de configuración NetDefendOS, esta ruta también se añade automáticamente.
Sin embargo, la opción también existe para cualquier interfaz física para indicar que se debe utilizar para la conexión a Internet. En la
interfaz web esta es una configuración avanzada en las propiedades de la interfaz Ethernet de llamadas:
Agregar automáticamente una ruta predeterminada para esta interfaz utilizando la puerta de enlace predeterminada dado.
Cuando se selecciona esta opción, la adecuada todas las redes de ruta se añade automáticamente a la principal
tabla de encaminamiento para la interfaz.
Ejemplo 4.2. Adición de una ruta a la principal Mesa
Este ejemplo muestra cómo una todas las redes de ruta se añade a la tabla de enrutamiento llamado principal. Esta ruta será para el ISP conectado a la pálido
interfaz y el ISP se accede a través de un router con la dirección de IP isp_gw_ip que será el puerta para la ruta.
Cambiar el contexto de la tabla de enrutamiento:
Añadir la ruta:
GW-mundo: / principal> añadir ruta de la interfaz de red wan = = todas las redes de puerta de enlace = isp_gw_ip
Volver a la CLI contexto por defecto:
GW-mundo: />
Interfaz web
1. Ir a: Cables> Tablas de enrutamiento> principal> Añadir> Ruta
2. Ahora ingrese:
• Interfaz: pálido
172
• Puerta: isp_gw_ip
Las rutas pueden contener direcciones IPv4 o IPv6
Una única ruta puede contener ya sea una dirección IPv4 o IPv6, pero no ambos. Rutas que utilizan direcciones IPv4 e IPv6 se pueden
mezclar en la misma tabla de enrutamiento. En este tema se describe adicionalmente en
Sección 3.2, “Soporte IPv6”.
Rutas hacia la Núcleo Interfaz
NetDefendOS rellena automáticamente la tabla de enrutamiento activo con Las rutas principales. estas son las rutas presente para NetDefendOS
a entender cómo encaminar el tráfico que está destinado para la misma.
Hay una ruta adicional para cada interfaz Ethernet en el sistema. Por ejemplo, si hay dos interfaces LAN y WAN
nombrados con las direcciones IPv4 192.168.0.10 y 193.55.66.77, esto dará lugar a las siguientes rutas existentes:
1 núcleo 192.168.0.10
2 núcleo 193.55.66.77
Cuando el sistema recibe un paquete IP cuya dirección de destino es una de las direcciones IP de la interfaz, el paquete se envía a la
interfaz principal. En otras palabras, se procesa por sí mismo NetDefendOS.
También hay una ruta núcleo agregado para todas las direcciones de multidifusión:
1 núcleo 224.0.0.0/4
Para incluir las rutas principales cuando se muestra la tabla de enrutamiento activo, es necesario especificar explícitamente que todas las
rutas se van a mostrar. Esto se muestra en el ejemplo siguiente.
Ejemplo 4.3. Viendo las Rutas Core
Este ejemplo ilustra cómo mostrar las rutas principales en la tabla de enrutamiento activo.
GW-mundo: /> rutas -todas

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
127.0.0.1 núcleo (IP Compartida) 0
192.168.0.1 núcleo (IP de Iface) 0
192.168.0.0/24 lan 0
213.124.165.0/24 wan 0
224.0.0.0/4 núcleo (IP de Iface) 0
0.0.0.0/0 pálido 213.124.165.1 0
173
4.2.3. ruta de conmutación por error Capítulo 4. Enrutamiento
Interfaz web
1. Seleccione el rutas elemento de la Estado Menú desplegable de la barra de menú
2. Comprobar la Mostrar todas las rutas casilla de verificación y haga clic en el Aplicar botón
3. La ventana principal mostrará una lista de la tabla de enrutamiento activo, incluyendo las rutas centrales
Consejo: Comprensión de salida del comando rutas
Para obtener información detallada acerca de la salida de la CLI rutas mando. Por favor, consulte la Guía de referencia de la CLI.
4.2.3. ruta de conmutación por error
Visión de conjunto
NetDefend Los cortafuegos son empleadas a menudo en lugares de misión crítica donde la disponibilidad y la conectividad es crucial. Por
ejemplo, una empresa depender en gran medida el acceso a Internet podría haber perturbado gravemente las operaciones si una sola
conexión a Internet externa a través de un único proveedor de servicios de Internet (ISP) falla.
Por ello no es raro tener conectividad a Internet utilizando una copia de seguridad ISP secundaria. Las conexiones a los dos proveedores
de servicios a menudo utilizan diferentes rutas para evitar un único punto de fallo.
Para permitir una situación con múltiples proveedores de Internet, proporciona una NetDefendOS ruta de conmutación por error capacidad de
modo que si uno falla ruta, el tráfico puede conmutar por error automáticamente a otro, ruta alternativa. NetDefendOS implementa failover ruta a
través de la utilización de Verificación de la derrota en el que NetDefendOS supervisa la disponibilidad de rutas y luego cambia el tráfico a una ruta
alternativa fallara la ruta primaria, preferido.
Figura 4.3. Un escenario de conmutación por error Ruta de Acceso ISP
Configuración de la ruta de conmutación por error
Para configurar la conmutación por error de ruta, Verificación de la derrota debe estar activado y esta es una opción que se habilita en una
174
ruta por la ruta base. Para habilitar la conmutación por error de ruta en un escenario con una copia de seguridad de una ruta preferida y, la ruta
preferida tendrá verificación de la derrota permitió, sin embargo la ruta de copia de seguridad no requiere esto, ya que por lo general tienen ninguna
ruta de conmutación por error a. Cuando el monitoreo ruta está habilitado para una ruta, uno de los siguientes métodos de supervisión deben ser
elegidos:
Interfaz de estado de enlace NetDefendOS supervisará el estado del enlace de la interfaz especificada en la ruta.
Siempre y cuando la interfaz está activa, la ruta se diagnostica como saludable. Este
método es apropiado para el seguimiento de que la interfaz está conectada físicamente y
que el cableado está trabajando como se esperaba. Como cualquier cambio en el estado
del enlace se notan al instante, este método proporciona una respuesta más rápida al
fracaso.
Monitoreo de puerta de enlace Si una puerta de enlace específica se ha especificado como el siguiente salto para una ruta, la
accesibilidad a la puerta de entrada se puede controlar mediante el envío de peticiones ARP
periódicas. Mientras la puerta de enlace responde a estas solicitudes, la ruta se considera que está
funcionando correctamente.
Añadido automáticamente las rutas Necesita Redefiniendo
Es importante tener en cuenta que la verificación de la derrota no se puede activar en las rutas añadidas automáticamente. Por ejemplo, las
rutas que NetDefendOS crea en el arranque inicial para las interfaces físicas se agregan automáticamente rutas. La razón por la que la
vigilancia no se puede habilitar para estas rutas es porque las rutas creadas automáticamente tienen un estatus especial en una
configuración NetDefendOS y son tratados de manera diferente.
Si se requiere una verificación de la derrota en una ruta creada de forma automática, la ruta primero debe suprimirse y luego vuelve a crear de
forma manual como una nueva ruta. Monitoreo puede ser activado en la nueva ruta.
Ajuste de la Ruta Métricas
Al especificar rutas, el administrador debe configurar manualmente una ruta de Métrico. La métrica es un número entero positivo que indica
cómo prefiere la ruta es como un medio para llegar a su destino. Cuando dos rutas ofrecen un medio para llegar al mismo destino,
NetDefendOS seleccionará el que tiene el valor de la métrica más baja para el envío de datos (si dos rutas tienen la misma métrica, la ruta
se encuentra en primer lugar en la tabla de enrutamiento será elegido).
Una primaria, ruta preferida debería tener una métrica inferior (por ejemplo "10"), y una, la vía de conmutación por error secundaria debe tener un
valor de métrica más alta (por ejemplo, "20").
Rutas de conmutación por error múltiples
Es posible especificar más de una ruta de conmutación por error. Por ejemplo, la ruta primaria podría tener otras dos rutas como rutas de conmutación
por error en lugar de uno solo. En este caso la métrica debe ser diferente para cada una de las tres rutas: "10" para la ruta primaria, "20" para la
primera ruta de conmutación por error y "30" para la segunda ruta de conmutación por error. Las dos primeras vías tendrían verificación de la derrota
habilitada en la tabla de enrutamiento pero el último (con la mayor métrica) no lo haría, ya que no tiene una ruta de conmutación por error a.
Procesamiento de conmutación por error
Siempre que el monitoreo determina que una ruta no está disponible, NetDefendOS marcarán la ruta como discapacitados e instigar
conmutación por error de ruta para las conexiones existentes y nuevos. Para las conexiones ya establecidas, una consulta de rutas se llevará a
cabo para encontrar la siguiente mejor ruta a juego y las conexiones a continuación, pasar a utilizar la nueva ruta. Para las nuevas conexiones,
de búsqueda de rutas ignorará rutas con discapacidad y la siguiente mejor ruta coincidente será utilizado en su lugar.
La tabla siguiente define dos rutas predeterminadas, teniendo ambos todas las redes de como el destino, pero utilizando dos puertas de enlace
diferentes. La primera ruta, primaria tiene la métrica más baja y también tiene verificación de la derrota
175
habilitado. Verificación de la derrota de la segunda vía, alternativo no es significativo ya que no tiene una ruta de conmutación por error.
ruta # Interfaz Destino Puerta Métrico Supervisión
1 pálido todas las redes de 195.66.77.1 10 En
2 pálido todas las redes de 193.54.68.1 20 Apagado
Cuando una nueva conexión está a punto de ser establecido a un host a través de Internet, una consulta de rutas se traducirá en la ruta
que tiene el ser menor métrica elegida. Si el router WAN primaria y luego falla, esto será detectado por NetDefendOS, y la primera ruta
se desactivará. Como consecuencia de ello, una nueva búsqueda de rutas y se llevará a cabo la segunda ruta se seleccionará con el
primero está marcado como desactivado.
Al volver a habilitar rutas
Incluso si una ruta se ha desactivado, NetDefendOS continuará para comprobar el estado de esa ruta. Si se consiguieran
la ruta de nuevo, se vuelve a habilitar las conexiones existentes y se transferirá automáticamente de nuevo a él.
Ruta grupos de interfaces
Cuando se utiliza verificación de la derrota, es importante comprobar si una conmutación por error a otra ruta hará que la interfaz de enrutamiento
que desea cambiar. Si esto podría suceder, es necesario tomar algunas medidas de precaución para asegurar que se mantengan las políticas y las
conexiones existentes.
Para ilustrar el problema, considere la siguiente configuración:
En primer lugar, hay una regla IP que NAT Todo el tráfico HTTP destinado a Internet a través de la pálido
interfaz:
Acción src de Iface src neto dest de Iface dest Net parámetros
NAT lan Lannet pálido todas las redes de http
La tabla de enrutamiento contiene por consiguiente la siguiente ruta por defecto:
Interfaz Destino Puerta Métrico Supervisión
pálido todas las redes de 195.66.77.1 10 Apagado
Ahora se añade una ruta secundaria a través de una conexión de reserva DSL y la Ruta de Seguimiento está habilitada para ello. La tabla de
enrutamiento actualizada se vería así:
ruta # Interfaz Destino Puerta Métrico Supervisión
1 pálido todas las redes de 195.66.77.1 10 En
2 DSL todas las redes de 193.54.68.1 20 Apagado
Observe que la ruta de Seguimiento está habilitado para la primera ruta pero no la copia de seguridad, la ruta de conmutación por error.
Mientras el preferido pálido ruta está sano, todo funciona como se espera. Verificación de la derrota también estará funcionando,
por lo que la ruta secundaria se activará si el pálido ruta debe fallar.
Hay, sin embargo, algunos problemas con esta configuración: si se produce una conmutación por error de rutas, la ruta por defecto a continuación,
utilizar el DSL interfaz. Cuando se establece entonces una nueva conexión HTTP desde el intnet
red, se hará una consulta de rutas que resulta en una interfaz de destino de DSL. A continuación, se evalúan las normas de propiedad intelectual,
pero el original NAT regla supone la interfaz destino a ser pálido por lo que la nueva conexión será dado de baja por el conjunto de reglas.
Además, cualquier conexión existente que coincida con el NAT regla también se redujo como consecuencia de la
176
4.2.4. Monitorización acogerá por la ruta de Capítulo 4. Enrutamiento
conmutación por error
cambiar en la interfaz de destino. Claramente, esto es indeseable.
Para superar este problema, las interfaces de destino potenciales deben agruparse en una Interface Group y el Seguridad /
Equivalente Transporte bandera debe estar habilitado para el Grupo. El Grupo de interfaz se utiliza como la interfaz de destino al
establecer políticas. Para obtener más información sobre los grupos, consulte Sección 3.4.6, “Grupos de interface”.
Generación gratuita ARP
Por NetDefendOS por defecto genera una solicitud ARP gratuito cuando se produce una conmutación por error ruta. La razón de esto es notificar a
los sistemas circundantes que se ha producido un cambio de ruta. Este comportamiento puede ser controlado por la configuración avanzada ARP
gratuito en el Falla.
4.2.4. Monitorización acogerá por la ruta de conmutación por error
Visión de conjunto
Para proporcionar una manera más flexible y configurable para supervisar la integridad de rutas, NetDefendOS proporciona la capacidad adicional para
realizar Monitoreo de acogida. Esta característica significa que uno o más sistemas anfitriones externos se pueden consultar de forma rutinaria para
comprobar que una ruta en particular está disponible.
Las ventajas de Monitoreo de host son de dos tipos:
• En una topología de red compleja es más fiable para comprobar la accesibilidad a los servidores externos. Sólo el seguimiento de un
enlace a un conmutador local no puede indicar un problema en otra parte de la red interna.
• monitoreo anfitrión puede ser utilizado para ayudar en el establecimiento de lo aceptable Calidad de servicio nivel de los tiempos de respuesta de
Internet. el acceso a Internet puede estar funcionando, pero puede ser deseable para instigar conmutación por error de ruta si los tiempos de
latencia de respuesta se hacen inaceptable el uso de la ruta existente.
Habilitar la supervisión de host
Como parte de Propiedades de ruta Host vigilancia puede ser activado y una única ruta puede tener varios hosts asociados a ella
para el monitoreo. Múltiples hosts pueden proporcionar una certeza más alto que cualquier problema de red reside en la red local en
vez de porque uno mismo host remoto está abajo.
En asociación con la supervisión del anfitrión hay dos parámetros numéricos para una ruta:
Periodo de gracia Este es el período de tiempo después del inicio o después de la reconfiguración del servidor
de seguridad, que NetDefend NetDefendOS esperará antes de iniciar la ruta de Seguimiento.
Este período de espera da tiempo para que todos los enlaces de red para inicializar una vez
que el servidor de seguridad se pone en línea.
Número mínimo de hosts Este es el mínimo número de hosts que deben ser considerados para ser accesibles antes
disponibles de la ruta se considera que ha fallado. Los criterios para la accesibilidad de acogida se
describen a continuación.
Especificación de los ejércitos
Para cada host especificado para la vigilancia de acogida hay una serie de parámetros de propiedades que se debe establecer:
• Método
177
4.2.4. Monitorización acogerá por la ruta de Capítulo 4. Enrutamiento
El método por el que el huésped es para sondeo. Este puede ser uno de:
• ICMP - ICMP "ping" de votación. Una dirección IP se debe especificar para esto.
• TCP - Una conexión TCP se establece a continuación, y desconectado del anfitrión. Una dirección IP se debe especificar
para esto.
• HTTP - Una solicitud HTTP normal del servidor mediante una dirección URL. Una URL se debe especificar para esto, así como una cadena
de texto que es el principio (o completa) texto de una respuesta válida. Si no se especifica ningún texto, ninguna respuesta del servidor
será válida.
• Dirección IP
La dirección IP de la máquina cuando se utiliza el ICMP o TCP opción.
• Número de puerto
El número de puerto para el sondeo cuando se utiliza el TCP opción.
• Intervalo
El intervalo en milisegundos entre intentos de votación. La configuración por defecto es de 10.000 y el valor mínimo permitido es
de 100 ms.
• Muestra
El número de intentos de votación utilizado como un tamaño de la muestra para el cálculo de la La pérdida porcentual y el Latencia media. Este
valor no puede ser inferior a 1.
• Los intentos fallidos máximo de sondeo
El número máximo permitido de intentos de votación que fracasan. Si se supera este número a continuación, el anfitrión se considera
inalcanzable.
• Max Promedio de latencia
El número máximo de milisegundos permisibles entre una petición de sondeo y la respuesta. Si se supera este umbral, el
anfitrión se considera inalcanzable. Latencia media se calcula promediando los tiempos de respuesta desde el host. Si un
intento de votación no recibe respuesta, entonces no se incluye en el cálculo del promedio.
los accesibilidad requeridos opción
Una opción importante que puede ser activado por un host es el accesibilidad requeridos opción. Cuando se selecciona esta opción, el host debe
ser determinada como accesible con el fin de que la ruta a ser considerado estar funcionando. Incluso si otros anfitriones son accesibles, esta
opción dice que la accesibilidad de una máquina con este conjunto de opciones es obligatorio.
Cuando se especifican varios hosts para la vigilancia de acogida, más de uno de ellos podría tener
accesibilidad requeridos habilitado. Si NetDefendOS determina que cualquier host con esta opción activada no es accesible, se inicia la ruta de
conmutación por error.
Parámetros HTTP
Si el HTTP método de sondeo se selecciona a continuación, se pueden introducir otros dos parámetros:
• solicitud de URL
La URL que ha de ser solicitada.
178
4.2.5. Configuración avanzada para la ruta de Capítulo 4. Enrutamiento
• Respuesta esperada
El texto que se espera de vuelta de la consulta de la URL.
Las pruebas para un texto de respuesta específica ofrece la posibilidad de probar si una aplicación está en línea. Si, por ejemplo, una respuesta
de la página web desde un servidor puede indicar si una base de datos específica está en funcionamiento con el texto tal como " Base de datos
OK", a continuación, la ausencia de respuesta que puede indicar que el servidor está en funcionamiento, pero la aplicación no está en línea.
Un problema conocido cuando no se especifica la ruta externa
Con conexiones a Internet de un ISP, una ruta de red externa siempre debe ser especificado. Esta ruta externa especifica en el
que la interfaz de la red que existe entre el NetDefend Firewall y el ISP puede ser encontrado. Si tan sólo una todas las redes de ruta
se especifica a la puerta de enlace del ISP, failover ruta puede, dependiendo del equipo conectado, no funcionar como se espera.
Este problema ocurre raramente, pero la razón por la que ocurre es que ARP consultas que llegan en una ruta con discapacidad serán ignorados.
4.2.5. Configuración avanzada para la ruta de conmutación por error
Los siguientes NetDefendOS avanzaron ajustes están disponibles para la conmutación por error de rutas:
intervalo de sondeo del iface
El tiempo en milisegundos entre el sondeo para el fracaso de la interfaz.
Defecto: 500
intervalo de sondeo ARP
El tiempo en milisegundos entre ARP-lookup de los ejércitos. Esto puede ser anulado en rutas individuales.
Defecto: 1000
intervalo de sondeo Ping
El tiempo en milisegundos entre el envío de un ping a los hosts.
Defecto: 1000
Tiempo de gracia
La cantidad de tiempo en segundos entre el inicio o reconfigurar y de inicio de monitorización.
Defecto: 30
falla consecutiva
El número de fallos consecutivos que se produce antes de que una ruta se marca como no disponible.
Defecto: 5
179
4.2.6. Proxy ARP Capítulo 4. Enrutamiento
éxito consecutivo
El número de éxitos consecutivos que deben ocurrir antes de que una ruta se marca como disponible.
Defecto: 5
ARP gratuito en fallo
Enviar un ARP gratuito de HA de conmutación por error para alertar a los ejércitos de los cambios en la interfaz de Ethernet y las direcciones IP.
Defecto: Activado
4.2.6. Proxy ARP
Visión de conjunto
Como se discutió previamente en Sección 3.5, “ARP”, el protocolo ARP facilita un mapeo entre una dirección IP y la
dirección MAC de un host en una red Ethernet.
Sin embargo, pueden existir situaciones en las que una Ethernet corriendo red se separa en dos partes con un dispositivo de encaminamiento
tales como un servidor de seguridad NetDefend en el medio. En tal caso, la propia NetDefendOS puede responder a peticiones ARP dirigidas a la
red en el otro lado de la NetDefend Firewall utilizando la característica conocida como Proxy ARP.
La división de una red Ethernet en partes distintas de modo que el tráfico entre ellos puede ser controlado es un uso común de la función
de ARP proxy. NetDefendOS conjuntos de reglas se pueden utilizar para imponer políticas de seguridad en el tráfico que pasa entre las
diferentes partes de la red.
Un escenario típico
Como un ejemplo de un escenario típico de proxy ARP, considere una red dividida en dos sub-redes con un NetDefend
Firewall entre los dos.
Anfitrión UN en una sub-red puede enviar una petición ARP para averiguar la dirección MAC para la dirección IP del host segundo Por otra
sub-red. Con la función de ARP proxy configurado, NetDefendOS responde a esta petición ARP en lugar de acogida SEGUNDO. NetDefendOS
envía su propia dirección MAC en respuesta, que pretende ser el host de destino. Después de recibir la respuesta, Host UN a continuación, envía
los datos directamente a NetDefendOS que reenvía los datos de acoger SEGUNDO. En el proceso NetDefendOS comprueba el tráfico en contra
de los conjuntos de reglas configuradas.
Configuración del Proxy ARP
Configuración de un proxy ARP se realiza especificando la opción de una ruta en una tabla de enrutamiento. Supongamos que tenemos
una red y se divide en dos partes que se denominan net_1 y net_2.
la red de net_1 está conectado a la interfaz IF1 y la red net_2 está conectado a la interfaz IF2. En NetDefendOS habrá
configurado una ruta que dice net_1 se pueden encontrar en IF1.
Esto podría llamarse route_1.
por route_1 es posible especificar la opción de que esta red debe ser de proxy en la interfaz ARP'ed IF2 .. Ahora, cualquier petición
ARP emitido por una net_2 host conectado a IF2 en busca de una dirección IP en net_1 obtendrá una respuesta positiva de
NetDefendOS. En otras palabras, NetDefendOS pretenderán que el net_1 dirección se encuentra en IF2 y reenviará el tráfico de datos
a net_1.
Del mismo modo, net_2 podrían ser publicados en la interfaz IF1 por lo que hay un reflejo de rutas
180
y la publicación de proxy ARP.
ruta # Red Interfaz Publicado el ARP proxy
1 net_1 IF1 IF2
2 net_2 IF2 IF1
De esta manera hay una separación completa de las sub-redes, pero los anfitriones son conscientes de ello. Las rutas son un par que son una
imagen especular de la otra pero no hay ningún requisito de que el ARP proxy se utiliza en un emparejamiento de esta manera.
Tenga en cuenta que si el host tiene una solicitud ARP para una dirección IP fuera de la red local, entonces este será enviado a la
pasarela configurado para ese host. Todo el ejemplo se ilustra a continuación.
Figura 4.4. Un Proxy ARP Ejemplo
Modo transparente como Alternativa
Modo transparente es una forma alternativa y preferida de las redes Ethernet división. La instalación es más simple que el uso de proxy
ARP ya que sólo la adecuada interruptor dirige deben definirse. El uso de rutas de conmutación se explica plenamente en Sección 4.7,
“Modo transparente”.
Proxy ARP depende de enrutamiento estático donde se sabe que la ubicación de las redes en las interfaces y por lo general fijo. El modo
transparente es más adecuado para redes cuya localización interfaz puede cambiar.
Proxy ARP y clusters de alta disponibilidad
En las agrupaciones de HA, rutas de conmutación no pueden ser utilizados y por lo tanto el modo transparente no es una opción. Sin embargo,
ARP proxy hace función con HA y, en consecuencia, la única manera de implementar la funcionalidad de modo transparente con un clúster.
No todas las interfaces pueden hacer uso de proxy ARP
Sólo es posible tener Proxy ARP funcionamiento de las interfaces Ethernet y VLAN. Proxy ARP no es relevante
para otros tipos de interfaces NetDefendOS desde ARP no está involucrado.
Añadido automáticamente las rutas
Proxy ARP no se puede habilitar para las rutas añadidas automáticamente. Por ejemplo, las rutas que
181
NetDefendOS crea en el arranque inicial para las interfaces físicas son las rutas añadidas automáticamente. La razón por la ARP proxy no
puede ser habilitado para estas rutas es porque las rutas creadas automáticamente tienen un estatus especial en la configuración
NetDefendOS y son tratados de manera diferente.
Si se requiere Proxy ARP en una ruta creada de forma automática, la ruta primero debe suprimirse y luego vuelve a crear de forma manual como
una nueva ruta. Proxy ARP puede entonces ser activado en la nueva ruta.
182
4.3. Enrutamiento basado en políticas Capítulo 4. Enrutamiento
4.3. Enrutamiento basado en políticas
Visión de conjunto
basado en políticas de enrutamiento ( PBR) es una extensión para el encaminamiento estándar descrito anteriormente. Se ofrece a los administradores
una gran flexibilidad en la implementación de políticas de toma de enrutamiento por ser capaz de utilizar diferentes tablas de encaminamiento de
acuerdo con los criterios especificados.
encaminamiento normal reenvía los paquetes de acuerdo con la información de la dirección IP de destino derivado de rutas estáticas o de un protocolo
de encaminamiento dinámico. Por ejemplo, usando OSPF, la ruta elegida para los paquetes será el (la más corta) ruta de menor coste derivado de un
cálculo SPF. enrutamiento basado en políticas significa que las rutas elegidas para el tráfico se pueden basar en parámetros de tráfico específicos.
enrutamiento basado en políticas permite que los siguientes son posibles:
• Enrutamiento basado en el origen
puede necesitar ser elegido sobre la base de la fuente de tráfico Una tabla de enrutamiento diferente. Cuando se utiliza más de un proveedor de
Internet para proporcionar servicios de Internet, el tráfico de enrutamiento puede enrutar basada en políticas procedentes de diferentes conjuntos
de usuarios a través de diferentes rutas.
Por ejemplo, el tráfico de un rango de direcciones puede ser encaminado a través de un ISP, mientras que el tráfico de otro rango de direcciones
podría ser a través de un segundo ISP.
• Enrutamiento basado en el servicio
podría tener que ser elegido basado en el servicio Una tabla de enrutamiento diferente. basado en políticas ruta de enrutamiento puede un
protocolo dado como HTTP, a través de servidores proxy tales como cachés web. Los servicios específicos también podrían ser dirigidos a un ISP
específico de manera que un ISP gestiona todo el tráfico HTTP.
• Enrutamiento basado en el usuario
podría tener que ser elegidos en base a la identidad del usuario o una tabla de enrutamiento diferente grupo a la que pertenece el usuario.
Esto es particularmente útil en redes de área metropolitana independiente del proveedor donde todos los usuarios comparten una columna
vertebral activo común, pero cada uno puede utilizar diferentes proveedores de Internet y suscribirse a diferentes proveedores.
componentes de PBR
basado en políticas aplicación de enrutamiento en NetDefendOS se implementa mediante dos componentes:
• Las tablas de encaminamiento adicionales
Uno o más alternativa definida por el usuario Las tablas de enrutamiento se crean además del estándar por defecto
principal tabla de ruteo.
• Reglas de enrutamiento
Uno o mas Reglas de enrutamiento se crean para determinar la tabla de enrutamiento que se utilizará para la cual el tráfico.
Sin reglas de encaminamiento, la principal tabla de enrutamiento es el valor predeterminado.
Las tablas de enrutamiento
183
NetDefendOS, como norma, ha tabla de enrutamiento de un defecto llamada principal. Además de principal tabla, es posible definir
una o más, tablas de rutas adicionales para el enrutamiento basado en políticas. (Estos a veces se denominan rouitng mesas
alternas).
tablas de encaminamiento alternativo contienen la misma información para la descripción de rutas como principal, excepto que no es una propiedad
adicional definido para cada uno de ellos que se llama pedido. los pedido la propiedad decide cómo se realiza la búsqueda de rutas alternativas
utilizando tablas junto con el principal mesa. Esto se describe adicionalmente más adelante.
Ejemplo 4.4. Creación de una tabla de enrutamiento
En este ejemplo, una nueva tabla de enrutamiento de llamada MyPBRTable se crea con la Ordenando propiedad establecida en Primero.
GW-mundo: /> añadir RoutingTable MyPBRTable Orden = Sólo
Interfaz web
1. Ir a: Cables> Tablas de enrutamiento> Añadir> RoutingTable
2. Ahora ingrese:
• Nombre: MyPBRTable
• Por Ordenando seleccione uno de:
• Primero - la tabla de enrutamiento llamada se consulta en primer lugar. Si esta búsqueda no tiene éxito, la búsqueda continuará en la tabla de enrutamiento principal.
• Defecto - la tabla de enrutamiento principal será consultado en primer lugar. Si el único partido es la ruta por defecto (es decir, la todas las redes de ruta), se
consultará la tabla de enrutamiento llamado. Si la búsqueda en la tabla de enrutamiento llamada falla, las operaciones de búsqueda como se considera en su
conjunto que ha fallado.
• Solamente - la tabla de enrutamiento con nombre es el único consultado. Si esta búsqueda no tiene éxito, la búsqueda no continuará en la tabla de enrutamiento
principal.
3. Si Retire Rutas interfaz IP está habilitada, las rutas de interfaz por defecto se eliminan, es decir, las rutas hacia el núcleo interfaz (que son rutas
a NetDefendOS sí mismo).
Ejemplo 4.5. Adición de rutas
Después de definir la tabla de enrutamiento MyPBRTable, rutas se pueden añadir a la mesa. Supongamos que la ruta a una red mi red ha de ser
definido para la lan interfaz.
Cambiar el contexto de la tabla de enrutamiento:
GW-mundo: /> cc RoutingTable MyPBRTable
Añadir una ruta
GW-mundo: / principal> añadir ruta de la interfaz de red LAN = = my_network
Interfaz web
184
1. Ir a: Cables> Tablas de enrutamiento> MyPBRTable> Añadir> Ruta
2. Ahora ingrese:
• Interfaz: lan
• Red: mi red
• Puerta: El router de puerta de enlace es que hay uno
• Dirección IP local: La dirección IP especificada aquí se publicará automáticamente en la interfaz correspondiente. Esta dirección también se utilizará
como dirección del remitente en las consultas ARP. Si no se especifica ninguna dirección, se utilizará la dirección IP de la interfaz del cortafuegos.
• Métrico: Especifica la métrica para esta ruta. (Generalmente se utiliza en la ruta de los escenarios de conmutación por error)
Reglas de enrutamiento
Una regla en el conjunto de reglas de enrutamiento puede decidir qué tabla de enrutamiento se ha seleccionado. Una regla de encaminamiento tiene un
número de propiedades de filtrado que son similares a los utilizados en una regla de IP. Una regla puede desencadenar en un tipo de servicio (por
ejemplo, HTTP) en combinación con la interfaz de destino especificada fuente / origen de red y / Destino.
Cuando se busca reglas de enrutamiento, es la primera regla que coincide encontró que se dispara.
Ejemplo 4.6. Creación de una regla de enrutamiento
En este ejemplo, una regla de enrutamiento llama my_routing_rule es creado. Esto seleccionará la tabla de enrutamiento MyPBRTable para cualquier http el tráfico
destinado a la red mi red.
GW-mundo: /> Servicio añadir RoutingRule = http

SourceInterface = cualquier SourceNetwork =
all-redes DestinationInterface = cualquier
DestinationNetwork = my_network
ForwardRoutingTable = MyPBRTable
ReturnRoutingTable = MyPBRTable Name =
my_routing_rule
Interfaz web
1. Ir a: Cables> Tablas de enrutamiento> Añadir> RoutingTable
2. Ahora ingrese:
• Nombre: my_routing_rule
• Servicio: http
• SourceInterface: alguna
• SourceNetwork: todas las redes de
• DestinationInterface: alguna
• Red de destino: mi red
• ForwardRoutingTable: MyPBRTable
• ReturnRoutingTable: MyPBRTable
3. Si Retire Rutas interfaz IP está habilitada, las rutas de interfaz por defecto se eliminan, es decir, rutas a
185
el núcleo interfaz (que son rutas a NetDefendOS sí mismo).
Reglas de enrutamiento puede utilizar las direcciones IPv4 o IPv6
Las reglas de enrutamiento soportan tanto direcciones IPv4 o IPv6 como la fuente y la red de destino para las características de filtrado de una regla.
Sin embargo, tanto la fuente y red de destino debe ser IPv4 o IPv6. No está permitido combinar las direcciones IPv4 e
IPv6 en una sola regla. Para mayor información sobre este tema, véase
Sección 3.2, “Soporte IPv6”.
La tabla de enrutamiento directo y de retorno puede ser diferente
En la mayoría de los casos, la tabla de enrutamiento para el avance y el tráfico de retorno será el mismo. En algunos casos puede ser advantagous
tener valores diferentes.
Tomemos el ejemplo de un servidor de seguridad con dos interfaces hipotéticos WAN1 y wan2 conectado a dos proveedores de servicios, además de
una red protegida Lannet sobre el lan interfaz. Hay dos tablas de enrutamiento, la principal
tabla de enrutamiento y una isp2 tabla de enrutamiento que se parecen a lo siguiente:
los principal tabla de ruteo
N.º Interfaz Red Puerta
1 lan Lannet
2 WAN1 all_nets isp1_ip
los isp2 tabla de ruteo
N.º Interfaz Destino Puerta
1 wan2 all_nets isp2_ip
Si el tráfico que viene a través wan2 es tener acceso a Lannet entonces una regla de enrutamiento necesita construido como sigue:
Interfaz de de red de Interfaz de Red de Adelante tabla de Volver tabla de

origen origen destino destino enrutamiento enrutamiento
wan2 todas las redes de alguna Lannet principal isp2
Esta regla permite el tráfico hacia adelante a través de la wan2 tabla para encontrar la ruta de Lannet en el principal
tabla de ruteo. El tráfico de retorno utilizará el isp2 mesa de modo que pueda alcanzar el iniciador de la conexión.
Este ejemplo también debe tener algunas reglas dirección desde transation Lannet probablemente será una red IP privada. Para
simplificar, que se ha omitido.
El proceso de enrutamiento Tabla de selección
Cuando un paquete correspondiente a una nueva conexión primero llega, las etapas de procesamiento son los siguientes para determinar qué tabla de
enrutamiento se elige:
1. Las reglas de enrutamiento primera se pueden consultar pero para ello interfaz de destino del paquete debe ser determinado y esto siempre
se realiza mediante una búsqueda en el principal tabla de ruteo. Por tanto, es importante que a la altura de la red de destino se
encuentra o al menos un defecto todas las redes de ruta
186
existe lo que puede coger cualquier cosa y no incluya de forma explícita.
2. Se realiza una búsqueda ahora para una regla de enrutamiento que coincida con origen / destino / interfaz de red del paquete, así como el servicio.
Si se encuentra una regla que coincide, entonces esto determina la tabla de enrutamiento de usar. Si no se encuentra ninguna regla de
enrutamiento entonces el principal Se utilizará la tabla.
3. Una vez que la tabla de enrutamiento correcta ha sido localizado, se realiza una comprobación para asegurarse de que la dirección IP de origen, de
hecho, pertenece a la interfaz receptora. los Reglas de acceso En primer lugar, se examinan para ver si pueden proporcionar esta comprobación
(véase Sección 6.1, “Reglas de acceso” para más detalles de esta función). Si no hay reglas de acceso o un partido con las reglas no se puede
encontrar, una búsqueda inversa en la tabla de enrutamiento seleccionado anteriormente se realiza utilizando la dirección IP de origen. Si la
comprobación falla, entonces una
regla de acceso por defecto de registro se genera mensaje de error.
4. En este punto, el uso de la tabla de enrutamiento seleccionada, la búsqueda de rutas actual es realizado para encontrar la interfaz de destino
del paquete. En este punto el pedido parámetro se utiliza para determinar cómo se realiza la búsqueda real y se describen las opciones
para esto en la siguiente sección. Para implementar sistemas virtuales, las Solamente opción de pedir se debe utilizar.
5. La conexión se somete al conjunto de reglas IP normal. Si una SAB regla es encontrado, la dirección
se llevará a cabo la traducción. La decisión de qué tabla de enrutamiento a utilizar se realiza antes de realizar la traducción de
direcciones, pero la búsqueda de rutas real se realiza en la dirección alterada. Tenga en cuenta que la ruta original de búsqueda para
encontrar la interfaz de destino utilizado para todas las reglas look-ups se hizo con la dirección original, sin traducir.
6. Si lo permite el conjunto de reglas IP, la nueva conexión se abre en la tabla de estado NetDefendOS y el paquete reenviado a
través de esta conexión.
los Ordenando parámetro
Una vez elegida la tabla de enrutamiento para una nueva conexión y que la tabla es una tabla de encaminamiento alternativo, el
Ordenando parámetro asociado con la tabla se utiliza para decidir cómo la tabla alternativo se combina con el principal tabla para
buscar la ruta apropiada. Las tres opciones disponibles son:
1. Defecto
El comportamiento por defecto es mirar por primera vez la ruta en el principal mesa. Si no se encuentra una ruta coincidente, o se ha
encontrado la ruta por defecto (la ruta con el destino todo-redes), una búsqueda para una ruta coincidente en la tabla alternativo está hecho. Si
no se encuentra ninguna coincidencia en la tabla alternan entonces se usará la ruta predeterminada en la tabla principal.
2. primero
Este comportamiento es mirar por primera vez la ruta del enlace en la tabla alternativo. Si no se encuentra una ruta coincidente existe entonces
la principal tabla se utiliza para las operaciones de búsqueda. El valor por defecto todas las redes de ruta se contará como un partido en la
tabla alternativo si es que existe allí.
3. Solamente
Esta opción pasa por alto la existencia de cualquier otra tabla, excepto la mesa alterna de manera que es el único que se utiliza para las
operaciones de búsqueda.
Una aplicación de esta opción es dar al administrador una manera de dedicar una sola tabla de enrutamiento a un conjunto de interfaces. los Solamente
opción debe utilizarse cuando se crean sistemas virtuales, ya que puede dedicar una tabla de enrutamiento para un conjunto de interfaces.
Las dos primeras opciones se pueden considerar como la combinación de la tabla se alternan con la principal mesa y la asignación de una ruta si
existe una coincidencia en ambas tablas.
187
Importante: Asegúrese de que todas las redes de que aparezca en el cuadro principal
Un error común al configurar el enrutamiento basado en la política es la ausencia de una ruta por defecto con una interfaz de
destino de todas las redes de en el valor por defecto principal tabla de ruteo.
Si no hay una ruta que es una coincidencia exacta entonces la ausencia de un defecto todas las redes de ruta significará que
se interrumpe la conexión.
Ejemplo 4.7. Enrutamiento basado en políticas con los ISP múltiples
Este ejemplo ilustra un escenario ISP múltiple que es un uso común de enrutamiento basado en políticas. Se supone lo siguiente:
• Cada ISP le proporcionará una red IPv4 de su rango de la red. Un escenario 2 ISP se supone en este caso, con la red de 10.10.10.0/24 perteneciente
a ISP A y 20.20.20.0/24 perteneciente a ISP B. El ISP proporcionan puertas de enlace son 10.10.10.1 y 20.20.20.1 respectivamente.
• Todas las direcciones en este escenario son direcciones públicas en aras de la simplicidad.
• Este es un diseño de "drop-in", donde no hay subredes encaminamiento explícito entre las pasarelas ISP y el NetDefend Firewall.
En una red independiente del proveedor, los clientes tendrán probablemente una única dirección IP, que pertenece a uno de los proveedores de Internet. En un escenario de una sola
organización, públicamente servidores accesibles serán configurados con dos direcciones IP separadas: una de cada ISP. Sin embargo, esta diferencia no tiene importancia para la
configuración de enrutamiento política misma.
Tenga en cuenta que, por una sola organización, la conectividad a Internet a través de múltiples proveedores de Internet normalmente se hace mejor con el protocolo BGP, lo que significa
no tener que preocuparse por diferentes tramos IP o sobre la política de enrutamiento. Por desgracia, esto no siempre es posible, y es aquí donde Enrutamiento basado en políticas se
convierte en una necesidad.
Vamos a establecer la tabla de enrutamiento principal para usar un ISP y añadir una tabla de enrutamiento con nombre denominada r2 que utiliza la entrada de defecto de ISP B.
Interfaz Red Puerta proxyarp
lan1 10.10.10.0/24 WAN1
lan1 20.20.20.0/24 wan2
WAN1 10.10.10.1/32 lan1
wan2 20.20.20.1/32 lan1
WAN1 todas las redes de 10.10.10.1
Contenido de la tabla de enrutamiento basado en políticas nombrado R2:
Interfaz Red Puerta
wan2 todas las redes de 20.20.20.1
La mesa r2 tiene su Ordenando parámetro establecido en Defecto, lo que significa que sólo será consultado si el principal búsqueda en la tabla de enrutamiento coincide con la ruta
predeterminada ( todas las redes de).
El contenido de la política de enrutamiento basado en políticas:
Interfaz de Rango Interfaz de Destino Seleccionado / mesa de mesa de

origen fuente destino Distancia Servicio avance VR retorno VR
lan1 10.10.10.0/24 wan2 todas las redes de TODAS r2 r2
wan2 todas las redes de lan1 20.20.20.0/24 TODAS r2 r2
Para configurar este escenario de ejemplo:
Interfaz web
1. Añadir las rutas que se encuentran en la lista de rutas en la tabla de enrutamiento principal, como se muestra anteriormente.
188
2. Crear una tabla de enrutamiento denominado "r2" y asegurarse de que el pedido se establece en "por defecto".
3. Añadir la ruta que se encuentra en la lista de rutas en la tabla de enrutamiento "R2", como se muestra anteriormente.
4. Añadir dos políticas VR acuerdo con la lista de directivas mostrados anteriormente.
• Ir: Cables> Reglas de enrutamiento> Agregar> Regla de enrutamiento
• Introduzca la información que se encuentra en la lista de las políticas que se muestra anteriormente
• Repita lo anterior para añadir la segunda regla
Nota
se añaden reglas de encaminamiento en el ejemplo anterior para ambas conexiones entrantes y salientes.
189
4.4. Ruta de equilibrio de carga Capítulo 4. Enrutamiento
4.4. Ruta de equilibrio de carga
Visión de conjunto
NetDefendOS ofrece la opción de realizar Equilibrio de carga de ruta ( RLB). Esta es la capacidad para distribuir el tráfico a través de
múltiples rutas alternativas utilizando uno de una serie de algoritmos de distribución.
El propósito de esta función es proporcionar lo siguiente:
• Equilibrio de tráfico entre las interfaces de una manera basada en políticas.
• Para equilibrar la utilización simultánea de varios enlaces de Internet por lo que las redes no dependen de un único proveedor de Internet.
• Para permitir el equilibrio del tráfico a través de múltiples túneles VPN que podrían ser de configuración a través de diferentes interfaces físicas.
permitiendo RLB
RLB está habilitado en una base tabla de enrutamiento y esto se hace mediante la creación de un RLB Ejemplo objeto. Este objeto especifica dos
parámetros: una tabla de enrutamiento y un algoritmo RLB. Una tabla puede tener sólo un objeto de instancia asociado a él.
Uno de los algoritmos de la siguiente lista se pueden especificar en un objeto RLB Instancia:
• round Robin
rutas correspondientes se utilizan con la misma frecuencia por ir sucesivamente a la siguiente ruta coincidente.
• Destino
Este es un algoritmo que es similar a round Robin pero proporciona más cercanos "pegajosidad" IP para que la misma dirección IP
de destino recibe la misma ruta.
• Derrame
Este sistema utiliza la siguiente ruta cuando se exceden los límites de tráfico continuamente interfaz especificada durante un tiempo determinado.
Desactivación de RLB
Eliminación de objeto Instancia de una tabla de enrutamiento tiene el efecto de desconexión de RLB para esa tabla.
Operación RLB
Cuando RLB está habilitado para una tabla de enrutamiento a través de un RLB Ejemplo objeto, la secuencia de pasos de procesamiento es el
siguiente:
1. operaciones de búsqueda de ruta se realiza en la tabla de enrutamiento y una lista de todas las rutas que emparejan está montado. Las rutas de la
lista deben cubrir el mismo rango de direcciones IP exacta (una explicación más detallada de este requisito se puede encontrar a continuación).
2. Si la búsqueda de rutas encuentra sólo una ruta coincidente a continuación, esa ruta se utiliza y el equilibrio no tiene lugar.
3. Si se encuentra más de una ruta coincidente a continuación, RLB se utiliza para elegir cuál usar. Esto es
190
hecho de acuerdo con el algoritmo que se selecciona en el objeto RLB Instancia de la tabla:
• round Robin
rutas sucesivas son elegidos entre las rutas que coinciden de forma "round robin" siempre que la métrica de las rutas es la misma.
Este resultado en consultas de rutas que se extienden uniformemente a través de rutas a juego con la misma métrica. Si las rutas
coincidentes tienen métricas desiguales entonces rutas con métricas inferiores se seleccionan con más frecuencia y en proporción
a los valores relativos de todas las métricas (esto se explica más adelante).
Figura 4.5. La RLB algoritmo Round Robin
• Destino
Esto es similar a Round Robin, pero ofrece "pegajosidad" para que las direcciones IP de destino único siempre reciben la
misma ruta desde una búsqueda. La importancia de esto es que significa que una aplicación de destino en particular puede
ver todo el tráfico procedente de la misma dirección IP de origen.
• Derrame
Desbordamiento no es similar a los algoritmos anteriores. Con desbordamiento, la interfaz de la primera de ruta coincidente se utiliza
repetidamente hasta que el Límites de derrame de la interfaz de esa ruta se superan de forma continua durante el tiempo de
mantenimiento número de segundos.
Una vez que esto sucede, se elige entonces la siguiente ruta coincidente. los Límites de derrame para una interfaz están situados en el
RLB Configuración del algoritmo junto con tiempo de mantenimiento número de segundos (el valor predeterminado es de 30 segundos)
para la interfaz.
Cuando el tráfico que pasa a través de la interfaz de la ruta original cae por debajo del Límites de derrame de forma continua
durante el tiempo de mantenimiento número de segundos, consultas de rutas A continuación, volver a la ruta original y su interfaz
asociada.
191
Figura 4.6. La RLB Spillover Algoritmo
Límites de derrame se establecen por separado para el tráfico entrante y saliente con sólo uno de ellos suele ser especificado. Si se
especifican ambas entonces sólo uno de ellos tiene que ser superado de forma continua durante tiempo de mantenimiento segundos para
la siguiente ruta coincidente para ser elegidos. Las unidades de los límites, tales como Mbps, pueden ser seleccionados para simplificar la
especificación de los valores.
El uso de métricas de ruta con el Round Robin
Un individuo tiene una ruta métrico asociada a ella, con el valor de la métrica por defecto es cero.
Con el round Robin y el asociado Destino algoritmos, la métrico valor se puede ajustar de manera diferente en búsqueda de
rutas para crear un sesgo hacia las rutas con métricas inferiores. Rutas de métrica más bajos serán elegidos con más frecuencia
que aquellos con métricas más altas y la proporción de uso será basado en las diferencias relativas entre las métricas de rutas a
juego.
En un escenario con dos proveedores de servicios, si el requisito es que la mayor parte del tráfico pasa a través de uno de los ISP entonces esto se
puede lograr al permitir RLB y el establecimiento de una métrica bajo en la ruta a la ISP favorecida. Una métrica relativamente más alto se establece a
continuación, en la ruta hacia el otro ISP.
El uso de métricas de ruta con Spillover
Cuando se utiliza el Derrame algoritmo, una serie de puntos Debe tenerse en cuenta en relación con la métrica y la forma en que se eligen rutas
alternativas:
• la métrica de ruta siempre se deben establecer.
Con efectos colaterales, NetDefendOS siempre elige la ruta en la lista de rutas coincidentes que tiene la métrica más baja. El algoritmo no
está destinado a ser utilizado con las rutas que tienen la misma métrica para que el administrador debe establecer diferentes métricas para
todas las rutas a las que se aplica desbordamiento.
Métricas de determinar un orden claro para qué ruta debe ser elegido siguiente después de los límites de tráfico de interfaz para
la ruta elegida se han superado.
• Puede haber muchas rutas alternativas.
Varias rutas alternativas se pueden configurar, cada uno con sus propios límites de interfaz y cada una con una métrica diferente. La
ruta con la métrica más baja se elige primero y cuando se exceden los límites de la interfaz de esa ruta, se elige entonces la ruta con
la siguiente mayor métrica.
192
Cuando también se exceden los límites de la interfaz de esta nueva ruta, la ruta con la métrica más alta siguiente se toma y así sucesivamente.
Tan pronto como cualquier ruta con una métrica más baja cae por debajo de su límite de interfaz para su tiempo de mantenimiento número de
segundos, entonces se vuelve a ser la ruta elegida.
• Si no hay una ruta alternativa, la ruta no cambia.
Si se alcanza el límite de desbordamiento, pero todas las rutas alternativas también han llegado a su límite, la ruta no va a cambiar.
El requisito de que empareja rangos IP
Como se ha explicado anteriormente, cuando RLB es el montaje de una lista de rutas de contrapartida de una tabla de enrutamiento, las rutas que
selecciona deben tener el mismo rango. Equilibrio entre las rutas no tendrá lugar si sus rangos no son exactamente lo mismo.
Por ejemplo, si una ruta coincidente tiene un intervalo de direcciones IP de 10.4.16.0/24 y hay una segunda ruta coincidente con un
intervalo de direcciones 10.4.16.0/16 ( que es un rango que incluye 10.4.16.0/24) a continuación, RLB no se llevará a cabo entre estas
rutas. Los rangos no son exactamente lo mismo por lo RLB tratará a las rutas como diferente.
También hay que recordar que la consulta de rutas seleccionará la ruta que tiene el rango más estrecho que coincide con la dirección IP de destino
se utiliza en las operaciones de búsqueda. En el ejemplo anterior, 10.4.16.0/24 puede ser elegido sobre 10.4.16.0/16 porque la gama es más estrecha
con 10.4.16.0/24 para obtener una dirección IP que ambos contienen.
RLB Restablece
Hay dos ocasiones en las que todos los algoritmos RLB se restablecerá a su estado inicial:
• Después NetDefendOS reconfiguración.
• Después de una conmutación por error de alta disponibilidad.
En ambos casos, la ruta elegida volverá a la seleccionada cuando comenzaron los algoritmos de operación.
Limitaciones RLB
Cabe señalar que la selección de diferentes rutas alternativas se produce sólo cuando la consulta de rutas se realiza y se basa en el algoritmo que
se utiliza con la tabla de enrutamiento utilizada para las operaciones de búsqueda y el estado del algoritmo.
RLB no puede conocer la cantidad de tráfico de datos se relaciona con cada búsqueda. El propósito de RLB es ser capaz de propagarse a
través de consultas de rutas alternativas en el supuesto de que cada búsqueda se limitará a una conexión de llevar cierta cantidad asumida
de tráfico.
Un escenario de RLB
A continuación se muestra una ilustración que muestra un escenario típico en el que podría ser utilizado RLB. Aquí, hay un grupo de clientes
en una red conectada a través de la LAN interfaz de la NetDefend Firewall y éstos tendrán acceso a internet.
Acceso a Internet está disponible en cualquiera de los dos proveedores de Internet, cuyas puertas de enlace GW1 GW2 están conectados a las
interfaces de firewall WAN1 y WAN2. RLB se utiliza para equilibrar las conexiones entre los dos proveedores de servicios.
193
Figura 4.7. Un escenario Ruta de equilibrio de carga
En primer lugar hay que definir dos rutas a estos dos proveedores de servicios en el principal la tabla de enrutamiento, como se muestra a continuación:
Ruta Nº Interfaz Destino Puerta Métrico
1 WAN1 todas las redes de GW1 100
2 WAN2 todas las redes de GW2 100
No vamos a utilizar el algoritmo de desbordamiento en este ejemplo por lo que la métrica de enrutamiento para ambas rutas debe ser el mismo, en este
caso un valor de 100 se selecciona.
Mediante el uso de la Destino RLB algoritmo que puede asegurarse de que los clientes se comunican con un servidor en particular
usando la misma ruta y por lo tanto la misma dirección IP de origen. Si NAT se utiliza para la comunicación con el cliente, la dirección IP
visto por el servidor sería WAN1 o WAN2.
Con el fin de fluir, todo el tráfico requiere tanto una ruta y una regla IP permitiendo. Las siguientes reglas permitirán que el tráfico fluya
a cualquiera de ISP y se NAT el tráfico utilizando las direcciones IP de las interfaces externas WAN1 y WAN2.
Regla No. Acción Interfaz de red src src dest Red Dest Interace Servicio
1 NAT lan Lannet WAN1 todas las redes de all_services
1 NAT lan Lannet WAN2 todas las redes de all_services
El servicio Todas se utiliza en las reglas IP anteriores pero esto debe ser refinado adicionalmente a un grupo de servicios o servicio que
cubre todo el tráfico que se deja fluir.
Ejemplo 4.8. Configuración de RLB
194
En este ejemplo, se implementarán los detalles del escenario RLB descrito anteriormente. Se asume que ya se han definido los diversos
objetos de la libreta de direcciones IP necesarias.
Los objetos IP WAN1 y WAN2 representar a las interfaces que se conectan a los dos proveedores de servicios y los objetos de propiedad intelectual GW1
y GW2 representar las direcciones IP de los enrutadores de puerta de enlace a los dos proveedores de servicios.
Paso 1. Configure las rutas de la principal tabla de enrutamiento Paso 2.
Crear un objeto RLB Instancia
Un objeto Instancia Ruta de equilibrio de carga se crea ahora que utiliza la Destino algoritmo se selecciona para conseguir la viscosidad para que el
servidor siempre ve la dirección IP misma fuente ( WAN1 o WAN2) de un solo cliente.
GW-mundo: /> añadir RouteBalancingInstance principal Algoritmo = Destino
Interfaz web
1. Ir a: Enrutamiento> Ruta de equilibrio de carga> Instancias> Añadir> Ruta de equilibrio Instancia
2. Aparecerá el diálogo de ejemplo, la ruta de equilibrio. Ahora seleccione:
• Tabla de ruteo: principal
• Algoritmo: Destino
• Haga
ACUERDO
clic DE
Paso 3. Crear reglas de propiedad intelectual para permitir que el tráfico fluya
Por último, las normas de propiedad intelectual necesarios para ser añadidos a una regla IP configurada para permitir que el tráfico fluya. Los pasos detallados para esto no se incluyen aquí,
pero las reglas creadas seguirían el patrón descrito anteriormente.
RLB con VPN
Al utilizar RLB con VPN, hay que superar una serie de problemas.
Si nos vamos a tratar de utilizar RLB para equilibrar el tráfico entre dos túneles IPsec, el problema que se plantea es que la Punto final remoto para
cualquier par de túneles IPsec en NetDefendOS debe ser diferente. Las soluciones a este problema son las siguientes:
• Use dos ISPs, con un solo túnel de conexión a través de un ISP y el otro túnel que conecta a través del otro ISP. RLB se
puede aplicar entonces de forma normal con los dos túneles.
Con el fin de conseguir el segundo túnel para funcionar en este caso, es necesario añadir una sola ruta de host en el principal tabla de
enrutamiento que apunta a la interfaz de ISPs secundarias y con la puerta de enlace ISP secundaria.
Esta solución tiene la ventaja de proporcionar redundancia debe fallar un enlace ISP.
• Utilice VPN con un túnel que se basa IPsec y otro túnel que es utiliza un protocolo diferente.
Si los dos túneles deben ser, por ejemplo, IPsec se conecta, es posible envolver IPsec en un túnel GRE (en otras
palabras, el túnel IPsec es llevado por un túnel GRE). GRE es un protocolo de túnel simple sin cifrado y por lo tanto
implica un mínimo de gastos generales extra. Ver
Sección 3.4.5, “Túneles GRE” para más información sobre este tema.
195
4.5. OSPF Capítulo 4. Enrutamiento
4.5. OSPF
La característica llamada enrutamiento dinámico se implementa con NetDefendOS utilizando la arquitectura de OSPF.
Esta sección comienza mirando generalmente a lo enrutamiento dinámico es y cómo se puede implementar. A continuación, pasa a buscar la forma
de OSPF puede proporcionar enrutamiento dinámico seguido por una descripción de cómo una simple red OSPF se puede configurar.
4.5.1. enrutamiento dinámico
Antes de examinar en detalle OSPF esta sección se discutirá en general, el concepto de El enrutamiento dinámico
y qué tipo de enrutamiento dinámico OSPF ofrece. Introduce conceptos importantes de enrutamiento dinámico y en OSPF.
Diferencias con enrutamiento estático
El enrutamiento dinámico es diferente para el enrutamiento estático en ese dispositivo una red de encaminamiento, tal como un NetDefend Firewall,
puede adaptarse a los cambios de topología de la red de forma automática.
El enrutamiento dinámico implica primero aprender acerca de todas las redes conectadas directamente y luego conseguir más información de
enrutamiento de otros routers conectados especificar qué redes están conectados a. Toda esta información de enrutamiento a continuación,
se procesa y las rutas más convenientes para ambos destinos conectados localmente y conectados remotamente se añaden en tablas de
enrutamiento local.
El enrutamiento dinámico responde a las actualizaciones de enrutamiento de forma dinámica, pero tiene algunas desventajas, ya que puede ser más
susceptibles a ciertos problemas como los bucles de enrutamiento. Uno de los dos tipos de algoritmos se utilizan generalmente para implementar el
mecanismo de encaminamiento dinámico:
• UN Vector de distancia ( DV) algoritmo.
• UN Estado de enlace ( LS) algoritmo.
Como un router decide la óptima o "mejor" ruta y comparte información actualizada con otros routers depende del tipo de algoritmo
utilizado. Los dos tipos de algoritmos se discutirán a continuación.
Algoritmos distancia del vector
UN Vector de distancia algoritmo es un algoritmo de encaminamiento descentralizado que calcula la mejor ruta de una manera distribuida.
Cada router en una red computa los "costos" de sus propios enlaces adjuntos, y comparte la información de enrutamiento
únicamente con los routers vecinos. Cada router determina la ruta de menor coste a un destino mediante cálculo iterativo y también
utilizando la información intercambiada con sus vecinos.
Protocolo de información de enrutamiento ( RIP) es un algoritmo DV bien conocido para el intercambio de información router y funciona mediante el
envío de mensajes de actualización regulares y reflejando los cambios de itinerario en las tablas de enrutamiento. La determinación de ruta se basa
en la "longitud" de la ruta que es el número de routers intermedios (también conocido como "saltos") al destino.
Después de actualizar su propia tabla de enrutamiento, el router comienza inmediatamente a transmitir toda su tabla de enrutamiento a los routers
vecinos para informarles de los cambios.
Los algoritmos de estado de enlace
En contraste con algoritmos de DV, Estado de enlace ( LS) algoritmos permiten a los routers para mantener tablas de enrutamiento que reflejan la
topología de toda la red.
196
4.5.1. enrutamiento dinámico Capítulo 4. Enrutamiento
Cada router transmite sus enlaces adjuntos y los costos de enlaces a todos los demás routers de la red. Cuando un router recibe estas
transmisiones se ejecuta el algoritmo LS y calcula su propio conjunto de rutas de menor costo. Cualquier cambio del estado del enlace será
enviado por todas partes en la red, de manera que todos los routers mantener la misma información de la tabla de enrutamiento y tener una visión
consistente de la red.
Ventajas de Enlace Algoritmos Estado
Debido al hecho de que la información de estado de enlace mundial se mantiene en todas partes en una red, LS algoritmos, como la utilizada
en OSPF, ofrecer un alto grado de control de configuración y escalabilidad. Cambios resultan en emisiones de sólo la información actualizada
a otros routers que significa una convergencia más rápida y menos posibilidad de bucles de enrutamiento. OSPF también puede funcionar
dentro de una jerarquía, mientras que RIP no tiene conocimiento de sub-direccionamiento de red.
La solución OSPF
Open Shortest Path First ( OSPF) es un protocolo ampliamente utilizado basado en un algoritmo LS. El enrutamiento dinámico se implementa en
NetDefendOS utilizando OSPF.
OSPF no está disponible en todos los modelos D-Link NetDefend
La característica OSPF sólo está disponible en el D-Link DFL-860E NetDefend, 1660, 2560 y 2560G.
OSPF no está disponible en el DFL-210, 260 y 260E.
Un router habilitado para OSPF primero identifica los routers y subredes que están conectados directamente a él y luego transmite la
información a todos los demás routers. Cada router utiliza la información que recibe para añadir el OSPF aprendió rutas a su tabla de
enrutamiento.
Con este panorama más amplio, cada router OSPF puede identificar las redes y routers que conducen a un determinado destino IP y por lo tanto la
mejor ruta. Los enrutadores OSPF utilizando entonces sólo transmitir actualizaciones para informar a otros de cualquier cambio de ruta en lugar de
difusión de la tabla de enrutamiento.
OSPF depende de varios parámetros para la determinación de ruta, incluyendo saltos, ancho de banda, carga y demora. OSPF también puede
proporcionar un alto nivel de control sobre el proceso de encaminamiento, ya que sus parámetros se puede ajustar finamente.
Un simple OSPF Escenario
El simple topología de red se ilustra a continuación proporciona un ejemplo excelente de lo OSPF puede lograr. Aquí tenemos dos servidores
de seguridad NetDefend UN y segundo conectados entre sí y configurado para estar en la misma área OSPF (el concepto de zona se
explicará más adelante).
Figura 4.8. Un simple OSPF Escenario
OSPF permite cortafuegos UN saber que para llegar a la red Y, el tráfico tiene que ser enviado al firewall SEGUNDO.
197
4.5.1. enrutamiento dinámico Capítulo 4. Enrutamiento
En lugar de tener que insertar manualmente esta información de enrutamiento en las tablas de enrutamiento de UN, OSPF permite SEGUNDO' información
s tabla de enrutamiento para ser compartida de forma automática con A.
De la misma manera, OSPF permite cortafuegos segundo para convertirse automáticamente en cuenta que la red x está unido al cortafuegos A.
Bajo OSPF, este intercambio de información de enrutamiento es completamente automático.
OSPF proporciona la ruta de redundancia
Si ahora tomamos el escenario anterior y añadimos una tercera llamada NetDefend Firewall do entonces tenemos una situación en la que los tres
servidores de seguridad son conscientes, a través de OSPF, por lo que las redes están unidos a los demás servidores de seguridad. Esto se ilustra a
continuación.
Figura 4.9. Proporcionar OSPF Ruta de redundancia
Además, ahora tenemos la redundancia de ruta entre dos cualquiera de los servidores de seguridad. Por ejemplo, si el vínculo directo entre UN y do falla
entonces OSPF permite que ambos servidores de seguridad para saber de inmediato que hay una ruta alternativa entre ellos a través de cortafuegos SEGUNDO.
Por ejemplo, el tráfico de la red x que está destinado para la red de Z serán enviados automáticamente a través de cortafuegos SEGUNDO.
Desde el punto de vista de los administradores, sólo las rutas de redes conectadas directamente necesitan ser configurados en cada servidor de
seguridad. OSPF proporciona automáticamente la información de encaminamiento requerido para encontrar las redes conectadas a otros servidores de
seguridad, incluso si el tráfico deba pasar varios otros servidores de seguridad para llegar a su destino.
Consejo: Las topologías de anillo siempre ofrecen rutas alternas
En el diseño de la topología de una red que implementa OSPF, la organización de NetDefend seguridad en un anillo
circular significa que cualquier servidor de seguridad siempre tiene dos posibles rutas a cualquier otra. En caso de que
cualquier conexión entre un servidor de seguridad falla, siempre existe un camino alternativo.
Una mirada a la métrica de enrutamiento
En la discusión de enrutamiento dinámico y OSPF además, una comprensión de Las métricas de enrutamiento puede ser útil
198
4.5.2. Conceptos de OSPF Capítulo 4. Enrutamiento
y una breve explicación se da aquí.
métricas de enrutamiento son los criterios que un algoritmo de enrutamiento utilizará para calcular la "mejor" ruta a un destino. Un protocolo de
enrutamiento se basa en una o varias métricas para evaluar enlaces a través de una red y para determinar la ruta óptima. Los principales
parámetros utilizados incluyen:
Longitud de la trayectoria La suma de los costes asociados a cada enlace. Un valor que se utiliza comúnmente para esta métrica se llama
"contador de saltos", que es el número de dispositivos de enrutamiento de un paquete debe atravesar cuando
se viaja desde el origen al destino.
Ancho de banda de artículos La capacidad de tráfico de un camino, calificado por "Mbps".
Carga El uso de un router. El uso puede ser evaluado por utilización de la CPU y el rendimiento.
Retrasar El tiempo que se necesita para mover un paquete desde el origen al destino. El tiempo depende de varios
factores, incluyendo el ancho de banda, la carga, y la longitud de la trayectoria.
4.5.2. Conceptos de OSPF
Visión de conjunto
Open Shortest Path First ( OSPF) es un protocolo de enrutamiento desarrollado para redes IP por la Grupo de Trabajo de Ingeniería
de Internet ( IETF). La aplicación NetDefendOS OSPF se basa en el RFC 2328, con compatibilidad con RFC 1583.
OSPF no está disponible en todos los modelos D-Link NetDefend
La característica OSPF sólo está disponible en la NetDefend DFL-860E, 1660, 2560 y 2560G.
funciones de enrutamiento OSPF por paquetes IP basadas únicamente en la dirección IP de destino se encuentra en la cabecera del paquete IP. Los
paquetes IP se encaminan "tal cual", es decir que no están encapsulados en cualquiera de las cabeceras de protocolos adicionales, ya que el tránsito Sistema
autónomo ( COMO).
El Sistema Autónomo
El termino Sistema autónomo se refiere a una sola red o grupo de redes con una única política de encaminamiento, claramente definido
controlado por un administrador común. Se forma el nivel superior de una estructura de árbol que describe los diversos componentes
OSPF.
En NetDefendOS, un AS corresponde a una Router OSPF objeto. Esto se debe definir primero al configurar OSPF. En la mayoría de
los escenarios sólo se requiere un enrutador OSPF ser definido y debe ser definido por separado en cada NetDefend Firewall
involucrado en la red OSPF. Este objeto NetDefendOS se describe adicionalmente en Sección 4.5.3.1, “Proceso de OSPF Router”.
OSPF es un protocolo de encaminamiento dinámico, ya que rápidamente detecta cambios topológicos en el AS (tales como fallos de la
interfaz router) y calcula nuevas rutas sin bucles a destinos.
Enrutamiento de estado de enlace
OSPF es una forma de enrutamiento de estado de enlace ( LS) que envía Los anuncios de estado de enlace ( LSA) a todos los otros routers dentro de la
misma zona. Cada router mantiene una base de datos, conocida como Base de datos de estado de enlace,
que mapea la topología del sistema autónomo (AS). El uso de esta base de datos, cada router construye un árbol de caminos más
cortos a otros routers con ella misma como la raíz. Este árbol de ruta más corta se obtiene la mejor ruta para cada destino en el AS.
199
Autenticación.
Todos los intercambios de protocolo OSPF pueden, si es necesario, ser autenticados. Esto significa que sólo los routers con la autenticación
correcta pueden unirse a un AS. Diferentes esquemas de autenticación se pueden utilizar y con NetDefendOS el esquema puede ser una
contraseña o un compendio MD5.
Es posible configurar los métodos de autenticación separados para cada AS.
Áreas OSPF
un OSPF Zona consta de redes y hosts dentro de un AS que han sido agrupados juntos. Los routers que son sólo dentro de un área se
denominan enrutadores internos. Todas las interfaces en los routers internos están conectados directamente a redes dentro de la zona.
La topología de un área oculta del resto del AS. Esta ocultación de información reduce la cantidad de tráfico de enrutamiento intercambiados.
Además, el enrutamiento dentro de la zona se determina sólo por la propia topología de la zona, que presta el área de protección de datos de
enrutamiento malas. Un área es una generalización de una sub IP anotó red.
En NetDefendOS, las áreas se definen por área OSPF Objetos y se añaden a la AS que a su vez se define por una Router OSPF objeto.
No puede haber más de un área dentro de un AS de modo múltiple área OSPF objetos se podrían añadir a un solo Router OSPF. En
la mayoría de los casos, uno es suficiente y debe ser definido por separado en cada NetDefend Firewall que formará parte de la red
OSPF.
Este objeto NetDefendOS se describe adicionalmente en Sección 4.5.3.2, “área OSPF”.
OSPF Componentes Campo
Un resumen de los componentes OSPF relacionados con un área se da a continuación:
ABR Los ABR son los routers que tienen interfaces conectados a más de un área. Estos mantienen
una base de datos topológica separada para cada área a la que tienen una interfaz.
ASBRs Los routers que intercambian información de enrutamiento con enrutadores en otros sistemas autónomos
se denominan Autónomas del sistema routers de contorno. Anuncian aprendieron externamente rutas en
todo el Sistema Autónomo.
Áreas de backbone Todas las redes OSPF necesita tener al menos el área de red troncal que es el área OSPF con un ID de 0. Este
es el área que otras áreas relacionadas deben conectarse a. La columna vertebral se asegura de información de
enrutamiento se distribuye entre las zonas conectadas. Cuando un área que no está conectado directamente a
la columna vertebral que necesita un enlace virtual a la misma.
redes OSPF deben ser diseñados comenzando con la columna vertebral.
áreas de rutas áreas de rutas son zonas por las que o en la que AS anuncios externos no se inundan. Cuando una zona
se configura como un área de rutas, el router anunciar automáticamente una ruta predeterminada para que
los routers en el área de rutas internas pueden llegar a destinos fuera de la zona.
Áreas de tránsito zonas de paso se utilizan para pasar tráfico de un área que no está conectado directamente a la zona de la
columna vertebral.
El DR
Cada red de difusión OSPF tiene una sola Enrutador designado ( DR) y una sola designado de respaldo
200
Router. Los routers utilizan OSPF Hola mensajes para elegir al DR y el BDR para la red en función de las prioridades anunciadas
por todos los routers. Si ya hay una DR en la red, el router se acepta que uno, independientemente de su propia prioridad router.
Con NetDefendOS, el DR y el BDR se asignan automáticamente.
vecinos
Los routers que se encuentran en la misma zona se convierten en vecinos de esa zona. Los vecinos son elegidos por el uso de
Hola mensajes. Estos se envían periódicamente en cada interfaz usando multidifusión IP. Routers vecinos se vuelven tan pronto como
se ven a sí mismos enumeran en un vecino de Hola mensaje. De esta manera, se garantiza una comunicación bidireccional.
El seguimiento Estados vecinos están definidos:
Abajo Este es el estado inicial de la relación de vecino.
En eso Cuando un Hola mensaje es recibido de un vecino, pero no incluye el ID del router del servidor de seguridad en el
mismo, el vecino se colocará en el En eso estado.
Tan pronto como el vecino en cuestión recibe una Hola mensaje se sabrá el envío del enrutador Router ID y
enviará una Hola mensaje con que incluía. El estado de los vecinos va a cambiar a la 2 vías estado.
2 vías En este estado la comunicación entre el router y el vecino es bi-direccional.
En Punto a punto y Punto a Multipunto OSPF las interfaces, el estado se cambiará a Completo. En Emisión las
interfaces, sólo el DR / BDR avanzarán a la Completo Estado con sus vecinos, todos los vecinos restantes
permanecerá en el estado de 2 vías.
ExStart Preparación para crear adyacencia.
Intercambiar Los routers son el intercambio de descriptores de datos.
Cargando Routers están intercambiando LSAs.
Completo Este es el estado normal de una adyacencia entre un router y el DR / BDR.
agregados
OSPF La agregación se utiliza para combinar grupos de rutas con direcciones comunes en una sola entrada en la tabla de enrutamiento. Esto se utiliza
comúnmente para reducir al mínimo la tabla de enrutamiento.
Para configurar esta función en NetDefendOS, véase Sección 4.5.3.5, “OSPF agregados”.
Enlaces virtuales
Los enlaces virtuales se utilizan para los siguientes escenarios:
A. La vinculación de un área que no tiene una conexión directa a la zona de la columna vertebral.
B. Vinculación de áreas de cadena principal cuando se divide la columna vertebral.
Los dos usos se discuten a continuación.
A. La vinculación de las áreas sin conexión directa a la red troncal
El área de red troncal siempre tiene que ser el centro de todas las demás áreas. En algunos casos raros en los que es imposible tener un
área físicamente conectado a la columna vertebral, una virtual Link se utiliza. Virtual
201
enlaces pueden proporcionar una zona con un camino lógico a la zona de la columna vertebral.
Este enlace virtual se establece entre dos Los enrutadores de borde de área ( ABRs) que están en un área común, con uno de los ABRs
conectados a la zona de la columna vertebral. En el siguiente ejemplo dos enrutadores están conectados a la misma zona (zona 1), pero sólo
uno de ellos, fw1, está físicamente conectado a la zona de la columna vertebral.
Figura 4.10. Enlaces virtuales conectan las áreas
En el ejemplo anterior, una virtual Link se configura entre fw1 y fw2 en zona 1 ya que se utiliza como zona de tránsito. En esta
configuración sólo el Router ID tiene que ser configurado. El diagrama muestra que fw2 tiene que tener una virtual Link a fw1 con
Router ID 192.168.1.1 y viceversa. Estos enlaces virtuales deben configurarse en Área 1.
SEGUNDO. La vinculación de una columna vertebral con particiones
OSPF permite la vinculación de una columna vertebral con particiones utilizando un enlace virtual. El enlace virtual debe ser configurado entre
dos ABRs separadas que tocan la columna vertebral de cada lado y que tienen un área común en el medio.
202
Figura 4.11. Enlaces virtuales con Backbone con particiones
El enlace virtual se configura entre fw1 y fw2 en zona 1 ya que se utiliza como zona de tránsito. En la configuración, sólo el Router ID tiene
que ser configurado, como en el ejemplo anterior muestran fw2 necesita tener una conexión virtual fw1 con el Router ID 192.168.1.1 y
viceversa. Estos enlaces virtuales deben configurarse en Área 1.
Para configurar esta función en NetDefendOS, véase Sección 4.5.3.6, “OSPF VLinks”.
OSPF Soporte de alta disponibilidad
Hay algunas limitaciones en el apoyo de alta disponibilidad para el OSPF que deben tenerse en cuenta:
Tanto el activo y la parte inactiva de un clúster de alta disponibilidad se ejecutará procesos OSPF separadas, aunque la parte inactiva
se asegurará de que no es la opción preferida para el enrutamiento. El maestro y el esclavo HA no formarán adyacencia entre sí y no
se les permite convertirse DR / BDR en redes de transmisión. Esto se realiza forzando la prioridad del router a 0.
Para soporte OSPF HA funcione correctamente, el servidor de seguridad NetDefend necesita tener una interfaz de radio con al menos un vecino para
todas las áreas que el servidor de seguridad está conectada. En esencia, la parte inactiva de la agrupación necesita un vecino para obtener la base de
datos de estado de enlace de.
También hay que señalar que no es posible poner un clúster de alta disponibilidad en la misma red de difusión sin otros vecinos (no formarán
adyacencia entre sí debido a la prioridad del router 0). Sin embargo, puede ser posible, dependiendo del escenario, para configurar un enlace
punto a punto entre ellos en su lugar. Especial cuidado debe ser tomado al establecimiento de una conexión virtual a un servidor de seguridad en
un clúster de alta disponibilidad. una a la compartida, una para el maestro y uno a la ID de router esclavo del servidor de seguridad: la creación
de un enlace a los cortafuegos debe HA configuración 3 enlaces separados de punto final.
El uso de OSPF con NetDefendOS
Cuando se utiliza OSPF con NetDefendOS, el escenario será que tenemos dos o más servidores de seguridad NetDefend conectados
entre sí de alguna manera. OSPF permite que cualquiera de estos cortafuegos para poder correctamente el tráfico a una red de destino
conectado a otro servidor de seguridad sin tener una ruta en su
203
4.5.3. componentes OSPF Capítulo 4. Enrutamiento
tablas de enrutamiento para el destino.
El aspecto clave de una configuración OSPF es que los cortafuegos NetDefend conectados comparten la información contenida en sus tablas de
enrutamiento para que el tráfico que entra una interfaz en uno de los servidores de seguridad se pueden dirigir de forma automática para que salga la
interfaz en la otra puerta de enlace que está unido al destino correcto red.
Otro aspecto importante es que los cortafuegos supervisan las conexiones entre el uno al otro y ruta de tráfico por una conexión
alternativa, si está disponible. Por tanto, una topología de la red puede ser diseñada para ser tolerante a fallos. Si una conexión entre dos
servidores de seguridad falla, entonces se utilizará ninguna ruta alternativa que también llega al destino.
4.5.3. componentes OSPF

Esta sección se examinan las NetDefendOS objetos que necesitan ser configurado para el enrutamiento OSPF. La
definición de estos objetos crea la red OSPF. Los objetos se deben definir en cada Firewall NetDefend que es parte de la
red OSPF y debe describir la misma red.
Una ilustración de la relación entre objetos NetDefendOS OSPF se muestra a continuación.
Figura 4.12. NetDefendOS OSPF objetos
4.5.3.1. Proceso OSPF Router

Este objeto define la sistema autónomo ( AS) que es el nivel superior de la red OSPF. Un similar Proceso enrutador objeto
debe ser definida en cada Firewall NetDefend que es parte de la red OSPF.
Parámetros generales
Nombre Especifica un nombre simbólico para el AS de OSPF.
Router ID Especifica la dirección IP que se utiliza para identificar el router en un AS. Si no se

configura ningún ID del router, el servidor de seguridad calcula el ID del router basada
en la dirección IP más alta de cualquier interfaz de participar en el OSPF.
204
Router ID privado Esto se utiliza en un clúster de HA y es el ID para este cortafuegos y no el clúster.
Nota
Cuando se ejecuta OSPF en un clúster HA hay una necesidad de un
maestro y esclavo privada privada ID del router, así como el ID de
router compartido.
Ancho de banda de referencia Ajuste el ancho de banda de referencia que se utiliza para el cálculo del coste interfaz por
defecto para las rutas.
Si se utiliza el ancho de banda en lugar de especificar una métrica en una interfaz OSPF,
el coste se calcula utilizando la siguiente fórmula:
cost = ancho de banda de referencia / ancho de banda
RFC 1583 Compatibilidad Activar esta opción si el servidor de seguridad NetDefend se utiliza en un entorno que
consta de los routers que sólo soportan el RFC 1583.
Depurar
Protocolo de depuración proporciona una herramienta de solución de problemas ingresando la información específica del protocolo OSPF para el
registro.
• Apagado - Nada se registra.
• Bajo - Registra todas las acciones.
• medio - Registra todas las acciones que Bajo logs pero con más detalle.
• Alto - Registra todo con más detalle.
Nota
Cuando se utiliza el Alto configuración, el servidor de seguridad se registra una gran cantidad de información, incluso cuando
acaba de conectarse a una pequeña AS. Cambio de la configuración avanzada Enviar registro Límite segundos por puede ser
requerido.
Autenticación
OSPF es compatible con las siguientes opciones de autenticación:
Sin autenticación (nulo) Sin autenticación se utiliza para intercambios de protocolo OSPF.
frase de contraseña Una contraseña simple se utiliza para autenticar todos los intercambios de protocolo
OSPF.
MD5 la autenticación MD5 consiste en un identificador de clave y clave de 128 bits.

Cuando se utiliza MD5 la clave especificada se utiliza para producir el 128 bits MD5.
Esto hace NO significa que los paquetes OSPF están cifrados. Si el tráfico
OSPF debe ser cifrada entonces deben ser enviados usando una VPN. Por
ejemplo, utilizando IPsec. Enviando paquetes OSPF través de un túnel IPsec
se discute más en
205
Sección 4.5.5, “Configuración de OSPF”.
Nota: La autenticación debe ser la misma en todos los routers
Si una frase de contraseña de autenticación MD5 o está configurado para OSPF, la contraseña o clave de autenticación
debe ser la misma en todos los routers OSPF en ese Sistema Autónomo.
En otras palabras, el método de autenticación OSPF debe replicarse en todos los firewalls NetDefend.
Avanzado
Ajustes de hora
SPF Hold Time Especifica el tiempo mínimo, en segundos, entre dos cálculos de SPF. El tiempo predeterminado es de 10
segundos. Un valor de 0 significa que no hay ningún retraso. Tenga en cuenta sin embargo, que SPF
potencialmente puede ser un proceso CPU exigentes, por lo que en una gran red que podría no ser una buena
idea para ejecutarlo a menudo.
SPF tiempo de retardo Especifica el tiempo de retardo, en segundos, entre el momento en OSPF recibe un cambio de topología y
cuando empieza un cálculo SPF. El tiempo predeterminado es de 5 segundos. Un valor de 0 significa que no
hay ningún retraso. Tenga en cuenta sin embargo, que SPF potencialmente puede ser un proceso CPU
exigentes, por lo que en una gran red que podría no ser una buena idea para ejecutarlo a menudo.
Estimulación Grupo LSA Esto especifica el tiempo en segundos en el cual intervalo de los LSAs OSPF se
recogen en un grupo y fresca. Es más óptima a muchos grupos LSA y les procese al
mismo tiempo, en lugar de correr a uno y uno.
Rutas Hold Time Esto especifica el tiempo en segundos que la tabla de enrutamiento se mantuvo sin cambios después de una
reconfiguración de entrada OSPF o una conmutación por error de HA.
Opciones de la memoria
Memoria Max Uso Cantidad máxima en kilobytes de RAM que el proceso OSPF AS son
permitido el uso de, si no se especifica ningún valor el valor predeterminado es 1% de RAM instalada.
Especificación de 0 indica que se permite que el proceso de OSPF AS para utilizar toda la memoria RAM
disponible en el servidor de seguridad.
4.5.3.2. área OSPF

El sistema autónomo (AS) se divide en partes más pequeñas llamadas una Zona, esta sección se explica cómo configurar zonas.
Un área recoge juntas las interfaces OSPF, vecinos, agregados y enlaces virtuales.
Un área OSPF es un hijo del proceso enrutador OSPF y no puede haber muchos objetos área definida bajo un único proceso de router. En la
mayoría de los escenarios de redes simples, una sola área es suficiente. Al igual que el procedimiento objeto router, un objeto de área similar
debería definirse en todos los servidores de seguridad NetDefend que formarán parte de la red OSPF.
Nombre Especifica el nombre del área OSPF.
206
CARNÉ DE IDENTIDAD Especifica el identificador de área. Si 0.0.0.0 se especifica entonces este es el área de red troncal.
No sólo puede haber un área de red troncal y forma la parte central de un AS.
información de encaminamiento que se intercambia entre área diferente siempre transita
por el área de red troncal.
Es área de rutas Con esta opción, la zona es un área de rutas.
Convertido router por defecto Es posible configurar si el servidor de seguridad debe convertirse en el router por defecto para el
área de rutas, y con qué métrica.
Filtro de importación
El filtro de importación se utiliza para filtrar lo que puede importarse en el OSPF AS ya sea de fuentes externas (como la tabla de enrutamiento principal
o una tabla de encaminamiento basado en políticas) o dentro del área OSPF.
Externo Especifica las direcciones de red pueden ser importados en esta área OSPF a partir de fuentes externas de
enrutamiento.
Interárea Especifica las direcciones de red pueden ser importados de otros routers dentro del área OSPF.
4.5.3.3. Interfaz OSPF

En esta sección se describe cómo configurar una Interfaz OSPF objeto. objetos de interfaz OSPF son hijos de áreas OSPF. A
diferencia de las áreas, no son similares en cada NetDefend Firewall en la red OSPF. El propósito de un objeto de interfaz
OSPF es describir una interfaz específica que será parte de una red OSPF.
Nota: Los diferentes tipos de interfaz se pueden utilizar con las interfaces OSPF
Tenga en cuenta que una interfaz OSPF no siempre corresponde a una interfaz física a pesar de esto es el
uso más común. Otros tipos de interfaces, tales como una VLAN, en lugar podrían estar asociados con una
interfaz OSPF.
Interfaz Especifica que la interfaz en el servidor de seguridad será utilizado para esta interfaz OSPF.
Red Especifica la dirección de red para esta interfaz OSPF.
Tipo de interfaz Este puede ser uno de los siguientes:
• Auto - Intenta detectar automáticamente el tipo de interfaz. Esto se puede utilizar para interfaces físicas.
• Broadcast - El tipo de interfaz de difusión es una interfaz que tiene la capa nativa
capacidades 2 de difusión / multidifusión. El ejemplo típico de una red de difusión /
multidifusión es una interfaz ordinaria Ethernet físico.
Cuando se utiliza difusión, OSPF enviará OSPF Hola paquetes a la dirección IP multicast 224.0.0.5.
Esos paquetes serán escuchadas por todos los demás routers OSPF en la red. Por esta razón, sin
necesidad de configuración de Vecino OSPF objetos se requiere para el descubrimiento de routers
vecinos.
• Punto a punto - Punto a punto se utiliza para los enlaces directos que implican
207
sólo dos enrutadores (en otras palabras, dos cortafuegos). Un ejemplo típico de esto es un túnel
VPN que se utiliza para transferir el tráfico OSPF entre dos cortafuegos. La dirección vecino de
dicho vínculo se configura mediante la definición de una Vecino OSPF objeto.
El uso de túneles VPN se discute más en Sección 4.5.5, “Configuración de OSPF”.
• Punto a Multipunto - El tipo de interfaz de punto a multipunto es un conjunto de redes

de punto a punto, donde hay más de un enrutador en un enlace que no tiene OSI
Layer 2 capacidades de difusión / multidifusión.
Métrico Especifica la métrica para esta interfaz OSPF. Esto representa el "costo" de envío de paquetes a través
de esta interfaz. Este costo es inversamente proporcional al ancho de banda de la interfaz.
ancho de banda Si no se especifica la métrica, el ancho de banda se especifica en su lugar. Si el ancho de banda es conocida,
entonces esto se puede especificar directamente en lugar de la métrica.
Autenticación
Todos los intercambios de protocolo OSPF pueden ser autenticados mediante una contraseña simple o MD5 hash criptográficas.
Si Usar predeterminado para el proceso Router está activada, los valores configurados en las propiedades del proceso enrutador se utilizan. Si
esto no está activada, las siguientes opciones están disponibles:
• Sin autenticacion.
• Frase de contraseña.
• MD5 Digest.
Avanzado
Hello Interval Especifica el número de segundos entre Hola los paquetes enviados en la interfaz.
Router Dead Intervalo Si no Hola paquetes son recibidos desde un vecino dentro de este intervalo entonces
que router vecino será considerado a estar fuera de operación.
Intervalo rxmt Especifica el número de segundos entre retransmisiones de las LSA a los vecinos en
esta interfaz.
Retraso InfTrans Especifica el retardo de transmisión estimado para la interfaz. Este valor representa el
tiempo máximo que tarda en enviar un paquete LSA A través del router.
Intervalo de espera Especifica el número de segundos entre la interfaz criado y la elección de la

DR y el BDR. Este valor debe ser mayor que el intervalo de saludo.
prioridad del router Especifica la prioridad del router, un número más alto aumenta esta oportunidad routers de
convertirse en un DR o una BDR. Si se especifica 0, entonces este enrutador no será elegible en
las elecciones de DR / BDR.
208
Nota
Un clúster de alta disponibilidad siempre tendrá como prioridad 0 del router, y

nunca puede ser utilizado como DR o BDR.
A veces hay una necesidad de incluir redes en el proceso de enrutamiento OSPF, sin correr OSPF en la interfaz
conectada a dicha red. Esto se hace activando la opción de:
No hay routers OSPF conectados a esta interfaz ( "pasiva").
Esta es una alternativa al uso de una política de enrutamiento dinámico para importar rutas estáticas en el proceso de enrutamiento OSPF.
Si el Ignorar las restricciones OSPF MTU recibidas está activado, se permitirá a los desajustes OSPF MTU.
4.5.3.4. Los vecinos OSPF
En algunos escenarios de la vecina del router OSPF a un servidor de seguridad debe ser definido de forma explícita. Por ejemplo, cuando la
conexión no está entre las interfaces físicas.
La situación más común para el uso de esto es cuando un túnel VPN se utiliza para conectar dos vecinos y tenemos que decirle
NetDefendOS que debe hacerse a través del túnel de la conexión OSPF. Este tipo de uso de VPN con túneles IPsec se describe
adicionalmente en Sección 4.5.5, “Configuración de OSPF”.
NetDefendOS Vecino OSPF los objetos son creados dentro de una área OSPF y cada objeto tiene los siguientes parámetros de
propiedades:
Interfaz Especifica qué interfaz OSPF del vecino se encuentra en.
Dirección IP La dirección IP del vecino. Esta es la dirección IP de la interfaz OSPF vecinos se conectan a este
router. Para los túneles VPN que esta será la dirección IP del extremo remoto del túnel.
Métrico Especifica la métrica a este vecino.
4.5.3.5. OSPF Agregados

OSPF La agregación se utiliza para combinar grupos de rutas con direcciones comunes en una sola entrada en la tabla de enrutamiento. Si
anuncian que esto disminuye el tamaño de la tabla de enrutamiento en el servidor de seguridad, si no se anuncian Esto will hide las redes.
NetDefendOS OSPF agregada los objetos son creados dentro de una área OSPF y cada objeto tiene los siguientes parámetros:
Red La red consta de los routers más pequeños.
Anunciar Si la agregación debe ser objeto de publicidad o no.
En la mayoría, los escenarios simples OSPF, OSPF agregada no serán necesarios los objetos.
4.5.3.6. OSPF VLinks

Todas las zonas en un OSPF AS deben estar conectados físicamente al área troncal (el área con ID 0). En algunos casos esto no es posible, y
en ese caso una Virtual Link ( VLink) se puede usar para conectarse a la columna vertebral a través de una zona de no-backbone.
209
4.5.4. Reglas de enrutamiento dinámico Capítulo 4. Enrutamiento
NetDefendOS OSPF VLink los objetos son creados dentro de una área OSPF y cada objeto tiene los siguientes parámetros:
Nombre nombre simbólico del enlace virtual.
Vecino Router ID El Router ID del router en el otro lado del enlace virtual.
Autenticación
Usar predeterminado para AS Utilice los valores configurados en la página de propiedades de AS.
Nota: La vinculación de redes troncales con particiones
Si se divide el área de red troncal, un enlace virtual se utiliza para conectar las diferentes partes.
En la mayoría, los escenarios simples OSPF, OSPF VLink no serán necesarios los objetos.
4.5.4. Reglas de enrutamiento dinámico
Esta sección examina Reglas de enrutamiento dinámico que dictan qué rutas se pueden exportar a un AS de OSPF de las tablas de
enrutamiento local, y que pueden ser importados en las tablas de enrutamiento local desde el AS.
4.5.4.1. Visión de conjunto
El final de OSPF Configuración paso es crear reglas de enrutamiento dinámico
Una vez creada la estructura de OSPF, el paso final es siempre la de crear una Regla de enrutamiento dinámico en cada NetDefend Firewall que
permite que la información de enrutamiento que el OSPF AS libra de servidores de seguridad remotos que se añaden a las tablas de enrutamiento
local.
Se discuten las reglas de enrutamiento dinámico aquí en el contexto de OSPF, pero también se pueden utilizar en otros contextos.
Las razones por las Reglas de enrutamiento dinámico
En un entorno de enrutamiento dinámico, es importante para los routers sean capaces de regular en qué medida van a participar en el
intercambio de enrutamiento. No es posible aceptar o confiar en todos recibieron la información de enrutamiento, y podría ser crucial para evitar
partes de la base de datos de enrutamiento de ser publicados a otros routers.
Por esta razón, Reglas de enrutamiento dinámico se utilizan para regular el flujo de información de encaminamiento.
filtran estas reglas configuradas de forma estática o OSPF rutas aprendidas de acuerdo con parámetros como el origen de las rutas,
destino, métrica y así sucesivamente. Las rutas coincidentes pueden ser controlados por acciones para ser exportado a procesos OSPF o
para ser añadido a una o más tablas de enrutamiento.
Uso con OSPF
Reglas de enrutamiento dinámico se utilizan con OSPF para lograr lo siguiente:
• Permitiendo la importación de rutas desde el AS OSPF en tablas de enrutamiento local.
210
• Lo que permite la exportación de rutas de unas tablas de enrutamiento local a la OSPF.
• Lo que permite la exportación de rutas de uno a otro OSPF OSPF.
Nota
El último uso de sistemas de unión asíncronos entre sí se encuentra raramente excepto en redes muy
grandes.
OSPF requiere al menos una regla de importación
Por defecto, NetDefendOS no va a importar o exportar cualquier ruta. Para OSPF a la función, por lo que es obligatorio para definir al menos
una regla de encaminamiento dinámico que será una Importar regla.
Esta Importar regla especifica lo local Proceso OSPF Router objeto. Esto permite que las rutas externas puestos a disposición en el OSPF
a ser importados en las tablas de enrutamiento local.
La especificación de un filtro
reglas de enrutamiento dinámico permiten un filtro para especificar lo que estrecha las vías que se importan basado en la red alcanzado. En la mayoría
de los casos, el O está dentro de opción debe ser especificado como todas las redes de
de manera que no se aplica ningún filtro.
Cuándo usar Exportar Reglas
A pesar de una Importar Se necesita regla para importar rutas del OSPF, lo contrario no es cierto. La exportación de rutas a las redes
que forman parte de Interfaz OSPF objetos son automáticos.
La única excepción es para las rutas en las interfaces que tienen una puerta de entrada definido por ellos. En otras palabras, cuando el
destino no está conectado directamente a la interfaz física y en su lugar hay un salto a otro router en el camino hacia la red de destino. los todas
las redes de ruta definida para el acceso a Internet a través de un ISP es un ejemplo de una ruta tal.
En este caso, un enrutamiento dinámico exportar regla debe ser creado para exportar explícitamente la ruta a la OSPF.
Regla de enrutamiento dinámico Objetos
El siguiente diagrama muestra la relación entre los objetos de reglas de encaminamiento dinámico NetDefendOS.
Figura 4.13. Regla de enrutamiento dinámico Objetos
211
4.5.4.2. Regla de enrutamiento dinámico
Este objeto define una regla de enrutamiento dinámico.
Nombre Especifica un nombre simbólico para la regla.
De OSPF Especifica la de la que OSPF AS (en otras palabras, un proceso de OSPF Router) la
ruta debe ser importada desde ya sea en una tabla de enrutamiento u otro AS.
A partir de la tabla de enrutamiento Especifica de qué tabla de enrutamiento una ruta debe ser importado a la OSPF o
copiado en otra tabla de enrutamiento.
Interfaz de destino Especifica si la regla tiene que tener un partido para un determinado interfaz de destino.
Red de destino
Busca exactamente Especifica si la red tiene que coincidir exactamente con una red específica.
O está dentro de Especifica si la red tiene que estar dentro de una red específica.
más Parámetros
Siguiente salto Especifica lo que el siguiente salto (en otras palabras, un router) tiene que ser de esta regla se active.
Métrico Especifica un intervalo que la métrica de los routers tiene que estar en el medio.
Router ID Especifica si la regla debe filtrar ID de router.
Tipo de ruta OSPF Especifica si la regla debe filtrar en el OSPF Tipo router.
OSPF Tag Especifica un intervalo que la etiqueta de los routers tiene que estar en el medio.
4.5.4.3. Acción OSPF
Este objeto define una acción OSPF.
Exportación para procesar Especifica en la que OSPF como el cambio de ruta debe ser importado.
Adelante Si es necesario, especifica la ruta a través de IP a.
Etiqueta Especifica una etiqueta para esta ruta. Esta etiqueta se puede utilizar en otros routers para el filtrado.
Tipo de ruta Especifica lo que el tipo de tipo de ruta externa. Especificar 1 si OSPF debe
212
4.5.5. Configuración de OSPF Capítulo 4. Enrutamiento
considerar rutas externas como tipo 1 rutas OSPF. Tipo 2 es el costo más significativo de una
ruta.
OffsetMetric Aumenta la métrica de una ruta importado por este valor.
Límite Métricas Para Limita las métricas de estas rutas a un valor mínimo y máximo. Si una ruta tiene un valor superior
o inferior a la especificada a continuación, se establece en el valor especificado.
4.5.4.4. Acción de enrutamiento
UN Acción de enrutamiento se utiliza para manipular y exportar los cambios de itinerario a una o más tablas de enrutamiento local.
Destino Especifica en el que la tabla de enrutamiento de ruta los cambios en el OSPF deben ser
importados.
Offset Métricas Aumenta la métrica por este valor.
Desplazamiento Tipo de métrica 2 aumenta la Tipo 2 métrica de enrutador por este valor.
Límite Métricas Para Limita las métricas de estas rutas a un valor mínimo y máximo. Si una ruta tiene un valor
más alto que se especifica a continuación, se establece en el valor especificado.
Ruta estática de anulación Permite la anulación de las rutas estáticas.
Ruta por defecto de anulación Permite la anulación de la ruta por defecto.
4.5.5. Configuración de OSPF
Configuración de OSPF puede parecer complicado debido al gran número de posibilidades de configuración que ofrece OSPF. Sin
embargo, en muchos casos se necesita una solución sencilla OSPF utilizando un mínimo de objetos NetDefendOS y la configuración
puede ser sencillo.
Vamos a examinar de nuevo el escenario sencillo descrito anteriormente con sólo dos NetDefend cortafuegos.
En este ejemplo, se conectan entre sí los dos cortafuegos NetDefend con OSPF para que puedan compartir las rutas en sus tablas de
enrutamiento. Ambos estarán dentro de una sola área OSPF que será parte de un único sistema autónomo OSPF (AS). Si no está
familiarizado con estos conceptos OSPF, por favor refiérase a las secciones anteriores para más explicaciones.
Comenzando con sólo uno de estos servidores de seguridad, los pasos de configuración NetDefendOS son los siguientes:
1. Crear un objeto OSPF Router
Crear una NetDefendOS Proceso OSPF Router objeto. Esto representará un OSPF Área autónoma
(AS) que es el nivel más alto en la jerarquía OSPF. Dar al objeto un nombre apropiado. los
Router ID puede ser dejado en blanco ya que este será asignado automáticamente por NetDefendOS.
2. Añadir un área OSPF al router OSPF
Dentro de Proceso OSPF Router creado en el paso anterior, añadir un nuevo área OSPF objeto. Asignar un nombre adecuado y
utilizar el valor 0.0.0.0 para el ID de área.
Un AS puede tener múltiples áreas, pero en muchos casos sólo se necesita uno. La identificación 0.0.0.0 identifica esta área como el área de
red troncal que forma la parte central de la AS.
3. Añadir Interfaces OSPF para el área OSPF
Dentro de área OSPF creado en el paso anterior, añadir un nuevo Interfaz OSPF para cada física
213
interfaz que será parte de la zona.
los Interfaz OSPF objeto necesita los siguientes parámetros especificados en sus propiedades:
• Interfaz - la interfaz física que será parte del área OSPF.
• Red - la red en la interfaz que será parte de la zona.
Esto no tiene que ser especificado y si no lo es, se utiliza la red asignada a la interfaz física. Por ejemplo, si lan es
la interfaz entonces Lannet será la red por defecto.
• Tipo de interfaz - esto sería normalmente Auto de manera que el tipo correcto se selecciona automáticamente.
• La opción avanzada No hay routers OSPF conectados a esta interfaz debe estar habilitado si la interfaz física no se
conecta directamente a otro Router OSPF ( en otras palabras, con otra NetDefend Firewall que actúa como un
enrutador OSPF). Por ejemplo, la interfaz sólo puede conectarse a una red de clientes, en cuyo caso habría que
habilitar la opción.
La opción debe estar desactivada si la interfaz física está conectado a otro servidor de seguridad que se configura como una Router
OSPF. En este ejemplo, la interfaz física conectada al otro firewall tendría esta opción desactivada.
4. Añadir una regla de enrutamiento dinámico
Por último, una Regla de enrutamiento dinámico debe ser definida para desplegar la red OSPF. Esto implica dos pasos:
yo. UN Regla de política de enrutamiento dinámico se añade objeto. Esta regla debería ser una Importar regla que permite la opción A partir del
proceso de OSPF de modo que el definido previamente Proceso OSPF Router se selecciona objeto. Lo que estamos haciendo está diciendo
que queremos importar todas las rutas del OSPF.
Además, el opcional O está dentro de parámetro de filtro para la red de destino debe fijarse para que sea todos-NET. Podríamos utilizar
un filtro más estrecho de la red de destino, pero en este caso, queremos que todas las redes.
ii. Dentro de Regla de política de enrutamiento dinámico acaba de añadir, ahora añadimos una Acción de enrutamiento objeto. aquí
añadimos la tabla de enrutamiento en el Seleccionado lista que recibirá la información de enrutamiento de OSPF.
En el caso típico que esta será la tabla de enrutamiento de llamada principal.
No hay necesidad de tener una Regla de política de enrutamiento dinámico que exporta la tabla de enrutamiento local en el servidor AS, ya que esto se
hace automáticamente para Interfaz OSPF objetos.
La excepción a esto es si una ruta implica una puerta de entrada (en otras palabras, un router hop). En este caso la ruta DEBE exportarse de forma
explícita. El caso más frecuente cuando esto es necesario es para el todas las redes de
ruta a la Internet pública externa, donde la puerta de enlace es el router del ISP. Hacer esto se discute en el siguiente paso.
5. Añadir una regla de enrutamiento dinámico para todas las redes de
Opcionalmente, una Regla de enrutamiento dinámico debe ser definida si hay una todas las redes de ruta. Por ejemplo, si el servidor de seguridad está
conectado a un ISP. Esto implica los siguientes pasos
yo. UN Regla de política de enrutamiento dinámico se añade objeto. Esta regla debería ser una Exportar regla que permite la opción A partir de la tabla
de enrutamiento con el principal tabla de enrutamiento se trasladó a la Seleccionado lista.
Además, el opcional O está dentro de parámetro de filtro para la red de destino debe fijarse para que sea todos-NET.
ii. Dentro de Regla de política de enrutamiento dinámico acaba de añadir, ahora añadimos una Acción OSPF objeto. aquí
selecciona el Exportar a proceso opción para ser el Proceso OSPF Router que representa el OSPF
214
COMO.
6. Repita estos pasos en el otro cortafuegos
Ahora repita los pasos 1 a 5 para el otro NetDefend Firewall que será parte de la OSPF y el área. los Router OSPF y área
OSPF objetos serán idénticos en cada uno. los Interfaz OSPF objetos serán diferentes dependiendo de qué interfaces y
redes serán incluidos en el sistema de OSPF.
Si hay más de dos servidores de seguridad serán parte de la misma área OSPF a continuación, todos ellos deben estar configurados de manera
similar.
Enrutamiento OSPF de intercambio de información se inicia automáticamente
A medida que las nuevas configuraciones son creados en los pasos anteriores y luego desplegados, OSPF se iniciará automáticamente y
comenzar a intercambiar información de enrutamiento. Desde OSPF es un sistema dinámico y distribuido, no importa el orden en que las
configuraciones de los servidores de seguridad individuales se despliegan.
Cuando el enlace físico está conectado entre dos interfaces en dos cortafuegos diferentes y esas interfaces están configuradas con Proceso
OSPF Router objetos, OSPF comenzarán el intercambio de información de enrutamiento.
Confirmando OSPF despliegue
Ahora es posible comprobar que OSPF está funcionando y que se intercambia información de enrutamiento.
Podemos hacer haciendo una lista de las tablas de enrutamiento, ya sea con la CLI o mediante la interfaz web. En ambos casos, las rutas que han
sido importados en las tablas de enrutamiento OSPF aunque se indican con la letra " O"
a la izquierda de la descripción de la ruta. Por ejemplo, si usamos el rutas comando, podemos ver el siguiente resultado:
GW-mundo: /> rutas

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
192.168.1.0/24 lan 0
172.16.0.0/16 wan 0
O 192.168.2.0/24 wan 172.16.2.1 1
Aquí, la ruta de 192.168.2.0/24 se ha importado a través de OSPF y que la red se puede encontrar en el PÁLIDO interfaz con la
pasarela de 172.16.2.1. los puerta en este caso es por supuesto el NetDefend Firewall a la que debe enviarse el tráfico. Dicho
servidor de seguridad puede o no puede estar unido a la red de destino, pero OSPF ha determinado que esa es la ruta óptima
para llegar a él.
El comando de la CLI OSPF También se puede utilizar para indicar el estado de OSPF. Las opciones de este comando se describen detalladamente en
la Guía de referencia de la CLI.
El envío de OSPF tráfico a través de un túnel VPN
En algunos casos, el enlace entre dos servidores de seguridad que están configurados con NetDefend Proceso OSPF Router objetos pueden ser
inseguro. Por ejemplo, a través de Internet pública.
En este caso, podemos proteger el vínculo mediante la creación de un túnel VPN entre los dos servidores de seguridad y contar OSPF para utilizar
este túnel para el intercambio de información de OSPF. A continuación, vamos a ver cómo configurar esto y asumir que IPsec será el método
elegido para la realización del túnel.
Para crear esta configuración que necesitamos para llevar a cabo los pasos normales OSPF descritos anteriormente, pero con los siguientes pasos
adicionales:
215
1. Establecer un túnel IPSec
En primer lugar establecer un túnel IPsec en la forma normal entre los dos cortafuegos UN y SEGUNDO. Las opciones de configuración de IPsec se
explican en Sección 9.2, “VPN de inicio rápido”.
Este túnel IPsec está ahora tratado como cualquier otra interfaz al configurar OSPF en NetDefendOS.
2. Elija una red IP interna al azar
Para cada servidor de seguridad, tenemos que elegir una red IP al azar usando las direcciones IPv4 privadas, internas. Por ejemplo, para
firewall UN podríamos utilizar la red 192.168.55.0/24.
Esta red se utiliza simplemente como una conveniencia con la configuración de OSPF y nunca se asocia con una red física real.
3. Definir una interfaz OSPF para el túnel
Definir un NetDefendOS Interfaz OSPF objeto que tiene el túnel IPsec para la Interfaz
parámetro. Especifica el Tipo Parámetro que debe punto a punto y el Red parámetro a la red seleccionada en el paso
anterior, 192.168.55.0/24.
Esta Interfaz OSPF NetDefendOS dice que cualquier OPSF conexiones relacionadas a direcciones dentro de la red 192.168.55.0/24
deberán colocarse en el túnel IPsec.
4. Definir un vecino OSPF
A continuación, hay que indicar explícitamente OSPF cómo encontrar el router OSPF vecino. Para ello, la definición de un
NetDefendOS Vecino OSPF objeto. Este consiste en un emparejamiento del túnel IPsec (que se trata como una interfaz) y la dirección
IP del router en el otro extremo del túnel.
Para la dirección IPv4 del router, simplemente usamos cualquier dirección IP única de la red
192.168.55.0/24. Por ejemplo, 192.168.55.1.
Cuando NetDefendOS configura OSPF, que se verá en este Vecino OSPF objeto e intenta enviar mensajes OSPF a la
dirección IPv4 192.168.55.1. los Interfaz OSPF objeto definido en el paso anterior dice que NetDefendOS OSPF relacionada
con el tráfico a esta dirección IP se deben colocar en el túnel IPsec.
5. Establecer la IP local del punto final del túnel
Para finalizar la configuración de cortafuegos UN es necesario que haya dos cambios realizados en la configuración del túnel IPsec en cortafuegos SEGUNDO.
Estos son:
yo. En las propiedades de túnel IPSec, el Red local para el túnel se debe establecer a todos-NET.
Este ajuste actúa como un filtro para el tráfico que se permite en el túnel y todas las redes de permitirá todo el tráfico en el túnel.
ii. En la sección de encaminamiento de las propiedades de IPsec, la Especificar la dirección manualmente opción debe estar habilitada y la
dirección IPv4 en este ejemplo de 192.168.55.1 tiene que ser introducido. Esto establece el punto final del túnel IP para ser 192.168.55.1 de
manera que se enviará todo el tráfico OSPF para cortafuegos UN con esta dirección IP de origen.
El resultado de hacer esto es a "ruta principal" OSPF tráfico procedente de cortafuegos A. En otras palabras, el tráfico está destinado a
NetDefendOS.
6. Repita los pasos para el otro cortafuegos
Lo que hemos hecho hasta ahora es permitir que el tráfico fluya desde OSPF UN a SEGUNDO. Los pasos anteriores deben repetirse una imagen de
espejo de servidor de seguridad como segundo usando el mismo túnel IPsec pero utilizando una red IP interna aleatorio diferente para la configuración
de OSPF.
216
4.5.6. Un ejemplo OSPF Capítulo 4. Enrutamiento
Consejo: el tráfico no OSPF también puede utilizar el túnel
Un túnel VPN puede realizar tanto el tráfico OSPF, así como otros tipos de tráfico. No hay ningún requisito para
dedicar un túnel al tráfico OSPF.
4.5.6. Un ejemplo OSPF

Esta sección muestra los comandos de la interfaz real para implementar el escenario simple descrito anteriormente en Sección 4.5.5,
“Configuración de OSPF”. El escenario VPN IPsec no está incluido.
Ejemplo 4.9. la creación de una Proceso OSPF Router
En el primer servidor de seguridad involucrados en el OSPF, crear una Proceso OSPF router.
Interfaz web
1. Ir a: Cables> OSPF> Añadir> Proceso de enrutamiento OSPF
2. Especificar un nombre adecuado para el proceso, por ejemplo as_0
Esto se debe repetir para todos los servidores de seguridad NetDefend que formarán parte del OSPF.
Ejemplo 4.10. Añadir una área OSPF
Ahora añadir una área OSPF oponerse a la Proceso OSPF Router objeto as_0. El área será la área de red troncal y contará con la ID 0.0.0.0.
Interfaz web
1. Ir a: Cables> OSPF
2. Seleccionar el proceso de enrutamiento as_0
3. Seleccionar Añadir> área OSPF
4. Para las propiedades del área:
• Introduzca un nombre adecuado. Por ejemplo, area_0
• Especifica el la zona ID como 0.0.0.0
Esto se debe repetir para todos los servidores de seguridad NetDefend que formarán parte del área OSPF.
Ejemplo 4.11. Añadir Interfaz OSPF Objetos
ahora agregue Interfaz OSPF objetos para cada interfaz física que se va a parte del área OSPF area_0.
Interfaz web
1. Ir a: Enrutamiento OSPF>> as_0> area_0> Interfaces OSPF
2. Seleccionar Añadir> interfaz OSPF
217
3. Seleccione el Interfaz. Por ejemplo, lan
Con sólo seleccionar el Interfaz significa que el Red por defecto a la red con destino a esa interfaz. En este caso
Lannet.
Esto se debe repetir para todas las interfaces en esta Firewall NetDefend que será parte del área OSPF y luego se repite para todos los demás servidores de
seguridad.
Ejemplo 4.12. Las rutas de importación de un AS OSPF en la tabla de enrutamiento principal
Interfaz web
1. Ir a: Cables> Reglas de enrutamiento dinámico> Agregar> Regla de política de enrutamiento dinámico
2. Especifique un nombre adecuado para la regla. Por ejemplo, ImportOSPFRoutes.
3. Seleccionar la opción A partir del proceso de OSPF
4. Mover AS0 de Disponible a Seleccionado
5. Elija todas las redes de en el ... O está dentro de opción de filtro
Ahora, crear una acción de enrutamiento dinámico que va a hacer la importación real de las rutas en una tabla de enrutamiento. Especificar la tabla de enrutamiento de
destino que las rutas deben añadirse a, en este caso principal.
Interfaz web
1. Ir a: Cables> Reglas de enrutamiento dinámico
2. Haga clic en la recién creada ImportOSPFRoutes
3. Ir a: Enrutamiento Acción> Añadir> DynamicRountingRuleAddRoute
4. Mueva la tabla de enrutamiento principal de Disponible a Seleccionado
Ejemplo 4.13. Exportación de la ruta por defecto en un AS de OSPF
En este ejemplo, el valor predeterminado todas las redes de ruta desde el principal tabla de enrutamiento se exportará en un OSPF AS llamado
as_0. Esto debe hacerse de forma explícita, ya todas las redes de rutas no se exportan automáticamente.
En primer lugar, añadir un nuevo Enrutamiento dinámico de reglas de directiva.
Interfaz web
1. Ir a: Cables> Reglas de enrutamiento dinámico> Añadir> regla de política de enrutamiento dinámico
2. Especifique un nombre para la regla. Por ejemplo, ExportAllNets
3. Seleccionar la opción A partir de la tabla de enrutamiento
4. Mueva la tabla de enrutamiento principal al Seleccionado lista
5. Elija todas las redes de en el ... O está dentro de filtrar
218
A continuación, crear una acción de OSPF que exportará la ruta filtrada a la especificada OSPF AS:
Interfaz web
1. Ir a: Cables> Reglas de enrutamiento dinámico
2. Haga clic en la recién creada ExportAllNets
3. Ir a: Acciones OSPF> Añadir> DynamicRoutingRuleExportOSPF
4. Para Exportar a proceso escoger AS0
219
4.6. enrutamiento de multidifusión Capítulo 4. Enrutamiento
4.6. enrutamiento de multidifusión
El problema de multidifusión
Ciertos tipos de interacciones en Internet, como las emisiones de conferencia y vídeo, requieren un único cliente o host para enviar el
mismo paquete a múltiples receptores. Esto podría lograrse a través de la duplicación del remitente del paquete con diferentes direcciones
IP de recepción o en una radiodifusión del paquete a través de Internet. Estas soluciones desperdician grandes cantidades de recursos
remitente o el ancho de banda de la red y por lo tanto no son satisfactorios. Una solución adecuada también debe ser capaz de escalar a
un gran número de receptores.
La solución de enrutamiento multicast
Enrutamiento multicast resuelve el problema por los propios routers de red, que se replican y reenviar paquetes a través de la ruta óptima
a todos los miembros de un grupo.
Los estándares del IETF que permiten el enrutamiento multicast son los siguientes:
• Clase D del espacio de direcciones IPv4 que está reservado para el tráfico de multidifusión. Cada dirección IP multicast representan un grupo
arbitrario de los destinatarios.
• Los Protocolo de pertenencia a grupos de Internet ( IGMP) permite a un receptor indicarle a la red que es un miembro de un grupo de
multidifusión particular.
• Multicast independiente de protocolo (PIM) es un grupo de protocolos de enrutamiento para decidir el camino óptimo para los paquetes de
multidifusión.
Principios subyacentes
funciones de encaminamiento de multidifusión en el principio de que un receptor de interés se une a un grupo para una multidifusión mediante el
protocolo IGMP. routers PIM pueden duplicar y enviar paquetes a todos los miembros de dicho grupo multicast, creando así una árbol de la
distribución para el flujo de paquetes. En lugar de adquirir nueva información de la red, PIM utiliza la información de enrutamiento de los
protocolos existentes, como OSPF, para decidir el camino óptimo.
Reverse Path Forwarding
Un mecanismo clave en el proceso de encaminamiento de multidifusión es Reverse Path Forwarding. Para el tráfico de unidifusión, es un
router ocupa sólo de destino del paquete. Con multicast, el router también se refiere a una fuente de paquetes, ya que reenvía el paquete
en los caminos que son conocidos por ser aguas abajo, lejos de la fuente del paquete. Este enfoque se adopta para evitar bucles en el
árbol de la distribución.
Encaminamiento a la interfaz correcta
Por defecto, los paquetes de multidifusión se encaminan por NetDefendOS a la núcleo interfaz (en otras palabras, a NetDefendOS sí mismo). reglas
SAT Multiplex se establecen en la norma IP establecida con el fin de realizar la remisión a las interfaces correctas. Esto se demuestra en los
ejemplos descritos más adelante.
Nota: La capacidad de multidifusión interfaz tiene que estar Encendido o Auto
Para multidifusión para funcionar con una interfaz Ethernet en cualquier servidor de seguridad NetDefend, que interfaz debe tener
un manejo conjunto de multidifusión a En o Auto. Para más detalles sobre este
220
4.6.2. Multicast Forwarding con SAT Reglas Capítulo 4. Enrutamiento
Multiplex
véase la Sección 3.4.2, “Interfaces Ethernet”.
4.6.2. Multicast Forwarding con SAT Reglas Multiplex

La regla SAT Multiplex se utiliza para lograr la duplicación y transmisión de paquetes a través de más de una interfaz. Esta función
implementa el reenvío de multidifusión en NetDefendOS, donde un paquete de multidifusión se envía a través de varias interfaces.
Tenga en cuenta que, dado que esta regla prevalece sobre las tablas de encaminamiento normales, los paquetes que deben ser duplicados por la regla
múltiplex tiene que ser encaminado a la núcleo interfaz.
Por defecto, el rango de IP multicast 224.0.0.0/4 pasan siempre a núcleo y no tiene que ser añadido manualmente a las tablas de
enrutamiento. Cada interfaz de salida especificada de forma individual se puede configurar con la traducción de direcciones estática de la
dirección de destino. los Interfaz en el campo Interfaz / Net Tupla diálogo puede dejarse vacío si el Dirección IP campo se establece. En
este caso, la interfaz de salida será determinado por una consulta de rutas en la dirección IP especificada.
La regla múltiplex puede funcionar en uno de dos modos:
• El uso de IGMP
El flujo de tráfico especificado por la norma múltiplex debe haber sido solicitada por los hosts que utilizan IGMP antes de que los paquetes de
multidifusión se envían a través de las interfaces especificadas. Este es el comportamiento por defecto de NetDefendOS.
• No utilizar IGMP
El flujo de tráfico será enviada de acuerdo con las interfaces especificadas directamente sin ninguna inferencia de IGMP.
Nota: Un Permitir o también se necesita regla NAT
Dado que la regla es un múltiplex SAB regla, una Permitir o NAT regla también tiene que ser especificado, así como la regla
múltiplex.
4.6.2.1. Reenvío de multidifusión - Sin traducción de direcciones
Este escenario describe cómo configurar el reenvío de multidifusión IGMP junto con. El remitente es de multidifusión 192.168.10.1 y genera
las secuencias de multidifusión 239.192.10.0/24:1234. Estas secuencias de multidifusión deben ser enviados desde la interfaz WAN a
través de las interfaces IF1, IF2 y if3. Las corrientes sólo deben ser enviados si algunos anfitrión ha pedido a las corrientes que utilizan el
protocolo IGMP.
El ejemplo a continuación sólo cubre la parte de reenvío de multidifusión de la configuración. La configuración IGMP se puede encontrar
más adelante en Sección 4.6.3.1, “Reglas de configuración IGMP - Sin traducción de direcciones”.
221
Multiplex
Figura 4.14. Reenvío de multidifusión - Sin traducción de direcciones
Nota: las reglas del SAT Multiplex deben tener una coincidencia de regla de permiso
Recuerde agregar una Permitir regla que coincide con el SAT Multiplex regla.
La regla de correspondencia también podría ser una NAT gobernar para la traducción de direcciones de origen (véase más
adelante), pero no puede ser una FwdFast o SAB regla.
Ejemplo 4.14. Reenvío de multidifusión de tráfico utilizando la Regla SAT Multiplex
En este ejemplo, vamos a crear una regla múltiplex en orden para enviar los grupos de multidifusión 239.192.10.0/24:1234 a las interfaces IF1, IF2 y IF3.
Todos los grupos tienen el mismo remitente 192.168.10.1 que se encuentra en algún lugar detrás de la interfaz WAN.
Los grupos de multidifusión sólo deben ser remitidos a las interfaces de salida si los clientes detrás de esas interfaces han pedido a los grupos que
utilizan IGMP. Los siguientes pasos se deben realizar para configurar el reenvío real del tráfico de multidifusión. IGMP tiene que ser configurado por
separado.
Interfaz web
A. Crear un servicio personalizado para multidifusión llamada multicast_service:
1. Ir a: Objetos> Servicios> Añadir> TCP / UDP
2. Ahora ingrese:
• Nombre: multicast_service
• Tipo: UDP
222
Multiplex
• Destino: 1234
B. Crear una regla de IP:
1. Ir a: Reglas> Reglas IP> Agregar> Regla IP
2. Bajo General entrar.
• Nombre: un nombre para la regla, por ejemplo, Multicast_Multiplex
• Acción: múltiplex SAT
• Servicio: multicast_service
3. Bajo Filtro de direcciones entrar:
• Interfaz de origen: pálido
• Fuente de red: 192.168.10.1
• Interfaz de destino: núcleo
• Red de destino: 239.192.10.0/24
4. Haga clic en el múltiplex SAT ficha y añadir el interfaces de salida IF1, IF2 y if3 uno a la vez. Para cada interfaz,
dejar el Dirección IP campo en blanco ya que ninguna traducción de direcciones de destino es buscado.
5. Asegúrese de que el comunicarse con arreglo IGMP casilla de verificación se establece
Creación de reglas Multiplex con la CLI
La creación de reglas de multiplexación a través de la CLI requiere una explicación adicional.
Primero el IPRuleset, en este ejemplo principal, necesita ser seleccionada como la categoría actual:
GW-mundo: /> principal cc IPRuleset
El comando CLI para crear la regla múltiplex es entonces:
GW-mundo: / principal> añadir iprule

SourceNetwork = <SRCNET>
SourceInterface = <srcif>
DestinationInterface = <srcif>
DestinationNetwork = <destnet> Acción =
Servicio MultiplexSAT = <servicio>
MultiplexArgument = {outif1; IP1}, {outif2; IP2}, {outif3; IP3} ...
Los dos valores { outif; ip} representan una combinación de interfaz de salida y, si se necesita traducción de direcciones de un grupo, una
dirección IP.
Si, por ejemplo, multiplexación del grupo de multidifusión 239.192.100.50 se requiere para las interfaces de salida IF2 y if3, a
continuación, el comando para crear la regla sería:
GW-mundo: / principal> añadir iprule

SourceNetwork = <SRCNET> SourceInterface =
<IF1> DestinationInterface = DestinationNetwork
núcleo = 239.192.100.50 Action = Servicio
MultiplexSAT = <servicio>
223
Multiplex
MultiplexArgument = {if2;}, {if3;}
La interfaz de destino es núcleo ya que 239.192.100.50 es un grupo de multidifusión. Ninguna traducción de direcciones de 239.192.100.50 se añadió,
pero si es necesario para, por ejemplo, IF2 entonces el argumento final sería:
MultiplexArgument = {if2; <new_ip_address>}, {if3;}
4.6.2.2. Reenvío de multidifusión - Escenario traducción de direcciones
Figura 4.15. Reenvío de multidifusión - Traducción de direcciones
Este escenario se basa en el escenario anterior, pero esta vez el grupo de multidifusión se traduce. Cuando las secuencias de
multidifusión 239.192.10.0/24 se reenvían a través de la interfaz IF2, los grupos de multidifusión deberían traducirse en 237.192.10.0/24.
Ninguna traducción de direcciones se debe hacer cuando se reenvían a través de la interfaz IF1. La configuración de las reglas de IGMP
correspondientes se puede encontrar a continuación en Sección 4.6.3.2, “Traducción de direcciones de Reglas IGMP Configuración”.
Propina
Como se señaló anteriormente, recuerde agregar una regla de permiso a juego la regla SAT Multiplex.
Ejemplo 4.15. Reenvío de multidifusión - Traducción de direcciones
La siguiente regla SAT Multiplex necesita ser configurado para que coincida con el escenario descrito anteriormente:
Interfaz web
A. Crear un servicio personalizado para multidifusión llamada multicast_service:
1. Ir a: Objetos> Servicios> Añadir> TCP / UDP
2. Ahora ingrese:
• Nombre: multicast_service
224
4.6.3. Configuración IGMP Capítulo 4. Enrutamiento
• Tipo: UDP
• Destino: 1234
B. Crear una regla de IP:
2. Bajo General entrar.
• Nombre: un nombre para la regla, por ejemplo, Multicast_Multiplex
• Acción: múltiplex SAT
• Servicio: multicast_service
• Fuente de red: 192.168.10.1
• Red de destino: 239.192.10.0/24
4. Haga clic en el múltiplex SAT lengüeta
5. Agregar interfaz IF1 pero dejar el Dirección IP vacío
6. Agregar interfaz IF2 pero esta vez, introduzca 237.192.10.0 como el Dirección IP
7. Asegúrese de que el Comunicarse con arreglo IGMP casilla de verificación está activada
Nota: Reemplazar Permitir que con NAT para la traducción IP de origen
Si se requiere la traducción de direcciones de la dirección de origen, la regla Permitir siguiendo la regla SAT Multiplex
debe sustituirse por una regla NAT.
4.6.3. Configuración IGMP

IGMP de señalización entre los hosts y routers se pueden dividir en dos categorías:
• Los informes IGMP
Los informes se envían desde los hosts hacia el router cuando un host quiere suscribirse a nuevos grupos de multidifusión o cambiar las
suscripciones actuales de multidifusión.
• consultas IGMP
Las consultas son mensajes IGMP enviados desde el router hacia los anfitriones con el fin de asegurarse de que no va a cerrar cualquier
corriente que algunos anfitrión todavía quiere recibir.
Normalmente, dos tipos de normas tienen que ser especificados para IGMP para funcionar pero hay dos excepciones:
1. Si la fuente de multidifusión se encuentra en una red conectada directamente al router, no se necesita ninguna regla de consulta.
2. Si un router vecino está estáticamente configurado para suministrar un flujo de multidifusión a la NetDefend Firewall, una consulta IGMP
sería también no tiene que ser especificado.
225
NetDefendOS soporta dos modos de funcionamiento IGMP:
• Modo Snoop
• Modo Proxy
El funcionamiento de estos dos modos se muestran en los siguientes ejemplos:
Figura 4.16. Modo de multidifusión Snoop
Figura 4.17. Modo Proxy multidifusión
En Modo de Snoop, la NetDefend Firewall actuará de forma transparente entre los anfitriones y otro router IGMP. No enviará
ningún consultas IGMP. Sólo se enviará consultas e informes entre el otro router y los anfitriones.
226
En Modo de proxy, el servidor de seguridad actuará como un enrutador IGMP hacia los clientes y enviar activamente consultas. Hacia el router aguas
arriba, el servidor de seguridad estará actuando como un huésped normal, la suscripción a grupos de multidifusión en nombre de sus clientes.
4.6.3.1. Reglas IGMP Configuración - Sin traducción de direcciones
Este ejemplo describe las normas necesarias para la configuración de IGMP IGMP según el escenario Sin traducción de direcciones se describe
anteriormente. Se requiere que el router para actuar como anfitrión hacia el enrutador de aguas arriba y por lo tanto IGMP debe estar configurado para
funcionar en modo de proxy.
Ejemplo 4.16. IGMP - Sin traducción de direcciones
El siguiente ejemplo se requiere un grupo de interfaz configurada IfGrpClients incluyendo interfaces IF1, IF2 y if3. La dirección IP del router IGMP aguas
arriba es conocido como UpstreamRouterIP.
Se necesitan dos reglas. La primera de ellas es una regla informe que permite a los clientes detrás de las interfaces IF1, IF2 y if3 para la suscripción de los grupos de
multidifusión 239.192.10.0/24. La segunda regla, es una regla de consulta que permite que el router aguas arriba para consultar a los grupos de multidifusión que han
solicitado los clientes.
Los siguientes pasos deben ser ejecutados para crear las dos reglas.
Interfaz web
A. Crear la primera Regla IGMP:
1. Ir a: Cables> IGMP> Reglas IGMP> Agregar> Regla IGMP
2. Bajo General entrar:
• Nombre: Un nombre adecuado para la regla, por ejemplo, Informes
• Tipo: Informe
• Acción: Apoderado
• Salida: WAN ( esta es la interfaz de relé)
• Interfaz de origen: lfGrpClients
• Fuente de red: if1net, if2net, if3net
• Red de destino: auto
• Fuente de multidifusión: 192.168.10.1
• Destino de multidifusión: 239.192.10.0/24
B. Crear la segunda regla IGMP:
1. Una vez más ir a Cables> IGMP> Reglas IGMP> Agregar> Regla IGMP
• Nombre: Un nombre adecuado para la regla, por ejemplo, consultas
• Tipo: Consulta
• Salida: (IfGrpClients esta es la interfaz de relé)
227
• Fuente de red: UpstreamRouterIp
• Grupo de multidifusión: 239.192.10.0/24
4.6.3.2. Reglas IGMP Configuración - traducción de direcciones
Los siguientes ejemplos ilustran las reglas IGMP necesarios para configurar IGMP según el escenario de traducción de direcciones se
describe anteriormente en Sección 4.6.2.2, “el reenvío de multidifusión - Escenario traducción de direcciones”. Necesitamos dos reglas de
informe IGMP, uno para cada interfaz de cliente. La interfaz
IF1 no utiliza la traducción de direcciones y IF2 traduce el grupo de multidifusión a 237.192.10.0/24. También tenemos dos reglas de
consulta, una para la dirección traducida y la interfaz, y uno para la dirección original hacia IF1.
Dos ejemplos se proporcionan, uno para cada par de informe y regla de consulta. El router multicast IP utiliza aguas arriba
UpstreamRouterIP.
Ejemplo 4.17. IF1 Configuración
Los siguientes pasos necesita ser ejecutado para crear el par de informe y consulta de la regla IF1 que utiliza ninguna traducción de direcciones.
Interfaz web
• Nombre: Un nombre adecuado para la regla, por ejemplo, Reports_if1
• Tipo: Informe
• Interfaz de origen: IF1
• Fuente de red: if1net
228
• Nombre: Un nombre adecuado para la regla, por ejemplo, Queries_if1
• Tipo: Consulta
• Salida: IF1 ( esta es la interfaz de relé)
Ejemplo 4.18. IF2 Configuración - Grupo de Traducción
Los siguientes pasos necesita ser ejecutado para crear el par de informe y regla de consulta para IF2 que se traduce al grupo de multidifusión. Tenga en
cuenta que el grupo traduce, por tanto, los informes IGMP incluye las direcciones IP traducidas y las consultas contendrá las direcciones IP originales
Interfaz web
• Nombre: Un nombre adecuado para la regla, por ejemplo, Reports_if2
• Tipo: Informe
• Interfaz de origen: IF2
• Fuente de red: if2net
229
4.6.4. Ajustes avanzados IGMP Capítulo 4. Enrutamiento
• Nombre: Un nombre adecuado para la regla, por ejemplo, Queries_if2
• Tipo: Consulta
• Salida: IF2 ( esta es la interfaz de relé)
Ajustes avanzados IGMP
Hay una serie de configuraciones avanzadas IGMP que son globales y se aplican a todas las interfaces que no tienen
valores especificados explícitamente IGMP para ellos.
4.6.4. Ajustes avanzados IGMP
Auto Agregar ruta central de múltiples
Este ajuste se añade automáticamente rutas de base en todas las tablas de enrutamiento para el rango de direcciones IP multicast
224.0.0.0/4. Si el ajuste está desactivado, los paquetes de multidifusión pueden ser enviadas de acuerdo a la ruta por defecto.
Defecto: Activado
IGMP Antes de Reglas
Para el tráfico IGMP, pasar por alto el conjunto de reglas IP normal y consultar el conjunto de reglas IGMP.
Defecto: Activado
IGMP reaccionan a propias consultas
El servidor de seguridad debe responder siempre con los informes de pertenencia IGMP, incluso a las consultas procedentes de sí mismo.
configuración global en las interfaces sin una IGMP Configuración primordial.
IGMP versión compatible más baja
mensajes IGMP con una versión menor que este se registrarán y se ignoran. configuración global en las interfaces sin una IGMP
Configuración primordial.
230
Defecto: IGMPv1
Router IGMP versión
La versión del protocolo IGMP que se utiliza a nivel mundial en las interfaces sin una configuración IGMP configurado. Varios enrutadores
de consulta IGMP en la misma red deben utilizar la misma versión de IGMP. configuración global en las interfaces sin una IGMP
Defecto: IGMPv3
IGMP último miembro intervalo de consulta
El tiempo máximo en milisegundos hasta un host tiene que enviar una respuesta a un grupo o consulta específica de grupo y de
código. configuración global en las interfaces sin una IGMP Configuración primordial.
Defecto: 5000
IGMP Max Total de Solicitudes
El número máximo global de mensajes IGMP para procesar cada segundo.
Defecto: 1000
Las solicitudes IGMP máxima de la interfaz
El número máximo de solicitudes por interfaz y segundo. configuración global en las interfaces sin una IGMP Configuración primordial.
Defecto: 100
Intervalo de consulta IGMP
El intervalo en milisegundos entre consultas generales enviadas por el dispositivo para actualizar su estado IGMP. configuración global en las
interfaces sin una IGMP Configuración primordial.
Defecto: 125.000
IGMP respuesta de consulta de intervalo
El tiempo máximo en milisegundos hasta que un anfitrión tiene que enviar una respuesta a una consulta. configuración global en las interfaces sin una
IGMP Configuración primordial.
Defecto: 10000
Variable IGMP Robustez
IGMP es robusto a (IGMP Robustez Variable - 1) pérdidas de paquetes. configuración global en las interfaces sin una IGMP
Defecto: 2
Conde de inicio de consultas IGMP
El servidor de seguridad enviará IGMP inicio de consultas contar las consultas generales con un intervalo de
231
IGMPStartupQueryInterval en el arranque. configuración global en las interfaces sin una IGMP Configuración primordial.
Defecto: 2
IGMP inicio intervalo de consulta
El intervalo de consultas generales en milisegundos utilizados durante la fase de arranque. configuración global en las interfaces sin una IGMP
Defecto: 30000
IGMP Unsolicated Intervalo de informe
El tiempo en milisegundos entre repeticiones de un informe inicial de miembros. configuración global en las interfaces sin una IGMP
Defecto: 1000
232
4.7. Modo transparente Capítulo 4. Enrutamiento
4.7. Modo transparente
Uso de modo transparente
los NetDefendOS Modo transparente característica permite un Firewall NetDefend para ser colocado en un punto en una red sin ninguna
reconfiguración de la red y sin hosts ser consciente de su presencia. Todas las características NetDefendOS se pueden utilizar para
supervisar y gestionar el tráfico que fluye a través de ese punto. NetDefendOS pueden permitir o denegar el acceso a diferentes tipos de
servicios (por ejemplo HTTP) y en direcciones especificadas. Siempre que los usuarios acceden a los servicios permitidos, no van a ser
consciente de la presencia del NetDefend Firewall.
Por lo tanto, la seguridad y el control de la red se pueden mejorar de manera significativa con el despliegue de un NetDefend Firewall en modo
transparente, pero mientras que la perturbación a los usuarios y los host existentes se reduce al mínimo.
interruptor dirige
Modo transparente está habilitado mediante la especificación de una cambiar la ruta en lugar de una norma Ruta en las tablas de enrutamiento.
La ruta interruptor normalmente especifica que la red todas las redes de se encuentra en una interfaz específica. NetDefendOS luego utiliza
intercambios de mensajes ARP través de la red Ethernet conectado para identificar y seguir la pista de qué direcciones IP de host se encuentran
en esa interfaz (esto se explica más adelante). No debe haber una ruta no interruptor normal para esa misma interfaz.
En ciertas circunstancias habituales, menos, rutas de conmutación pueden tener un rango de red especificada en lugar de
todos-NET. Esto es por lo general cuando una red se divide entre dos interfaces, pero el administrador no sabe exactamente qué
usuarios están en qué interfaz.
Escenarios de uso
Dos ejemplos de uso modo transparente son:
• Implementación de la seguridad entre los usuarios
En un entorno corporativo, puede haber una necesidad de proteger los recursos informáticos de los diferentes departamentos entre sí. El
departamento de finanzas puede requerir el acceso a sólo un conjunto limitado de servicios (por ejemplo, HTTP) en los servidores del
departamento de ventas, mientras que el departamento de ventas podría requerir el acceso a un conjunto restringido de forma similar de
aplicaciones en los servidores del departamento de finanzas. Mediante la implementación de un solo servidor de seguridad NetDefend entre
redes físicas de los dos almacenes, un acceso transparente, pero controlado, se puede lograr.
• Control de acceso a Internet
Una organización permite el tráfico entre Internet externa y un rango de direcciones IPv4 públicas en una red interna. Modo
transparente puede controlar lo que se permite el tipo de servicio a estas direcciones IP y en qué dirección. Por ejemplo los
únicos servicios permitidos en una situación de este tipo pueden ser el acceso HTTP a Internet. Este uso se trata en mayor
profundidad más adelante en
Sección 4.7.2, “Habilitación de acceso a Internet”.
Comparación con el modo de enrutamiento
El NetDefend Firewall puede funcionar en dos modos: Modo de enrutamiento usando rutas no interruptor o
Modo transparente el uso de rutas de conmutación.
233
4.7.1. Visión de conjunto Capítulo 4. Enrutamiento
Con rutas no interruptor, el NetDefend Firewall actúa como un router y enrutamiento opera en la capa 3 del modelo OSI. Si el servidor de
seguridad se coloca en una red por primera vez, o si los cambios de topología de red, la configuración de enrutamiento debe, por tanto,
comprobarse y ajustarse para asegurar que la tabla de enrutamiento es consistente con el nuevo diseño. Reconfiguración de los valores
IP puede ser necesaria para los pre-existentes routers y servidores protegidos. Esto funciona bien cuando se desea un control exhaustivo
sobre enrutamiento.
Con rutas de conmutación, la NetDefend Firewall funciona de modo transparente y se asemeja a una Nivel 2 de OSI conmutador en
el que las pantallas de los paquetes IP y los reenvía de forma transparente a la interfaz correcta, sin modificar la información de
origen o destino en los niveles de IP o Ethernet. Esto se consigue mediante NetDefendOS Hacer un seguimiento de las
direcciones MAC de los anfitriones y NetDefendOS conectados permite a las redes Ethernet físicos en cada lado de la NetDefend
Firewall para actuar como si fueran una única red IP lógico. (Ver Apéndice D, El Marco OSI para una visión general del modelo de
capas OSI.)
Dos beneficios de modo transparente a través de enrutamiento convencional son:
• Un usuario puede pasar de una interfaz a otra de una manera "plug-n-play", sin cambiar su dirección IP (asumiendo su
dirección IP es fija). El usuario todavía puede obtener los mismos servicios que antes (por ejemplo HTTP, FTP) sin ninguna
necesidad de cambiar las rutas.
• El mismo rango de direcciones de red puede existir en varias interfaces.
Nota: transparente y modo de enrutamiento se puede combinar
Modo transparente y el modo de enrutamiento pueden funcionar juntos en una sola NetDefend Firewall. Rutas de
interruptor pueden ser definidos junto a vías no estándar del conmutador aunque los dos tipos no se pueden
combinar para la misma interfaz. Una interfaz opera en un modo o en otro.
También es posible crear un caso híbrido mediante la aplicación de traducción de direcciones en el tráfico de otra manera
transparente.
Cómo Funciones del modo transparente
En modo transparente, NetDefendOS permite transacciones ARP pasen a través del NetDefend Firewall, y determina a partir de
este tráfico ARP la relación entre las direcciones IP, direcciones físicas y las interfaces. NetDefendOS recuerda esta información
de dirección con el fin de retransmitir los paquetes IP al receptor correcto. Durante las transacciones ARP, ninguno de los criterios
de valoración serán conscientes de la NetDefend Firewall.
Al comenzar la comunicación, un anfitrión lo localizar la dirección física del host de destino mediante la difusión de una solicitud ARP. Esta
solicitud es interceptada por NetDefendOS y en ella se establece una entrada ARP interna Transacción Estado y transmite la petición ARP
a todas las otras interfaces de conexión de rutas, excepto la interfaz de la petición ARP se recibió el. Si NetDefendOS recibe una
respuesta ARP desde el destino dentro de un periodo de tiempo de espera configurable, que va a transmitir la respuesta al remitente de la
solicitud, utilizando la información almacenada previamente en la entrada ARP Transacción Estado.
Durante la operación ARP, NetDefendOS aprende la información de dirección de origen para ambos extremos de la solicitud y la respuesta.
NetDefendOS mantiene dos tablas para almacenar esta información: la memoria de contenido direccionable (CAM) y Capa 3 Cache. La tabla CAM
seguimiento de las direcciones MAC disponibles en una interfaz dada y la memoria caché de capa 3 se asigna una dirección IP a la dirección MAC y
la interfaz. A medida que la caché de nivel 3 sólo se utiliza para el tráfico de IP, las entradas de la capa 3 de caché se almacenan como entradas de
host individuales en la tabla de enrutamiento.
Para cada paquete IP que pasa a través del NetDefend Firewall, una consulta de rutas para el destino está hecho. Si la ruta del paquete
coincide con una cambiar la ruta o una entrada de caché de capa 3 en la tabla de enrutamiento, NetDefendOS sabe que debe manejar
este paquete de una manera transparente. Si se dispone de una interfaz de destino y la dirección MAC en la ruta, NetDefendOS tiene la
información necesaria para
234
reenviar el paquete al destino. Si la ruta era una Cambiar la ruta, No hay información específica sobre el destino está
disponible y el servidor de seguridad tendrá que descubrir que el destino se encuentra en la red.
El descubrimiento se hace mediante el envío de NetDefendOS ARP, así como las solicitudes ICMP (ping), que actúa como remitente
la iniciación del paquete IP original para el destino en las interfaces especificadas en el Cambiar la ruta. Si no se recibe una
respuesta ARP, NetDefendOS actualizará la tabla CAM y Capa 3 Cache y reenviar el paquete al destino.
Si la tabla CAM o el caché de capa 3 está lleno, las tablas se vacían parcialmente de forma automática. Utilizando el mecanismo de
descubrimiento de enviar peticiones ARP e ICMP, NetDefendOS volverá a detectar destinos que pueden haber sido lavado.
Habilitar el modo transparente
Se requieren los siguientes pasos para habilitar el modo transparente NetDefendOS:
1. Las interfaces que son para ser transparente deben recogerse primero juntos en una sola Interfaz
Grupo objeto. Interfaces del grupo deben marcarse como equivalente de transporte blindado si son anfitriones de moverse
libremente entre ellos.
2. Un cambiar la ruta ahora se crea en la tabla de enrutamiento adecuada y el grupo de interfaz

asociado a ello. Cualquier vías no interruptor existente para interfaces del grupo deben ser retirados de la tabla de
enrutamiento.
para el Red parámetro en la ruta interruptor, especifique todas las redes de o alternativamente, especificar una red o rango
de direcciones IP que será transparente entre las interfaces (esta última opción se discute más adelante).
3. Crear las reglas IP adecuadas en la norma IP configurado para permitir el tráfico deseado fluya entre las interfaces que funcionan en
modo transparente.
Si ninguna restricción en absoluto va a ser colocado inicialmente en el tráfico que fluye en modo transparente, se podría añadir la
siguiente regla IP única pero se recomiendan las normas de PI más restrictivas.
Acción Interfaz src src Red Dest dest interfaz de red Servicio
Permitir alguna todas las redes de alguna todas las redes de all_services
la restricción de la Red Parámetro
Como NetDefendOS escucha el tráfico ARP, se añade continuamente rutas de host individuales a la tabla de enrutamiento a medida que
descubre en qué direcciones IP de interfaz se encuentran. Como su nombre indica, solo rutas anfitriones dan una ruta para una única dirección
IP. El número de estas rutas, por tanto, puede llegar a ser grande como las conexiones se realizan a más y más hosts.
Una ventaja clave de la especificación de una red o un rango de direcciones IP en lugar de todas las redes de para el
Red parámetro es que el número de rutas generadas automáticamente por NetDefendOS será significativamente más pequeño.
sólo se añadió una ruta de host solo si la dirección IP cae dentro de la red o la dirección especificada. Reducir el número de
rutas añadidas reducirá la sobrecarga de procesamiento de consultas de rutas.
La especificación de un intervalo de red o la dirección es, por supuesto, sólo es posible si el administrador tiene algún conocimiento de la
topología de la red y, a menudo esto puede no ser el caso.
Switch rutas múltiples están conectados entre sí
Los pasos de configuración mencionados anteriormente describen la colocación de todas las interfaces en un solo objeto grupo interfaz que se asocia
con una sola ruta interruptor.
235
Una alternativa a una ruta interruptor es no utilizar un grupo interfaz, pero en lugar de utilizar una ruta de conmutador individual para cada
interfaz. El resultado final es el mismo. Todas las rutas de conmutación definidos en una sola tabla de enrutamiento estarán conectados
entre sí por NetDefendOS y no importa cómo las interfaces están asociadas con las rutas de conmutación, existirán transparencia entre
ellos.
Por ejemplo, si las interfaces IF1 a IF6 aparecen en un interruptor dirige en la tabla de enrutamiento UN, las interconexiones resultantes serán como se
ilustra a continuación.
Conectando entre sí cambiar las rutas de esta manera sólo se aplica, sin embargo, si todas las interfaces están asociadas a la misma tabla de
enrutamiento. La situación en la que no lo son, se describe a continuación.
La creación de redes de modo transparente por separado
Si ahora tenemos dos tablas de enrutamiento UN y segundo de manera que las interfaces IF1, IF2 y if3 aparecer en una ruta interruptor en la tabla UN e
interfaces IF4, IF5, IF6 aparecer en una ruta interruptor en la tabla SEGUNDO, las interconexiones resultantes serán como se ilustra a continuación.
El diagrama anterior ilustra cómo interconexiones ruta de conmutación para una tabla de enrutamiento son totalmente independientes de las
interconexiones de ruta interruptor para otra tabla de enrutamiento. Mediante el uso de diferentes tablas de enrutamiento de esta manera
podemos crear dos redes separadas en modo transparente.
La tabla de enrutamiento se utiliza para una interfaz es decidido por el Tabla de pertenencia de enrutamiento parámetro para cada interfaz.
Para implementar redes separadas modo transparente, las interfaces deben tener su
Tabla de pertenencia de enrutamiento Reiniciar.
Por defecto, todas las interfaces tienen Tabla de pertenencia de enrutamiento listo para ser todas tablas de enrutamiento. Por defecto, una principal tabla
de enrutamiento siempre existe y una vez que una tabla de enrutamiento adicional se ha definido, el
Afiliación para cualquier interfaz entonces se puede configurar para ser esa tabla nueva.
Modo transparente con VLAN
Si el modo transparente está siendo configurado para todos los hosts y usuarios en una VLAN a continuación, la técnica descrita anteriormente de
utilizar múltiples tablas de encaminamiento también se aplica. Una tabla de enrutamiento dedicada debe definirse para cada ID de VLAN y rutas de
conmutación entonces debe definirse en que la tabla de enrutamiento que se refiere a los interfaces VLAN. La razón para hacer esto es restringir las
peticiones ARP para las interfaces en los que se define la VLAN.
236
Para explicar mejor esto, consideremos una VLAN VLAN5 que se define en dos interfaces físicas llamadas IF1 y IF2. Ambas
interfaces físicas tienen interruptor dirige definen para que operen en modo transparente. Dos interfaces VLAN con el
mismo ID de VLAN se definen en las dos interfaces físicas y se llaman vlan5_if1 y vlan5_if2.
Para la VLAN para operar en modo transparente se crea una tabla de enrutamiento con el orden establecido en solamente
y que contiene las siguientes 2 rutas de conmutación:
Red Interfaz
todas las redes de vlan5_if1
todas las redes de vlan5_if2
En lugar de crear entradas individuales, un grupo de interfaz podría ser utilizado en la tabla de enrutamiento anteriormente.
No hay otras rutas no deben ser conmutada en esta tabla de enrutamiento porque el tráfico que sigue a estas rutas serán etiquetados de forma
incorrecta con el ID de VLAN.
Por último, hay que asociar esta tabla de enrutamiento con su interfaz de VLAN mediante la definición de una Política basada regla de enrutamiento.
Habilitar el modo transparente directamente en interfaces
La forma recomendada para habilitar el modo transparente es añadir rutas de conmutación, como se describió anteriormente. Un método alternativo es
para habilitar el modo transparente directamente en una interfaz (una casilla de verificación para este se proporciona en las interfaces gráficas de
usuario). Cuando se activa de esta manera, las rutas de conmutación por defecto se añaden automáticamente a la tabla de encaminamiento para la
interfaz y cualquier ruta no interruptor correspondiente se eliminan automáticamente. Este método se utiliza en los ejemplos detallados se dan más
adelante.
Alta disponibilidad y modo transparente
Rutas de conmutación no se pueden utilizar con alta disponibilidad y de modo transparente, por tanto, cierto no se puede implementar con un
clúster de alta disponibilidad NetDefendOS.
En lugar de interruptor dirige la solución en una configuración de alta disponibilidad es utilizar proxy ARP para separar dos redes. Esto se
describe adicionalmente en Sección 4.2.6, “proxy ARP”. La desventaja fundamental de este enfoque es que, en primer lugar, los clientes no
serán capaces de moverse entre las interfaces NetDefendOS, conservando la misma dirección IP. En segundo lugar, y más importante aún,
sus rutas de red tendrán que ser configurado manualmente para el proxy ARP.
Modo transparente con DHCP
En los escenarios del modo más transparente, la dirección IP de los usuarios está predefinido y fijo y no es inverosímil dinámicamente
mediante DHCP. De hecho, la ventaja clave de modo transparente es que estos usuarios pueden conectar en cualquier lugar y NetDefendOS
puede encaminar su tráfico correctamente después de determinar su paradero y su dirección IP a través de intercambios ARP.
Sin embargo, un servidor DHCP podría ser utilizado para asignar direcciones IP del usuario en una configuración de modo transparente si se desea.
Con conexiones de Internet, puede ser propio servidor DHCP del ISP que entregar direcciones IPv4 públicas a los usuarios. En este caso,
NetDefendOS DEBE ser configurado correctamente como una DHCP retransmisor para reenviar el tráfico DHCP entre los usuarios y el servidor
DHCP.
Puede ser el caso de que no se conoce la dirección IP exacta del servidor DHCP, pero lo que sí se sabe es la interfaz Ethernet a la que está
conectado el servidor DHCP. Para habilitar las peticiones DHCP a ser transmitida a través del cortafuegos, son necesarios los siguientes
pasos:
• Definir una ruta estática que las rutas de dirección IPv4 255.255.255.255 a la interfaz en la que se encuentra el servidor
DHCP.
237
4.7.2. Activación del acceso a Internet Capítulo 4. Enrutamiento
• Definir una entrada estática tabla ARP que asigna la dirección MAC FF-FF-FF-FF-FF-FF a la dirección IPv4 255.255.255.255.
• Configurar la retransmisión DHCP para la dirección IP del servidor DHCP 255.255.255.255.
4.7.2. Activación del acceso a Internet
Un malentendido común cuando la configuración del modo transparente es cómo configurar correctamente el acceso a la Internet pública. A
continuación se muestra un escenario típico en el que un número de usuarios en una red IP llama
Lannet acceder a Internet a través de la puerta de enlace del ISP con la dirección IP gw-ip.
Figura 4.18. El acceso a Internet de modo no transparente
La ruta no interruptor general se necesita para permitir el acceso a Internet sería la siguiente:
tipo de ruta Interfaz Destino Puerta
Además de interruptores IF1 todas las redes de gw-ip
Ahora vamos a suponer que el NetDefend Firewall es para operar en modo transparente entre los usuarios y el ISP. La ilustración
siguiente muestra cómo, utilizando rutas de conmutación, la NetDefend Firewall está configurado para ser transparente entre la
red Ethernet física interna ( pn2) y la red Ethernet a la puerta de enlace del ISP ( pn1). Las dos redes Ethernet se tratan como una
única red IP lógica en modo transparente con un rango de direcciones común (en este ejemplo 192.168.10.0/24).
Figura 4.19. El acceso a Internet transparente Modo
En esta situación, cualquier no-switch "normal" todas las redes de rutas de la tabla de enrutamiento deben ser retirados y reemplazados con una todas
las redes de ruta interruptor (no hacer esto es un error común durante la instalación). Esta ruta conmutador permitirá el tráfico de los usuarios locales
en la red Ethernet pn2 para encontrar la puerta de enlace del ISP.
Estos mismos usuarios también deben configurar el gateway de Internet en sus equipos locales para que sean los proveedores de Internet
238
4.7.3. Escenarios de modo transparente Capítulo 4. Enrutamiento
Dirección de la entrada. En el modo no transparente IP de la pasarela del usuario sería la dirección IP del NetDefend Firewall pero en modo
transparente de puerta de enlace del ISP está en la misma red IP lógico como los usuarios y por lo tanto será gw-ip.
NetDefendOS también pueden necesitar acceso a Internet
El NetDefend Firewall también necesita encontrar la Internet pública si se va a realizar funciones tales como NetDefendOS búsqueda de DNS,
filtrado de contenido Web o Anti-Virus y actualización IDP. Para permitir esto, necesitan vías no de conmutación individuales "normales" que se
creará en la tabla de enrutamiento para cada dirección de IP que especifica la interfaz que lleva a la ISP y la dirección de puerta de enlace IP
ISPs.
Si las direcciones IPv4 que necesitan ser alcanzado por NetDefendOS son 85.12.184.39 y 194.142.215.15
a continuación, la tabla de enrutamiento completa para el ejemplo anterior sería:
tipo de ruta Interfaz Destino Puerta
Cambiar IF1 todas las redes de
Cambiar IF2 todas las redes de
Además de interruptores IF1 85.12.184.39 gw-ip
Además de interruptores IF1 194.142.215.15 gw-ip
También tendrá que ser añadido a la norma IP configurada para permitir el acceso a Internet a través del servidor de seguridad NetDefend las normas
de propiedad intelectual correspondientes.
La agrupación de direcciones IP
Puede ser más rápido cuando se trata de muchas direcciones IP para agrupar todas las direcciones en un solo grupo objeto IP y luego
usar ese objeto en una sola ruta definida. En el ejemplo anterior, 85.12.184.39 y
194.142.215.15 podrían agruparse en un único objeto de esta manera.
El uso de NAT
NAT no debe ser habilitado para NetDefendOS en modo transparente, ya que, como se ha explicado anteriormente, el NetDefend Firewall está
actuando como un interruptor de traducción y dirección de nivel 2 se realiza en la capa IP OSI superior.
La otra consecuencia de no usar NAT es que las direcciones IP de los usuarios que acceden a Internet en general tienen que ser direcciones IPv4
públicas.
Si NATing necesita ser realizado en el ejemplo anterior para ocultar las direcciones individuales de Internet, tendría que
ser hecho por un dispositivo (posiblemente otro NetDefend Firewall) entre el
192.168.10.0/24 la red y la Internet pública. En este caso, las direcciones IPv4 privadas internas, podrían ser utilizados por los usuarios
de la red Ethernet pn2.
4.7.3. Escenarios de modo transparente
escenario 1
El servidor de seguridad en modo transparente se coloca entre un router de acceso a Internet y la red interna. El router se utiliza
para compartir la conexión a Internet con una única dirección IPv4 pública. La red NATeado interna detrás del cortafuegos está en
el espacio de direcciones 10.0.0.0/24. Los clientes de la red interna se les permite acceder a Internet a través del protocolo HTTP.
239
Figura 4.20. Transparente Escenario Modo 1
Ejemplo 4.19. Configuración de modo transparente para el Escenario 1
Interfaz web
Configurar las interfaces:
1. Ir a: Interfaces> Ethernet> Editar (WAN)
2. Ahora ingrese:
• Dirección IP: 10.0.0.1
• Red: 10.0.0.0/24
• Puerta de enlace predeterminada: 10.0.0.1
• Modo transparente: Habilitar
4. Ir a: Interfaces> Ethernet> Editar (LAN)
• Red: 10.0.0.0/24
• Modo transparente: Habilitar
Configurar las reglas:
2. Ahora ingrese:
• Nombre: HTTPAllow
• Servicio: http
240
• Interfaz de destino: alguna
• Fuente de red: 10.0.0.0/24
• Red de destino: todas las redes de (0.0.0.0/0)
escenario 2
Aquí el NetDefend Firewall en modo transparente separa los recursos del servidor de una red interna mediante la conexión a una
interfaz independiente sin la necesidad de diferentes rangos de direcciones.
Todos los hosts conectados a la LAN y DMZ (el interfaces LAN y DMZ) comparten el 10.0.0.0/24 espacio de dirección. Ya que esto se configura
utilizando el modo transparente cualquier dirección IP se puede utilizar para los servidores, y no hay ninguna necesidad de que las máquinas
de la red interna para saber si un recurso está en la misma red o colocado en la zona de distensión. Las máquinas de la red interna se les
permite comunicarse con un servidor HTTP en DMZ mientras que el servidor HTTP en la zona de distensión se puede llegar a través de
Internet. El NetDefend Firewall es transparente entre la DMZ y LAN pero el tráfico sigue siendo controlada por el conjunto de reglas IP.
Figura 4.21. Transparente Escenario Modo 2
Ejemplo 4.20. Configuración de modo transparente para el Escenario 2
configurar una cambiar la ruta sobre las interfaces LAN y DMZ para el rango de direcciones 10.0.0.0/24 ( asume la interfaz WAN ya está
configurado).
Interfaz web
Configurar las interfaces:
241
1. Ir a: Interfaces> Ethernet> Editar (LAN)
2. Ahora ingrese:
• Red: 10.0.0.0/24
• Modo transparente: Inhabilitar
• Añadir ruta para la interfaz de red: Inhabilitar
4. Ir a: Interfaces> Ethernet> Editar (DMZ)
• Red: 10.0.0.0/24
• Modo transparente: Inhabilitar
• Añadir ruta para la interfaz de red: Inhabilitar
Configuración de los grupos de interfaz:
1. Ir a: Interfaces> grupos de interfaces> Añadir> InterfaceGroup
2. Ahora ingrese:
• Nombre: TransparentGroup
• Seguridad / Transporte equivalente: Inhabilitar
• Interfaces: Seleccione LAN y DMZ
Configurar el enrutamiento:
1. Ir a: Cables> Principal tabla de enrutamiento> Añadir> SwitchRoute
2. Ahora ingrese:
• Interfaces conmutadas: TransparentGroup
• Red: 10.0.0.0/24
• Métrico: 0
Configurar las reglas:
2. Ahora ingrese:
• Nombre: HTTP-LAN a DMZ
• Servicio: http
• Interfaz de destino: DMZ
• Fuente de red: 10.0.0.0/24
• Red de destino: 10.1.4.10
242
4.7.4. Abarcando Soporte Árbol BPDU Capítulo 4. Enrutamiento
• Nombre: HTTP-WAN-a-DMZ
• Acción: SAB
• Servicio: http
• Fuente de red: todas las redes de
• Red de destino: wan_ip
• Traducir: Seleccionar destino IP
• Nueva dirección IP: 10.1.4.10
• Nombre: HTTP-WAN-a-DMZ
• Servicio: http
4.7.4. Abarcando Soporte Árbol BPDU

NetDefendOS incluye soporte para la transmisión de la Bridge Protocol Data Units ( BPDU) en todo el NetDefend Firewall. marcos
llevan mensajes BPDU Spanning Tree Protocol (STP) entre la capa 2 interruptores en una red. STP permite que los interruptores
para comprender la topología de la red y evitar las ocurrencias de bucles en la conmutación de paquetes.
El siguiente diagrama ilustra una situación en la que se producirían mensajes BPDU si el administrador permite a los interruptores para
ejecutar el protocolo STP. Dos Firewalls NetDefend están desplegados en modo transparente entre los dos lados de la red. Los interruptores
en cada lado de la firewall necesitan comunicarse y requieren NetDefendOS para retransmitir conmutar mensajes BPDU con el fin de que los
paquetes no lo hacen bucle entre los servidores de seguridad.
243
4.7.5. Configuración avanzada de modo Capítulo 4. Enrutamiento
transparente
Figura 4.22. Un escenario de retransmisión Ejemplo BPDU
Implementación de BPDU retransmisión
La aplicación retransmisión NetDefendOS BDPU sólo lleva mensajes STP. Estos mensajes STP pueden ser de tres tipos:
• El protocolo de árbol normal de expansión (STP)
• Rapid Spanning Tree Protocol (RSTP)
• Protocolo de árbol de expansión múltiple (MSTP)
• Propiedad de Cisco Protocolo TSVP + (por VLAN Spanning Tree Plus)
NetDefendOS comprueba el contenido de los mensajes BDPU para asegurarse de que se admite el tipo de contenido. Si no es así, la trama se dejó
caer.
Activación / desactivación BPDU retransmisión
BPDU retransmisión está desactivada por defecto y puede ser controlado a través de la configuración avanzada Retransmitir BPDU Spanning Tree. Registro
de los mensajes BPDU también puede ser controlado a través de este ajuste. Cuando está activado, todas las llamadas entrantes STP, RSTP y MSTP
mensajes BPDU se transmiten a todas las interfaces transparentes en la misma tabla de enrutamiento, excepto la interfaz de entrada.
4.7.5. Configuración avanzada de modo transparente
CAM para el aprendizaje L3 Cache Dest
Activar esta opción si el servidor de seguridad debe ser capaz de aprender el destino de los ejércitos mediante la combinación de información de la
dirección de destino y la información que se encuentra en la tabla CAM.
244
transparente
Defecto: Activado
decremento TTL
Active esta opción si el TTL debe ser disminuido cada vez que un paquete atraviesa el cortafuegos en modo transparente.
Tamaño dinámica CAM
Este ajuste se puede utilizar para configurar manualmente el tamaño de la tabla CAM. Normalmente Dinámica es el valor preferido de usar.
Defecto: Dinámica
Tamaño CAM
Si el ajuste dinámico de la CAM Tamaño no está activado, entonces este es el número máximo de entradas en cada tabla CAM.
Defecto: 8192
Tamaño dinámica L3C
Asignar el valor de Tamaño de caché L3 dinámicamente.
Defecto: Activado
Tamaño de caché L3
Esta configuración se utiliza para configurar manualmente el tamaño de la caché de capa 3. Habilitación Tamaño dinámica L3C se prefiere
normalmente.
Defecto: Dinámica
Transparencia ATS caducar
Define el tiempo de vida de una entrada sin respuesta ARP Transacción Estado (ATS) en cuestión de segundos. Los valores válidos son de 1-60
segundos.
Defecto: 3 segundos
Transparencia ATS Tamaño
Define el número total máximo de entradas ARP Transacción del Estado (ATS). Los valores válidos son 128-65536 entradas.
Defecto: 4096
Nota: La capacidad óptima ATS
Ambos Transparencia ATS caducar y Transparencia ATS Tamaño se puede utilizar para ajustar la manipulación para ser
óptimo en diferentes entornos ATS.
245
transparente
Null remitente Enet
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet como nulas (0000:
0000: 0000). opciones:
• Soltar - Descartar paquetes
• DropLog - Caer y los paquetes de registro
Defecto: DropLog
Remitente emisión Enet
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet se establece en la
dirección de difusión Ethernet (FFFF: FFFF: FFFF). opciones:
• aceptar - Acepta el paquete
• AcceptLog - Acepta el paquete y log
• Volver a escribir - Vuelva a escribir a la MAC de la interfaz de reenvío
• RewriteLog - Vuelva a escribir a la MAC de la interfaz de reenvío y de registro
Defecto: DropLog
Remitente multidifusión Enet
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet se establece en una
dirección Ethernet de multidifusión. opciones:
• aceptar - Acepta el paquete
• AcceptLog - Acepta el paquete y log
• Volver a escribir - Vuelva a escribir a la MAC de la interfaz de reenvío
• RewriteLog - Vuelva a escribir a la MAC de la interfaz de reenvío y de registro
Defecto: DropLog
Relé de Spanning Tree BPDU
Cuando se establece en Ignorar todos los STP entrante, RSTP y MSTP BPDU se transmiten a todas las interfaces transparentes en la misma tabla
de enrutamiento, excepto la interfaz de entrada. opciones:
• Ignorar - Dejar pasar los paquetes pero no inicie sesión
246
transparente
• Iniciar sesión - Dejar pasar los paquetes y el registro de eventos
• Soltar - Soltar los paquetes
• DropLog - Descartar paquetes registrar el evento
Defecto: soltar
relé de MPLS
Cuando se establece en Ignorar todos los paquetes MPLS entrantes se transmiten en modo transparente. opciones:
• Ignorar - Dejar pasar los paquetes pero no inicie sesión
• Iniciar sesión - Dejar pasar los paquetes y el registro de eventos
• Soltar - Soltar los paquetes
• DropLog - Descartar paquetes registrar el evento
Defecto: soltar
247
transparente
248
Capítulo 5. Servicios DHCP
En este capítulo se describen los servicios DHCP en NetDefendOS.
• Servidores DHCP, página 250
• DHCP retransmisión, página 256
• Conjuntos de IP, página 259
Protocolo de configuración huésped dinámico ( DHCP) es un protocolo que permite a los administradores de red asignar automáticamente
direcciones IP a los ordenadores en una red.
Asignación de direcciones IP
UN servidor DHCP implementa la tarea de asignar direcciones IP a los clientes DHCP. Estas direcciones vienen de un grupo de direcciones IP
predefinido que gestiona DHCP. Cuando un servidor DHCP recibe una solicitud de un cliente DHCP, devuelve los parámetros de
configuración (como una dirección IP, una dirección MAC, un nombre de dominio, y un contrato de arrendamiento para la dirección IP) al
cliente en un mensaje unicast.
asignaciones DHCP
En comparación con la asignación estática, donde el cliente es dueño de la dirección, el direccionamiento dinámico por un servidor DHCP concede a la
dirección de cada cliente durante un periodo de tiempo predefinido. Durante la vida de un contrato de arrendamiento, el cliente tiene permiso para
mantener la dirección asignada y se garantiza que no tienen dirección de colisión con otros clientes.
caducidad de la concesión
Antes de la expiración del contrato de arrendamiento, el cliente tiene que renovar la concesión del servidor para que pueda seguir usando la
dirección IP asignada. El cliente también puede decidir en cualquier momento que ya no desee utilizar la dirección IP que se le asignó, y puede
terminar el contrato y liberar la dirección IP.
El tiempo de concesión se puede configurar en un servidor DHCP por el administrador.
249
5.2. servidores DHCP Capítulo 5. Servicios DHCP
5.2. servidores DHCP

Los servidores DHCP asignar y administrar las direcciones IP tomadas de un conjunto de direcciones especificado. En NetDefendOS, los servidores
DHCP no se limitan a servir a un solo intervalo de direcciones IP, pero puede utilizar cualquier intervalo de direcciones IP que puede ser especificada
por un objeto de dirección NetDefendOS IP.
Múltiples servidores DHCP
El administrador tiene la capacidad de configurar uno o más servidores DHCP lógicas en NetDefendOS. Filtrado de solicitudes de cliente
DHCP a diferentes servidores DHCP se basa en una combinación de:
• Interfaz
Cada interfaz NetDefendOS puede haber, como máximo, un solo servidor DHCP lógica asociada a ella. En otras palabras, pueden
NetDefendOS clientes DHCP prestación utilizando diferentes rangos de direcciones dependiendo de qué interfaz se encuentran en.
• retransmisor IP
La dirección IP relayer en el paquete IP también se utiliza para determinar el servidor. El valor por defecto de
todas las redes de significa que este todas las direcciones son aceptados y sólo la interfaz se considera en hacer una selección de servidor
DHCP. Las otras opciones para este parámetro se describen más adelante.
Buscando en la lista de servidores
Múltiples servidores DHCP forman una lista a medida que se definen, el último definido estar en la parte superior de la lista. Cuando
NetDefendOS busca un servidor DHCP para atender una solicitud, que pasa a través de la lista de arriba a abajo y elige el primer servidor con
una combinación coincidente de interfaz y relayer valor de filtro IP. Si no hay ninguna coincidencia en la lista a continuación, se ignora la
solicitud.
El ordenamiento servidor DHCP en la lista puede, por supuesto, ser cambiada por una de las interfaces de usuario.
El uso de retransmisor IP filtrado de direcciones
Como se explicó anteriormente un servidor DHCP se selecciona basándose en un partido de ambos filtro IP de la interfaz y relayer. Cada servidor
DNS debe tener un valor de filtro IP relayer especificado y los valores posibles son los siguientes:
• todas las redes de
El valor por defecto es todas las redes de (0.0.0.0/0). Esto significa que todas las peticiones DHCP coincidirán valor de este filtro sin tener en
cuenta si las solicitudes DHCP proviene de un cliente en la red local o ha llegado a través de un relayer DHCP.
• Un valor de 0.0.0.0
El valor 0.0.0.0 coincidirá con las peticiones DHCP que vienen de solamente un cliente local. peticiones DHCP que han sido retransmitidos
por un relayer DHCP serán ignorados.
• Una dirección IP específica.
Esta es la dirección IP del relayer DHCP a través del cual ha llegado la solicitud de DHCP. se tendrán en cuenta las peticiones de los
clientes locales u otras relayers DHCP.
Opciones de DHCP
250
Las siguientes opciones se pueden configurar para un servidor DHCP:
Nombre Un nombre simbólico para el servidor. Se utiliza como una referencia de interfaz pero también se utiliza como
referencia en los mensajes de registro.
Filtro interfaz La interfaz de origen en el que NetDefendOS escuchará las peticiones DHCP. Esto puede
ser una interfaz única o un grupo de interfaces.
Dirección IP piscina Una gama, grupo o red IP que el servidor DHCP utilizará como un conjunto de direcciones IP para la
entrega de concesiones DHCP.
máscara de red La máscara de red que será enviada a los clientes DHCP.
Parámetros opcionales
GW por defecto Esto especifica qué IP debe ser enviada al cliente para su uso como la puerta de enlace
predeterminada (enrutador al que se conecta el cliente).
Dominio El nombre de dominio utilizado para la resolución DNS. Por ejemplo,

domain.com.
Tiempo de concesión El tiempo, en segundos, que se proporciona una concesión DHCP. Después de este tiempo el
cliente DHCP debe renovar el contrato de arrendamiento.
DNS primaria / secundaria La IP de los servidores DNS primario y secundario.
/ secundario NBNS / WINS primario IP del Windows Internet Name Service ( WINS) que
se utilizan en entornos de Microsoft que utiliza el Servidores de Nombres NetBIOS ( NBNS)
para asignar direcciones IP a nombres de NetBIOS.
Siguiente servidor Especifica la dirección IP del servidor siguiente en el proceso de arranque. Esto suele ser
un servidor TFTP.
Configuración avanzada del servidor DHCP
Existen dos configuraciones avanzadas que se aplican a todos los servidores DHCP:
• Guardar directiva de Auto
La política de ahorro de la base de datos de arrendamiento en el disco. Las opciones son:
1. Nunca - Nunca guarde la base de datos.
2. ReconfShut - Guardar la base de datos en un reconfigurar o un cierre.
3. ReconfShutTimer - Guardar la base de datos en un reconfigure o una parada y también

periódicamente. La cantidad de tiempo entre periódica salva es especificado por el parámetro siguiente,
Arrendar tienda de intervalo.
• Intervalo de arrendamiento tienda
El número de segundos entre automático de ahorro de la base de datos de arrendamiento en el disco. El valor por defecto es
86400 segundos.
Ejemplo 5.1. Configuración de un servidor DHCP
251
Este ejemplo muestra cómo configurar un servidor DHCP llamada DHCPServer1 que asigna y gestiona las direcciones IP de un conjunto de
direcciones IPv4 llamada DHCPRange1.
Este ejemplo asume que un rango de IP para el servidor DHCP ya se ha creado.
GW-mundo: /> añadir DHCPServer DHCPServer1

Interface = lan IPAddressPool =
DHCPRange1 máscara de red
255.255.255.0 =
Interfaz web
1. Ir a: Sistema> DHCP> servidores DHCP> Añadir> DHCPServer
2. Ahora ingrese:
• Nombre: DHCPServer1
• Filtro de interfaz: lan
• Dirección IP Piscina: DHCPRange1
• máscara de red: 255.255.255.0
Viendo IP a MAC Address Mapping
Para visualizar las asignaciones de direcciones IP a direcciones MAC que resultan de las concesiones DHCP asignados, la servidor DHCP comando se
puede utilizar. A continuación se muestra un poco de salida típica:
GW-mundo: /> dhcpserver -demostrar -mappings
asignaciones de servidor DHCP: IP del

cliente cliente MAC Modo
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
10.4.13.240 00-1e-0b--a0 c6-5f ACTIVO (estático)
10.4.13.241 00-0c-29-04-f8-3c ACTIVO (estático)
10.4.13.242 00-1e-0b-aa-ae-11 ACTIVO (estático)
10.4.13.243 00-1c-c4-36-6c-c4 INACTIVO (estático)
10.4.13.244 00-00-00-00-02-14 INACTIVO (estático)
10.4.13.254 00-00-00-00-02-54 INACTIVO (estático)
10.4.13.1 00-12-79-3b-dd-45 ACTIVE
10.4.13.2 00-12-79-c4-06-e7 ACTIVO
10.4.13.3 * ACTIVO 00-A0-A3-f8-23-45
10.4.13.4 * 00-0E-7f-4b-e2-29 ACTIVE
El asterisco "*" antes de una dirección MAC significa que el servidor DHCP no hace un seguimiento del cliente utilizando la dirección MAC pero en su
lugar un seguimiento del cliente a través de una identificador de cliente el cual el cliente ha dado al servidor.
Para visualizar toda la información DHCP utiliza el servidor DHCP comando sin opciones. Cada servidor DHCP configurado de forma individual
se conoce como una Regla que se le da un número único. Este número se utiliza para identificar el contrato de alquiler corresponde a cada
servidor de la salida de CLI. Para ver sólo los servidores DHCP comfigured, utilice el comando:
GW-mundo: /> dhcpserver -demostrar -normas
252
5.2.1. Los anfitriones DHCP estáticas Capítulo 5. Servicios DHCP
ahorro de la base de datos de arrendamiento entre puestas en marcha: Consejo
asignaciones DHCP son, por defecto, recordados por NetDefendOS entre los reinicios del sistema. La configuración avanzada de
DHCP se pueden ajustar para controlar la frecuencia con la base de datos se guarda arrendamiento.
El servidor DHCP lista negra
A veces, una dirección IP ofrecida en un contrato de arrendamiento es rechazado por el cliente. Esto puede debido a que el cliente detecta que la
dirección IP ya está en uso mediante la emisión de una petición ARP. Cuando esto sucede, el servidor DHCP NetDefendOS agrega la dirección IP
con su propia lista negra.
El CLI puede utilizarse para borrar la lista negra servidor DHCP con el comando:
GW-mundo: /> dhcpserver -RELEASE = lista negra
Configuración adicional del servidor
Un servidor DHCP NetDefendOS puede tener otros dos conjuntos de objetos asociados a ella:
• Los anfitriones estáticos.
• Opciones personalizadas.
La ilustración siguiente muestra la relación entre estos objetos.
Figura 5.1. DHCP Server Objects
Las siguientes secciones discuten estas dos opciones de servidor DHCP.
5.2.1. Los anfitriones DHCP estáticas
Cuando el administrador requiere una relación fija entre un cliente y la dirección IP asignada, NetDefendOS permite la asignación de
una determinada IP a una dirección MAC específica. En otras palabras, la creación de una host estático.
Parámetros de host estáticos
Muchas de tales asignaciones se pueden crear para un único servidor DHCP y cada objeto tiene la siguiente
253
5.2.2. Opciones personalizadas Capítulo 5. Servicios DHCP
parámetros:
Anfitrión Esta es la dirección IP que será entregado al cliente.
Dirección MAC Esta es la dirección MAC del cliente. La dirección MAC se puede utilizar o la alternativa identificado
cliente parámetro se puede utilizar.
identificado cliente Si la dirección MAC no se usa para identificar el cliente, entonces el cliente puede enviar un
identificador en su solicitud DHCP. El valor de este identificador se puede especificar como este
parámetro. Existe la opción de especificar también si el identificador se envía como un archivo
ASCII o hexadecimal.
Ejemplo 5.2. DHCP estática Asignación de host
Este ejemplo muestra cómo asignar la dirección IPv4 192.168.1.1 a la dirección MAC 00-90-12-13-14-15. Los ejemplos se presupone que el
servidor DHCP DHCPServer1 ya se ha definido.
1. En primer lugar, cambiar la categoría a la DHCPServer1 contexto:
GW-mundo: /> cc DHCPServer DHCPServer1
2. Añadir la asignación estática de DHCP:
GW-mundo: /> añadir DHCPServerPoolStaticHost

Host = 192.168.1.1 MACAddress =
00-90-12-13-14-15
3. Todas las asignaciones estáticas a continuación, se pueden enumerar y cada uno está en la lista con un número de índice:
GW-mundo: /> espectáculo
# comentarios
- - - - - - - -
+ 1 (ninguno)
4. Una asignación estática individuo puede demostrar usando su número de índice:
GW-mundo: /> Mostrar DHCPServerPoolStaticHost 1
- - - - - - - - - - - - - - - - - - - - - - - - - - - -
Índice: 1 Host: 192.168.1.1 MACAddress:
00-90-12-13-14-15
Comentarios: (ninguno)
5. La asignación podría ser cambiado más adelante a la dirección IP 192.168.1.12 con el siguiente comando:
GW-mundo: /> establecer DHCPServerPoolStaticHost 1

Host = 192.168.1.12 MACAddress =
00-90-12-13-14-15
Interfaz web
1. Ir a: Sistema> DHCP> servidores DHCP> DHCPServer1> Anfitrión estáticas> Añadir> estático entrada de host
2. Ahora ingrese:
• Anfitrión: 19.168.1.1
• MAC: 00-90-12-13-14-15
254
5.2.2. Opciones personalizadas Capítulo 5. Servicios DHCP
5.2.2. Opciones personalizadas
Adición de una Opción personalizada a la definición de servidor DHCP permite al administrador enviar partes específicas de información a los
clientes DHCP en las asignaciones DHCP que se envían.
Un ejemplo de esto es ciertos interruptores que requieren la dirección IP de un servidor TFTP desde el que se puede obtener cierta información
adicional.
Parámetros de la opción personalizada
Los siguientes parámetros se pueden establecer para una opción personalizada:
Código Este es el código que describe el tipo de información que se envía al cliente. Una larga lista de
códigos posibles existe.
Tipo Esto describe el tipo de datos que será enviado. Por ejemplo, si el tipo es Cuerda entonces el
datos es una cadena de caracteres.
Datos Esta es la información real que será enviado en el contrato de arrendamiento. Esto puede ser un valor o una
lista separada por comas.
El significado de los datos se determina por la Código y Tipo. Por ejemplo, si el código se establece en 66 ( nombre del servidor TFTP),
entonces el Tipo podría ser Cuerda y el Datos sería entonces un nombre, como por ejemplo tftp.mycompany.com.
Hay un gran número de opciones de personalización que se pueden asociar con un único servidor DHCP y éstos se describen en:
RFC 2132 - Opciones de DHCP y BOOTP Vendor Extensions
El código se introduce de acuerdo con el valor especificado en RFC 2132. Los datos asociados con el código se especifica primero en
NetDefendOS como una Tipo Seguido por el Datos.
255
5.3. La retransmisión DHCP Capítulo 5. Servicios DHCP
5.3. La retransmisión DHCP
El problema de DHCP
Con DHCP, los clientes envían peticiones para localizar el servidor (s) de DHCP mediante mensajes de difusión. Sin embargo, las
retransmisiones normalmente sólo se propagan a través de la red local. Esto significa que el servidor DHCP y el cliente siempre tienen
que estar en la misma red física. En un gran topología de la red Internet como, esto significa que tendría que ser un servidor DHCP
diferente en cada red. Este problema se resuelve mediante el uso de una relayer DHCP.
La solución DHCP retransmisor
Un relayer DHCP toma el lugar del servidor DHCP en la red local y actúa como enlace entre el cliente y el servidor DHCP
remoto. Se intercepta las peticiones procedentes de los clientes y las transmite al servidor DHCP. El servidor DHCP
responde entonces al relayer, que envía la respuesta de vuelta al cliente. relayers DHCP utilizan el protocolo TCP / IP Bootstrap
Protocol ( BOOTP) para implementar esta funcionalidad de retransmisión. Por esta razón relayers DHCP se denominan a
veces
agentes de retransmisión BOOTP.
La IP de origen de Retransmisión DHCP Tráfico
Para el tráfico DHCP retransmitido, existe la opción de NetDefendOS utilizar la interfaz en el que escucha como interfaz de
origen para el tráfico desviado o, alternativamente, la interfaz en la que se envía la solicitud enviada.
A pesar de todas las interfaces son NetDefendOS núcleo enrutado ( es decir, existe una ruta por defecto que las direcciones IP de las interfaces a
rutas Núcleo) para las solicitudes DHCP retransmitidas no se aplica este núcleo de enrutamiento. En su lugar, la interfaz es la interfaz de origen y no núcleo.
Ejemplo 5.3. La creación de un retransmisor de DHCP
Este ejemplo permite a los clientes sobre las interfaces NetDefendOS VLAN para obtener las direcciones IP de un servidor DHCP. Se asume el NetDefend
cortafuegos está configurado con interfaces VLAN vlan1 y vlan2 que el uso retransmisión DHCP y la dirección IP del servidor DHCP se define en el libro de
direcciones como NetDefendOS ip-dhcp. NetDefendOS añadirán una ruta para el cliente cuando se ha finalizado el proceso de DHCP y obtiene una dirección IP.
1. Añadir las interfaces VLAN vlan1 y vlan2 que debe transmitir a un grupo interfaz llamada ipgrp-DHCP:
GW-mundo: /> añadir la interfaz InterfaceGroup ipgrp-dhcp

Miembros = vlan1, vlan2
2. Añadir un relayer DHCP llamada VLAN-a-dhcpserver:
GW-mundo: /> añadir DHCPRelay VLAN-a-dhcpserver Action = relé

TargetDHCPServer = ip-dhcp
SourceInterface = ipgrp-dhcp addRoute =
Sí
ProxyARPInterfaces = ipgrp-dhcp
Interfaz web
Adición de interfaces VLAN vlan1 y vlan2 que debe transmitir a un grupo interfaz denominada como ipgrp-DHCP:
1. Ir a: Interfaz> grupos de interfaces> Añadir> InterfaceGroup
2. Ahora ingrese:
256
5.3.1. Configuración avanzada de retransmisión DHCP Capítulo 5. Servicios DHCP
• Nombre: ipgrp-dhcp
• Interfaces: seleccionar vlan1 y vlan2 desde el Disponible enumerar y ponerlos en el Seleccionado lista.
La adición de un relayer DHCP llamado como VLAN-a-dhcpserver:
1. Ir a: Sistema> DHCP> Añadir> DHCP Relay
2. Ahora ingrese:
• Nombre: VLAN-a-dhcpserver
• Acción: Relé
• Interfaz de origen: ipgrp-dhcp
• Servidor DHCP para transmitir a: ip-dhcp
• Permitido IP ofrece desde el servidor: todas las redes de
3. En el marco del Agregar ruta pestaña, cheque Añadir rutas dinámicas para esta concesión DHCP retransmitido
5.3.1. Configuración avanzada de retransmisión DHCP
Las siguientes opciones avanzadas están disponibles con retransmisión DHCP.
Transacciones Max
número máximo de transacciones al mismo tiempo.
Defecto: 32
Tiempo de espera de la transacción
¿Por cuánto tiempo una transacción DHCP puede tener lugar.
Defecto: 10 segundos
Max PPM
Cuántos paquetes DHCP-cliente puede enviar a través de NetDefendOS al servidor DHCP durante un minuto.
Defecto: 500 paquetes
Max Hops
¿Cuántos saltos del dhcp-solicitud puede tomar entre el cliente y el servidor DHCP.
Defecto: 5
Tiempo máximo de arrendamiento
257
5.3.1. Configuración avanzada de retransmisión DHCP Capítulo 5. Servicios DHCP
El tiempo máximo de arrendamiento permitido por NetDefendOS. Si el servidor DHCP tiene un mayor tiempo de concesión, que será reducida a
este valor.
Rutas Max Auto
¿Cuántas relés que pueden estar activos al mismo tiempo.
Defecto: 256
Guardar directiva de Auto
¿Qué política se debe utilizar para guardar la lista de retransmisión en el disco, son posibles ajustes Discapacitados, ReconfShut, o ReconfShutTimer.
Defecto: ReconfShut
Auto intervalo de ahorro
¿Con qué frecuencia, en segundos, se debe guardar la lista de retransmisión en el disco si DHCPServer_SaveRelayPolicy se establece en
ReconfShutTimer.
Defecto: 86400
258
5.4. Conjuntos de IP Capítulo 5. Servicios DHCP
5.4. Conjuntos de IP
Visión de conjunto
Un de IPs se utiliza para ofrecer acceso a otros subsistemas en una memoria caché de direcciones IP DHCP. Estas direcciones se reunieron en
una piscina al mantener internamente una serie de clientes DHCP (un cliente DHCP por dirección de IP). Más de un servidor DHCP puede ser
utilizado por una piscina y, o bien puede ser externo o estar servidores DHCP locales definidas en sí mismo NetDefendOS. Conjuntos de IP
múltiples se pueden configurar con diferentes nombres que identifican.
Los servidores DHCP externos se pueden especificar en una de dos maneras:
• A medida que el único servidor DHCP en una interfaz específica
• Uno de los más se puede especificar mediante una lista de direcciones IP única.
Conjuntos de IP con el modo de configuración
Un uso principal de Conjuntos de IP es con Modo IKE Config que es una función que se utiliza para asignar direcciones IP a los clientes remotos que
se conectan a través de túneles IPsec. Para obtener más información sobre esta Sede
Sección 9.4.3, “Roaming clientes”.
Opciones básicas de IPs
Las opciones básicas disponibles para un grupo de IP son:
Servidor DHCP detrás de interfaz Indica que el conjunto de IP debe utilizar el servidor (s) de DHCP que residen en la
interfaz especificada.
Especificar la dirección del servidor DHCP Especificar IP (s) del servidor DHCP en orden ascendente preferido para ser utilizado.
Esta opción se utiliza en lugar de la detrás de la interfaz
opción.
Utilizando la dirección IP de bucle invertido 127.0.0.1 indica que el servidor DHCP

es NetDefendOS sí.
filtro de servidor ajuste opcional utilizado para especificar los servidores de usar. Si no se especifica
se utilizará ningún servidor DHCP en la interfaz. El orden de la dirección o rangos
(si múltiple) proporcionada será utilizada para indicar los servidores preferidos.
Filtro IP del cliente Esta es una configuración opcional que se utiliza para especificar qué direcciones IP ofrecen
son aceptables. En la mayoría de los casos esto se establece en el valor por defecto de
todas las redes de por lo que todas las direcciones serán aceptables. Alternativamente, un
conjunto de rangos de IP aceptables puede ser especificado.
Esta opción de filtrado se utiliza en la situación en la que puede haber una respuesta del
servidor DHCP con una dirección IP inaceptable.
Opciones avanzadas de IPs
Las opciones avanzadas disponibles para la configuración de IPs son:
Tabla de ruteo La tabla de enrutamiento que se utilizará para las búsquedas en la resolución de las interfaces de destino
para los servidores DHCP configurados.
259
Recibe Interfaz Un "simulado" interfaz que recibe servidor DHCP virtual. Este ajuste se utiliza para simular una
interfaz receptora cuando un grupo de IP es la obtención de direcciones IP de los servidores DHCP
interno. Esto es necesario ya que los criterios de filtrado de un servidor DHCP incluye una Recibe
interfaz.
Un servidor DHCP interno no puede recibir peticiones de la piscina subsistema IP en una

interfaz desde el servidor y la piscina son internos a NetDefendOS. Esta configuración permite
que aparezcan este tipo de peticiones de una piscina como si provienen de una interfaz en
particular para que el servidor DHCP correspondiente responderá.
Rango MAC Un rango de direcciones MAC que se utilizan para crear los clientes DHCP "falsos". Utilizados
mapa clientes cuando el servidor DHCP (s) por la dirección MAC. Una indicación de la
necesidad de rangos de MAC es cuando el servidor DHCP sigue dando la misma IP para cada
cliente.
arrendamiento de recuperación previa Especifica el número de contratos de arrendamiento para mantener prebuscados. La captura previa mejorará
el rendimiento, ya que no habrá ningún tiempo de espera cuando un sistema solicita una dirección IP (IP,
mientras que existe prebuscados).
máxima libre El número máximo de direcciones IP "libres" que se le mantenga. Debe ser igual o mayor que el
parámetro de captación previa. La piscina se iniciará la liberación (devolviendo IP al servidor DHCP)
cuando el número de clientes libres es superior a este valor.
clientes máximos ajuste opcional se utiliza para especificar el número máximo de clientes (IPS) permitido en la
piscina.
IP del remitente Esta es la fuente IP a usar cuando se comunica con el servidor DHCP.
Asignación de memoria de Arrendamientos prebuscados
Como se mencionó en la sección anterior, la Arrendamientos prebuscados opción especifica el tamaño de la memoria caché de arrendamiento que se
mantiene por NetDefendOS. Esta caché proporciona la asignación de arrendamiento rápido y puede mejorar el rendimiento general del sistema. Cabe
señalar sin embargo que se solicita el número completo de prebuscados de arrendamiento al inicio del sistema y si este número es demasiado grande,
entonces esto puede degradar el rendimiento inicial.
Como arrendamiento se asignan en la captación previa de caché, las solicitudes se hacen para servidores DHCP para que el caché está siempre lleno.
Por lo tanto, el administrador tiene que hacer un juicio sobre el tamaño inicial óptimo de la caché de captación previa.
Lista de IPs Estado
El comando de la CLI ippools se puede utilizar para ver el estado actual de un conjunto de IP. La forma más simple de la orden es:
GW-mundo: /> ippool -demostrar
Esta muestra todas las piscinas IP configuradas junto con su estado. La información de estado se divide en cuatro partes:
• zombies - El número de direcciones asignadas, pero inactivos.
• En progreso - El número de direcciones que en el proceso de ser asignado.
• Libre mantenida en la piscina - El número de direcciones que están disponibles para su asignación.
• Utilizado por los subsistemas - El número de direcciones que se asignan y activos.
260
Otras opciones en el ippool comando permite al administrador cambiar el tamaño de la piscina y para liberar las direcciones IP. La lista completa
de opciones de comando se puede encontrar en la Guía de referencia de la CLI.
Ejemplo 5.4. Creación de una piscina IP
Este ejemplo muestra la creación de un objeto del inventario IP que utilizará el servidor DHCP en la dirección IP 28.10.14.1 con 10 arriendos prebuscados. Se
supone que esta dirección IP ya está definido en la libreta de direcciones IP como un objeto llamado ippool_dhcp
GW-mundo: /> añadir ippool ip_pool_1

DHCPServerType = IPDeServidor
IPDeServidor = ippool_dhcp
PrefetchLeases = 10
Interfaz web
1. Ir a: Objetos> Conjuntos de IP> Añadir> IP Pool
2. Ahora introduzca Nombre: ip_pool_1
3. Seleccionar Especificar la dirección del servidor DHCP
4. Agregar ippool_dhcp al Seleccionado lista
5. Seleccione el Avanzado lengüeta
6. Conjunto Arrendamientos prebuscados a 10
261
262
Capítulo 6. Mecanismos de seguridad
En este capítulo se describen las características de seguridad NetDefendOS.
• Reglas de acceso, página 263
• ALG, página 266
• Filtrado de Contenido Web, página 319
• Anti-Virus Scanning, página 337
• La detección y prevención de intrusiones, página 343
• Ataque de denegación de servicio de Prevención, página 355
• Hosts y redes de listas negras, página 360
6.1. Reglas de acceso
Una de las principales funciones de NetDefendOS es permitir el acceso sólo las conexiones autorizado a los recursos de datos protegidos. El
control de acceso se dirige principalmente por el conjunto de reglas NetDefendOS IP en la que una serie de direcciones de LAN protegidas
son tratados como hosts de confianza, y el flujo de tráfico de fuentes no fiables se restringe la entrada de zonas de confianza.
Antes de una nueva conexión se compara con el conjunto de reglas IP, NetDefendOS comprueba el origen de conexión contra un conjunto de
Reglas de acceso. Reglas de acceso pueden ser utilizados especifica qué fuente de tráfico que se espera en una interfaz dada y también para
soltar automáticamente el tráfico procedente de fuentes específicas. AccessRules proporcionan un filtro inicial eficaz y selectiva de nuevos
intentos de conexión.
La regla de acceso por defecto
Incluso si el administrador no especifica explícitamente ningún reglas personalizadas de acceso, una regla de acceso está siempre en el lugar que se
conoce como la Por defecto Regla de acceso.
Esta regla por defecto no es realmente una verdadera regla sino que opera mediante la comprobación de la validez de tráfico de entrada mediante la
realización de una búsqueda inversa en los NetDefendOS las tablas de enrutamiento. Esta búsqueda valida que el tráfico entrante proviene de una
fuente que indican las tablas de enrutamiento es accesible a través de la interfaz en la que llegó el tráfico. Si esta búsqueda inversa falla, entonces la
conexión se interrumpe y una Regla de acceso por defecto se generará mensaje de registro.
Cuando la solución de problemas cayó conexiones, el administrador debe mirar hacia fuera para Regla de acceso por defecto mensajes
en los registros. La solución al problema es crear una ruta para la interfaz donde la conexión llega de manera que la red de destino
de la ruta es la misma que o contiene la fuente de la conexión entrante IP.
Reglas de acceso personalizados son opcionales
Para la mayoría de las configuraciones de la regla de acceso por defecto es suficiente y el administrador no tiene que especificar explícitamente otras
reglas. La regla por defecto puede, por ejemplo, la protección contra la suplantación de IP, que se describe en la siguiente sección. Si Reglas de
acceso está especificado explícitamente, entonces la regla de acceso por defecto todavía se aplica si una nueva conexión no coincide con ninguna de
las reglas personalizadas de acceso.
La recomendación es configurar inicialmente NetDefendOS sin ningún tipo de reglas personalizadas de acceso y
263
6.1.2. IP Spoofing Capítulo 6. Mecanismos de seguridad
añadirlos si hay un requisito para el control más estricto sobre las nuevas conexiones.
6.1.2. IP Spoofing
El tráfico que pretende se trata de una gran cantidad de confianza puede ser enviado por un atacante para tratar de conseguir más allá de los
mecanismos de seguridad de un firewall. Tal ataque se conoce comúnmente como Spoofing.
IP spoofing es uno de los ataques de suplantación de identidad más comunes. Las direcciones IP de confianza se utilizan para eludir el filtrado. La
cabecera de un paquete IP que indica la dirección de origen del paquete es modificado por el atacante para ser una dirección de host local. El
servidor de seguridad va a creer el paquete procede de una fuente confiable. Aunque el origen del paquete no puede ser respondido correctamente,
existe el riesgo de congestión de red innecesario a ser creado y, potencialmente, una Negación de servicio ( podría ocurrir DoS condición). Incluso si el
servidor de seguridad es capaz de detectar una condición de denegación, es difícil de rastrear o detener debido a su naturaleza.
VPNs proporcionan un medio de evitar la suplantación de identidad pero donde una VPN no es una solución adecuada a continuación, reglas de
acceso puede proporcionar una capacidad anti-spoofing, proporcionando un filtro extra para verificación de la dirección de origen. Una regla de
acceso puede verificar que los paquetes que llegan a una interfaz dada no tienen una dirección de origen que se asocia con una red de otra
interfaz. En otras palabras:
• NO se permite todo el tráfico entrante con una dirección IP de origen pertenece a un host de confianza local.
• NO se permite todo el tráfico saliente con una dirección IP de origen que pertenece a una red insegura exterior.
El primer punto impide que un intruso de usar la dirección de un host local como su dirección de origen. El segundo punto impide cualquier
host local desde el lanzamiento de la parodia.
6.1.3. Configuración de reglas de acceso
La configuración de una regla de acceso es similar a otros tipos de reglas. Contiene filtrado de campos así como la Acción tomar.
Si hay una coincidencia, la regla se activa, y NetDefendOS llevará a cabo la acción especificada.
Acceso regla de filtrado de campos
Los campos de filtrado de regla de acceso utilizados para activar una regla son:
• Interfaz: La interfaz que el paquete llega en.
• Red: El lapso de IP que la dirección del remitente debe pertenecer.
Acciones de regla de acceso
Las acciones de regla de acceso que se pueden especificar son:
• Soltar: Descartar los paquetes que coincidan con los campos definidos.
• Aceptar: Aceptar los paquetes que coinciden con los campos definidos para una nueva inspección en el conjunto de reglas.
• Esperar: Si la dirección del remitente del paquete coincide con la Red especificados por esta norma, la interfaz receptora se
compara con la interfaz especificada. Si la interfaz coincide, el paquete es aceptado en la misma forma que una Aceptar acción. Si
las interfaces no coinciden, el paquete se descarta de la misma manera como una soltar acción.
Nota: el registro de habilitación
Puede estar habilitado como se requiere para estas acciones.
264
6.1.3. Configuración de reglas de acceso Capítulo 6. Mecanismos de seguridad
Apagando Regla de acceso por defecto mensajes
Si, por alguna razón, el Regla de acceso por defecto Mensaje de registro está siendo continuamente generada por alguna fuente y necesita ser
desactivado, entonces la manera de hacer esto es especificar una regla de acceso para esa fuente con una acción de Soltar.
Solución de problemas Regla de acceso Problemas Relacionados
Cabe señalar que las Reglas de acceso son un primer filtro de tráfico antes de cualquier otro NetDefendOS módulos puedan verlo. A veces
pueden aparecer problemas, tales como la creación de túneles VPN, precisamente a causa de esto. Siempre es recomendable comprobar
reglas de acceso para solucionar problemas desconcertantes en caso de una regla es la prevención de alguna otra función, como por ejemplo
el establecimiento del túnel VPN, funcione correctamente.
Ejemplo 6.1. La creación de una regla de acceso
Una regla debe ser definido que garantiza que no haya tráfico con una dirección de origen no dentro de la red Lannet se recibe en la interfaz LAN.
GW-mundo: /> agregar el nombre de Acceso = lan_Access

Interfaz de red LAN =
= = Acción Lannet
esperar
Interfaz web
1. Ir a: Reglas> Acceso
2. Seleccionar Regla de acceso en el Añadir menú
• Nombre: lan_Access
• Acción: Esperar
• Interfaz: lan
• Red: Lannet
265
6.2. ALG Capítulo 6. Mecanismos de seguridad
6.2. ALG
Para complementar el filtrado de paquetes de bajo nivel, que sólo inspecciona las cabeceras de paquetes de protocolos tales como IP, TCP, UDP
e ICMP, cortafuegos proporcionan NetDefend Gateways la capa de aplicación ( ALGs) que proporcionan un filtrado en la mayor solicitud nivel OSI.
Un objeto ALG actúa como mediador en el acceso a las aplicaciones de Internet de uso común fuera de la red protegida, por ejemplo
acceso a Internet, transferencia de archivos y la transferencia multimedia. ALGs proporcionar mayor seguridad que el filtrado de paquetes
ya que son capaces de escrutar todo el tráfico para un protocolo específico y realizan controles en los niveles superiores de la pila TCP / IP.
ALG existe para los siguientes protocolos en NetDefendOS:
• HTTP
• FTP
• TFTP
• SMTP
• POP3
• SORBO
• H.323
• TLS
La implementación de un ALG
Una vez que un nuevo objeto ALG se define por el administrador, que se pone en servicio por primera asociándolo con una Servicio objeto y
luego asociar ese servicio con una regla de IP en el conjunto de reglas NetDefendOS IP.
Figura 6.1. La implementación de un ALG
266
6.2.2. La ALG HTTP Capítulo 6. Mecanismos de seguridad
Máximo número de sesiones de conexión
El servicio asociado a un ALG tiene un parámetro configurable asociado a él llamada Max Sessions y el valor predeterminado varía de
acuerdo con el tipo de ALG. Por ejemplo, el valor por defecto para el HTTP ALG es 1000. Esto significa que un 1000 conexiones están
permitidos en total para el servicio HTTP a través de todas las interfaces. La lista completa de los valores por defecto máximo de sesión
son:
• HTTP - ALG 1000 sesiones.
• FTP - ALG 200 sesiones.
• TFTP - ALG 200 sesiones.
• SMTP - ALG 200 sesiones.
• POP3 - ALG 200 sesiones.
• H.323 - ALG 100 sesiones.
• SIP ALG - 200 sesiones.
Consejo: Máximo de sesiones de HTTP a veces puede ser demasiado baja
Este valor predeterminado de las sesiones máximas a menudo puede ser demasiado baja para HTTP Si hay un gran número
de clientes que se conectan a través de la NetDefend Firewall y por lo tanto se recomienda considerar el uso de un valor
más alto en tales circunstancias.
6.2.2. La ALG HTTP

Protocolo de Transferencia de Hipertexto ( HTTP) es el protocolo primario utilizado para acceder a la Red mundial
(WWW). Es una conexión, sin estado de protocolo, la capa de aplicación basado en una arquitectura de solicitud / respuesta. Un cliente, como
un navegador web, envía una solicitud mediante el establecimiento de una conexión TCP / IP a un puerto conocido (normalmente el puerto 80)
en un servidor remoto. El servidor contesta con una cadena de respuesta, seguido por un mensaje de su propia. Ese mensaje puede ser, por
ejemplo, un archivo HTML que se muestra en el navegador web o un componente ActiveX que se ejecutará en el cliente, o tal vez un mensaje
de error.
El protocolo HTTP tiene problemas particulares asociados con ella debido a la amplia variedad de sitios web que existen y debido a la
variedad de tipos de archivos que se pueden descargar mediante el protocolo.
Características HTTP ALG
El HTTP ALG es un subsistema NetDefendOS extensa que consiste en las opciones que se describen a continuación:
• Filtrado de contenido estático - Esto se refiere a listas negras y listas blancas URL especificar.
1. Las listas negras de URL
URL específicas pueden ser incluidos en listas negras para que no son accesibles. Comodines puede ser utilizado cuando se especifica
las direcciones URL, como se describe a continuación.
2. URL Whitelisting
Lo contrario a las listas negras, esto asegura ciertas URLs siempre están permitidos. Comodines también se puede utilizar para estas
direcciones URL, como se describe a continuación.
Es importante señalar que las listas blancas una URL significa que no puede ser la lista negra y también
267
no puede eliminarse mediante el filtrado de contenidos web (si es que está habilitado, aunque se registra). Análisis antivirus,
si está activado, se aplica siempre que el tráfico HTTP incluso si está en la lista blanca.
Estas características se describen en profundidad en Sección 6.3.3, “filtrado de contenido estático”.
• Filtrado de contenido dinámico - El acceso a determinadas direcciones URL se puede autorizar o bloquear de acuerdo con las políticas de
ciertos tipos de contenido web. El acceso a los sitios de noticias podría permitirse que el acceso a sitios de juegos podría ser bloqueado.
Esta característica se describe en profundidad en Sección 6.3.4, “Dynamic Web Content Filtering”.
• Anti-Virus Scanning - El contenido de las descargas de archivos HTTP se pueden escanear en busca de virus. archivos sospechosos pueden ser
dejados o simplemente registran.
Esta característica es común a una serie de ALGs y se describe completamente en Sección 6.4, “Anti-Virus Scanning”.
• Verificar la integridad del archivo - Esta parte de la ALG se ocupa de comprobar el tipo de archivo de los archivos descargados. Hay dos
características opcionales por separado con la verificación filetype: Verificar el tipo MIME y
Permitir / Tipos de bloques seleccionados, y estos se describen a continuación:
1. Verificar el tipo MIME
Esta opción permite la comprobación de que el tipo de archivo de un archivo de descarga de acuerdo con el contenido del archivo (el
término Tipo de archivo aquí también se conoce como el extensión de nombre de archivo).
Todos los tipos de archivos que se comprueban de esta manera por NetDefendOS se enumeran en Apéndice C, tipos de archivos Verified
MIME. Cuando está activado, cualquier descarga de archivos que no pasa la verificación MIME, es decir, su tipo de archivo no coincide con
su contenido, se deja caer por NetDefendOS en el supuesto de que puede ser una amenaza para la seguridad.
2. Permitir Tipos / bloque seleccionado
Esta opción funciona independientemente de la opción de verificación MIME descrito anteriormente, pero está basada en los tipos de
archivos predefinidos enumerados en Apéndice C, tipos de archivos Verified MIME. Cuando está activada, la función opera ya sea en una bloque
seleccionado o un Permitir seleccionados modo. Estos dos modos de función como sigue:
yo. bloque seleccionado
Los tipos de archivos marcados en la lista será dado de baja como descargas. Para asegurarse de que esto no se evita cambiando el
nombre de un archivo, NetDefendOS mira el contenido del archivo (de una manera similar a la comprobación MIME) para confirmar el
archivo es lo que dice ser.
Si, por ejemplo,. exe archivos se bloquean y un archivo con un tipo de archivo de. jpg ( que no está bloqueado) se encuentra a
contener. exe los datos a continuación, será bloqueado. Si se selecciona el bloqueo pero nada en la lista está marcado, no se realiza
el bloqueo.
ii. Permitir seleccionados
Sólo se permitirá a esos tipos de archivos marcados en descargas y otra será dado de baja. Al igual que con el bloqueo, el contenido del
archivo también son analizados para verificar el contenido del archivo. Si, por ejemplo,
. jpg archivos están permitidos y un archivo con un tipo de archivo de. jpg se encontró que contienen. exe a continuación, los datos de la
descarga será dado de baja. Si no está marcado en este modo entonces no hay archivos pueden ser descargados.
tipos de archivos adicionales no incluidos por defecto pueden ser añadidos a la lista de admitidos / Bloque sin embargo, estos no pueden
ser objeto de análisis de contenido lo que significa que la extensión del archivo se puede confiar como correcto para el contenido del
archivo.
268
Nota: Las similitudes con otras características NetDefendOS
los Verificar el tipo MIME y Permitir Tipos / bloque seleccionado opciones funcionan de la misma manera para
el FTP, SMTP y POP3 ALG.
• Descargar archivo límite de tamaño - Un límite de tamaño de archivo, además, se puede especificar para cualquier sola descarga (esta
opción sólo está disponible para descargas HTTP y SMTP ALG).
La Orden de filtrado HTTP
filtrado de HTTP obedece a la siguiente orden de procesamiento y es similar a la orden seguido por el SMTP ALG:
1. Lista blanca.
2. Lista negra.
3. filtrado de contenido Web (si está activado).
4. Análisis antivirus (si está activado).
Como se describió anteriormente, si una URL se encuentra en la lista blanca entonces no va a ser bloqueada si también se encuentra en la lista
negra. Si está habilitada, Análisis antivirus siempre se aplica, a pesar de que una URL está en la lista blanca.
Si está habilitada, filtrado de contenido web todavía se aplica a las direcciones URL en la lista blanca, pero si en vez de bloquear, marcado URL
solamente se registran. Si está habilitada, Análisis antivirus siempre se aplica, a pesar de que una URL está en la lista blanca.
Figura 6.2. HTTP ALG procesamiento de pedidos
El uso de comodines en blancas y negras
269
6.2.3. El FTP ALG Capítulo 6. Mecanismos de seguridad
Entradas realizadas en el blanco y listas negras pueden hacer uso de comodines para tener una sola entrada sea equivalente a un gran número de
posibles direcciones URL. El carácter comodín "*" se puede utilizar para representar cualquier secuencia de caracteres.
Por ejemplo, la entrada *. some_domain.com bloqueará todas las páginas cuyas URL terminar con
some_domain.com.
Si queremos permitir ahora de manera explícita una página en particular, entonces esto se puede hacer con una entrada en la lista blanca
de la forma my_page.my_company.com y la lista negra no impedirá que esta página sea accesible desde la lista blanca tiene precedencia.
La implementación de un ALG HTTP
Como se mencionó en la introducción, el objeto HTTP ALG se pone en servicio por primera asociarlo con un objeto de servicio y
luego asociar ese objeto servicio con una regla de IP en el conjunto de reglas IP. Un número de servicios HTTP predefinidos
podría ser utilizado con el ALG. Por ejemplo, el http servicio podría ser seleccionado para este propósito. Mientras el servicio
asociado está asociado con una regla de IP, el ALG se aplicará al destino del tráfico por esa regla IP.
los https de servicio (que también se incluye en el http-todo servicio) no se puede utilizar con un HTTP ALG ya que el tráfico HTTPS está
encriptada.
6.2.3. El FTP ALG

Protocolo de transferencia de archivos ( FTP) es un protocolo TCP / IP basados en para intercambiar archivos entre un cliente y un servidor. El cliente
inicia la conexión mediante la conexión con el servidor FTP. Normalmente, el cliente tiene que autenticarse a sí mismo al proporcionar un nombre de
usuario y contraseña predefinida. Después de conceder el acceso, el servidor proporcionará al cliente con una lista de archivos / directorio desde el
que se puede cargar / descargar archivos (en función de los derechos de acceso). El FTP ALG se utiliza para gestionar las conexiones FTP a través
de la NetDefend Firewall.
Conexiones FTP
FTP utiliza dos canales de comunicación, una para los comandos de control y otra para los archivos reales que se transfiere. Cuando
se abre una sesión FTP, el cliente FTP establece una conexión TCP (el canal de control) al puerto 21 (por defecto) en el servidor FTP.
Lo que sucede después de este punto depende del modo de FTP que se utiliza.
Modos de conexión FTP
FTP funciona en dos modos: activo y pasivo. Estos determinan la función del servidor al abrir canales de datos entre el cliente
y el servidor.
• Modo activo
En el modo activo, el cliente FTP envía un comando al servidor FTP que indica cuál es la dirección IP y el puerto del servidor
debe conectarse. El servidor FTP establece el canal de datos de vuelta al cliente FTP utilizando la información de dirección
recibida.
• Modo pasivo
En el modo pasivo, el canal de datos es abierto por el cliente FTP al servidor FTP, al igual que el canal de comandos. Este es el
modo por defecto a menudo se recomienda para los clientes FTP aunque algunos consejos puede recomendar lo contrario.
Una discusión de los problemas de seguridad de FTP
270
Ambos activo y pasivo modos de los problemas actuales de operación FTP para NetDefend Firewalls. Considere un escenario donde
un cliente FTP de la red interna se conecta a través del servidor de seguridad en un servidor FTP en Internet. La regla IP se
configura para permitir el tráfico de red desde el cliente FTP al puerto 21 en el servidor FTP.
Cuando se utiliza el modo activo, NetDefendOS no sabe que el servidor FTP establecerá una nueva conexión de vuelta al cliente FTP. Por lo
tanto, se interrumpe la conexión de entrada para el canal de datos. A medida que el número de puerto utilizado para el canal de datos es
dinámica, la única manera de resolver esto es para permitir el tráfico de todos los puertos del servidor FTP a todos los puertos en el cliente
FTP. Obviamente, esto no es una buena solución.
Cuando se utiliza el modo pasivo, el servidor de seguridad no tiene que permitir conexiones desde el servidor FTP. Por otro lado,
NetDefendOS todavía no sabe a qué puerto del cliente FTP tratará de usar para el canal de datos. Esto significa que tiene que permitir el
tráfico de todos los puertos en el cliente FTP a todos los puertos en el servidor FTP. Aunque esto no es tan inseguro como en el caso del
modo activo, todavía presenta una amenaza para la seguridad. Por otra parte, no todos los clientes FTP son capaces de usar el modo
pasivo.
La solución NetDefendOS ALG
El NetDefendOS FTP ALG se ocupa de estas cuestiones por volver a montar completamente el flujo TCP del canal de comandos FTP y
examinar su contenido. Al hacer esto, el NetDefendOS sabe qué puerto abrir para el canal de datos. Además, el FTP ALG también
proporciona funcionalidad para filtrar determinados comandos de control y proporcionar protección de desbordamiento del búfer.
Modo híbrido
Una característica importante de la NetDefendOS FTP ALG es su capacidad automática para realizar la conversión en la marcha entre el
modo activo y pasivo de manera que los modos de conexión FTP se pueden combinar. El modo pasivo se puede utilizar en un lado del
cortafuegos, mientras que el modo activo se puede utilizar en el otro. Este tipo de uso FTP ALG se refiere a veces como modo híbrido.
La ventaja del modo híbrido se puede resumir como sigue:
• El cliente FTP puede ser configurado para utilizar el modo pasivo, que es el modo recomendado para los clientes.
• El servidor FTP puede ser configurado para utilizar el modo activo, que es el modo más seguro para los servidores.
• Cuando se establece una sesión FTP, la NetDefend Firewall forma automática y transparente recibir el canal
de datos pasiva desde el cliente FTP y el canal de datos activa desde el servidor, y atar correctamente juntos.
resultados de esta implementación, tanto en el cliente FTP y el servidor FTP de trabajo en su modo más seguro. La conversión
también funciona a la inversa, es decir, con el cliente FTP usando el modo activo y el servidor FTP usando el modo pasivo. La
ilustración siguiente muestra el escenario típico modo híbrido.
271
Figura 6.3. Modo híbrido FTP ALG
Nota: la conversión es automática híbrida
modo híbrido no necesita habilitado. La conversión entre los modos se produce automáticamente dentro de
la FTP ALG.
Opciones de conexión de restricción
El FTP ALG tiene dos opciones para restringir el tipo de modo que el cliente FTP y el servidor FTP se pueden utilizar:
• Permitir que el cliente utilice el modo activo.
Si esta opción está activada, los clientes FTP se les permite utilizar ambos modos de transferencia de activos y pasivos. Con esta opción
desactivada, el cliente se limita a usar el modo pasivo. Si el servidor FTP requiere el modo activo, el NetDefendOS FTP ALG se encargará
de la conversión automáticamente al modo activo.
Una serie de puertos de datos del cliente se especifica con esta opción. Se le permitirá al servidor para conectarse a cualquiera de estos si el
cliente está utilizando el modo activo. El rango predeterminado es 1024-65535.
• Permitir que el servidor utilice el modo pasivo.
Si se activa esta opción, se permite que el servidor FTP para utilizar ambos modos de transferencia de activos y pasivos. Con la
opción desactivada, el servidor nunca recibirá canales de datos en modo pasivo. NetDefendOS manejará la conversión
automáticamente si los clientes utilizan el modo pasivo.
Una serie de puertos de datos del servidor se especifica con esta opción. Se le permitirá al cliente para conectarse a cualquiera de estos si el
servidor está utilizando el modo pasivo. El rango predeterminado es 1024-65535.
Estas opciones pueden determinar si se requiere el modo híbrido para completar la conexión. Por ejemplo, si el cliente se conecta
con el modo pasivo, pero esto no se permite que el servidor de modo entonces híbrido se utiliza automáticamente y el FTP ALG
realiza la conversión entre los dos modos.
Predefinida FTP ALG
NetDefendOS proporciona cuatro definiciones predefinidas FTP ALG, cada uno con una combinación diferente de las restricciones modo cliente /
servidor descritos anteriormente.
• ftp-entrada - Los clientes pueden utilizar cualquier modo, pero los servidores no pueden utilizar el modo pasivo.
• ftp-saliente - Los clientes no pueden utilizar el modo activo, pero los servidores pueden utilizar cualquier modo.
• ftp-passthrough - Tanto el cliente como el servidor pueden utilizar cualquier modo.
• ftp interna - El cliente no puede usar el modo activo y el servidor no puede usar el modo pasivo.
Restricciones FTP ALG Comando
El protocolo FTP se compone de un conjunto de comandos estándar que se envían entre el servidor y el cliente. Si el NetDefendOS FTP
ALG ve un comando que no reconoce el comando está bloqueado. Este bloqueo debe ser levantado de forma explícita y las opciones para
el levantamiento de bloqueo son:
• Permitir que los comandos FTP desconocidos. Estos son los comandos de la ALG no se considera parte de la
272
conjunto estándar.
• permitir que el EXEC SITIO comando que se enviará a un servidor FTP por un cliente.
• permitir que el CURRÍCULUM comando incluso si escaneo de contenido termina la conexión.
Nota: Algunos comandos no están permitidos
Algunos comandos, como las instrucciones de cifrado, nunca se les permite. Cifrado significa que el
canal de comandos FTP no podía ser examinado por el ALG y no se pudo abrir los canales de datos
dinámicos.
Restricciones de canal de control
El FTP ALG también permite establecer restricciones en el canal de control FTP que puede mejorar la seguridad de las
conexiones FTP. Estos son:
• longitud máxima de la línea en canal de control
La creación de grandes comandos del canal de control se puede utilizar como una forma de ataque contra un servidor al causar desbordamientos
de búfer Esta restricción combate esta amenaza. El valor por defecto es 256
Si se utilizan nombres de archivo o directorio muy largos en el servidor a continuación, puede ser necesario aumentar este límite. Cuanto más
corto sea el límite, mejor es la seguridad.
• El número máximo de comandos por segundo
Para prevenir ataques automatizados contra servidor FTP, restringiendo la frecuencia de comandos puede ser útil. El límite
predeterminado es 20 comandos por segundo.
• Permitir cadenas de 8 bits en el canal de control
La opción determina si los caracteres de 8 bits están permitidos en el canal de control. Permitir caracteres de 8 bits permite el soporte
para nombres de archivo que contienen caracteres internacionales. Por ejemplo, caracteres acentuados o umlauted.
Comprobación de tipo de archivo
El FTP ALG ofrece el mismo tipo de archivo de verificación para los archivos descargados que se encuentra en el HTTP ALG. Este consta de
dos opciones diferentes:
• Tipo MIME Verificación
Cuando está activado, NetDefendOS comprueba que el tipo de archivo declarado de una descarga coincide con el contenido del archivo.
Desajustes como resultado la descarga se ha caído.
• Permitir Tipos / bloque seleccionado
Si es seleccionado en el modo de bloqueo, tipos de archivos especificados se descartan cuando se descargan. Si es seleccionado en el modo de
permitir que sólo los tipos de archivos especificados se permiten descargas.
NetDefendOS también realiza una comprobación para asegurarse de que el tipo de archivo coincide con el contenido del archivo. Nuevos tipos de
archivos pueden ser añadidos a la lista predefinida de tipos.
Las dos opciones anteriores para la comprobación de tipo de archivo son los mismos que los que están disponibles en el ALG HTTP y se describen con
más detalle en Sección 6.2.2, “El HTTP ALG”.
273
Scanning Anti-Virus
El subsistema Anti-Virus NetDefendOS se puede habilitar para escanear todas las descargas FTP en busca de código malicioso. archivos sospechosos
pueden ser dE caído o acaba de conectarse.
Esta característica es común a una serie de ALGs y se describe completamente en Sección 6.4, “Anti-Virus Scanning”.
FTP ALG con ZoneDefense
Se utiliza junto con el FTP ALG, ZoneDefense se puede configurar para proteger una red interna de la propagación del virus servidores y
anfitriones. Esto es relevante para 2 escenarios:
• A. Infected clientes que necesitan ser bloqueados.
• B. servidores infectados que deben ser bloqueados.
A. El bloqueo de los clientes infectados.
El administrador configura el intervalo de red para incluir los anfitriones locales de la red. Si un cliente local intenta cargar un
archivo infectado con virus a un servidor FTP, NetDefendOS da cuenta de que el cliente pertenece a la red local y por lo tanto va a
cargar las instrucciones que bloquean a los conmutadores locales. El anfitrión será bloqueado el acceso a la red local y ya no
puede hacer ningún daño.
Nota: ZoneDefense no bloqueará los servidores infectados
Si un cliente descarga un archivo infectado desde un servidor FTP remoto a través de Internet, el servidor no será
bloqueado por ZoneDefense ya que está fuera del alcance de la red configurada. El virus es, sin embargo, sigue
bloqueada por el Firewall NetDefend.
B. El bloqueo de los servidores infectados.
Dependiendo de la política de la empresa, un administrador podría querer tomar un servidor FTP infectado fuera de línea para evitar
que los equipos y servidores locales de la infección. En este escenario, el administrador configura la dirección del servidor que esté
dentro del rango de la red para bloquear. Cuando un cliente descarga un archivo infectado, el servidor está aislado de la red.
Los pasos para la configuración ZoneDefense con el FTP ALG son:
• Configurar los conmutadores ZoneDefense para ser utilizado con ZoneDefense en el ZoneDefense sección de la interfaz web.
• Configurar el FTP ALG a utilizar el análisis antivirus en modo activado.
• Seleccione la red ZoneDefense en la configuración Anti-Virus de la ALG que va a ser afectado por ZoneDefense
cuando se detecta un virus.
Para obtener más información sobre este tema consulte Capítulo 12, ZoneDefense.
Ejemplo 6.2. La protección de un servidor FTP con un ALG
Como se muestra, un servidor FTP está conectado a la NetDefend Firewall en una DMZ con direcciones IPv4 privadas, que se muestran a continuación:
274
En este caso, vamos a establecer las restricciones de FTP ALG de la siguiente manera.
• Habilitar el Permitir al cliente para usar el modo activo ALG opción FTP para que los clientes pueden utilizar los modos activo y pasivo.
• desactivar el Permitir que el servidor para utilizar el modo pasivo opción FTP ALG. Esto es más seguro para el servidor, ya que nunca va a recibir datos en
modo pasivo. El FTP ALG se encargará de toda conversión si un cliente se conecta usando el modo pasivo.
La configuración se realiza como sigue:
Interfaz web
A. Definir el ALG:
(El ALG ftp-entrante ya está predefinido por NetDefendOS pero en este ejemplo vamos a mostrar cómo se puede crear desde cero.)
1. Ir a: Objetos> ALG> Añadir> FTP ALG
2. Introduzca Nombre: ftp-entrante
3. Comprobar Permitir al cliente para usar el modo activo
4. Desactive Permitir que el servidor para utilizar el modo pasivo
B. Definición del Servicio:
1. Ir a: Objetos> Servicios> Añadir> TCP / UDP Service
• Nombre: ftp-entrada de servicio
• Tipo: seleccione TCP de la lista
275
• Destino: 21 (el puerto del servidor FTP reside en)
• ALG: seleccionar ftp-entrante creada por encima
C. Definir una regla para permitir las conexiones a la IP pública en el puerto 21 y hacia adelante que al servidor FTP interno:
2. Ahora ingrese:
• Nombre: SAT-ftp-entrante
• Acción: SAB
• Servicio: ftp-entrada de servicio
3. Para Filtro de direcciones entrar:
• Interfaz de origen: alguna
• Red de destino: wan_ip (suponiendo que la interfaz externa se ha definido como esto)
4. Para SAB comprobar Traducir la dirección IP de destino
5. Introducir A: Nueva Dirección IP: ftp interna (asuma esta dirección IP interna del servidor FTP se ha definido en
el objeto libreta de direcciones)
6. Nuevo puerto: 21
D. El tráfico de la interfaz interna necesita ser NATed a través de una única dirección IPv4 pública:
2. Ahora ingrese:
• Nombre: NAT-ftp
• Acción: NAT
• Interfaz de origen: DMZ
• Fuente de red: dmznet
4. Para NAT comprobar Uso Interfaz Dirección
E. Permitir conexiones entrantes (SAT requiere una asociada Permitir regla):
2. Ahora ingrese:
• Nombre: Permitir-ftp
276
Ejemplo 6.3. La protección de clientes FTP
En este escenario se muestra debajo de la NetDefend Firewall protege una estación de trabajo que se conectará a servidores FTP en Internet.
En este caso, vamos a establecer las restricciones de FTP ALG de la siguiente manera.
• desactivar el Permitir al cliente para usar el modo activo ALG opción FTP para que los clientes sólo pueden utilizar el modo pasivo. Esto es mucho más seguro para el cliente.
• Habilitar el Permitir que el servidor para utilizar el modo pasivo opción FTP ALG. Esto permite a los clientes en el interior para conectarse a servidores FTP que
soportan el modo activo y pasivo a través de Internet.
La configuración se realiza como sigue:
Interfaz web
A. Crear el FTP ALG
(El ALG ftp salientes ya está predefinido por NetDefendOS pero en este ejemplo vamos a mostrar cómo se puede crear desde cero.)
277
1. Ir a: Objetos> ALG> Añadir> FTP ALG
2. Introduzca Nombre: ftp salientes
3. Desactive Permitir al cliente para usar el modo activo
4. Comprobar Permitir que el servidor para utilizar el modo pasivo
B. Crear el Servicio
1. Ir a: Objetos> Servicios> Añadir> TCP / UDP Service
2. Ahora ingrese:
• Nombre: ftp-saliente de servicio
• Tipo: seleccione TCP de la lista desplegable
• Destino: 21 (el puerto del servidor ftp reside en)
• ALG: ftp salientes
C. Crear Reglas IP
las normas de PI necesitan ser creados para permitir que el tráfico FTP para pasar y estos son diferentes dependiendo de si se utilizan direcciones IPv4 públicas
o privadas.
yo. El uso de direcciones IP públicas
Si el uso de direcciones IP públicas, asegúrese de que no hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas. El servicio
que se usa aquí es la ftp-saliente de servicio que debe ser utilizando la definición ALG predefinido
ftp salientes que se describe anteriormente.
2. Ahora ingrese:
• Nombre: Permitir-ftp-outbound
• Servicio: ftp-saliente de servicio
ii. El uso de direcciones IP públicas
Si el servidor de seguridad está utilizando direcciones IP privadas con una sola dirección IP pública externa, la siguiente NAT regla necesita ser añadido en su lugar:
2. Ahora ingrese:
• Nombre: NAT-ftp-outbound
• Acción: NAT
• Servicio: ftp-saliente de servicio
278
6.2.4. El TFTP ALG Capítulo 6. Mecanismos de seguridad
4. Comprobar Uso Interfaz Dirección
Configuración de servidores FTP con el modo pasivo
Un punto importante acerca de la configuración del servidor FTP necesita ser hecha si el FTP ALG se utiliza junto con el modo pasivo.
Por lo general, el servidor FTP estará protegida detrás del firewall y NetDefend NetDefendOS se
SAT-Permitir conexiones a aquella de clientes externos que se conectan a través de la Internet pública. Si FTP Pasivo se permite el modo y un
cliente se conecta con este modo entonces el servidor FTP debe devolver una dirección IP y el puerto del cliente en el que se puede establecer
la conexión de transferencia de datos.
Esta dirección IP se suele especificarse manualmente por el administrador en el software del servidor FTP y la elección natural es
especificar la dirección IP externa de la interfaz en el servidor de seguridad que se conecta a Internet. Esto es, sin embargo, mal si se
está utilizando el FTP ALG.
En lugar de ello, la dirección IP local, interna del servidor FTP se debe especificar la hora de configurar el servidor FTP.
6.2.4. El TFTP ALG

Trivial File Transfer Protocol ( TFTP) es una versión mucho más simple de FTP con capacidades más limitadas. Su propósito es permitir a
un cliente para subir archivos o descargar archivos desde un sistema anfitrión. transporte de datos TFTP se basa en el protocolo UDP y,
por tanto, que suministra a sus propios protocolos de transporte y de control de sesión que se extendió sobre UDP.
TFTP es ampliamente utilizado en entornos empresariales para la actualización de software y copias de seguridad de configuraciones de los
dispositivos de red. TFTP es reconocido como un protocolo inherentemente inseguro y su uso a menudo se limita a las redes internas. El
NetDefendOS ALG proporciona una capa adicional de seguridad a TFTP en ser capaz de poner restricciones a su utilización.
Opciones generales TFTP
Permitir / No permitir Leer el TFTP OBTENER función puede desactivarse para que los archivos no pueden ser
recuperados por un cliente TFTP. El valor por defecto es Permitir.
Permitir / DisallowWrite el TFTP PONER función puede desactivarse para que los archivos no pueden ser escritas por
un cliente TFTP. El valor por defecto es Permitir.
Retire Solicitud de Opción Especifica si las opciones deben ser retirados de la solicitud. El valor por defecto es Falso
lo que significa "no retire".
Permitir que las opciones no reconocidas Si esta opción no está activada, cualquiera de las opciones en una solicitud que no sea el
tamaño de bloque, el tiempo de espera y el tamaño de transferencia de archivos se bloquea.
El ajuste está desactivado por defecto.
279
6.2.5. El SMTP ALG Capítulo 6. Mecanismos de seguridad
Opciones de las peticiones TFTP
Siempre y cuando el Retire Solicitud de Opción descrito anteriormente se establece en falso ( Opciones no se eliminan), entonces los siguientes
valores de las opciones de solicitud se pueden aplicar:
máxima Blocksize El tamaño de bloque máximo permitido puede ser especificado. El intervalo
permitido es de 0 a 65464 bytes. El valor por defecto es
65,464 bytes.
Tamaño máximo de archivo El tamaño máximo de una transferencia de archivos puede ser restringido. Por
defecto es el máximo absoluto permitido que 999.999 Kbytes.
Bloque de recorrido de directorios Esta opción puede no permitir el salto de directorio mediante el uso de nombres de archivo
que contienen períodos consecutivos ( "..").
Solicitar permitiendo tiempos de espera
Los NetDefendOS TFTP ALG bloques de la repetición de una petición TFTP procedentes de la misma dirección IP de origen y el
puerto dentro de un período fijo de tiempo. La razón de esto es que algunos clientes TFTP podrían emitir solicitudes del mismo puerto
de origen sin permitir un período de tiempo de espera adecuado.
6.2.5. El SMTP ALG

Protocolo simple de transferencia de correo ( SMTP) es un protocolo basado en texto utilizado para la transferencia de correo electrónico entre
servidores de correo a través de Internet. Normalmente, el servidor SMTP local se encuentra en una zona desmilitarizada para que el correo enviado
por los servidores remotos SMTP atravesará el NetDefend Firewall para llegar al servidor local (esta configuración se ilustra más adelante en Sección
6.2.5.1, “Anti-Spam Filtering”). Los usuarios locales A continuación, utilizar el software de cliente de correo electrónico para recuperar su correo
electrónico desde el servidor SMTP local.
SMTP también se utiliza cuando los clientes están enviando el correo electrónico y el SMTP ALG puede ser usado para monitorear el tráfico SMTP
procedentes de los clientes y los servidores.
Opciones ALG SMTP
Las principales características del SMTP ALG son:
tasa de correo electrónico que limita Una tasa máxima permitida de mensajes de correo electrónico se puede especificar. Esta
tasa se calcula sobre una por fuente de dirección IP
base, en otras palabras, no es la tasa total que es de interés, pero la tasa de una determinada
fuente de correo electrónico.
Esta es una característica muy útil tener, ya que es posible poner en un bloque en contra ya
sea un cliente infectado o un servidor infectado el envío de grandes cantidades de malware
genera mensajes de correo electrónico.
tamaño de correo electrónico que limita Un tamaño máximo permitido de mensajes de correo electrónico se puede especificar. Esta
característica cuenta la cantidad total de bytes enviados por un solo correo electrónico que es
el tamaño de la cabecera más el tamaño corporal más el tamaño de los archivos adjuntos de
correo electrónico después de que se codifican. Se debe tener en cuenta que un correo
electrónico con, por ejemplo, un archivo adjunto de 100 Kbytes, será mayor de 100 Kbytes. El
tamaño transferido podría ser de 120 Kbytes o más desde la codificación que tiene lugar de
forma automática para los archivos adjuntos pueden aumentar sustancialmente el tamaño de
archivo adjunto transferido.
280
Por lo tanto, el administrador debe añadir un margen razonable por encima del tamaño
esperado de correo electrónico al establecer este límite.
Dirección de correo electrónico listas negras Una lista negra de direcciones de correo electrónico remitente o el destinatario se puede
especificar para que el correo desde / hacia esas direcciones está bloqueada. La lista negra
se aplica después de la lista blanca de manera que si una dirección coincide con una entrada
de la lista blanca no se comprueba en la lista negra.
Dirección de correo electrónico de listas blancas Una lista blanca de direcciones de correo electrónico se puede especificar de manera que se
permite que todo el correo desde / hacia esas direcciones para pasar a través de la ALG sin
importar si la dirección está en la lista negra o que el mensaje ha sido marcado como spam.
Verificar el tipo MIME El contenido de un archivo adjunto se puede comprobar para ver si está de acuerdo con su
tipo de archivo determinado. Una lista de todos los tipos de archivos que se verifican de esta
manera se puede encontrar en Apéndice C, tipos de archivos Verified MIME. Esta misma
opción también está disponible en el ALG HTTP y una descripción más completa de cómo
funciona se puede encontrar en Sección 6.2.2, “El HTTP ALG”.
Bloquear / Permitir tipo de archivo Tipos de archivo de una lista predefinida opcionalmente pueden ser bloqueados o permitidos
como adjuntos de correo electrónico y los nuevos tipos de archivos se pueden añadir a la
lista. Esta misma opción también está disponible en el ALG HTTP y una descripción más
completa de cómo funciona se puede encontrar en
Sección 6.2.2, “El HTTP ALG”. Esta misma opción también está disponible en el ALG
HTTP y una descripción más completa de cómo funciona se puede encontrar en Sección
6.2.2, “El HTTP ALG”.
escaneo Anti-Virus El subsistema Anti-Virus NetDefendOS puede analizar los archivos adjuntos de correo
electrónico en busca de código malicioso. archivos sospechosos pueden ser dejados o
simplemente registran. Esta característica es común a una serie de ALGs y se describe
completamente en Sección 6.4, “Anti-Virus Scanning”.
La Orden de filtrado de SMTP
filtrado de SMTP obedece a la siguiente orden de procesamiento y es similar a la orden seguido por el HTTP ALG excepto por la
adición de filtrado de Spam:
1. Lista blanca.
2. Lista negra.
3. filtrado de correo no deseado (si está activado).
4. Análisis antivirus (si está activado).
Como se describió anteriormente, si una dirección se encuentra en la lista blanca, entonces no será bloqueada si también se encuentra en la lista
negra. filtrado de correo no deseado, si está activado, todavía se aplica a las direcciones de la lista blanca, pero los correos electrónicos marcados
como correo no deseado no será etiquetado ni disminuido, sólo se registran. Análisis antivirus, si está activado, se aplica siempre, a pesar de que la
dirección de correo electrónico está en la lista blanca.
Observe que, o bien el remitente de un correo electrónico o dirección del receptor pueden ser la base para el bloqueo de una de las dos primeras
etapas de filtrado.
281
Figura 6.4. SMTP ALG procesamiento de pedidos
El uso de comodines en blancas y negras
Entradas realizadas en el blanco y listas negras pueden hacer uso de comodines tener una sola entrada cubre un gran número de direcciones de
correo electrónico potenciales. El carácter comodín "*" se puede utilizar para representar cualquier secuencia de caracteres.
Por ejemplo, la entrada de dirección * @ some_domain.com se puede utilizar para especificar todas las direcciones de correo electrónico de posibles some_domain.com.
Si, por ejemplo, los comodines se utiliza en la lista negra para bloquear todas las direcciones para una determinada empresa llamada mi empresa a
continuación, la entrada de dirección de lista negra podría ser requerido * @ my_company.com.
Si queremos permitir ahora explícitamente electrónicos para un solo departamento llamado mi departamento en
mi empresa entonces esto podría hacerse con una entrada en la lista blanca de la forma
my_department@my_company.com.
SMTP y Extensiones mejorada
SMTP (Enhanced ESMTP) se define en RFC 1869 y permite un número extensiones con el protocolo SMTP estándar.
Cuando un cliente SMTP abre una sesión con un servidor SMTP utilizando ESMTP, el cliente envía una primera
EHLO mando. Si el servidor soporta ESMTP responderá con una lista de las extensiones que soporta. Estas extensiones
se definen por varios RFCs separadas. Por ejemplo, RFC 2920 define el SMTP pipelining extensión. Otra de las
posibilidades es común fragmentar que se define en RFC
3030.
El NetDefendOS SMTP ALG no soporta todas las extensiones ESMTP incluidos pipelining y
Fragmentación. Por tanto, el ALG elimina cualquier extensión sin soporte de la lista de extensiones compatible que se devuelve al
cliente por un servidor SMTP detrás del NetDefend Firewall. Cuando se elimina una extensión, un mensaje de registro se genera
con el texto:
unsupported_extension
capability_removed
El parámetro " CAPA =" en el mensaje de registro indica que la extensión de la ALG elimina de la
282
la respuesta del servidor. Por ejemplo, este parámetro puede aparecer en el mensaje de registro como:
CAPA = PIPELINING
Para indicar que el la canalización extensión fue retirado de la respuesta del servidor SMTP a una EHLO
comandos del cliente.
Aunque las extensiones ESMTP pueden ser quitados por el ALG y mensajes de registro generado en relación con, esto no significa que los correos
electrónicos se dejan caer. las transferencias de correo electrónico se llevará a cabo como de costumbre, pero sin hacer uso de extensiones no
compatibles retirados por el ALG.
SMTP ALG con ZoneDefense
SMTP se utiliza tanto para los clientes de correo que quieren enviar mensajes de correo electrónico, así como los servidores de correo que transmiten
mensajes de correo electrónico a otros servidores de correo. Cuando se utiliza junto con el ZoneDefense SMTP ALG, el único escenario de interés es
bloquear los clientes locales que tratan de propagar virus en los correos electrónicos salientes.
Usando ZoneDefense para bloquear mensajes de correo electrónico retransmite a un servidor SMTP entrante sería aconsejable ya que no permitiría a
todos los mensajes entrantes desde el servidor de correo electrónico bloqueado. Por ejemplo, si un usuario remoto está enviando un correo electrónico
infectado utilizando una conocida empresa de correo electrónico gratuito, bloqueando el servidor de envío utilizando ZoneDefense bloquearía todos los
futuros correos electrónicos de la misma empresa a cualquier receptor local. Por lo tanto, el uso de ZoneDefense junto con el SMTP ALG deben
utilizarse principalmente para el bloqueo de clientes de correo electrónico locales.
Para llevar a cabo el bloqueo, el administrador configura el alcance de la red ZoneDefense para incluir todos los clientes SMTP local.
Se aseguró de que el servidor SMTP se excluye de esta gama.
Consejo: La exclusión puede ser configurado manualmente
Es posible configurar manualmente determinados hosts y servidores para ser excluidos de ser bloqueado mediante su
inclusión en el ZoneDefense Lista de exclusión.
Cuando un cliente intenta enviar un correo electrónico infectado con un virus, éste se bloquea y ZoneDefense aísla el anfitrión
del resto de la red.
Los pasos para la configuración ZoneDefense con el SMTP ALG son:
• Configurar los conmutadores ZoneDefense para ser utilizado con ZoneDefense en el ZoneDefense sección de la interfaz web.
• Configurar el SMTP ALG a utilizar el análisis antivirus en modo activado.
• Seleccione la red ZoneDefense en la configuración Anti-Virus de la ALG que va a ser afectado por ZoneDefense
cuando se detecta un virus.
6.2.5.1. Anti-Spam Filtrado

correo electrónico no solicitado, a menudo referido como Correo no deseado, se ha convertido tanto en una gran molestia, así como un problema de
seguridad en la Internet pública. correos electrónicos no solicitados, enviados en cantidades masivas por grupos conocidos como spammers, puede
desperdiciar recursos, el transporte de software malicioso, así como tratar de dirigir al lector a las páginas web que podrían explotar las vulnerabilidades
del navegador.
Parte integral de la NetDefendOS SMTP ALG es un módulo de correo no deseado que proporciona la capacidad de aplicar filtrado de spam al correo
electrónico entrante a medida que pasa a través de la NetDefend Firewall en su camino a un servidor de correo electrónico SMTP local. El filtrado se
realiza en función del origen del correo electrónico. Este enfoque puede reducir significativamente la carga de dicho correo electrónico en los buzones
de los usuarios detrás de la NetDefend Firewall.
NetDefendOS ofrece dos enfoques para el manejo de correo no deseado:
283
• Dejar caer de correo electrónico que tiene una muy alta probabilidad de ser spam.
• Dejando a través de correo electrónico, sino marcar que tiene una moderada probabilidad de ser spam.
La implementación NetDefendOS Anti-Spam
funciones SMTP como un protocolo para enviar mensajes de correo electrónico entre servidores. NetDefendOS aplica el filtrado de spam de
mensajes de correo electrónico a medida que pasan a través de la NetDefend Firewall desde un servidor SMTP remoto externo a un servidor SMTP
local (de la cual los clientes locales serán más tarde descargar sus mensajes de correo electrónico). Normalmente, el, el servidor SMTP local
protegida, se creará en una red DMZ y no suele haber sólo un "salto" entre el servidor de envío y el, servidor de recepción local.
Las bases de datos DNSBL
Una serie de organizaciones de confianza a mantener las bases de datos disponibles públicamente de la dirección IP de origen de los servidores de
correo basura SMTP conocidos y estos se puede consultar a través de Internet pública. Estas listas se conocen como Lista Negro DNS ( DNSBL) bases
de datos y la información es accesible a través de un método de consulta estandarizada con el apoyo de NetDefendOS. La imagen siguiente muestra
todos los componentes implicados:
Las consultas del servidor DNSBL
Cuando se configura la función de filtrado NetDefendOS Anto-spam, la dirección IP del servidor de envío del correo electrónico se envía a uno o más
servidores DNSBL para averiguar si alguno de los servidores DNSBL piensan que el correo electrónico es de un spammer o no. NetDefendOS examina
las cabeceras de los paquetes IP para hacer esto.
La respuesta enviada de vuelta por un servidor es o bien una no enlistado respuesta o una enumerado respuesta. En el último caso de estar en la
lista, el servidor DSNBL se indica el correo electrónico sea spam y por lo general también proporcionará información conocido como TXT registro
que es una explicación textual para el listado.
Figura 6.5. Anti-Spam Filtrado
La creación de un consesus DNSBL
El administrador puede configurar el SMTP NetDefendOS ALG consultar varios servidores DNSBL con el fin de formar una opinión de consenso en la
dirección de origen de un correo electrónico. Para cada nuevo correo electrónico, configurado
284
servidores se consultan para evaluar la probabilidad de que el correo electrónico es spam, en función de su dirección de origen. El administrador
NetDefendOS asigna un peso mayor que cero para cada servidor configurado de manera que la suma ponderada se puede calcular sobre la base de
todas las respuestas. El administrador puede configurar una de las siguientes acciones sobre la base de la suma ponderada calculada:
1. Caído
Si la suma es mayor que o igual a un predefinido umbral de caída a continuación, el correo electrónico se considera que es sin duda el
spam y se desecha o bien envía a un único buzón de correo, especial.
Si se descarta entonces el administrador tiene la opción de que un mensaje de error se envía de vuelta al servidor SMTP de
envío (este mensaje de error es similar a la utilizada con listas negras).
2. Marcado como spam
Si la suma es mayor que o igual a un predefinido umbral de spam a continuación, el correo electrónico se considera como siendo
probablemente el spam, pero reenvía al destinatario con la notificación de texto insertado en él.
A Ejemplo Umbral Cálculo
A modo de ejemplo, vamos a suponer que los tres servidores DNSBL se configuran: dnsbl1, dnsbl2 y dnsbl3.
pesos de 3, 2 y 2 son asignados a éstos respectivamente. El umbral de spam se establece a continuación, para ser 5.
Si dnsbl1 y dnsbl2 decir un correo electrónico es spam, pero dnsbl3 no, entonces el total calculado será
3 + 2 + 0 = 5. Dado que el total de 5 es igual a (o mayor que) el umbral entonces el correo electrónico serán tratados como spam.
Si el umbral de caída en este ejemplo se fija en 7 a continuación, los tres servidores DNSBL tendrían que responder para que la suma calculada para
provocar que el correo electrónico que se retiren ( 3 + 2 + 2 = 7).
Alternativas Acciones para spam Abandonado
Si la suma calculada es mayor que o igual a la umbral de caída entonces el valor de correo electrónico no se envía al destinatario. En
cambio, el administrador puede elegir una de dos alternativas para el correo electrónico caído:
• Una dirección de correo electrónico especial se puede configurar para recibir toda cayó de correo electrónico. Si se hace esto, entonces cualquier
TXT los mensajes enviados por los servidores DNSBL (descritos a continuación) que identificaron el email como Spam puede estar
opcionalmente insertado por NetDefendOS en el encabezado del correo electrónico reenviado.
• Si hay una dirección de correo electrónico receptor está configurado para mensajes de correo electrónico se redujo luego son descartados por
NetDefendOS. El administrador puede especificar que un mensaje de error se envía de nuevo a la dirección del remitente junto con el TXT mensajes
de los servidores DNSBL que fallaron el correo electrónico.
etiquetar el spam
Si un correo electrónico se considera que es probable que el spam porque la suma calculada está por encima del umbral de spam pero está
por debajo del umbral de gota, entonces el Tema campo del correo electrónico se cambia y pre-fijado con un mensaje y el mensaje es
reenviado al destinatario previsto. El texto del mensaje etiqueta se especifica por el administrador, pero puede dejarse en blanco (aunque
eso no es recomendable).
Un ejemplo de etiquetado podría ser si el original Tema campo es:
Comprar este stock hoy!
Y si se define el texto de etiqueta de ser "*** CORREO NO DESEADO ***", luego del correo electrónico modificado Tema campo pasará a ser:
285
*** SPAM *** Compre este stock hoy!
Y esto es lo que el destinatario del correo electrónico va a ver en el resumen de su contenido de bandeja de entrada. El usuario individual podría
entonces decidir la creación de sus propios filtros en el cliente local para hacer frente a este tipo de mensajes etiquetados, posiblemente enviarlo a una
carpeta separada.
Adición de información de X-Spam
Si un correo electrónico se determina que es spam y una dirección de envío está configurado para caer mensajes de correo electrónico, a
continuación, el administrador tiene la opción de Añadir TXT Records al correo electrónico. UN Registro TXT es la información enviada desde el
servidor DNSBL cuando el servidor piensa que el remitente es una fuente de spam. Esta información se puede insertar en el encabezado del correo
electrónico mediante el X-Spam tagging convención antes de ser enviada a. Los campos X-Spam agregados son:
• X-Spam-Flag - Este valor será siempre Sí.
• X-Spam-Inspector-Version - La versión etiquetada NetDefendOS que el correo electrónico.
• X-Spam-Status - Esto siempre será DNSBL.
• X-Spam-Report - Una lista de servidores DNSBL que marcan el correo como spam.
• X-Spam-TXT-Records - Una lista de los registros TXT enviados por los servidores DNSBL que identificaron el correo electrónico como spam.
• X-Spam_Sender-IP - dirección IP utilizada por el remitente de correo electrónico.
Estos campos se pueden denominar en reglas de filtrado establecidos por el administrador en el software de servidor de correo.
Teniendo en cuenta los servidores DNSBL fallidos
Si una consulta a un servidor DNSBL veces fuera entonces NetDefendOS tendrá en cuenta que la consulta ha fallado y el peso dado a ese
servidor será restado de forma automática tanto de los umbrales de correo no deseado y soltar para el cálculo de puntuación hecho de que el
correo electrónico.
Si hay suficientes servidores DNSBL no responden a continuación, esta sustracción podría significar que los valores umbral se vuelven negativos. Dado
que el cálculo de puntuación siempre producirá un valor de cero o mayores (servidores no pueden tener pesos negativos), entonces se permitirá que
todo el correo electrónico a través de si ambos los umbrales de correo no deseado y de la gota se convierten en negativo.
Un mensaje de registro se genera cada vez que un servidor DNSBL configurada no responde dentro del tiempo requerido. Esto se
realiza sólo una vez al comienzo de una secuencia consecutiva de fallos de respuesta de un solo servidor para evitar
innecesariamente repetir el mensaje.
Verificación de la remitente de correo electrónico
Como parte del módulo Anti-Spam, existe la opción de comprobar si hay una falta de coincidencia de la dirección "De" en el comando de protocolo
SMTP con el encabezado de correo electrónico actual dirección "De". Los spammers pueden deliberadamente hacer que estos diferentes para obtener
filtros de correo electrónico anteriores por lo que esta característica proporciona una comprobación adicional en la integridad de correo electrónico.
Si se detecta una discrepancia, una de dos acciones se pueden configurar:
• El correo electrónico se ha caído.
• Permitir que el correo electrónico que pase, pero Márquela con la etiqueta de correo no deseado configurado.
286
Cuando se habilita la verificación de la dirección del remitente, no es una opción adicional para comparar solamente los nombres de dominio en el
campo "De" direcciones.
Explotación florestal
Hay tres tipos de registro que realizan el módulo de filtrado de spam:
• El registro de una caída o spam etiquetada correos electrónicos - Estos mensajes de registro incluyen la dirección de correo electrónico de origen
e IP, así como sus puntos ponderados y la puntuación de la que DNSBLs dado lugar el evento.
• DNSBLs no responde - los tiempos de espera de consulta DNSBL se registran.
• Todos DNBSLs definidos dejan de responder - Este es un evento de alta severidad, ya se permitirá todo el correo electrónico a través de si
esto sucede.
Resumen de la instalación
Para configurar el filtrado de spam DNSBL en el SMTP ALG, la siguiente lista resume los pasos:
• Especificar los servidores DNSBL que se van a utilizar. Puede haber uno o múltiples. Múltiples servidores pueden actuar tanto como las copias de
seguridad entre sí, así como la confirmación de la situación de un emisor.
• especificar una peso para cada servidor que determinará lo importante que es la hora de decidir si el correo electrónico es spam o no en el
cálculo de la suma ponderada.
• Especificar los umbrales para la designación de cualquier correo electrónico como spam. Si la suma ponderada es igual o mayor que éstos
entonces se considerará un correo electrónico como spam. Dos umbrales se especifican:
yo. Umbral de spam - El umbral para el etiquetado electrónico como spam.
ii. Caída de Umbral - El umbral para dejar caer electrónico. los Umbral de correo no deseado debe ser inferior a la Caída de Umbral. Si los dos
son iguales, entonces sólo el
Umbral descenso se aplica.
• Especifique una etiqueta textual como prefijo a la Tema campo de correo electrónico designada como Spam.
• También puede indicar una dirección de correo electrónico a la que cayó correo electrónico será enviado (como alternativa a simplemente
descartarlo). También puede indicar que la TXT los mensajes enviados por los servidores DNSBL que fallaron se insertan en la cabecera de estos
correos electrónicos.
Las direcciones de caché para Rendimiento
Para acelerar el procesamiento de NetDefendOS mantiene una caché del remitente más recientemente mirado hacia arriba "Desde" direcciones en la
memoria local. Si la caché está llena, la entrada más antigua se escribe sobre la primera. Hay dos parámetros que pueden ser configurados para la
memoria caché de direcciones:
• Tamaño del caché
Este es el número de entradas que el caché puede contener. Si se establece en cero, no se utiliza la memoria caché. El aumento del
tamaño de caché aumenta la cantidad de memoria requerida para NetDefendOS Anti-Spam.
• Tiempo de espera de caché
El tiempo de espera determina cuánto tiempo cualquier dirección será válida para una vez que se guarda en la memoria caché. Después de este
periodo de tiempo ha expirado, una nueva consulta para una dirección de remitente en caché debe ser enviada a los servidores DNSBL.
287
El valor por defecto si 600 segundos.
La memoria caché de direcciones Anti-Spam se vacía en el arranque o reconfiguración.
Para el global del subsistema DNSBL:
• Número de correos electrónicos marcada.
• Número de correos electrónicos spam etiquetado.
• Número de correos electrónicos perdidos.
Para cada DNSBL servidor accede:
• Número de respuestas positivas (es spam) de cada servidor DNSBL configurada.
• Número de consultas enviadas a cada servidor DNSBL configurada.
• Número de consultas fallidas (sin respuestas) para cada servidor DNSBL configurada.
los dnsbl comando de la CLI
los dnsbl comando CLI proporciona un medio para controlar y supervisar el funcionamiento del módulo de filtrado de spam. los dnsbl
comando por sí sola sin opciones muestra el estado general de todas las ALG. Si el nombre del objeto SMTP ALG en el que
está habilitado el filtrado de spam es DNSBL
my_smtp_alg a continuación, la salida sería:
GW-mundo: /> dnsbl
Contextos DNSBL:
Nombre Estado Correo no deseado soltar Aceptar

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
my_smtp_alg activo 156 34299
sesenta y cinco
alt_smtp_alg inactivo 0 0 0
Los - espectáculo opción proporciona un resumen de la operación de filtrado de spam de un ALG específica. Se utiliza a continuación para examinar la
actividad de my_smtp_alg aunque en este caso, el objeto ALG aún no se ha procesado ningún correo electrónico.
GW-mundo: /> dnsbl my_smtp_alg -demostrar
Umbral descenso : 20
Umbral de correo no deseado : 10
Utilizar registros TXT : Sí
IP caché deshabilitada Listas Negras
configurado: 4 listas negras para
minusválidos: 0 sesiones actuales
:0
Estadística:
Número total de correos verificado: 0 Número de
correos cayó :0
Número de mensajes de spam etiquetada: 0 número de correos
electrónicos aceptados :0
Lista negra Estado del Valor Total No se pudo partidos
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
zen.spamhaus.org activo 25 0 0 0
cbl.abuseat.org activo 20 0 0 0
dnsbl.sorbs.net activo 5 0 0 0
288
6.2.6. El POP3 ALG Capítulo 6. Mecanismos de seguridad
asdf.egrhb.net activo 5 0 0 0
Para examinar las estadísticas para un servidor DNSBL en particular, el siguiente comando se puede utilizar.
GW-mundo: /> dnsbl smtp_test zen.spamhaus.org -demostrar
Lista negra: Estado zen.spamhaus.org

: activa
Valor de peso: 25 Número de correos
verificado : 56
Número de coincidencias en la lista :3
Número de controles fallidos (tiempos desactivarse) :0
Para limpiar el dnsbl caché para my_smtp_alg y para restablecer todos los contadores estadísticos, la opción del comando siguiente se puede
utilizar:
GW-mundo: /> dnsbl my_smtp_alg -clean
servidores DNSBL: Consejo
Una lista de los servidores de DNSBL se puede encontrar en:
http://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists.
6.2.6. El POP3 ALG

POP3 es un protocolo de transferencia de correo que se diferencia de SMTP en el que la transferencia de correo es directamente desde un servidor de
software de cliente de un usuario.
Opciones ALG POP3
Las principales características de los protocolos POP3 ALG son:
clientes de bloques de envío de comandos de conexiones del bloque entre el cliente y el servidor que enviar la combinación de nombre de
usuario y pass usuario / contraseña como texto claro que se puede leer con facilidad (algunos servidores no
sean compatibles con otros métodos que esto).
Ocultar usuario Esta opción evita que el servidor POP3 de revelar que un usuario no existe.
Esto evita que los usuarios probar diferentes nombres de usuario hasta
encontrar una válida.
Permitir Desconocida Comandos POP3 comandos no estándar no reconocidos por el ALG se les
permite o no.
Modo de Falla Al escanear el contenido encontrar mala integridad del archivo, el archivo puede ser permitido
o denegado.
Verificar el tipo MIME El contenido de un archivo adjunto se puede comprobar para ver si está de acuerdo con su
tipo de archivo determinado. Una lista de todos los tipos de archivos que se verifican de esta
manera se puede encontrar en Apéndice C, tipos de archivos Verified MIME. Esta misma
opción también está disponible en el ALG HTTP y una descripción más completa de cómo
funciona se puede encontrar en Sección 6.2.2, “El HTTP ALG”.
Bloquear / Permitir tipo de archivo Tipos de archivo de una lista predefinida opcionalmente pueden ser bloqueados o
289
6.2.7. El PPTP ALG Capítulo 6. Mecanismos de seguridad
permitidos como adjuntos de correo y nuevos tipos de archivos se pueden agregar a la lista.
Esta misma opción también está disponible en el ALG HTTP y una descripción más completa
de cómo funciona se puede encontrar en
Sección 6.2.2, “El HTTP ALG”.
Scanning Anti-Virus El subsistema Anti-Virus NetDefendOS puede opcionalmente adjuntos de correo electrónico
de exploración en busca de código malicioso. archivos sospechosos pueden ser dejados o
simplemente registran. Esta característica es común a una serie de ALGs y se describe
completamente en Sección 6.4, “Anti-Virus Scanning”.
6.2.7. El PPTP ALG
¿Por qué el PPTP ALG es Necesaria
El PPTP ALG se proporciona para hacer frente a un problema específico cuando se utilizan túneles PPTP con NAT.
Supongamos que tenemos dos clientes UN y segundo en una red interna protegida detrás de un Firewall NetDefend. El
cortafuegos está conectado a Internet externa y una regla NAT se define para permitir el tráfico de los clientes fluya a Internet. Por
lo tanto, ambos clientes se parecen tener la misma dirección IP, ya que hacen conexiones a los servidores a través de Internet.
Un cliente UN ahora establece un túnel PPTP a un host externo do a través de Internet. Los puntos finales del túnel son el cliente y el
servidor externo. Debido a la regla de NAT IP, aparecerá la conexión de túnel que puede venir desde la dirección IP externa en el
Esta primera conexión tendrá éxito, pero cuando el segundo cliente segundo Además, intenta conectarse al mismo servidor do en la misma
dirección IP de punto final, la primera conexión de UN se perderá. La razón es que tanto los clientes están tratando de establecer un túnel
PPTP desde la misma dirección IP externa al mismo punto final.
Figura 6.6. El uso de PPTP ALG
El PPTP ALG resuelve este problema. Mediante el uso de la ALG, el tráfico de todos los clientes se puede multiplexar a través
de un único túnel PPTP entre el firewall y el servidor.
Configuración PPTP ALG
290
6.2.8. La SIP ALG Capítulo 6. Mecanismos de seguridad
Configuración de la PPTP ALG es similar a la puesta en marcha de otros tipos ALG. El objeto ALG debe estar asociado con el servicio
correspondiente y el servicio se asocia entonces con una regla IP. La secuencia completa de pasos para la configuración es la siguiente:
• Definir un nuevo objeto PPTP ALG con un nombre adecuado, por ejemplo pptp_alg. La lista completa de opciones para el ALG
se enumeran al final de esta sección.
• Asociar el nuevo objeto ALG con un apropiado Servicio objeto. El servicio predefinida llamada
pptp-CTL se puede utilizar para este propósito.
Como alternativa, un nuevo objeto de servicio personalizado se puede definir, por ejemplo, llama pptp_service. El servicio debe tener las
siguientes características:
yo. Selecciona el Tipo ( el protocolo) como TCP.
ii. los Fuente rango de puertos puede ser el valor por defecto de 0-65535.
Iii. Selecciona el Destino puerto a ser 1723.
iv. Selecciona el ALG de ser el objeto PPTP ALG que se definió en el primer paso. En este caso,
fue llamado pptp_alg.
• Asociar este objeto de servicio con la regla de NAT IP que permite que el tráfico fluya desde los clientes hasta el punto final
remoto del túnel PPTP. Esta puede ser la regla de que los NAT el tráfico a Internet con una red de destino de todos-NET.
La única regla IP a continuación muestra cómo el objeto de servicio personalizado llamado pptp_service se asocia con una
regla NAT típico. Los clientes, que son el punto final local de los túneles PPTP, están situados detrás del firewall en la red Lannet
que está conectado a la lan interfaz. Internet se encuentra en el pálido interfaz que es la interfaz de destino, con todas las
redes de como la red de destino.
NAT lan Lannet pálido todas las redes de pptp_service
Ajustes PPTP ALG
Los siguientes ajustes están disponibles para el PPTP ALG:
Nombre Un nombre descriptivo para la ALG.
tiempo de espera de eco tiempo de espera que los mensajes de eco en el túnel PPTP.
Tiempo de inactividad tiempo de espera de inactividad para los mensajes de tráfico de usuarios en el túnel PPTP.
En la mayoría de los casos sólo el nombre tiene que ser definido y los otros ajustes pueden dejarse en sus valores por defecto.
6.2.8. La SIP ALG
Visión de conjunto
Protocolo de Iniciacion de Sesion ( SIP) es un archivo ASCII (UTF-8) protocolo de señalización basado en texto utilizado para
establecer sesiones entre los clientes en una red IP. Es un protocolo de petición-respuesta similar HTTP y SMTP. La sesión, que
establece SIP podría consistir en una llamada telefónica de voz sobre IP (VoIP) o podría ser una conferencia multimedia de
colaboración. El uso de SIP con VoIP significa que la telefonía puede convertirse en otra aplicación IP que puede integrarse en otros
servicios.
291
SIP Establece Nuevo Sesiones
SIP no sabe nada de los detalles del contenido de una sesión y sólo es responsable de la iniciación, terminación y modificación de
sesiones. Sesiones establecidos por SIP se utilizan normalmente para la transmisión de audio y vídeo a través de Internet utilizando el
protocolo RTP / RTCP (que se basa en UDP), pero también podrían incluir el tráfico basado en el protocolo TCP. Un sesiones basadas
en RTP / RTCP también podrían implicar el tráfico TCP o TLS basado en la misma sesión.
La SIP RFC
SIP es definido por el IETF RFC 3261 y esto se considera un nivel general importante para la comunicación VoIP. Es
comparable a H.323, sin embargo, un objetivo de diseño con SIP SIP era hacer más escalable que H.323. (Para VoIP,
consulta Sección 6.2.9, “El H.323 ALG”.)
Importante: El cumplimiento equipos de terceros
NetDefendOS se basa en la aplicación de SIP se describe en RFC 3261. Sin embargo, el procesamiento adecuados de
mensajes SIP y el establecimiento de medios no pueden ser garantizadas a menos clientes locales y remotos, así como
proxies están configurados para seguir el RFC 3261.
Por desgracia, un tercer equipo de SIP de las partes podrá utilizar las técnicas que se encuentran fuera RFC
3261 y puede que no sea posible configurar el equipo para desactivar estos. Por esta razón, estos equipos no
podrán ser capaces de operar con éxito con el NetDefendOS SIP ALG.
Por ejemplo, convertidores analógico a digital que no funcionan con el SIP ALG puede venir pre-configurado por los
proveedores de servicios con posibilidades de configuración restringidos.
técnicas de NAT transversal como STUN también se encuentran fuera de la RFC 3261 y necesitan estar deshabilitado.
NetDefendOS es compatible con tres escenarios
Antes de continuar describiendo SIP con mayor profundidad, es importante entender que NetDefendOS apoya el uso de SIP en tres
escenarios distintos:
• La protección de los clientes locales
En este escenario, el proxy se encuentra en algún lugar de la Internet pública.
• La protección de proxy y los clientes locales
En este caso, la representación se encuentra en la misma red que los clientes. Sin embargo, este caso se puede dividir en dos escenarios:
yo. Los clientes y de proxy están en una red interna, de confianza.
ii. Los clientes de proxy y están en la red DMZ.
Traffic Shaping con SIP
Cualquier conexión de tráfico que activan una regla NetDefendOS IP con un objeto de servicio asociado que utiliza el SIP ALG no puede estar
sujeto también a la modulación del tráfico.
componentes SIP
292
Los siguientes componentes son los bloques de construcción lógicos para la comunicación SIP:
Agente de usuario Estos son los puntos finales o clientela que están involucrados en la comunicación de cliente a cliente. Estos
serían típicamente la estación de trabajo o dispositivo que se utiliza en una conversación de telefonía IP. El
termino cliente se utilizará a lo largo de esta sección para describir una agente de usuario.
Los servidores proxy Estos actúan como routers en el protocolo SIP, que realicen tanto como cliente y servidor al recibir solicitudes de los
clientes. Ellos reenviar solicitudes a la ubicación actual de un cliente, así como autenticación y autorización de
acceso a los servicios. También implementan políticas de enrutamiento de llamadas de proveedores.
El proxy a menudo se encuentra en el lado externo, sin protección de la NetDefend Firewall, pero puede tener
otras localizaciones. Todos estos escenarios están soportados por NetDefendOS.
registradores Un servidor que maneja SIP REGISTRO las solicitudes se le da el nombre especial del Registrador. El
servidor Registrador tiene la tarea de localizar el host en el otro cliente es alcanzable.
El Registrador y servidor proxy son entidades lógicas y pueden, de hecho, residir en el mismo servidor
físico.
Protocolos relacionados con los medios de comunicación SIP
Una sesión de SIP hace uso de una serie de protocolos. Estos son:
(Session Description Protocol RFC4566) se utiliza para la sesión de medios de inicialización.

partido socialdemócrata
RTP Protocolo de transporte en tiempo real ( RFC3550) se utiliza como el formato de paquetes subyacente para enviar audio y vídeo
streaming a través de IP utilizando el protocolo UDP.
RTCP Protocolo de control en tiempo real ( RFC3550) se utiliza en conjunción con RTP para proporcionar
fuera de la banda de gestión de flujo de control.
Configuración NetDefendOS SIP
Al configurar NetDefendOS para manejar las sesiones SIP son necesarios los siguientes pasos:
• Definir un único Servicio objeto para la comunicación SIP.
• definir una SIP ALG objeto que se asocia con la Servicio objeto.
• Definir el apropiado las normas de PI para las comunicaciones SIP que utilizan la definen Servicio objeto.
Opciones ALG SIP
Las siguientes opciones se pueden configurar para un objeto SIP ALG:
Sesiones máximas por ID El número de sesiones simultáneas que un solo cliente puede estar involucrado con
está restringido por este valor. El número predeterminado es 5.
Tiempo máximo de registro El tiempo máximo para la inscripción con un registrador SIP. El valor por defecto es 3600
segundos.
Tiempo de espera de señal SIP El tiempo máximo permitido para las sesiones SIP. El valor por defecto
293
valor es 43200 segundos.
Tiempo de espera de canal de datos El tiempo máximo permitido para los periodos sin tráfico en una sesión SIP. Una
condición de tiempo de espera se produce si se excede este valor. El valor por
defecto es 120 segundos.
Permitir la omisión de medios Si esta opción está activada, los datos. tales como RTP / RTCP comunicación,
puede tener lugar directamente entre dos clientes sin la participación del
NetDefend Firewall. Esto sólo ocurriría si los dos clientes estaban detrás de la
misma interfaz y pertenecen a la misma red. El valor por defecto es Discapacitado.
La SIP Proxy Registro de carreteras Opción
Para entender cómo configurar escenarios SIP con NetDefendOS, es importante entender primero el proxy SIP Registro de carreteras opción.
proxies SIP tienen la opción de registro de carreteras, ya sea activado o desactivado. Cuando está encendido, la representación se conoce
como una de proxy con estado. Cuando se habilita registro de carreteras, la representación se dice que será el intermediario para toda la
señalización SIP que tiene lugar entre dos clientes.
Cuando una sesión SIP se está estableciendo, al cliente que llama envía una INVITACIÓN mensaje a su servidor proxy SIP saliente. Los relés de
proxy SIP este mensaje al servidor proxy remoto responsable de la información de contacto de la llama, del cliente remoto. El proxy remoto a
continuación retransmite la INVITACIÓN mensaje a la llamada del cliente. Una vez que los dos clientes han aprendido de las direcciones IP de
cada uno, pueden comunicarse directamente entre sí y que quedan mensajes SIP puede pasar por alto los proxies. Esto facilita el escalado
desde servidores proxy sólo se utilizan para el intercambio inicial de mensajes SIP.
La desventaja de la eliminación de los proxies de la sesión es que las reglas NetDefendOS IP deben estar configurados para permitir todos los
mensajes SIP a través de la NetDefend Firewall, y si la red de origen de los mensajes no se conoce entonces un gran número de conexiones
potencialmente peligrosas debe ser permitido por establece la norma IP. Este problema no se produce si el proxy local está configurado con la
opción de registro de carreteras habilitado. En este modo, todos los mensajes SIP sólo tendrán lugar desde el proxy.
Las diferentes normas requieren cuando el Registro de carreteras opción está activada y desactivada se puede ver en los dos conjuntos diferentes de
normas de PI que figuran a continuación en la descripción detallada de Escenario 1 La protección de los clientes locales - Proxy se encuentra en
Internet.
Reglas IP para datos multimedia
Cuando se habla de datos SIP flujos hay dos tipos distintos de intercambios involucrados:
• La sesión SIP que establece la comunicación entre dos clientes antes del intercambio de
datos de los medios.
• El intercambio de la datos de los medios sí, por ejemplo, los datos de voz codificados que constituyen una llamada de teléfono de VoIP.
En las configuraciones SIP se describen a continuación, las normas de PI sólo necesitan ser definidos explícitamente a tratar con el primero de los
intercambios, los SIP anteriores necesarios para establecer comunicaciones de cliente a cliente. No hay reglas IP u otros objetos necesitan ser
definidos para manejar el segundo de lo anterior, el intercambio de datos de medios. La SIP ALG toma automáticamente y de forma invisible encarga
de crear las conexiones necesarias (a veces descrito como SIP agujeros) para permitir que el tráfico de datos de los medios de comunicación fluya a
través del NetDefend Firewall.
Propina
Asegúrese de que no hay reglas anteriores que ya están en el conjunto de reglas IP rechazando o permitiendo que el mismo
tipo de tráfico.
294
Escenarios de uso de SIP
NetDefendOS soporta una variedad de escenarios de uso SIP. Los siguientes tres escenarios abarcan casi todos los posibles tipos de
uso:
• escenario 1
La protección de los clientes locales - Proxy se encuentra en Internet
La sesión SIP es entre un cliente en el lado local, protegido de la NetDefend Firewall y un cliente que se encuentra en el
lado externo, sin protección. El proxy SIP está situado en el lado externo, sin protección de la NetDefend Firewall. La
comunicación tiene lugar normalmente a través de la Internet pública con los clientes en el lado interno, protegido de
registrarse con un proxy en el lado público, sin protección.
• escenario 2
La protección de los clientes proxy y locales - Proxy en la misma red que los clientes
La sesión SIP es entre un cliente en el lado local, protegido de la NetDefend Firewall y un cliente que se encuentra en el
lado externo, sin protección. El proxy SIP se encuentra en el lado local, protegido de la NetDefend Firewall y puede
manejar registros de ambos clientes ubicados en la misma red local, así como clientes en el lado externo, sin
protección. La comunicación puede tener lugar a través de la Internet pública o entre clientes de la red local.
• escenario 3
La protección de los clientes proxy y locales - Proxy en una interfaz DMZ
La sesión SIP es entre un cliente en el lado local, protegido de la NetDefend Firewall y un cliente que se encuentra en
el lado externo, sin protección. El proxy SIP está situado en la interfaz DMZ y está separada físicamente de la red del
cliente local, así como la red de cliente remoto y la red de proxy.
Todos los escenarios anteriores también hacer frente a la situación en la que dos clientes en una sesión residen en la misma red.
Estos escenarios serán ahora examinadas en detalle.
escenario 1
La protección de los clientes locales - Proxy se encuentra en Internet
El escenario es asumido una oficina con los usuarios de VoIP en una red interna privada donde se oculta la topología de la red
mediante NAT. Esto se ilustra a continuación.
295
El proxy SIP en el diagrama anterior, alternativamente, podría estar situado de forma remota a través de Internet. El proxy debe estar configurado
con la Registro de carreteras característica habilitada para asegurar que todo el tráfico SIP desde y hacia los clientes de la oficina se envía a través
del proxy SIP. Esto se recomienda ya que la superficie de ataque se reduce al mínimo, permitiendo únicamente la señalización SIP desde el Proxy
SIP para entrar en la red local.
Este escenario se puede implementar de dos maneras:
• El uso de NAT para ocultar la topología de la red.
• Sin NAT por lo que la topología de la red está expuesta.
Nota: NAT transversal no debe configurarse
Agente de Usuario SIP y SIP proxies no deben configurarse para utilizar NAT en cualquier configuración. Por
ejemplo, la Simple Traversal de la UDP a través de NAT ( técnica STUN) no debe ser utilizado. El NetDefendOS
SIP ALG se hará cargo de todos los problemas de NAT transversal en un escenario SIP.
Los pasos de configuración para este escenario son los siguientes:
1. Definir una SIP ALG objeto usando las opciones descritas anteriormente.
2. Definir una Servicio objeto que está asociado con el objeto SIP ALG. El servicio debe tener:
• Puerto de destino ajustado a 5060 ( la SIP predeterminado puerto de señalización).
• Tipo ajustado a TCP / UDP.
3. Definir dos reglas en el conjunto de reglas IP:
• UN NAT gobernar para el tráfico saliente de los clientes de la red interna al servidor proxy SIP situado en el exterior. La SIP
ALG se hará cargo de todo la traducción de direcciones que necesita el NAT regla. Esta traducción se producirá tanto en el
nivel IP y el nivel de aplicación. Ni los clientes o los apoderados deben ser conscientes de que los usuarios locales están
siendo NATeado.
• Un Permitir gobernar para el tráfico SIP entrante desde el proxy SIP a la dirección IP del servidor de seguridad NetDefend. Esta
regla se utilizará núcleo ( en otras palabras, NetDefendOS sí mismo) como la interfaz de destino. La razón de esto se debe a
la NAT regla anterior. Cuando se recibe una llamada entrante, NetDefendOS localizará automáticamente el receptor local,
realice los mensajes de traducción de direcciones y SIP hacia delante al receptor. Esto se ejecutará sobre la base del
estado interno ALG.
UN SAB regla para traducir los mensajes SIP entrantes no es necesario ya que la ALG redirigirá automáticamente las
solicitudes SIP entrantes al usuario interno correcto. Cuando un cliente SIP detrás de un Firewall NATing NetDefend se
registra con un proxy SIP externo, NetDefendOS envía su propia dirección IP como la información de contacto para el proxy
SIP. NetDefendOS registra información de contacto local del cliente y la utiliza para redirigir las peticiones entrantes al usuario.
La ALG se encarga de las traducciones necesarias de direcciones.
4. Asegúrese de que los clientes están configurados correctamente. El servidor proxy SIP juega un papel clave en la localización de la ubicación
actual de otro cliente para la sesión. La dirección IP del proxy no se especifica directamente en la ALG. En su lugar, ya sea su ubicación
se introduce directamente en el software de cliente utilizado por el cliente o, en algunos casos, el cliente tendrá una manera de recuperar
la dirección IP del proxy automáticamente, como a través de DHCP.
Nota: NAT transversal no debe configurarse
Agente de Usuario SIP y SIP Proxy no deben ser configurados para emplear NAT
En cualquier configuración. Por ejemplo, la Simple Traversal de la UDP a través de NAT ( técnica STUN) no
debe ser utilizado. El NetDefendOS SIP ALG se hará cargo de todo
296
temas transversales con NAT en una configuración SIP.
Las reglas IP con la opción de registro de carreteras habilitadas debería ser la que se muestra a continuación, los cambios que se aplican cuando se
utiliza NAT se muestran entre paréntesis "(..)".
Acción Interfaz src src Red Interfaz dest dest Red
Permitir (o lan Lannet pálido Proxy ip

NAT)
Permitir pálido Proxy ip LAN (o Lannet (o

núcleo) wan_ip)
Sin la opción de registro de carreteras permitió a las normas de PI se muestran a continuación, los cambios que se aplican cuando se utiliza NAT
se muestran de nuevo en paréntesis "(..)".
Acción Interfaz src src Red Interfaz dest dest Red
Permitir (o lan Lannet pálido <Todas las posibles direcciones IP>

NAT)
Permitir pálido <Todas las posibles direcciones IP> LAN (o Lannet (o

núcleo) ipwan)
La ventaja de usar Registro de carreteras está claro ya que ahora la red de destino para el tráfico saliente y la red de origen para el
tráfico entrante tiene que incluir todas las direcciones IP que son posibles.
El objeto de servicio para las reglas de propiedad intelectual
En esta sección, mesas, que las reglas de listas de IP como los anteriores, se omite el Servicio objeto asociado a la regla. El
mismo, a medida Servicio objeto se utiliza para todos los escenarios SIP.
escenario 2
La protección de los clientes proxy y locales - Proxy en la misma red que los clientes
En este escenario, el objetivo es proteger a los clientes locales, así como el proxy SIP. El proxy se encuentra en la misma red, local, los
clientes, la señalización SIP y datos de los medios que fluye a través de dos interfaces. Este escenario se ilustra a continuación.
Este escenario se puede implementar de dos maneras:
• El uso de NAT para ocultar la topología de la red.
297
• Sin NAT por lo que la topología de la red está expuesta.
Solución A - El uso de NAT
A continuación, el proxy y los clientes locales se ocultan detrás de la dirección IP del servidor de seguridad NetDefend. Los pasos de instalación son los
siguientes:
1. Definir un solo objeto SIP ALG usando las opciones descritas anteriormente.
• Puerto de destino ajustado a 5060 ( el valor por defecto SIP puerto de señalización)
• Tipo ajustado a TCP / UDP
3. Definir las tres reglas en el conjunto de reglas IP:
• UN NAT gobernar para el tráfico saliente desde el proxy local y los clientes de la red interna a los clientes remotos en, por
ejemplo, Internet. La SIP ALG se hará cargo de todo la traducción de direcciones que necesita el NAT regla. Esta
traducción se producirá tanto en el nivel IP y el nivel de aplicación. Ni los clientes o los apoderados deben ser
conscientes de que los clientes locales están siendo NATeado.
Si Registro de carreteras está activado en el proxy SIP, el fuente la red de la NAT regla puede incluir sólo el proxy SIP, y
no a los clientes locales.
• UN SAB gobernar para redirigir el tráfico SIP entrante a la dirección IPv4 privada del proxy local NATeado. Esta regla
tendrá núcleo como la interfaz de destino (en otras palabras NetDefendOS en sí), ya que el tráfico entrante será
enviado a la dirección IPv4 privada del proxy SIP.
• Un Permitir regla que coincide con el mismo tipo de tráfico como el SAB regla definida en el paso anterior.
Acción Interfaz src Src Red Red Dest Dest Interfaz
OutboundFrom NAT lan Lannet pálido todas las redes de

ProxyUsers (ip_proxy)
ProxyAndClients SAT pálido todas las redes de núcleo wan_ip

InboundTo ip_proxy
SETDEST
ProxyAndClients Permitir pálido todas las redes de núcleo wan_ip

InboundTo
Si Registro de carreteras está activada, el de red de origen para el tráfico saliente de los usuarios de proxy puede ser restringido adicionalmente en las
reglas anteriores mediante el uso de " Proxy ip" como se indica.
Cuando se recibe una llamada entrante, el SIP ALG seguirá el SAB gobernar y reenviar la petición SIP al servidor
proxy. El proxy, a su vez, enviará la petición a su destino final, que es el cliente.
Si Registro de carreteras está deshabilitado en el servidor proxy, y dependiendo del estado de la sesión SIP, SIP ALG puede
reenviar mensajes SIP entrantes directamente al cliente, sin pasar por el proxy SIP. Esto sucederá automáticamente sin
configuración adicional.
Solución B - Sin NAT
Sin NAT, el saliente NAT regla se sustituye por una Permitir regla. el entrante SAB y Permitir
normas se reemplazan por un solo Permitir regla.
OutboundFrom Permitir lan Lannet pálido todas las redes de
298
Proxy y Clientes (Proxy ip)
InboundTo proxy Permitir pálido todas las redes de lan Lannet

y Clientes (ip_proxy)
Si Registro de carreteras está activada, las redes en las reglas anteriores pueden estar más restringidos por el uso de "( Proxy ip)" como se indica.
escenario 3
La protección de los clientes proxy y locales - Proxy en la interfaz DMZ
Este escenario es similar al anterior, pero la principal diferencia es la ubicación del servidor proxy SIP local. El servidor se coloca en una
interfaz independiente y la red para los clientes locales. Esta configuración añade una capa adicional de seguridad ya que el tráfico SIP
inicial no se intercambia directamente entre un extremo remoto y los clientes locales, protegidas.
La complejidad se incrementa en este escenario ya que los mensajes SIP fluyen a través de tres interfaces: la interfaz que recibe desde el
iniciador de llamada, la interfaz DMZ hacia el proxy y la interfaz de destino hacia el terminador de llamada. Esto los mensajes primeros
intercambios que tienen lugar cuando una llamada está configurado en este escenario se ilustra a continuación:
299
Los intercambios ilustradas son las siguientes:
• 1,2 - Una inicial INVITACIÓN se envía al servidor proxy local de salida en la zona de distensión.
• 3,4 - El servidor proxy envía los mensajes SIP hacia el destino en Internet.
• 5,6 - Un cliente o servidor proxy remoto responde al servidor proxy local.
• 7,8 - El proxy local envía la respuesta al cliente local.
Este escenario se puede implementar en una configuración de topología escondite con DMZ ( Una solución de más adelante), así como una
configuración sin NAT ( solución B abajo).
Solución A - El uso de NAT
A continuación hay que señalar acerca de esta configuración:
• La dirección IP del servidor proxy SIP debe ser una dirección IP globalmente enrutable. El NetDefend Firewall no es compatible con el
ocultamiento de proxy en la zona de distensión.
• La dirección IP de la interfaz DMZ debe ser una dirección IP globalmente enrutable. Esta dirección puede ser la misma dirección
que el utilizado en la interfaz externa.
Los pasos de instalación son los siguientes:
3. Definir las cuatro reglas en el conjunto de reglas IP:
• UN NAT gobernar para el tráfico saliente de los clientes de la red interna para el proxy situado en la interfaz DMZ. La SIP
ALG se hará cargo de todo la traducción de direcciones que necesita el NAT regla. Esta traducción se producirá tanto
en el nivel IP y en el nivel de aplicación.
Nota
Clientes registrarse en el proxy en la zona de distensión tendrán la dirección IP de la
300
interfaz DMZ como la dirección de contacto.
• Un Permitir gobernar para el tráfico saliente desde el proxy detrás de la interfaz DMZ a los clientes remotos a través de Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde el proxy SIP detrás de la interfaz DMZ a la dirección IP del servidor de
seguridad NetDefend. Esta regla tendrá núcleo ( en otras palabras, NetDefendOS sí mismo) como la interfaz de destino.
La razón de esto es debido a la NAT regla anterior. Cuando se recibe una llamada entrante, NetDefendOS localiza
automáticamente el receptor local, realiza la traducción de direcciones y envía mensajes SIP para el receptor. Esto se
realiza con base en el estado interno del SIP ALG.
• Un Permitir gobernar para el tráfico entrante desde, por ejemplo Internet, al proxy detrás de la zona de distensión.
4. Si Registro de carreteras es no habilitado en el proxy, el intercambio directo de mensajes SIP también debe permitir entre los clientes, sin pasar
por el proxy. por lo tanto, se necesitan las siguientes reglas adicionales cuando Registro de carreteras está desactivado:
• UN NAT gobernar para el tráfico saliente de los clientes de la red interna a los clientes externos y servidores proxy en, por
ejemplo, Internet. La SIP ALG se hará cargo de todo la traducción de direcciones que necesita el NAT regla. La
traducción se producirá tanto en el nivel IP y el nivel de aplicación.
• Un Permitir gobernar para el tráfico SIP entrante desde, por ejemplo Internet, a la dirección IP de la interfaz DMZ. La razón
de esto es porque los clientes locales serán NATed utilizando la dirección IP de la interfaz DMZ al registrarse en el
proxy situado en la zona de distensión.
Esta regla tiene núcleo como la interfaz de destino (en otras palabras, NetDefendOS sí mismo). Cuando se recibe una
llamada entrante, NetDefendOS utiliza la información de registro del receptor local para localizar automáticamente este
receptor, lleve a cabo los mensajes de traducción de direcciones y SIP hacia delante al receptor. Esto se hará en base al
estado interno de la SIP ALG.
Las reglas IP necesarios con Registro de carreteras habilitados son:
OutboundToProxy NAT lan Lannet DMZ Proxy ip
OutboundFromProxy Permitir DMZ Proxy ip pálido todas las redes de
InboundFromProxy Permitir DMZ Proxy ip núcleo dmz_ip
InboundToProxy Permitir pálido todas las redes de DMZ Proxy ip
Con Registro de carreteras personas con discapacidad, las siguientes reglas IP hay que añadir a los anteriores:
OutboundBypassProxy NAT lan Lannet pálido todas las redes de
InboundBypassProxy Permitir pálido todas las redes de núcleo ipdmz
Solución B - Sin NAT
301
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
3. Definir las cuatro reglas en el conjunto de reglas IP:
• Un Permitir gobernar para el tráfico saliente de los clientes de la red interna para el proxy situado en la interfaz
DMZ.
• Un Permitir gobernar para el tráfico saliente desde el proxy detrás de la interfaz DMZ a los clientes remotos a través de Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde el proxy SIP detrás de la interfaz DMZ a los clientes ubicados en la
red local, protegido.
• Un Permitir gobernar para el tráfico SIP entrante de clientes y servidores proxy en Internet al proxy detrás de la interfaz DMZ.
4. Si Registro de carreteras es no habilitado en el proxy, el intercambio directo de mensajes SIP también debe permitir entre los clientes, sin pasar por
el proxy. por lo tanto, son necesarios los siguientes dos reglas adicionales cuando Registro de carreteras está desactivado:
• Un Permitir gobernar para el tráfico saliente de los clientes en la red local a los clientes externos y servidores proxy en
Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde Internet a los clientes de la red local.
Las reglas IP con Registro de carreteras habilitados son:
OutboundToProxy Permitir lan Lannet DMZ Proxy ip
OutboundFromProxy Permitir DMZ Proxy ip lan Lannet
InboundFromProxy Permitir DMZ Proxy ip núcleo dmz_ip
InboundToProxy Permitir pálido todas las redes de DMZ Proxy ip
Con Registro de carreteras personas con discapacidad, las siguientes reglas IP hay que añadir a los anteriores:
OutboundBypassProxy Permitir lan Lannet pálido todas las redes de
InboundBypassProxy Permitir pálido todas las redes de lan Lannet
6.2.9. El H.323 ALG

H.323 es un estándar aprobado por la Unión Internacional de Telecomunicaciones (UIT) para permitir la compatibilidad en las
transmisiones de video conferencia a través de redes IP. Se utiliza para el audio en tiempo real, vídeo y comunicación de datos a
través de redes basadas en paquetes, como Internet. Especifica los componentes, protocolos y procedimientos para proporcionar
dicha comunicación multimedia, incluyendo el teléfono de Internet y voz sobre IP (VoIP).
componentes H.323
H.323 consiste en cuatro componentes principales:
terminales Los dispositivos utilizados para audio y vídeo opcional o comunicación de datos,
tales como teléfonos, unidades de conferencia, u
302
"teléfonos de software", como el "NetMeeting" producto.
gateways Una pasarela H.323 conecta dos redes diferentes y traduce el tráfico entre
ellos. Proporciona conectividad entre redes H.323 y H.323 redes que no son
tales como redes telefónicas públicas conmutadas (PSTN), la traducción de
protocolos y la conversión de los flujos de medios. Una puerta de enlace no
se requiere para la comunicación entre dos terminales H.323.
porteros El controlador de acceso es un componente en el sistema H.323 que se utiliza para el

direccionamiento, autorización y autenticación de terminales y puertas de enlace. También
puede hacerse cargo de la gestión de ancho de banda,
contabilidad, facturación y cobro. los
guardián puede permitir que las llamadas se colocan directamente entre los puntos finales, o
puede encaminar la señalización a través de sí mismo para llevar a cabo funciones tales
como llamada follow-me / find-me, Reenviar si está ocupado, etc. Se necesita cuando hay
más de un H. 323 terminales detrás de un dispositivo NATing con una sola dirección IP
pública.
Unidades de Control Multipunto MCUs proporciona apoyo a las conferencias de tres o más
terminales H.323. Todos los terminales H.323 que participan en la conferencia telefónica
tienen que establecer una conexión con la MCU. La MCU luego administra las llamadas,
los recursos, los códecs de vídeo y audio usados en la llamada.
Protocolos H.323
Los diferentes protocolos utilizados en la implementación de H.323 son:
H.225 RAS señalización y señalización de Se utiliza para la señalización de llamada. Se utiliza para establecer una conexión entre
control de llamada (Setup) dos puntos extremos H.323. se abre Este canal de señal de llamada entre dos puntos
extremos H.323 o entre un punto extremo H.323 y un controlador de acceso. Para la
comunicación entre dos
Los puntos extremos H.323, se utiliza TCP 1720. Cuando se conecta a un controlador de
acceso, se utiliza el puerto UDP 1719 (mensajes H.225 RAS).
H.245 Control de Medios de Proporciona un control de sesiones multimedia que se establecen entre dos
Comunicación y Transporte puntos extremos H.323. Su tarea más importante es la negociación de apertura y
cierre de canales lógicos. Un canal lógico podría ser, por ejemplo, un canal de
audio utiliza para la comunicación de voz. Video y T.120 canales también se
denominan canales lógicos durante la negociación.
T.120 Un conjunto de protocolos de comunicación y de aplicación. Dependiendo del tipo de

producto H.323, T.120 protocolo se puede utilizar para compartir aplicaciones,
transferencia de archivos, así como para las funciones de conferencia tales como
pizarras.
H.323 ALG cuenta
El H.323 ALG es una puerta de enlace de capa de aplicación flexible que permite a los dispositivos H.323 tales como teléfonos H.323 y
aplicaciones para hacer y recibir llamadas entre sí cuando están conectados a través de redes privadas garantizados por NetDefend Firewalls.
La especificación H.323 no fue diseñado para manejar NAT, como las direcciones IP y los puertos se envían en la carga útil de los
mensajes H.323. El H.323 ALG modifica y traduce los mensajes H.323 para asegurarse de que los mensajes H.323 serán enviados
al destino correcto y permite a través de la NetDefend Firewall.
303
El H.323 ALG tiene las siguientes características:
• El H.323 ALG soporta la versión 5 de la especificación H.323. Esta especificación se basa en

v5 H.225.0 y H.245 v10.
• Además de soportar llamadas de voz y vídeo, H.323 ALG admite el uso compartido de aplicaciones a través del protocolo T.120. T.120 utiliza
TCP para transportar datos de voz y de vídeo, mientras que se transporta a través de UDP.
• Para apoyar a los porteros, ALG supervisa el tráfico RAS entre los puntos finales H.323 y el guardián, con el fin de configurar
correctamente el NetDefend Firewall para permitir que las llamadas a través.
• NAT y SAB normas son compatibles, permitiendo a los clientes y los porteros que utilizan direcciones IPv4 privadas en una red detrás de
la NetDefend Firewall.
Configuración ALG H.323
La configuración de la norma H.323 ALG se puede cambiar para adaptarse a diferentes escenarios de uso. Las opciones configurables son:
• Permitir Canales de Datos TCP
Esta opción permite que los canales de datos basados en TCP a ser negociados. Se utilizan canales de datos, por ejemplo, por el
protocolo T.120.
• Número de canales de datos TCP
El número de canales de datos TCP permitidos puede ser especificado.
• Traducción de direcciones
Para NATeado tráfico de la Red se puede especificar, que es lo que está permitido para ser traducido. los
IP externa para el Red se especifica que es la dirección IPv4 a NAT con. Si el
IP externa se establece como Auto entonces el IP externa se encuentra de forma automática a través de la consulta de rutas.
• Traducir las direcciones canal lógico
Esto normalmente siempre se puede ajustar. Si no está activado entonces ninguna traducción de direcciones se hará sobre direcciones de canal
lógico y el administrador tiene que estar seguro acerca de las direcciones IP y las rutas utilizadas en un escenario particular.
• Gatekeeper vida útil de registro
La vida útil de registro gatekeeper puede ser controlado con el fin de obligar a la reinscripción de los clientes dentro de un cierto
tiempo. Un corto tiempo de registro fuerzas más frecuente por parte de los clientes con el guardián y menos probabilidad de un
problema si la red no está disponible y el cliente piensa que todavía está registrado.
A continuación se presentan algunos escenarios de red donde el uso de H.323 ALG es aplicable. Para cada escenario se presenta un ejemplo de
configuración tanto de la ALG y las reglas. Las tres definiciones de los servicios utilizados en estos escenarios son los siguientes:
• Gatekeeper (UDP TODAS> 1719)
• H323 (H.323 ALG, TCP TODAS> 1720)
• H323-Gatekeeper (H.323 ALG, UDP> 1719)
304
Ejemplo 6.4. Proteger Móviles detrás de cortafuegos NetDefend
En el primer escenario un teléfono H.323 está conectado a la NetDefend firewall en una red (Lannet) con direcciones IP públicas. Para que sea posible
realizar una llamada desde este teléfono a otro teléfono H.323 en Internet, y para permitir que los teléfonos H.323 en Internet para llamar a este teléfono,
tenemos que configurar reglas. Las siguientes reglas se deben agregar al conjunto de reglas, asegúrese de que no hay reglas rechazando o permitiendo que
el mismo tipo de puertos / tráfico antes de estas reglas.
Interfaz web
Regla de salida:
2. Ahora ingrese:
• Nombre: H323AllowOut
• Servicio: H323
• Red de destino: 0.0.0.0/0 (todos-redes)
• Comentario: Activación de llamadas salientes
Regla entrante:
2. Ahora ingrese:
• Nombre: H323AllowIn
• Servicio: H323
305
• Interfaz de destino: lan
• Fuente de red: 0.0.0.0/0 (todos-redes)
• Red de destino: Lannet
• Comentario: Permitir que las llamadas entrantes
Ejemplo 6.5. H.323 con direcciones IPv4 privadas
En este escenario un teléfono H.323 está conectado a la NetDefend firewall en una red con direcciones IPv4 privadas. Para que sea posible realizar una
llamada desde este teléfono a otro teléfono H.323 en Internet, y para permitir que los teléfonos H.323 en Internet para llamar a este teléfono, tenemos que
configurar reglas. Las siguientes reglas se deben agregar al conjunto de reglas, asegúrese de que no hay reglas rechazando o permitiendo que el mismo tipo de
puertos / tráfico antes de estas reglas.
Como estamos usando direcciones IP privadas en el teléfono, el tráfico de entrada necesita ser saciado como en el ejemplo siguiente. El objeto IP-teléfono debe
ser la IP interna del teléfono H.323.
Interfaz web
Regla de salida:
2. Ahora ingrese:
• Nombre: H323Out
• Acción: NAT
• Servicio: H323
Reglas de entrada:
2. Ahora ingrese:
• Nombre: H323In
• Acción: SAB
• Servicio: H323
• Red de destino: wan_ip (IP externa del firewall)
• Comentario: Permitir que las llamadas entrantes al teléfono H.323 en IP-teléfono
3. Para SAB entrar Traducir las direcciones IP de destino: Para Nueva Dirección IP: IP-teléfono (dirección IP del teléfono)
306
2. Ahora ingrese:
• Nombre: H323In
• Servicio: H323
Para realizar una llamada al teléfono detrás de la NetDefend Firewall, realizar una llamada a la dirección IP externa en el servidor de seguridad.
Si hay varios teléfonos H.323 se colocan detrás del firewall, uno SAB regla tiene que ser configurado para cada teléfono. Esto significa que
múltiples direcciones externas tienen que ser utilizados. Sin embargo, se prefiere utilizar un gatekeeper H.323 como en el "H.323 con
Gatekeeper" escenario, ya que esto sólo requiere una dirección externa.
Ejemplo 6.6. Dos teléfonos en diferentes firewalls NetDefend
Este escenario consta de dos teléfonos H.323, cada uno conectado detrás del NetDefend firewall en una red con direcciones IPv4 públicas. Con el fin de
realizar llamadas en estos teléfonos a través de Internet, las siguientes reglas se deben agregar a la lista de reglas en ambos cortafuegos. Asegúrese de
que no hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
Interfaz web
Regla de salida:
2. Ahora ingrese:
• Nombre: H323AllowOut
307
• Servicio: H323
Regla entrante:
2. Ahora ingrese:
• Nombre: H323AllowIn
• Servicio: H323
• Comentario: Permitir que las llamadas entrantes
Ejemplo 6.7. Uso de direcciones IPv4 privadas
Este escenario consta de dos teléfonos H.323, cada uno conectado detrás del NetDefend firewall en una red con direcciones IPv4 privadas. Con el fin de realizar
llamadas en estos teléfonos a través de Internet, las siguientes reglas se deben agregar a la regla establecida en el servidor de seguridad. Asegúrese de que no
hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
Como estamos usando direcciones IP privadas en los teléfonos, el tráfico de entrada necesita ser saciado como en el ejemplo siguiente. El objeto IP-teléfono debe ser la IP
interna del teléfono H.323 detrás de cada servidor de seguridad.
Interfaz web
Regla de salida:
2. Ahora ingrese:
• Nombre: H323Out
• Acción: NAT
• Servicio: H323
308
Reglas de entrada:
2. Ahora ingrese:
• Nombre: H323In
• Acción: SAB
• Servicio: H323
3. Para SAB entrar Traducir las direcciones IP de destino: Para Nueva Dirección IP: IP-teléfono (dirección IP del teléfono)
2. Ahora ingrese:
• Nombre: H323In
• Servicio: H323
Para realizar una llamada al teléfono detrás de la NetDefend Firewall, realizar una llamada a la dirección IP externa en el servidor de seguridad. Si
hay varios teléfonos H.323 se colocan detrás del firewall, uno SAB regla tiene que ser configurado para cada teléfono. Esto significa que múltiples
direcciones externas tienen que ser utilizados. Sin embargo, es preferible utilizar un controlador de acceso H.323 ya que esto sólo requiere una
dirección externa.
Ejemplo 6.8. H.323 con Gatekeeper
En este escenario, un controlador de acceso H.323 se coloca en la DMZ de la NetDefend Firewall. Una regla se configura en el servidor de seguridad para
permitir el tráfico entre la red privada donde los teléfonos H.323 están conectados a la red interna y al Gatekeeper en la zona de distensión. El guardián de
puerta en la DMZ está configurado con una dirección privada. Las siguientes reglas se deben agregar a la lista de reglas en ambos cortafuegos, asegúrese de
que no hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
309
Interfaz web
Reglas entrantes Gatekeeper:
2. Ahora ingrese:
• Nombre: H323In
• Acción: SAB
• Servicio: H323-Gatekeeper
• Comentario: regla SAT para la comunicación entrante con el controlador de acceso situada en ip-guardián
3. Para SAB entrar Traducir las direcciones IP de destino: Para Nueva Dirección IP: IP-guardián (dirección IP del
portero).
2. Ahora ingrese:
• Nombre: H323In
• Comentario: Permitir la comunicación entrante con el Gatekeeper
310
2. Ahora ingrese:
• Nombre: H323In
• Red de destino: ip-guardián (dirección IP del gatekeeper)
• Comentario: Permitir la comunicación entrante con el Gatekeeper
Nota: Las llamadas salientes no necesitan una regla específica
No hay necesidad de especificar una regla específica para las llamadas salientes. NetDefendOS supervisa la comunicación
entre teléfonos "externos" y el guardián de puerta para asegurarse de que es posible para los teléfonos internos para llamar a
los teléfonos externos que están registrados con el gatekeeper.
Ejemplo 6.9. H.323 con Gatekeeper y dos NetDefend cortafuegos
Este escenario es muy similar al escenario 3, con la diferencia de que el NetDefend Firewall protege los teléfonos "externos". El Firewall NetDefend con el
guardián de puerta conectado a la zona de distensión debe ser configurado exactamente igual que en el escenario 3. El otro NetDefend Firewall debe
configurarse de la siguiente manera. Las normas tienen que ser añadido a la lista de reglas, y deben asegurarse de que no hay reglas rechazando o
permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
Interfaz web
311
2. Ahora ingrese:
• Nombre: H323Out
• Acción: NAT
• Comentario: Permitir la comunicación saliente con un gatekeeper
Ejemplo 6.10. Utilizando el H.323 ALG en un entorno corporativo
Este escenario es un ejemplo de una red más compleja que muestra cómo el H.323 ALG se puede implementar en un entorno corporativo. En la zona
de distensión domicilio social un gatekeeper H.323 se coloca que puede manejar todos los clientes H.323 en la cabeza-, rama-y oficinas remotas. Esto
permitirá que toda la corporación de utilizar la red para la comunicación de voz y compartir aplicaciones. Se supone que los túneles VPN están
configurados correctamente y que todas las oficinas utilizan rangos de IP-privadas en sus redes locales. Todas las llamadas externas se realizan por la
red telefónica existente utilizando la pasarela (gateway ip) conectado a la red telefónica ordinaria.
312
La oficina central se ha colocado un H.323 Gatekeeper en la zona desmilitarizada de la corporativa NetDefend Firewall. Este servidor de seguridad debe estar configurado de la siguiente
manera:
Interfaz web
2. Ahora ingrese:
• Nombre: LanToGK
• Red de destino: ip-guardián
• Comentario: Permiten a las entidades H.323 en Lannet se conecten al Gatekeeper
2. Ahora ingrese:
• Nombre: LanToGK
313
• Red de destino: ip-gateway
• Comentario: Permitir que las entidades H.323 en Lannet para llamar a teléfonos conectados a la pasarela H.323 en la DMZ
2. Ahora ingrese:
• Nombre: GWToLan
• Fuente de red: ip-gateway
• Comentario: Permitir la comunicación de la puerta de entrada a teléfonos H.323 en Lannet
2. Ahora ingrese:
• Nombre: BranchToGW
• Interfaz de origen: VPN-rama
• Fuente de red: Poder-net
• Red de destino: ip-gatekeeper, ip-gateway
• Comentario: Permitir la comunicación con el gatekeeper en la DMZ de la red de oficinas
2. Ahora ingrese:
• Nombre: BranchToGW
• Interfaz de origen: vpn-remoto
• Fuente de red: remota-net
• Red de destino: ip-guardián
314
• Comentario: Permitir la comunicación con el gatekeeper en la DMZ de la red remota
Ejemplo 6.11. Configuración de oficinas remotas para H.323
Si los teléfonos de las sucursales y H.323 oficina remota y aplicaciones deben ser configurado para usar el gatekeeper H.323 en la oficina central, los servidores de
seguridad NetDefend en las oficinas remotas y sucursales deben estar configurados de la siguiente manera: (esta regla debe ser tanto Poder y cortafuegos oficina
remota).
Interfaz web
2. Ahora ingrese:
• Nombre: ToGK
• Interfaz de destino: VPN-HQ
• Red de destino: HQ-net
• Comentario: Permitir la comunicación con el controlador de acceso conectado a la Sede de la DMZ
Ejemplo 6.12. Permitiendo que la puerta de enlace H.323 a registrarse con el Gatekeeper
La sucursal NetDefend Firewall tiene una puerta de enlace H.323 conectado a su DMZ. Con el fin de permitir la entrada a registrarse con el gatekeeper
H.323 en la oficina central, la siguiente regla tiene que ser configurado:
Interfaz web
2. Ahora ingrese:
• Nombre: GWToGK
• Interfaz de destino: VPN-HQ
• Fuente de red: ip-branchgw
• Red de destino: HQ-net
• Comentario: Deje que la puerta de enlace para comunicarse con el controlador de acceso conectado a la Sede
315
6.2.10. El TLS ALG Capítulo 6. Mecanismos de seguridad
6.2.10. El TLS ALG
Visión de conjunto
(Transport Layer Security TLS) es un protocolo que proporciona comunicaciones seguras a través de la Internet pública entre dos
puntos finales a través del uso de la criptografía, así como proporcionar autenticación de punto final.
Típicamente, en un escenario de cliente / servidor TLS, sólo la identidad del servidor es autenticado antes de que comience la
comunicación cifrada. TLS se encontró muy a menudo cuando un navegador web se conecta con un servidor que utiliza TLS como cuando
un cliente accede a los servicios bancarios en línea. Esto se refiere a veces como una HTTPS conexión y a menudo se indica mediante un
icono de candado que aparece en la barra de navegación del navegador.
TLS puede proporcionar una solución conveniente y simple para el acceso seguro de los clientes a los servidores y evita muchas de las complejidades
de otros tipos de soluciones VPN como el uso de IPsec. La mayoría de los navegadores web, por lo tanto apoyar TLS y los usuarios pueden
fácilmente tener acceso al servidor seguro sin necesidad de software adicional.
La relación con SSL
TLS es un sucesor para el (Secure Sockets Layer SSL), pero las diferencias son leves. Por lo tanto, para la mayoría de los propósitos, TLS y SSL
pueden ser considerados como equivalentes. En el contexto de la TLS ALG, podemos decir que el NetDefend Firewall está proporcionando terminación
SSL ya que está actuando como un punto final SSL.
En cuanto a la SSL y TLS normas apoyado, NetDefendOS proporciona soporte de terminación para SSL 3.0, así como TLS
1.0, con RFC 2246 define el apoyo TLS 1.0 (con NetDefendOS de apoyo a la parte del lado del servidor de RFC 2246).
TLS es certificado basado
la seguridad TLS se basa en el uso de certificados digitales que están presentes en el lado del servidor y enviadas a un cliente al
comienzo de una sesión TLS con el fin de establecer la identidad del servidor y luego ser la base para el cifrado. Certificados que
son autoridad de certificación (CA) firmado se pueden utilizar en el servidor, en cuyo caso el navegador web de un cliente
reconocerá automáticamente la validez del certificado.
Los certificados auto-firmados se pueden utilizar en lugar de CA firmó los certificados en el servidor. Con los certificados de firma propia, el
navegador web del cliente alertará al usuario de que la autenticidad del certificado no es reconocido y el usuario tendrá que indicar
explícitamente al navegador para aceptar el certificado y continuar.
316
Figura 6.7. Terminación TLS
Ventajas del uso de NetDefendOS para TLS Terminación
TLS se puede implementar directamente en el servidor al que se conectan los clientes, sin embargo, si los servidores están protegidos
detrás de un Firewall NetDefend, entonces NetDefendOS puede asumir el papel de la variable TLS. NetDefendOS continuación, realiza la
autenticación TLS, el cifrado y unencryption de datos desde / hacia los clientes y la transferencia de datos sin cifrar a / desde los
servidores. Las ventajas de este enfoque son:
• apoyo TLS puede ser centralizada en el NetDefend Firewall en lugar de ser establecido en los servidores individuales.
• Los certificados pueden ser gestionados de forma centralizada en el servidor de seguridad NetDefend en lugar de en servidores individuales.
certificados únicos (o un certificado comodín) no necesitan estar presentes en cada servidor.
• La sobrecarga de procesamiento de cifrado / descifrado requerido por TLS puede ser descargado a la NetDefend Firewall. Esto
se debe a veces conocido como aceleración SSL. Cualquier ventajas de procesamiento que se pueden conseguir pueden, sin
embargo, variar y dependerá de las capacidades de procesamiento comparativas de los servidores y el NetDefend Firewall.
• el tráfico TLS descifrado puede estar sujeto a otras características NetDefendOS tales como la modulación del tráfico o en busca de amenazas en
los servidores de exploración con IDP.
• TLS se puede combinar con NetDefendOS balanceo de carga del servidor para proporcionar un medio para difundir el tráfico entre los servidores.
permitiendo TLS
Los pasos a seguir para habilitar TLS en NetDefendOS son los siguientes:
1. Cargar los certificados de acogida y de raíz para ser utilizados con TLS a NetDefendOS, si no lo ha hecho ya.
2. Definir un nuevo objeto TLS ALG y asociar los certificados raíz de acogida y sean apropiadas con la ALG. Si el certificado es
autofirmado, el certificado raíz y el anfitrión debe tanto se establece en el mismo certificado.
3. Crear un nuevo encargo Servicio objeto basado en el protocolo TCP.
317
4. Asociar el objeto TLS ALG con el objeto de servicio de nueva creación.
5. Crear una NAT o Permitir norma IP para el destino del tráfico y asociar el objeto de servicio de encargo
con eso.
6. Opcionalmente, una SAB regla puede ser creado para cambiar el puerto de destino para el tráfico sin cifrar.
alternativamente, una SLB_SAT regla puede ser utilizado para hacer balanceo de carga (el puerto de destino también se puede cambiar a
través de un objeto de servicio personalizado).
A cargo de las direcciones URL de servidores
Cabe señalar que el uso de NetDefendOS para la terminación TLS no va a cambiar las URL de páginas entregadas por los servidores que se
encuentran detrás de la NetDefend Firewall.
Lo que esto significa es que si un cliente se conecta a un servidor web detrás del servidor de seguridad utilizando el NetDefend
https: // protocolo a continuación, cualquiera de las páginas web entregado de nuevo que contiene las direcciones URL absolutas con el http: //
protocolo (tal vez para referirse a otras páginas en el mismo sitio) no tendrá estas URL convertidos a
https: // por NetDefendOS. La solución a este problema es para los servidores para utilizar URL relativas en lugar de absolutas.
De cifrado admitidos por NetDefendOS TLS
NetDefendOS TLS admite los siguientes conjuntos de cifrado:
1. TLS_RSA_WITH_3DES_EDE_CBC_SHA.
2. TLS_RSA_WITH_RC4_128_SHA.
3. TLS_RSA_WITH_RC4_128_MD5.
4. TLS_RSA_EXPORT_WITH_RC4_56_SHA (certificado de clave tamaño de hasta 1024 bits).
5. TLS_RSA_EXPORT_WITH_RC4_40_MD5 (certificado de clave tamaño de hasta 1024 bits).
6. TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (certificado de clave tamaño de hasta 1024 bits).
7. TLS_RSA_WITH_NULL_MD5.
8. TLS_RSA_WITH_NULL_SHA.
NetDefendOS TLS Limitaciones
Como se discutió anteriormente, NetDefendOS TLS proporciona soporte para la terminación del lado del servidor solamente. Las otras limitaciones que
deben tenerse en cuenta.
• No se admite la autenticación de cliente (donde NetDefend Firewall autentica la identidad del cliente).
• Renegociación no es compatible.
• El envío de mensajes de intercambio de claves de servidor no es compatible con lo que significa la llave en el certificado debe ser suficientemente
débil para poder utilizar sistemas de cifrado de exportación.
• La cadena de certificados utilizado por NetDefendOS puede contener como máximo 2 certificados.
318
6.3. Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
6.3. Filtrado de Contenido Web
el tráfico de Internet es una de las mayores fuentes de problemas de seguridad y uso indebido de Internet. hábitos de navegación inapropiada pueden
exponer a una red a muchas amenazas a la seguridad, así como las responsabilidades legales y reglamentarios. La productividad y el ancho de banda
de Internet también pueden verse afectadas.
Los mecanismos de filtrado
A través de los protocolos HTTP ALG, NetDefendOS ofrece los siguientes mecanismos de filtrado de contenidos web que se considera
inadecuada para una organización o grupo de usuarios:
• Manipulación de contenido activo se puede utilizar para "depurar" las páginas web de contenido que el administrador considera una amenaza
potencial, tales como objetos ActiveX y applets de Java.
• Estática filtrado de contenido proporciona un medio para clasificar manualmente sitios web como "bueno" o "malo". Esto también se conoce
como URL listas negras y listas blancas.
• Filtrado de contenido dinámico es una potente característica que permite al administrador para permitir o bloquear el acceso a sitios
web en función de la categoría a la que se han clasificado en por un servicio de clasificación automática. filtrado de contenido dinámico
requiere un mínimo de esfuerzo de administración y tiene una precisión muy alta.
Nota: Activación WCF
Todo el contenido del Web está habilitado el filtrado a través de los protocolos HTTP ALG que se describe en la Sección 6.2.2,
“El HTTP ALG”.
6.3.2. Manipulación de contenido activo
Algunos de los contenidos web puede contener código malicioso diseñado para dañar la estación de trabajo o la red desde donde el usuario
es el surf. Por lo general, dicho código se incrusta en diversos tipos de objetos o archivos que están incrustados en páginas web.
NetDefendOS incluye soporte para la eliminación de los siguientes tipos de objetos de contenido de la página web:
• Los objetos ActiveX (incluyendo Flash)
• applets de Java
• código Javascript / VBScript
• Galletas
• Formato no válido caracteres UTF-8 (el formato de URL no válida se pueden utilizar para atacar servidores web)
Los tipos de objetos que deben eliminarse se pueden seleccionar individualmente mediante la configuración de la correspondiente capa de aplicación
HTTP de puerta de enlace en consecuencia.
Precaución: Tenga en cuenta las consecuencias de la eliminación de objetos
La consideración cuidadosa se debe dar antes de habilitar la eliminación de cualquier tipo de objeto de contenido web. Muchos
sitios web utilizan JavaScript y otros tipos de código del lado del cliente y en la mayoría de los casos, el código no es malicioso.
Los ejemplos más comunes de esto es el script utilizado para implementar menús desplegables así como mostrar y ocultar
elementos en las páginas web.
319
6.3.3. Estática filtrado de contenido Capítulo 6. Mecanismos de seguridad
La eliminación de dicho código legítimo podría, a lo sumo, hacer que el sitio web se vea distorsionada, en el peor, hacer que no
funciona en un navegador en absoluto. Manejo de contenido activo debe, por tanto, sólo se puede utilizar cuando las
consecuencias son bien entendidos.
Ejemplo 6.13. Excluyendo los applets de Java y ActiveX
Este ejemplo muestra cómo configurar una puerta de enlace de capa de aplicación HTTP para despojar a los applets de Java y ActiveX. El ejemplo
utilizará el content_filtering ALG objeto y asume uno de los ejemplos anteriores se ha hecho.
GW-mundo: /> establecer ALG ALG_HTTP content_filtering

RemoveActiveX = Sí Sí =
RemoveApplets
Interfaz web
1. Ir a: Objetos> ALG
2. En la tabla, haga clic en nuestra HTTP ALG objeto, content_filtering
3. Comprobar la objetos Strip ActiveX (incluyendo flash) controlar
4. Comprobar la applets de Java de Gaza controlar
6.3.3. Estática filtrado de contenido
A través de los protocolos HTTP ALG, NetDefendOS pueden bloquear o permitir ciertas páginas web en base a listas de direcciones URL
configuradas que se llaman listas negras y listas blancas. Este tipo de filtrado es también conocido como Filtrado de contenido estático. El principal
beneficio de filtrado de contenido estático es que es una excelente herramienta para la orientación a sitios web específicos, y tomar la decisión en
cuanto a si se deben bloquear o permitir.
Pedido de filtros estáticos y dinámicos
Además, filtrado de contenido estático se lleva a cabo antes de Filtrado dinámico de contenidos (descrito más adelante), lo que permite la
posibilidad de hacer manualmente excepciones del proceso de clasificación dinámica automática. En un escenario en el que los bienes
tienen que ser comprado en una tienda en particular en línea, filtrado de contenido dinámico puede estar configurado para impedir el
acceso a sitios de compras mediante el bloqueo de la categoría "Compras". Introduciendo la URL de la tienda on-line en la capa de
aplicación HTTP lista blanca de puerta de enlace, siempre se permite el acceso a esa URL, pasando por encima de filtrado de contenido
dinámico.
comodines
Tanto la lista negra de URL y el apoyo lista blanca URL comodín coincidente de URL a fin de ser más flexible. Esta coincidencia de
comodines es aplicable a la ruta siguiendo el nombre de host URL que significa que el filtrado puede ser controlado a un nivel de archivo
y directorio también.
A continuación se presentan algunas URL de ejemplo en la lista negra de buenos y malos utilizados para el bloqueo:
* . example.com/* Bueno. Esto bloqueará todos los hosts del example.com de dominio y todas las páginas web atendidos por
estos equipos.
www.example.com/* Bueno. Esto bloqueará la www.example.com sitio web y todas las páginas web
320
6.3.3. Estática filtrado de contenido Capítulo 6. Mecanismos de seguridad
servido por ese sitio.
* /*.gif Bueno. Esto bloqueará todos los archivos con. gif como la extensión del nombre de archivo.
www.example.com Malo. Esto sólo bloquear la primera solicitud al sitio web. surf hasta
www.example.com/index.html, por ejemplo, no será bloqueado.
* example.com/* Malo. Esto también hará que www.myexample.com a ser bloqueado ya que bloquea todos los sitios que
terminan con example.com.
Nota: La lista negra de hosts y redes es independiente
contenido web filtrado de URL lista negra es un concepto separado de la sección 6.7, “Lista negra
hosts y redes”.
Ejemplo 6.14. La creación de un blanco y la lista negra
Este ejemplo muestra el uso de filtrado de contenido estático en el que NetDefendOS pueden bloquear o permitir ciertas páginas web basadas en listas negras
y blancas. Como se ilustrará la usabilidad de filtrado de contenido estático, filtrado de contenido dinámico y la manipulación contenido activo no se habilitarán
en este ejemplo.
En este pequeño escenario de una política general surf evita que los usuarios descarguen archivos .exe. Sin embargo, el sitio web de D-Link proporciona archivos de
programa de seguros y necesarios que deben ser autorizados a descargar.
Comience agregando un ALG HTTP con el fin de filtrar el tráfico HTTP:
GW-mundo: /> añadir ALG ALG_HTTP content_filtering
A continuación, cree un servidor HTTP ALG URL para configurar una lista negra:
GW-mundo: /> content_filtering cc ALG ALG_HTTP
GW-mundo: / content_filtering> añadir ALG_HTTP_URL

URL = * / *. Exe Action =
Lista negra
Por último, hacer una excepción de la lista negra mediante la creación de una lista blanca específica:
GW-mundo: / content_filtering> añadir ALG_HTTP_URL

URL = www.D-Link.com / *. Exe Action =
Lista blanca
Interfaz web
Comience agregando un ALG HTTP con el fin de filtrar el tráfico HTTP:
1. Ir a: Objetos> ALG> Añadir> HTTP ALG
2. Introduzca un nombre adecuado para el ALG, por ejemplo, content_filtering
A continuación, crear una URL HTTP ALG para configurar una lista negra:
2. En la tabla, haga clic en el recién creado HTTP ALG para ver sus propiedades
3. Haga clic en el URL HTTP lengüeta
321
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
4. Ahora haga clic Añadir y seleccione URL HTTP ALG en el menú
5. Seleccionar Lista negra como el Acción
6. Introduzca * / *. exe en el URL caja de texto
Por último, hacer una excepción de la lista negra mediante la creación de una lista blanca:
2. En la tabla, haga clic en el recién creado HTTP ALG para ver sus propiedades
3. Haga clic en el URL HTTP lengüeta
4. Ahora haga clic Añadir y seleccione URL HTTP ALG en el menú
5. Seleccionar Lista blanca como el Acción
6. En el URL cuadro de texto, introduzca www.D-Link.com/*.exe
Simplemente seguir añadiendo listas negras y blancas específicos hasta que el filtro satisface las necesidades.
6.3.4. Dinámica Filtrado de Contenido Web
6.3.4.1. Visión de conjunto
Como parte de los protocolos HTTP ALG, NetDefendOS soportes Dinámica Filtrado de Contenido Web ( WCF) de tráfico web, que permite a un
administrador para permitir o bloquear el acceso a páginas web basadas en el contenido de dichas páginas web.
Bases de datos de WCF dinámicos
NetDefendOS dinámica de WCF permite que la página web de bloqueo a ser automatizado por lo que no es necesario especificar manualmente de
antemano qué direcciones URL para bloquear o permitir. En lugar de ello, D-Link mantiene una infraestructura global de bases de datos que contienen
un gran número de direcciones URL de sitios web actuales que ya están clasificados y agrupados en una variedad de categorías tales como ir de
compras, noticias, deportes, orientado a los adultos y así sucesivamente.
Las bases de datos de URL dinámico WCF se actualizan casi a cada hora con nuevos, URLs categorizadas mientras que al mismo tiempo
mayores, las direcciones URL no válidas se dejan caer. El alcance de las URLs de las bases de datos es global, que abarca los sitios web en
muchos idiomas diferentes y alojados en servidores ubicados en diferentes países.
Flujo de procesamiento de WCF
Cuando un usuario de un navegador web solicita acceso a un sitio web, NetDefendOS consulta las bases de datos dinámicas WCF con el fin
de recuperar la categoría del sitio solicitado. El acceso a la URL a continuación, puede ser permitido o denegado en base a la política de
filtrado que el administrador ha puesto en marcha para esa categoría.
Si se deniega el acceso, una página web se presenta al usuario que explica que el sitio solicitado ha sido bloqueado. Para que el proceso de consulta
lo más rápido posible NetDefendOS mantiene una caché local en memoria de las direcciones URL se ha accedido recientemente. El almacenamiento
en caché puede ser altamente eficiente, ya que una determinada comunidad de usuarios, como por ejemplo un grupo de estudiantes universitarios, a
menudo se encuentre navegando a una gama limitada de sitios web.
322
Figura 6.8. Flujo de filtrado de contenido dinámico
Si la URL de la página web solicitada no está presente en las bases de datos, entonces el contenido de páginas web en la URL se
descargará automáticamente al almacén central de datos de D-Link y analizada de forma automática utilizando una combinación de
técnicas de software. Una vez clasificadas, la URL se distribuye a las bases de datos globales y NetDefendOS recibe la categoría de la
URL. Por lo tanto, dinámico WCF requiere un mínimo de esfuerzo de administración.
Nota: Las nuevas presentaciones de URL se llevan a cabo de forma anónima
Nuevas direcciones URL, no categorizados enviados a la red D-Link se tratan como envíos anónimos y ningún registro
de la fuente de nuevas presentaciones se mantiene.
Páginas categorizar y no los sitios
filtrado dinámico NetDefendOS clasifica las páginas web y no son los Sitios. En otras palabras, un sitio web puede contener determinadas
páginas que deberían ser bloqueados sin bloquear todo el sitio. NetDefendOS proporciona un bloqueo a nivel de página para que los usuarios
todavía pueden acceder a partes de los sitios web que no están bloqueados por la política de filtrado.
WCF y listas blancas
Si está en la lista blanca de una URL en particular, entonces se pasará por alto el subsistema de WCF. Sin clasificación se hará sobre la URL y
que siempre estará permitido. Esto se aplica si la URL tiene una coincidencia exacta con una entrada en la lista blanca o si coincide con una
entrada que hace uso de comodines.
6.3.4.2. Configuración de WCF
Activación
323
Filtrado de contenido dinámico es una característica que se habilita mediante la suscripción de una suscripción por separado al servicio. Esta es una
adición a la licencia NetDefendOS normales.
Una vez que una suscripción se saca, una puerta de enlace (ALG) Objeto de capa de aplicación HTTP debe definirse con Dynamic filtrado
de contenido permitido. Este objeto se asocia entonces con un objeto de servicio y el objeto de servicio se asocia entonces con una norma
de la norma IP establecida para determinar qué tráfico debe estar sujeto a la filtración. Esto hace posible la creación de una política de
filtrado detallado basado en los parámetros de filtrado que se utilizan para las reglas en el conjunto de reglas IP.
Consejo: El uso de un calendario
Si el administrador desea que la política de filtrado de contenidos para variar dependiendo de la hora del día,
pueden hacer uso de un objeto Programación asociada con la regla IP correspondiente. Para obtener más
información, consulte la Sección 3.7, “Horarios”.
De ajuste del modo de fallo
Existe la opción de configurar el ALG HTTP modo a prueba de la misma manera que se puede ajustar para algunos otros ALG y se aplica a WCF
igual que lo hace a funciones tales como el análisis antivirus. El ajuste del modo de falla determina lo que sucede cuando el filtrado de contenido
dinámico no puede funcionar y, por lo general, esto se debe a NetDefendOS es incapaz de llegar a las bases de datos externas para llevar a cabo
operaciones de búsqueda URL. Fallar modo puede tener uno de dos valores:
• Denegar - Si WCF es incapaz de funcionar las URL se les niega el acceso si la base de datos externa para verificar que no es posible. El
usuario verá un "acceso denegado" página web.
• Permitir - Si la base de datos de WCF externa no es accesible, las direcciones URL se permite a pesar de que podrían denegarse si las
bases de datos de WCF eran accesibles.
Ejemplo 6.15. Activación dinámica filtrado de contenido Web
Este ejemplo muestra cómo configurar una política de filtrado de contenido dinámico para el tráfico HTTP desde intnet a todos-NET. La política se puede configurar para
bloquear todos los sitios de búsqueda, y este ejemplo se supone que el sistema está utilizando un único NAT
gobernar para el tráfico HTTP desde intnet a todos-NET.
En primer lugar, crear un Objeto Gateway (ALG) Capa de aplicación HTTP:

WebContentFilteringMode = Habilitado
FilteringCategories = SEARCH_SITES
A continuación, cree un objeto de servicio usando la nueva ALG HTTP:
GW-mundo: /> añadir ServiceTCPUDP http_content_filtering Tipo = TCP

DestinationPorts = 80 ALG =
content_filtering
Por último, modificar el NAT gobernar a utilizar el nuevo servicio. regla de suponer se llama NATHttp:
GW-mundo: /> establecer iprule NATHttp Servicio = http_content_filtering
Interfaz web
2. Especificar un nombre adecuado para el ALG, por ejemplo content_filtering
3. Haga clic en el Filtrado de Contenido Web lengüeta
324
4. Seleccionar Activado en el Modo lista
5. En el Categorías bloqueados lista, seleccione Los sitios de búsqueda y haga clic en el botón >>.
1. Ir a: Objetos Locales> Servicios> Añadir> TCP / UDP servicio
2. Especificar un nombre adecuado para el Servicio, por ejemplo, http_content_filtering
3. Seleccione el TCP en el Tipo la lista desplegable
4. Introduzca 80 en el Puerto de destino caja de texto
5. Seleccione el HTTP ALG acaba de crear en el ALG lista
Por último, modificar el NAT gobernar a utilizar el nuevo servicio:
1. Ir a: Reglas> Reglas IP
2. Seleccione el NAT descartar el manejo del tráfico HTTP
3. Seleccione el Servicio lengüeta
4. Seleccione el nuevo servicio, http_content_filtering, en el predefinida Servicio lista
filtrado de contenido dinámico está ahora activado para todo el tráfico web desde Lannet a todos-NET.
Podemos validar la funcionalidad con los siguientes pasos:
1. En una estación de trabajo en la Lannet red, lanzar un navegador web estándar.
2. Trate de navegar a un sitio de búsqueda. Por ejemplo, www.google.com.
3. Si todo está configurado correctamente, el navegador web presentará una página web que informa al usuario de que el sitio solicitado está
bloqueado.
Modo de auditoría
En Modo de auditoría, el sistema clasificar y registrar toda la surfear acuerdo con la política de filtrado de contenidos, pero los sitios web restringidos
todavía será accesible a los usuarios. Esto significa que la función de filtrado de contenido de NetDefendOS entonces se puede utilizar como una
herramienta de análisis para el análisis de lo categorías de sitios web se accede por una comunidad de usuarios y con qué frecuencia.
Después de ejecutar en modo auditoría para un cierto período de tiempo, es más fácil para luego tener una mejor comprensión del comportamiento de
navegación de los diferentes grupos de usuarios y también para comprender mejor el impacto potencial de activar la función de WCF.
Poco a poco la introducción de bloqueo
El bloqueo de sitios web pueden molestar a los usuarios si se introduce de repente. Por tanto, se recomienda que el administrador introduce
gradualmente el bloqueo de determinadas categorías de una en una. Esto da tiempo a los usuarios individuales para acostumbrarse a la idea
de que existe bloqueo y podría evitar cualquier reacción adversa que pudiera ocurrir si demasiado se bloquea a la vez. introducción gradual
también hace que sea más fácil para evaluar si se están cumpliendo los objetivos de bloqueo de sitios.
325
Ejemplo 6.16. Activación del modo de Auditoría
Este ejemplo se basa en el mismo escenario que el ejemplo anterior, pero ahora con el modo de auditoría habilitada.


WebContentFilteringMode = Auditoría
Interfaz web
4. Seleccionar Auditoría en el Modo lista
5. En el Categorías bloqueados lista, seleccione Los sitios de búsqueda y haga clic en el botón >>
Los pasos a continuación, crear un objeto de servicio usando la nueva ALG HTTP y la modificación de la NAT regla a utilizar el nuevo servicio, se describen en
el ejemplo anterior.
Ignorar lo que permite
En algunas ocasiones, el filtrado de contenido activo puede evitar que los usuarios lleven a cabo tareas legítimas. Considere un analista de acciones
que se ocupa de las compañías de juego en línea. En su trabajo diario, que podría necesitar para navegar por sitios de apuestas de Internet para llevar
a cabo evaluaciones de la compañía. Si los bloques de políticas corporativas de juego web-sites, no va a ser capaz de hacer su trabajo.
Por esta razón, NetDefendOS es compatible con una función llamada Permitir sobrescritura. Con esta función activada, el componente de
filtrado de contenidos presentará una advertencia al usuario que está a punto de entrar en un sitio web que está restringida de acuerdo con la
política de la empresa, y que se registra su visita al sitio web. Esta página es conocido como el notificación sitio restringido. El usuario es libre
de seguir la dirección URL, o abortar la solicitud para evitar que se registren.
Al habilitar esta funcionalidad, sólo los usuarios que tienen una razón válida para visitar sitios inapropiados serán normalmente hacerlo. Otro
evitará estos sitios, debido al riesgo evidente de la exposición de sus hábitos de navegación.
Precaución: Anulación de la reducción de un sitio
Si un usuario anula la página restringida notificación sitio, se les permite navegar a todas las páginas sin ningún mensaje
nuevo sitio restringido a aparecer de nuevo. sin embargo, todavía se está registrando el usuario. Cuando el usuario se ha
vuelto inactiva durante 5 minutos, la página del sitio restringido volverá a aparecer, si intentan acceder a un sitio restringido.
Reclasificación de los sitios bloqueados
Como se automatiza el proceso de clasificación de sitios web desconocidos, siempre existe un pequeño riesgo de que algunos sitios se les da una
clasificación incorrecta. NetDefendOS proporciona un mecanismo para permitir a los usuarios proponen manualmente una nueva clasificación de los
sitios.
326
Este mecanismo puede ser activado en un nivel por ALG-HTTP, lo que significa que el administrador puede habilitar esta funcionalidad para los
usuarios regulares o sólo para un grupo de usuarios seleccionado.
Si reclasificación está habilitado y un usuario solicita una página web que está anulado, la página web de bloque incluirá una lista desplegable
que contiene todas las categorías disponibles. Si el usuario cree que el sitio web solicitada se clasifica erróneamente, se puede seleccionar una
categoría más apropiada de la lista desplegable, y lo presentarán como una propuesta.
La URL de la página web solicitada, así como la categoría propuesta serán enviadas al almacén de datos central de D-Link para la
inspección manual. Que la inspección puede resultar en el sitio web que se está reclasificado, ya sea de acuerdo a la categoría
propuesta oa una categoría que se siente ser correcta.
Ejemplo 6.17. La reclasificación de un sitio bloqueado
Este ejemplo muestra cómo un usuario puede proponer una reclasificación de un sitio web, si él cree que se clasifica erróneamente. Este mecanismo se
activa por cada nivel por HTTP ALG.


WebContentFilteringMode = Habilitar
AllowReclassification = Sí
A continuación, seguir configurando el objeto de servicio y modificación de la NAT gobernar como lo hemos hecho en los ejemplos anteriores.
Interfaz web
4. Seleccionar Activado en el Modo lista
5. En el Categorías bloqueados lista, seleccione Los sitios de búsqueda y haga clic en el botón >>
6. Comprobar la Permitir Reclasificación controlar
A continuación, seguir configurando el objeto de servicio y modificación de la NAT gobernar como lo hemos hecho en los ejemplos anteriores.
filtrado de contenido dinámico está ahora activado para todo el tráfico web desde Lannet a todas las redes de y el usuario es capaz de proponer la reclasificación de
sitios bloqueados. Validar la funcionalidad siguiendo estos pasos:
1. En una estación de trabajo en la Lannet red, lanzar un navegador web estándar.
2. Trate de navegar a un sitio de búsqueda, por ejemplo, www.google.com.
3. Si todo está configurado correctamente, el navegador web presentará una página de bloqueo, donde se incluye una lista desplegable que contiene todas las
categorías disponibles.
4. El usuario es ahora capaz de seleccionar una categoría más adecuada y proponer una reclasificación.
6.3.4.3. Filtrado de contenidos Categorías
En esta sección se enumeran todas las categorías utilizadas con filtrado de contenido dinámico y describe el propósito de cada categoría.
327
Categoría 1: Contenido para adultos
Un sitio web puede ser clasificado en la categoría de contenido para adultos si su contenido incluye la descripción o representación de actos
eróticos o sexuales o material de orientación sexual como la pornografía. Las excepciones a esto son los sitios web que contienen información
relacionada con la sexualidad y la salud sexual, que pueden clasificarse en los sitios de salud Categoría (21). Algunos ejemplos pueden ser:
• www.naughtychix.com
• www.fullonxxx.com
Categoría 2: Noticias
Un sitio web puede ser clasificado en la categoría de Noticias si su contenido incluye artículos de información sobre los acontecimientos recientes
relacionados con los temas que rodean una localidad (por ejemplo, pueblo, ciudad o nación) o la cultura, incluyendo la información de predicción
meteorológica. Normalmente, esto incluiría la mayoría en tiempo real las publicaciones de noticias en línea y la tecnología o revistas comerciales. Esto
no incluye las cotizaciones financieras, se refieren a la categoría Sitios de inversión (11), o los deportes, se refieren a la categoría de Deportes (16).
Algunos ejemplos pueden ser:
• www.newsunlimited.com
• www.dailyscoop.com
Categoría 3: Búsqueda de trabajo
Un sitio web puede ser clasificado en la categoría de búsqueda de empleo si su contenido incluye instalaciones para buscar o presentar solicitudes
de empleo en línea. Esto también incluye reanudar la escritura y la publicación y entrevistas, así como servicios de contratación y formación del
personal. Algunos ejemplos pueden ser:
• www.allthejobs.com
• www.yourcareer.com
Categoría 4: Juegos de azar
Un sitio web puede ser clasificado en la categoría de juegos de azar si su contenido incluye la publicidad o promoción de, o instalaciones
que permitan la participar de cualquier forma de juego; Por dinero o de otra manera. Esto incluye los juegos en línea, las probabilidades
de apuestas y sitios web de lotería. Esto no incluye los juegos tradicionales o computadora basados; se refieren a la categoría Juegos
Sitios (10). Algunos ejemplos pueden ser:
• www.blackjackspot.com
• www.pickapony.net
Categoría 5: Viaje / Turismo
Un sitio web puede ser clasificado en la categoría / Viajes Turismo si su contenido incluye información relacionada con las
actividades de viaje que incluye viajes de recreo y de reservas de viajes. Algunos ejemplos pueden ser:
• www.flythere.nu
328
• www.reallycheaptix.com.au
Categoría 6: El hacer compras
Un sitio web puede ser clasificado en la categoría de compras si su contenido incluye cualquier forma de publicidad de mercancías o servicios a
ser canjeados por dinero, y también puede incluir las instalaciones para llevar a cabo la transacción en línea. Se incluyen en esta categoría son
las promociones de mercado, catálogo de venta y servicios de comercialización. Algunos ejemplos pueden ser:
• www.megamall.com
• www.buy-alcohol.se
Categoría 7: Entretenimiento
Un sitio web puede ser clasificado en la categoría de entretenimiento si su contenido incluye cualquier forma general de entretenimiento que no está
cubierto específicamente en otra categoría. Algunos ejemplos de esto son los sitios de música, películas, aficiones, intereses especiales, y clubes
de fans. Esta categoría también incluye páginas web personales, tales como los proporcionados por los ISP. Las siguientes categorías cubren más
específicamente diversos tipos de contenido de entretenimiento, pornografía / Sexo (1), Juegos de azar (4), salas de chat (8), sitios de juegos (10),
Deportes (16), Clubes y Sociedades (22) y descargas de música (23 ). Algunos ejemplos pueden ser:
• www.celebnews.com
• www.hollywoodlatest.com
Categoría 8: salas de chat
Un sitio web puede ser clasificado en la categoría de salas de chat si su contenido se centra en o incluye en tiempo real en línea de grupos de
discusión interactivos. Esto también incluye los tablones de anuncios, tablones de anuncios, foros en línea, grupos de discusión, así como las
direcciones URL para descargar el software de chat. Algunos ejemplos pueden ser:
• www.thetalkroom.org
• chat.yazoo.com
Categoría 9: sitios de citas
Un sitio web puede ser clasificado en la categoría de sitios de citas si su contenido incluye instalaciones para presentar y revisar los anuncios
personales, organizar reuniones románticas con otras personas, novia por correo / introducciones cónyuge extranjero y los servicios de escolta.
• adultmatefinder.com
• www.marriagenow.com
Categoría 10: sitios de juegos
Un sitio web puede ser clasificado en la categoría de sitios del juego si su contenido se centra en o incluye la revisión de los juegos, basada
tradicional o computadora, o incorpora las instalaciones para la descarga de juegos de ordenador relacionado con el software, o jugar o
participar en juegos en línea. Algunos ejemplos pueden ser:
329
• www.gamesunlimited.com
• www.gameplace.com
Categoría 11: Sitios de inversión
Un sitio web puede ser clasificado en la categoría Sitios de inversión si su contenido incluye información, servicios o instalaciones
relacionadas con la inversión personal. URL en esta categoría incluyen contenidos como servicios de corretaje, la configuración de la
cartera en línea, foros de manejo de dinero o las cotizaciones de bolsa. Esta categoría no incluye los centros de banca electrónica; se
refieren a la categoría E-Banking (12). Algunos ejemplos pueden ser:
• www.loadsofmoney.com.au
• www.putsandcalls.com
Categoría 12: E-Banking
Un sitio web puede ser clasificado en la categoría E-Banking si su contenido incluye información o los servicios de banca electrónica. Esta
categoría no incluye contenidos relacionados con la inversión; se refieren a la categoría Sitios de inversión (11). Algunos ejemplos pueden
ser:
• www.nateast.co.uk
• www.borganfanley.com
Categoría 13: Crimen / Terrorismo
Un sitio web puede ser clasificado en la categoría Crimen / Terrorismo si su contenido incluye la descripción, la promoción o la
instrucción en actividades criminales o terroristas, culturas u opiniones. Algunos ejemplos pueden ser:
• www.beatthecrook.com
Categoría 14: Creencias Personales / Cultos
Un sitio web puede clasificarse dentro de las Creencias Personales / Cultos categoría si su contenido incluye la descripción o representación
de, o instrucción en, sistemas de creencias y prácticas religiosas. Algunos ejemplos pueden ser:
• www.paganfed.demon.co.uk
• www.cultdeadcrow.com
Categoría 15: Política
Un sitio web puede ser clasificado en la categoría Política si su contenido incluye información u opiniones de carácter político,
la información electoral y que incluye grupos de discusión política. Algunos ejemplos pueden ser:
• www.democrats.org.au
330
• www.political.com
Categoría 16: Deportes
Un sitio web puede ser clasificado en la categoría de deportes si su contenido incluye información o instrucciones relativas a los deportes
recreativos o profesionales, o comentarios en los eventos deportivos y los resultados deportivos. Algunos ejemplos pueden ser:
• www.sportstoday.com
• www.soccerball.com
Categoría 17: Sitios www-Email
Un sitio web puede ser clasificado en la categoría www-Email Sitios si su contenido incluye servicios de correo electrónico en línea, basados en la web.
• www.coldmail.com
• mail.yazoo.com
Categoría 18: Violencia / indeseable
Un sitio web puede ser clasificado en la categoría de violencia / no deseados si su contenido es extremadamente violenta o horrible en la
naturaleza. Esto incluye la promoción, descripción o representación de los actos violentos, así como los sitios web que tienen contenido no
deseado y no podrán ser clasificados en otro lugar. Algunos ejemplos pueden ser:
• www.itstinks.com
• www.ratemywaste.com
Categoría 19: malicioso
Un sitio web puede ser clasificado en la categoría malicioso si su contenido es capaz de causar daño a un entorno de ordenador o
computadora, incluyendo el consumo de ancho de banda de red malicioso. Esta categoría también incluye las direcciones URL "phishing"
que lo ha diseñado para capturar los detalles secretos de autenticación de usuario, haciéndose pasar por una organización legítima.
• hastalavista.baby.nu
Categoría 20: Sitios de Búsqueda
Un sitio web puede ser clasificado en la categoría de sitios de búsqueda si su objetivo principal es proporcionar servicios de búsqueda de Internet
en línea. Consulte la sección de categorías únicas en el inicio de este documento. Algunos ejemplos pueden ser:
• www.zoogle.com
• www.yazoo.com
331
Categoría 21: Sitios de salud
Un sitio web puede ser clasificado en la categoría Sitios de salud si su contenido incluye información o servicios relacionados con la salud,
incluida la sexualidad y la salud sexual, así como grupos de apoyo, el hospital y la información quirúrgica y revistas médicas. Algunos
ejemplos pueden ser:
• www.thehealthzone.com
• www.safedrugs.com
Categoría 22: Clubes y Sociedades
Un sitio web puede ser clasificado en la categoría Clubes y Sociedades si su contenido incluye información o servicios de relación con
un club o sociedad. Esto incluye equipo de conferencias o sitios web. Algunos ejemplos pueden ser:
• www.sierra.org
• www.walkingclub.org
Categoría 23: descargas de música
Un sitio web puede ser clasificado en la categoría de descargas de música si se ofrece la descarga de música en línea, cargar y compartir
instalaciones, así como la transmisión de audio de alto ancho de banda. Algunos ejemplos pueden ser:
• www.onlymp3s.com
• www.mp3space.com
Categoría 24: Orientado a Negocios
Un sitio web puede ser clasificado en la categoría de negocios orientada a si su contenido es relevante para los negocios generales del día a
día o buen funcionamiento de Internet, por ejemplo, las actualizaciones del navegador Web. El acceso a los sitios web en esta categoría sería
en la mayoría de los casos no se considera improductivas o inapropiada.
Categoría 25: Lista de bloqueo Gobierno
Esta categoría está poblada por los URL especificados por una agencia gubernamental, y contiene las direcciones URL que se consideran no aptos
para ser vistos por el público en general a través de su naturaleza muy extremo. Algunos ejemplos pueden ser:
• www.verynastystuff.com
• www.unpleasantvids.com
Categoría 26: Educación
Un sitio web clasificado en la categoría de Educación puede pertenecer a otras categorías, pero tiene contenido que se relaciona con los
servicios educativos o se haya considerado de valor educativo, o para ser un recurso educativo, por las organizaciones educativas. Esta
categoría está poblada por solicitud o presentación de
332
diversas organizaciones educativas. Algunos ejemplos pueden ser:
• highschoolessays.org
• www.learn-at-home.com
Categoría 27: Publicidad
Un sitio web puede ser clasificado en la categoría de publicidad si su foco principal incluye el suministro de información o servicios relacionados con
la publicidad. Algunos ejemplos pueden ser:
• www.admessages.com
• www.tripleclick.com
Categoría 28: Las drogas / alcohol
Un sitio web puede ser clasificado en la categoría de Drogas / Alcohol si su contenido incluye drogas y alcohol información o servicios
relacionados. Algunas URLs categorizadas bajo esta categoría también pueden clasificarse en la categoría de Salud. Algunos ejemplos
pueden ser:
• www.the-cocktail-guide.com
• www.stiffdrinks.com
Categoría 29: Informática / TI
Un sitio web puede ser clasificado en la categoría / IT Informática si su contenido incluye el cálculo de información o servicios relacionados.
• www.purplehat.com
• www.gnu.org
Categoría 30: traje de baño / de la ropa interior / Modelos
Un sitio web puede ser clasificado en la categoría / Lencería / Modelos traje de baño si su contenido incluye información relacionada con o
imágenes de trajes de baño, lencería o modelos generales de moda. Algunos ejemplos pueden ser:
• www.vickys-secret.com
• sportspictured.cnn.com/features/2002/swimsuit
Categoría 31: Spam
Un sitio web puede ser clasificado en la categoría de spam, si se comprueba que deben figurar en granel o de spam correos electrónicos. Algunos
ejemplos pueden ser:
• kaqsovdij.gjibhgk.info
• www.pleaseupdateyourdetails.com
333
Categoría 32: Non-Managed
sitios no clasificados y sitios que no encajan en una de las otras categorías serán colocados en esta categoría. Es inusual para bloquear esta
categoría ya que esto podría resultar en URL más inofensivos siendo bloqueados.
6.3.4.4. Personalización de WCF páginas HTML
El Filtrado (WCF) característica del HTTP ALG contenido Web hace uso de un conjunto de archivos HTML para presentar información al usuario
whencertain se producen condiciones tales como intentar acceder a un sitio bloqueado. Estas páginas web son también conocidos como HTTP
Archivos Banner y se almacenan dentro de NetDefendOS pero puede ser personalizado para adaptarse a las necesidades de una instalación
particular. WebUI ofrece una forma sencilla de descargar, editar y subir estos archivos.
Nota
Los archivos de banner relacionados con reglas de autenticación y autenticación web son un tema aparte y se discuten
en la Sección 8.3, “Personalización de autenticación HTML de páginas”.
Archivos disponibles Banner
Los archivos predefinidos de banner HTML ALG para WCF son:
• CompressionForbidden
• ContentForbidden
• URLForbidden
• RestrictedSiteNotice
• ReclassifyURL
Parámetros página HTML
Las páginas HTML contienen una serie de parámetros que pueden ser utilizados según sea necesario. Los parámetros disponibles son los siguientes:
• % URL% - La URL que fue solicitado
• % IPADDR% - La dirección IP que está siendo navegado desde
• %% RAZÓN - La razón por la que el acceso fue denegado
Personalización de los archivos Banner
Para llevar a cabo la personalización es necesario crear primero una nueva, llamada ALG Archivos Banner objeto. Este nuevo objeto
contiene automáticamente una copia de todos los archivos de la Defecto ALG objeto Banner archivos. Estos nuevos archivos pueden ser
editados y subido de nuevo a NetDefendOS. El original Defecto
objeto no puede editarse. El siguiente ejemplo va a través de los pasos necesarios.
Ejemplo 6.18. Edición de filtrado de contenido HTTP Archivos Banner
Este ejemplo muestra cómo modificar el contenido de la URL prohibido página HTML.
Interfaz web
334
1. Ir a: Objetos> HTTP archivos Banner> Añadir> ALG Banner Archivos
2. Introduzca un nombre como new_forbidden y pulse DE ACUERDO
3. Aparecerá el diálogo para el nuevo conjunto de archivos de banner ALG
4. Haga clic en el Editar y ficha de vista previa
5. Seleccionar URLForbidden desde el Página lista
6. Ahora editar el código HTML que aparece en el cuadro de texto de la página URL Prohibida
7. uso Avance para comprobar el diseño, si es necesario
8. Prensa Salvar para guardar los cambios
9. Haga clic DE ACUERDO para salir de la edición
10. Ir a: Autenticación de usuario> Reglas de autenticación de usuario
11. Seleccione el ALG HTML correspondiente y haga clic en el Opciones de agente lengüeta
12. Establecer la Banderas HTTP opción esté new_forbidden
14. Ir a: Configuración> Guardar y Activar para activar el nuevo archivo
15. Prensa Salvar y haga clic DE ACUERDO
El nuevo archivo se cargará en NetDefendOS
Tip: Cómo guardar los cambios
En el ejemplo anterior, más de un archivo HTML se pueden editar en una sesión, pero el
Salvar se debe presionar el botón para guardar todos los cambios antes de comenzar a editar otro archivo.
Subir con SCP
Es posible subir archivos nuevos Banner HTTP utilizando SCP. Los pasos para hacer esto son:
1. Desde SCP no se puede utilizar para descargar el código HTML original por defecto, el código fuente se debe copiar en primer lugar de la
WebUI y pegar en un archivo de texto local que se edita a continuación, utilizando un editor apropiado.
2. Un nuevo ALG Archivos Banner objeto debe existir el cual el archivo (s) editado subido a. Si el
objeto se llama myTxt, el comando CLI para crear este objeto es:
GW-mundo: /> añadir HTTPALGBanners myTxt
Esto crea un objeto que contiene una copia de toda la Defecto Archivos de contenido de banner de filtrado.
3. El archivo modificado se carga a continuación, utilizando SCP. Se cargan en el tipo de objeto

HTTPALGBanner y el objeto myTxt con el nombre de propiedad URLForbidden. Si el editada
URLForbidden archivo local se llama my.html a continuación, utilizando el cliente SSH abierto SCP, el comando de carga sería:
SCP myhtml admin@10.5.62.11: HTTPAuthBanners / myTxt / URLForbidden
El uso de los clientes de CPS se explica más adelante en Sección 2.1.6, “Secure Copy”.
4. Uso de la CLI, el correspondiente HTTP ALG ahora debe estar configurada para utilizar el myTxt archivos de banner. Si el
ALG nosotros llamamos my_http_alg, el comando sería:
335
establecer ALG_HTTP my_http_alg HTTPBanners = myTxt
5. Como es habitual, la activar Seguido por el cometer comandos de la CLI se deben utilizar para activar el
cambios en la NetDefend cortafuegos.
336
6.4. Scanning Anti-Virus Capítulo 6. Mecanismos de seguridad
6.4. Scanning Anti-Virus

El módulo NetDefendOS Anti-Virus protege contra código malicioso realizado en descargas de archivos. Los archivos pueden ser descargados como
parte de una página web en una transferencia HTTP, en una descarga FTP, o tal vez como un archivo adjunto a un correo electrónico entregado a
través de SMTP. El código malicioso en este tipo de descargas puede tener diferentes intenciones que van desde programas que sólo causan
molestias a los objetivos más siniestros como el envío de vuelta contraseñas, números de tarjetas de crédito y otra información sensible. El término
"virus" se puede utilizar como una descripción genérica para todas las formas de código malicioso realizadas en los archivos.
Combinando con Client Anti-Virus Scanning
A diferencia de los desplazados internos, que se dirige principalmente a los ataques contra servidores, análisis antivirus se centra en las descargas
de los clientes. NetDefendOS Anti-Virus está diseñado para ser un complemento de la exploración antivirus estándar normalmente llevadas a cabo a
nivel local por software especializado instalado en los equipos cliente. IDP no pretende ser un sustituto completo para la exploración local, sino más
bien como un escudo adicional para impulsar la protección del cliente. Lo más importante es que puede actuar como un respaldo para cuando el
análisis antivirus cliente local no está disponible.
Activación A través de ALG
NetDefendOS Anti-Virus está habilitado en una base por ALG. Está disponible para la descarga de archivos asociados a
los siguientes ALG y se habilita en los propios ALG:
• La ALG HTTP
• El FTP ALG
• El POP3 ALG
• El SMTP ALG
6.4.2. Implementación
Transmisión
Como la transferencia de archivos se transmite a través de la NetDefend Firewall, NetDefendOS analizará el flujo de datos para detectar
la presencia de virus si el módulo Anti-Virus está habilitada. Dado que los archivos están siendo escuchados y no ser leídos por completo
en la memoria, se requiere una cantidad mínima de memoria y hay un efecto mínimo en el rendimiento global.
La coincidencia de patrones
El proceso de inspección se basa en la coincidencia de patrones contra una base de datos de patrones de virus conocidos y pueden determinar,
con un alto grado de certeza, si un virus se encuentra en proceso de ser descargado a un usuario detrás de la NetDefend Firewall. Una vez que
un virus se reconoce en el contenido de un archivo, la descarga puede ser terminado antes de que se complete.
Tipos de descargas de archivos analizados
Como se describió anteriormente, el análisis antivirus está habilitado en una base por ALG y puede escanear las descargas de archivos asociados con
los protocolos HTTP, FTP, SMTP y POP3 ALG. Más específicamente:
337
6.4.3. Activación Anti-Virus Scanning Capítulo 6. Mecanismos de seguridad
• Cualquier tipo de archivo sin comprimir transferido a través de estos ALG puede ser escaneado.
• Si la descarga se ha comprimido, descargas de archivos ZIP y GZIP se pueden escanear. El administrador tiene la opción de dejar siempre
archivos específicos, así como la opción de especificar un límite de tamaño de archivos escaneados. Si no se especifica un límite de tamaño, entonces
no hay límite superior predeterminado en tamaños de archivo.
Las exploraciones simultáneas
No hay un límite fijo de la cantidad de escaneos de antivirus pueden tener lugar simultáneamente en una sola NetDefend Firewall. Sin
embargo, la memoria libre disponible se puede poner un límite en el número de exploraciones simultáneas que se pueden iniciar.
el comportamiento específico de protocolo
Desde exploración Anti-Virus se implementa a través de una Application Gateway Nivel ( ALG), características específicas del protocolo se
implementa en NetDefendOS. Con FTP, por ejemplo, la exploración es consciente de los canales de control y transferencia de datos duales
que se abren y se puede enviar una solicitud a través de la conexión de control para detener una descarga si se detecta un virus en la
descarga.
Relación con IDP
Una pregunta que a menudo se plantea es el "orden" de la exploración antivirus en relación con la exploración IDP. De hecho, el concepto
de ordenación no es relevante ya que los dos procesos de exploración pueden ocurrir simultáneamente y operar a diferentes niveles de
protocolo.
Si se habilita IDP, que escanea todos los paquetes designados por regla general IDP definido y no toma nota de protocolos de alto nivel,
tales como HTTP, que generan los flujos de paquetes. Sin embargo, anti-virus es consciente del protocolo de nivel superior y sólo se basa
en los datos involucrados en la transferencia de archivos. Análisis antivirus es una función que pertenece, por lo tanto, lógicamente, en un
ALG, mientras que IDP no pertenece allí.
6.4.3. Activación Anti-Virus Scanning
Asociación con un ALG
La activación de la exploración Anti-Virus se logra a través de un ALG asociado con el protocolo orientado. Un objeto ALG
debe existir primero con la opción Anti-Virus habilitado. Como siempre, un ALG entonces debe estar asociado con un objeto
de servicio adecuado para el protocolo que va a escanear. El objeto de servicio se asocia entonces con una regla en el
conjunto de reglas IP que define el origen y el destino del tráfico a la que la ALG se va a aplicar.
Creación de Políticas Anti-Virus
Puesto que las reglas de conjuntos de reglas IP son los medios por los cuales se implementa la función Anti-Virus, el despliegue puede ser política
basada. normas IP pueden especificar que la ALG y su análisis anti-virus asociado pueden aplicarse a tráfico que va en una dirección dada y entre
las direcciones y / o redes IP de origen y de destino específicas. La programación también se puede aplicar a la detección de virus para que se
lleva a cabo sólo en momentos específicos.
6.4.4. La base de firmas
SafeStream
338
6.4.5. La suscripción al Servicio Capítulo 6. Mecanismos de seguridad
Anti-Virus D-Link
NetDefendOS análisis antivirus se implementa por D-Link utilizando el "SafeStream" base de datos de firmas de virus. se crea la base
de datos SafeStream y mantenido por Kaspersky, una empresa que es líder mundial en el campo de la detección de virus. La base de
datos ofrece protección contra amenazas de virus prácticamente todos conocidos, incluyendo troyanos, gusanos, exploits de puerta
trasera y otros. La base de datos también se prueba a fondo para proporcionar cerca de cero falsos positivos.
Actualizaciones de la base de datos
La base de datos se actualiza SafeStream diariamente con nuevas firmas de virus. firmas mayores rara vez se retiraron pero en cambio
se sustituyen con las firmas más genéricos que cubren varios virus. Los locales NetDefendOS copia de la base de datos SafeStream por
lo tanto, debe actualizarse con regularidad y este servicio de actualización está habilitado como parte de la suscripción de la suscripción
Anti-Virus de D-Link.
6.4.5. La suscripción al Servicio Anti-Virus D-Link

La función Anti-Virus D-Link se compra como un componente adicional a la licencia base de D-Link y se compra en la forma de una
suscripción renovable. Una suscripción Anti-Virus incluye la actualización periódica de la base de datos de Kaspersky SafeStream
durante el periodo de suscripción con las firmas de las últimas amenazas de virus.
6.4.6. Opciones de Anti-Virus
Al configurar la exploración Anti-Virus en un ALG, los siguientes parámetros se pueden ajustar:
1. Opciones Generales
Modo Este debe ser uno de:
yo. Discapacitado - Anti-Virus está apagado.
ii. auditoría - La exploración es activo, pero el registro es la única acción.
Iii. proteger - Anti-Virus está activo. archivos sospechosos y se dejan caer

iniciado sesión.
comportamiento modo a prueba Si un análisis de virus falla por cualquier razón, entonces la transferencia se puede caer o se deja,
con el evento que se está registrando. Si esta opción se establece en Permitir a continuación, una
condición como la base de datos de virus no estar disponibles o la licencia actual no es válida no
hará que los archivos que se retiren. En su lugar, se les permitirá a través de un mensaje de
registro y se generarán para indicar ha producido un fallo.
2. Opción de escaneo Excluir
Ciertos tipos de archivos pueden ser excluidos expresamente de detección de virus, si eso es deseable. Esto puede aumentar el rendimiento
global si un tipo de archivo excluido es un tipo que comúnmente se encuentra en un escenario particular, tales como archivos de imagen en
descargas HTTP.
NetDefendOS realiza la comprobación de contenido MIME en todos los tipos de archivos que figuran en el Apéndice C, tipos de archivos Verified MIME establecer
cierto tipo de archivo del archivo y luego buscar ese tipo de archivo en la lista de excluidos. Si el tipo de archivo no puede establecerse a partir de su
contenido (y esto puede ocurrir con tipos de archivos no especificados en Apéndice C, tipos de archivos Verified MIME) a continuación, el tipo de archivo
en el nombre del archivo se utiliza cuando la lista de excluidos se comprueba.
3. Compresión límite Ratio
339
6.4.6. Opciones de Anti-Virus Capítulo 6. Mecanismos de seguridad
Al escanear archivos comprimidos, NetDefendOS debe aplicar la descompresión para examinar el contenido del archivo. Algunos tipos de datos
pueden resultar en relaciones de compresión muy altas donde el archivo comprimido es una pequeña fracción del tamaño del archivo original sin
comprimir. Esto puede significar que podría tener que ser descomprimido en un archivo mucho más grande que se puede colocar una carga excesiva
sobre los recursos y NetDefendOS notablemente el rendimiento desaceleración comparativamente pequeño archivo adjunto comprimido.
Para evitar esta situación, el administrador debe especificar una Índice de compresión límite. Si no se especifica el límite de la ración como 10 entonces
esto va a significar que si el archivo no comprimido es 10 veces más grande que el archivo comprimido, la acción especificada se debe tomar.
La acción puede ser uno de:
• Permitir - El archivo se permite el paso sin detección de virus
• scan - Escanear el archivo en busca de virus como normales
• Soltar - Soltar el archivo
En los tres casos anteriores se registra el evento.
Verificar el tipo MIME
la ALG La integridad del archivo opciones se pueden utilizar con la exploración antivirus para comprobar que el contenido del archivo coincide con
el tipo MIME que dice ser.
El tipo MIME identifica el tipo de un archivo. Por ejemplo, un archivo puede ser identificado como del tipo. gif
y por lo tanto debe contener datos de imágenes de ese tipo. Algunos virus pueden tratar de ocultar archivos dentro mediante el uso de un tipo de
archivo engañosa. Un archivo puede pretender ser un. gif archivo, pero los datos del archivo no coincidirán patrón de datos de ese tipo, ya que está
infectado con un virus.
Habilitación de esta función se recomienda para asegurarse de que esta forma de ataque no puede permitir que un virus para pasar. Los posibles
tipos MIME que se pueden comprobar se enumeran en Apéndice C, tipos de archivos Verified MIME.
Ajuste de la hora del sistema correcta
Es importante que un NetDefendOS tiene la hora correcta del sistema establecer si la función de actualización automática en el módulo Anti-Virus
puede funcionar correctamente. Una hora incorrecta puede significar la actualización automática está desactivada.
El comando de la consola
GW-mundo: /> updatecenter -status
mostrará el estado actual de la función de actualización automática. Esto también puede hacerse a través de la WebUI.
Actualización en clusters de alta disponibilidad
Actualización de las bases de datos Anti-Virus para ambos los Firewalls NetDefend en un Cluster HA se realiza automáticamente por NetDefendOS.
En un clúster siempre hay una activo unidad y un inactivo unidad. Sólo la unidad activa en el clúster llevará a cabo la comprobación periódica de
nuevas actualizaciones de bases de datos. Si una nueva actualización de base de datos que se disponga de la secuencia de eventos será el
siguiente:
1. La unidad activa determina que hay una nueva actualización y descarga los archivos necesarios para la actualización.
2. La unidad activa lleva a cabo una reconfiguración automática para actualizar su base de datos.
3. Esta reconfiguración provoca una conmutación por error por lo que la unidad pasiva se convierte en la unidad activa.
4. Cuando se haya completado la actualización, la unidad recientemente activo también descarga los archivos para la actualización y realiza una
reconfiguración.
340
5. Esta segunda reconfiguración causa otra conmutación por error por lo que la unidad pasiva vuelve a estar activo de nuevo.
Estos pasos dan como resultado en ambos Firewalls NetDefend en un clúster que tiene bases de datos actualizadas y con los papeles activos / pasivos
originales. Para obtener más información acerca de los clústeres de HA consulte Capítulo 11, de alta disponibilidad.
Anti-Virus con ZoneDefense
Anti-Virus desencadenó ZoneDefense es una característica para el aislamiento de los anfitriones y los servidores infectados con el virus en una red
local. Mientras que el servidor de seguridad detección de virus se encarga de bloquear los archivos infectados entrantes lleguen a la red local,
ZoneDefense se puede utilizar para detener los virus para propagarse de un anfitrión local ya infectado a otros anfitriones locales. Cuando el motor de
detección de virus NetDefendOS ha detectado un virus, el NetDefend Firewall cargará el bloqueo de las instrucciones a los conmutadores locales y
darles instrucciones para bloquear todo el tráfico desde el host o servidor infectado.
Desde ZoneDefense estado de bloqueo de los interruptores es un recurso limitado, el administrador tiene la posibilidad de configurar y
que alberga los servidores que se deben bloquear a los interruptores cuando se ha detectado un virus.
Por ejemplo: Un cliente local descarga un archivo infectado desde un servidor FTP remoto a través de Internet. NetDefendOS lo
detecta y detiene la transferencia de archivos. En este punto, NetDefendOS ha bloqueado el archivo infectado llegue a la red interna.
Por lo tanto, no habría ningún uso en el bloqueo del servidor FTP remoto en los conmutadores locales ya NetDefendOS ya ha dejado
el virus. El bloqueo de la dirección IP del servidor sólo consumiría el bloqueo de las entradas de los interruptores.
Para NetDefendOS sepan que alberga y servidores para bloquear, el administrador tiene la capacidad de especificar un rango de red que debe
ser afectado por un bloque ZoneDefense. Todos los hosts y servidores que se encuentran dentro de este rango serán bloqueados.
La función se controla mediante la configuración Anti-Virus en el ALGs. Dependiendo del protocolo utilizado, existen
diferentes escenarios de cómo se puede utilizar la función.
Ejemplo 6.19. Activación Anti-Virus Scanning
Este ejemplo muestra cómo configurar una directiva de análisis antivirus para el tráfico HTTP desde Lannet a todos-NET. Vamos a suponer que ya es una NAT regla
definida en la norma IP establecida en este tráfico NAT.

En primer lugar, crear un objeto de puerta de enlace de capa de aplicación HTTP (ALG) con activado el análisis Anti-Virus:
GW-mundo: /> establece ALG ALG_HTTP anti_virus Antivirus = Proteger
GW-mundo: /> añadir ServiceTCPUDP http_anti_virus

Type = TCP DestinationPorts
= 80 = ALG anti_virus
Por último, modificar el NAT gobernar a utilizar el nuevo servicio:
GW-mundo: /> establecer iprule NATHttp Servicio = http_anti_virus
Interfaz web
R. En primer lugar, crear un objeto HTTP ALG:
341
2. Especificar un nombre adecuado para el ALG, por ejemplo anti_virus
3. Haga clic en el antivirus lengüeta
4. Seleccionar Proteger en el Modo la lista desplegable
B. A continuación, crear un objeto de servicio usando la nueva ALG HTTP:
1. Ir a: Objetos Locales> Servicios> Añadir> TCP / UDP servicio
2. Especificar un nombre adecuado para el Servicio, por ejemplo http_anti_virus
3. Seleccione el TCP en el Tipo la lista desplegable
4. Introduzca 80 en el Puerto de destino caja de texto
5. Seleccione el HTTP ALG acaba de crear en el ALG la lista desplegable
C. Finalmente, modificar la NAT regla (llamado NATHttp en este ejemplo) para utilizar el nuevo servicio:
1. Ir a: Reglas> Reglas IP
2. Seleccione el NAT descartar el manejo del tráfico entre Lannet y todas las redes de
3. Haga clic en el Servicio lengüeta
4. Seleccione el nuevo servicio, http_anti_virus, en el predefinida Servicio la lista desplegable
La exploración antivirus está activado para todo el tráfico web desde Lannet a todos-NET.
342
6.5. La detección y prevención de Capítulo 6. Mecanismos de seguridad
intrusiones
6.5. La detección y prevención de intrusiones
Definición de intrusiones
servidores de un ordenador a veces pueden tener vulnerabilidades por lo que están expuestos a ataques realizados por el tráfico de la red. Gusanos,
troyanos y exploits de puerta trasera son ejemplos de este tipo de ataques, que, si tiene éxito, puede potencialmente comprometer o tomar el control
de un servidor. Es un término genérico que se puede utilizar para describir estas amenazas son el servidor orientado intrusiones.
Detección de Intrusos
Intrusiones difieren de los virus en que un virus está normalmente contenida en un solo archivo de descarga y esto normalmente se descarga
en un sistema cliente. Una intrusión se manifiesta como un patrón maliciosa de datos de Internet dirigidas a pasar por los mecanismos de
seguridad del servidor. Intrusiones no son infrecuentes y pueden evolucionar constantemente ya que su creación puede ser automatizado por
el atacante. NetDefendOS IDP proporciona una importante línea de defensa contra estas amenazas.
La detección y prevención de intrusiones ( IDP) es un subsistema NetDefendOS que está diseñado para proteger contra estos intentos de
intrusión. Funciona mediante el control de tráfico de la red a medida que pasa a través de la NetDefend Firewall, en busca de patrones
que indican una intrusión se está intentando. Una vez detectado, NetDefendOS IDP permite que se tomen medidas para neutralizar tanto
el intento de intrusión, así como su fuente.
Problemas de desplazados
Con el fin de disponer de un sistema eficaz y fiable IDP, los siguientes aspectos tienen que ser abordados:
• ¿Qué tipo de tráfico debe ser analizado?
• ¿Qué debemos buscar en el que el tráfico?
• Qué acción debe llevarse a cabo cuando se detecta una intrusión?
Componentes de desplazados NetDefendOS
NetDefendOS IDP trata los problemas anteriores con los siguientes mecanismos:
1. Reglas de desplazados son definidos por el administrador para determinar qué tráfico debe ser escaneado.
2. La coincidencia de patrones se aplica por NetDefendOS IDP para el tráfico que coincide con una regla de desplazados internos, ya que
arroyos a través del firewall.
3. Si NetDefendOS IDP detecta una intrusión, entonces el Acción especificado para la regla de activación IDP se toma.
Reglas de desplazados internos, búsqueda de patrones y acciones de reglas IDP se describen en las secciones que siguen.
6.5.2. IDP disponibilidad para el D-Link Modelos
Mantenimiento y avanzada IDP
343
6.5.2. IDP disponibilidad para el D-Link Modelos Capítulo 6. Mecanismos de seguridad
D-Link ofrece dos tipos de PDI:
• mantenimiento IDP
mantenimiento IDP es el sistema IDP de base incluye como estándar con el NetDefend DFL 210,
800, 1600 y 2500.
mantenimiento IDP es un IDP simplificada que da una protección básica contra los ataques de desplazados internos. Es ampliable
hasta el nivel más alto y más completa avanzada IDP que se discute a continuación.
IDP no viene de serie con el DFL-260, 260E, 860, 860E, 1660, 2560 y 2560G y una suscripción a avanzada IDP deben
ser comprados para estos modelos.
• avanzada IDP
avanzada IDP es un sistema basado en suscripción IDP con una gama mucho más amplia de firmas de base de datos para las instalaciones
más exigentes. La suscripción estándar es de 12 meses y proporciona actualizaciones automáticas de la base de firmas de desplazados
internos.
Esta opción IDP está disponible para todos los modelos D-Link NetDefend, incluyendo aquellos que no vienen de serie con Mantenimiento
IDP.
mantenimiento IDP puede ser visto como un subconjunto restringido de avanzada IDP y las siguientes secciones se describe cómo el avanzada
IDP funciones de opciones.
La suscripción a la D-Link avanzada IDP Servicio
avanzada IDP se compra como un componente adicional a la licencia NetDefendOS base. Es un servicio de suscripción y de
suscripción significa que la base de firmas IDP puede ser descargado a una instalación NetDefendOS y también que la base de
datos se actualiza regularmente con las últimas amenazas de intrusión.
Figura 6.9. IDP actualización de la base
344
6.5.3. Reglas de desplazados Capítulo 6. Mecanismos de seguridad
Una nueva base de datos de firma actualizada se descarga automáticamente por el sistema NetDefendOS en un intervalo configurable.
Esto se hace a través de una conexión HTTP con el servidor de red D-Link que ofrece las últimas actualizaciones de la base de firmas. Si
la base de firmas del servidor tiene una versión más reciente de la base de datos actual, la nueva base de datos será descargado, en
sustitución de la versión anterior.
Los términos IDP, IPS y IDS
Los términos La detección y prevención de intrusiones ( IDP), Sistema de Prevención de Intrusión ( IDP) y
Sistema de detección de intrusos ( IDS) se utilizan indistintamente en la literatura de D-Link. Todos ellos se refieren a la misma característica, que es
IDP.
Ajuste de la hora del sistema correcta
Es importante que un NetDefendOS tiene la hora correcta del sistema establecer si la función de actualización automática en el módulo de IDP puede
funcionar correctamente. Una hora incorrecta puede significar la actualización automática está desactivada.
El comando de la consola
> updatecenter -status
mostrará el estado actual de la función de actualización automática. Esto también puede hacerse a través de la WebUI.
Actualización en clusters de alta disponibilidad
Actualización de las bases de datos de PDI, tanto para los Firewalls NetDefend en un Cluster HA se realiza automáticamente por NetDefendOS. En
un clúster siempre hay una activo unidad y un inactivo unidad. Sólo la unidad activa en el clúster llevará a cabo la comprobación periódica de
nuevas actualizaciones de bases de datos. Si una nueva actualización de base de datos que se disponga de la secuencia de eventos será el
siguiente:
1. La unidad activa determina que hay una nueva actualización y descarga los archivos necesarios para la actualización.
2. La unidad activa lleva a cabo una reconfiguración automática para actualizar su base de datos.
3. Esta reconfiguración provoca una conmutación por error por lo que la unidad pasiva se convierte en la unidad activa.
4. Cuando se haya completado la actualización, la unidad recientemente activo también descarga los archivos para la actualización y realiza una
reconfiguración.
5. Esta segunda reconfiguración causa otra conmutación por error por lo que la unidad pasiva vuelve a estar activo de nuevo.
Estos pasos dan como resultado en ambos Firewalls NetDefend en un clúster que tiene bases de datos actualizadas y con los papeles activos / pasivos
originales. Para obtener más información acerca de los clústeres de HA consulte Capítulo 11, de alta disponibilidad.
6.5.3. Reglas de desplazados
componentes de reglas
Un Regla IDP define qué tipo de tráfico, o servicio, debe ser analizado. Una regla IDP es similar en composición a una regla de IP. Reglas de
desplazados internos están construidos como otras políticas de seguridad en NetDefendOS tales como las normas de PI. Una Regla IDP especifica
una fuente determinada combinación / interfaces de destino / direcciones, además de ser asociados con un objeto de servicio que define las reglas
de PDI que serán utilizados durante el escaneo de tráfico. Un calendario también puede estar asociado con una regla de IDP. Lo más importante,
una regla especifica el IDP Acción para asumir la detección de una intrusión en el destino del tráfico por la regla.
345
6.5.3. Reglas de desplazados Capítulo 6. Mecanismos de seguridad
Selección Firma IDP
Cuando se utiliza la interfaz web, todas las firmas de desplazados internos en la base de firmas locales se muestran en el epígrafe Firmas de
desplazados internos. Esto muestra un árbol de dos niveles de todas las firmas en función del grupo. Sin embargo, su propósito es sólo para
referencia y no es posible añadir firmas a través de este árbol.
En la interfaz web, la asociación de firmas con una regla de IDP se hace seleccionando la Acción lengüeta. Una captura de pantalla de una parte de
esta pestaña en la interfaz web se muestra a continuación.
Figura 6.10. Selección Firma IDP
Hay una opción de entrar firmas en el cuadro de texto superior o seleccionarlos a través del árbol bajo el cual recoge las firmas
juntos en sus respectivos grupos. Cuando las colecciones de firmas se seleccionan en el árbol, la definición de comodín
equivalente aparecerá automáticamente en el cuadro de arriba. firmas individuales no se pueden seleccionar a través del árbol y
sólo se pueden introducir en el cuadro de texto.
Lo que aparece en el cuadro de texto superior es equivalente a la forma en que las firmas se especifican cuando se utiliza la CLI para definir una regla
de IDP.
La normalización de HTTP
Cada regla IDP tiene una sección de configuración de la normalización de HTTP. Esto permite al administrador elegir las acciones que se deben
tomar cuando IDP encuentra inconsistencias en las URIs incrustados en las solicitudes HTTP entrantes. Algunos ataques al servidor se basan
en la creación de URIs con secuencias que pueden explotar las debilidades de algunos productos de servidor HTTP.
Las condiciones de URI, que IDP puede detectar son:
• inválida UTF8
Esto se ve por ningún carácter UTF8 no válidos en un URI.
• Inválido codificación hex
Una secuencia hexadecimal válido es donde una muestra de porcentaje es seguido por dos valores hexadecimales para representar un
solo byte de datos. Una secuencia hexadecimal no válido sería el signo de porcentaje seguido de algo que no es un valor hexadecimal
válido.
• doble codificación
Esto se ve para cualquier secuencia hex que a su vez se codifica utilizando otras secuencias hex escape. Un ejemplo sería la
secuencia original% 2526 dónde % 25 se podría entonces ser decodificado por el servidor HTTP a '%' y los resultados en la
secuencia '% 26' . Esto es, finalmente decodificado a '&'.
346
6.5.4. / Evasión prevención de ataques de Capítulo 6. Mecanismos de seguridad
inserción
Procesamiento de Paquetes Inicial
La orden inicial de procesamiento de paquetes con IDP es como sigue:
1. Un paquete llega al servidor de seguridad y NetDefendOS realiza la verificación normal. Si el paquete es parte de una nueva
conexión, entonces se compara con la norma IP establecida antes de pasar al módulo de IDP. Si el paquete es parte de una
conexión existente se pasa directamente al sistema de IDP. Si el paquete no es parte de una conexión existente o es
rechazado por la norma IP fija entonces se deja caer.
2. La información fuente y de destino del paquete se compara con el conjunto de reglas de PDI definido por el administrador. Si se encuentra
una coincidencia, se pasa a la siguiente nivel de procesamiento IDP que es la coincidencia de patrones, que se describe en el paso a
continuación. Si no hay un partido contra una regla de IDP entonces el paquete es aceptado y el sistema IDP toma ninguna otra
acción si bien otras acciones definidas en el conjunto de reglas IP se aplican como traducción de direcciones y la explotación forestal.
Comprobación de paquetes perdidos
La opción existe en NetDefendOS IDP para buscar intrusiones en todo el tráfico, incluso los paquetes que son rechazados por el conjunto de reglas de
comprobación de IP para nuevas conexiones, así como los paquetes que no son parte de una conexión existente. Esto proporciona al administrador
del servidor de seguridad con una forma de detectar cualquier tráfico que parece ser una intrusión. Con esta opción sólo es posible la acción de regla
IDP está registrando. Se debe por supuesto ser ejercida con esta opción ya que la carga de procesamiento puede ser mucho mayor cuando se
comprueban todos los paquetes de datos.
6.5.4. / Evasión prevención de ataques de inserción
Visión de conjunto
Al definir una regla de IDP, el administrador puede activar o desactivar la opción Proteger contra el ataque de inserción / Evasión. Un Inserción /
Ataque Evasión es una forma de ataque que está dirigido específicamente a evadir los mecanismos de PDI. Se aprovecha el hecho de que en una
transferencia de datos TCP / IP, el flujo de datos a menudo debe ser vuelto a montar a partir de piezas más pequeñas de datos, ya que las piezas
individuales o bien llegan en el orden equivocado o se fragmentan de alguna manera. Las inserciones o evasiones están diseñados para explotar este
proceso de montaje.
Los ataques de inserción
Un ataque de inserción consiste en insertar datos en una corriente de modo que la secuencia resultante de paquetes de datos es
aceptada por el subsistema de IDP pero será rechazado por la aplicación específica. Este resultado es dos flujos de datos diferentes.
Como un ejemplo, considerar un flujo de datos dividido en 4 paquetes: P1, P2, P3 y P4. El atacante podría enviar paquetes primero P1 y
P4 a la aplicación de destino. Estos se llevarán a cabo tanto por el subsistema de PDI y de la aplicación hasta que los paquetes P2 y P3
llegan rearmado de manera que se puede hacer. El atacante envía ahora deliberadamente dos paquetes, P2' y P3' , los cuales serán
rechazados por la aplicación, pero aceptadas por el sistema IDP. El sistema IDP es ahora capaz de completar el reensamblaje de los
paquetes y se cree que tiene la secuencia de datos completa. El atacante envía ahora otros dos paquetes, P2 y P3, que serán aceptadas
por la aplicación que se puede volver a montar ahora completa, pero que resulta en un flujo de datos diferente a la observada por el
subsistema de IDP.
Los ataques de evasión
Un ataque la evasión tiene un resultado final similar al ataque de inserción, ya que también genera dos flujos de datos
diferentes, uno que el subsistema IDP ve y que ve la aplicación de destino, pero
347
6.5.5. IDP Pattern Matching Capítulo 6. Mecanismos de seguridad
se consigue de forma inversa. Consiste en el envío de paquetes de datos que son rechazados por el subsistema de desplazados, pero que son
aceptables para la aplicación de destino.
Acción de detección
Si se detecta un ataque / Evasión de inserción con la inserción / Evasión opción Proteger habilitado, NetDefendOS corrige
automáticamente el flujo de datos mediante la eliminación de los datos extraños asociados con el ataque.
Inserción / Evasión sucesos de registro
El subsistema de Ataque de inserción / Evasión en NetDefendOS puede generar dos tipos de mensaje de registro:
• Un ataque detectado el mensaje de registro, lo que indica un ataque ha sido identificado y evitado.
• Un No se puede detectar mensaje de registro cuando NetDefendOS ha sido incapaz de identificar posibles ataques al volver a montar una
corriente TCP / IP si bien este tipo de ataque puede haber estado presente. Esta condición es causada por los patrones poco frecuentes e
inusualmente complejas de datos en la corriente.
Configuración recomendada
Por defecto, la protección / Evasión de inserción está habilitada para todas las reglas de desplazados internos y esta es la configuración recomendada
para la mayoría de las configuraciones. Hay dos motivaciones para deshabilitar la opción:
• El aumento de rendimiento - Cuando la más alta a lo largo posible es deseable, a continuación, girando la opción, puede proporcionar un ligero
aumento en la velocidad de procesamiento.
• El exceso de falsos positivos - Si hay evidencia de un nivel inusualmente alto de inserción / Evasión falsos positivos continuación,
desactivar la opción puede ser prudente mientras que las causas de falsos positivos se investigan.
6.5.5. IDP Pattern Matching
firmas
Con el fin de IDP para identificar correctamente un ataque, que utiliza un perfil de indicadores, o patrón, asociado con diferentes tipos de
ataque. Estos patrones predefinidos, también conocido como firmas, se almacenan en una base de datos NetDefendOS locales y son
utilizados por el módulo de IDP para analizar el tráfico de patrones de ataque. Cada firma IDP se designa por un número único.
Consideremos el siguiente ejemplo simple ataque implica un intercambio con un servidor FTP. Un usuario pícaro podría tratar de
recuperar el archivo de contraseña "passwd" de un servidor FTP mediante el comando FTP
passwd RETR. Una firma en busca de las cadenas de texto ASCII RETR y passwd sería encontrar una coincidencia en este caso, lo que indica un
posible ataque. En este ejemplo, el patrón se encuentra en texto plano, pero la coincidencia de patrones se realiza de la misma manera en los datos
binarios puros.
Reconociendo las amenazas desconocidas
Los atacantes que construyen nuevas intrusiones menudo reutilizar código antiguo. Esto significa que sus nuevos ataques pueden aparecer "en la
naturaleza" rápidamente. Para contrarrestar esto, D-Link IDP utiliza un enfoque en las exploraciones de módulos para estos componentes reutilizables,
con la coincidencia de patrones en busca de la construcción de bloques en lugar de la totalidad de los patrones de código completas. Esto significa que
las amenazas de "conocidos", así como nuevas publicadas recientemente, las amenazas, "desconocidos", construidos con componentes de software
de re-utilizado, se puede proteger contra.
348
6.5.6. IDP Firma Grupos Capítulo 6. Mecanismos de seguridad
Avisos de firma
Un consultivo es una descripción textual explicativo de una firma. La lectura de asesoramiento de una firma explicará al
administrador de lo que la firma va a buscar. Debido a la naturaleza cambiante de la base de firmas, los avisos no se incluyen en la
documentación de D-Link, pero en cambio, están disponibles en el sitio web de D-Link:
http://security.dlink.com.tw
Avisos se pueden encontrar bajo la opción "NetDefend IDS" en el menú "NetDefend vivo".
tipos de firmas IDP
IDP ofrece tres tipos de firmas que ofrecen diferentes niveles de certeza respecto a las amenazas:
• Firmas de protección contra intrusos (IPS)
Estos son de gran precisión y un partido es casi seguro que un indicador de una amenaza. Utilizando el
Proteger Se recomienda acción. Estas firmas pueden detectar acciones administrativas y los escáneres de seguridad.
• Firmas de detección de intrusión (IDS)
Estos pueden detectar eventos que pueden ser intrusions- Tienen una precisión inferior a IPS y pueden dar falsos positivos por lo
que se recomienda que la Auditoría la acción se utiliza inicialmente antes de decidir utilizar Proteger.
• Firmas de política
Estos detectan diferentes tipos de tráfico de aplicaciones. Pueden ser utilizados para bloquear ciertas aplicaciones tales como aplicaciones para
compartir archivos y mensajería instantánea.
6.5.6. IDP Firma Grupos
Uso de grupos
Por lo general, existen varias líneas de ataque para un protocolo específico, y lo mejor es buscar todos ellos al mismo tiempo, al analizar
el tráfico de red se ofrecen. Para ello, las firmas relacionadas con un determinado protocolo se agrupan. Por ejemplo, todas las firmas
que se refieren al protocolo FTP forman un grupo. Lo mejor es especificar un grupo que se relaciona con el tráfico que se busca que
preocuparse acerca de las firmas individuales. Por motivos de rendimiento, el objetivo debe ser tener NetDefendOS datos de búsqueda
utilizando el menor número posible de firmas.
Especificación de grupos de la firma
IDP Firma Grupos caen en una estructura jerárquica de tres niveles. El nivel superior de esta jerarquía es la firma Tipo, el
segundo nivel de la Categoría y el tercer nivel de la Subcategoría. El grupo firma llamada POLICY_DB_MSSQL ilustra
este principio donde Política es el Tipo,
DB es el Categoría y MSSQL es el Subcategoría. Estos 3 componentes de firma se explican a continuación:
1. Firma Tipo de grupo
El tipo de grupo es uno de los valores IDS, IPS o Política. Estos tipos se explican anteriormente.
2. Firma Grupo Categoría
349
6.5.7. acciones de desplazados Capítulo 6. Mecanismos de seguridad
Este segundo nivel de nomenclatura describe el tipo de aplicación o protocolo. Los ejemplos son:
• APOYO
• DB
• DNS
• FTP
• HTTP
3. Firma Grupo de subcategoría
El tercer nivel de nombrar además especifica el objetivo del grupo y, a menudo especifica la aplicación, por ejemplo MSSQL. La
subcategoría puede no ser necesario si el Tipo y Categoría son suficientes para especificar el grupo, por ejemplo APP_ITUNES.
Listado de Grupos de desplazados
Un listado de grupos de desplazados internos se pueden encontrar en Apéndice B, IDP Grupos firma. El listado muestra los nombres de grupos que
consisten en la Categoría Seguido por el Subcategoría, ya que la Tipo podría ser cualquiera de IDS, IPS o la política.
El procesamiento de múltiples acciones
Para cualquier regla de IDP, es posible especificar varias acciones y un tipo de acción, tales como Proteger puede repetirse. Cada acción
tendrá entonces una o más firmas o grupos asociados a ella. Cuando se produce la firma coincidente se hace de una manera de arriba hacia
abajo, con el juego para las firmas para la primera acción especificada que se realiza en primer lugar.
IDP comodines Firma
Al seleccionar los grupos de desplazados internos de la firma, es posible utilizar comodines para seleccionar más de un grupo. Los "?" personaje
puede ser utilizado para comodín para un solo carácter en un nombre de grupo. Por otra parte, el carácter "*" se puede utilizar para comodín para
cualquier conjunto de caracteres de cualquier longitud de un nombre de grupo.
Precaución: Utilice las firmas mínimas necesarias para desplazados internos
No utilice toda la base de datos de firma y evitar el uso de firmas y grupos de firma
innecesariamente. En su lugar, utilizar sólo aquellas firmas o grupos aplicables al tipo de tráfico
protegida.
Por ejemplo, usando sólo los grupos de desplazados IDS_WEB *, * IPS_WEB, IDS_HTTP * y
IPS_HTTP * sería apropiado para la protección de un servidor HTTP.
el análisis de tráfico IDP crea una carga adicional sobre el hardware que, en la mayoría de los casos, no debe degradar
notablemente el rendimiento. El uso de demasiados firmas durante la exploración se puede realizar la carga sobre el
hardware innecesariamente alto, lo que afecta negativamente al rendimiento.
6.5.7. acciones de desplazados
Opciones de acción
350
6.5.8. Registro SMTP receptor para Eventos de Capítulo 6. Mecanismos de seguridad
desplazados
Después de coincidencia de patrones reconoce una intrusión en el tráfico sujeto a una regla de IDP, la acción asociada con que la Regla
se toma. El administrador puede asociar una de las tres opciones de acción con una regla de IDP:
• Ignorar - No hacer nada si no se detecta una intrusión y permiten la conexión permanezca abierta.
• auditoría - Permitir la conexión permanezca abierta, pero el registro de eventos.
• proteger - Esta opción interrumpe la conexión y registra el suceso (con la opción adicional a la lista negra el origen de la conexión
o conmutación en ZoneDefense como se describe a continuación).
IDP listas negras
los Proteger opción incluye la opción de que el host o red particular que desencadena la Regla IDP se pueden añadir a una Lista negra de
ofender a las fuentes de tráfico. Esto significa que todo el tráfico subsiguiente procedente de una fuente en la lista negra con dado de
baja automáticamente por NetDefendOS. Para más detalles de cómo funciona la lista negra ver Sección 6.7, “Hosts y Redes listas
negras”.
IDP ZoneDefense
los Proteger acción incluye la opción de que el interruptor particular, D-Link que desencadena la regla de IDP puede ser desactivado a través
de la D-Link ZoneDefense característica. Para más detalles sobre cómo funciona la ZoneDefense ver Capítulo 12, ZoneDefense.
6.5.8. Registro SMTP receptor para Eventos de desplazados
Con el fin de recibir notificaciones por correo electrónico de los eventos de desplazados internos, un receptor de registro SMTP se puede configurar.
Este correo electrónico contendrá un resumen de los eventos de desplazados internos que han ocurrido en un período configurable por el usuario de
tiempo.
Cuando un evento IDP occurrs, los NetDefendOS esperarán Hora de espera segundos antes de enviar el correo electrónico de notificación. Sin
embargo, el correo electrónico se enviará solamente si el número de eventos ocurridos en este periodo de tiempo es igual a, o mayor que el Umbral
de registro. Cuando este mensaje ha sido enviado, NetDefendOS esperarán Repita Tiempo mínimo segundos antes de enviar un nuevo correo
electrónico.
La dirección IP de receptores de registro SMTP es Requerido
Cuando se especifica un receptor de registro SMTP, la dirección IP del receptor debe ser especificado. Un nombre de dominio tal como DNS:
smtp.domain.com No puede ser usado.
Ejemplo 6.20. Configuración de un receptor de registro SMTP
En este ejemplo, una regla de IDP se configura con un receptor de registro de SMTP. Una vez que se produce un evento de desplazados internos, la regla se activa. Al menos un
nuevo evento se produce dentro del tiempo conservación de 120 segundos, alcanzando así el nivel de umbral de registro (al menos 2 eventos han ocurrido). Esto resulta en un
correo electrónico que se envían contiene un resumen de los eventos de desplazados internos. Varios eventos más desplazados internos pueden ocurrir después de esto, pero para
evitar la inundación del servidor de correo, NetDefendOS van a esperar 600 segundos (lo que equivale a 10 minutos) antes de enviar un nuevo correo electrónico. Un servidor SMTP
se supone que se ha configurado en la libreta de direcciones con el nombre smtp-servidor.
Adición de un receptor de registro SMTP:
GW-mundo: /> añadir LogReceiver LogReceiverSMTP smt4IDP Dirección IP = smtp-servidor

Receiver1=youremail@yourcompany.com
Reglas de desplazados internos:
351
desplazados
GW-mundo: /> cc IDPRule examplerule
GW-mundo: / examplerule> establecer IDPRuleAction 1 = Sí LogEnabled
Interfaz web
Adición de un receptor de registro SMTP:
1. Ir a: Sistema> Registro y receptores de eventos> Añadir> receptor de eventos SMTP
2. Ahora ingrese:
• Nombre: smtp4IDP
• Servidor SMTP: smtp-servidor
• Puerto de servicio: 25
• Especificar las direcciones de correo electrónico alternativas (hasta 3)
• Remitente: hostmaster
• Tema: Registro de Eventos En NetDefendOS
• Retraso de repetición mínima: 600
• Hora de espera: 120
• Umbral de registro: 2
• Haga
ACUERDO
clic DE
Reglas de desplazados internos:
1. Ir a: IDP> Reglas de desplazados
2. Seleccione una regla y seleccione Editar
3. Seleccione la acción que desea registrar y elegir Editar
4. Comprobar la Habilitar el registro casilla de verificación en el Configuración del registro lengüeta
Ejemplo 6.21. Configuración de IDP para un servidor de correo
El siguiente ejemplo detalla los pasos necesarios para configurar IDP para un escenario sencillo en el que un servidor de correo está expuesto a Internet en el DMZ
la red con una dirección IPv4 pública. El Internet puede ser alcanzado a través del servidor de seguridad en el PÁLIDO interfaz como se ilustra a continuación.
352
desplazados
Una regla de IDP llamada IDPMailSrvRule se creará, y el Servicio a utilizar es el servicio SMTP. Fuente de interfaz de red de origen y define
dónde viene el tráfico, en este ejemplo la red externa. los Interfaz de destino y Red de destino definir donde el tráfico se dirige a, en este
caso el servidor de correo. Red de destino Por lo tanto, se debe establecer en el objeto de definir el servidor de correo.
Crear una regla de IDP:
GW-mundo: /> Agregar servicio IDPRule = smtp SourceInterface = wan

SourceNetwork = Wannet DestinationInterface =
DMZ DestinationNetwork = ip_mailserver Name =
IDPMailSrvRule
Especificar la acción de regla:
GW-mundo: /> cc IDPRule IDPMailSrvRule
GW-mundo: / IDPMailSrvRule> añadir IDPRuleAction

Action = Proteger IDPServity = Todas
las firmas = IPS_MAIL_SMTP
Interfaz web
Crear una regla de IDP:
Esta regla se llama IDP IDPMailSrvRule, y se aplica al servicio SMTP. Fuente de interfaz de red de origen y definen dónde viene el tráfico, en
este ejemplo, la red externa. La interfaz de destino y la red de destino definen donde el tráfico se dirige a, en este caso el servidor de correo.
Por lo tanto, la red de destino se debe establecer en el objeto de definir el servidor de correo.
1. Ir a: IDP IDP> Reglas> Agregar> Regla de IDP
2. Ahora ingrese:
• Nombre: IDPMailSrvRule
• Servicio: SMTP
• También inspeccione los paquetes perdidos: En caso de que todo el tráfico que coincide con esta regla debe ser escaneado (esto también significa que el tráfico que
el conjunto principal regla caería), la Proteger contra ataques de inserción / evasión casilla de verificación debe ser verificada, que es el caso en este ejemplo.
• Fuente de red: Wannet
353
desplazados
• Red de destino: ip_mailserver
• Haga
ACUERDO
clic DE
Especificar la acción:
Una acción se define ahora, especificando lo que las firmas de los IDP debe utilizar al escanear registro que satisfaga la regla, y qué NetDefendOS
debe hacer cuando se detecta una posible intrusión. En este ejemplo, los intentos de intrusión harán que la línea se desconecte, por lo Acción se
establece en Proteger. los firmas opción se establece en
IPS_MAIL_SMTP con el fin de utilizar firmas que describen los ataques desde la red externa que se basa en el protocolo SMTP.
1. Seleccione el Acción de la regla ficha de la regla de IDP
2. Ahora ingrese:
• Acción: Proteger
• firmas: IPS_MAIL_SMTP
• Haga
ACUERDO
clic DE
Si se desea el registro de intentos de intrusión, esto se puede configurar haciendo clic en el acciones de regla pestaña cuando se crea una regla de PDI y la habilitación del registro.
los Gravedad se debe establecer en Todas con el fin de que coincida con todos los ataques SMTP.
En resumen, ocurrirá lo siguiente: Si se produce el tráfico de la red externa al servidor de correo, IDP se activará. Si el tráfico coincide con
alguna de las firmas en el IPS_MAIL_SMTP grupo de firmas, se interrumpe la conexión, lo que protege el servidor de correo.
El uso de firmas individuales
El ejemplo anterior utiliza todo un nombre de grupo IDP al habilitar IDP. Sin embargo, es posible especificar en lugar de firmas indvidual
o una lista de firmas para una regla de IDP. firmas individuales se identifican por su número de identificación único y múltiples firmas se
especifica como una lista separada por comas de estos ID se separaron.
Por ejemplo, para especificar las firmas con el ID 68343, la CLI en el ejemplo anterior se convertiría en:

Action = Proteger
IDPServity = Todas las
firmas = 68343
Para especificar una lista que también incluye firmas 68345 y 68349:

Action = Proteger IDPServity = Todas las
firmas = 68343,68345,68349
firmas individuales se introducen de forma similar cuando se utiliza la Interfaz Web.
IDP Traffic Shaping
PDI ofrece un excelente medio de la identificación de diferentes tipos de flujo de tráfico a través de NetDefendOS y las aplicaciones
responsables de los mismos. Esta capacidad se combina con las características de gestión del tráfico de NetDefendOS para proporcionar IDP
Traffic Shaping que puede imponer restricciones de ancho de banda y la prioridad de los flujos específicos identificados.
El tráfico IDP característica conformación se discute en profundidad en Sección 10.2, “IDP de tráfico”.
354
6.6. Prevención de ataque de denegación de Capítulo 6. Mecanismos de seguridad
servicio
6.6. Prevención de ataque de denegación de servicio
Al abrazar la Internet, las empresas experimentan nuevas oportunidades de negocio y crecimiento. La red de la empresa y las aplicaciones
que se ejecutan sobre él son crítica para el negocio. No sólo puede una empresa alcanzar un mayor número de clientes a través de Internet,
puede servir más rápido y más eficientemente. Al mismo tiempo, el uso de una red IP pública permite a las empresas reducir los costes
relacionados con la infraestructura.
Por desgracia, las mismas ventajas que Internet aporta a los negocios también se benefician los piratas informáticos que utilizan la misma
infraestructura pública para montar ataques. herramientas de ataque están fácilmente disponibles en Internet y desarrollo de estas herramientas a
menudo se divide en grupos de hackers novatos - a veces se denomina con nombres tales como "niños de la escritura -. repartidas por todo el
mundo, proporcionando una evolución de los métodos de ataque 24/7 Muchos técnicas de ataque más recientes utilizan la topología distribuida de
Internet para poner en marcha Negación de servicio ( DoS) contra las organizaciones resultantes en los servidores web paralizados que ya no
pueden responder a las peticiones de conexión legítimas.
Para estar en el lado receptor de un ataque DoS es probablemente la última cosa que cualquier administrador de red desea experimentar. Los
ataques pueden aparecer de la nada y las consecuencias pueden ser devastadoras con los servidores caídos, conexiones a Internet
atascadas y sistemas críticos de negocio en sobrecarga.
Esta sección se ocupa de NetDefend utilizando servidores de seguridad para proteger a las organizaciones contra estos ataques.
6.6.2. Mecanismos de ataque de denegación de servicio
Un ataque de denegación de servicio puede ser perpetrada en un número de maneras, pero hay tres tipos básicos de ataque:
• El consumo de recursos computacionales, tales como ancho de banda, espacio en disco, o tiempo de CPU.
• La interrupción de la información de configuración, tal como información de encaminamiento.
• La alteración de los componentes físicos de la red.
Uno de los métodos más comúnmente utilizado es el consumo de recursos computacionales que significa que el ataque DoS inunda
la red y ata los recursos críticos utilizados para ejecutar aplicaciones críticas de negocio. En algunos casos, las vulnerabilidades de
los sistemas operativos Unix y Windows son explotados a chocar intencionalmente el sistema, mientras que en otros casos grandes
cantidades de tráfico aparentemente válida se dirigen a sitios hasta que se sobrecargan y accidente.
Algunos de los ataques de denegación de servicio más utilizados han sido:
• El Ping de la Muerte ataques / Jolt
• Fragmentación ataques de superposición: Lágrima / Bonk / Boink / Nestea
• Los ataques por tierra y LaTierra
• El ataque WinNuke
• ataques de amplificación: Pitufo, Papasmurf, Fraggle
• ataque TCP SYN Flood
• El ataque Jolt2
6.6.3. Ping de la Muerte y Sacudida ataques
El "ping de la muerte" es una de las primeras capas 3/4 ataques. Una de las formas más sencillas para ejecutarlo es ejecutar "ping -l
65510 1.2.3.4" en un sistema Windows 95, donde 1.2.3.4 es la dirección IP del
355
6.6.4. ataques de superposición de fragmentación: en forma Capítulo 6. Mecanismos de seguridad
de lágrima, Bonk, Boink y Nestea
víctima. "Sacudida" es simplemente un programa de propósito-escrito para generar dichos paquetes en sistemas operativos cuyos comandos de
ping negarse a generar paquetes de gran tamaño.
El factor desencadenante es que el último fragmento hace que el tamaño total del paquete excede de 65535 bytes, que es el número más
alto que un entero de 16 bits puede almacenar. Cuando el valor se desborda, salta de nuevo a un número muy pequeño. Lo que sucede
entonces es una función de lo bien que se implementa la pila IP de la víctima.
NetDefendOS nunca permitirá fragmentos a través de que resultaría en el tamaño total superior a 65535 bytes. Además de eso,
hay límites configurables para el tamaño de los paquetes IP en Configuración avanzada.
Ping de la muerte se mostrará en NetDefendOS troncos en forma de gotas con el nombre conjunto de reglas para "LogOversizedPackets".
La dirección IP del remitente puede ser falsa.
6.6.4. La fragmentación ataques de superposición: Lágrima, Bonk, Boink y

Nestea
Teardrop y sus seguidores son los ataques de superposición de fragmentos. Muchas pilas IP han demostrado un comportamiento errático (agotamiento
de recursos excesiva o se bloquea) cuando se expone a fragmentos de superposición.
NetDefendOS protege completamente contra los ataques de la fragmentación de solapamiento. fragmentos solapantes nunca se les permite pasar a
través del sistema.
Lágrima y sus seguidores se mostrarán en NetDefendOS troncos en forma de gotas con el nombre conjunto de reglas para "IllegalFrags". La
dirección IP del remitente puede ser falsa.
6.6.5. los Tierra y LaTierra ataques

La tierra y las obras LaTierra ataca mediante el envío de un paquete a una víctima y haciendo que la víctima responde de nuevo a sí mismo, que
a su vez genera una nueva respuesta a la misma, etc. Esto ya sea atascar la máquina de la víctima hacia abajo, o hacer que se bloquee.
El ataque se lleva a cabo mediante el uso de la dirección IP de la víctima en el campo de origen de un paquete IP, así como en el campo de
destino.
NetDefendOS protege contra este ataque mediante la aplicación de protección IP spoofing a todos los paquetes. En su configuración por
defecto, simplemente comparar los paquetes que llegan a los contenidos de la tabla de enrutamiento; Si un paquete llega en una interfaz
que es diferente de la interfaz donde el sistema espera la fuente a ser, será dado de baja del paquete.
La tierra y los ataques LaTierra se mostrarán en NetDefendOS troncos en forma de gotas con el nombre de la regla establecida en "AutoAccess"
por defecto, o si la configuración contiene reglas de acceso personalizados, el nombre de la regla de acceso que dejó caer el paquete. La
dirección IP del remitente no es de interés aquí, ya que es siempre la misma que la dirección IP de destino.
6.6.6. los WinNuke ataque

El ataque WinNuke funciona mediante la conexión a un servicio TCP que no tiene controladores para los datos "fuera de banda"
(segmentos TCP con el bit URG), pero aún así acepta dichos datos. Esto suele poner el servicio en un bucle estrecho que consume
todo el tiempo de CPU disponible.
Uno de esos servicios era el NetBIOS sobre servicio TCP / IP en máquinas Windows, lo que dio el ataque de su nombre.
NetDefendOS protege contra esto de dos maneras:
• Con una política de entrada cuidado, la superficie de ataque se reduce considerablemente. Sólo servicios expuestos posiblemente
podrían ser víctimas del ataque, y los servicios públicos tienden a ser más bien escrito que los servicios previstos para servir sólo a la
red local.
356
6.6.7. ataques de amplificación: Pitufo, Capítulo 6. Mecanismos de seguridad
Papasmurf, Fraggle
• Al eliminar el bit URG por defecto de todos los segmentos TCP que atraviesan el sistema (configurable a través Configuración
avanzada> TCP> TCPUrg).
WinNuke ataques por lo general aparecen en los registros de NetDefendOS como gotas normales con el nombre de la regla IP que anuló
el intento de conexión.
Para conexiones permitidas a través del sistema, la categoría "DROP" "TCP" o (dependiendo de la
TCPUrg Marco) entradas aparecerán, con un nombre de la regla de "TCPUrg". La dirección IP del remitente no es probable que sea falso; un
enlace de tres vías completa debe completarse antes de segmentos de fuera de banda se pueden enviar.
6.6.7. ataques de amplificación: Pitufo, Papasmurf, Fraggle

Esta categoría de ataques todos hacen uso de "amplificadores": redes mal configuradas, que amplifican un flujo de paquetes y la envían a
la meta final. El objetivo es el consumo excesivo de ancho de banda - el consumo de toda la capacidad de conexión a Internet de la
víctima. Un atacante con suficiente ancho de banda puede renunciar a toda la etapa de amplificación y simplemente transmitir suficiente
ancho de banda en la víctima. Sin embargo, estos ataques permite a atacantes con menos ancho de banda que la víctima para amplificar
su flujo de datos a abrumar a la víctima.
• "Pitufo" y "Papasmurf" envían paquetes de eco ICMP a la dirección de difusión de las redes abiertas con muchas máquinas,
falsificar la dirección IP de origen a la de la víctima. Todas las máquinas de la red abierta a continuación, "responden" a la víctima.
• "Fraggle" utiliza la misma idea general, pero en lugar de utilizar UDP echo (puerto 7) para realizar la tarea. Fraggle consigue
generalmente más bajos factores de amplificación, ya que hay un menor número de servidores en Internet que tienen el servicio de eco
UDP activado.
ataques Smurf se mostrarán en NetDefendOS registros como masas de paquetes de respuesta de eco ICMP abandonado. Las direcciones
IP de origen serán los de las redes amplificador utilizado. ataques Fraggle se mostrarán en NetDefendOS registros como masas de
paquetes perdidos (o permitidos, según la política). Las direcciones IP de origen serán los de las redes amplificador utilizado.
Evitando convertirse en un amplificador
A pesar de que la peor parte de la corriente de ancho de banda es al lado de la víctima final, siendo seleccionada como una red de amplificador
también puede consumir grandes recursos. En su configuración predeterminada, NetDefendOS gotas explícitamente paquetes enviados para transmitir
dirección de redes conectadas directamente (configurable a través
Configuración avanzada> IP> DirectedBroadcasts). Sin embargo, con una política de entrada razonable, no hay una red protegida debe nunca tiene
que preocuparse acerca de convertirse en un amplificador de pitufo.
Protección en la cara de la víctima
Pitufo, y sus seguidores, son ataques de agotamiento de recursos en que utilizan la capacidad de conexión a Internet. En el caso general, el
servidor de seguridad está situado en el lado "equivocado" cuello de botella de la conexión a Internet para ofrecer mucha protección contra
este tipo de ataques. El daño ya se ha hecho en el momento en que los paquetes llegan al servidor de seguridad.
Sin embargo, NetDefendOS pueden ayudar a mantener el peso de encima de los servidores internos, haciéndolos disponibles para el servicio
interno, o tal vez el servicio a través de una conexión secundaria de Internet no se dirige el ataque.
• Pitufo y Papá Pitufo Tipo inundaciones serán vistos como respuestas de eco ICMP en el lado de la víctima. A no ser que FwdFast reglas
están en uso, tales paquetes nunca son permitidos para iniciar nuevas conexiones, independientemente de si hay o no hay reglas que
permitan el tráfico.
• Fraggle los paquetes pueden llegar en cualquier puerto de destino UDP dirigido por el atacante. Apretar el conjunto de reglas de entrada puede
ayudar.
357
6.6.8. Los ataques TCP SYN Flood Capítulo 6. Mecanismos de seguridad
los Traffic Shaping característica integrada en NetDefendOS también ayudar a absorber algo de la inundación antes de que alcance los servidores
protegidos.
6.6.8. Los ataques TCP SYN Flood
ataques de inundación TCP SYN trabajar mediante el envío de grandes cantidades de paquetes TCP SYN a un puerto determinado y luego no
responder a SYN ACK enviado en respuesta. Esto atar los recursos locales pila TCP en el servidor web de la víctima por lo que es incapaz de
responder a más paquetes SYN hasta que las conexiones medio abiertas existentes han expirado.
NetDefendOS pueden proteger contra ataques TCP SYN Flood si el Protección contra inundaciones SYN opción está habilitada en un objeto de
servicio asociado a la regla en el conjunto de reglas IP que desencadena en el tráfico. Esto también se conoce a veces como el SYN Relay opción.
Protección contra las inundaciones se activa automáticamente en los servicios predefinidos http-in-https en, smtp-in, y
ssh-in. Si un nuevo objeto de servicio personalizado está definido por el administrador, entonces la opción de protección contra inundaciones puede ser
activada o desactivada según se desee.
El mecanismo de defensa contra las inundaciones SYN
protección contra inundaciones SYN funciona completando el 3 vías apretón de manos con el cliente antes de hacer un segundo apretón de
manos de su cuenta con el servicio de destino. Las situaciones de sobrecarga tienen dificultad ocurrida en NetDefendOS debido a la gestión de
recursos superior y una ausencia de las restricciones normalmente colocado sobre otros sistemas operativos. Mientras que otros sistemas
operativos pueden presentar problemas con tan sólo 5 conexiones pendientes a medio abrir, NetDefendOS pueden llenar toda su tabla de
estado antes de que algo sucede fuera de lo común. Cuando la tabla de estado se llena, viejas conexiones SYN pendientes serán los primeros
en ser bajado a hacer espacio para nuevas conexiones.
Detectar SYN inundaciones
ataques de inundación TCP SYN se mostrarán en los registros NetDefendOS como cantidades excesivas de nuevas conexiones (o
gotas, si el ataque está dirigido a un puerto cerrado). La dirección IP del remitente está casi siempre falsa.
ALG proporcionan automáticamente protección contra las inundaciones
Cabe señalar que la protección contra inundaciones SYN no tiene que estar habilitado explícitamente en un objeto de servicio que tiene un ALG
asociada a ella. ALG proporciona protección automática contra inundaciones SYN.
6.6.9. los Jolt2 Ataque

El ataque Jolt2 funciona mediante el envío de un flujo constante de fragmentos idénticos en el equipo de la víctima. A unos cientos de paquetes por
segundo se congelarán las máquinas vulnerables por completo hasta que se terminó la corriente.
NetDefendOS completamente protegerá contra este ataque. El primer fragmento se pondrá en cola, a la espera de los fragmentos anteriores
para llegar a fin de que puedan ser transmitidos en orden, pero esto nunca sucede, así que ni siquiera el primer fragmento consigue a través.
fragmentos subsiguientes se desechan, ya que son idénticas al primer fragmento.
Si el atacante elige un fragmento compensado mayor que los límites impuestos por la Configuración avanzada> LengthLim en
NetDefendOS, los paquetes ni siquiera llegar tan lejos; serán retirados de inmediato. Jolt2 ataques pueden o no aparecer en los registros de
NetDefendOS. Si el atacante elige una compensación por el ataque demasiado alta fragmento, que se mostrarán en forma de gotas desde el
conjunto de reglas de "LogOversizedPackets". Si el fragmento de desplazamiento es lo suficientemente baja, no se producirá ningún registro.
La dirección IP del remitente puede ser falsa.
6.6.10. Los ataques de denegación de servicio distribuidos
358
6.6.10. Los ataques de denegación de servicio distribuidos Capítulo 6. Mecanismos de seguridad
Una forma más sofisticada de DoS es la Denegación de Servicio Distribuida ( Ataque DOS. Los ataques DDoS implican romper en cientos
o miles de máquinas en todo el Internet que instala el software de DDoS en ellos, lo que permite al hacker controlar todas estas máquinas
burgled para lanzar ataques coordinados en los sitios de las víctimas. Estos ataques típicamente de ancho de banda de escape, la
capacidad de procesamiento del router, o recursos pila de red, rompiendo la conectividad de red a las víctimas.
A pesar de los recientes ataques DDoS se han lanzado desde ambos sistemas institucionales públicos y privados corporativos, los
hackers tienden a menudo prefieren universidad o redes institucionales debido a su naturaleza abierta y distribuida. Las
herramientas usadas para lanzar ataques DDoS incluyen Trin00, TribeFlood red (TFN), TFN2K y Stacheldraht.
359
6.7. Listas negras de máquinas y redes Capítulo 6. Mecanismos de seguridad
6.7. Listas negras de máquinas y redes
Visión de conjunto
NetDefendOS implementa una Lista negra de direcciones de host o IP de red que pueden utilizarse para proteger contra el tráfico
procedente de fuentes de Internet específicos.
Ciertos NetDefendOS subsistemas tienen la capacidad de opcionalmente lista negra un host o red cuando se encuentran ciertas
condiciones. Estos subsistemas son:
• La detección y prevención de intrusiones (IDP).
• Reglas umbral. (Disponible en ciertos modelos NetDefend - véase Sección 10.3, “Reglas de umbral” para detalles.)
Opciones listas negras
La lista negra automática de un host o red se puede activar en IDP y en reglas de umbral especificando el Proteger acción para
cuando se activa una regla. Una vez activados, hay tres opciones de listas negras:
Tiempo de bloqueo de host / red en cuestión El anfitrión o red que es la fuente del tráfico permanecerá en la lista negra
de segundos durante el tiempo especificado y luego ser eliminados. Si la misma fuente
desencadena otra entrada a la lista negra, entonces el tiempo de bloqueo se
renueva a su valor original, completo (en otras palabras, no es acumulativo).
Bloquear solamente este Servicio Por defecto Lista negra bloquea todos los servicios para el anfitrión de disparo.
Eximir a las conexiones ya establecidas a Si no se establecen conexiones que tienen la misma fuente que esta nueva entrada
partir de listas negras de lista negra, entonces no se eliminará si se establece esta opción.
direcciones IP o redes se añaden a la lista a continuación, el tráfico de estos orígenes se bloquea a continuación, para el período de tiempo
especificado.
Nota: Reinicia no afectan a la lista negra
El contenido de la lista negra no se pierde si el NetDefend Firewall se apaga y se reinicia.
listas blancas
Para asegurar que el tráfico de Internet procedente de fuentes de confianza, como la estación de trabajo de gestión, no están en la lista negra, en
ningún caso, una Lista blanca también es mantenido por NetDefendOS. Cualquier objeto de dirección IP se puede añadir a esta lista blanca
Consejo: Las direcciones IP deben ser importantes en la lista blanca
Se recomienda añadir la propia NetDefend Firewall a la lista blanca, así como la dirección IP o la red de la
estación de trabajo de gestión desde una lista negra de cualquiera podría tener graves consecuencias para las
operaciones de red.
360
También es importante entender que aunque las listas blancas impide una fuente particular de la lista negra, todavía no impide que
los mecanismos NetDefendOS tales como reglas de umbral por caídas o denegar conexiones desde esa fuente. Lo que hace es
evitar que las listas blancas que se añade una fuente a una lista negra si esa es la acción de una regla ha especificado.
Para más detalles sobre su uso, véase Sección 6.5.7, “Acciones de desplazados internos” y Sección 10.3, “Reglas de umbral”.
Nota: La lista negra de filtrado de contenido es independiente
Contenido de la lista negra de filtrado es un tema aparte y utiliza una lista lógico separado (véase la Sección 6.3, “Filtrado
de Contenido Web”).
la CLI lista negra Mando
los lista negra comando se puede utilizar para mirar, así como manipular el contenido actual de la lista negra y la lista
blanca. La lista negra actual se puede ver con el comando:
GW-mundo: /> lista negra -show-negro
Esta lista negra comando se puede utilizar para eliminar un host de la lista negra con el - desatascar opción.
Ejemplo 6.22. Adición de un host a la lista blanca
En este ejemplo, añadiremos un objeto de dirección IP llamada white_ip a la lista blanca. Esto significará esta dirección IP no puede ser la lista negra.
GW-mundo: /> añadir BlacklistWhiteHost Direcciones = white_ip Servicio = all_tcp
Interfaz web
1. Goto Sistema> Lista blanca> Añadir> anfitrión lista blanca
2. Ahora seleccione el objeto de dirección IP white_ip por lo que se añade a la lista blanca
3. Seleccione el servicio all_tcp para ser asociado con esta entrada de lista blanca
361
362
Capítulo 7. Traducción de direcciones
Este capítulo describe las capacidades de traducción de direcciones NetDefendOS.
• NAT, página 364
• Piscinas NAT, página 369
• SAT, página 372
La capacidad de NetDefendOS para cambiar la dirección IP de los paquetes a medida que pasan a través de la NetDefend Firewall es conocido como traducción
de direcciones.
La capacidad de transformar una dirección IP a otra puede tener muchos beneficios. Dos de los más importantes son:
• Las direcciones IPv4 privadas se pueden utilizar en una red protegida donde hosts protegidos necesitan tener acceso a la Internet
pública. También puede haber servidores con direcciones IPv4 privadas que deben ser accesibles a través de Internet pública.
• La seguridad se incrementa al hacer que sea más difícil que alguien pueda entender la topología de la red protegida.
traducción de direcciones oculta las direcciones IP internas que significa que un ataque procedente del "exterior" es más
difícil.
Tipos de Traducción
NetDefendOS admite dos tipos de traducción:
• La traducción de direcciones de red dinámica ( NAT)
• La traducción de direcciones estáticas ( SAB)
La aplicación de los dos tipos de traducción depende de las políticas de seguridad especificados, lo que significa que se aplican al
tráfico específico basado en las reglas de filtrado que definen combinaciones de origen / destino de red / interfaz, así como el
servicio. Hay dos tipos de reglas NetDefendOS IP, NAT
normas y SAB reglas se utilizan para configurar la traducción de direcciones.
Esta sección describe y proporciona ejemplos de la configuración de NAT y SAB reglas.
363
7.2. NAT Capítulo 7. Traducción de direcciones
7.2. NAT
La traducción de direcciones de red dinámica ( NAT) proporciona un mecanismo para traducir las direcciones IP de las fuentes originales a
una dirección diferente. Los paquetes salientes a continuación, parecen venir de una dirección IP diferente y los paquetes entrantes de nuevo
a esa dirección tienen su dirección IP traduce de nuevo a la dirección IP original.
NAT puede tener dos ventajas importantes:
• Las direcciones IP de los clientes y los hosts individuales pueden ser "ocultos" detrás de la dirección IP del servidor de seguridad.
• Sólo el servidor de seguridad necesita una dirección IPv4 pública para el acceso a Internet. Hosts y redes detrás del firewall se
pueden asignar direcciones IPv4 privada, pero aún pueden tener acceso a la Internet pública a través de la dirección IPv4 pública.
NAT proporciona muchos-a-uno La traducción de direcciones IP
NAT proporciona Traducción muchos-a-uno. Esto significa que cada NAT regla en el conjunto de reglas IP se traducirá entre varias
direcciones IP de origen y una única dirección IP de origen.
Para mantener la información de estado de sesión, cada conexión de forma dinámica direcciones traducidas utiliza un número de
puerto único y la combinación de dirección IP como su remitente. NetDefendOS realiza la traducción automática del número de
puerto de origen, así como la dirección IP. En otras palabras, las direcciones IP de origen para las conexiones están traducidos a la
misma dirección IP y las conexiones se distinguen entre sí por la asignación de un número de puerto único para cada conexión.
El siguiente diagrama ilustra el concepto de NAT.
Figura 7.1. La traducción de direcciones IP NAT
En la ilustración anterior, tres conexiones de direcciones IP A, B y do se NATed través de una dirección IP única fuente NORTE. Los
números de puerto originales también se cambian.
El siguiente número de puerto de origen asignado para una nueva conexión NAT será el primer puerto libre seleccionado al azar por
NetDefendOS. Los puertos se asignan al azar para aumentar la seguridad.
Limitaciones en el número de conexiones NAT
Aproximadamente 64.500 conexiones simultáneas NAT son posibles si se considera una "conexión" para ser un par único de
direcciones IP y números de puerto diferentes no se utilizan o se utiliza el mismo puerto de destino.
364
Sin embargo, puesto que hay un posible rango de 64.500 puertos de origen y el mismo número de puertos de destino, es teóricamente
posible tener más de 4 mil millones de conexiones entre dos direcciones IP si se utilizan todos los puertos.
Utilización de grupos de NAT puede aumentar la Conexiones
Para aumentar el número de conexiones NAT que puede existir entre la NetDefend Firewall y un IP de host externo particular, los
NetDefendOS piscinas NAT característica se puede utilizar lo que puede hacer automáticamente el uso de direcciones IP
adicionales en el firewall.
Esto es útil en situaciones en las que un servidor remoto requiere que todas las conexiones están a un solo número de puerto. En tales casos, se
aplicará el límite de 64.500 para los pares de direcciones IP únicas.
Ver Sección 7.3, “Piscinas NAT” Para obtener más información acerca de este tema.
La dirección IP de origen usada para la conversión
Hay tres opciones para la forma NetDefendOS determina la dirección IP de origen que se usará para NAT:
• Utilice la dirección IP de la interfaz
Cuando se establece una nueva conexión, la tabla de enrutamiento es consultado para resolver la interfaz de salida para la conexión.
La dirección IP de la interfaz resuelto se utiliza entonces como la nueva dirección IP de origen cuando NetDefendOS realiza la
traducción de direcciones. Esta es la forma predeterminada en que se determina la dirección IP.
• Especificar una dirección IP específica
Una dirección IP específica se puede especificar como la nueva dirección IP de origen. La dirección IP especificada debe tener un
juego ARP Publicar entrada configurada para la interfaz de salida. De lo contrario, el tráfico de retorno no será recibido por el
NetDefend Firewall. Esta técnica podría ser utilizada cuando la IP de origen es a variar según el origen del tráfico. Por ejemplo, un
proveedor de Internet que utiliza NAT, podría utilizar diferentes direcciones IP para diferentes clientes.
• Utilizar una dirección IP de un conjunto NAT
UN NAT piscina, que es un conjunto de direcciones IP definidas por el administrador, puede ser utilizado. La siguiente dirección
disponible desde la piscina se puede utilizar como la dirección IP utilizada para NAT. No puede haber una o muchas piscinas NAT y una
única piscina se puede utilizar en más de una NAT regla. Este tema se discute en Sección 7.3, “Piscinas NAT”.
La aplicación de traducción NAT
El siguiente ejemplo ilustra cómo se aplica NAT en la práctica en una nueva conexión:
1. El emisor en la dirección IP 192.168.1.5 envía un paquete desde un puerto asignado dinámicamente, para
ejemplo 1038, a un servidor, por ejemplo, 195.55.66.77 el puerto 80.
192.168.1.5:1038 => 195.55.66.77:80
2. En este ejemplo, se utiliza la opción Dirección de usar interfaz, y vamos a utilizar 195.11.22.33 como la dirección de la
interfaz. Además, el puerto de origen se cambia a un puerto libre al azar en el NetDefend Firewall y que está por encima del
puerto 1024. En este ejemplo, supondremos que se elija puerto 32789. El paquete es enviado a su destino.
195.11.22.33:32789 => 195.55.66.77:80
365
3. El servidor receptor entonces procesa el paquete y envía su respuesta.
195.55.66.77:80 => 195.11.22.33:32789
4. NetDefendOS recibe el paquete y lo compara a su lista de conexiones abiertas. Una vez que encuentra la conexión en
cuestión, se restaura la dirección original y reenvía el paquete.
195.55.66.77:80 => 192.168.1.5:1038
5. El remitente original ahora recibe la respuesta.
La secuencia de estos eventos se ilustra adicionalmente en el siguiente diagrama.
Figura 7.2. A Ejemplo NAT
Ejemplo 7.1. Especificación de una NAT Regla
A continuación se añadirán una NAT regla que llevará a cabo la traducción de direcciones para todo el tráfico HTTP procedente de la red interna lan a medida
que fluye a la Internet pública en el pálido interfaz. La dirección IP de la pálido interfaz se utiliza como la dirección NATing para todas las conexiones.
GW-mundo: / principal> añadir iprule Action = NAT

SourceInterface = lan SourceNetwork =
Lannet DestinationInterface = wan
DestinationNetwork = todas las redes de
servicio = http Name = NAT_HTTP
NATAction = UseInterfaceAddress
366
los NATAction opción podría quedar fuera ya que el valor predeterminado es utilizar la dirección de la interfaz. La alternativa es especificar UseSenderAddress y el
uso de la NATSenderAddress opción para especificar la dirección IP a usar. También tendrá que ser explícitamente ARP publicada en la interfaz de la dirección del
remitente.
Interfaz web
2. Especificar un nombre adecuado para la regla, por ejemplo, NAT_HTTP
• Acción: NAT
• Servicio: http
4. En el marco del NAT pestaña, asegúrese de que la Uso Interfaz Dirección se selecciona la opción
Tala opcionalmente puede ser habilitado para que esta regla de manera que se genera un mensaje de registro cada vez que se dispara.
Procesadas por los protocolos NAT
traducción dinámica de direcciones es capaz de lidiar con los protocolos TCP, UDP e ICMP con un buen nivel de funcionalidad ya que el
algoritmo sabe qué valores se pueden ajustar para convertirse en único en los tres protocolos. Para otros protocolos de nivel IP,
conexiones únicas son identificados por sus direcciones de remitente, las direcciones de destino y los números de protocolo.
Esto significa que:
• Una máquina interna puede comunicarse con varios servidores externos utilizando el mismo protocolo IP.
• Una máquina interna puede comunicarse con varios servidores externos usando protocolos IP diferentes.
• Varias máquinas internas pueden comunicar con diferentes servidores externos utilizando el mismo protocolo IP.
• Varias máquinas internas pueden comunicarse con el mismo servidor utilizando protocolos IP diferentes.
• Varias máquinas internas pueden no comunicarse con el mismo servidor externo utilizando el mismo protocolo IP.
Nota: Las restricciones sólo se aplican a los protocolos de nivel IP
Estas restricciones se aplican sólo a los protocolos de nivel IP que no sean TCP, UDP e ICMP, como OSPF y
L2TP. Ellos no se aplican a los protocolos transportados por TCP, UDP e ICMP como Telnet, FTP, HTTP y
SMTP.
NetDefendOS pueden alterar el número de puerto en el TCP y UDP cabeceras para hacer que cada conexión
única, a pesar de que este tipo de conexiones han tenido sus direcciones de remitente convierten a la misma IP.
367
Algunos protocolos, independientemente del medio de transporte utilizado, pueden causar problemas durante la traducción de direcciones.
Anonimizador tráfico de Internet con NAT
Una aplicación útil de la función NAT en NetDefendOS es para los proveedores de servicios de anonimato para anonimizar tráfico entre clientes y
servidores a través de Internet público, por lo que la dirección IP pública del cliente no está presente en todas las solicitudes de acceso al
servidor o de igual a igual tráfico.
Vamos a examinar el caso típico en el que el NetDefend Firewall actúa como un servidor PPTP y termina el túnel PPTP para
clientes PPTP. Los clientes que desean permanecer en el anonimato, se comunican con su ISP local usando PPTP. El tráfico se
dirige al proveedor de servicios de anonimato, donde se ha instalado un NetDefend Firewall para que actúe como servidor PPTP
para el cliente, que termina el túnel PPTP. Esta disposición se ilustra en el siguiente diagrama.
Figura 7.3. Anonimizar con NAT
NetDefendOS está configurado con NAT reglas de la norma IP establecida por lo que toma el tráfico de comunicación que
viene del cliente y NAT TI a salir a Internet. La comunicación con el cliente es con el protocolo PPTP pero el túnel PPTP
desde el cliente termina en el firewall. Cuando este tráfico se transmite entre el firewall y el Internet, ya no es encapsulada
por PPTP.
Cuando una aplicación, como por ejemplo un servidor web, recibe ahora peticiones del cliente, parece como si están viniendo
desde la dirección IP externa del proveedor de servicios de anonimato y no IP del cliente. Por lo tanto, la aplicación envía sus
respuestas de vuelta al servidor de seguridad que transmite el tráfico de vuelta al cliente a través del túnel PPTP. La dirección IP
original del cliente no se revela en el tráfico, ya que se transmite más allá de la terminación del túnel PPTP en los NetDefendOS.
Típicamente, todo el tráfico pasa a través de la misma interfaz física y que la interfaz tiene una única dirección IP pública. Múltiples interfaces
podrían utilizarse si las direcciones IPv4 públicas múltiples están disponibles. Es evidente que existe una pequeña sobrecarga de procesamiento
involucrado con el tráfico de anonimato, pero esto no tiene por qué ser un problema si se emplean los recursos de hardware suficientes para realizar
el anonimato.
Esta misma técnica también se puede utilizar con L2TP en lugar de las conexiones PPTP. Ambos protocolos se discuten en Sección
9.5.4, “Los clientes PPTP / L2TP”.
368
7.3. Piscinas NAT Capítulo 7. Traducción de direcciones
7.3. Piscinas NAT
Visión de conjunto
Traducción de Direcciones de Red ( NAT) proporciona una manera de tener varios clientes internos y anfitriones con direcciones únicas IP privadas,
internas comunicarse con un ordenador remoto a través de una única dirección IPv4 pública externa (esto se discute en profundidad en Sección 7.2,
“NAT”). Cuando varias direcciones IP externas públicas están disponibles a continuación, una conjunto NAT objeto se puede utilizar para asignar
nuevas conexiones a través de estas direcciones IPv4 públicas.
Piscinas NAT se emplean generalmente cuando hay una necesidad de un gran número de conexiones de puerto exclusivos. El Puerto Maestro
NetDefendOS tiene un límite de aproximadamente 65.000 conexiones para una combinación única de direcciones IP de origen y destino. Donde
gran número de clientes internos están utilizando aplicaciones como el software de intercambio de archivos, un gran número de puertos pueden
ser requeridos para cada cliente. La situación puede ser exigente de manera similar, si un gran número de clientes tienen acceso a Internet
mediante un servidor proxy. La limitación se supera el número de puerto mediante la asignación de direcciones IP externas adicionales para
acceso a Internet y el uso de NAT piscinas para asignar nuevas conexiones a través de ellos.
Tipos de piscinas NAT
Un conjunto NAT puede ser uno de los siguientes tres tipos con cada asignación de nuevas conexiones de una manera diferente:
• stateful
• Apátrida
• Fijo
Los detalles de estos tres tipos se presentan a continuación.
Piscinas con estado de NAT
Cuando el stateful opción está seleccionada, NetDefendOS asigna una nueva conexión a la dirección IP externa que actualmente tiene el
menor número de conexiones enrutadas a través de él con la suposición de que es la menor carga. NetDefendOS mantiene un registro en
memoria de todas estas conexiones. Las conexiones posteriores que implican el mismo interno cliente / host A continuación, utilizar la
misma dirección IP externa.
La ventaja del enfoque de estado es que puede equilibrar las conexiones a través de varios enlaces ISP externos garantizando al mismo
tiempo que un host externo siempre se comunicará de nuevo a la misma dirección IP que será esencial con protocolos como HTTP
cuando se trata de cookies. La desventaja es la memoria adicional requerida por NetDefendOS para rastrear el uso en su tabla de estado
y la pequeña sobrecarga de procesamiento involucrado en el procesamiento de una nueva conexión.
Para asegurarse de que la tabla de estado no contiene entradas para las comunicaciones muertos que ya no están activos, una Estado
Keepalive el tiempo puede ser especificado. Esta vez es el número de segundos de inactividad que deben ocurrir antes de que se elimina un
estado en la tabla de estado. Después de este período NetDefendOS no asume ningún tipo de comunicación más se originará desde el host
interno asociado. Una vez que se elimina el estado entonces la comunicación subsiguiente desde el host dará lugar a una nueva entrada de
tabla de estado y puede ser asignado a una dirección IP externa diferente en el NAT Pool.
La tabla de estado en sí ocupa de memoria por lo que es posible limitar su tamaño mediante el Max Unidos el valor de un objeto de conjunto
NAT. La tabla de estado no se asigna a la vez, pero se incrementa en tamaño según sea necesario. Una entrada en la tabla de estado de
seguimiento de todas las conexiones para un único host detrás del NetDefend Firewall sin importar que albergan las preocupaciones externa de
conexión. Si Max Unidos se alcanza luego se sustituye un estado existente con el tiempo de inactividad más largo. Si todos los estados de la
mesa es activa, entonces la nueva conexión se interrumpe. Como regla general, cuanto Max Unidos valor debe ser al menos el número de hosts o
clientes locales que se conectará a Internet.
369
Sólo hay una tabla de estado por cada conjunto NAT de modo que si un solo conjunto NAT se reutiliza en varias reglas NAT IP que comparten la
misma tabla de estados.
Sin estado piscinas NAT
los Apátrida opción significa que no hay tabla de estado se mantiene y la dirección IP externa elegido para cada nueva conexión es la
que tiene el menor número de conexiones ya asignados a la misma. Esto significa dos conexiones entre un host interno para el mismo
host externo puede utilizar dos direcciones IP externas diferentes.
La ventaja de una piscina sin estado NAT es que existe una buena difusión de nuevas conexiones entre las direcciones IP externas
sin necesidad de memoria asignada a una tabla de estados y hay menos tiempo de procesamiento necesario para la creación de
cada nueva conexión. La desventaja es que no es adecuada para la comunicación que requiere una dirección IP externa constante.
Piscinas fijas NAT
los Fijo opción significa que cada cliente interno o host se asigna una de las direcciones IP externas a través de un algoritmo de
hash. Aunque el administrador no tiene control sobre cuál de las conexiones externas se utilizará, este esquema asegura que un
cliente interno en particular o anfitrión siempre se comunicarán a través de la misma dirección IP externa.
La opción Fijos tiene la ventaja de no requerir memoria para una tabla de estado y proporciona un procesamiento muy rápido para el nuevo
establecimiento de la conexión. Aunque el equilibrio de carga explícita no es parte de esta opción, debe haber divulgación de la carga a
través de las conexiones externas debido a la naturaleza aleatoria del algoritmo que se distribuyen.
Uso IP Pool
Cuando la asignación de direcciones IP externas a un conjunto NAT no es necesario indicar explícitamente estos. En cambio, un NetDefendOS IP Pool objeto
puede ser seleccionado. IP piscinas se reúnen colecciones de direcciones IP automáticamente a través de DHCP y, por tanto, pueden suministrar
direcciones IP externas de forma automática a un conjunto NAT. Ver Sección 5.4, “Conjuntos de IP” para más detalles sobre este tema.
Uso de Proxy ARP
Cuando un router externo envía consultas ARP a la NetDefend Firewall para resolver direcciones IP externas incluidas en un conjunto NAT,
NetDefendOS tendrán que enviar el ARP correcta responde a esta resolución se lleve a cabo a través de su mecanismo de proxy ARP por
lo que el router externo puede construir correctamente su tabla de ruteo.
Por defecto, el administrador debe especificar en la configuración del conjunto NAT qué interfaces serán utilizados por las piscinas NAT. Sin
embargo existe la opción para habilitar Proxy ARP para un conjunto NAT en todas las interfaces, pero esto puede causar problemas a veces por
la posible creación de rutas a interfaces en las que los paquetes no deben llegar. Por ello se recomienda que la interfaz (s) que debe utilizarse
para el mecanismo de NAT piscina Proxy ARP se especifican explícitamente.
Utilización de grupos de NAT
Piscinas NAT se utilizan en combinación con una regla NAT IP normal. Al definir una NAT regla general, el diálogo incluye la opción de
seleccionar un conjunto NAT para usar con la regla. Esta asociación aporta el conjunto NAT en uso.
Ejemplo 7.2. Utilización de grupos de NAT
370
En este ejemplo se crea un grupo de NAT con el rango de direcciones IP externa 10.6.13.10 a 10.16.13.15 que luego se utiliza en una NAT norma IP para el
tráfico HTTP en el pálido interfaz.
Interfaz web
R. En primer lugar crear un objeto en la libreta de direcciones del intervalo de direcciones:
2. Especificar un nombre adecuado para el rango de IP nat_pool_range
3. Introduzca 10.6.13.10-10.16.13.15 en el Dirección IP caja de texto

(Una red tal como 10.6.13.0/24 podría utilizarse aquí - las 0 y 255 direcciones serán eliminados automáticamente)
B. A continuación, cree un objeto de estado conjunto NAT llamada stateful_natpool:
1. Ir a: Objetos> Piscinas NAT> Añadir> conjunto NAT
2. Ahora ingrese:
• Nombre: stateful_natpool
• Tipo de piscina: stateful
• Rango de IP: nat_pool_range
3. Seleccione el Proxy ARP ficha y añadir el PÁLIDO interfaz
C. Ahora definir el NAT gobernar en el conjunto de reglas IP
• Nombre: Introduzca un nombre adecuado, tal como nat_pool_rule
• Acción: NAT
3. Bajo filtro de direcciones entrar:
• Interfaz de origen: int
• Fuente de red: int-net
• Servicio: HTTP
4. Seleccione el NAT ficha y escriba:
• Comprobar el Utilizar NAT piscina opción
• Seleccionar stateful_natpool de la lista desplegable
371
7.4. SAB Capítulo 7. Traducción de direcciones
7.4. SAB
NetDefendOS pueden traducir rangos enteros de direcciones IP y / o números de puerto. Estas conversiones son transposiciones donde cada
dirección o puerto se asigna a una dirección o puerto correspondiente en una nueva gama, en lugar de la traducción de todos ellos a la misma
dirección o puerto. Esta funcionalidad se conoce como
La traducción de direcciones estáticas ( SAB).
Nota: El reenvío de puertos
Algunos proveedores de equipos de red utilizan el término " el reenvío de puertos" cuando se hace referencia a la SAT. Ambos
términos se refieren a la misma funcionalidad.
SAT requiere de reglas IP múltiples
A diferencia de NAT, SAT requiere algo más que una sola regla IP por definir. UN SAB primera regla debe añadirse para especificar la traducción de
direcciones, pero NetDefendOS no termina la búsqueda conjunto de reglas después de encontrar una coincidencia SAB regla. En cambio, la
búsqueda de reglas IP continúa durante un juego Permitir, NAT
o FwdFast regla. Sólo cuando se ha encontrado una norma de este tipo no coincidente NetDefendOS ejecutar el original SAB regla.
los SAB regla solamente define la traducción que ha de tener lugar. La segunda regla IP, asociado debe existir para permitir que en
realidad el tráfico atraviese el firewall.
La segunda regla debe dar lugar en el destino sin traducir IP
Un principio importante a tener en cuenta al crear las reglas de propiedad intelectual para el SAT es que la segunda regla, por ejemplo, una Permitir
regla, debe gatillo de la sin traducir Dirección IP de destino. Un error común es crear una regla que desencadena en la dirección traducida
propuesta por el SAB regla.
Por ejemplo, si una SAB regla traduce el destino de 1.1.1.1 a 2.2.2.2 entonces la segunda regla asociada debe permitir
que el tráfico pase al destino 1.1.1.1 y no 2.2.2.2.
Sólo después de la segunda regla se activa para permitir el tráfico, es la búsqueda de rutas a continuación, realizado por NetDefendOS en la
dirección traducida para elaborar la interfaz que los paquetes deben ser enviados desde.
7.4.1. Traducción de una dirección IP única (1: 1)

La forma más simple de uso de SAT es la traducción de una sola dirección IP. Un escenario muy común para esto es para que los usuarios
externos acceder a un servidor protegido en una DMZ que tiene una dirección privada. Esto también es a veces referido como la implementación de
una IP virtual o como una Servidor virtual y se utiliza a menudo en confunction con una DMZ.
El papel de una DMZ
En este punto, es relevante para analizar el papel de la red conocida como el Zona desmilitarizada
(DMZ) puesto que las reglas SAT se utiliza a menudo en permitir el acceso DMZ.
El propósito de la DMZ es tener una red donde el administrador puede poner los recursos que serán accesibles a los clientes externos,
no son de confianza y donde este acceso se realiza normalmente a través de la Internet pública. Estos servidores tienen la máxima
exposición a las amenazas externas y por lo tanto con mayor riesgo de verse comprometidos.
Mediante el aislamiento de estos servidores de la DMZ, estamos creando una separación distinta de las redes internas, locales más
sensibles. Esto permite un mejor control NetDefendOS a lo que los flujos de tráfico entre la DMZ y las redes internas y para aislar mejor los
errores de seguridad que pudieran producirse en los servidores de DMZ.
372
7.4.1. Traducción de una dirección IP Capítulo 7. Traducción de direcciones
única (1: 1)
La ilustración siguiente muestra una disposición típica de red con un servidor de seguridad NetDefend mediación de las
comunicaciones entre la Internet y los servidores de la DMZ y entre la DMZ y clientes locales en una red llamada LAN.
Figura 7.4. El papel de la DMZ
Nota: El puerto DMZ podría ser cualquier puerto
En todos los modelos de D-Link Hardware NetDefend, existe una interfaz Ethernet específico que se marca como
para el DMZ red. Aunque este es el uso previsto del puerto que podría ser utilizado para otros fines y cualquier
interfaz Ethernet también podría ser utilizado en lugar de una DMZ.
Ejemplo 7.3. Permitiendo el tráfico a un servidor Web protegido en una DMZ
En este ejemplo, vamos a crear una política de SAT que se traducirá y permitir las conexiones de Internet a un servidor web situado en una DMZ. El
NetDefend Firewall está conectado a la Internet a través de la interfaz WAN con wan_ip objeto de dirección (definido como 195.55.66.77) como la
dirección IP. El servidor web tiene la dirección IPv4 10.10.10.5
y es accesible a través de la interfaz de DMZ.
A continuación, cree una regla SAT IP:
GW-mundo: / principal> añadir iprule Action = SAT

Servicio = http SourceInterface = cualquier
SourceNetwork = todas las redes de
núcleo DestinationInterface = =
DestinationNetwork wan_ip SATTranslate
= DestinationIP
373
única (1: 1)
SATTranslateToIP = 10.10.10.5 Name =

SAT_HTTP_To_DMZ
A continuación, crear una correspondiente Permitir regla:
GW-mundo: / principal> añadir la acción iprule = Permitir

Servicio = http SourceInterface =
cualquier SourceNetwork = all-redes
DestinationInterface = núcleo
DestinationNetwork = wan_ip Name =
Allow_HTTP_To_DMZ
Interfaz web
En primer lugar crear una regla SAT:
2. Especificar un nombre adecuado para la regla, por ejemplo, SAT_HTTP_To_DMZ
• Acción: SAB
• Servicio: http
4. En el marco del SAB pestaña, asegúrese de que la Dirección IP de destino se selecciona la opción
5. En el Nueva Dirección IP cuadro de texto, introduzca 10.10.10.5
A continuación, crear una correspondiente Permitir regla:
2. Especificar un nombre adecuado para la regla, por ejemplo, Allow_HTTP_To_DMZ
• Servicio: http
4. En el marco del Servicio pestaña, seleccione http en el predefinida lista
Esto se traduce en las siguientes dos reglas en el conjunto de reglas IP:
# Acción src de Iface src neto dest de Iface dest Net parámetros
1 SAB alguna todas las redes de núcleo wan_ip http SETDEST 10.10.10.5 80
2 Permitir alguna todas las redes de núcleo wan_ip http
Estas dos reglas permiten el acceso al servidor web a través de la dirección IP externa del NetDefend Firewall. Regla 1 establece que
374
única (1: 1)
traducción de direcciones puede tener lugar si se ha permitido la conexión, y la regla 2 permite la conexión.
La interfaz de destino regla SAT debe ser núcleo porque IPs de interfaz siempre se encaminan en núcleo.
Una regla NAT también puede ser necesaria para permitir el acceso a los equipos internos de la Internet pública:
3 NAT lan Lannet alguna todas las redes de Todas
El problema con este conjunto de reglas es que hace que las direcciones internas visibles para los equipos de la zona de distensión. Cuando las computadoras se conectan a
wan_ip puerto 80, se les permitirá proceder por la regla 2. Desde una perspectiva de seguridad, los hosts en la zona de distensión deben ser considerados como poco fiable.
Hay dos soluciones posibles:
1. Cambiar la regla 2 de modo que sólo se aplica al tráfico externo.
2. Las disposiciones de cambiar 2 y 3 para que la NAT regla se lleva a cabo para el tráfico interno antes de la Permitir regla se activa.
¿Cuál de estas dos opciones es la mejor? Para esta configuración, no hace ninguna diferencia y ambos trabajan.
Sin embargo, suponemos que usamos otra interfaz, ext2, en el cortafuegos y conectarlo a otra red, tal vez a la de una empresa vecina para que
puedan comunicarse mucho más rápido con nuestros servidores.
Si se ha seleccionado la opción 1, el conjunto de reglas se debe ajustar de esta manera:
2 Permitir pálido todas las redes de núcleo wan_ip http
3 Permitir ext2 ext2net núcleo wan_ip http
4 NAT lan Lannet alguna todas las redes de all_services
Esto aumenta el número de reglas para cada interfaz permitido para comunicarse con el servidor web. Sin embargo, el ordenamiento regla no es importante, lo
que puede ayudar a evitar errores.
Si se ha seleccionado la opción 2, el conjunto de reglas se debe ajustar de esta manera:
2 NAT lan Lannet núcleo wan_ip all_services
Esto significa que no tiene que ser incrementado el número de reglas. Esto es bueno, siempre y cuando todas las interfaces pueden ser de confianza para comunicarse
con el servidor web. Sin embargo, si en un momento posterior añadimos una interfaz que no se puede confiar para comunicarse con el servidor web, por separado soltar normas
tendrían que ser colocados antes de la norma que concede todas las máquinas de acceso al servidor web.
Determinar el mejor curso de acción debe hacerse sobre una base de caso por caso, teniendo en cuenta todas las circunstancias.
Ejemplo 7.4. Permitiendo el tráfico a un servidor Web en una red interna
En este ejemplo, un servidor web con una dirección IPv4 privada se encuentra en una red interna. Este ejemplo ha sido elegido por su sencillez pero este
método no es aconsejable desde el punto de vista de seguridad como servidores web están mejor situados en una DMZ.
Para que los usuarios externos para acceder al servidor web, que deben ser capaces de comunicarse con ella mediante una dirección pública. En este ejemplo, hemos
elegido para convertir el puerto 80 en dirección externa del cortafuegos al puerto 80 en el servidor web:
375
única (1: 1)
1 SAB alguna todas las redes de núcleo wan_ip http SETDEST wwwsrv 80
Estas dos reglas nos permiten acceder al servidor web a través de la dirección IP externa del firewall. Regla 1 establece que la traducción de direcciones
se llevará a cabo si se permite la conexión y la regla 2 permite la conexión.
Por supuesto, también tenemos una regla que permite que las máquinas internas a ser dinámicamente dirección traducida a Internet. En este ejemplo, se
utiliza una regla que permite todo, desde la red interna para acceder a Internet a través de NAT ocultar:
El problema con este conjunto de reglas es que no funciona en absoluto para el tráfico de la red interna.
Con el fin de ilustrar exactamente lo que sucede, utilizamos las direcciones IP siguientes:
• wan_ip ( 195.55.66.77): una dirección IPv4 pública
• LAN_IP ( 10.0.0.1): dirección interna, privada IPv4 del servidor de seguridad NetDefend
• wwwsrv ( 10.0.0.2): dirección IPv4 privada del servidor web
• PC1 ( 10.0.0.3): un PC con una dirección IPv4 privada
El orden de los eventos es como sigue:
• PC1 envía un paquete a wan_ip alcanzar www.ourcompany.com:
10.0.0.3:1038 => 195.55.66.77:80
• NetDefendOS traduce la dirección de acuerdo con el artículo 1 y reenvía el paquete de acuerdo con el artículo 2:
10.0.0.3:1038 => 10.0.0.2:80
• wwwsrv procesa el paquete y respuestas:
10.0.0.2:80 => 10.0.0.3:1038
Esta respuesta llega directamente a PC1 sin pasar por el NetDefend Firewall. Esto causa problemas.
La razón de que esto no va a funcionar es porque PC1 espera una respuesta de 195.55.66.77:80 y no 10.0.0.2:80. La inesperada respuesta se
descarta y PC1 sigue esperando una respuesta de 195.55.66.77:80 que nunca llegará.
Haciendo un pequeño cambio en el conjunto de reglas de la misma manera como se describió anteriormente, va a resolver el problema. En este ejemplo, elegimos la opción 2
para utilizar:
• PC1 envía tráfico a wan_ip con el fin de llegar a "www.ourcompany.com":
10.0.0.3:1038 => 195.55.66.77:80
• dirección NetDefendOS traduce esta forma estática de acuerdo con el artículo 1 y dinámicamente de acuerdo con el artículo 2:
10.0.0.1:32789 => 10.0.0.2:80
• wwwsrv procesa el tráfico y respuestas:
10.0.0.2:80 => 10.0.0.1:32789
376
7.4.2. Traducción de varias direcciones Capítulo 7. Traducción de direcciones
IP (M: N)
• La respuesta llega y dos conversiones de dirección se restauran:
195.55.66.77:80 => 10.0.0.3:1038
De esta manera, la respuesta llega a PC1 desde la dirección esperada.
Otra posible solución a este problema es permitir a los clientes internos hablan directamente a 10.0.0.2 y esto evitaría por completo todos los problemas
asociados con la traducción de direcciones. Sin embargo, esto no siempre es práctico.
7.4.2. Traducción de varias direcciones IP (M: N)

Una regla simple SAT se puede utilizar para traducir toda una gama de direcciones IP. En este caso, el resultado es una transposición, donde la
primera dirección IP original será traducido a la primera dirección IP en la lista de traducción y así sucesivamente.
Por ejemplo, una política SAT especificando que las conexiones a la 194.1.2.16/29 la red debe ser traducido a 192.168.0.50 dará
lugar a las transposiciones que se describen en la tabla siguiente:
Direccion original Dirección traducida
194.1.2.16 192.168.0.50
194.1.2.17 192.168.0.51
194.1.2.18 192.168.0.52
194.1.2.19 192.168.0.53
194.1.2.20 192.168.0.54
194.1.2.21 192.168.0.55
194.1.2.22 192.168.0.56
194.1.2.23 192.168.0.57
En otras palabras:
• Los intentos de comunicarse con 194.1.2.16 dará lugar a una conexión a 192.168.0.50.
• Los intentos de comunicarse con 194.1.2.22 dará lugar a una conexión a 192.168.0.56.
Un ejemplo de esto es cuando es útil cuando se tiene varios servidores protegidos en una DMZ, y donde cada servidor debe ser
accesible a través de una dirección IPv4 pública única.
Ejemplo 7.5. La traducción de tráfico a los servidores web protegidos Múltiples
En este ejemplo, una regla SAT IP convertirá a partir de cinco direcciones IPv4 públicas a cinco servidores web ubicados en una DMZ. El cortafuegos está
conectado a Internet a través de la pálido direcciones de interfaz y el IPv4 públicas son la gama
195.55.66.77 a 195.55.66.81. Los servidores web tienen el rango de direcciones IPv4 privada 10.10.10.5 a 10.10.10.9
y están en la red conectada a la DMZ interfaz.
Los siguientes pasos se deben realizar:
• Definir un objeto de dirección que contiene las direcciones IPv4 públicas.
• Definir otro objeto de dirección para la base de las direcciones IP del servidor web.
• Publicar las direcciones IPv4 públicas sobre el pálido interfaz utilizando el ARP publicar mecanismo.
• Crear un SAB regla que va a realizar la traducción.
• Crear un Permitir regla que permita las conexiones HTTP entrantes.
Desde las cinco direcciones IPv4 públicas están siendo publicados hasta ARP estas direcciones no se encaminan en núcleo, la interfaz de destino SAT es pálido
y no núcleo.
377
7.4.2. Traducción de varias direcciones Capítulo 7. Traducción de direcciones
IP (M: N)
Crear un objeto de dirección para las direcciones IPv4 públicas:
GW-mundo: /> Añadir dirección IP4Address wwwsrv_pub

Dirección = 195.55.66.77-195.55.66.81
Ahora, crear otro objeto de la base de las direcciones IP del servidor web:
GW-mundo: /> Añadir dirección IP4Address wwwsrv_priv_base Dirección = 10.10.10.5
Publicar las direcciones IPv4 públicas en la interfaz WAN utilizando ARP publicar. Se necesita un elemento ARP para cada dirección IP:
GW-mundo: /> añadir ARP = Interfaz IP WAN = modo 195.55.66.77 = Publica
Repita este procedimiento para todas las cinco direcciones IPv4 públicas.
A continuación, cambiar la categoría actual a ser el principal norma IP fija:
A continuación, cree una regla SAT para la traducción:
GW-mundo: / principal> añadir iprule Action = SAT

DestinationInterface = wan DestinationNetwork =
wwwsrv_pub SATTranslateToIP = wwwsrv_priv_base
SATTranslate = DestinationIP
Por último, crear un asociado Permitir Regla:
GW-mundo: / principal> Agregar acción iprule = Permitir

DestinationInterface = wan DestinationNetwork =
wwwsrv_pub
Interfaz web
Crear un objeto de dirección para la dirección IPv4 pública:
2. Especificar un nombre adecuado para el objeto, por ejemplo wwwsrv_pub
3. Introduzca 195.55.66.77 - 195.55.66.77.81 como el Dirección IP
Ahora, crear otro objeto de dirección para la base de las direcciones IP del servidor web:
2. Especificar un nombre adecuado para el objeto, por ejemplo wwwsrv_priv_base
Publicar las direcciones públicas en el pálido interfaz utilizando ARP publicar. Se necesita un elemento ARP para cada dirección IP:
1. Ir a: Interfaces> ARP> Añadir> ARP
2. Ahora ingrese:
• Modo: Publicar
378
7.4.3. All-a-uno Asignaciones (n: 1) Capítulo 7. Traducción de direcciones
• Interfaz: pálido
• Dirección IP: 195.55.66.77
3. Haga clic DE ACUERDO y repita para los 5 direcciones IPv4 públicas
Crear una regla SAT para la traducción:
2. Especificar un nombre adecuado para la regla, por ejemplo, SAT_HTTP_To_DMZ
• Acción: SAB
• servce: http
• Red de destino: wwwsrv_pub
4. Cambie a la SAB lengüeta
5. Asegúrese de que el Dirección IP de destino se selecciona la opción
6. En el Nueva Dirección IP lista desplegable, seleccione wwwsrv_priv
Por último, crear un correspondiente Permitir regla:
2. Especificar un nombre adecuado para la regla, por ejemplo, Allow_HTTP_To_DMZ
• Servicio: http
• Red de destino: wwwsrv_pub
7.4.3. All-a-uno Asignaciones (n: 1)

NetDefendOS se pueden utilizar para traducir los rangos y / o grupos en una sola dirección IP.
1 SAT alguna todas las redes de pálido 194.1.2.16-194.1.2.20, http SETDEST todo-a-uno
194.1.2.30 192.168.0.50 80
Esta regla se produce una N: 1 traducción de todas las direcciones en el grupo (el rango 194.1.2.16 - 194.1.2.20
más 194.1.2.30) a la IP 192.168.0.50.
379
7.4.3. All-a-uno Asignaciones (n: 1) Capítulo 7. Traducción de direcciones
• Los intentos de comunicarse con 194.1.2.16 - el puerto 80, dará lugar a una conexión a 192.168.0.50.
• Los intentos de comunicarse con 194.1.2.30 - el puerto 80, dará lugar a una conexión a 192.168.0.50.
Nota
Cuando todas las redes de es el destino, All-to-One mapeo se realiza siempre.
Ejemplo 7.6. La traducción de tráfico a un servidor web individual Protegida (N: 1)
Este ejemplo es similar al anterior muchos-a-muchos (M: N) ejemplo, pero esta vez un IP SAT se traducirá a partir de cinco IPv4 pública se dirige a un
único servidor web situado en una DMZ.
El NetDefend Firewall está conectado a Internet en el pálido interfaz y las direcciones IPv4 públicas tienen el rango de 195.55.66.77 a 195.55.66.81.
El servidor tiene la dirección IPv4 privada 10.10.10.5 y está en la red conectada a la DMZ interfaz.
Los siguientes pasos se deben realizar:
• Definir un objeto de dirección que contiene todas las direcciones IPv4 públicas.
• Definir otro objeto de dirección fija para ser la dirección IPv4 10.10.10.5 del servidor web.
• Publicar las direcciones IPv4 públicas sobre el pálido interfaz utilizando el ARP publicar mecanismo.
• Crear un SAB regla que va a realizar la traducción.
• Crear un Permitir regla que permita a los flujos HTTP entrantes.
Crear un objeto de dirección para las direcciones IPv4 públicas:
GW-mundo: /> Añadir dirección DirecciónIP wwwsrv_pub

Dirección = 195.55.66.77-195.55.66.81
Ahora, crear otro objeto de la base de las direcciones IP del servidor web:
GW-mundo: /> Añadir dirección DirecciónIP wwwsrv_priv Dirección = 10.10.10.5
Publicar los cinco direcciones IPv4 públicas en la interfaz WAN utilizando ARP publicar. Se necesita un comando CLI como la siguiente para cada dirección
IP:
GW-mundo: /> añadir ARP = Interfaz IP WAN = modo 195.55.66.77 = Publica
A continuación, cambiar el contexto actual de la CLI a ser el principal norma IP fija:
A continuación, cree una regla SAT para la traducción:
GW-mundo: / IPRuleSet / principal> añadir iprule Action = SAT

DestinationInterface = wan DestinationNetwork
= wwwsrv_pub SATTranslateToIP =
wwwsrv_priv SATTranslate = DestinationIP
SATAllToOne = Sí
Por último, crear un asociado Permitir Regla:
GW-mundo: / IPRuleSet / principal> Agregar acción iprule = Permitir

Servicio = http SourceInterface =
cualquier SourceNetwork = all-redes
DestinationInterface = wan
380
7.4.4. Traducción de puertos Capítulo 7. Traducción de direcciones
DestinationNetwork = wwwsrv_pub
Volver a la CLI contexto predeterminado con el comando:
GW-mundo: / IPRuleSet / principal> cc
7.4.4. Traducción de puertos
Traducción de puertos ( PAT) (también conocido como La traducción de direcciones de puertos) se puede utilizar para modificar el puerto de origen o
destino.
1 SAT alguna todas las redes de pálido wwwsrv_pub TCP 80-85 SETDEST 192.168.0.50 1080
Esta regla se produce una relación 1: 1 traducción de todos los puertos en el intervalo de 80 - 85 a la gama 1080-1085.
• Los intentos de comunicarse con la dirección pública del servidor web - el puerto 80, se traducirá en una conexión a la dirección
privada del servidor web - puerto 1080.
• Los intentos de comunicarse con la dirección pública del servidor web - puerto 84, se traducirá en una conexión a la dirección
privada del servidor web - puerto 1084.
Nota: Se necesita un servicio personalizado para traducción de puertos
Con el fin de crear una regla SAT que permite la traducción de puertos, un objeto de servicio personalizado se debe utilizar con la
regla.
7.4.5. Protocolos manejado por el SAT
En general, la traducción de direcciones estática puede manejar todos los protocolos que permiten la traducción de direcciones se lleve a cabo. Sin
embargo, existen protocolos que sólo se pueden traducir en casos especiales, y otros protocolos que simplemente no se pueden traducir en absoluto.
Protocolos que son imposibles de traducir utilizando SAT son los más probable es que también imposible de traducir utilizando NAT. Las razones
para esto son:
• El protocolo criptográficamente requiere que las direcciones son inalterada; esto se aplica a muchos protocolos VPN.
• El protocolo incrusta sus direcciones IP dentro de los datos TCP o UDP de nivel, y posteriormente se requiere que, de alguna
manera u otra, las direcciones visibles en el nivel IP son las mismas que las incluidas en los datos. Ejemplos de esto incluyen FTP y
inicios de sesión en dominios NT a través de NetBIOS.
• Cualquiera de las partes está intentando abrir nuevas conexiones dinámicas a las direcciones visibles a ese partido. En algunos casos,
esto puede ser resuelto mediante la modificación de la aplicación o la configuración del cortafuegos.
No existe una lista definitiva de lo que los protocolos que se puede o no se puede traducir direcciones. Una regla general es que los protocolos de
VPN no pueden generalmente ser traducidos. Además, los protocolos que se pueden abrir conexiones secundarias, además de la conexión inicial
puede ser difícil de traducir.
7.4.6. Múltiple SAB Partidos de reglas
NetDefendOS no termina la búsqueda conjunto de reglas al encontrar una coincidencia SAB regla. En su lugar, continúa la búsqueda de una
coincidencia Permitir, NAT o FwdFast regla. Sólo cuando se ha encontrado como una
381
7.4.7. SAT y Reglas FwdFast Capítulo 7. Traducción de direcciones
regla de correspondencia hace NetDefendOS ejecutar la traducción de direcciones estáticas.
A pesar de esto, la primera coincidencia SAB regla encontrado para cada dirección es la que se llevará a cabo.
La frase " cada dirección" anteriormente significa que dos SAB reglas pueden ser, en efecto, al mismo tiempo en la misma conexión, siempre que
uno es la traducción de la dirección del remitente mientras que la otra es la traducción de la dirección de destino.
1 SAB alguna todas las redes de núcleo wwwsrv_pub TCP 80-85 SETDEST 192.168.0.50 1080
2 SAT lan Lannet alguna Estándar SETSRC PubNet
Las dos reglas anteriores pueden tanto llevarse a cabo simultáneamente en la misma conexión. En este caso, las direcciones del
remitente internos serán traducidos a direcciones en PubNet en una relación 1: 1. Además, si alguien intenta conectarse a la
dirección pública del servidor web, la dirección de destino se cambiará a su dirección privada.
1 SAB lan Lannet wwwsrv_pub TCP 80-85 intrasrv SETDEST 1080
2 SAT alguna todas las redes de wwwsrv_pub TCP 80-85 SETDEST wwwsrv-priv 1080
En este caso, ambas normas se establecen para traducir la dirección de destino, lo que significa que sólo uno de ellos se llevará
a cabo. Si se hace un intento internamente para comunicarse con la dirección pública del servidor web, en lugar será redirigido
a un servidor de intranet. Si se hace cualquier otro intento de comunicarse con la dirección pública del servidor web, será
redirigido a la dirección privada del servidor de acceso público.
Una vez más, tenga en cuenta que las reglas anteriores requieren una coincidencia Permitir gobernar en un momento posterior en el conjunto de reglas
con el fin de trabajar.
7.4.7. SAB y FwdFast Reglas

Es posible utilizar la traducción de direcciones estática en conjunto con FwdFast reglas, aunque el tráfico de retorno debe ser concedida de
forma explícita y traducido.
Las siguientes reglas constituyen un ejemplo de trabajo de traducción de direcciones estática por medio de FwdFast reglas a un servidor Web se
encuentra en una red interna:
2 SAB lan wwwsrv alguna todas las redes de 80 -> Todos los SETSRC wan_ip 80
3 FwdFast alguna todas las redes de núcleo wan_ip http
4 FwdFast lan wwwsrv alguna todas las redes de 80 -> Todas
Ahora añadimos una NAT gobernar para permitir conexiones desde la red interna a Internet:
Lo que sucede ahora es la siguiente:
• el tráfico externo a wan_ip: 80 coincidirá con las reglas 1 y 3, y será enviado a wwwsrv. Correcto.
• Devolver el tráfico de wwwsrv: 80 coincidirá con las reglas 2 y 4, y aparecerán para ser enviados desde
wan_ip: 80. Correcto.
• el tráfico interno de wan_ip: 80 coincidirá con las reglas 1 y 3, y será enviado a wwwsrv. Esto es casi correcta; los paquetes
llegarán a wwwsrv, pero:
• Devolver el tráfico de wwwsrv: 80 para máquinas internas se enviarán directamente a las máquinas
382
sí mismos. Esto no funcionará, ya que los paquetes serán interpretados como provenientes de una dirección equivocada.
Ahora vamos a tratar de mover el NAT gobernar entre el SAB y FwdFast reglas:
4 FwdFast alguna todas las redes de núcleo wan_ip http
¿Que pasa ahora?
• el tráfico externo a wan_ip: 80 coincidirá con las reglas 1 y 4, y será enviado a wwwsrv. Correcto.
• Devolver el tráfico de wwwsrv: 80 coincidirá reglas por lo tanto ser dinámicamente dirección traducida 2 y 3. Las respuestas.
Esto cambia el puerto de origen a un puerto completamente diferente, que no va a funcionar.
El problema se puede resolver utilizando el siguiente conjunto de reglas:
• el tráfico externo a wan_ip: 80 coincidirá con las reglas 1 y 5 y se enviará a wwwsrv.
• Devolver el tráfico de wwwsrv: 80 coincidirá reglas 2 y 3.
• el tráfico interno de wan_ip: 80 coincidirá con las reglas 1 y 4, y será enviado a wwwsrv. La dirección del remitente será la dirección
IP interna del servidor de seguridad NetDefend, lo que garantiza que el tráfico de retorno pasa por el NetDefend Firewall.
• el tráfico de retorno será automáticamente manejado por el mecanismo de inspección de estado de la NetDefend Firewall.
383
384
Capítulo 8. La autenticación del usuario
En este capítulo se describe cómo NetDefendOS implementa la autenticación de usuario.
• Configuración de la autenticación, página 387
• Personalización de autenticación de páginas HTML, página 404
En situaciones en las que los usuarios individuales se conectan a los recursos protegidos a través de la NetDefend Firewall, el administrador
requerirá a menudo que cada usuario pasa por un proceso de autenticación antes el acceso está permitido.
Se examinarán Este capítulo trata de la configuración de autenticación para NetDefendOS pero primero las cuestiones generales
implicados en la autenticación.
identidad demostrando
El objetivo de la autenticación es tener el usuario probar su identidad para que el administrador de red puede permitir o denegar el acceso a los
recursos sobre la base de esa identidad. Posibles tipos de pruebas pueden ser:
A. Algo que el usuario es. atributos únicos que son diferentes para cada persona, como una huella dactilar.
SEGUNDO. Algo que el usuario tiene una tarjeta de identificación tal, un certificado digital X.509 o claves públicas y privadas.
DO. Algo que el usuario conoce como una contraseña.
Método UN puede requerir una pieza especial de equipo tal como un lector biométrico. Otro problema con UN es que el atributo especial a
menudo no puede ser reemplazado si se pierde.
métodos segundo y do son por lo tanto los medios más comunes de identificación en seguridad de la red. Sin embargo, éstos tienen inconvenientes:
las claves podrían ser interceptados, tarjetas de identificación pueden ser robados, contraseñas podrían ser fácil de adivinar, o las personas pueden
simplemente ser malo en mantener un secreto. métodos segundo y do por lo tanto, a veces se combinan, por ejemplo en una tarjeta de identificación
que requiere una contraseña o código PIN para su uso.
Haciendo uso de Nombre de usuario / Contraseña Combinaciones
En este capítulo se ocupa específicamente de la autenticación del usuario se realiza con combinaciones de nombre de usuario / contraseña que
se introducen manualmente por un usuario intenta acceder a los recursos. El acceso a la Internet pública externa a través de un servidor de
seguridad NetDefend por los clientes internos utilizando el protocolo HTTP es un ejemplo de esto.
En el uso de este enfoque, los pares de nombre de usuario / contraseña son a menudo objeto de ataques utilizando conjeturas o sistemáticos intentos
automatizados. Para contrarrestar esto, cualquier contraseña debe ser cuidadosamente elegido. Lo ideal es que:
• Tener más de 8 caracteres, sin repeticiones.
• Utilizar secuencias de caracteres aleatorios que no se encuentran comúnmente en las frases.
• Combinar caracteres alfabéticos en minúsculas y superior.
• Contener los dos dígitos y caracteres especiales.
385
8.1. Visión de conjunto Capítulo 8. La autenticación del usuario
Para seguir siendo seguro, contraseñas también deben:
• No ser grabado en cualquier lugar en forma escrita.
• Nunca se revelará a nadie más.
• Cambiado de forma regular, como cada tres meses.
386
8.2. Configuración de la autenticación Capítulo 8. La autenticación del usuario
8.2. Configuración de la autenticación
8.2.1. Resumen de la instalación
La siguiente lista resume los pasos para la configuración de autenticación de usuario con NetDefendOS:
• Tener un fuente de autenticación que consiste en una base de datos de usuarios, cada uno con un nombre de usuario / contraseña.
Cualquiera de los siguientes puede ser una fuente de autenticación:
yo. La base de datos de usuario local interno para NetDefendOS.
ii. UN Servidor de radio que es externo a la NetDefend Firewall.
Iii. Un servidor LDAP que también es externo a la NetDefend Firewall.
• definir una regla de autenticación que describe que el tráfico que pasa a través del cortafuegos es para ser autenticado y que fuente
de autenticación se utilizará para realizar la autenticación. Estos se describen adicionalmente en Sección 8.2.5, “Reglas de
autenticación”.
• Si es necesario, defina un objeto IP para las direcciones IP de los clientes que se autentican. Esto puede estar asociado
directamente con una regla de autenticación como el iniciador o IP puede asociarse con una Grupo de autenticación.
• Establecer reglas de IP para permitir la autenticación a tener lugar y también para permitir el acceso a los recursos por parte de los clientes que
pertenecen al objeto IP creada en el paso anterior.
Las secciones siguientes describen los componentes de estos pasos en detalle. Estos son:
• Sección 8.2.2, “La base de datos local”
• Sección 8.2.3, “servidores RADIUS externo”
• Sección 8.2.4, “servidores LDAP externos”
• Sección 8.2.5, “Reglas de autenticación”
8.2.2. La base de datos local

La base de datos de usuarios locales es un registro incorporado en el interior NetDefendOS que contiene los perfiles de usuarios y grupos de
usuarios autorizados. Los nombres de usuario y contraseñas se pueden introducir en esta base de datos a través de la interfaz web o CLI, y los
usuarios con los mismos privilegios pueden ser recogidos juntos en
grupos para facilitar la administración.
Membresía de grupo
Cada usuario entrado en la base de datos local opcionalmente se puede especificar para ser un miembro de uno o más Grupos de autenticación. Estos
grupos no están predefinidos (con la excepción del grupo de administradores y auditores se describe a continuación), sino más bien entrado como
cadenas de texto. Estas cadenas de texto entre mayúsculas y minúsculas y siempre deben introducirse exactamente de la misma manera. Grupos
de autenticación no se utilizan con Normas de autenticación sino que están asociados con objetos de propiedad intelectual que luego se utilizan en
el conjunto de reglas IP.
Uso de grupos con las normas de PI
Al especificar la de red de origen para una regla de IP, un objeto de IP definida por el usuario puede ser utilizado y una
Grupo de autenticación puede estar asociada con ese objeto IP. Esto significa que la norma IP entonces se aplicará únicamente a los clientes que ha
iniciado sesión en la que también pertenecen al grupo asociado de la red de origen.
387
8.2.2. La base de datos local Capítulo 8. La autenticación del usuario
El propósito de esto es para restringir el acceso a ciertas redes a un grupo en particular por tener normas de PI que sólo se aplicarán a
los miembros de ese grupo. Para obtener acceso a un recurso que debe haber una regla IP que permite y el cliente debe pertenecer al
mismo grupo que el grupo de red de origen de la regla.
La concesión de privilegios de administración
Cuando se define un usuario, también se puede añadir a dos predeterminado grupos de administración:
• los administradores grupo
Los miembros de este grupo pueden iniciar sesión en NetDefendOS a través de la interfaz web, así como mediante la interfaz CLI
remota y se les permite editar la configuración NetDefendOS.
• los los auditores grupo
Esto es similar a la administradores grupo pero los miembros sólo se les permite ver la configuración y no se puede
cambiar.
Configuración PPTP / L2TP
Si un cliente se conecta al servidor de seguridad NetDefend con PPTP / L2TP a continuación, las tres opciones siguientes llamados también ser
especificado para la base de datos de usuario local NetDefendOS:
• Dirección IP del cliente estático
Esta es la dirección IP que debe tener el cliente si ha de ser autenticado. Si no se especifica a continuación, el usuario puede tener cualquier
IP. Esta opción ofrece una mayor seguridad para los usuarios con direcciones IP fijas.
• Red detrás de usuario
Si se especifica una red para este usuario a continuación, cuando el usuario se conecta, una ruta se añade automáticamente a los
NetDefendOS principal tabla de ruteo. Esta existencia de esta ruta añadido significa que todo el tráfico destinado a la red especificada se
enruta correctamente a través del túnel PPTP / L2TP del usuario.
Cuando la conexión con el usuario finaliza, la ruta se elimina automáticamente por NetDefendOS.
Precaución: Utilice la opción de red con cuidado
El administrador debe pensar cuidadosamente cuáles serán las consecuencias del uso de esta opción. Por ejemplo,
configurar esta opción para todas las redes de posiblemente dirigir todo el tráfico de Internet a través del túnel a este
usuario.
• Métrica para Redes
Si el Red detrás de usuario opción se especifica a continuación, esta es la métrica que se utilizará con la ruta que se
agrega automáticamente por NetDefendOS. Si hay dos rutas que dan a la altura de la misma red, entonces esta métrica
decide que se debe utilizar.
Nota: Otras fuentes de autenticación no tienen la opción PPTP / L2TP
Especificación de una clave pública SSH
Con los clientes PPTP / L2TP, utilizando una clave es a menudo una alternativa a especificar un nombre de usuario y contraseña. Una clave privada se
puede especificar para un usuario de base de datos local seleccionando un cargado anteriormente
388
8.2.3. Los servidores RADIUS externos Capítulo 8. La autenticación del usuario
NetDefendOS Clave de cliente SSH objeto.
Cuando el usuario se conecta, hay una comprobación automática de las claves utilizadas por el cliente para verificar su identidad. Una vez verificado,
no hay necesidad de que el usuario introduzca su nombre de usuario y contraseña.
Para hacer uso de esta característica, el relevante Clave de cliente SSH objeto o los objetos primero deben definirse por separado en
NetDefendOS. claves de cliente se encuentran como un tipo de objeto dentro de Objetos de autenticación En la interfaz web. Definición requiere la
carga del archivo de clave pública para el par de claves utilizado por el cliente.
8.2.3. Los servidores RADIUS externos
Razones para el uso de servidores externos
En una topología de red más grande con una carga de trabajo de administración más grandes, a menudo es preferible tener una base de
datos central de autentificación en un servidor dedicado. Cuando hay más de un firewall NetDefend en la red y miles de usuarios, el
mantenimiento de las bases de datos de autenticación por separado en cada dispositivo se vuelve problemática. En su lugar, un servidor de
autenticación externo puede validar combinaciones de nombre de usuario / contraseña al responder a las solicitudes de NetDefendOS. Para
proporcionar esta, apoya la NetDefendOS La autenticación remota telefónica de servicio de usuario ( RADIUS) protocolo.
Uso RADIUS con NetDefendOS
NetDefendOS pueden actuar como un cliente RADIUS, el envío de credenciales de usuario e información de parámetros de conexión
como un mensaje RADIUS a un servidor RADIUS designado. El servidor procesa las solicitudes y envía un mensaje RADIUS para
aceptar o denegar ellos. Uno o más servidores externos se pueden definir en NetDefendOS.
Seguridad RADIUS
Para garantizar la seguridad, una común secreto compartido está configurado en el cliente RADIUS y el servidor. Este secreto permite el
cifrado de los mensajes enviados desde el cliente RADIUS al servidor y se configura comúnmente como una cadena de texto relativamente
largo. La cadena puede contener hasta 100 caracteres y distingue entre mayúsculas y minúsculas.
RADIUS utiliza PPP para transferir las solicitudes de usuario / contraseña entre el cliente y el servidor RADIUS, así como el uso de esquemas de
autenticación PPP tales como PAP y CHAP. mensajes RADIUS se envían como mensajes UDP a través del puerto UDP 1812.
Apoyo a Grupos
autenticación de RADIUS es compatible con la especificación de grupos para un usuario. Esto significa que un usuario también se puede especificar
como estar en el administradores o los auditores grupo.
el RADIUS Vendor ID
Al configurar el servidor RADIUS en sí para comunicarse con NetDefendOS, es necesario introducir un valor para el ID de
proveedor ( vid). Este valor debe especificarse como 5089.
8.2.4. Los servidores LDAP externos
Lightweight Directory Access Protocol ( LDAP) servidores también se pueden utilizar con NetDefendOS como una fuente de
autenticación. Esto se implementa por el NetDefend Firewall actúa como cliente a uno o más servidores LDAP. Varios servidores se
pueden configurar para proporcionar redundancia si los servidores dejan de ser accesibles.
389
8.2.4. Los servidores LDAP externos Capítulo 8. La autenticación del usuario
Configuración de la autenticación LDAP
Hay dos pasos para la configuración de autenticación de usuario con los servidores LDAP:
• Definir uno o más objetos de servidor LDAP de autenticación de usuario en NetDefendOS.
• Especificar uno o una lista de estos servidores LDAP objetos en una regla de autenticación de usuario.
Uno o más servidores LDAP pueden asociarse como una lista dentro de una regla de autenticación de usuario. El orden de la lista
determina el orden en el que se intenta el acceso al servidor.
El primer servidor de la lista tiene la prioridad más alta y se utilizó por primera vez. Si falla la autenticación o el servidor no está accesible a
continuación, el segundo en la lista se utiliza y así sucesivamente.
Problemas LDAP
Por desgracia, la creación de la autenticación LDAP no puede ser tan simple como, por ejemplo, la configuración de RADIUS. Se requiere una
cuidadosa consideración de los parámetros utilizados en la definición del servidor LDAP para NetDefendOS. Hay una serie de cuestiones que
pueden causar problemas:
• servidores LDAP difieren en su aplicación. NetDefendOS proporciona una forma flexible de configuración de un servidor LDAP y
algunas opciones de configuración pueden tener que ser cambiado en función del software del servidor LDAP.
• Autenticación de clientes PPTP o L2TP puede requerir algunos cambios administrativos en el servidor LDAP y esto se discutirá más
adelante.
Microsoft Active Directory que el servidor LDAP
Una Microsoft Active Directory se puede configurar en NetDefendOS como un servidor LDAP. Hay una opción en la configuración del
servidor LDAP NetDefendOS que tiene una consideración especial con Active Directory y que es la Nombre del atributo. Esto se debe
establecer en SAMAccountName.
Definición de un servidor LDAP
Uno o los objetos de servidor LDAP más nombradas se pueden definir en NetDefendOS. Estos objetos, que dicen NetDefendOS
servidores LDAP están disponibles y cómo acceder a ellos.
Definición de un servidor LDAP para NetDefendOS veces no es sencillo debido a que algunos software de servidor LDAP puede no seguir las
especificaciones LDAP exactamente. También es posible que un administrador de LDAP ha modificado el servidor LDAP esquema de manera
que un LDAP atributo se ha cambiado el nombre.
Atributos LDAP
Para entender completamente la configuración de LDAP, es importante tener en cuenta algunos valores de configuración son atributos. Estos son:
• Los Nombre atributo.
• Los Afiliación atributo.
• Los Contraseña atributo.
un LDAP atributo es una tupla (un par de valores de datos) que consiste en una Nombre del Atributo ( en este manual llamaremos a este atributo CARNÉ
DE IDENTIDAD para evitar la confusión) y una valor de atributo. Un ejemplo podría ser una
390
tupla para un atributo de nombre de usuario que tiene una CARNÉ DE IDENTIDAD de nombre de usuario y una valor de Herrero.
Estos atributos se pueden utilizar de diferentes maneras y su significado al servidor LDAP se define generalmente por la base de datos del servidor esquema.
El esquema de la base por lo general puede ser cambiado por el administrador del servidor para modificar los atributos.
Configuración general
Los siguientes parámetros generales se utilizan para la configuración de cada servidor:
• Nombre
El nombre dado al objeto de servidor para fines de referencia en NetDefendOS. Por ejemplo, las normas de autenticación
NetDefendOS pueden definirse que hacen referencia a este nombre.
Este valor no tiene nada que ver con el nombre del atributo descrito abajo. Es sólo para su uso por NetDefendOS y no en el
servidor LDAP.
• Dirección IP
La dirección IP del servidor LDAP.
• Puerto
El número de puerto del servidor LDAP que recibirá la solicitud del cliente que se envía a través de TCP / IP.
Este puerto es por defecto 389.
• Se acabó el tiempo
Esta es la longitud de tiempo de espera para el servidor LDAP intentos de autenticación de usuario en cuestión de segundos. Si no se recibe
respuesta a una solicitud del servidor después de este tiempo, entonces se considerará que el servidor sea inalcanzable.
El ajuste de tiempo de espera predeterminado es 5 segundos.
• nombre del atributo
los nombre del atributo es el ID del campo de datos en el servidor LDAP que contiene el nombre de usuario. El valor por defecto de este
NetDefendOS es UID que es correcta para la mayoría de los servidores basados en UNIX.
Si se utiliza Microsoft Active Directory este debe estar configurado en SAMAccountName ( que no es sensible). Al mirar los detalles
de un usuario en Active Directory, el valor para el nombre de inicio de sesión de usuario se define en el SAMAccountName campo
bajo la Cuenta lengüeta.
Nota: La base de datos del servidor LDAP determina el valor correcto
Esta es una tupla de atributo y definiciones de esquema de base de datos del servidor LDAP determina la ID
correcta de utilizar.
• Recuperar la pertenencia a grupos
Esta opción especifica si los grupos a los que pertenece un usuario que deben ser recuperados desde el servidor LDAP. El nombre del grupo se
utiliza a menudo en la concesión de acceso de los usuarios a un servicio después de un inicio de sesión correcto.
Si el Recuperar la pertenencia a grupos opción está activada, entonces el Atributo de miembros opción, se describe a continuación también se
puede configurar.
• Atributo de miembros
391
los Atributo de miembros define qué grupos de un usuario es un miembro de. Esto es similar a la forma en que un usuario pertenece a cualquiera
de los administración o auditoría grupo de base de datos en NetDefendOS. Esta es otra tupla definida por el esquema de base de datos del
servidor y el ID por defecto es Miembro de.
En Microsoft Active Directory, los grupos pertenece un usuario puede encontrarse mirando los detalles de un usuario menor Miembro de lengüeta.
• Utilice nombres de dominio
Algunos servidores requieren el nombre de dominio en combinación con un nombre de usuario para realizar la autenticación exitosa.
El nombre de dominio es el nombre de host del servidor LDAP, por ejemplo
myldapserver. Las opciones para este parámetro son:
yo. No utilice - Esto no modificará el nombre de usuario de ninguna manera. Por ejemplo, testuser.
ii. Nombre de usuario Prefijo - Cuando la autenticación, esto pondrá < nombre de dominio> \ en frente de
nombre de usuario. Por ejemplo, myldapserver / testuser.
Iii. Nombre de usuario Postfix - Cuando la autenticación, esto añadirá @ < nombre de dominio> después de la
nombre de usuario. Por ejemplo, testuser @ myldapserver.
Si la elección es distinta No utilice, el Nombre de dominio opción de parámetro se describe a continuación debe ser especificado.
Diferentes servidores LDAP podían manejar el nombre de dominio diferente para los requisitos del servidor deben ser revisados. La mayoría
de las versiones de Windows Active Directory requieren el Sufijo posibilidad de ser usada.
• Tabla de ruteo
La tabla de enrutamiento NetDefendOS donde se realizará la consulta de rutas para resolver la dirección IP del servidor en una ruta. El valor
por defecto es el principal tabla de ruteo.
Propiedades de la base
los Propiedades de la base son como sigue:
• objeto de base
Define en qué parte del árbol de búsqueda del servidor LDAP para las cuentas de usuario se iniciará.
Los usuarios definidos en una base de datos servidor LDAP se organizan en una estructura de árbol. los objeto de base especifica dónde en
este árbol de los usuarios relevantes se encuentran. Especificación de la objeto de base tiene el efecto de acelerar la búsqueda del árbol LDAP
ya que sólo los usuarios en virtud de la objeto de base
serán examinados.
Importante: el objeto base se debe especificar correctamente
Si no se especifica el objeto base incorrectamente, esto puede significar que un usuario no se encuentra
autenticado y si no están en la parte de abajo del árbol del objeto base. Por lo tanto, la opción
recomendada es especificar inicialmente el objeto base como la raíz del árbol.
los objeto de base se especifica como un común separado domainComponent ( DC) establecido. Si el nombre de dominio completo es myldapserver.local.eu.com
y este es el objeto de base entonces esto se especifica como:
DC = myldapserver, DC = local, DC = eu, DC = com
La búsqueda nombre de usuario va a comenzar ahora en la raíz de la myldapserver árbol.
392
• cuenta de administrador
El servidor LDAP, será necesario que el usuario establece una conexión con hacer una búsqueda tiene privilegios de administrador. los cuenta
de administración especifica el nombre de usuario administrador. Este nombre de usuario puede ser solicitada por el servidor en un formato
especial de la misma manera como se describe previamente con Utilice nombres de dominio.
• Contraseña Confirmar Contraseña
La contraseña de la cuenta de administrador que se especificó anteriormente.
• Nombre de dominio
los Nombre de dominio se utiliza cuando el formato de nombres de usuario. Esta es la primera parte del nombre de dominio completo. En
nuestros ejemplos anteriores, el Nombre de dominio es myldapserver. El nombre de dominio completo es un punto separated conjunto de
etiquetas, por ejemplo, myldapserver.local.eu.com.
Esta opción sólo está disponible si el Tipo de servidor No está ajustado a Otro.
Esta opción se puede dejar vacío pero es necesario si el servidor LDAP requiere el nombre de dominio cuando se realiza una solicitud de
enlace.
Ajustes opcionales
Hay una configuración opcional:
• El atributo de contraseña
El atributo de contraseña especifica el ID de la tupla en el servidor LDAP que contiene la contraseña del usuario. El ID predeterminado es contraseña
de usuario.
Esta opción debe dejarse vacío a menos que el servidor LDAP se utiliza para autenticar usuarios que se conectan a través de
PPP con CHAP, MS-CHAPv1 o MS-CHAPv2.
Cuando se utiliza, se determina el ID del campo de datos en la base de datos del servidor LDAP que contiene la contraseña de
usuario en texto plano. El administrador del servidor LDAP debe asegurarse de que este campo contiene realmente la contraseña.
Esto se explica con mayor detalle más adelante.
Autenticación de solicitud de enlace
autenticación del servidor LDAP se configura automáticamente para trabajar mediante LDAP Solicitud de autenticación se unen. Esto
significa que la autenticación tiene éxito si se realiza la correcta conexión con el servidor LDAP. Los clientes individuales no se
distinguen unos de otros.
referencias del servidor LDAP no deben ocurrir con la autenticación de solicitud de enlace, pero si lo hacen, el servidor de envío de la remisión
se considerarán que no han respondido.
Las respuestas del servidor LDAP
Cuando un servidor LDAP se consulta por NetDefendOS con una solicitud de autenticación de usuario, los siguientes son los resultados
posibles:
• El servidor responde con una respuesta positiva y se autentica al usuario.
Los clientes que utilizan PPP con CHAP, MS-CHAPv1 o MS-CHAPv2 es un caso especial y autenticación que realmente se hace por
NetDefendOS, como se discute más adelante.
• El servidor responde con una respuesta negativa y el usuario no está autenticado.
393
• El servidor no responde dentro del Se acabó el tiempo período especificado para el servidor. Si sólo se especifica un servidor, entonces
se considera que ha fallado la autenticación. Si hay servidores alternativos definidos para la regla de autenticación de usuario, entonces
estos se consultan siguiente.
Los nombres de usuario pueden necesitar el dominio
Con ciertos servidores LDAP, puede necesitar ser combinado con el nombre de usuario cuando se solicita al usuario un nombre de usuario /
contraseña el nombre de dominio.
Si el dominio es mydomain.com entonces el nombre de usuario para miUsuario podría necesitar ser especificado como
myuser@mydomain.com. Con algunos servidores LDAP esto podría ser miUsuario @ dominio mydomain.com \ miUsuario o
incluso dominio \ miUsuario. El formato depende completamente en el servidor LDAP y lo que espera.
Monitoreo en tiempo real Estadísticas
Las siguientes estadísticas están disponibles para la monitorización en tiempo real de acceso al servidor LDAP para la autenticación de usuarios:
• Número de autenticaciones por segundo.
• Número total de solicitudes de autenticación.
• Número total de solicitudes de autenticación con éxito.
• Número total de solicitudes de autenticación fallidos.
• Número total de nombres de usuario válidos.
• Número total de contraseña no válida.
Autenticación LDAP comandos de la CLI
Los objetos de la CLI que corresponden a los servidores LDAP que se utiliza para la autenticación se llaman LDAPDatabase
objetos (servidores LDAP utilizado para la búsqueda de certificado se conocen como LDAPServer objetos de la CLI).
Un servidor LDAP específica que se define en NetDefendOS para la autenticación se puede mostrar con el comando:
GW-mundo: /> Mostrar LDAPDatabase <object_name>
Todo el contenido de la base de datos se pueden visualizar con el comando:
GW-mundo: /> Mostrar LDAPDatabase
La autenticación LDAP y PPP
Cuando se utiliza un cliente basado en PPP para PPTP o L2TP acceso, una consideración especial tiene que ser tomada si la autenticación
LDAP es tener éxito con CHAP, MS-CHAPv1 o MS-CHAPv2 cifrado. Los dos casos de ( UN) autenticación de PPP normal y ( SEGUNDO) PPP
con el cifrado se examinan a continuación.
A. autenticación normal LDAP
La autenticación LDAP normal para WebAuth, XAuth, o PPP con la seguridad PAP se ilustra en el siguiente diagrama. una
autenticación solicitud de enlace con el nombre de usuario y la contraseña se envía al LDAP
394
servidor que a su vez realiza la autenticación y la envía de vuelta una respuesta de enlace con el resultado.
Figura 8.1. La autenticación LDAP normales
El procesamiento es diferente si un miembro del grupo está siendo recuperada ya se envía una petición al servidor LDAP para buscar
pertenencias y cualquier pertenencia a grupos luego son enviados de vuelta en la respuesta.
B. autenticación PPP con CHAP, MS-CHAPv1 o encriptación de MS-CHAPv2
Si PPP con CHAP, MS-CHAPv1 o MS-CHAPv2 se utiliza para la autenticación, un resumen de la contraseña del usuario será
enviado a NetDefendOS por el cliente. NetDefendOS no puede digerir este justo delante al servidor LDAP ya que esto no se
entiende. La solución es que NetDefendOS para obtener la contraseña en texto plano desde el servidor LDAP, crear un
resumen en sí, y luego comparar el compendio creada con el resumen del cliente. Si los dos son lo mismo, la autenticación es
exitosa, pero es NetDefendOS que toma la decisión de autenticación y no en el servidor LDAP.
Para recuperar la contraseña del servidor LDAP, se necesitan dos cosas:
• Los El atributo de contraseña parámetro se debe especificar la hora de definir el servidor para NetDefendOS. Este será
el ID del campo en el servidor LDAP que contendrá la contraseña cuando se envía de nuevo.
este ID debe ser diferente del atributo de contraseña por defecto (que es por lo general contraseña de usuario
para la mayoría de los servidores LDAP). Una sugerencia es utilizar el descripción campo en la base de datos LDAP.
• Para que el servidor para devolver la contraseña en el campo de base de datos con el ID especificado, el administrador LDAP debe
asegurarse de que la contraseña en texto plano se encuentra allí. servidores LDAP almacenar las contraseñas en forma cifrada digerir y no
proporcionan mecanismos automáticos para hacer esto. Por lo tanto, se debe hacer manualmente por el administrador, ya que añadir
nuevos usuarios y cambiar las contraseñas de los usuarios existentes.
Esto implica claramente un cierto esfuerzo por parte del administrador, así como contraseñas dejando peligrosamente expuesta en
forma de texto sin formato en el servidor LDAP. Estas son algunas de las razones por las que LDAP no puede ser vista como una
solución viable para la autenticación CHAP, MS-CHAPv1 o MS-CHAPv2 codificadas de PPP.
Cuando NetDefendOS recibe la contraseña de digerir por parte del cliente, se inicia una petición de búsqueda con el servidor LDAP. El
servidor responde con una Respuesta que será contiene la contraseña del usuario y sus pertenencias a grupos. NetDefendOS es
entonces capaz de comparar digiere. El siguiente diagrama ilustra este proceso.
395
8.2.5. Normas de autenticación Capítulo 8. La autenticación del usuario
Figura 8.2. LDAP para PPP con CHAP, MS-CHAPv1 o MS-CHAPv2
Importante: El enlace con el servidor LDAP debe estar protegida
Dado que el servidor LDAP está enviando de vuelta contraseñas en texto plano a NetDefendOS, el enlace entre
el NetDefend Firewall y el servidor debe ser protegido. Un enlace VPN debe utilizarse si el enlace entre los dos
no es local.
El acceso al propio servidor LDAP también debe ser restringida como se almacenarán las contraseñas en texto plano.
8.2.5. Normas de autenticación
Un regla de autenticación debe definirse cuando un cliente establecer una conexión a través de un NetDefend Firewall es que se le solicite una
secuencia de inicio de sesión nombre de usuario / contraseña.
Normas de autenticación están configurados de forma similar a otras políticas de seguridad NetDefendOS, y que es
especificar qué tráfico debe estar sujeta a la regla. Se diferencian de otras políticas en esa red de destino de la conexión /
interfaz no es de interés, pero sólo la red de origen / interfaz del cliente está autenticado.
Propiedades de la regla de autenticación
Una regla de autenticación tiene los siguientes parámetros:
• Agente de autenticación
El tipo de tráfico que se autenticado. Este puede ser uno de:
yo. HTTP
conexiones web HTTP para ser autenticados a través de una página web predefinido o personalizado (ver la explicación detallada de
HTTP a continuación).
Una regla de IP que permite el acceso de clientes a núcleo también se requiere con este tipo de agente.
ii. HTTPS
conexiones HTTPS de Internet para ser autenticados a través de una página web predefinido o personalizado (ver también
396
8.2.5. Normas de autenticación Capítulo 8. La autenticación del usuario
la detallada explicación HTTP a continuación).
Una regla de IP que permite el acceso de clientes a núcleo también se requiere con este tipo de agente.
Iii. XAUTH
Este es el método de autenticación IKE que se utiliza como parte de establecimiento de túnel VPN con IPsec.
Xauth es una extensión para el intercambio normal de IKE y proporciona una adición a la normalidad de seguridad IPsec que significa que
los clientes que acceden a una VPN debe proporcionar un nombre de usuario y la contraseña de inicio de sesión.
Cabe señalar que una interfaz valor no se introduce con una regla de autenticación XAuth ya que una sola regla con XAuth
como el agente se utilizará para todos los túneles IPsec. Sin embargo, este enfoque supone que se utiliza una sola fuente de
autenticación para todos los túneles.
Una regla de IP que permite el acceso de clientes a núcleo no es requerido.
iv. L2TP / PPTP / VPN SSL
Esto se utiliza específicamente para L2TP, PPTP o la autenticación SSL VPN.
Una regla de IP que permite el acceso de clientes a núcleo no es requerido.
• Fuente de autenticación
Esto especifica que la autenticación se va a realizar mediante uno de los siguientes:
yo. LDAP - Los usuarios se buscan en una base de datos del servidor LDAP externo.
ii. RADIUS - Un servidor RADIUS externo se utiliza para las operaciones de búsqueda.
Iii. No permitir - Esta opción no permite explícitamente todas las conexiones que desencadenan esta regla. Tal
conexiones nunca serán autenticados.
Alguna Rechazar reglas están mejor situados en el extremo del conjunto de reglas de autenticación.
iv. local - Una base de datos de usuario local definido dentro NetDefendOS se utiliza para buscar usuarios
cartas credenciales.
v. Permitir - Con esta opción, se pueden autenticar todas las conexiones que desencadenan esta regla
automáticamente. Sin consulta de base de datos se produce.
• Interfaz
La interfaz de origen en el que las conexiones sean autenticados llegará. Esto se debe especificar.
• originador IP
La IP de origen o de red desde la que llegarán nuevas conexiones. Para XAuth y PPP, este es el Originador IP.
• Terminator IP
La terminación IP con la que llegan las nuevas conexiones. Esto sólo se especifica en el
Agente de autenticación es PPP.
397
8.2.6. Procesamiento de autenticación Capítulo 8. La autenticación del usuario
Tiempos de espera de conexión
Una regla de autenticación puede especificar los siguientes tiempos de espera relacionados con una sesión de usuario:
• Tiempo de inactividad
El tiempo que una conexión está inactiva antes de terminarse de forma automática (1800 segundos por defecto).
• Hora de término de la sesión
El tiempo máximo que puede existir una conexión (sin valor se especifica por defecto).
Si se utiliza un servidor de autenticación entonces la opción de Utilice los tiempos de espera recibidos desde el servidor de autenticación puede
ser permitido tener estos valores establecidos desde el servidor.
múltiples inicios de sesión
Una regla de autenticación puede especificar cómo varios accesos donde se manejan más de un usuario desde diferentes direcciones IP de origen
tratar de iniciar sesión con el mismo nombre de usuario. Las opciones posibles son:
• Permitir múltiples inicios de sesión para que más de un cliente puede utilizar la misma combinación de nombre de usuario / contraseña.
• Permitir sólo una entrada por cada nombre de usuario.
• Permitir una entrada por cada nombre de usuario y cierre de sesión de un usuario existente con el mismo nombre si han estado inactivo durante
un período de tiempo específico cuando se produce el nuevo inicio de sesión.
8.2.6. Procesamiento de autenticación
La siguiente lista describe el flujo de procesamiento a través NetDefendOS para la autenticación de nombre de usuario / contraseña:
1. Un usuario crea una nueva conexión con el servidor de seguridad NetDefend.
2. NetDefendOS ve la nueva conexión de usuario en una interfaz y comprueba el regla de autenticación

conjunto para ver si hay una regla de correspondencia para el tráfico en esta interfaz, que viene de esta red y datos que es uno de
los siguientes tipos:
• el tráfico HTTP
• el tráfico HTTPS
• el tráfico de túnel IPsec
• el tráfico de túnel L2TP
• el tráfico del túnel PPTP
• el tráfico del túnel VPN SSL
3. Si hay una regla coincide, se permite la conexión, siempre que el conjunto de reglas IP permite, y no pasa nada más en el
proceso de autenticación.
4. En base a la configuración de la regla de autenticación primer juego, NetDefendOS puede pedir al usuario con una solicitud de autenticación
que requiere un par nombre de usuario / contraseña que debe introducirse.
5. NetDefendOS valida las credenciales de usuario en el Fuente de autenticación especificada en el
398
8.2.7. Un uso Grupo Ejemplo Capítulo 8. La autenticación del usuario
regla de autenticación. Esta será o bien una base de datos local de NetDefendOS, un servidor de base de datos externo RADIUS o un
servidor LDAP externo.
6. NetDefendOS luego permite más tráfico a través de esta conexión, siempre y cuando la autenticación se ha realizado correctamente y el
servicio solicitado es permitido por una regla en el conjunto de reglas IP. objeto de red de origen de esa regla tiene ya sea la Sin
credenciales definidos opción activada o, alternativamente, que se asocia con un grupo y el usuario es también un miembro de dicho
grupo.
7. Si se especifica una restricción de tiempo de espera en la regla de autenticación, el usuario autenticado será desconectado automáticamente
después de ese periodo de tiempo sin actividad.
Cualquier paquete desde una dirección IP que falla la autenticación se descartan.
8.2.7. Un uso Grupo Ejemplo

Para ilustrar el uso de grupos de autenticación, supongamos que hay un conjunto de usuarios que iniciar sesión desde la red 192.168.1.0/24 que
está conectado a la lan interfaz. El requisito es para restringir el acceso a una red llamada important_net sobre el int interfaz para un solo
grupo de usuarios de confianza, mientras que los demás usuarios menos confianza sólo pueden acceder a otra red llamada regular_net sobre
el DMZ interfaz.
Suponiendo que estamos utilizando la base de datos interna de usuarios como la fuente de autenticación, añadimos los usuarios a esta base de datos
con pares nombre de usuario / contraseña adecuadas y una específica Grupo cuerda. Un conjunto de los usuarios pueda ser asignado al grupo con el
nombre de confianza y la otra para el grupo con el nombre no es de confianza.
Definimos ahora dos objetos IP de la misma red 192.168.1.0/24. Un objeto IP se llama

untrusted_net y tiene su Grupo conjunto de parámetros a la cadena no es de confianza. El otro objeto IP se llama
trusted_net y es Grupo parámetro se establece en la cadena no es de confianza.
El paso final es la creación de las reglas de la norma IP establecida como se muestra a continuación:
# Acción Interfaz de red src src dest dest Red Interfaz Servicio
1 Permitir lan trusted_net int important_net all_services
2 Permitir lan untrusted_net DMZ regular_net all_services
Si quisiéramos permitir que el de confianza agrupar usuarios también puedan acceder a la red regular se podría añadir una tercera regla para permitir
que esto:
1 Permitir lan trusted_net int important_net all_services
2 Permitir lan trusted_net DMZ regular_net all_services
3 Permitir int untrusted_net DMZ regular_net all_services
8.2.8. La autenticación HTTP

Donde los usuarios se comunican a través de un navegador web utilizando el protocolo HTTP o HTTPS protocolo entonces la autenticación se
realiza mediante NetDefendOS presentan al usuario con las páginas HTML para recuperar la información del usuario requerida. Esto a veces
también se denomina WebAuth y la configuración requiere consideraciones adicionales.
WebUI puerto de administración debe ser cambiado
autenticación HTTP chocará con el servicio de gestión remota de la WebUI que también utiliza el puerto TCP 80 de forma
predeterminada. Para evitar este problema, el número de puerto WebUI debe cambiarse antes de configurar la autenticación.
Para ello, vaya a Gestión remota> configuración avanzada en el WebUI y cambiando la
399
8.2.8. La autenticación HTTP Capítulo 8. La autenticación del usuario
ajuste WebUI puerto HTTP. El puerto número 81 podría en cambio, ser utilizado para este ajuste.
Lo mismo es cierto para la autenticación HTTPS y el número de puerto HTTPS predeterminado gestión del 443 también debe ser cambiado.
HTTP (S) Opciones de agente
Para HTTP y HTTPS de autenticación existe un conjunto de opciones en una regla de autenticación de llamada Opciones de agente. Estos son:
• Tipo de conexión - Este puede ser uno de:
yo. formulario HTML - El usuario se le presenta una página HTML para la autenticación que se llena
y en los datos enviados de vuelta a NetDefendOS con un POST.
ii. La autenticación básica - Esto envía una 401 - Autentificación requerida mensaje de vuelta al
navegador, que hará que se use su propio diálogo incorporado para pedir al usuario para una combinación de nombre de usuario /
contraseña. UN cadena reino opcionalmente se puede especificar que aparecerá en el diálogo del navegador.
formulario HTML se recomienda más de basicauth porque, en algunos casos, el navegador podría contener los datos de inicio de sesión
en su caché.
Iii. Autenticación MAC - La autenticación se realiza para los clientes HTTP y HTTPS sin
pantalla de ingreso al sistema. En cambio, la dirección MAC del cliente que se conecta se utiliza como nombre de usuario. La contraseña
es la dirección MAC o una cadena especificada.
Autenticación MAC se explica más adelante.
• Si el Agente se establece en HTTPS entonces el Anfitrión Certificado y Certificado raíz tienen que ser elegidos de una lista de
certificados ya cargados en NetDefendOS.
Dirección MAC autenticación con HTTP y HTTPS
Como se mencionó anteriormente, la NetDefendOS es posible autenticar a un servidor HTTP o HTTPS cliente automáticamente utilizando la
dirección MAC de la interfaz Ethernet del cliente que se conecta. Esto significa que la autenticación se basa únicamente en la identidad del
hardware del cliente.
Esto es útil si el administrador quiere asegurarse de que el acceso es sencillo para un dispositivo en particular y el usuario no va a ser
requred que escribir sus credenciales. Los siguientes puntos deben tenerse en cuenta acerca de este tipo de autenticación:
• El nombre de usuario enviado a la fuente de autenticación (por ejemplo, un servidor RADIUS) es siempre la dirección MAC del
cliente (o la dirección MAC de un enrutador entre los dos).
• Si el cliente se conecta al servidor de seguridad a través de un router, que es la dirección MAC del router y no el cliente que se envía a
la pasarela. Si la dirección MAC del router debe ser permitido como un sustituto de la dirección MAC del cliente, este debe ser
explícitamente habilitada con la opción de regla de autenticación
Permitir a los clientes detrás del router para conectarse.
NetDefendOS es capaz de determinar que el cliente está detrás de un router mediante la detección de la falta de correspondencia entre la
dirección IP de origen y la dirección MAC del router.
• Por defecto, la contraseña enviada a la fuente de autenticación (por ejemplo, un servidor RADIUS) también es la dirección MAC del cliente
(o la dirección MAC de un enrutador entre los dos). Sin embargo, la utilización de contraseñas se puede especificar de forma explícita como
la propiedad regla de autenticación MAC autenticación secreta.
• La dirección MAC se introduce como una cadena de texto en la base de datos de la fuente de autenticación. Esta cadena de texto debe
seguir un formato específico para la dirección MAC. El formato correcto es una serie de
400
seis dos valores de caracteres en minúscula hexadecimales separados por un guión ( "-") carácter. Por ejemplo:
00-0c-19-f9-14-6f
Reglas IP se necesitan
autenticación HTTP no puede funcionar a menos que se añade una regla para la regla IP establecida para permitir la autenticación explícita a tener
lugar. Esto también es cierto con HTTPS.
Si consideramos el ejemplo de un número de clientes en la red local Lannet que quieren acceder a la Internet pública a través de la
pálido Interfaz entonces el conjunto de reglas IP contendría las siguientes reglas:
1 Permitir lan Lannet núcleo LAN_IP http-todo
2 NAT lan trusted_users pálido todas las redes de http-todo
3 NAT lan Lannet pálido todas las redes de dns-todo
La primera regla permite que el proceso de autenticación a tener lugar y se supone que el cliente está intentando tener acceso a la LAN_IP
dirección IP, que es la dirección IP de la interfaz en la NetDefend Firewall, donde se conecta la red local.
La segunda regla permite la actividad normal del surf, pero no podemos simplemente usar Lannet como la red de origen ya que la regla
desencadenaría para cualquier cliente no autenticada de esa red. En lugar de ello, la red de origen es un administrador definido por el
objeto IP llama trusted_users que es la misma red que
Lannet pero tiene, además, ya sea la opción de autenticación Sin credenciales definidos habilitado o tiene un grupo de autenticación
asignado a él (que es el mismo grupo que el asignado a los usuarios).
La tercera regla permite la búsqueda de DNS de las direcciones URL.
Obligando a los usuarios a una página de entrada
Con esta configuración, cuando los usuarios no autenticados tratar de navegar a cualquier IP, excepto LAN_IP caerán a través de las
reglas y será dado de baja sus paquetes. Tener siempre estos usuarios llegan a la página de autenticación hay que añadir una SAB regla y
su asociado Permitir regla. El conjunto de reglas ahora se verá así:
1 Permitir lan Lannet núcleo LAN_IP http-todo
2 NAT lan trusted_users pálido todas las redes de http-todo
3 NAT lan Lannet pálido todas las redes de dns-todo
4 SAB lan Lannet pálido todas las http-todo

redes de todo-a-uno
127.0.0.1
5 Permitir lan Lannet pálido todas las redes de http-todo
los SAB regla intercepta todas las solicitudes no autenticadas y debe ser configurado con una asignación de todos a una dirección que los
dirige a la dirección 127.0.0.1 que corresponde a núcleo ( NetDefendOS sí mismo).
401
Ejemplo 8.1. La creación de un grupo de usuarios de autenticación
En el ejemplo de una dirección de objeto de autenticación en la libreta de direcciones, un grupo de usuarios "usuarios" se utiliza para habilitar la autenticación de
usuario en "Lannet". Este ejemplo muestra cómo configurar el grupo de usuarios en la base de datos NetDefendOS.
Interfaz web
Paso A
1. Ir a: Autenticación de usuario> Bases de datos de usuarios locales> Agregar> LocalUserDatabase
2. Ahora ingrese:
• Nombre: lannet_auth_users
• comentarios: carpeta de "Lannet" grupo de usuarios de autenticación - "usuarios"
paso B
1. Ir a: lannet_auth_users> Añadir> Usuario
2. Ahora ingrese:
• Nombre de usuario: Introduce el nombre de la cuenta del usuario, por ejemplo, usuario1
• Contraseña: Introduzca la contraseña del usuario
• Confirmar contraseña: Repita la contraseña
• grupos: Un usuario puede especificarse en más de un grupo - introducir los nombres de los grupos aquí separados por una coma - usuarios para este
ejemplo
4. Repetir paso B Para añadir todas las Lannet los usuarios que tienen los miembros de usuarios grupo en el lannet_auth_users
carpeta
Ejemplo 8.2. Configuración de la autenticación de usuario para Web Access
Las configuraciones siguientes muestran cómo habilitar la autenticación de usuario HTTP para el grupo de usuarios usuarios en Lannet. Sólo los usuarios que pertenecen al grupo usuarios
puede obtener el servicio de navegación por la web después de la autenticación, tal como se define en la norma IP.
Asumimos que Lannet, los usuarios, LAN_IP, carpeta de base de datos local lannet_auth_users y el objeto de dirección de la autenticación lannet_users se
han definido.
Interfaz web
A. Crear una regla de IP para permitir la autenticación HTTP.
1. Ir a: Reglas> Reglas IP> Añadir> regla IP
2. Ahora ingrese:
• Nombre: http_auth
• Servicio: HTTP
402
• Interfaz de destino núcleo
• Red de destino LAN_IP
B. Crear una regla de autenticación
1. Ir a: Autenticación de usuario> Autenticación de Usuarios Reglas> Añadir> regla de autenticación de usuario
2. Ahora ingrese:
• Nombre: HTTPLogin
• Agente: HTTP
• Fuente de autenticación: Local
• Interfaz: lan
• IP de origen: Lannet
3. Para DB de usuario local escoger lannet_auth_users
4. Para Tipo de inicio de sesión escoger HTMLForm
C. Crear una regla de IP para permitir que los usuarios autenticados para navegar por la web.
1. Ir a: Reglas> Reglas IP> Añadir> regla IP
2. Ahora ingrese:
• Nombre: Allow_http_auth
• Acción: NAT
• Servicio: HTTP
• Fuente de red: lannet_users
• Interfaz de destino alguna
• Red de destino todas las redes de
Ejemplo 8.3. Configuración de un servidor RADIUS
Los pasos siguientes ilustran cómo un servidor RADIUS está configurado normalmente.
Interfaz web
1. Autenticación de usuario> Bases de datos de los usuarios externos> Añadir> Base de datos de usuarios externos
2. Ahora ingrese:
a. Nombre: Introduzca un nombre para el servidor, por ejemplo, ex-usuarios
segundo. Tipo: Seleccione RADIUS
do. Dirección IP: Introduzca la dirección IP del servidor, o introducir el nombre simbólico si el servidor se ha definido en el Directorio
re. Puerto: 1812 (servicio RADIUS utiliza el puerto UDP 1812 por defecto)
403
8.3. Personalización de autenticación de páginas Capítulo 8. La autenticación del usuario
HTML
mi. Tiempo de espera de volver a intentar: 2 (NetDefendOS volverá a enviar la solicitud de autenticación al cortar si no hay
respuesta después del tiempo de espera, por ejemplo cada 2 segundos. Esto se volverá a intentar un máximo de 3 veces)
F. Secreto compartido: Introducir una cadena de texto aquí para el cifrado básico de los mensajes RADIUS
gramo. Confirmar secreto: Vuelva a escribir la cadena para confirmar el escrito anteriormente
8.3. Personalización de autenticación de páginas HTML

Autenticación de usuario hace uso de un conjunto de archivos HTML para presentar información al usuario durante el proceso de autenticación. Las
opciones disponibles para el procesamiento de autenticación HTTP son los siguientes:
• Cuando un usuario intenta utilizar un navegador para abrir una página web que se dirigen a una página de inicio de sesión (la
FormLogin página). Después de iniciar sesión correctamente, el usuario es llevado a la página solicitada originalmente.
• Después de iniciar sesión correctamente, sino que el usuario puede ser llevado a una página web específica.
• Después de iniciar sesión correctamente, el usuario es llevado a una página web en particular (el Inicio de sesión exitoso página) antes de ser
redirigido a la página solicitada originalmente.
HTTP Archivos Banner
Los archivos de página web, también conocida como archivos de banner HTTP, se almacenan dentro de NetDefendOS y ya existe por defecto en
NetDefendOS iniciales de arranque. Estos archivos se pueden personalizar para satisfacer las necesidades de una instalación en particular, ya sea
por la edición directa en la Interfaz Web o descargando y volviendo a cargar a través de un cliente de SCP.
archivos de banner en NetDefendOS son de dos tipos:
• archivos de la bandera por reglas de autenticación que utilizan Web de autenticación ( HTTP y HTTPS de inicio de sesión). Éstos se discuten a
continuación.
• archivos de banner para el HTTP ALG. Estos se discuten en Sección 6.3.4.4, “Personalización de WCF HTML Pages”.
Archivos Banner para la autenticación Web
Los archivos de autenticación web disponibles para la edición tienen los siguientes nombres:
• FormLogin
• Inicio de sesión exitoso
• Fallo de inicio de sesión
• LoginAlreadyDone
• LoginChallenge
• LoginChallengeTimeout
• Inicio de sesión exitoso
• LoginSuccessBasicAuth
• LogoutFailure
• Archivo no encontrado
Personalización de los archivos Banner
WebUI ofrece una forma sencilla de descargar y editar los archivos y luego cargar el código HTML editado de nuevo a NetDefendOS.
404
HTML
Para llevar a cabo la personalización es necesario crear primero un nuevo Auth Archivos Banner objeto con un nombre nuevo. Este nuevo
objeto contiene automáticamente una copia de todos los archivos de la Defecto Banner objeto Auth archivos. Estos nuevos archivos pueden ser
editados y subido de nuevo a NetDefendOS. El original
Defecto objeto no puede editarse. El ejemplo dado a continuación pasa a través de los pasos de personalización.
Parámetros página HTML
Las páginas HTML para WebAuth puede contener un número de parámetros. Estos son:
• % CHALLENGE_MESSAGE% - El texto de la pregunta preguntó.
• % IPADDR% - La dirección IP que está siendo navegado desde.
• % ErrorMsg% - La razón por la que el acceso fue denegado.
• % USER% - El nombre de usuario introducido.
• % REDIRHOST% - El IP de la máquina que se ha solicitado.
• % REDURURL% - El camino del host que se solicitó.
• % REDIRURLENC% - La URL codificada ruta.
• % IPADDR% - La IP del cliente.
• %NOMBRE DEL DISPOSITIVO% - El nombre del servidor de seguridad de autenticación.
los Fallo de inicio de sesión Página con autenticación MAC
Si falla la autenticación con la autenticación MAC, el% USUARIO% parámetro contendrá la dirección MAC del cliente
solicitante (o la dirección MAC del router intervenir más cercana del firewall).
Un parámetro típico conjunto de valores para la Fallo de inicio de sesión página cuando la autenticación de direcciones MAC se utiliza podría ser:
USUARIO: 00-0c-19-f9-14-6f
REDIRHOST: 10.234.56.71 REDIRURL:
/ Pruebas? User = usuario y pass = pase
REDIRURLENC: 2ftesting%%% 3fuser 3duser% 26pass% 3dpass IPADDR:
10.1.6.1
DEVICENAME: MyGateway
Los % REDIRURL% El parámetro no se debe quitar
En ciertas páginas Web banner, el parámetro% REDIRURL% aparece. Este es un marcador de posición para la dirección URL original que
fue solicitado antes de que apareciera la pantalla de inicio de sesión de usuario para un usuario no autenticado. Después de una
autenticación exitosa, el usuario se redirige a la URL en poder de este parámetro.
Ya que % REDIRURL% sólo tiene este propósito interno, no debe ser eliminado de las páginas web y debe estar presente en el FormLogin
si la página que se utiliza.
Ejemplo 8.4. Edición de filtrado de contenido HTTP Archivos Banner
405
HTML
Este ejemplo muestra cómo modificar el contenido de la URL prohibido página HTML.
Interfaz web
1. Ir a: Objetos> HTTP archivos Banner> Añadir> Auth Archivos Banner
2. Introduzca un nombre como new_forbidden y pulse DE ACUERDO
3. Aparecerá el diálogo para el nuevo conjunto de archivos de banner ALG
4. Haga clic en el Editar y ficha de vista previa
5. Seleccionar FormLogin desde el Página lista
6. Ahora editar el código HTML que aparece en el cuadro de texto de la página URL Prohibida
7. uso Avance para comprobar el diseño, si es necesario
8. Prensa Salvar para guardar los cambios
9. Haga clic DE ACUERDO para salir de la edición
10. Ir a: Objetos> ALG y seleccionar el correspondiente HTML ALG
11. Seleccione new_forbidden como el HTML Banner
13. Ir a: Configuración> Guardar y Activar para activar el nuevo archivo
Consejo: cambios en los archivos HTML necesitan ser salvados
En el ejemplo anterior, más de un archivo HTML se pueden editar en una sesión, pero el
Salvar se debe presionar el botón para guardar los cambios antes de comenzar la edición de otro archivo.
Subir con SCP
Es posible subir archivos nuevos Banner HTTP utilizando SCP. Los pasos para hacer esto son:
1. Desde SCP no se puede utilizar para descargar el código HTML original por defecto, el código fuente se debe copiar en primer lugar de la
WebUI y pegar en un archivo de texto local que se edita a continuación, utilizando un editor apropiado.
2. Un nuevo Auth Archivos Banner objeto debe existir el cual el archivo (s) editado subido a. Si el
objeto se llama ua_html, el comando CLI para crear este objeto es:
GW-mundo: /> añadir HTTPAuthBanners ua_html
Esto crea un objeto que contiene una copia de toda la Defecto archivos de la bandera de autenticación de usuario.
3. El archivo modificado se carga a continuación, utilizando SCP. Se cargan en el tipo de objeto

HTTPAuthBanner y el objeto ua_html con el nombre de la propiedad FormLogin. Si el editada
Formlogon archivo local se llama my.html a continuación, utilizando el cliente SSH abierto SCP, el comando de carga sería:
pscp my.html admin@10.5.62.11: HTTPAuthBanners / ua_html / FormLogin
El uso de los clientes de CPS se explica más adelante en Sección 2.1.6, “Secure Copy”.
4. Uso de la CLI, la regla de autenticación de usuario relevante ahora debe estar configurado para utilizar el ua_html. Si el
Regla nos llamamos my_auth_rule, el comando sería:
406
HTML
establecer UserAuthRule my_auth_rule HTTPBanners = ua_html
5. Como es habitual, utilice el activar Seguido por el cometer Comandos de la CLI para activar los cambios en
Firewall NetDefend.
407
HTML
408
Capítulo 9. VPN
En este capítulo se describe la Red Privada Virtual ( VPN) funcionalidad en NetDefendOS.
• VPN de inicio rápido, página 413
• IPsec componentes, página 423
• Túneles IPsec, página 438
• PPTP / L2TP, página 457
• SSL VPN, página 466
• CA servidor de acceso, página 474
• VPN de averías, página 477
9.1.1. Uso de VPN

La Internet se utiliza cada vez más como un medio para conectar entre sí los ordenadores, ya que ofrece una comunicación
eficiente y de bajo costo. Por lo tanto, existe el requisito de los datos atravesar la Internet para su destinatario sin que la otra parte
ser capaz de leer o alterarlo.
Es igualmente importante que el destinatario pueda verificar que nadie está falsificando datos, en otras palabras, haciéndose pasar por otra
persona. Redes privadas virtuales ( VPNs) satisfacer esta necesidad, proporcionando un medio muy rentable de establecer enlaces seguros
entre dos ordenadores que cooperan de manera que se pueden intercambiar datos de manera segura.
VPN permite la creación de una túnel entre dos dispositivos conocidos como puntos finales del túnel. Todos los datos que fluyen a través
del túnel es entonces seguro. El mecanismo que proporciona seguridad túnel es
encriptación.
Hay dos escenarios comunes donde se utiliza VPN:
1. LAN para conexión LAN - Cuando dos redes internas necesitan estar conectados a más de
La Internet. En este caso, cada red está protegida por un individuo NetDefend Firewall y el túnel VPN se
crea entre ellos.
409
9.1.2. cifrado VPN Capítulo 9. VPN
2. Conexión de cliente a LAN - Donde muchos clientes remotos necesitan para conectarse a un interno
la red a través de Internet. En este caso, la red interna está protegida por la NetDefend Firewall a la que se
conecta el cliente y el túnel VPN se establece entre ellos.
9.1.2. cifrado VPN

Cifrado del tráfico VPN se realiza utilizando la ciencia de criptografía. La criptografía es una expresión general que abarca 3
técnicas y ventajas:
confidencialidad Nadie más que los destinatarios es capaz de recibir y entender

el comunicación. confidencialidad es
logrado por el cifrado.
Autenticación e integridad La prueba para el receptor que la comunicación haya sido enviado por el
remitente esperado, y que los datos no han sido modificados en tránsito. Esto
se logra mediante la autenticación, y con frecuencia se implementa mediante el
uso de hashing con clave criptográfica.
No repudio La prueba de que el emisor llega a enviar los datos; el emisor no puede negar
posteriormente haber enviado. No repudio es por lo general una
410
9.1.3. Planificación de VPN Capítulo 9. VPN
efecto secundario de autenticación.
Las VPN son normalmente sólo se refiere a la confidencialidad y la autenticación. No repudio normalmente no se maneja a nivel de
red, sino más bien por lo general se realiza a un nivel más alto transacción.
9.1.3. Planificación de VPN
Un atacante la orientación de una conexión VPN normalmente no intentará romper la encriptación VPN ya que esto requiere un enorme
esfuerzo. Ellos, en cambio, ver el tráfico VPN como una indicación de que hay algo digno de orientación en el otro extremo de la
conexión. Por lo general, los clientes móviles y sucursales son objetivos mucho más atractiva que la red corporativa principal. Una vez
dentro de ellos, para llegar a la red corporativa a continuación, se hace más fácil.
En el diseño de una VPN hay muchas cuestiones que deben abordarse, que no siempre son evidentes. Éstas incluyen:
• La protección de los equipos móviles y el hogar.
• La restricción del acceso a través de la VPN sólo los servicios necesarios, ya que las computadoras móviles son vulnerables.
• La creación de DMZ para los servicios que necesitan ser compartida con otras empresas a través de redes privadas virtuales.
• La adaptación de las políticas de acceso VPN para diferentes grupos de usuarios.
• La creación de políticas de distribución de claves.
endpoint Security
Un error común es que las conexiones VPN-son equivalentes a la red interna desde el punto de vista de seguridad y que
se pueden conectar directamente a ella sin más precauciones. Es importante recordar que, si bien la propia
VPN-conexión puede estar seguro, el nivel total de seguridad es sólo tan alta como la seguridad de los extremos del
túnel.
Cada vez es más común que los usuarios en movimiento para conectarse directamente a la red de su empresa a través de VPN desde sus
ordenadores portátiles. Sin embargo, el propio ordenador portátil a menudo no protegida. En otras palabras, un intruso puede obtener acceso
a la red protegida a través de un ordenador portátil sin protección y conexiones VPN ya abiertas.
La colocación en una DMZ
Una conexión VPN no debe considerarse como una parte integrante de una red protegida. El cortafuegos VPN lugar debe estar ubicado en
una zona desmilitarizada especial o fuera de un cortafuegos dedicado a esta tarea. Al hacer esto, el administrador puede restringir qué
servicios se puede acceder a través de la VPN y asegurar que estos servicios están bien protegidos contra los intrusos.
En los casos en que el servidor de seguridad cuenta con una función VPN integrada, por lo general es posible dictar los tipos de
comunicación permitidos y NetDefendOS VPN tiene esta característica.
9.1.4. distribución de claves
esquemas de distribución de claves mejor opción es planificar con antelación. Los temas que necesitan ser abordados incluyen:
• ¿Cómo se distribuirán las llaves? El correo electrónico no es una buena solución. Las conversaciones telefónicas podrían ser lo suficientemente
seguro.
• ¿Cuántas llaves diferentes se debe utilizar? Una de las claves por usuario? Uno por cada grupo de usuarios? Uno por conexión LAN-to-LAN? Una
de las claves para todos los usuarios y una de las claves para todas las conexiones LAN-a-LAN?
411
9.1.5. La Alternativa TLS para VPN Capítulo 9. VPN
Probablemente es mejor usando más claves que es necesario hoy en día, ya que será más fácil para ajustar el acceso por usuario
(grupo) en el futuro.
• Se deben cambiar las llaves? Si se cambian, ¿con qué frecuencia? En los casos en que las claves son compartidos por varios usuarios, considere
el uso de esquemas comunes, de modo que las claves antiguas funcionan durante un corto período de tiempo en que se han emitido nuevas
claves.
• ¿Qué pasa cuando un empleado en posesión de una llave sale de la empresa? Si varios usuarios están utilizando la misma clave, que
debe ser cambiado.
• En los casos en que la clave no está programado directamente en una unidad de red, como un cortafuegos VPN, cómo se debe almacenar la
clave? En un disquete? Como frase de acceso para memorizar? En una tarjeta inteligente? Si se trata de una identificación física, ¿cómo debe ser
manejado?
9.1.5. La Alternativa TLS para VPN

Si un acceso seguro por parte de clientes a servidores Web mediante HTTP es el escenario en cuestión, a continuación, utilizando una
terminación NetDefend Firewall para TLS puede ofrecer una alternativa "ligera" enfoque de VPN que se implementa con rapidez y
facilidad. En este tema se describe adicionalmente en Sección 6.2.10, “El TLS ALG”.
412
9.2. VPN de inicio rápido Capítulo 9. VPN
9.2. VPN de inicio rápido
Visión de conjunto
Las secciones posteriores de este capítulo se explorarán los componentes de VPN en detalle. Para ayudar a poner esas secciones posteriores en el
contexto, esta sección es un resumen de inicio rápido de los pasos necesarios para la configuración de la VPN.
En él se esbozan los pasos individuales en el establecimiento de redes privadas virtuales para los escenarios más comunes. Estos son:
• IPsec LAN a LAN con claves precompartidas
• IPsec LAN a LAN con Certificados
• IPsec clientes de uso móvil con claves precompartidas
• IPsec Roaming clientes con Certificados
• L2TP clientes de uso móvil con Pre-Shared Keys
• L2TP Roaming clientes con Certificados
• PPTP Roaming Clientes
Requisitos de instalación del túnel común
Antes de analizar cada uno de estos escenarios por separado, es útil resumir los requisitos NetDefendOS comunes al
configurar ningún túnel VPN, independientemente del tipo.
• Definir el túnel
En primer lugar hay que definir el propio túnel. NetDefendOS tiene varios tipos de objetos túnel que se utilizan para hacer esto,
como una túnel IPsec objeto.
• Debe existir una ruta
Antes de cualquier tráfico puede fluir dentro del túnel, una ruta se debe definir en un NetDefendOS tabla de ruteo. Esta ruta le
dice NetDefendOS qué red se pueden encontrar en el otro extremo del túnel de forma que sepa qué tráfico a enviar en el túnel.
En la mayoría de los casos, esta ruta se crea automáticamente cuando se define el túnel y esto se puede comprobar mediante el examen de las
tablas de enrutamiento.
Si una ruta se define de forma manual, el túnel es tratado exactamente como una interfaz física en las propiedades de ruta, como lo
es en otros aspectos de NetDefendOS. En otras palabras, la ruta está diciendo a NetDefendOS que una determinada red se
encuentra en el otro extremo del túnel.
• Definir una regla de VPN IP para permitir tráfico
Una regla de IP debe ser definido de forma explícita que permite que el tráfico fluya entre una red y el túnel. Al igual que con las
definiciones de ruta, el túnel es tratado exactamente como una interfaz física en la definición de la norma IP.
las normas de PI no se crean automáticamente después de definir el objeto del túnel y si no existen, entonces no puede fluir el
tráfico a través del túnel y en su lugar, pueden descartar.
En las siguientes secciones se verá en la configuración detallada para cada uno de los escenarios de VPN enumerados anteriormente.
413
9.2.1. IPsec LAN a LAN con claves Capítulo 9. VPN
precompartidas
9.2.1. IPsec LAN a LAN con claves precompartidas

El objetivo es crear un medio seguro para unir dos redes: una Red local que está en el lado protegido de un servidor de seguridad local; y
una Red remota que está en el otro lado de algún dispositivo de control remoto, que se encuentra a través de una red insegura.
Los pasos para la instalación son los siguientes:
1. Crear una Clave pre-compartida objeto.
2. Opcionalmente crear un nuevo IKE Algoritmos objeto y / o una IPsec Algoritmos objeto si el
listas propuesta algoritmo por defecto no proporcionan un conjunto de algoritmos que son aceptables para el punto extremo
remoto del túnel. Esto dependerá de las capacidades del dispositivo en el otro extremo del túnel VPN.
3. En el Directorio crear objetos IP para:
• La pasarela VPN remoto que es la dirección IPv4 del dispositivo de red en el otro extremo del túnel (llamémosla
este objeto remote_gw). Esto puede o no puede ser otra NetDefend Firewall.
• La red remota que se encuentra detrás de la puerta de enlace VPN remoto (vamos a llamar a este objeto
remote_net).
• La red local detrás del Firewall NetDefend que comunicará a través del túnel. Aquí vamos a suponer
que esta es la dirección predefinida Lannet y esta red se une a los NetDefendOS lan interfaz que tiene la
dirección IPv4 LAN_IP.
4. Crear una túnel IPsec objeto (vamos a llamar a este objeto ipsec_tunnel). Especifique lo siguiente túnel
parámetros:
• Ajuste Red local a Lannet.
• Ajuste Red remota a remote_net.
• Ajuste Punto final remoto a remote_gw.
• Ajuste modo de encapsulación a Túnel.
• Elija las listas de propuestas algoritmo de IKE e IPsec para ser utilizado.
• Por Autenticación Selecciona el Clave pre-compartida objeto definido en la etapa ( 1) encima.
los túnel IPsec objeto puede ser tratado exactamente igual que cualquier NetDefendOS Interfaz objeto en pasos posteriores.
5. La creación de dos normas de propiedad intelectual en la regla IP establecida para el túnel:
• Un Permitir regla para el tráfico de salida que se ha definido previamente ipsec_tunnel objeto como el Interfaz de
destino. Las normas Red de destino es la red remota
414
9.2.2. IPsec LAN a LAN con Capítulo 9. VPN
Certificados
remote_net.
• Un Permitir regla para el tráfico entrante que se ha definido previamente ipsec_tunnel objeto como el
Interfaz de origen. los de red de origen es remote_net.
Permitir lan Lannet ipsec_tunnel remote_net all_services
Permitir ipsec_tunnel remote_net lan Lannet all_services
El servicio se utiliza en estas reglas es Todas pero podría ser un servicio predefinido.
6. Definir un nuevo NetDefendOS Ruta que especifica que el túnel VPN ipsec_tunnel es el
Interfaz a utilizar para encaminar paquetes con destino a la red remota en el otro extremo del túnel.
Interfaz Red Puerta
ipsec_tunnel remote_net <Vacío>
9.2.2. IPsec LAN a LAN con Certificados

LAN a la seguridad LAN generalmente está dotado de claves compartidas pero a veces puede ser deseable utilizar certificados X.509 en
su lugar. Si este es el caso, Autoridad certificada ( CA) firmó los certificados se pueden utilizar y estos provienen de un servidor de CA
interna o de un proveedor comercial de certificados.
La creación de un túnel de LAN a LAN con certificados sigue exactamente los mismos procedimientos que la sección anterior, donde se utiliza una
clave previamente compartida. La diferencia es que ahora sustituyen a los certificados de claves pre-compartidas para la autenticación.
Se requieren dos conjuntos únicos de dos certificados de CA firmado (dos para cada extremo, un certificado raíz y un certificado de puerta de
enlace) para una autenticación de túnel LAN a LAN.
1. Abrir la interfaz de gestión WebUI para la NetDefend Firewall en un extremo del túnel.
2. Bajo Objetos de autenticación, añade el Certificado raíz y Anfitrión Certificado dentro

NetDefendOS. El certificado raíz debe tener 2 partes añaden: un archivo de certificado y un archivo de clave privada. Las necesidades de
certificados de puerta de enlace sólo el archivo de certificado añaden.
3. Configurar el túnel IPsec objetar que para claves pre-compartidas, pero especificar los certificados para su uso bajo
Autenticación. Hacer esto con los siguientes pasos:
a. Habilitar el Certificado X.509 opción.
segundo. Añade el Certificado raíz usar.
do. Selecciona el Certificado de puerta de enlace.
4. Abrir la interfaz de gestión WebUI para la NetDefend Firewall en el otro lado del túnel y repetir los pasos anteriores con
un conjunto diferente de los certificados.
Nota: La hora y fecha del sistema deben ser los correctos
La fecha y la hora NetDefendOS se deben ajustar correctamente ya que los certificados tienen una fecha y hora de caducidad.
415
9.2.3. IPsec clientes de uso móvil con claves Capítulo 9. VPN
precompartidas
también revisar Sección 9.7, “CA Access Server” a continuación, que describe consideraciones importantes para la validación de certificados.
certificados con firma en lugar de CA con signo pueden ser utilizados para la LAN a LAN túneles, pero la Interfaz Web y otras
interfaces no tienen una función para generarlas. En su lugar, deben ser generados por otra utilidad e importados en
NetDefendOS. Esto significa que no son verdaderamente auto-firmado, ya que se generan fuera del control NetDefendOS y hay
que recordar que no hay ninguna garantía de que su clave privada es única. Sin embargo, la seguridad proporcionada todavía
puede considerarse adecuado para algunos escenarios.
Dos certificados autofirmados son necesarios y los mismos dos se utilizan en cualquier extremo del túnel, pero su uso se invierte. En otras
palabras: un certificado se utiliza como el certificado raíz en un extremo, lo llaman Lado a, y como el certificado de host en el otro extremo,
lo llaman Lado B. El segundo certificado se utiliza en el sentido contrario: como el certificado de host a Lado a y el certificado raíz a Lado
B.
No hay consideraciones de servidor de CA se necesitan con certificados firmados desde CRL de búsqueda no se produce.
9.2.3. IPsec clientes de uso móvil con claves precompartidas
En esta sección se detalla la configuración de itinerancia con clientes que se conectan a través de un túnel IPsec usando claves pre-compartidas
a una protegida Red local que se encuentra detrás de un Firewall NetDefend.
Hay dos tipos de clientes móviles:
A. las direcciones IPv4 de los clientes ya están asignados.
SEGUNDO. las direcciones IPv4 de los clientes no se conocen de antemano y deben ser entregados por NetDefendOS cuando los clientes intentan
conectarse.
A. IP ya las direcciones asignadas
las direcciones IPv4 pueden ser conocidos de antemano y han sido pre-asignado a los clientes de itinerancia antes de conectarse. La
dirección IP del cliente será introducen manualmente en el software de cliente VPN.
1. Configurar la autenticación de usuario. Xauth autenticación de usuario no se requiere con IPsec clientes de uso móvil, pero se recomienda (este
paso inicial podría ser dejado fuera para simplificar la configuración). La fuente de autenticación puede ser uno de los siguientes:
• UN DB de usuario local objeto que es interno a NetDefendOS.
416
9.2.3. IPsec clientes de uso móvil con claves Capítulo 9. VPN
precompartidas
• Un servidor de autenticación externo.
Una base de datos de usuarios interna es más fácil de configurar y se supone aquí. El cambio de este a un servidor externo es simple de hacer
más adelante.
Para llevar a cabo la autenticación de usuario con una base de datos interna:
• definir una DB de usuario local objeto (vamos a llamar a este objeto TrustedUsers).
• Añadir a usuarios individuales TrustedUsers. Esta debe consistir en al menos un nombre de usuario y contraseña.
los Grupo cadena para un usuario se puede especificar si el acceso de su grupo es estar restringido a ciertas redes de
origen. Grupo Se pueden especificar (con la misma cadena de texto) en el
Autenticación sección de un objeto IP. Si se utiliza entonces ese objeto IP como el de red de origen de una regla en el
conjunto de reglas IP, esa regla sólo se aplicará a un usuario si su Grupo cadena coincide con el Grupo cadena del objeto IP.
Nota
Grupo no tiene ningún significado en regla de autenticación s.
• Crear un nuevo Regla de autenticación de usuario con el Fuente de autenticación ajustado a

TrustedUsers. Los otros parámetros para la regla son:
Agente Fuente de autenticación src Red Interfaz IP de origen del cliente
XAUTH Local todas las redes de alguna todas las redes de (0.0.0.0/0)
2. El túnel IPsec objeto ipsec_tunnel debe tener los siguientes parámetros:
• Ajuste Red local a Lannet.
• Ajuste Red remota a todas las redes de
• Ajuste Punto final remoto a todos-NET.
• Ajuste modo de encapsulación a Túnel.
• Establecer las listas de propuestas algoritmo de IKE e IPsec para que coincida con las capacidades de los clientes.
• No hay rutas se pueden predefinir lo que la opción Agregar dinámicamente ruta a la red remota cuando túnel
establecido debe estar habilitado para el objeto túnel. Si todas las redes de es la red de destino, la opción Añadir ruta para
la red remota debe estar deshabilitado.
Nota
La opción de añadir dinámicamente rutas no debe habilitarse en LAN a LAN escenarios túnel.
• Active la opción Exigir autenticación del usuario IKE Xauth de túneles IPsec entrantes.
Esto permitirá una búsqueda de la primera regla XAUTH coincidente en las reglas de autenticación.
3. El conjunto de reglas IP debe contener la regla única:
Permitir ipsec_tunnel todas las redes de lan Lannet all_services
417
9.2.4. IPsec Roaming clientes con Capítulo 9. VPN
Certificados
una vez que una Permitir norma permite la conexión a ser establecido, el flujo de tráfico bidireccional está permitido por lo que sólo se utiliza una
regla aquí. En lugar de todas las redes de siendo utilizado en lo anterior, un objeto más seguro IP definida podría ser utilizado que especifica el rango
exacto de las direcciones IP pre-asignado.
B. direcciones IP entregados por NetDefendOS
Si las direcciones IP de los clientes no se conocen entonces deben ser entregados por NetDefendOS. Para ello lo anterior debe ser
modificado con la siguiente:
1. Si un rango de direcciones IP específica es para ser utilizado como un conjunto de direcciones disponibles a continuación:
• Crear un Modo de configuración piscina Objeto (sólo puede haber uno asociado a una instalación NetDefendOS) y en él
especificar el rango de direcciones.
• Habilitar el IKE Modo Config piscina opción en el túnel IPsec objeto ipsec_tunnel.
2. Si las direcciones IP del cliente se recuperarán a través de DHCP:
• Crear un IP Pool objeto y en el que especifique el servidor DHCP para su uso. El servidor DHCP se puede especificar como una dirección
IP simple o, alternativamente, como accesibles en una interfaz específica. Si un servidor DHCP interno se va a utilizar a continuación,
especifique la dirección de bucle invertido 127.0.0.1 como la dirección IP del servidor DHCP.
• Crear un Modo de configuración piscina objeto (sólo puede haber uno asociado a una instalación NetDefendOS) y
asociarse con ella el objeto de IPs definidas en el paso anterior.
• Habilitar el IKE Modo Config piscina opción en el túnel IPsec objeto ipsec_tunnel por lo que se ha seleccionado la piscina creado.
Configuración de clientes IPsec
En ambos casos ( UN) y ( SEGUNDO) anterior, tendrá que ser configurado correctamente el cliente IPsec. La configuración del cliente
requerirá lo siguiente:
• Definir la dirección URL o IP del servidor de seguridad NetDefend. El cliente necesita para localizar el punto final del túnel.
• Definir la clave pre-compartida que se utiliza para la seguridad IPsec.
• Definir los algoritmos IPsec que serán utilizados y que son apoyados por NetDefendOS.
• Especificar si el cliente utilizará el modo de configuración.
Hay una variedad de productos de software de cliente IPsec disponibles en un número de proveedores y este manual no se centrará en
ninguno específico. El administrador de red debe utilizar el cliente que mejor se adapte a su presupuesto y necesidades.
9.2.4. IPsec Roaming clientes con Certificados

Si se utilizan certificados con IPsec clientes móviles en lugar de claves compartidas entonces no hay Clave pre-compartida Se necesita objeto y las
otras diferencias en la configuración descrita anteriormente son:
1. Cargar una Certificado raíz y una Certificado de puerta de enlace en NetDefendOS. El certificado raíz
tiene que tener 2 partes añaden: un archivo de certificado y un archivo de clave privada. Las necesidades de certificados de puerta de enlace
sólo el archivo de certificado añaden.
2. Cuando la creación de la túnel IPsec objeto, especificar los certificados para su uso bajo Autenticación.
418
9.2.5. L2TP clientes de uso móvil con Capítulo 9. VPN
Pre-Shared Keys
Esto se hace de la siguiente manera:
a. Habilitar el Certificado X.509 opción.
segundo.
Selecciona el Certificado de puerta de enlace.
do. Añade el Certificado raíz usar.
3. necesitará ser configurado adecuadamente con los certificados y direcciones IP remotas El software de cliente de IPsec. Como ya se
mencionó anteriormente, muchos productos de cliente IPsec de terceros están disponibles y este manual no se tratará ningún
cliente en particular.
El paso para configurar la autenticación del usuario es opcional ya que esta es una seguridad adicional a los certificados.
Nota: La hora y fecha del sistema deben ser los correctos
La fecha y la hora NetDefendOS se deben ajustar correctamente ya que los certificados tienen una fecha y hora de caducidad.
también revisar Sección 9.7, “CA Access Server”, que describe consideraciones importantes para la validación de certificados.
9.2.5. L2TP clientes de uso móvil con Pre-Shared Keys

Debido a que el cliente L2TP incorporado en Microsoft Windows, L2TP es una opción popular para la itinerancia escenarios de cliente VPN. L2TP
generalmente se encapsula en IPsec para proporcionar cifrado con IPsec se ejecuta en
modo de transporte en lugar de el modo de túnel. Los pasos para L2TP sobre IPsec configuración son:
1. Crear un objeto IP (llamémoslo l2tp_pool) que define la gama de direcciones IP que puede ser
entregados a los clientes. El rango elegido podría ser de dos tipos:
• Una gama tomada de la red interna a la que se conectará clientes. Si la red interna es 192.168.0.0/24
entonces podríamos usar la 192.168.0.10 rango de direcciones a
192.168.0.20. El peligro aquí es que una dirección IP puede ser utilizada por accidente en la red interna y
entregado a un cliente.
• Use un nuevo rango de direcciones que es totalmente diferente a cualquier red interna. Esto evita cualquier posibilidad de una
dirección en la gama también se utiliza en la red interna.
2. Definir otros dos objetos de PI:
• ip_ext que es la dirección IPv4 pública externa a través del cual los clientes se conectan (asumamos esto es en el ext interfaz).
• ip_int que es la dirección IP interna de la interfaz a la que está conectada la red interna (vamos a llamar a esta
interfaz int).
3. Definir una Clave pre-compartida para el túnel IPsec.
4. Definir una túnel IPsec objeto (vamos a llamar a este objeto ipsec_tunnel) con lo siguiente
parámetros:
• Ajuste Red local a ip_ext ( especificar todas las redes de en cambio, si NetDefendOS está detrás de un dispositivo de NATing).
• Ajuste Red remota a todos-NET.
• Ajuste Punto final remoto a ninguna.
• Por Autenticación Selecciona el Clave pre-compartida objeto definido en el primer paso.
419
9.2.5. L2TP clientes de uso móvil con Capítulo 9. VPN
Pre-Shared Keys
• Ajuste Modo de encapsulación a Transporte.
• Seleccione las listas de propuestas algoritmo de IKE e IPsec para ser utilizado.
• Active la opción IPsec enrutamiento túnel Agregar dinámicamente ruta a la red remota cuando túnel
establecido.
• Cuando todas las redes de es la red de destino, como es el caso aquí, la opción de configuración avanzada
Añadir ruta para la red remota También debe estar inhabilitado. Este ajuste está activado por defecto.
5. Definir un objeto PPTP / L2TP Server (vamos a llamar a este objeto l2tp_tunnel) con lo siguiente
parámetros:
• Ajuste Dirección IP interna a ip_int.
• Ajuste Protocolo de túnel a L2TP.
• Ajuste Filtro exterior Interfaz a ipsec_tunnel.
• Ajuste IP externa del servidor a ip_ext.
• Selecciona el Microsoft Point-to-Point Encryption permitido. Puesto que se utiliza el cifrado IPsec esto puede ser configurado para ser Ninguna
solamente, de otro modo doble cifrado se degradará el rendimiento.
• Ajuste IP Pool a l2tp_pool.
• Habilitar proxy ARP en el int interfaz a la que se conecta la red interna.
• Hacer que la interfaz de un miembro de una tabla de enrutamiento específico para que las rutas se añaden automáticamente a la tabla.
normalmente, el principal se selecciona la tabla.
6. Para la autenticación de usuario:
• definir una DB de usuario local objeto (vamos a llamar a este objeto TrustedUsers).
• Añadir a usuarios individuales TrustedUsers. Esta debe consistir en al menos un nombre de usuario y contraseña.
los Grupo cadena para un usuario también se puede especificar. Esto se explica en el mismo paso en el
IPsec clientes de uso móvil sección anterior.
• Definir una regla de autenticación de usuario:
PPP Local todas las redes de l2tp_tunnel todas las redes de (0.0.0.0/0)
7. Para permitir el tráfico a través del túnel L2TP las siguientes reglas deben ser definidas en el conjunto de reglas IP:
Permitir l2tp_tunnel l2tp_pool alguna int_net all_services
NAT ipsec_tunnel l2tp_pool ext todas las redes de all_services
La segunda regla se incluye para permitir a los clientes a navegar por Internet a través de la ext interfaz en el NetDefend Firewall. Al
cliente se le asigna una dirección IP interna privada que debe ser NATed si las conexiones se realizan entonces a la Internet pública
a través de la NetDefend Firewall.
8. Configurar el cliente. Suponiendo Windows XP, el Crear nueva conexión opción Red
420
9.2.6. L2TP Roaming clientes con Capítulo 9. VPN
Certificados
conexiones deben ser seleccionados para iniciar el Asistente para conexión nueva. La información clave para entrar en este
asistente es: la URL resoluble del Firewall NetDefend o, alternativamente, su ip_ext
Dirección IP.
Entonces escoge Red> Propiedades. En el diálogo que se abre elegir el túnel L2TP y seleccione Propiedades. En el nuevo cuadro
de diálogo que se abre, seleccione la Redes pestaña y seleccione Fuerza para L2TP. Ahora vuelve a las propiedades túnel L2TP,
seleccione el Seguridad ficha y haga clic en el
Configuración IPsec botón. A continuación, introduzca la clave pre-compartida.
9.2.6. L2TP Roaming clientes con Certificados

Si se utilizan certificados con L2TP clientes móviles en lugar de claves compartidas a continuación, las diferencias en la configuración descrita más
arriba son los siguientes:
• La fecha y la hora NetDefendOS se deben establecer correctamente ya que los certificados pueden caducar.
• Cargar una Certificado de puerta de enlace y Certificado raíz en NetDefendOS.
• Al configurar la túnel IPsec objeto, especificar los certificados para su uso bajo Autenticación.
Esto se realiza mediante:
yo. Habilitar el Certificado X.509 opción.
ii. Selecciona el Certificado de puerta de enlace.
Iii. Añade el Certificado raíz usar.
• Si se utiliza el cliente de Windows XP L2TP, los certificados correspondientes tienen que ser importados en Windows antes de
configurar la conexión con el Asistente para conexión nueva.
El paso para configurar la autenticación del usuario es opcional ya que esta es una seguridad adicional a los certificados.
también revisar Sección 9.7, “CA Access Server”, que describe consideraciones importantes para la validación de certificados.
9.2.7. PPTP Roaming Clientes

PPTP es más sencillo de configurar que L2TP IPsec ya no se utiliza y en su lugar se basa en su propia, menos fuerte, cifrado.
Una importante desventaja secundaria no es ser capaz de conexiones NAT PPTP a través de un túnel, de modo que varios clientes pueden
utilizar una única conexión a la NetDefend Firewall. Si NATing se trató a continuación, sólo el primer cliente que intenta conectarse tendrá éxito.
Los pasos para la configuración PPTP son los siguientes:
1. En el Directorio definir los siguientes objetos de PI:
• UN pptp_pool objeto IP que es el rango de direcciones IP internas que se entregarán a partir de una red interna.
• Un int_net objeto que es la red interna desde la que llegan las direcciones.
• Un ip_int objeto que es la dirección IP interna de la interfaz conectada a la red interna. Supongamos que
esta interfaz es int.
• Un ip_ext objeto que es la dirección pública externa que los clientes se conectarán a (vamos a suponer que esto es en el ext interfaz).
421
9.2.7. PPTP Roaming Clientes Capítulo 9. VPN
2. Definir una PPTP / L2TP objeto (llamémoslo pptp_tunnel) con los siguientes parámetros:
• Ajuste Dirección IP interna a ip_net.
• Ajuste Protocolo de túnel a PPTP.
• Ajuste Filtro exterior Interfaz a ext.
• Ajuste IP del servidor externo a ip_ext.
• Por Microsoft Point-to-Point Encryption se recomienda desactivar todas las opciones, excepto
128 bits encriptación.
• Ajuste IP Pool a pptp_pool.
• Habilitar proxy ARP en el int interfaz.
• Al igual que en L2TP, habilitar automáticamente la inserción de nuevas rutas en el principal tabla de ruteo.
3. Definir una regla de autenticación de usuario, esto es casi idéntica a L2TP:
PPP Local todas las redes de pptp_tunnel todas las redes de (0.0.0.0/0)
4. Ahora establecer las normas de propiedad intelectual en el conjunto de reglas IP:
Permitir pptp_tunnel pptp_pool alguna int_net all_services
NAT pptp_tunnel pptp_pool ext todas las redes de all_services
Como se describe para L2TP, el NAT regla permite a los clientes acceder a Internet público a través del servidor de seguridad NetDefend.
5. Configurar el cliente. Para Windows XP, el procedimiento es exactamente como se describe más arriba para L2TP, pero sin introducir la clave
pre-compartida.
422
9.3. componentes IPsec Capítulo 9. VPN
9.3. componentes IPsec

Esta sección se examinan las normas de IPsec y describe en términos generales los componentes diversos, técnicas y algoritmos que se utilizan en
redes privadas virtuales basadas en IPsec.
(Internet Protocol Security IPsec) es un conjunto de protocolos definidos por el Grupo de Trabajo en Ingeniería de Internet (IETF) para
proporcionar seguridad IP en la capa de red. Una VPN basado en IPSec se compone de dos partes:
• protocolo de Internet Key Exchange (IKE)
• protocolos IPsec (AH / ESP / ambos)
La primera parte, IKE, es la fase inicial de negociación, donde los dos puntos finales de VPN están de acuerdo en el que se utilizarán los métodos
para proporcionar seguridad para el tráfico IP subyacente. Además, IKE se utiliza para gestionar conexiones, mediante la definición de un conjunto
de asociaciones de seguridad, SAS, para cada conexión. SAS son unidireccionales, por lo general hay al menos dos para cada conexión IPsec.
La segunda parte es que los datos IP reales que se transfieren, utilizando los métodos de cifrado y autenticación acordados en la
negociación IKE. Esto se puede lograr en un número de maneras; mediante el uso de IPsec protocolos ESP, AH, o una combinación
de ambos.
El flujo de los acontecimientos se puede describir brevemente como sigue:
• IKE negocia cómo debe protegerse IKE
• IKE negocia cómo debe protegerse IPsec
• IPsec mueve los datos en la VPN
Las siguientes secciones describen cada una de estas etapas en detalle.
9.3.2. Internet Key Exchange (IKE)

En esta sección se describe IKE, el protocolo de Internet Key Exchange, y los parámetros que se utilizan con ella.
Encriptar y autenticar los datos es bastante sencillo, las únicas cosas que se necesitan son algoritmos de cifrado y autenticación y las claves
utilizadas con ellos. El protocolo Internet Key Exchange (IKE), IKE, se utiliza como un método de distribución de estas "claves de sesión", así
como proporcionar una manera para que los puntos finales de VPN se pongan de acuerdo sobre cómo se deben proteger los datos.
IKE tiene tres tareas principales:
• Proporcionar un medio para los puntos finales se autentiquen entre sí
• Establecer nuevas conexiones IPsec (SA crear pares)
• Administrar conexiones existentes
Las asociaciones de seguridad (SA)
IKE realiza un seguimiento de las conexiones mediante la asignación de un conjunto de asociaciones de seguridad, SAS, a cada conexión. Una SA
describe todos los parámetros asociados con una conexión particular, tal como el protocolo IPsec utilizado (ESP / AH / ambos) así como las claves de
sesión utilizada para cifrar / descifrar y / o autenticar / verificar los datos transmitidos.
423
9.3.2. Internet Key Exchange (IKE) Capítulo 9. VPN
Una SA es unidireccional y se relaciona con el flujo de tráfico en una sola dirección. Para el tráfico bidireccional que se encuentra
generalmente en una VPN, por lo tanto, hay una necesidad de más de una SA por conexión. En la mayoría de los casos, cuando se
utiliza sólo uno de ESP o AH, dos SA será creado para cada conexión, uno que describe el tráfico de entrada, y el otro el de salida. En
los casos en ESP y AH se utilizan conjuntamente, se creará cuatro SAs.
La negociación IKE
El proceso de negociar los parámetros de sesión consiste en un número de fases y modos. Estos se describen en detalle en las
siguientes secciones.
El flujo de eventos se puede resumir de la siguiente manera:
IKE Fase-1
• Negociar cómo debe protegerse IKE
IKE Fase-2
• Negociar cómo debe protegerse IPsec
• Obtener algún material de claves fresco del intercambio de claves en la fase-1, para proporcionar las
claves de sesión que se utiliza en el cifrado y la autenticación del flujo de datos VPN
IKE e IPsec Lifetimes
Tanto el IKE y las conexiones IPsec tienen una vida útil limitada, descrito tanto en términos de tiempo (segundos), y datos (kilobytes).
Estos tiempos de vida impiden una conexión que se utilice demasiado tiempo, lo que es deseable desde una perspectiva de
cripto-análisis.
El tiempo de vida de IPsec debe ser más corto que el tiempo de vida de IKE. La diferencia entre los dos debe ser de un mínimo de 5
minutos. Esto permite la conexión IPsec que se vuelve a reacondicionar mero hecho de realizar otra fase de negociación-2. No hay
necesidad de hacer otra negociación de fase 1 de IKE hasta que el tiempo de vida ha expirado.
Las propuestas IKE algoritmo
un IKE Lista propuesta de algoritmo es una sugerencia de cómo proteger los flujos de datos IPsec. El dispositivo VPN iniciar una
conexión IPsec enviará una lista de los algoritmos de combinaciones que admite para la protección de la conexión y es entonces
hasta el dispositivo en el otro extremo de la conexión decir cuál propuesta es aceptable.
El dispositivo VPN de responder, al recibir la lista de algoritmos soportados, elegirá la combinación algoritmo que mejor se adapte a
sus propias políticas de seguridad, y la respuesta al especificar qué miembro de la lista que ha elegido. Si ninguna propuesta
aceptable para ambas partes se puede encontrar, el respondedor responderá diciendo que nada en la lista era aceptable, y
posiblemente también proporcionar una explicación textual para fines de diagnóstico.
Esta negociación para encontrar una combinación algoritmo mutuamente aceptable se hace no sólo para encontrar la mejor manera de proteger la
conexión IPsec, sino también para encontrar la mejor manera de proteger la propia negociación IKE.
listas de propuestas algoritmo no sólo contienen las combinaciones de algoritmos aceptables para la encriptación y autenticación de datos, sino
también otros parámetros relacionados IKE. Otros detalles de la negociación IKE y los otros parámetros IKE se describen a continuación.
IKE Fase-1 - La negociación IKE Seguridad
424
Una negociación IKE se lleva a cabo en dos fases. La primera fase, la fase 1, se utiliza para autenticar los dos cortafuegos VPN o
clientes VPN entre sí, mediante la confirmación de que el dispositivo remoto tiene un juego clave precompartida.
Sin embargo, puesto que no queremos publicar en gran parte de la negociación en texto plano, lo primero que de acuerdo a una forma
de proteger el resto de la negociación IKE. Esto se hace, como se describe en la sección anterior, por el envío de una propuesta de lista
para el respondedor iniciador. Cuando esto se ha hecho, y el que responde aceptado una de las propuestas, se intenta autenticar el otro
extremo de la VPN para asegurarse de que es lo que creemos que es, además de demostrar al dispositivo remoto que somos lo que
decimos ser. Una técnica conocida como Diffie-Hellman se utiliza para acordar inicialmente un secreto compartido entre las dos partes
en la negociación y para derivar las claves para el cifrado.
La autenticación se puede lograr a través de claves compartidas, certificados y cifrado de clave pública. Pre-Shared Keys es
el método de autenticación más común hoy en día. PSK y certificados están soportados por el módulo NetDefendOS VPN.
IKE Fase-2 - Negociación de seguridad IPsec
En la fase 2, otra negociación se lleva a cabo, detallando los parámetros para la conexión IPsec.
Durante la fase 2 también vamos a extraer nuevo material de claves a partir del intercambio de claves de Diffie-Hellman en la fase 1 con el fin de
proporcionar claves de sesión a utilizar en la protección del flujo de datos VPN.
Si Confidencialidad directa perfecta ( PFS) se utiliza, un nuevo intercambio Diffie-Hellman se realiza para cada negociación fase 2. Si bien esto es
más lenta, se asegura de que no hay ninguna tecla depende de ningún otro claves utilizadas previamente; no hay llaves se extraen del mismo
material de claves inicial. Esto es para asegurarse de que, en el improbable caso de que alguna clave se ha visto comprometida, no hay llaves
posteriores se pueden derivar.
Una vez finalizada la negociación de la fase 2, se establece la conexión VPN y listo para el tráfico pase a través de él.
Parámetros IKE
Hay una serie de parámetros que se utilizan en el proceso de negociación.
A continuación se muestra un resumen de los parámetros de configuración necesarios para establecer una conexión VPN. La comprensión de lo
que hacen estos parámetros antes de intentar configurar los puntos finales de VPN es muy recomendable, ya que es de gran importancia que
ambos extremos son capaces de ponerse de acuerdo sobre todos estos parámetros.
Con dos Firewalls NetDefend como puntos finales de VPN, el proceso de correspondencia se simplifica enormemente ya que los parámetros
de configuración NetDefendOS por defecto será el mismo en cada extremo. Sin embargo, puede no ser tan sencillo cuando los equipos de
diferentes fabricantes está involucrado en el establecimiento del túnel VPN.
La identificación de punto final los ID local es una pieza de datos que representan la identidad del punto final del túnel
VPN. Con claves compartidas se trata de una pieza única de datos que identifican de
forma única el punto final.
Autentificación por medio de Pre-Shared Keys se basa en el algoritmo

Diffie-Hellman.
Las redes locales y Estas son las subredes o sistemas principales entre las que el tráfico IP será protegida
remotas / Hosts por la VPN. En una conexión LAN-to-LAN, estas serán las direcciones de red de las
respectivas redes de área local.
Si se utilizan clientes de uso móvil, la red remota más probable es que se establecerá en todo-redes,
lo que significa que el cliente itinerante podrá conectarse desde cualquier lugar.
Modo Túnel / Transporte IPsec se puede utilizar en dos modos, túnel o transporte.
425
El modo de túnel indica que el tráfico será un túnel a un dispositivo

remoto, que descifrará / autenticar los datos, extraerlo de su túnel y
pasarlo a su destino final. De esta manera, un espía, sólo verá el
tráfico cifrado ir de un punto final de VPN a otro.
En el modo de transporte, no será un túnel del tráfico, y no es por lo tanto

aplicable a túneles VPN. Se puede utilizar para asegurar una conexión desde un
cliente VPN directamente a la NetDefend Firewall,
por ejemplo, para IPsec protegido remoto
configuración.
Esta configuración normalmente se establece en "túnel" en la mayoría de configuraciones.
Punto final remoto El punto final remoto (a veces también referido como el
pasarela remota) es el dispositivo que hace el VPN
descifrado / autenticación y que pasa los datos no cifrados a su destino final.
Este campo también se puede configurar para
Ninguna, obligando a la NetDefend Firewall para el tratamiento de la dirección remota como
el punto final remoto. Esto es particularmente útil en los casos de acceso a la itinerancia,
donde las direcciones IP de los clientes VPN remotos no se conocen de antemano. Al
establecer este a "ninguna" permitirá que cualquier persona procedente de una dirección
IP conforme a la dirección de "red remota" discutido arriba para abrir una conexión VPN,
siempre que puedan autenticarse correctamente.
El punto final remoto se puede especificar como una cadena URL como
vpn.company.com. Si se hace esto, el prefijo DNS: debe ser usado. La cadena
anterior, por tanto, se debe especificar como
DNS: vpn.company.com.
El punto final remoto no se utiliza en modo de transporte.
Modo Principal / agresivo La negociación IKE tiene dos modos de funcionamiento, de modo principal y modo
agresivo.
La diferencia entre estos dos es que el modo agresivo pasará más información
en menos paquetes, con el beneficio de establecimiento de la conexión un poco
más rápido, a costa de la transmisión de la identidad de los cortafuegos de
seguridad en la clara.
Al utilizar el modo agresivo, algunos parámetros de configuración, tales como grupos

Diffie-Hellman y PFS, no pueden ser negociados y esto quiere decir que
es importante tener "compatible"
configuraciones en ambos extremos.
Protocolos de IPsec Los protocolos IPsec describen cómo se procesarán los datos. Los dos
protocolos para elegir son AH, Authentication Header, y ESP, carga de
seguridad encapsulada.
ESP proporciona encriptación, autenticación, o ambos. Sin embargo, no se

recomienda utilizar el cifrado única, ya que disminuirá considerablemente la
seguridad.
Tenga en cuenta que sólo proporciona la autenticación AH. La diferencia con

ESP con autentificación única es que AH también autentica partes de la
cabecera IP externa, por ejemplo, la fuente y direcciones de destino,
asegurándose de que el paquete realmente vino de la cabecera IP que afirma
que es de.
426
Nota
NetDefendOS no soporta AH.
El cifrado IKE Esto especifica el algoritmo de cifrado utilizado en la negociación IKE, y

dependiendo del algoritmo, el tamaño de la clave de cifrado utilizado.
Los algoritmos soportados por NetDefendOS IPsec son:
• AES
• Blowfish
• Dos peces
• Cast128
• 3DES
• DES
DES solo está incluido para ser interoperable con otras implementaciones VPN
mayores. El uso de DES se debe evitar siempre que sea posible, ya que es un
algoritmo más antiguo que ya no se considera que es suficientemente segura.
La autenticación IKE Esto especifica los algoritmos de autenticación utilizados en la fase de negociación
IKE.
Los algoritmos soportados por NetDefendOS IPsec son:
• SHA1
• MD5
IKE de grupo DH Esto especifica el grupo Diffie-Hellman que se utilizará para el intercambio de IKE. Los
grupos DH disponibles se discuten a continuación.
Lifetime IKE Este es el tiempo de vida de la conexión IKE.
Se especifica en el tiempo (segundos) así como la cantidad de datos

(kilobytes). Cada vez que uno de ellos expira, se realizará un nuevo cambio de
fase-1. Si no hay datos se transmiten en la última "encarnación" de la conexión
IKE, no se hará ninguna nueva conexión hasta que alguien quiere utilizar la
conexión VPN de nuevo. Este valor debe ser mayor que el tiempo de vida
IPsec SA.
PFS Con Confidencialidad directa perfecta ( PFS) material de claves discapacitados,

inicial se "crea" durante el intercambio de claves en fase-1 de la negociación IKE.
En la fase 2 de las claves de sesión de negociación IKE, encriptación y
autenticación será extraído de este material clave inicial. Mediante el uso de la
SSP, totalmente nuevo material de claves siempre se creará al volver a introducir.
Debe ser comprometida una llave, ninguna otra tecla se puede derivar usando esa
información.
PFS se puede utilizar en dos modos: el primero es la SSP en las teclas, donde se
realizará un nuevo intercambio de claves en cada negociación de fase-2. El otro
tipo es la SSP en las identidades,
427
donde también están protegidas las identidades, mediante la supresión de la fase-1

SA cada vez que una negociación de fase-2 se ha terminado, asegurándose de no
más de una fase de negociación-2 se cifra utilizando la misma clave.
PFS generalmente no es necesaria, ya que es muy poco probable que cualquier claves de
cifrado o autenticación se verá comprometida.
PFS Grupo DH Esto especifica el grupo Diffie-Hellman para usar con la SSP. Los grupos DH
disponibles se discuten a continuación.
IPsec Grupo DH Esto especifica el grupo Diffie-Hellman que se utilizará para la comunicación
IPsec. Los grupos DH disponibles se discuten a continuación en la sección
titulada Grupos Diffie-Hellman.
El cifrado IPsec El algoritmo de cifrado que se utilizará en el tráfico IPsec protegida.
Esto no es necesario cuando se utiliza AH, ESP o cuando se utiliza sin

cifrado.
Los algoritmos soportados por NetDefend Firewall VPN son:
• AES
• Blowfish
• Dos peces
• Cast128
• 3DES
• DES
autenticación IPsec Esto especifica el algoritmo de autenticación utilizado en el tráfico

protegido.
Esto no se utiliza cuando el ESP se utiliza sin autenticación, aunque

no se recomienda el uso de ESP sin autenticación.
Los algoritmos soportados por NetDefend Firewall VPN son:
• SHA1
• MD5
Lifetime IPsec Este es el tiempo de vida de la conexión de VPN. Se especifica tanto en el tiempo
(segundos) y la cantidad de datos (kilobytes). Cada vez que se supera cualquiera de
estos valores, se iniciará una nueva clave, que proporciona nuevas claves de cifrado
IPsec y sesión de autenticación. Si la conexión VPN no se ha utilizado durante el
último período de re-clave, se dará por terminada la conexión, y volvió a abrir a partir
de cero cuando la conexión se necesita de nuevo.
Este valor debe ser inferior a la vida útil IKE.
Grupos Diffie-Hellman
428
9.3.3. La autenticación IKE Capítulo 9. VPN
Diffie-Hellman ( DH) es un protocolo criptográfico que permite que dos partes que no tienen ningún conocimiento previo de la otra para
establecer una clave secreta compartida a través de un canal de comunicaciones insegura a través de una serie de intercambios de texto sin
formato. A pesar de que los intercambios entre las partes podrían ser controlados por un tercero, Diffie-Hellman hace que sea
extremadamente difícil para el tercero para determinar cuál es la clave secreta compartida es acordado y para desencriptar los datos
encriptados usando la clave.
Diffie-Hellman se utiliza para establecer las claves secretas compartidas para IKE, IPsec y la SSP.
los grupo Diffie-Hellman indica el grado de seguridad que se utiliza para el intercambio DH. Cuanto mayor sea el número de grupo, mayor es
la seguridad, sino también la carga de procesamiento. Los grupos DH soportados por NetDefendOS son los siguientes:
• grupo DH 1 (768 bits)
Todos estos grupos de HA están disponibles para su uso con IKE, IPsec y la SSP.
9.3.3. La autenticación IKE
Creación de claves manual
La forma "simple" de la configuración de una VPN es mediante el uso de un método llamado la codificación manual. Este es un método donde
IKE no se utiliza en absoluto; las claves de cifrado y autenticación, así como algunos otros parámetros se configuran directamente en ambos
lados del túnel VPN.
Nota
NetDefendOS no soporta la codificación manual.
Ventajas claves manuales
Dado que es muy sencillo que será bastante interoperables. La mayoría de los problemas de interoperabilidad afrontan en la actualidad
están en IKE. manual de codificación evita por completo IKE y establece su propio conjunto de IPsec.
Desventajas claves manuales
Es un método antiguo, que se utilizó antes de IKE entró en uso, y que falta por lo tanto toda la funcionalidad de IKE. Por tanto, este
método tiene una serie de limitaciones, tales como tener que utilizar la misma clave de cifrado / autenticación siempre, no hay
servicios anti-repetición, y no es muy flexible. Tampoco hay manera de asegurar que el host remoto / cortafuegos realmente es el
que dice que es.
Este tipo de conexión también es vulnerable a algo que se llama "ataques de repetición", lo que significa una entidad malintencionada
que tiene acceso al tráfico cifrado puede grabar algunos paquetes, almacenarlos, y enviarlos a su destino en un momento posterior.
El destino de VPN punto final no tendrá forma de saber si este paquete es un paquete "reproducido" o no. El uso de IKE elimina esta
vulnerabilidad.
PSK
Usando un Clave pre-compartida ( PSK) es un método en el que los extremos de la VPN una clave secreta "compartir". Este es un servicio
proporcionado por IKE, y por lo tanto tiene todas las ventajas que vienen con él, lo que es mucho más flexible que la codificación manual.
429
9.3.4. Protocolos de IPsec (ESP / AH) Capítulo 9. VPN
Ventajas PSK
Pre-Shared Keying tiene un montón de ventajas con respecto a la codificación manual. Estos incluyen autenticación de punto final, que es lo que los
PSK son realmente para. También incluye todos los beneficios de la utilización de IKE. En lugar de utilizar un conjunto fijo de claves de cifrado, claves
de sesión serán utilizados por un período limitado de tiempo, donde después se utiliza un nuevo conjunto de claves de sesión.
Desventajas PSK
Una cosa que tiene que ser considerado cuando se utiliza Pre-Shared Keys es la distribución de claves. ¿Cómo son las claves pre-compartidas
distribuidas a los clientes VPN remotos y servidores de seguridad? Este es un problema importante, ya que la seguridad de un sistema PSK se basa
en la PSK siendo secreto. Si uno PSK verse comprometida, tendrá que ser modificado para utilizar un nuevo PSK la configuración.
certificados
Cada cortafuegos VPN tiene su propio certificado, y uno o más certificados raíz de confianza.
La autenticación se basa en varias cosas:
• Que cada estación tiene la clave privada correspondiente a la clave pública que se encuentra en su certificado, y que nadie más
tiene acceso a la clave privada.
• Que el certificado ha sido firmado por alguien que confía el terminal remoto.
Ventajas de los Certificados
Una ventaja principal de los certificados se añade flexibilidad. Muchos clientes VPN, por ejemplo, se pueden manejar sin tener la misma
clave pre-compartida configurada en todos ellos, que suele ser el caso cuando se utilizan claves compartidas y clientes móviles. En su lugar,
se deben comprometer un cliente, el certificado del cliente simplemente puede ser revocado. No hay necesidad de volver a configurar cada
cliente.
Desventajas de los Certificados
La principal desventaja de los certificados es la complejidad añadida. La autenticación basada en certificado podrá ser utilizado como parte
de una infraestructura de clave pública más grande, por lo que todos los clientes VPN y cortafuegos que dependen de terceros. En otras
palabras, hay más aspectos que tienen que ser configurado, y no hay más que puede ir mal.
9.3.4. Protocolos de IPsec (ESP / AH)
Los protocolos IPsec son los protocolos que se utilizan para proteger el tráfico real que se pasa a través de la VPN. Los protocolos reales
usados y las claves utilizadas con esos protocolos son negociados por IKE.
Hay dos protocolos asociados con IPSec, AH y ESP. Estos están cubiertos en las siguientes secciones.
AH (Authentication Header)
AH es un protocolo utilizado para la autenticación de un flujo de datos.
430
9.3.5. NAT Capítulo 9. VPN
Figura 9.1. El protocolo AH
AH utiliza una función hash criptográfica para producir un MAC a partir de los datos del paquete IP. Esta MAC se transmite con el
paquete, permitiendo que el extremo remoto para verificar la integridad del paquete IP original, asegurándose de que los datos no ha
sido manipulado en su camino a través de Internet. Además de los datos del paquete IP, AH también autentica partes de la cabecera
IP.
El protocolo AH inserta una cabecera AH después de la cabecera IP original. En el modo de túnel, la cabecera AH se inserta después de la cabecera
externa, pero antes de la cabecera IP original, interior.
ESP (carga útil de seguridad de encapsulación)
El protocolo ESP inserta una cabecera ESP después de la cabecera IP original, en el modo de túnel, se inserta la cabecera ESP después de la
cabecera externa, pero antes de la cabecera IP original, interior.
Todos los datos después de la cabecera ESP son encriptados y / o autenticados. La diferencia es que a partir de AH ESP también proporciona cifrado
del paquete IP. La fase de autenticación también se diferencia en que el ESP sólo se autentifica los datos después de la cabecera ESP; por lo tanto la
cabecera IP externa se deja sin protección.
El protocolo ESP se utiliza para el cifrado y la autenticación del paquete IP. También se puede utilizar para hacer bien sólo el
cifrado o la autenticación única.
Figura 9.2. El protocolo ESP
9.3.5. NAT
Ambos protocolos IKE y IPsec presentan un problema en el funcionamiento de NAT. Ambos protocolos no fueron diseñados
para trabajar a través de NAT y debido a esto, una técnica llamada "NAT" tiene
431
9.3.5. NAT Capítulo 9. VPN
evolucionado. NAT transversal es un complemento a los protocolos IKE e IPsec que les permite funcionar al estar NATeado.
NetDefendOS compatible con el estándar RFC3947 para NAT-Traversal con IKE.
NAT transversal se divide en dos partes:
• Adiciones a IKE que permite a los homólogos de IPsec dicen entre sí que soportan NAT transversal, y las versiones específicas
compatibles. NetDefendOS compatible con el estándar RFC3947 para NAT-Traversal con IKE.
• Los cambios en la encapsulación ESP. Si se utiliza NAT transversal, ESP está encapsulado en UDP, que permite NATing
más flexible.
A continuación se muestra una descripción más detallada de los cambios realizados en los protocolos IKE e IPsec.
NAT transversal sólo se utiliza si ambos extremos tienen soporte para el mismo. Para este propósito, NAT transversal VPN conscientes envían una
"identificación del vendedor" especial para decirle al otro extremo del túnel que entiende NAT transversal, y qué versiones específicas del proyecto
que soporta.
El logro de detección NAT
Para lograr la detección NAT tanto homólogos de IPsec envían hashes de sus propias direcciones IP junto con el puerto UDP
fuente utilizada en las negociaciones IKE. Esta información se utiliza para ver si el puerto y la dirección IP de origen utiliza cada par
es lo mismo que lo que ve el otro par. Si la dirección de origen y el puerto no han cambiado, entonces el tráfico no se ha NATed lo
largo del camino, y NAT no es necesario. Si la dirección de origen y / o puerto ha cambiado, entonces el tráfico ha sido NATeado, y
se utiliza NAT transversal.
Cambio de los puertos
Una vez que los homólogos de IPsec han decidido que es necesario NAT transversal, la negociación IKE se aleja de puerto UDP 500
para el puerto 4500. Esto es necesario ya que ciertos dispositivos NAT tratan de paquetes UDP en el puerto 500 a diferencia de otros
paquetes UDP en un esfuerzo por evitar los problemas de NAT con IKE. El problema es que este tratamiento especial de paquetes IKE
puede de hecho romper las negociaciones IKE, por lo que el puerto UDP utilizado por IKE ha cambiado.
La encapsulación UDP
Otro problema que se resuelve NAT transversal es que el protocolo ESP es un protocolo IP. No hay información de puerto que tenemos en TCP
y UDP, lo que hace que sea imposible tener más de un cliente NATeado conectado a la misma puerta de enlace remota y, al mismo tiempo.
Debido a esto, los paquetes ESP están encapsulados en UDP. el tráfico ESP-UDP se envía en el puerto 4500, el mismo puerto que IKE cuando
se usa NAT transversal. Una vez que el puerto se ha cambiado, todo IKE siguiente comunicación se realiza a través del puerto 4500. paquetes
de mantenimiento de conexión también se envían periódicamente para mantener la asignación de NAT vivo.
Configuración de NAT transversal
La mayor funcionalidad NAT transversal es completamente automático y en el cortafuegos de iniciar no se necesita ninguna configuración especial. Sin
embargo, para los servidores de seguridad que responden deben tenerse en cuenta dos puntos:
• En los servidores de seguridad que respondieron, el Punto final remoto campo se utiliza como un filtro en el IP fuente de paquetes IKE recibidos.
Esto debe estar configurado para permitir la dirección IP NAT del iniciador.
• Cuando las claves individuales pre-compartidas se utilizan con varios túneles que conecta a un firewall remoto que son entonces
NATeado a cabo a través de la misma dirección, es importante asegurarse de que la
ID local es único para cada túnel. El ID local puede ser una de
• Auto - El ID local se toma como la dirección IP de la interfaz de salida. Este es el
432
9.3.6. Listas de propuestas de algoritmos Capítulo 9. VPN
Ajuste recomendado a menos que los dos servidores de seguridad tienen la misma dirección IP externa.
• IP - Una dirección IP se puede introducir manualmente
• DNS - Una dirección DNS se puede introducir manualmente
• Email - Una dirección de correo electrónico se puede introducir manualmente
9.3.6. Listas de propuestas de algoritmos
Ponerse de acuerdo sobre los parámetros de conexión VPN, se realiza un proceso de negociación. Como resultado de las negociaciones, el
IKE e IPsec asociaciones de seguridad ( SA) se estableció. UN lista de propuestas de algoritmos soportados es el punto de partida para la
negociación. Cada entrada en la lista define los parámetros para un algoritmo compatible que el dispositivo de punto final de túnel VPN es
capaz de soportar (el término más corto punto final del túnel también se utilizará en este manual). La negociación inicial intenta ponerse de
acuerdo sobre un conjunto de algoritmos que los dispositivos en cada extremo del túnel puede soportar.
Hay dos tipos de listas de propuestas, listas de propuestas IKE y las listas de propuestas de IPsec. listas de IKE se utilizan durante IKE Fase-1 (IKE
negociación de seguridad), mientras que las listas de IPsec están utilizando durante IKE Fase-2 (IPsec negociación de seguridad).
propuesta se enumeran varios algoritmos ya están definidos por defecto en NetDefendOS para diferentes escenarios de VPN y las listas definidas por
el usuario se pueden añadir.
Dos listas de algoritmos IKE y IPsec dos listas ya están definidos por defecto:
• Alto
Este consiste en un conjunto más restringido de algoritmos para dar una mayor seguridad. La lista completa es
3DES, AES, Blowfish, MD5, SHA1.
• Medio
Este consiste en un conjunto de algoritmos más tiempo. La lista completa es 3DES, AES, Blowfish, Twofish, CAST128, MD5, SHA1.
Ejemplo 9.1. El uso de una lista de propuestas Algoritmo
Este ejemplo muestra cómo crear y utilizar una lista de propuestas algoritmo IPsec para su uso en el túnel VPN. Se propondrá 3DES y DES como
algoritmos de cifrado. El SHA1 función hash MD5 y ambos serán utilizados con el fin de comprobar si el paquete de datos se altera durante su
transmisión. Tenga en cuenta que este ejemplo no ilustra cómo agregar el objeto específico de túnel IPsec. También se utiliza en un ejemplo posterior.

En primer lugar crear una lista de algoritmos IPsec:
GW-mundo: /> añadir IPsecAlgorithms esp-l2tptunnel

DESEnabled = Sí Sí
DES3Enabled =
SHA1Enabled = Sí Sí =
MD5Enabled
A continuación, aplicar la lista propuesta de algoritmo para el túnel IPsec:
GW-mundo: /> Ajustar interfase IPsecTunnel MyIPsecTunnel

IPsecAlgorithms = esp-l2tptunnel
Interfaz web
En primer lugar crear una lista de algoritmos IPsec:
433
9.3.7. Claves pre-compartidas Capítulo 9. VPN
1. Ir a: Objetos> VPN IPsec Objetos> Algoritmos> Agregar> algoritmos IPsec
2. Introduzca un nombre para la lista, por ejemplo, esp-l2tptunnel
3. Ahora compruebe lo siguiente:
• DES
• 3DES
• SHA1
• MD5
A continuación, aplicar la lista propuesta de algoritmo para el túnel IPsec:
2. Seleccionar el túnel IPsec objetivo
3. Seleccionar la recién creada esp-l2tptunnel en el IPsec Algoritmos controlar
9.3.7. Claves pre-compartidas
Pre-Shared teclas se utilizan para autenticar los túneles VPN. Las teclas son secretos que son compartidos por las partes que se comunican antes de
la comunicación se lleva a cabo. Para comunicarse, ambas partes demuestran que conocen el secreto. La seguridad de un secreto compartido
depende de lo "bueno" es una frase de contraseña. Las palabras de paso que son palabras comunes son extremadamente vulnerables a los ataques
de diccionario.
Claves pre-compartidas se pueden generar de forma automática a través de WebUI, pero también pueden ser generados a través de la CLI
mediante el comando pskgen ( este comando está totalmente documentado en el Guía de referencia CLI).
Cuidado con los caracteres no ASCII en un PSK en diferentes plataformas!
Si se especifica un PSK como una frase de paso y no un valor hexadecimal, los diferentes codificaciones en diferentes plataformas
pueden causar un problema con caracteres no ASCII. Windows, por ejemplo, codifica claves pre-compartidas que contienen caracteres
no ASCII en UTF-16, mientras que NetDefendOS utiliza UTF-8. A pesar de que puede parecer el mismo en ambos extremos del túnel
habrá una falta de coincidencia y esto a veces puede causar problemas al configurar un cliente de Windows L2TP que se conecta a
NetDefendOS.
Ejemplo 9.2. El uso de una clave precompartida
Este ejemplo muestra cómo crear una clave precompartida y aplicarlo a un túnel VPN. Puesto que las palabras y frases regulares son vulnerables a los
ataques de diccionario, que no deben ser utilizados como secretos. Aquí la clave pre-compartida es una clave hexadecimal generado aleatoriamente. Tenga
en cuenta que este ejemplo no ilustra cómo agregar el objeto específico de túnel IPsec.

En primer lugar crear una clave precompartida. Para generar la clave automáticamente con una clave de 64 bits (el valor predeterminado), el uso de:
GW-mundo: /> pskgen MyPSK
Para tener una más larga, más seguro de 512 bits clave el comando sería:
GW-mundo: /> pskgen MyPSK -size = 512
O, alternativamente, para añadir la clave precompartida manualmente, utilice:
434
9.3.8. Listas de identificación Capítulo 9. VPN
GW-mundo: /> añadir PSK MyPSK Tipo = HEX PSKHex = <ingresar la clave aquí>
Ahora aplique la clave precompartida para el túnel IPsec:
GW-mundo: /> Ajustar interfase IPsecTunnel MyIPsecTunnel PSK = MyPSK
Interfaz web
En primer lugar crear una clave precompartida:
1. Ir a: Objetos> Autenticación de objetos> Añadir> Pre-Shared Key
2. Introduzca un nombre para la clave pre-compartida, por ejemplo, MyPSK
3. Elegir clave hexadecimal y haga clic Generar clave aleatoria para generar una clave para el frase de contraseña caja de texto
A continuación, aplicar la clave pre-compartida para el túnel IPsec:
2. Seleccione el objeto IPsec túnel objetivo
3. En el marco del Autenticación pestaña, seleccione Clave pre-compartida y seleccione MyPSK
9.3.8. Listas de identificación
Cuando se utilizan certificados como método de autenticación para túneles IPsec, el NetDefend Firewall aceptará todos los dispositivos remotos o
clientes VPN que son capaces de presentar un certificado firmado por cualquiera de las autoridades de certificación de confianza. Esto puede ser un
problema potencial, especialmente cuando se utilizan clientes de uso móvil.
Un escenario típico
En cuenta la situación de los empleados que viajan está dando acceso a las redes corporativas internas que utilizan los clientes VPN. La
organización administra su propia autoridad de certificación y los certificados han sido emitidos a los empleados. Los diferentes grupos de
empleados pueden tener acceso a diferentes partes de las redes internas. Por ejemplo, los miembros de la fuerza de ventas necesitan tener
acceso a los servidores que ejecutan el sistema de orden, mientras que los ingenieros técnicos necesitan tener acceso a bases de datos
técnicos.
El problema
Dado que las direcciones IP de los empleados que viajan clientes VPN no pueden ser conocidas de antemano, las conexiones VPN
entrantes de los clientes no pueden diferenciarse. Esto significa que el servidor de seguridad es incapaz de controlar el acceso a diversas
partes de las redes internas.
La solución lista de ID
El concepto de listas de identificación presenta una solución a este problema. Una lista de identificación contiene una o más identidades
(ID), donde cada identidad corresponde al campo sujeto en un certificado. listas de identificación de este modo se pueden utilizar para
regular lo que los certificados que se les da acceso a lo túneles IPsec.
435
Ejemplo 9.3. El uso de una lista de Identidad
Este ejemplo muestra cómo crear y utilizar una lista de identificación para su uso en el túnel VPN. Esta lista de identificación contendrá un ID con el
tipo DN, nombre completo, como el identificador primario. Tenga en cuenta que este ejemplo no ilustra cómo agregar el objeto específico de túnel
IPsec.
En primer lugar crear una Lista de identificación:
GW-mundo: /> añadir IDList MyIDList
A continuación, cree un ID:
GW-mundo: /> cc IDList MyIDList
GW-mundo: / MyIDList> Añadir Id JohnDoe

Type = Distinguishedname
CommonName = OrganizationName
"John Doe" = D-Link OrganizationalUnit =
= Apoyo a los Países Suecia
EmailAddress=john.doe@D-Link.com
GW-mundo: / MyIDList> cc
Por último, aplique la lista de identificación para el túnel IPsec:
GW-mundo: /> Ajustar interfase IPsecTunnel MyIPsecTunnel

AuthMethod = Certificado IDList = MyIDList
RootCertificates = AdminCert
GatewayCertificate = AdminCert
Interfaz web
En primer lugar crear una Lista de identificación:
1. Ir a: Objetos Objetos> VPN> Listas de identificación IKE> Agregar> Lista de ID
2. Introduzca un nombre para la lista, por ejemplo, MyIDList
A continuación, cree un ID:
1. Ir a: Objetos Objetos> VPN> Listas de identificación IKE> Agregar> Lista de ID
2. Seleccionar MyIDList
3. Introduzca un nombre para la identificación, por ejemplo, John Doe
4. Seleccionar Nombre distinguido en el Tipo controlar
• Nombre común: John Doe
• Nombre de la Organización: D-Link
• Unidad organizacional: Apoyo
• País: Suecia
• Dirección de correo electrónico: john.doe@D-Link.com
436
Por último, aplique la lista de identificación para el túnel IPsec:
2. Seleccione el objeto túnel IPsec de interés
3. En el marco del Autenticación pestaña, seleccione Certificado X.509
4. Seleccione el certificado correspondiente en el Certificado Raíz (s) y Certificado de puerta de enlace controles
5. Seleccionar MyIDList en el Lista de identificación
437
9.4. Los túneles IPsec Capítulo 9. VPN
9.4. Los túneles IPsec

En esta sección se examina más de cerca túneles IPsec en NetDefendOS, su definición, opciones y su uso.
Un túnel IPSec define un punto final de un túnel encriptado. Cada túnel IPsec se interpreta como una interfaz lógica por NetDefendOS,
con las capacidades de filtrado de mismo, para la conformación de tráfico y de configuración como interfaces regulares.
Iniciación a distancia del túnel Establecimiento
Cuando otro NetDefend Firewall u otro producto de red compatible con IPsec (también conocidos como la punto final remoto) intenta
establecer un túnel IPSec VPN a un servidor de seguridad local NetDefend, se examina la lista de los túneles IPsec actualmente
definidos en la configuración NetDefendOS. Si se encuentra una definición de túnel coincidente, se abrió el túnel. El IKE asociado y las
negociaciones IPsec entonces tienen lugar, lo que resulta en el túnel está estableciendo al punto final remoto.
Iniciación local del túnel Establecimiento
Alternativamente, un usuario en una red local protegido podría tratar de acceder a un recurso que se encuentra al final de un
túnel IPsec. En este caso, NetDefendOS ve que la ruta para la dirección IP del recurso es a través de un túnel IPsec definida y
el establecimiento del túnel se inicia entonces desde el NetDefend Firewall local.
Reglas IP Control de Tráfico descifrado
Tenga en cuenta que un túnel IPsec establecida hace no significa automáticamente que todo el tráfico que fluye desde el túnel es de
confianza. Por el contrario, el tráfico de red que haya sido descodificada se cotejará con el conjunto de reglas IP. Al hacer esta
comprobación conjunto de reglas IP, la interfaz de origen del tráfico será el túnel IPsec asociada desde túneles son tratados como
interfaces en NetDefendOS.
Además, una ruta o una regla de acceso pueden tener que ser definido para clientes de uso móvil con el fin de NetDefendOS para
aceptar direcciones IP de origen específicas del túnel IPsec.
volviendo tráfico
Para el tráfico de red que va en la dirección opuesta, de nuevo en un túnel IPsec, un proceso inverso se lleva a cabo. En primer lugar,
el tráfico sin cifrar es evaluada por el conjunto de reglas. Si una regla de ruta y partidos, NetDefendOS trata de encontrar un túnel IPsec
establecido que coincide con los criterios. Si no lo encuentra, NetDefendOS tratarán de establecer un nuevo túnel a la terminal remota
especificada por una definición de túnel IPsec juego.
No hay reglas IP se necesitan para el tráfico IPsec Encerrando
Con túneles IPsec, el administrador generalmente establece reglas de IPsec que permiten tráfico sin cifrar fluya en el túnel (el túnel siendo tratada
como una interfaz NetDefendOS). Sin embargo, normalmente no es necesario establecer normas de propiedad intelectual que permiten
explícitamente los paquetes que implementan IPsec en sí.
paquetes IKE y ESP son de forma predeterminada tratados por el interior de NetDefendOS motor de IPsec y el conjunto de reglas IP no es
consultado.
Este comportamiento se puede cambiar en el la configuración avanzada de IPsec sección con el Antes de Reglas IPsec
ajuste. Un ejemplo de por qué esto podría hacerse es si hay un alto número de túnel IPsec
438
9.4.1. Visión de conjunto Capítulo 9. VPN
los intentos de conexión procedentes de una determinada dirección IP o grupo de direcciones. Esto puede degradar el rendimiento del motor
NetDefendOS IPsec y soltando explícitamente este tipo de tráfico con una regla de IP es una manera eficaz de prevenir que de llegar al motor.
En otras palabras, las reglas IP se pueden utilizar para el control completo sobre todo el tráfico relacionado con el túnel.
Dead Peer Detection
Detección de Punto Inactivo ( DPD) opcionalmente se puede habilitar para un túnel IPsec. DPD supervisa la vitalidad del túnel mediante la
búsqueda de tráfico que viene desde el par en el otro extremo del túnel. Si no hay ningún mensaje es visto dentro de un período de tiempo
(determinado por la configuración avanzada DPD métrico) entonces NetDefendOS envía DPD-RU-THERE mensajes a los pares para
determinar si todavía es alcanzable y vivo.
Si el interlocutor no responde a estos mensajes durante un período de tiempo (determinado por la configuración avanzada DPD Tiempo
caducar) a continuación, el par se considera muerta y el túnel es bajado. NetDefendOS tratará entonces de forma automática para volver a
establecer el túnel después de un período de tiempo (determinado por la configuración avanzada DPD Keep Time).
La configuración avanzada de DPD se describen además en Sección 9.4.6, “Configuración avanzada” IPsec.
DPD está habilitado por defecto para los túneles IPsec NetDefendOS. Incapacitante no inhabilita a la capacidad para responder a las DPD-RU-THERE
de otro compañero.
Mantener viva
el IPsec Mantener viva opción garantiza que el túnel permanece establecido en absoluto posibles tiempos incluso si los flujos de tráfico.
Esto se logra mediante el envío de forma continua ICMP Silbido mensajes a través del túnel. Si las respuestas a los mensajes de ping no se
reciben luego en el enlace del túnel se supone que está roto y se hace un intento automáticamente para restablecer el túnel. Esta función
sólo es útil para LAN a LAN túneles.
Opcionalmente, una dirección específica IP de origen y / o la dirección IP de destino para los pings se pueden especificar. Se
recomienda especificar una IP de destino de un anfitrión que es conocido por ser capaz de responder de manera fiable a los mensajes
ICMP. Si no se especifica un destino de IP, NetDefendOS utilizará la primera dirección IP en la red remota.
Un uso importante de mantenimiento de conexión es si un túnel de LAN a LAN con el tráfico de datos infrecuentes sólo puede establecerse a partir
de un lado, pero necesita ser mantenido con vida para las máquinas de los otros pares. Si los pares que establece el túnel utiliza keep-alive para
mantener el túnel establecido, cualquier host en el otro lado pueden utilizar el túnel a pesar de que el otro par no se puede establecer el túnel
cuando es necesario.
Comparando DPD y keep-alive
DPD y de mantenimiento de conexión se pueden considerar para realizar una función similar que detecta si un túnel IPsec es hacia abajo y el
restablecimiento de la misma. Sin embargo, hay diferencias:
• Keep-alive sólo se puede utilizar para LAN a LAN túneles IPsec. No se puede utilizar con los clientes móviles.
• Keep-alive es mucho más rápido en la detección de un túnel que está abajo y el restablecimiento de la misma. Por lo tanto, es una solución
preferida para LAN a los túneles de LAN.
Tener keep-alive y DPD habilitado simultáneamente para un túnel de LAN a LAN no es necesario ya que el DPD no se disparará si se están enviando
pings de mantenimiento de conexión.
IPsec Túnel de inicio rápido
Esta sección cubre los túneles IPsec con cierto detalle. Una lista de comprobación de inicio rápido de pasos de configuración para estos protocolos en
situaciones típicas se pueden encontrar en las siguientes secciones:
439
9.4.2. LAN a LAN Túneles con claves Capítulo 9. VPN
precompartidas
• Sección 9.2.1, “IPsec LAN a LAN con claves compartidas Pre-”.
• Sección 9.2.2, “IPsec LAN a LAN con certificados”.
• Sección 9.2.3, “IPsec Roaming clientes con claves compartidas Pre-”.
• Sección 9.2.4, “IPsec roaming Los clientes con Certificados”.
Además de la sección de inicio rápido, más explicación de la configuración del túnel es la siguiente.
9.4.2. LAN a LAN Túneles con claves precompartidas

Una VPN puede permitir distribuidos geográficamente redes de área local (LAN) para comunicarse de forma segura a través de Internet
pública. En un contexto corporativo, esto significa LAN en sitios geográficamente separados pueden comunicarse con un nivel de seguridad
comparable a la existente si se comunicaban a través de un enlace dedicado, privado.
La comunicación segura se logra mediante el uso de túnel IPsec, con el túnel que se extiende desde la pasarela VPN en un lugar
a la gateway VPN en otro lugar. Por consiguiente, el NetDefend Firewall es el ejecutor de la VPN, mientras que al mismo tiempo
la aplicación de vigilancia de seguridad normal de tráfico que pasa a través del túnel. En esta sección se ocupa específicamente
de la configuración de LAN a LAN túneles creados con una clave precompartida (PSK).
Se requiere un número de pasos para configurar la LAN a LAN túneles con PSK:
• Configurar el propiedades de túnel VPN e incluir la clave pre-compartida.
• Configurar el propiedades túnel VPN.
• Configurar el Ruta en el principal tabla de enrutamiento (u otra tabla de si se está utilizando un suplente).
• Configurar el Reglas ( un túnel de 2 vías requiere 2 reglas).
9.4.3. Los clientes en itinerancia
Un empleado que está en movimiento que necesita acceder a un servidor de la empresa central de un ordenador portátil desde diferentes
lugares es un ejemplo típico de un cliente de uso móvil. Aparte de la necesidad de un acceso VPN seguro, el otro problema importante con los
clientes móviles es que la dirección IP del usuario móvil a menudo no se conoce de antemano. Para manejar la dirección IP desconocida los
NetDefendOS pueden añadir dinámicamente rutas de la tabla de enrutamiento que se establecen túneles.
Tratar con direcciones IP desconocidas
Si la dirección IP del cliente no se conoce de antemano entonces el NetDefend Firewall necesita para crear una ruta en su tabla de enrutamiento de
forma dinámica a medida que cada cliente se conecta. En el siguiente ejemplo este es el caso y el túnel IPsec está configurado para añadir
dinámicamente rutas.
Si los clientes se les debe permitir a vagar de todas partes, con independencia de su dirección IP, entonces el
Red remota se debe establecer a todas las redes de ( Dirección IP: 0.0.0.0/0) que permitirá a todas las direcciones IPv4 existentes para
conectarse a través del túnel.
Al configurar túneles VPN para clientes de uso móvil por lo general no es necesario añadir o modificar las listas de propuestas algoritmo
que están pre-configurados en NetDefendOS.
PSK basada túneles de cliente
El siguiente ejemplo muestra cómo un túnel basado PSK se puede configurar.
440
9.4.3. Los clientes en itinerancia Capítulo 9. VPN
Ejemplo 9.4. La creación de un túnel VPN basado PSK para clientes móviles
En este ejemplo se describe cómo configurar un túnel IPsec en la oficina central NetDefend Firewall para clientes móviles que se conectan a la
oficina para obtener acceso remoto. La red de la oficina central utiliza el lapso 10.0.1.0/24 de red con cortafuegos externo wan_ip IP.
Interfaz web
A. Crear una clave previamente compartida para la autenticación IPsec:
1. Ir a: Objetos> Objetos de autenticación> Añadir> Pre-Shared Key
2. Ahora ingrese:
• Nombre: Introduzca un nombre para la clave, por ejemplo, Llave secreta
• Secreto compartido: Ingrese una frase de contraseña secreta
• Confirmar secreto: Introduzca la contraseña secreta de nuevo
B. Configurar el túnel IPsec:
1. Ir a: Interfaces> IPsec> Añadir> túnel IPsec
2. Ahora ingrese:
• Nombre: RoamingIPsecTunnel
• Red local: 10.0.1.0/24 (Esta es la red local que los usuarios móviles se conectarán a)
• Red remota: todas las redes de
• Punto final remoto: ( Ninguna)
• Modo de encapsulación: Túnel
3. Para entrar Algoritmos:
• IKE Algoritmos: Medio o Alto
• IPsec Algoritmos: Medio o Alto
4. Para la autenticación entre:
• Pre-Shared Key: Seleccione la clave pre-compartida creado anteriormente
5. En el marco del enrutamiento lengüeta:
• Active la opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel.
C. Finalmente configurar la regla IP configurada para permitir el tráfico dentro del túnel.
túneles de cliente basada en certificados con firma
El siguiente ejemplo muestra cómo un túnel basado en el certificado se puede configurar.
Ejemplo 9.5. La creación de un túnel VPN basado en certificado autofirmado para clientes móviles
oficina para obtener acceso remoto. La red de la oficina central utiliza la red 10.0.1.0/24
441
abarcar con wan_ip cortafuegos IP externa.
Interfaz web
A. Crear un certificado autofirmado para la autenticación IPsec:
El paso para crear realmente certificados con firma se lleva a cabo fuera de la Web UI usando un producto de software adecuado. El certificado debe
estar en el formato de archivo PEM (Privacy Enhanced Mail).
B. Cargar todas las auto-firmado los certificados de cliente:
2. Introduzca un nombre adecuado para el objeto Certificado
3. Seleccione el Certificado X.509 opción
C. Crear listas de identificación:
1. Ir a: Objetos> VPN objetos> Lista de ID> Añadir> Lista de ID
2. Introduzca un adecuado nombre, por ejemplo ventas
4. Ir a: Objetos> VPN Objetos> Lista de ID> Ventas> Añadir> ID
5. Introducir el nombre para el cliente
6. Seleccionar Email como Tipo
7. En el Dirección de correo electrónico campo, introduzca la dirección de correo electrónico seleccionada cuando el certificado se crea en el cliente
8. Crear un nuevo ID para cada cliente que se concede derechos de acceso, de acuerdo con las instrucciones anteriores
D. Configurar el túnel IPsec:
2. Ahora ingrese:
• Escoger Certificado X.509 como método de autenticación
• Certificado Raíz (s): Seleccionar todos los certificados de cliente y añadirlos a la Seleccionado lista
• Puerta de enlace de certificado: Elija el certificado de servidor de seguridad de nueva creación
• Lista de identificación: Seleccione la lista de ID que va a ser asociado con el túnel VPN. En este caso, será
ventas
• Active la opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel.
442
E. Finalmente configurar la regla IP configurada para permitir el tráfico dentro del túnel.
Sobre la base de los túneles CA certificados de servidor
La creación de túneles de cliente utilizando un certificado de CA emitido es en gran parte el mismo que el uso de certificados auto-firmados con la
excepción de un par de pasos.
Es la responsabilidad del administrador de adquirir el correspondiente certificado de una autoridad expedidora de túneles de cliente. Con
algunos sistemas, como Windows 2000 Server, no se encuentra incorporado el acceso a un servidor de CA (en Windows 2000 Server esto se
encuentra en Servicios de certificados). Para obtener más información sobre los certificados de servidor CA emitida ver Sección 3.8,
“Certificados”.
Ejemplo 9.6. Configuración de certificado de CA del servidor túneles VPN basados en clientes móviles
oficina para obtener acceso remoto. La red de la oficina central utiliza el lapso 10.0.1.0/24 de red con cortafuegos externo wan_ip IP.
Interfaz web
A. Cargar todos los certificados de cliente:
2. Introduzca un nombre adecuado para el objeto Certificado
3. Seleccione el Certificado X.509 opción
B. Crear listas de identificación:
1. Ir a: Objetos> VPN objetos> Lista de ID> Añadir> Lista de ID
2. Introduzca un descriptiva nombre, por ejemplo ventas
4. Ir a: Objetos> VPN Objetos> Lista de ID> Ventas> Añadir> ID
5. Introducir el nombre para el cliente
6. Seleccionar Email como Tipo
7. En el Dirección de correo electrónico campo, introduzca la dirección de correo electrónico seleccionada cuando el certificado se crea en el cliente
8. Crear un nuevo ID para cada cliente que se concede derechos de acceso, de acuerdo con las instrucciones anteriores
C. Configurar el túnel IPsec:
2. Ahora ingrese:
443
• Escoger Los certificados X.509 como método de autenticación
• Certificado Raíz (s): Seleccione el certificado raíz del servidor CA importado antes y añadirlo a la Seleccionado lista
• Puerta de enlace de certificado: Elija el certificado de servidor de seguridad de nueva creación
• Lista de identificación: Seleccione la lista de ID que va a ser asociado con el túnel VPN. En este caso, será
ventas
• Active la opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel
D. Finalmente configurar la regla IP configurada para permitir el tráfico dentro del túnel.
Uso del modo de configuración
Modo de configuración IKE ( Modo de configuración) es una extensión de IKE que permite NetDefendOS para proporcionar información de
configuración de LAN a clientes VPN remotos. Se utiliza para configurar dinámicamente los clientes IPsec con direcciones IP y máscaras
de red correspondientes, y para el intercambio de otros tipos de información asociada con DHCP. La dirección IP a un cliente puede ser o
bien basarse en un rango de direcciones IP estáticas predefinidas definidas para el modo de configuración o puede provenir de servidores
DHCP asociados a una IP Pool objeto.
Un conjunto de IP es una memoria caché de direcciones IP recogidos de los servidores DHCP y alquila en estas direcciones se renuevan
automáticamente cuando el tiempo de concesión está a punto de expirar. Conjuntos de IP también manejan información adicional, como DNS y WINS /
NBNS, al igual que un servidor DHCP normal haría. (Para obtener información detallada sobre piscinas esto ver Sección 5.4, “Conjuntos de IP”.)
La definición del objeto del modo de configuración
Actualmente sólo hay un objeto Modo de configuración se puede definir en NetDefendOS y esto se conoce como la
Modo de configuración piscina objeto. Los parámetros clave asociados a ella son las siguientes:
Utilice predefinidas IP agrupación de objetos El objeto del inventario IP que proporciona las direcciones IP.
Utilice una piscina estático Como alternativa al uso de una piscina IP, un conjunto estático de direcciones IP se
puede definir.
DNS La dirección IP del DNS utilizados para la resolución de URL (ya provista por una
piscina de IP).
NBNS / WINS La dirección IP para NBNS resolución / WINS (ya provista por una piscina de IP).
DHCP Indica al anfitrión para enviar sus peticiones DHCP interno a esta dirección.
subredes Una lista de las subredes a las que puede acceder el cliente.
444
9.4.4. Obtención de las CRL desde un servidor LDAP Capítulo 9. VPN
alternativo
Ejemplo 9.7. Configuración del modo de configuración
En este ejemplo, la Modo de configuración piscina objeto se habilita mediante la asociación con él una ya configurado IP Pool
objeto llamado ip_pool1.
Interfaz web
1. Ir a: Objetos Objetos> VPN> Config IKE modo de piscina
2. El propiedades de los objetos página Web Modo de configuración de conjunto aparece ahora
3. Seleccionar Utilice un objeto ippool predefinido
4. Elija el ip_pool1 objeto de la IP Pool la lista desplegable
Después de definir el objeto del modo de configuración, la acción único que queda es para habilitar el modo de configuración para su uso con el túnel
IPsec.
Ejemplo 9.8. Uso del modo Config con túneles IPsec
Suponiendo un túnel predefinido llamado vpn_tunnel1 este ejemplo muestra cómo habilitar el modo de configuración para ese túnel.
Interfaz web
• Ir: Interfaces> IPsec
• Seleccionar el túnel vpn_tunnel1 para la edición
• Seleccione el grupo en el IKE Modo Config piscina la lista desplegable
• Haga
ACUERDO
clic DE
Validación de IP
NetDefendOS siempre comprueba si la dirección IP de origen de cada paquete dentro de un túnel IPsec es la misma que la dirección IP
asignada al cliente IPsec con el modo de config IKE. Si se detecta una falta de coincidencia el paquete siempre se deja caer y un mensaje
de registro genera con un nivel de gravedad Advertencia. Este mensaje incluye las dos direcciones IP, así como la identidad del cliente.
Opcionalmente, el SA afectada se puede eliminar automáticamente si falla la validación, permitiendo la configuración avanzada IPsecDeleteSAOnIPValidationFailure.
El valor predeterminado de esta configuración es Discapacitado.
9.4.4. Obtención de las CRL desde un servidor LDAP alternativo
Un certificado raíz por lo general incluye la dirección IP o el nombre de la autoridad de certificación en ponerse en contacto cuando los
certificados o CRLs necesitan ser descargado en el NetDefend Firewall. Lightweight Directory Access Protocol ( LDAP) se utiliza para
estas descargas.
Sin embargo, en algunos casos, esta información no está presente, o el administrador desea utilizar otro servidor LDAP. La sección de
configuración LDAP entonces se puede utilizar para especificar manualmente servidores LDAP alternativos.
445
9.4.5. Solución de problemas con ikesnoop Capítulo 9. VPN
Ejemplo 9.9. Configuración de un servidor LDAP
Este ejemplo muestra cómo configurar manualmente y especificar un servidor LDAP.
GW-mundo: /> añadir LDAPServer

Host = 192.168.101.146 Nombre de
usuario Contraseña = miusuario =
mypassword puerto = 389
Interfaz web
1. Ir a: Objetos> VPN objetos> LDAP> Añadir> Servidor LDAP
2. Ahora ingrese:
• Dirección IP: 192.168.101.146
• Nombre de usuario: mi nombre de usuario
• Contraseña: mi contraseña
• Confirmar contraseña: mi contraseña
• Puerto: 389
9.4.5. Solución de problemas con ikesnoop
Negociación de túnel VPN
Cuando la creación de túneles IPsec, pueden surgir problemas debido a que la negociación inicial falla cuando los dispositivos en cada extremo de
un túnel VPN intentan pero no logran ponerse de acuerdo en el que se utilizarán los protocolos y métodos de cifrado. los ikesnoop comando de la
consola con el verboso opción es una herramienta que se puede utilizar para identificar el origen de dichos problemas, mostrando los detalles de
esta negociación.
Utilizando ikesnoop
los ikesnoop comando se puede introducir a través de una consola CLI o directamente a través de la consola RS232.
Para empezar a supervisar el comando completo es:
GW-mundo: /> ikesnoop -on -verbose
Esto significa que la producción ikesnoop será enviada a la consola para cada túnel VPN negociación IKE. La salida puede ser
abrumador así para limitar la salida a una única dirección IP, por ejemplo la dirección de IP 10.1.1.10, el comando sería:
GW-mundo: /> ikesnoop -on 10.1.1.10 -verbose
la dirección IPv4 utilizado es la dirección IP del extremo remoto del túnel VPN (ya sea el IP del extremo remoto o el cliente
IP). Para desactivar la supervisión, el comando es:
GW-mundo: /> ikesnoop -off
446
La salida de verboso opción puede ser problemático para interpretar por un administrador lo viera por primera vez. A continuación se
presenta algunos típicos ikesnoop salida con anotaciones explicarlo. La negociación del túnel considerado se basa en claves
pre-compartidas. Una negociación sobre la base de los certificados no se discute aquí, pero los principios son similares.
Completar ikesnoop opciones de comando se pueden encontrar en el Guía de referencia de la CLI.
El cliente y el servidor
Las dos partes implicadas en la negociación del túnel se mencionan en esta sección como la cliente y
servidor. En este contexto, la palabra " cliente" se utiliza para referirse al dispositivo que es el iniciador de la negociación y la servidor se
refiere al dispositivo que es el respondedor.
Paso 1. cliente inicia Cambio enviando una Lista de algoritmos soportados
los verboso salida opción muestra inicialmente la propuesta de lista de algoritmos que el cliente envía primero al servidor. Esta lista detalla
los protocolos y métodos de encriptación que puede soportar. El propósito de la lista algoritmo es que el cliente está tratando de encontrar
un set de protocolos / métodos admitidos por el servidor. El servidor examina la lista y los intentos de encontrar una combinación de los
protocolos / métodos enviados por el cliente, que puede soportar. Este proceso de emparejamiento es uno de los propósitos principales de
la bolsa de IKE.
IkeSnoop: paquete recibido IKE desde 192.168.0.10:500 tipo Exchange:

Identity Protection (modo principal) ISAKMP Versión: 1.0
banderas :
Galletas : 0x6098238b67d97ea6 -> 0x00000000
ID de mensaje : 0x00000000
Longitud del paquete: 324 bytes
# cargas útiles :8
cargas útiles:
SA (Asociación de Seguridad)
longitud de datos de carga útil: 152 bytes DOI: 1
(IPsec DOI)
propuesta 1/1
Protocolo 1/1
ID de protocolo : ISAKMP
Tamaño del SPI :0
transformar un cuarto
transformar ID : IKE
Algoritmo de cifrado : Rijndael-CBC (AES)
longitud de la clave : 128
algoritmo de hash : MD5
Método de autentificación : Pre-Shared Key
Descripción del Grupo : MODP 1024
tipo de la vida : Segundos
duración de la vida : 43200
tipo de la vida : Kilobytes
transformar 2/4
algoritmo de hash : SHA
transformar 3/4
447
Algoritmo de cifrado : 3DES-CBC

transformar 4/4
Algoritmo de cifrado : 3DES-CBC
algoritmo de hash : SHA
VID (Vendor ID)
longitud de datos de carga útil: 16 bytes
Vendor ID: 8f c9 9c 4e 01 24 8e cd f1 47 59 4c 28 4b 21 3b Descripción: SSH Communications Security
QuickSec 2.1.0 VID (Vendor ID)

Vendor ID: 27 ba b5 dc 01 ea 07 60 ea 4e 31 90 ac 27 c0 d0 Descripción:
proyecto-Stenberg-ipsec-nat-traversal-01 VID (Vendor ID)

Vendor ID: 61 05 c4 22 e7 68 47 e4 3f 96 84 80 12 92 ae cd Descripción:

Vendor ID: 44 85 15 2d 18 b6 bb cd 0b e8 a8 46 95 79 dd cc Descripción: proyecto--ietf-ipsec
nat-t-ike-00 VID (Vendor ID)

ID de proveedor: cd 60 46 43 35 df 21 f8 7c fd b2 fc 68 b6 a4 48 Descripción: proyecto--ietf-ipsec

Vendor ID: 90 cb 80 91 3e bb 69 6e 08 63 81 b5 ec 42 7b 1f Descripción: draft-ietf-ipsec-nat-t-ike-02
VID (Vendor ID)

ID de proveedor: 7d 94 19 A6 53 10 ca 6f 2c 17 9d 92 15 52 9d 56 Descripción:
draft-ietf-ipsec-nat-t-ike-03
Explicación de Valores
Tipo de cambio: el modo principal o de modo agresivo (sólo IKEv1.0)

Galletas: Un número aleatorio para identificar la negociación
Algoritmo de cifrado: Cifrar
Longitud de la clave: longitud de la clave de cifrado
algoritmo de hash: Picadillo
Método de autentificación: Pre-Shared Key o certificado
Descripción del Grupo: grupo (DH) Diffie Hellman
Tipo de vida: Segundos o kilobytes
Vida útil: No se de segundos o kilobytes
VID: El proveedor de software de IPsec más lo que las normas son compatibles. Por ejemplo, NAT-T
Paso 2. servidor responde a Client
448
Una respuesta típica del servidor se muestra a continuación. Este debe contener una propuesta que es idéntica a una de las opciones de la lista de
clientes anteriormente. Si hay coincidencia fue encontrado por el servidor a continuación, un "Ninguna propuesta elegida" mensaje será visto,
configuración del túnel fallará y el ikesnoop salida del comando se detendrá en este punto.
IkeSnoop: El envío de paquetes IKE para 192.168.0.10:500 tipo Exchange:

Identity Protection (modo principal) ISAKMP Versión: 1.0
banderas :
Galletas : 0x6098238b67d97ea6 -> 0x5e347cb76e95a
# cargas útiles :8
cargas útiles:
SA (Asociación de Seguridad)
(IPsec DOI)
propuesta 1/1
Protocolo 1/1
ID de protocolo : ISAKMP
Tamaño del SPI :0
transformar 1/1
VID (Vendor ID)
Vendor ID: 8f c9 9c 4e 01 24 8e cd f1 47 59 4c 28 4b 21 3b Descripción: SSH Communications Security
QuickSec 2.1.0 VID (Vendor ID)

Vendor ID: 27 ba b5 dc 01 ea 07 60 ea 4e 31 90 ac 27 c0 d0 Descripción:

Vendor ID: 61 05 c4 22 e7 68 47 e4 3f 96 84 80 12 92 ae cd Descripción:

Vendor ID: 44 85 15 2d 18 b6 bb cd 0b e8 a8 46 95 79 dd cc Descripción: proyecto--ietf-ipsec

ID de proveedor: cd 60 46 43 35 df 21 f8 7c fd b2 fc 68 b6 a4 48 Descripción: proyecto--ietf-ipsec

Vendor ID: 90 cb 80 91 3e bb 69 6e 08 63 81 b5 ec 42 7b 1f Descripción: draft-ietf-ipsec-nat-t-ike-02
VID (Vendor ID)

ID de proveedor: 7d 94 19 A6 53 10 ca 6f 2c 17 9d 92 15 52 9d 56 Descripción:
draft-ietf-ipsec-nat-t-ike-03
Paso 3. Los clientes Comienza Key Exchange
El servidor ha aceptado una propuesta en este punto y el cliente ahora comienza un intercambio de claves. Además, las cargas útiles de detección
de NAT se envían para detectar si se está utilizando NAT.
449

Identity Protection (modo principal) ISAKMP Versión: 1.0 Banderas
:
# cargas útiles :4
cargas útiles:
KE (Key Exchange)
longitud de datos de carga útil: 128 bytes NONCE
(Nonce)
longitud de datos de carga útil: 16 bytes NAT-D
(detección NAT)
(detección NAT)
Paso 4. Clave servidor envía los datos de Exchange
Ahora el servidor envía los datos de intercambio de claves de vuelta al cliente.

:
# cargas útiles :4
cargas útiles:
KE (Key Exchange)
longitud de datos de carga útil: 128 bytes NONCE
(Nonce)
(detección NAT)
(detección NAT)
Paso 5. Identificación de Cliente envía
El iniciador envía la identificación que es normalmente una dirección IP o el Nombre alternativo del sujeto si se utilizan
certificados.

: E (cifrado)
# cargas útiles :3
cargas útiles:
ID (Identificación)
longitud de datos de carga útil: 8 bytes ID: ipv4 (cualquier: 0,
[0..3] = 192.168.0.10) HASH (Hash)
longitud de datos de carga útil: 16 bytes N

(Notificación)
450
longitud de datos de carga útil: 8 bytes ID de

protocolo ISAKMP: Notificación: El contacto inicial
Explicación de los valores por encima
banderas: E significa cifrado (que es el único indicador utilizado).

CARNÉ DE IDENTIDAD: Identificación del cliente
los Notificación campo se da como Contacto inicial para indicar que esto no es una re-clave.
Paso Response ID 6. Servidor
Ahora el servidor responde con su propio ID.

: E (cifrado)
# cargas útiles :2
cargas útiles:
ID (Identificación)
longitud de datos de carga útil: 8 bytes ID: ipv4 (cualquier: 0,
[0..3] = 192.168.10.20) HASH (Hash)
Paso 7. El cliente envía una lista de algoritmos IPsec compatibles
Ahora el cliente envía la lista de algoritmos soportados IPsec al servidor. También contendrá el anfitrión / redes propuestas que
están permitidos en el túnel.

de modo rápido ISAKMP Versión: 1.0 Banderas
: E (cifrado)
ID de mensaje : 0xaa71428f
# cargas útiles :5
cargas útiles:
HASH (Hash)
longitud de datos de carga útil: 16 bytes SA
(Asociación de Seguridad)
(IPsec DOI)
propuesta 1/1
Protocolo 1/1
ID de protocolo : ESP
Tamaño del SPI :4
SPI Valor : 0x4c83cad2
transformar un cuarto
transformar ID : Rijndael (AES)
algoritmo de autenticación: HMAC-MD5
451
SA Tipo de la vida : Segundos

duración de la vida SA : 21600
SA Tipo de la vida : Kilobytes
modo de encapsulación : túnel
transformar 2/4
algoritmo de autenticación: Tipo de la vida HMAC-SHA-1 SA
: Segundos
transformar 3/4
transformar ID : Blowfish
algoritmo de autenticación: Tipo de la vida HMAC-MD5 SA
: Segundos
transformar 4/4
transformar ID : Blowfish
algoritmo de autenticación: Tipo de la vida HMAC-SHA-1 SA
: Segundos
NONCE (Nonce)
longitud de datos de carga útil: 16 bytes de ID
(Identificación)
longitud de datos de carga útil: 8 bytes ID: ipv4
(cualquier: 0, [0..3] = 10.4.2.6) ID (Identificación)
longitud de datos de carga útil: 12 bytes ID: ipv4_subnet (cualquier: 0,

[0..7] = 10.4.0.0 / 16)
Explicación de los valores por encima
Transformar ID: Cifrar

Longitud de la clave: longitud de la clave de cifrado
algoritmo de autenticación: HMAC (Hash)
Descripción del Grupo: grupo PFS y la SSP
SA Tipo de vida: Segundos o kilobytes
SA duración de la vida: segundo número o kilobytes
modo de encapsulación: Podría ser transporte, túnel o túnel UDP (NAT-T)
CARNÉ DE IDENTIDAD: ipv4 (cualquier: 0, [0..3] = 10.4.2.6)
Aquí la primera ID es la red local del túnel desde el punto de vista del cliente y la segunda identificación es la red remota. Si contiene
cualquier máscara de red es generalmente SA por la red y por lo demás es SA por host.
Paso 8. El cliente envía una lista de algoritmos soportados
Ahora el servidor responde con una propuesta de IPsec a juego de la lista enviada por el cliente. Como en el paso 2
anterior, si no se encuentra coincidencia por el servidor a continuación, un "No propuesta elegida" se verá mensaje, configuración del túnel fallará
y el ikesnoop salida del comando se detendrá aquí.
452
9.4.6. Configuración avanzada IPsec Capítulo 9. VPN

: E (cifrado)
# cargas útiles :5
cargas útiles:
HASH (Hash)
longitud de datos de carga útil: 16 bytes SA
(Asociación de Seguridad)
(IPsec DOI)
propuesta 1/1
Protocolo 1/1
ID de protocolo : ESP
Tamaño del SPI :4
SPI Valor : 0xafba2d15
transformar 1/1
algoritmo de autenticación: Tipo de la vida HMAC-MD5 SA
: Segundos
NONCE (Nonce)
longitud de datos de carga útil: 16 bytes de ID
(Identificación)
longitud de datos de carga útil: 8 bytes ID: ipv4
(cualquier: 0, [0..3] = 10.4.2.6) ID (Identificación)
longitud de datos de carga útil: 12 bytes ID: ipv4_subnet (cualquier: 0,

[0..7] = 10.4.0.0 / 16)
Paso 9. El cliente confirma configuración del túnel
Este último mensaje es un mensaje desde el cliente diciendo que el túnel está en marcha. Todos los intercambios de cliente /
servidor han tenido éxito.

: E (cifrado)
# cargas útiles :1
cargas útiles:
HASH (Hash)
9.4.6. Configuración avanzada IPsec
Los siguientes NetDefendOS avanzaron ajustes están disponibles para la configuración de túneles IPsec.
Reglas IPsec Max
453
Esto especifica el número total de reglas IP que se pueden conectar a los túneles IPsec. Por defecto, este es inicialmente
aproximadamente 4 veces la licencia IPsecMaxTunnels y la memoria del sistema para este se asigna al inicio. Al reducir el
número de reglas, requisitos de memoria se pueden reducir, pero no se recomienda hacer este cambio.
Reglas IPsec Max siempre se restablecerá automáticamente a ser de aproximadamente 4 veces IPsec Max Túneles si se cambia el
último. Este vínculo se rompe una vez Reglas IPsec Max se altera manualmente para que los cambios posteriores en IPsec Max
Túneles no causará un cambio automático de Reglas IPsec Max.
Defecto: 4 veces el límite de la licencia de IPsec Max Túneles
IPsec Max Túneles
Especifica el número total de túneles IPsec permitidos. Este valor se toma inicialmente a partir de los túneles máximos permitidos por la
licencia. El ajuste es utilizado por NetDefendOS asignar memoria para IPsec. Si es deseable tener menos memoria asignada para IPsec
continuación, esta configuración se puede reducir. Al aumentar el ajuste no puede anular el límite de la licencia.
Un mensaje de registro de alerta se genera automáticamente cuando se alcanza el 90% del valor de este ajuste.
Defecto: El límite especificado por la licencia
IKE Enviar Contacto Inicial
Determina si IKE debe enviar el "contacto inicial" mensaje de notificación. Este mensaje se envía a cada punto final remoto
cuando se abre una conexión a la misma y no hay anterior IPsec SA utilizando esa puerta de enlace.
Defecto: Activado
IKE Enviar CRL
Dicta si las CRL (listas de revocación de certificados) deben ser enviados como parte del intercambio de IKE. Debe ser por
lo general en ENABLE excepto cuando el par remoto no entiende cargas útiles de CRL.
Tenga en cuenta que esta configuración requiere un reinicio para tener efecto.
Defecto: Activado
Antes de Reglas IPsec
Pase IKE e IPsec tráfico (ESP / AH) enviado a NetDefendOS directamente al motor IPsec sin consultar al conjunto de reglas.
Defecto: Activado
IKE CRL tiempo de validez
Una CRL contiene un campo "próxima actualización" que dicta el tiempo y la fecha en que una nueva CRL estará disponible para su descarga desde la
CA. El tiempo entre las actualizaciones de CRL puede ser cualquier cosa desde unas pocas horas y hacia arriba, dependiendo de cómo esté
configurado el CA. La mayoría de software de CA permiten al administrador de CA para la emisión de nuevas CRL en cualquier momento, por lo que
incluso si el campo "próxima actualización" dice que una nueva CRL está disponible en 12 horas, que ya puede ser una nueva CRL para su descarga.
Esta configuración limita el tiempo de una CRL se considera válido. Una nueva CRL se descarga cuando IKECRLVailityTime vencimiento o
cuando se produce el momento "próxima actualización". Lo que ocurra primero.
454
IKE Max CA Camino
Cuando se verifica la firma de un certificado de usuario, NetDefendOS mira a la nombre del emisor campo en el certificado de usuario para encontrar
el certificado de entidad emisora del certificado fue firmado por. El certificado de CA puede a su vez ser firmado por otra CA, que puede ser firmado
por otra CA, y así sucesivamente. Cada certificado será verificada hasta que uno que se ha marcado como "de confianza" se encuentra, o hasta que
se determina que ninguno de los certificados son de confianza.
Si hay más certificados en este camino de lo que aquí se especifica, será considerado no válido el certificado de usuario.
Defecto: 15
IPsec Cert caché Max Certificados
número máximo de certificados / CRL que se pueden mantener en la memoria caché certificado interno. Cuando la caché certificado está
llena, las entradas serán eliminados de acuerdo con un algoritmo LRU (Least Recently Used).
Defecto: 1024
IPsec puerta de enlace Nombre Tiempo caché
Cantidad de tiempo en milisegundos para mantener un diálogo abierto túnel IPsec cuando el nombre DNS no puede resolver a distancia.
Defecto: 14400
DPD Métricas
La cantidad de tiempo en decenas de segundos que se considera el par de estar vivo (accesible) desde el último mensaje recibido IKE.
Esto significa que no hay mensajes DPD para comprobar la vitalidad de los pares serán enviadas durante este tiempo a pesar de que no
haya paquetes de los pares se han recibido durante este tiempo.
En otras palabras, la cantidad de tiempo en decenas de segundos que un túnel es sin tráfico o cualquier otro signo de vida
antes de que se considere muertos. Si DPD es debido a ser activado, pero se ve otra señal de vida (como IKE paquetes desde
el otro lado del túnel) dentro del marco de tiempo, sin
DPD-RU-THERE Se enviarán los mensajes.
Por ejemplo, si el otro lado del túnel no ha enviado ningún paquetes ESP durante un largo período, pero al menos un
IKE-paquete se ha visto en el pasado ( 10 x el valor configurado) segundos, luego NetDefendOS no enviarán más DPD-RU-THERE
mensajes al otro lado.
Defecto: 3 ( en otras palabras, 3 x 10 = 30 segundos)
DPD Keep Time
La cantidad de tiempo en decenas de segundos que un compañero se supone que está muerto después de NetDefendOS ha detectado que
así sea. Mientras que el par es considerado muerto, NetDefendOS no intentará volver a negociar el túnel o enviar mensajes DPD a los pares.
Sin embargo, no se considerará el peer muertos más, tan pronto como se recibe un paquete de ella.
Una explicación más detallada de esta configuración es que es la cantidad de tiempo en decenas de segundos que una SA permanecerá en la memoria
caché muerto después de un borrado. Una SA se pone en la memoria caché muertos cuando la otra parte
455
del túnel no ha respondido a DPD-RU-THERE mensajes de los DPD Caducidad x 10 segundos y no hay ninguna otra señal de
vida. Cuando el SA se coloca en la caché muertos, NetDefendOS no intentará volver a negociar el túnel. Si no se recibe el tráfico
que se asocia con la SA, que está en la caché muerto, el SA se eliminará de la memoria caché muertos. DPD no se disparará si la
SA ya se almacena en caché como muerto.
Este ajuste se utiliza sólo con IKEv1.
Defecto: 2 ( en otras palabras, 2 x 10 = 20 segundos)
DPD Caducidad
La longitud de tiempo en segundos para que los mensajes de DPD se enviará a los pares. Si el par no ha respondido a los mensajes
durante este tiempo se considera que está muerto.
En otras palabras, esta es la longitud de tiempo en segundos para que DPD-RU-THERE Se enviarán los mensajes. Si el otro lado del túnel
no ha enviado una respuesta a cualquier mensaje entonces se considera que está muerto (no accesible). El SA se pondrá entonces en la
memoria caché muertos.
Este ajuste se utiliza sólo con IKEv1.
456
9.5. PPTP / L2TP Capítulo 9. VPN
9.5. PPTP / L2TP

El acceso de un cliente mediante un enlace módem a través de público telefónico redes de conmutación, posiblemente con una dirección IP
impredecible, a las redes protegidas a través de una VPN plantea problemas particulares. Tanto los protocolos PPTP y L2TP proporcionan dos
medios diferentes de lograr el acceso VPN desde clientes remotos. La característica más comúnmente utilizado que es relevante en este
escenario es la capacidad de NetDefendOS actuar ya sea como un servidor PPTP o L2TP y las dos primeras secciones siguientes se ocupan de
este. En la tercera sección se ocupa de la capacidad adicional de NetDefendOS para actuar como un cliente PPTP o L2TP.
PPTP / L2TP inicio rápido
Esta sección cubre L2TP y PPTP con cierto detalle. Una lista de comprobación de inicio rápido de pasos de configuración para estos protocolos en
situaciones típicas se pueden encontrar en las siguientes secciones:
• Sección 9.2.5, “Clientes L2TP Roaming con Pre-Shared Keys”.
• Sección 9.2.6, “los clientes móviles L2TP con Certificados”.
• Sección 9.2.7, “PPTP Roaming clientes”.
9.5.1. Los servidores PPTP
Visión de conjunto
PPTP ( PPTP) está diseñado por el Foro PPTP, un consorcio de empresas que incluye Microsoft. Es un protocolo de capa 2 "de enlace
de datos" OSI (véase Apéndice D, El Marco OSI) y es una extensión de la mayor Protocolo punto a punto ( PPP), que se utiliza para
acceder a Internet de acceso telefónico. Fue uno de los primeros protocolos diseñados para ofrecer acceso VPN a servidores remotos a
través de redes de acceso telefónico y sigue siendo ampliamente utilizado.
Implementación
PPTP se puede utilizar en el contexto de VPN para el túnel diferentes protocolos a través de Internet. Tunneling se consigue mediante la encapsulación
de paquetes PPP en datagramas IP usando Encapsulación de enrutamiento genérico ( GRE
- protocolo IP 47). El cliente establece primero una conexión con un proveedor de Internet de la forma habitual usando el protocolo PPP
y luego establece una conexión TCP / IP a través de Internet a la NetDefend Firewall, que actúa como el servidor PPTP (puerto TCP
1723 se utiliza). El ISP no tiene conocimiento de la VPN desde el túnel se extiende desde el servidor PPTP al cliente. El estándar PPTP
no define cómo los datos son encriptados. La encriptación se consigue normalmente mediante el Microsoft Point-to-Point Encryption ( MPPE)
estándar.
Despliegue
PPTP ofrece una solución conveniente para el acceso de cliente que es fácil de implementar. PPTP no requiere la infraestructura de
certificados se encuentran en L2TP sino que se basa en una secuencia de nombre de usuario / contraseña para establecer la confianza
entre el cliente y el servidor. El nivel de seguridad que ofrece una solución no basada en certificado es sin duda uno de los inconvenientes de
PPTP. PPTP también presenta algunos problemas de escalabilidad con algunos servidores PPTP que restringen el número de clientes PPTP
simultáneas. Desde PPTP no utiliza IPSec, PPTP conexiones se pueden NATed y no se requiere NAT transversal. PPTP ha sido incluido por
Microsoft en sus sistemas operativos desde Windows 95 y por lo tanto tiene un gran número de clientes con el software ya instalado.
PPTP solución de problemas
457
9.5.2. Servidores L2TP Capítulo 9. VPN
Un problema común con la creación de PPTP es que un router y / o conmutador en una red está bloqueando el puerto TCP 1723 y / o
protocolo IP 47 antes de la conexión PPTP se pueden hacer a la NetDefend Firewall. Examinando el registro puede indicar si se ha
producido este problema, con un mensaje de registro de la forma siguiente aparece:
Error PPP lcp_negotiation_stalled ppp_terminated
Ejemplo 9.10. Configuración de un servidor PPTP
Este ejemplo muestra cómo configurar un servidor PPTP red. El ejemplo se supone que ya se han creado ciertos objetos de dirección en el
libro de direcciones NetDefendOS.
Es necesario especificar en la libreta de direcciones, la dirección IP de la interfaz del servidor PPTP, una dirección IP externa (que el servidor PPTP debe escuchar)
y un conjunto de direcciones IP que utilizará el servidor PPTP para dar a conocer las direcciones IP a los clientes de.
GW-mundo: /> añadir la interfaz L2TPServer MyPPTPServer

IPDeServidor = LAN_IP Interface =
cualquier IP = wan_ip ippool =
pp2p_Pool TunnelProtocol = PPTP
AllowedRoutes = todas las redes de
Interfaz web
1. Ir a: Interfaces> PPTP / L2TP Servidores> Añadir> PPTP / L2TP del servidor
2. Introduzca un nombre para el servidor PPTP, por ejemplo, MyPPTPServer
• Dirección IP interna: LAN_IP
• Protocolo de túnel: PPTP
• Filtro interfaz externa: alguna
• IP externa del servidor: wan_ip
4. En el marco del Los parámetros PPP pestaña, seleccione pptp_Pool en el IP Pool controlar
5. En el marco del Agregar ruta pestaña, seleccione all_nets de Redes permitidas
Uso de autenticación de usuarios Reglas está activada de forma predeterminada. Para ser capaz de autentificar a los usuarios utilizar el túnel PPTP se requiere
para configurar NetDefendOS Normas de autenticación pero eso no se tratarán en este ejemplo.
9.5.2. Servidores L2TP
Layer 2 Tunneling Protocol ( L2TP) es un estándar abierto IETF que supera muchos de los problemas de PPTP. Su diseño es una
combinación de Capa 2 Forwarding ( L2F) y el protocolo PPTP, haciendo uso de las mejores características de ambos. Dado que la
norma L2TP no implementa el cifrado, se implementa por lo general con un estándar IETF conocido como L2TP / IPsec, en el que
paquetes L2TP son encapsulados por IPsec.
El cliente se comunica con una Concentrador de acceso local ( LAC) y el ALC se comunica a través de Internet con una L2TP Network
Server ( LNS). El NetDefend Firewall actúa como el LNS. Los datos ALC túneles, tales como una sesión PPP, utilizando IPsec para la
LNS a través de Internet. En la mayoría de los casos el cliente va a actuar por sí mismo como el ALC.
L2TP es de certificados en base y por lo tanto es más fácil de administrar con un gran número de clientes y
458
podría decirse que ofrece mayor seguridad que PPTP. A diferencia de PPTP, es posible configurar varias redes virtuales en un
único túnel. Debido a que se basa IPsec, L2TP requiere NAT transversal (NAT-T) a ser implementado en el lado LNS del túnel.
Ejemplo 9.11. Configuración de un servidor L2TP
Este ejemplo muestra cómo configurar un servidor L2TP red. El ejemplo supone que ha creado algunos objetos de dirección IP. Tendrá que especificar
la dirección IP de la interfaz de servidor L2TP, una dirección IP externa (que el servidor L2TP debe escuchar) y un conjunto de direcciones IP que el
servidor L2TP utilizará para dar a conocer las direcciones IP a los clientes de.
GW-mundo: /> añadir la interfaz L2TPServer MyL2TPServer

IPDeServidor = ip_l2tp Interface =
cualquier IP = wan_ip ippool =
L2TP_Pool TunnelProtocol = L2TP
AllowedRoutes = all-redes
Interfaz web
1. Ir a: Interfaces> Servidores L2TP> Añadir> L2TPServer
2. Introduzca un nombre adecuado para el servidor L2TP, por ejemplo, MyL2TPServer
• Dirección IP interna: ip_l2tp
• Protocolo de túnel: L2TP
• Filtro interfaz externa: alguna
• IP externa del servidor: wan_ip
4. En el marco del Los parámetros PPP pestaña, seleccione L2TP_Pool en el IP Pool controlar.
5. En el marco del Agregar ruta pestaña, seleccione all_nets en el Redes permitidas controlar.
Uso de autenticación de usuarios Reglas está activada de forma predeterminada. Para ser capaz de autenticar a los usuarios que utilizan el túnel PPTP, es necesario
configurar NetDefendOS Normas de autenticación pero que no esté prevista en este ejemplo.
Ejemplo 9.12. La creación de un túnel L2TP sobre IPSec
Este ejemplo muestra cómo configurar un túnel L2TP completamente de trabajo basado en el cifrado IPsec y cubrirá muchas partes de la configuración básica de
VPN.
Antes de empezar, es necesario configurar algunos objetos de dirección, por ejemplo la red que se va a asignar a los clientes L2TP. listas de
propuestas y PSK se necesitan también. Aquí vamos a utilizar los objetos creados en los ejemplos anteriores.
Para ser capaz de autentificar los usuarios que utilizan el túnel L2TP se utiliza una base de datos de usuario local.
A. inicio mediante la preparación de una nueva base de datos de usuarios locales:
GW-mundo: /> añadir LocalUserDatabase UserDB
GW-mundo: /> cc LocalUserDatabase UserDB
459
GW-mundo: / UserDB> Añadir usuario testuser Contraseña = mypassword
Interfaz web
1. Ir a: Autenticación de usuario> Bases de datos de usuarios locales> Agregar> Base de datos de usuarios locales
2. Introducir un nombre adecuado para la base de datos de usuario, por ejemplo UserDB
3. Ir a: Autenticación de usuario> Bases de datos de usuarios locales> UserDB> Añadir> Usuario
• Nombre de usuario: testuser
• Contraseña: mi contraseña
• Confirmar contraseña: mi contraseña
Ahora vamos a configurar el túnel IPSec, que posteriormente se utiliza en la sección L2TP. Como vamos a utilizar L2TP, la Red Local es la misma
IP como la dirección IP que el túnel L2TP se conectará a, wan_ip. Por otra parte, el túnel IPsec necesita ser configurado para añadir
dinámicamente rutas a la red remota cuando se establece el túnel.
B. continuar con la configuración del túnel IPsec:
GW-mundo: /> añadir la interfaz IPsecTunnel l2tp_ipsec

LocalNetwork = wan_ip RemoteNetwork =
all-redes IKEAlgorithms = Medio
IPsecAlgorithms = esp-PSK = l2tptunnel
MyPSK
EncapsulationMode = Transporte
DHCPOverIPsec = Sí AddRouteToRemoteNet
= Si IPsecLifeTimeKilobytes = 250000
IPsecLifeTimeSeconds = 3600
Interfaz web
2. Introduzca un nombre para el túnel IPsec, por ejemplo, l2tp_ipsec
a. Red local: wan_ip
segundo. Red remota: todas las redes de
do. Punto final remoto: ninguna
re. Modo de encapsulación: Transporte
mi. IKE Algoritmos: Alto
F. IPsec Algoritmos: esp-l2tptunnel
4. Introduzca 3600 en el IPsec segundos Tiempo de la vida controlar
5. Introducir 250000 en el IPsec tiempo de la vida, kilobytes controlar
6. En virtud de la Autenticación pestaña, seleccione Clave pre-compartida
7. Seleccionar MyPSK en el Clave pre-compartida controlar
8. En el marco del enrutamiento pestaña, compruebe los siguientes controles:
• Permitir DHCP a través de IPsec de los clientes de un solo huésped
460
• Agregar dinámicamente ruta a la red remota cuando se establece un túnel
Ahora es el momento de configurar el servidor L2TP. La dirección IP interna debe ser una parte de la red que los clientes se les asigna direcciones IP a
partir, en este LAN_IP. El filtro de interfaz externa es la interfaz que el servidor L2TP las aceptará en el, este será el l2tp_ipsec creado anteriormente.
Proxyarp también necesita ser configurado para las direcciones IP utilizadas por los clientes L2TP.
C. Configuración del túnel de L2TP:
GW-mundo: /> añadir l2tp_tunnel interfaz L2TPServer

IP = LAN_IP Interface = l2tp_ipsec
IPDeServidor = wan_ip ippool =
l2tp_pool TunnelProtocol = L2TP
AllowedRoutes = all-redes LAN =
ProxyARPInterfaces
Interfaz web
1. Ir a: Interfaces> Servidores L2TP> Añadir> L2TPServer
2. Introduzca un nombre para el túnel L2TP, por ejemplo, l2tp_tunnel
• Dirección IP interna: LAN_IP
• Protocolo de túnel: L2TP
• Filtro interfaz externa: l2tp_ipsec
• Servidor IP: wan_ip
4. En el marco del Los parámetros PPP pestaña, compruebe el Uso de autenticación de usuarios Reglas controlar
5. Seleccionar l2tp_pool en el IP Pool controlar
6. En virtud de la Agregar ruta pestaña, seleccione todas las redes de en el Redes permitidas controlar
7. En el proxyarp control, seleccione el lan interfaz
Con el fin de autenticar a los usuarios que utilizan el túnel L2TP, una regla de autenticación de usuario debe ser configurado.
D. A continuación será la creación de las reglas de autenticación:
GW-mundo: /> añadir UserAuthRule AuthSource = Local

Nombre de la interfaz = l2tp_tunnel
OriginatorIP = all-redes LocalUserDB = agente
UserDB = PPP TerminatorIP = wan_ip =
L2TP_Auth
Interfaz web
1. Ir a: Autenticación de usuario> Autenticación de Usuarios Reglas> Añadir> UserAuthRule
2. Introduzca un nombre adecuado para la regla, por ejemplo, L2TP_Auth
• Agente: PPP
461
• Interfaz: l2tp_tunnel
• IP de origen: todas las redes de
• Terminator IP: wan_ip
4. En el marco del Opciones de autenticación introduce pestaña UserDB como el DB de usuario local
Cuando las otras partes se hacen, todo lo que queda es la normativa. Para permitir que el tráfico a través del túnel, se deben agregar dos reglas IP.
E. Por último, estableció las reglas:
Ahora, agregue las reglas de PI:
GW-mundo: / principal> añadir la acción iprule = Permitir

Servicio = all_services SourceInterface =
l2tp_tunnel SourceNetwork = l2tp_pool
DestinationInterface = ningún
DestinationNetwork = all-redes name =
AllowL2TP
GW-mundo: / principal> añadir la acción iprule = NAT

Servicio = all_services SourceInterface =
l2tp_tunnel SourceNetwork = l2tp_pool
DestinationInterface = cualquier
DestinationNetwork = all-redes name =
NATL2TP
Interfaz web
2. Introduzca un nombre para la regla, por ejemplo, AllowL2TP
• Servicio: all_services
• Interfaz de origen: l2tp_tunnel
• Fuente de red: l2tp_pool
6. Introduzca un nombre para la regla, por ejemplo, NATL2TP
7. A continuación, introduzca:
• Acción: NAT
462
9.5.3. configuración L2TP avanzado / PPTP Server Capítulo 9. VPN
• Interfaz de origen: l2tp_tunnel
• Fuente de red: l2tp_pool
9.5.3. configuración L2TP avanzado / PPTP Server
Los siguientes ajustes avanzados del servidor L2TP / PPTP están disponibles para el administrador:
L2TP Antes de Reglas
el tráfico pase L2TP envía al servidor de seguridad NetDefend directamente al servidor L2TP sin consultar al conjunto de reglas.
Defecto: Activado
PPTP Antes de Reglas
Pasar el tráfico PPTP enviado a la NetDefend Firewall directamente al servidor PPTP sin consultar al conjunto de reglas.
Defecto: Activado
Max PPP reenvíos
El número máximo de capa PPP vuelve a enviar.
Defecto: 10
9.5.4. Los clientes PPTP / L2TP
Los protocolos PPTP y L2TP se describen en la sección anterior. Además de ser capaz de actuar como un servidor PPTP o L2TP,
NetDefendOS también ofrece la capacidad de actuar como un PPTP o L2TP clientes. Esto puede ser útil si PPTP o L2TP se prefiere
como el protocolo de VPN en lugar de IPsec. Una NetDefend Firewall puede actuar como cliente y conectarse a otra unidad que
actúa como servidor.
Configuración de cliente
PPTP y L2TP comparte un enfoque común para la configuración del cliente que consiste en los siguientes ajustes:
• Nombre - Un nombre simbólico para el cliente.
• Tipo de interfaz - Especifica si se trata de un cliente PPTP o L2TP.
• Punto final a distancia - La dirección IP del extremo remoto. Cuando esto se especifica como una URL, el prefijo DNS: debe
preceder a ella.
463
9.5.4. Los clientes PPTP / L2TP Capítulo 9. VPN
Los nombres de direcciones asignadas
Tanto PPTP y L2TP utiliza configuración IP dinámica usando el PPP LCP protocolo. Cuando NetDefendOS recibe esta
información, se almacena en los nombres de host / red simbólica. Los ajustes para esto son:
• Dirección IP interna - El nombre de host que se utiliza para almacenar la dirección IP asignada. Si existe este objeto de red y tiene
un valor que no es 0.0.0.0 a continuación, el cliente PPTP / L2TP tratará de conseguir que la una del servidor PPTP / L2TP IP como
el preferido.
• recoger automáticamente el nombre - Si esta opción está activada, NetDefendOS crearán un nombre de host basado en el nombre
de la interfaz PPTP / L2TP, por ejemplo, ip_PPTPTunnel1.
• Primaria / Secundaria nombre DNS - Esto define los servidores DNS de una lista de objetos de red predefinidos.
Nota: La ruta por defecto PPTP / L2TP
Un servidor PPTP / L2TP no proporcionará información tal como direcciones de puerta de enlace o de difusión, ya que este no
se utiliza con túneles PPTP / L2TP. Cuando se utiliza PPTP / L2TP, la ruta por defecto normalmente se encamina
directamente a través del túnel PPTP / L2TP sin una puerta de enlace especificado.
Autenticación
• Nombre de usuario - Especifica el nombre de usuario a utilizar para esta interfaz PPTP / L2TP.
• Contraseña - Especifica la contraseña de la interfaz.
• Autenticación - Especifica qué protocolo de autenticación a usar.
• MPPE - Especifica si Microsoft Point-to-Point Encryption se utiliza y qué nivel de usar.
Si Marque cuando lo desee está activada, el túnel PPTP / L2TP no se establecerá hasta que el tráfico se envía en la interfaz. Los
parámetros para esta opción son:
• Sentido actividad - Especifica si marcado a la demanda debe disparar en Enviar o recv o ambos.
• Tiempo de inactividad - El tiempo de inactividad en segundos de espera antes de la desconexión.
Uso de la función de cliente PPTP
Un uso de la función de cliente PPTP se muestra en el escenario se representa a continuación.
Aquí se están NATed un número de clientes a través NetDefendOS antes de ser conectado a un servidor PPTP en el otro lado de la
NetDefend Firewall. Si hay más que uno de los clientes está actuando como un cliente PPTP que está intentando conectarse al
servidor PPTP a continuación, esto no funcionará debido a la NATing.
La única forma de lograr múltiples clientes PPTP se NATed como este, es para el NetDefend Firewall para actuar como un cliente
PPTP cuando se conecta al servidor PPTP. Para resumir la configuración:
• Un túnel PPTP se define entre NetDefendOS y el servidor.
• Una ruta se añade a la tabla de enrutamiento en NetDefendOS que especifica que el tráfico para el servidor se debe encaminar a
través del túnel PPTP.
464
9.5.4. Los clientes PPTP / L2TP Capítulo 9. VPN
Figura 9.3. Uso de cliente PPTP
465
9.6. VPN SSL Capítulo 9. VPN
9.6. VPN SSL

NetDefendOS proporciona un tipo adicional de conexión VPN llamado SSL VPN. Esto hace que el uso de la (Secure Sockets
Layer SSL) para proporcionar un túnel seguro entre un equipo cliente remoto y un Firewall NetDefend. Cualquier aplicación en el
cliente puede entonces comunicarse de forma segura con servidores situados en el lado protegido de la firewall.
La ventaja de SSL VPN
La ventaja clave de SSL VPN es que permite comunicaciones seguras entre un cliente y un servidor de seguridad mediante el HTTPS protocolo.
En algunos entornos en los que los clientes móviles tienen que operar, tales como hoteles o aeropuertos, equipos de red a menudo no
permitir que otros protocolos de túnel, como IPsec, que se utilizarán.
En tales casos, SSL VPN proporciona una solución viable, simple y segura conexión de cliente.
La desventaja de VPN SSL
Una desventaja de SSL VPN es que se basa en las técnicas de construcción de túneles que hacen un amplio uso de TCP protocolo de encapsulación
para la transmisión fiable. Esto conduce a la sobrecarga de procesamiento adicional que puede provocar latencias se notan en algunas situaciones de
alta carga.
Por lo tanto, SSL VPN requiere más recursos de procesamiento que, por ejemplo, IPsec. Además, la aceleración de hardware para IPsec está
disponible en algunas plataformas de hardware para aumentar aún más la eficiencia de procesamiento.
Un resumen de VPN SSL Pasos de configuración
disposición de VPN SSL requiere los siguientes pasos:
• En el lado NetDefend Firewall:
yo. Un Interfaz SSL VPN objeto necesita ser creado, que configura una interfaz Ethernet en particular para aceptar
conexiones VPN SSL.
ii. Un regla de autenticación debe definirse para los clientes entrantes VPN SSL y el Estado
debe tener la Interfaz propiedad dispuesto a ser el nombre del objeto de SSL VPN creado anteriormente.
los Agente de autenticación de la regla debe estar ajustado a L2TP / PPTP / VPN SSL y de la regla
Terminator IP se debe establecer en la dirección de dirección IP externa del interfaz de escucha del servidor de seguridad.
Este tema se discute en Sección 8.2.5, “Reglas de autenticación”.
Iii. Los usuarios del cliente deben ser definidos en el Fuente de autenticación de la regla de autenticación. Esta
fuente puede ser una base de datos local, un servidor RADIUS o un servidor LDAP.
iv. Definir reglas NetDefendOS IP adecuadas para permitir el flujo de datos dentro el túnel VPN SSL.
Como veremos más adelante, las normas de PI no necesitan normalmente ser definido para la configuración del propio túnel VPN SSL.
v. Especificar las interfaces en las que serán publicados ARP IP del cliente. Esto es necesario para un servidor detrás del firewall
sabe cómo enviar respuestas de nuevo a un cliente de VPN SSL.
El único caso en el que esto no sería necesaria es si las conexiones del cliente están siendo NATedby por
NetDefendOS entre la interfaz y el servidor.
466
9.6.2. Configuración de SSL VPN en Capítulo 9. VPN
NetDefendOS
La opción existe con NetDefendOS VPN SSL para publicar automáticamente ARP todas las direcciones IP de los clientes en todas las
interfaces del firewall, pero esto no es recomendable debido a los problemas de seguridad que se plantean.
VI. Las rutas de los clientes no tienen que ser definidos en las tablas de enrutamiento ya que estos se añaden automáticamente por
NetDefendOS cuando se establecen túneles VPN SSL.
• En el lado del cliente basado en Windows:
Una aplicación propietaria cliente VPN D-Link SSL necesita ser instalado y configurado para enrutar el tráfico a la interfaz
correcta en el cortafuegos.
Instalar y ejecutar el software de cliente VPN SSL se realiza como parte del proceso de registro de los usuarios que acceden al servidor de
seguridad a través de un navegador web. El software de cliente basado en Windows se descarga automáticamente a través del navegador
directamente desde el servidor de seguridad.
SSL VPN con PPPoE
Cuando se utiliza PPPoE como el método de conexión con el servidor de seguridad NetDefend por la Internet pública, es posible
tener SSL VPN fuction través de la conexión PPPoE.
Esto se hace mediante la creación del túnel VPN SSL para que el Interfaz externa propiedad del objeto túnel VPN SSL se specifed ser
un objeto de configuración PPPoE lugar de una interfaz Ethernet físico. Configuración de un objeto de interfaz de PPPoE se describe
en Sección 3.4.4, “PPPoE”.
9.6.2. Configuración de SSL VPN en NetDefendOS
Para configurar la VPN SSL en NetDefendOS, una Interfaz SSL VPN objeto debe ser definida para cada interfaz en la que se realizan
las conexiones. Las propiedades de objeto son las siguientes:
Opciones generales
• Nombre
Un nombre descriptivo para el objeto utilizado para la visualización en la configuración NetDefendOS.
• IP interna
Este es el número de IP dentro del túnel que los clientes VPN SSL se conectarán.
Todos los clientes que se conectan a la interfaz de objeto VPN SSL se asignan una IP de la interfaz de SSL VPN IP Pool. Todas
las direcciones de la piscina, así como la IP interna deben pertenecer a la misma red y éstas definir la relación entre el
firewall y los clientes que se conectan.
Una red IP privada se debe utilizar para este propósito. los IP interna sí no debe ser una de las
IP Pool direcciones que pueden ser entregados a la conexión de los clientes VPN SSL.
Consejo: La IP interna se puede hacer ping
Para solucionar problemas, un ICMP Silbido puede ser enviado a la IP interna dirección. Para que NetDefendOS sean
capaces de responder, una regla IP debe existir permite que el tráfico fluya desde la interfaz de VPN SSL para núcleo ( en
otras palabras, a NetDefendOS sí mismo).
• Interfaz externa
La interfaz en la que al escuchar los intentos de conexión SSL VPN. Esto podría ser una física
467
9.6.2. Configuración de SSL VPN en Capítulo 9. VPN
NetDefendOS
interfaz Ethernet, pero también podría ser otra interfaz lógica. Por ejemplo, una interfaz de PPPoE podría ser utilizado.
Nota
En la versión NetDefendOS actual, la interfaz externa no puede ser una VLAN

interfaz.
• Servidor IP
La dirección IP en la interfaz de escucha en el que se escucha para SSL VPN intentos de conexión de los clientes. Este será
típicamente una dirección IPv4 pública que se accede inicialmente a través de un navegador web a través de la Internet pública.
los Servidor IP se debe especificar y no por defecto a la IP de la Interfaz externa.
• Puerto de servicio
El puerto TCP / IP en el Servidor IP usado en la escucha de SSL VPN intentos de conexión de los clientes. El valor por defecto es 443
que es el número de puerto estándar para SSL.
Opciones de IP de los clientes
• Dirección Dynamic Server
En lugar de una dirección IP fija para la VPN SSL Servidor IP siendo entregados a los clientes, esta opción hace que sea posible para
entregar una Nombre de dominio completo ( FQDN) en su lugar.
Por ejemplo, el FQDN se puede especificar como server.some-domain.com. Cuando un cliente se conecta a la interfaz VPN SSL,
este FQDN se entrega al cliente que luego se resuelve el FQDN utilizando DNS a una dirección IP específica. Esto permite que la
dirección del servidor para cambiar dinámicamente con sólo la entrada DNS está cambiando.
Si se especifica esta opción, el Servidor IP en Opciones generales anteriormente se ignora.
• IP Pool
Como se describió anteriormente, direcciones IP de cliente para las nuevas conexiones VPN SSL se entregan a partir de un conjunto de
direcciones IPv4 privadas. Esta piscina es especificado por un objeto dirección IP definida en el libro de direcciones NetDefendOS. Es no lo
mismo que una IP Pool objeto utilizado con IPsec.
El conjunto de direcciones no tienen que ser un rango continuo, pero deben pertenecer a la misma red. los IP interna enumerados anteriormente
también deben pertenecer a esta red, pero no debe ser una de las IPs de la piscina.
• DNS primario
La dirección DNS primaria entregado a un cliente que se conecta.
• DNS secundario
La dirección DNS secundario entregado a un cliente que se conecta.
Añadir Opción de rutas
• Proxy ARP
De manera que los clientes VPN SSL se pueden encontrar mediante una red conectada a otra interfaz Ethernet, las direcciones IP del
cliente deben ser explícitamente ARP publicó en esa interfaz.
Esta Agregar ruta opción permite que las interfaces para la publicación ARP para ser elegidos. En la mayoría de las situaciones
468
9.6.3. Instalación del cliente de VPN SSL Capítulo 9. VPN
será necesario elegir al menos una interfaz en la que la publicación de la red del cliente.
9.6.3. Instalación del cliente de VPN SSL
Para la VPN SSL funcione, una aplicación propietaria cliente VPN SSL D-Link debe estar instalado en el equipo cliente. Esto se
realiza con los siguientes pasos:
1. Un navegador web debe ser abierta y el protocolo https: // hay que introducir en el navegador
ámbito de la navegación seguido de la dirección IP o URL de la interfaz Ethernet en el servidor de seguridad que está configurado para
SSL VPN.
La dirección IP será la misma que la Servidor IP configurado en la interfaz de VPN SSL objeto. El puerto también se puede
especificar después de la dirección IP si es diferente del valor por defecto de
443.
Con https, el servidor de seguridad enviará un certificado al navegador que no está firmado CA y esto debe ser aceptada como una
excepción por el usuario antes de continuar.
2. NetDefendOS ahora muestra un cuadro de diálogo de inicio de sesión en el navegador.
3. Las credenciales introducidas se comparan con la base de datos de usuario. Si el usuario es autenticado, una página web se muestra
que ofrece dos opciones:
yo. Descargar el software del cliente SSL VPN D-Link
Si esta opción no ha sido elegido antes, se debe seleccionar en primer lugar para instalar la aplicación propietaria cliente VPN
SSL de D-Link.
ii. Conectar el cliente VPN SSL
Si el software de cliente ya está instalado, al seleccionar esta opción se inicia el funcionamiento del cliente y un túnel VPN SSL se
establece para el servidor de seguridad. Esto se discute a continuación con más detalle.
Figura 9.4. VPN SSL Navegador de opciones de conexión
Al ejecutar el software de cliente de VPN SSL
Un túnel VPN SSL se establece siempre que se ejecute la aplicación cliente de VPN SSL de D-Link. A la inversa, el túnel es
bajado cuando la aplicación deja de funcionar.
Hay dos maneras para que el túnel que se establezca:
• Para iniciar sesión mediante el uso de un navegador web para navegar a la interfaz VPN SSL como se ha descrito anteriormente. Una vez
instalado el software de cliente, sólo se selecciona la opción para establecer el túnel.
• Una vez instalado el software de cliente, se puede iniciar seleccionándolo en Windows comienzo menú. A continuación se abre la interfaz de
usuario del cliente de VPN SSL, se introduce la contraseña de usuario y cuando DE ACUERDO se pulsa el túnel se establece y cualquier
aplicación de ordenador cliente puede hacer uso de ella.
469
Figura 9.5. El SSL VPN Client Login
La diferencia entre los dos enfoques anteriores es que cuando el software cliente VPN SSL se inicia accediendo a la interfaz VPN
SSL, la configuración correcta para el túnel se descargan en el software de cliente de VPN SSL y se almacena como el cliente de archivo
de configuración.
Siempre que estos ajustes no han cambiado entre las sesiones de túnel, es posible iniciar la VPN SSL de software de cliente en
funcionamiento seleccionándolo en el comienzo menú y la conexión a la misma interfaz de VPN SSL. En particular, el cliente VPN SSL
comprueba el certificado usado por la interfaz de VPN SSL comparando una huella digital del certificado almacenado en el archivo de
configuración con una huella digital enviado por la interfaz.
La razón para comprobar el certificado de esta manera es que resuelve el "hombre en el medio" problema cuando un tercero
malintencionado podría tratar de interceptar las comunicaciones entre el servidor de seguridad y el cliente.
Conexión de servidor personalizado
Cuando se inicia el software de cliente de VPN SSL, es posible conectarse a una interfaz VPN SSL en un servidor de seguridad
NetDefend que no se ha conectado anteriormente. Esto se hace activando la opción
Especificar servidor personalizado y especificar explícitamente la dirección IP, el puerto y las credenciales de acceso para el servidor.
Con el Especificar servidor personalizado opción activada, el cliente VPN SSL ignora los parámetros del archivo de configuración previamente
descargados por una conexión VPN SSL establecida mediante la interfaz web. En particular, no se comprueba el certificado utilizado por el
La desventaja del uso de la opción de servidor personalizado es que no hay ninguna comprobación de certificados y el "hombre en el medio" sigue
siendo un problema.
Transferencia cliente Estadística
Cuando el cliente VPN SSL está funcionando, un icono para que aparezca en la bandeja del sistema. Al hacer clic en este icono se abrirá la interfaz
que se reflejan los del cliente de datos transferidos desde configuración del túnel.
470
Figura 9.6. Las estadísticas de clientes VPN SSL
Operación de cliente SSL VPN
Siempre que la aplicación cliente de VPN SSL se ejecuta, ocurre lo siguiente:
• Una ruta se añade a la tabla de enrutamiento de Windows. Esta ruta es equivalente a un valor predeterminado NetDefendOS todas las redes de ruta.
• La ruta por defecto añadido dirige todo el tráfico desde el cliente de Windows a través del túnel SSL.
Cuando termina la aplicación cliente de VPN SSL de Windows, el túnel SSL se cierra y se elimina la ruta predeterminada en la tabla de
enrutamiento de Windows, volviendo la tabla de enrutamiento a su estado original.
• Una conexión SSL está hecho a la interfaz Ethernet configurado en un servidor de seguridad NetDefend y la siguiente dirección IP
disponible, se entrega al cliente del inventario de IPs del SSL VPN de objeto asociado.
Además, se añade una única ruta para el cliente a la mesa NetDefendOS de enrutamiento. Esta ruta asigna la dirección IP
del cliente entregado a la interfaz VPN SSL asociado.
• Ahora el tráfico puede fluir entre el cliente y el servidor de seguridad, sujeto a las reglas NetDefendOS IP.
Especificación de Reglas IP para el flujo de tráfico
No hay reglas IP deben especificarse para la configuración de un túnel VPN SSL en sí, siempre que la configuración avanzada SSLVPNBeforeRules
está habilitado. Sin embargo, las normas de PI apropiadas necesitan ser especificado por el administrador para permitir que el tráfico fluya a
través del túnel.
Dado que las conexiones VPN SSL se originan en el lado del cliente, el objeto de interfaz de VPN SSL debe ser la interfaz de origen de la
norma IP y la red de origen debe ser el rango de posibles direcciones IP que los clientes se pueden dar. Especificación de la red de
origen como todas las redes de haría de trabajo del curso pero siempre más seguro para usar el rango de direcciones IP más estrecho
posible.
Para obtener más información sobre la especificación de las normas de PI ver Sección 3.6, “Reglas IP”.
Limpieza de cliente
En caso de que la aplicación cliente de VPN SSL interrumpir prematuramente por alguna razón, la tabla de enrutamiento de Windows no se puede
dejar en un estado coherente y la añade automáticamente todas las redes de ruta no puede
471
9.6.4. Ejemplo de configuración Capítulo 9. VPN
se han eliminado.
Para remediar este problema, el software del cliente SSL VPN D-Link debe iniciarse seleccionándolo en Windows comienzo menú y
luego se detuvo.
9.6.4. Ejemplo de configuración
Ejemplo 9.13. Configuración de una VPN SSL Interfaz
Este ejemplo muestra cómo configurar una nueva interfaz llamada SSL VPN my_sslvpn.
Suponga que la interfaz física IF2 será utilizado para escuchar las conexiones de clientes y esto tendrá una dirección IP externa ya definido en la libreta
de direcciones llamado sslvpn_server_ip. Las conexiones se realizan utilizando SSL VPN a un servidor ubicado en la red conectada a la década de
firewall if3 interfaz Ethernet.
Supongamos también que las direcciones IPv4 que pueden ser entregados a los clientes se definen en el objeto de la libreta de direcciones
sslvpn_pool. Esto podría contener el rango de direcciones sencilla 10.0.0.2-10.0.0.9.
Otro libro objeto Dirección IP sslvpn_inner_ip a continuación, podría ser establecido como 10.0.0.1 y esta es la IP interna del extremo NetDefendOS del túnel.
1. Crear una VPN SSL de línea de
comandos objeto de interfaz
GW-mundo: /> añadir la interfaz SSLVPNInterface my_sslvpn

InnerIP = sslvpn_inner_ip
IPAddressPool = sslvpn_pool
OuterInterface = If2 IPDeServidor =
sslvpn_server_ip ProxyARPInterfaces =
IF3
Nota: Si se necesitan múltiples interfaces proxy ARP, que se especifican como una lista separada por comas. Por ejemplo:
If3, IF4, IF5.
Interfaz web
1. Ir a: Interfaz VPN Interfaces> SSL VPN Interfaz> Añadir> SSL
2. Ahora ingrese:
• Especificar un nombre adecuado, por ejemplo my_sslvpn_if
• IP interno: sslvpn_inner_ip
• Interfaz externa: IF2
• Servidor IP: sslvpn_server_ip
• Piscina IP: sslvpn_pool
3. Haga clic en la pestaña Agregar ruta
4. Seleccione el if3 interfaz en el Disponible lista y pulse el botón ">>" para moverlo a la Seleccionado lista
2. Crear una línea de comandos de regla
interfaz de autenticación
GW-mundo: /> añadir UserAuthRule SSLVPNInterface ssl_login

AuthSource = Interfaz Local = my_sslvpn_if
OriginatorIP = all-redes LocalUserDB =
lannet_auth_users Agente = SSL
TerminatorIP = sslvpn_server_ip Name =

ssl_login
472
9.6.4. Ejemplo de configuración Capítulo 9. VPN
Interfaz web
1. Ir a: Autenticación de usuario> Autenticación de Usuarios Reglas> Añadir> regla de autenticación de usuario
2. Ahora ingrese:
• Nombre: ssl_login
• Agente: L2TP / PPTP / VPN SSL
• Interfaz: my_sslvpn_if
• IP de origen: todas las redes de (un rango más específico es más seguro)
• Terminator IP: sslvpn_server_ip
3. Para DB de usuario local escoger lannet_auth_users.
4. Para Tipo de inicio de sesión escoger HTMLForm
La nueva configuración NetDefendOS ahora debe desplegarse.
Para la conexión del cliente externo, un navegador web debe ser dirigida a la dirección IP my_sslvpn_if. Esto se hace escribiendo la dirección IP real o el uso
de una dirección URL que pueden resolverse en la dirección IP.
473
9.7. CA servidor de acceso Capítulo 9. VPN
9.7. CA servidor de acceso
Visión de conjunto
La validación de certificados se puede hacer accediendo a una separada Servidor de certificación servidor (CA). Por ejemplo, las dos caras de un
intercambio de túnel IPsec sus certificados durante la negociación de la configuración del túnel y cualquiera de ellos puede entonces intentar validar
el certificado recibido.
Un certificado contiene una dirección URL (la Punto de distribución CRL) que especifica la validación de acceso al servidor y el servidor de CA se lleva
a cabo utilizando un HTTP OBTENER solicitar con una respuesta HTTP. (Esta URL se denomina más correctamente un FQDN - Nombre de dominio
completo.)
Tipos de servidores CA
servidores de CA son de dos tipos:
• Un servidor de CA comercial operado por una de las empresas comerciales habilitados para expedir certificados. Estos son accesibles a través de
Internet pública y sus nombres completos de dominio se pueden resolver a través del sistema de servidor DNS de Internet público.
• Un servidor de CA privada operada por la misma organización de la creación de los túneles VPN. La dirección IP de un servidor
privado no será conocido por el sistema DNS público a menos que explícitamente se ha registrado. Tampoco se conoce a una red
interna a menos que se ha registrado en un servidor de DNS interno.
Consideraciones de acceso
Las siguientes consideraciones deben ser tenidas en cuenta para el acceso del servidor de CA para tener éxito:
• Ambos lados de un túnel VPN puede emitir una solicitud de validación a un servidor de CA.
• Para una solicitud de validación de certificados a emitir, el FQDN del servidor de CA del certificado primero debe resolverse en una
dirección IP. Los siguientes escenarios son posibles:
1. El servidor de CA es un servidor privado detrás del firewall y NetDefend los túneles se establecen a través de Internet
pública, sino a los clientes que no tratará de validar el certificado enviado por NetDefendOS.
En este caso, la dirección IP del servidor privado sólo necesita estar registrado en el servidor DNS privada por lo que el nombre de
dominio completo se puede resolver. Este servidor DNS privado también tendrá que ser configurado en NetDefendOS por lo que se
puede encontrar cuando NetDefendOS emite una solicitud de validación. Este será también el procedimiento si los túneles se están
estableciendo en su totalidad internamente sin el uso de la Internet pública.
2. El servidor de CA es un servidor privado con túneles creados por la Internet pública y con los clientes que tratan de
validar el certificado recibido del NetDefendOS. En este caso se debe hacer lo siguiente:
a. Un servidor DNS privada debe estar configurado de manera que NetDefendOS puede encontrar el servidor de CA privada para validar
los certificados procedentes de los clientes.
segundo. La dirección IP externa del NetDefend Firewall necesita ser registrado en el sistema DNS público, por lo que la
referencia al nombre de dominio completo del servidor de CA privado en certificados enviados a los clientes puede ser
resuelto. Por ejemplo, NetDefendOS puede enviar un certificado a un cliente con un FQDN que es ca.company.com y
esto tendrá que ser resoluble por el cliente a una dirección IP externa pública de los Firewall NetDefend por el sistema
DNS público.
474
Los mismos pasos se deben seguir si el otro lado del túnel es otro servidor de seguridad en lugar de ser muchos clientes.
3. El servidor de CA es un servidor comercial en Internet pública. En este sentido, el caso más simple, los servidores DNS públicos
va a resolver el FQDN. El único requisito es que NetDefendOS tendrán que tener al menos una dirección de servidor DNS
público configurado para resolver los FQDN de los certificados que recibe.
• Debe ser también posible que un HTTP PONER solicitud para pasar de la fuente de solicitud de validación (ya sea el Firewall
NetDefend o un cliente) al servidor de CA y una respuesta HTTP para ser recibido. Si la solicitud se va a pasar a través del servidor de
seguridad NetDefend, las reglas apropiadas en el conjunto de reglas NetDefendOS IP deben ser definidas para permitir este tráfico a
través.
normas de propiedad intelectual no son necesarios si NetDefendOS sí que emite la petición al servidor de CA. Las acciones tomadas por
NetDefendOS son de confianza por defecto. Esta es una regla general que también se aplica a las solicitudes de resolución de DNS emitidos por
NetDefendOS.
Figura 9.7. Certificado de componentes de validación
CA servidor de acceso de clientes
En un túnel VPN con la itinerancia clientes que se conectan a la NetDefend Firewall, el software de cliente VPN puede necesitar para acceder
al servidor de CA. No todo el software cliente VPN tendrá este acceso. En los clientes de Microsoft anteriores a Vista, CA peticiones del
servidor no se envían en absoluto. Con la validación de Microsoft Vista se convirtió en el valor por defecto con la opción de desactivarlo. Otros
clientes que no son de Microsoft difieren en su forma de trabajar, pero la mayoría van a intentar validar el certificado.
475
La colocación de servidores de CA privados
La solución más sencilla para la colocación de un servidor de CA privada es tenerlo en la parte no protegida de la NetDefend Firewall. Esto, sin
embargo, no es recomendable desde el punto de vista de la seguridad. Es mejor colocarlo en el interior (o preferentemente en la zona de
distensión, si está disponible) y tener acceso a ella el control NetDefendOS.
Como se explicó anteriormente, la dirección del servidor de CA privada debe poder resolverse a través de servidores DNS públicos para
las solicitudes de validación de certificados procedentes de la Internet pública. Si las consultas de certificados vienen sólo de la NetDefend
Firewall y el servidor de CA está en el lado interno del cortafuegos entonces la dirección IP del servidor DNS interno debe configurarse en
NetDefendOS de manera que estas solicitudes se pueden resolver.
Desactivación de la validación
Como se explica en la sección de solución de problemas, la identificación de problemas con el acceso al servidor CA se pueden hacer
apagando el requisito para validar los certificados. Intentos de acceso a los servidores de CA por NetDefendOS se pueden desactivar con la desactivar
las CRL opción para los objetos de certificados. Esto significa que la comprobación contra la lista de revocación del servidor de CA se
apagará y no se trató el acceso al servidor.
476
9.8. Solución de problemas de VPN Capítulo 9. VPN
9.8. Solución de problemas de VPN
Esta sección se ocupa de cómo solucionar los problemas comunes que se encuentran con VPN.
9.8.1. Solución de problemas generales
En todos los tipos de VPN algunos controles básicos de solución de problemas se pueden hacer:
• Compruebe que todas las direcciones IP se han especificado correctamente.
• Compruebe que todas las claves pre-compartidas y nombres de usuario / contraseñas se han introducido correctamente.
• uso de ICMP Silbido para confirmar que el túnel está trabajando. Con los clientes de itinerancia esto se hace mejor haciendo ping a la dirección
IP interna de la interfaz de red local en el servidor de seguridad NetDefend de un cliente (en LAN a LAN configuraciones ping a que se podría
hacer en cualquier dirección). Si NetDefendOS es responder a un ping a continuación, la siguiente regla debe existir en el conjunto de reglas IP:
Permitir vpn_tunnel todas las redes de núcleo todas las redes de ICMP
• Asegúrese de que otra túnel IPsec definición no está impidiendo que se llegó a la definición correcta. La lista túnel se escanea de
arriba a abajo por NetDefendOS y un túnel en una posición más alta con el Red remota ajustado a todas las redes de y el Punto
final remoto ajustado a ninguna podría impedir que se alcance el túnel correcto. Un síntoma de esto es a menudo una Incorrecta
clave precompartida mensaje.
• Trate de evitar la duplicación de direcciones IP entre la red remota que se accede por un cliente y la red interna al
que pertenece un cliente de uso móvil.
Si un cliente móvil se convierte temporalmente en parte de una red tal como una red Wi-Fi en un aeropuerto, el cliente obtendrá
una dirección IP desde el servidor DHCP de la red Wi-Fi. Si ese IP también pertenece a la red detrás del Firewall NetDefend
accesible a través de un túnel, a continuación, Windows todavía seguirá asumiendo que la dirección IP se encuentra en la red
local del cliente. Windows no lo hará, por tanto, correctamente encaminar los paquetes con destino a la red remota a través del
túnel, pero en cambio ellos ruta a la red local.
La solución a este problema de la duplicación dirección IP local / remoto es crear una nueva ruta en la tabla de enrutamiento de
Windows del cliente que explícitamente rutas dirección IP del túnel.
• Si la autenticación de usuarios en itinerancia cliente no está pidiendo a los usuarios por su nombre de usuario / contraseña y asegurarse de que
las siguientes configuraciones avanzadas están habilitadas:
• Antes de Reglas IPsec para los clientes de itinerancia puros IPsec.
• L2TP Antes de Reglas para L2TP clientes móviles.
• PPTP Antes de Reglas PPTP para clientes de uso móvil.
Estos ajustes deben ser activadas por defecto y se aseguran de que el tráfico de autenticación de usuario entre NetDefendOS y el
cliente puede pasar por alto el conjunto de reglas IP. Si el ajuste apropiado no está activada, una norma explícita necesita ser
añadido a la norma IP configurada para permitir que el tráfico de autenticación pase entre los clientes móviles y NetDefendOS. Esta
regla tendrá una interfaz de destino de núcleo ( lo que significa NetDefendOS sí mismo).
• Si se especifica el punto final remoto como una URL, asegúrese de que la cadena de URL es precedido por el prefijo DNS :. Si, por ejemplo,
el punto extremo remoto del túnel debe ser especificado como vpn.company.com,
esto debe ser especificado como DNS: vpn.company.com.
477
9.8.3. IPsec Comandos de solución de Capítulo 9. VPN
problemas
9.8.2. Certificados de solución de problemas
Si los certificados se han utilizado en una solución VPN a continuación, la siguiente debe ser considerado como una fuente de problemas potenciales:
• Compruebe que los certificados correctos se han utilizado para los fines adecuados.
• Compruebe que el certificado. cer y. llave archivos tienen el mismo nombre de archivo. Por ejemplo, my_cert.key
y my_cert.cer.
• Compruebe que los certificados no han expirado. Certificados tienen una duración específica y cuando este expire no se pueden
utilizar y nuevos certificados deben ser emitidos.
• Compruebe que la fecha y la hora NetDefendOS está definida correctamente. Si la hora y fecha del sistema es incorrecto entonces certificados
pueden aparecer como vencido cuando, en realidad, no lo son.
• Considerar las cuestiones de husos horarios con certificados generados recientemente. La zona horaria del NetDefend Firewall puede no ser
la misma que la zona horaria del servidor de CA y el certificado aún no puede ser válido en la zona local.
• Desactivar CRL (lista de revocación) la comprobación para ver si el acceso del servidor de CA podría ser el problema. problemas de servidor de
CA se discuten en el Sección 9.7, “CA servidor de acceso”.
9.8.3. IPsec Comandos de solución de problemas
Una serie de comandos se puede utilizar para diagnosticar túneles IPsec:
los ipsecstat comando de la consola
ipsecstat se puede utilizar para demostrar que túneles IPsec han establecido correctamente. Un ejemplo representativo de salida es:
GW-mundo: /> ipsecstat
- - - IPsec:
Viendo una línea por SA-haz
túnel IPsec Red local Net remoto GW remoto

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
L2TP_IPSec 214.237.225.43 84.13.193.179 84.13.193.179
IPsec_Tun1 192.168.0.0/24 172.16.1.0/24 82.242.91.203
Para examinar la primera fase de la negociación IKE de uso configuración del túnel:
GW-mundo: /> ipsecstat -ike
Para obtener detalles completos de uso configuración del túnel:
GW-mundo: /> ipsecstat -u -v
Advertencia: Tenga cuidado al usar la opción de todo -num =
Al utilizar los comandos relacionados con IPsec, si hay un gran número de túneles a continuación, evitar el uso de la - num
= ALL opción ya que esto va a generar correspondientemente grandes cantidades de salida.
Por ejemplo, con un gran número de túneles de evitar el uso de:
478
9.8.4. Error de interfaz de gestión con VPN Capítulo 9. VPN
GW-mundo: /> ipsecstat -num = all
Otro ejemplo de lo que debe evitar con muchos túneles es:
GW-mundo: /> ipsectunnels -num = all
En estas circunstancias, el uso de la opción con un pequeño número, por ejemplo - num = 10,
es recomendado.
los ikesnoop comando de la consola
Un problema común con la configuración de IPsec es una lista de algoritmos propuestos que es inaceptable para el dispositivo en el otro extremo
del túnel. los ikesnoop comando es una herramienta útil para el diagnóstico de las listas de propuestas algoritmo incompatibles, mostrando los
detalles de las negociaciones durante la configuración del túnel. La forma básica de este comando es:
GW-mundo: /> ikesnoop -on -verbose
Una vez emitido, un ICMP silbido entonces se pueden enviar a la NetDefend Firewall desde el extremo remoto del túnel. Esto causará ikesnoop a los
detalles de salida de la negociación de la configuración del túnel a la consola y cualquier lista de incompatibilidades propuesta algoritmo puede ser
visto.
Si hay varios túneles de una instalación o varios clientes en un solo túnel, la salida de
verboso opción puede ser abrumador. Por lo tanto, es mejor especificar que la salida proviene de un único túnel especificando
la dirección IP del punto final del túnel (esto es o bien la IP del extremo remoto o la dirección IP de un cliente). El comando
toma la forma:
GW-mundo: /> ikesnoop -on <dirección IP> -verbose
Ikesnoop se puede desactivar con el comando:
GW-mundo: /> ikesnoop -off
Para una discusión más detallada de este tema, véase Sección 9.4.5, “Solución de problemas con ikesnoop”.
9.8.4. Error de interfaz de gestión con VPN

Si cualquier túnel VPN está configurado y entonces la interfaz de gestión ya no funciona, entonces es probable que sea un problema
con el tráfico de gestión de ser encaminado a través del túnel VPN en lugar de la interfaz correcta.
Esto ocurre cuando una ruta se establece en la tabla de enrutamiento principal que cualquier rutas de tráfico de
todas las redes de a través del túnel VPN. Si la interfaz de administración no se alcanza por el túnel VPN a continuación, el administrador
debe crear una ruta específica que el tráfico de la interfaz de administración rutas dejando el NetDefend Firewall de nuevo a la sub-red de
gestión.
Cuando se define cualquier túnel VPN, una todas las redes de ruta se define automáticamente en la tabla de enrutamiento para que el administrador
siempre debe establecer una ruta específica para la interfaz de gestión para encaminar correctamente.
9.8.5. Mensajes de error específicos
En esta sección se ocupará de los mensajes de error específicos que pueden aparecer con VPN y lo que indican. Los mensajes analizados
son:
1. No se pudo encontrar propuesta aceptable / no propuesta elegida.
479
9.8.5. Mensajes de error específicos Capítulo 9. VPN
2. clave incorrecta pre-compartida.

3. Ike_invalid_payload, Ike_invalid_cookie.
4. Payload_Malformed.
5. No se encontró la clave pública.
1. No se pudo encontrar propuesta aceptable / ninguna propuesta elegida
Este es el mensaje de error relacionado con IPsec más común. Esto significa que dependiendo de qué lado inicia la configuración del túnel, las
negociaciones, ya sea en el IKE o la fase de configuración de IPSec fracasaron ya que no fueron capaces de encontrar una propuesta de asignación
que ambas partes puedan acordar.
Solución de problemas de este mensaje de error puede estar involucrado ya que las razones para este mensaje puede ser múltiples dependiendo de
donde en la negociación se ha producido.
• Si la negociación falla durante la fase-1 - IKE
La lista de propuestas de IKE no coincide. Vuelva a comprobar que la lista propuesta IKE coincide con el de la parte remota. Una buena
idea es utilizar el ikesnoop verbosa Del comando CLI y obtener el túnel para iniciar el túnel desde el lado remoto. A continuación, puede
ver qué propuestas el lado remoto está enviando y luego comparar los resultados con la lista local propuesta IKE. Al menos una de las
propuestas tiene que coincidir para que pase a la fase-1. Recuerde que el tiempo de vida también son importantes, como se ha
mencionado en el problema de los síntomas-1.
• Si la negociación falla durante la fase 2 - IPsec
La lista de propuestas de IPsec no coincide. Vuelva a comprobar que la lista propuesta IPsec coincide con el de la parte remota.
El mismo método descrito anteriormente de la utilización de ikesnoop se puede utilizar desde el momento en el lado remoto
inicia el túnel y compararlo con la lista propuesta local. ¿Qué es "extra" en la fase de IPsec es que las redes se negocian aquí,
así que incluso si la lista de propuestas IPsec parece a la altura, el problema puede estar en las redes no coincidentes. La red
local (s) en un lado tiene que ser la red remota en el otro lado y viceversa. Recuerde que las múltiples redes generarán
múltiples de IPsec SA, una SA por la red (o host si se utiliza esta opción). El tamaño de la red definida también es importante,
ya que debe ser exactamente el mismo tamaño en ambos lados, como se mencionará más adelante en la sección síntomas.
También hay algunos ajustes en la ficha de IKE del túnel IPsec que pueden estar involucrados en un tema elegido sin propuesta. Por
ejemplo, PFS (para la fase IPsec) o Grupo DH (para la fase de IKE).
2. clave incorrecta pre-compartida
Un problema con la clave pre-compartida a ambos lados ha causado la negociación del túnel falle. Este es quizás el más fácil de todos los
mensajes de error para solucionar problemas ya que puede ser una sola cosa, y que es incorrecto clave pre-compartida. Doble compruebe que
la clave pre-compartida es del mismo tipo (frase de contraseña o Hex-key) y se añadió correctamente en ambos lados del túnel.
Otra razón de por qué NetDefendOS detecta que la clave pre-compartida es incorrecta podría deberse a que el túnel está provocando mal
durante las negociaciones del túnel. túneles IPsec se procesan desde la parte superior a la parte inferior de la lista túnel NetDefendOS y se
emparejan inicialmente contra la pasarela remota. Un ejemplo es si hay un túnel que utiliza la itinerancia todas las redes de como su puerta
de enlace remota. Este túnel se disparará antes del túnel previsto si se coloca encima de él en la lista de túnel NetDefendOS.
Por ejemplo, considere las siguientes definiciones túnel IPSec:
Nombre Red local Red remota Puerta de enlace remota
VPN-1 Lannet office1net office1gw
L2TP ip_wan todas las redes de todas las redes de
480
9.8.5. Mensajes de error específicos Capítulo 9. VPN
Desde el túnel L2TP en la tabla anterior está por encima del túnel VPN-3, un partido activará antes
VPN-3 debido a la todas las redes de pasarela remota ( todas las redes de coincidirá con cualquier red). Dado que estos dos túneles utilizan
diferentes claves compartidas, NetDefendOS generarán un " clave pre-compartida incorrecta"
mensaje de error.
El problema se resuelve si reordenar la lista y se mueven VPN-3 encima L2TP. La salida office3gw
será entonces emparejado correctamente y VPN-3 será el túnel seleccionado por NetDefendOS.
3. Ike_invalid_payload, Ike_invalid_cookie
En este caso, el motor de IPsec en NetDefendOS recibe un paquete IPSec IKE pero es incapaz de hacerlo coincidir contra un IKE existente.
Si un túnel VPN se establece únicamente en un lado, esto puede ser el mensaje de error resultante cuando el tráfico llega de un
túnel que no existe. Un ejemplo sería si, por alguna razón, el túnel sólo ha bajado desde el lado del iniciador pero el terminador
todavía lo ve como arriba. A continuación, intenta enviar paquetes a través del túnel, pero cuando llegan a la iniciador caerá ellos
desde ningún túnel juego se pueden encontrar.
Basta con quitar el túnel desde el lado que cree que todavía es hasta resolver el problema inmediato. Se recomienda una
investigación de por qué el túnel sólo se bajó de un lado. Podría ser que DPD y / o Mantener viva se utiliza solamente en un
lado. Otra posible causa podría ser que a pesar de que ha recibido una BORRAR paquete, no ha borrado / elimina el túnel.
4. Payload_Malformed
Este problema es muy similar a la clave incorrecta pre-compartida problema descrito anteriormente. Una posible razón es que el PSK es del
tipo incorrecto de cualquier lado (contraseña o clave hexadecimal).
Verificar que el mismo tipo está siendo utilizado en ambos lados del túnel IPsec. Si un lado está usando Hex y la otra frase de contraseña,
entonces esto es muy probablemente el mensaje de error que se generará.
5. No se encontró la clave pública
Este es un mensaje de error muy común cuando se trata de túneles que utilizan certificados para la autenticación.
Solución de problemas de este mensaje de error puede ser muy difícil, ya que la posible causa del problema puede ser bastante extensa. También es
muy importante tener en cuenta que cuando se trata de certificados puede haber una necesidad de combinar la ikesnoop salida con mensajes de
registro normales como ikesnoop no da que una amplia información acerca de los certificados, mientras que los registros normales pueden
proporcionar pistas importantes en cuanto a lo que podría ser el problema.
Una buena sugerencia antes de comenzar a solucionar los túneles basada en certificados es configurar primero como un túnel PSK y
luego verificar que se puede establecer con éxito. A continuación, pasar a la utilización de certificados (a menos que el tipo de
configuración impide que).
Las posibles causas de los problemas con los certificados pueden ser los siguientes:
• El certificado a cada lado no está firmado por el mismo servidor de CA.
• tiempo de validez de un certificado ha caducado o aún no se ha convertido válida. Este último puede ocurrir si el reloj está configurado
incorrectamente en el servidor de CA o el NetDefend servidor de seguridad o que se encuentran en diferentes zonas horarias.
• El NetDefend Firewall es incapaz de alcanzar el Lista de revocación de certificados ( CRL) en el servidor de CA con el fin de verificar si el
certificado es válido o no. Vuelva a comprobar que la ruta CRL es válido en las propiedades del certificado. (Tenga en cuenta que el uso
de la función de CRL se puede apagar.)
481
9.8.6. Los síntomas específicos Capítulo 9. VPN
También asegúrese de que hay un cliente DNS configurado para NetDefendOS con el fin de ser capaz de resolver correctamente la
ruta al LCR en el servidor de CA.
Nota: L2TP con Microsoft Vista
Con L2TP, Microsoft Vista intenta de manera predeterminada para contactar y descargar la lista CRL, mientras que Microsoft
XP no lo hace. Esto se puede desactivar en Vista.
• Si existen varios túneles similares o itinerancia y hay una necesidad de separarlos utilizando listas de ID, una posible causa puede ser que
ninguna de las listas de ID coincide con las propiedades del certificado de usuario que se conecta. O bien el usuario no está autorizado o las
propiedades del certificado que están mal en el cliente o la lista de identificación necesita ser actualizado con este usuario / información.
• Con L2TP, el certificado de cliente se importa en el almacén de certificados incorrecto en el cliente de Windows. Cuando el cliente se
conecta, se está utilizando el certificado incorrecto.
9.8.6. Los síntomas específicos
Hay dos síntomas específicos que serán discutidos en esta sección:
1. El túnel sólo puede iniciarse desde un lado.

2. El túnel es incapaz de ser establecido y la ikesnoop comando informa de un problema Xauth al modo de configuración, aunque
Xauth no se utiliza.
1. El túnel sólo puede iniciarse desde un lado
Este es un problema común y se debe a una falta de coincidencia del tamaño de la configuración de por vida en la lista (s) propuesta de red
y / o local o remoto.
Para solucionar esto, es necesario examinar la configuración de la red local, la red remota, IKE lista de propuestas y la lista de propuestas
de IPsec en ambos lados para tratar de identificar una miss-match.
Por ejemplo, supongamos que los siguientes ajustes de IPsec son en cada extremo de un túnel:
• Lado a
Red Local = 192.168.10.0/24 red

remota = 10.10.10.0/24
• lado B
Red Local = 10.10.10.0/24 red remota =

192.168.10.0/16
En este escenario, se puede observar que la red remota definida en lado B es mayor que el definido para Lado a' S de red
local. Esto significa que Lado a sólo puede iniciar el túnel hacia el éxito
El sitio B como su red es menor.
Cuando lado B intenta iniciar el túnel, Lado a lo rechazará porque la red es más grande que lo que se define. La razón por
la que funciona al revés se debe a una red más pequeña se considera más seguro y será aceptada. Este principio también
se aplica a los cursos de la vida en las listas de propuestas.
2. No se puede configurar con el modo de configuración y obtener una Xauth mensajes espurios
El motivo de este mensaje es básicamente "No propuesta elegida". El caso en el que esto va a aparecer es
482
cuando hay algo que falla en términos de tamaño de la red, ya sea en la red local o red remota. Desde NetDefendOS ha determinado que es
un tipo de problema de tamaño de la red, se intentará un último intento de conseguir el correcto de la red mediante el envío de una solicitud
al modo de configuración.
Mediante el uso ikesnoop cuando las dos partes inician el túnel, que debe ser simple para comparar la red que ambas partes están
enviando en fase-2. Con esa información, debería ser posible detectar el problema de la red. Puede ser el caso que se trata de una falta de
coincidencia tamaño de la red o que no coincide en absoluto.
483
484
Capítulo 10. Gestión de Tráfico
En este capítulo se describe cómo NetDefendOS pueden gestionar el tráfico de red.
• Traffic Shaping, página 485
• IDP Traffic Shaping, página 506
• Reglas de umbral, página 511
• Servidor de equilibrio de carga, página 514
10.1. Traffic Shaping

QoS con TCP / IP
Una debilidad de TCP / IP es la falta de una verdadera Calidad de servicio ( QoS) funcionalidad. QoS es la capacidad de garantizar y
limitar el ancho de banda de red para ciertos servicios y usuarios. Soluciones como la
Servicios Diferenciados ( Diffserv), la arquitectura se han diseñado para tratar de lidiar con el problema de calidad de servicio en redes de gran tamaño
mediante el uso de la información en las cabeceras de paquetes para proporcionar dispositivos de red con información de QoS.
Soporte NetDefendOS Diffserv
NetDefendOS soporta la arquitectura de servicios diferenciados de las siguientes maneras:
• NetDefendOS envía los 6 bits que componen el Diffserv Servicios diferenciados Point Code ( DSCP), así como la
copia de estos bits de tráfico de datos dentro de túneles VPN a los paquetes de encapsulación.
• Como se describe más adelante en este capítulo, DSCP bits pueden ser utilizados por el subsistema de conformación de tráfico NetDefendOS
como base para priorizar el tráfico que pasa a través de la NetDefend Firewall.
Es importante entender que la modulación del tráfico NetDefendOS no añade nueva información en forma de paquetes de servicios diferenciados
atraviesan un NetDefend Firewall. La conformación del tráfico NetDefendOS prioridades
descrito más adelante en este capítulo son para el tráfico de la conformación dentro de sólo NetDefendOS y no se traducen en información Diffserv que
se añade a continuación a los paquetes.
La solución Traffic Shaping
Arquitecturas como Diffserv sin embargo, se quedan cortas si las aplicaciones mismos suministran la red con información de calidad de servicio.
En la mayoría de las redes no suele ser conveniente dejar que las aplicaciones, los usuarios de la red, deciden la prioridad de su propio tráfico.
Si los usuarios no se puede confiar en el equipo de red a continuación, debe tomar las decisiones sobre las prioridades y la asignación de ancho
de banda.
NetDefendOS proporciona un control de calidad de servicio al permitir que el administrador aplicar límites y garantías para el tráfico de
red que pasa por el NetDefend Firewall. Este enfoque se refiere a menudo como
la modulación del tráfico y es muy adecuado para la gestión de ancho de banda para redes de área local, así como a la gestión de los cuellos de
botella que se pueden encontrar en las redes de área extensa. Se puede aplicar a cualquier tráfico, incluidas las que pasa a través de túneles
VPN.
485
10.1.2. Asignación de tráfico en Capítulo 10. Gestión de Tráfico
NetDefendOS
Traffic Shaping Objetivos
conformación de tráfico funciona midiendo y haciendo cola los paquetes IP con respecto a un número de parámetros
configurables. Los objetivos son:
• La aplicación de límites de ancho de banda y gestión de colas paquetes que exceden los límites configurados, a continuación, enviarlos más
tarde, cuando las demandas de ancho de banda son más bajos.
• Dejar caer los paquetes si búferes de paquetes están llenos. Los paquetes para ser entregados deben ser elegidos entre aquellos que son
responsables de la congestión.
• Priorización de tráfico de acuerdo con las decisiones del administrador. Si el tráfico se incrementa la máxima prioridad, mientras que una línea de
comunicación está llena, el tráfico con una prioridad baja puede limitarse temporalmente para hacer espacio para el tráfico de mayor prioridad.
• Proporcionar garantías de ancho de banda. Esto se realiza típicamente por tratamiento de una cierta cantidad de tráfico (la cantidad
garantizada) como de alta prioridad. El tráfico que está por encima de la garantía a continuación, tiene la misma prioridad que el resto del
tráfico, compitiendo con todo el resto del tráfico no priorizado.
la modulación del tráfico no suele trabajar por la cola inmensas cantidades de datos y luego la clasificación de la tráfico
priorizado para enviar antes de enviar el tráfico no priorizado. En lugar de ello, la cantidad de tráfico priorizado se mide y el
tráfico no priorizado se limita dinámicamente de forma que no interfiera con el caudal de tráfico priorizado.
Nota: La asignación de tráfico no funcionará con el SIP ALG
Cualquier conexión de tráfico que provocan una regla IP con un objeto de servicio que utiliza el SIP ALG no pueden ser también
sujetos a la modulación del tráfico.
10.1.2. Asignación de tráfico en NetDefendOS
NetDefendOS ofrece capacidades de modelado de tráfico extensos para los paquetes que pasan a través de la NetDefend Firewall. Diferentes
límites de velocidad y las garantías de tráfico se pueden crear como las políticas basadas en la fuente del tráfico, destino y protocolo, similar a la
forma en que las políticas de seguridad se crean basándose en las normas de PI.
Los dos componentes clave para la formación de tráfico en NetDefendOS son:
• Tubería
• Reglas de tuberías
Tubería
UN Tubo es el objeto fundamental de la modulación del tráfico y es un canal conceptual a través del cual puede fluir el tráfico de datos. Tiene
varias características que definen cómo se maneja el tráfico que pasa a través de él. Como muchas tuberías que se requieran pueden ser
definidos por el administrador. Ninguno se definen por defecto.
Las tuberías son simplistas en que no se preocupan por los tipos de tráfico que pasan a través de ellos, ni la dirección de ese tráfico.
Ellos simplemente miden los datos agregados que pasa a través de ellos y luego se aplican al administrador límites configurados para la
tubería en su conjunto o para precedencias y / o grupos
(Estos conceptos se explican más adelante en Sección 10.1.6, “precedencias”).
NetDefendOS es capaz de manejar cientos de tubos al mismo tiempo, pero en realidad la mayoría de los escenarios requieren sólo un puñado de
pipas. Es posible que podrían ser necesarias decenas de tubos en escenarios donde se utilizan tubos individuales para los protocolos individuales. Un
gran número de tubos también podrían ser necesarios en un escenario de proveedor de Internet donde las tuberías individuales se asignan a cada
cliente.
486
10.1.2. Asignación de tráfico en Capítulo 10. Gestión de Tráfico
NetDefendOS
Reglas de tuberías
Uno o mas Reglas de tuberías compensar las NetDefendOS Conjunto de reglas tubería que determinan qué tráfico fluirá a través del cual las tuberías.
Cada regla tubería se define como las políticas de otros NetDefendOS secuirity: especificando el origen / destino / interfaz de red, así como el
servicio al que la regla es aplicable. Una vez que se permite una nueva conexión por el conjunto de reglas IP, el conjunto de reglas tubería se
comprueba entonces para cualquier regla de tubería correspondiente.
reglas de tubería se comprueban en la misma forma que las normas de PI, yendo de arriba a abajo (primera a la última) en el conjunto de reglas. La
primera regla que coincide, en su caso, decide si la conexión está sujeto a la modulación del tráfico. Tenga en cuenta que cualquier conexión que no
active una norma tubería no estarán sujetos a la modulación del tráfico y potencialmente podría utilizar todo el ancho como quiera.
Nota: No hay reglas de tubería están definidos por defecto
El conjunto de reglas para las reglas de tubería está inicialmente vacía sin reglas definidas por defecto. Al menos una regla debe
ser creado para el modelado de tráfico para comenzar a funcionar.
Cadenas de reglas tubería
Cuando se define una regla de tuberías, las tuberías para ser utilizado con esa regla también se especifican y se colocan en una de dos listas en la
regla de la tubería. Estas listas son:
• La cadena FORWARD
Estos son la tubería o tuberías que se utiliza para el tráfico de salida (salida) de la NetDefend Firewall. Uno, ninguno o una serie
de tubos pueden ser especificados.
• La cadena de Retorno
Estos son los tubo o tubos que se utilizará para el tráfico entrante (llegando). Uno, ninguno o una serie de tubos pueden ser
especificados.
Figura 10.1. Reglas de tubería determinar el uso de tuberías
Los tubos que se van a utilizar se especifican en una Lista de tubo. Si sólo se especifica un tubo de continuación, que es el tubo cuyas
características se aplicará al tráfico. Si no se especifica una serie de tubos entonces estos
487
10.1.3. La limitación de ancho de banda sencilla Capítulo 10. Gestión de Tráfico
formará una Cadena de tuberías por las que pasará el tráfico. Una cadena puede estar compuesta de un máximo de 8 tubos.
Excluyendo explícitamente Traffic Shaping de
Si no se especifica una tubería en una lista de reglas de tubería entonces el tráfico que desencadena la regla no fluirá a través de cualquier tubería.
También significa que el tráfico de activación no será objeto de ninguna de las reglas de tubería coincidente que se pueden encontrar más adelante en
el conjunto de reglas.
Esto proporciona un medio para excluir explícitamente de tráfico particular de la modulación del tráfico. Dicha regulación no sea absolutamente
necesario, pero si se coloca al principio del conjunto de reglas tubería, pueden protegerse de la modulación del tráfico accidental por reglas posteriores.
Tuberías no funcionará con FwdFast Reglas IP
Es importante entender que la modulación del tráfico no va a funcionar con el tráfico que fluye es como resultado de desencadenar una FwdFast regla
de IP en los conjuntos de reglas NetDefendOS IP.
La razón de esto es que la modulación del tráfico se lleva a cabo mediante el uso de las NetDefendOS motor de estado
que es el subsistema de que se ocupa del seguimiento de conexiones. FwdFast las normas de PI no establecen una conexión en el motor de
estado. En su lugar, los paquetes se considera que no es parte de una conexión y se transmiten de forma individual a su destino, sin pasar
por el motor de estado.
Figura 10.2. FwdFast Reglas de derivación Traffic Shaping
10.1.3. La limitación de ancho de banda sencilla
El uso más simple de los tubos es de ancho de banda limitante. Esto también es un escenario que no requiere mucha planificación. El ejemplo
que sigue se aplica un límite de ancho de banda para el tráfico de entrada única. Esta es la dirección más probable que cause problemas para las
conexiones a Internet.
Ejemplo 10.1. La aplicación de un límite de ancho de banda simple
Comenzar con la creación de un simple tubo que limita todo el tráfico que se pasa a través de él a 2 megabits por segundo, independientemente de lo que el tráfico
es.
GW-mundo: /> Poner Pipa std-en LimitKbpsTotal = 2000
488
10.1.4. La limitación de ancho de banda en ambas Capítulo 10. Gestión de Tráfico
direcciones
Interfaz web
1. Ir a: Gestión del Tráfico> Traffic Shaping> Tubo> Añadir> Pipe
2. Especificar un nombre adecuado para la tubería, por ejemplo std-in
3. Introduzca 2000 en el Total cuadro de texto debajo Límites de tuberías
El tráfico debe ser pasado a través de la tubería y esto se hace mediante el uso de la tubería en una regla de tuberías.
Vamos a utilizar el tubo de arriba para limitar el tráfico entrante. Este límite se aplicará a los paquetes de datos reales, y no las conexiones. En la modulación del
tráfico que estamos interesados en la dirección de que los datos se están arrastrando los pies, no qué equipo inició la conexión.
Crear una regla simple que permite a todo, desde el interior, salir. Añadimos la tubería que hemos creado para el
cadena volver. Esto significa que los paquetes que viajan en el dirección de retorno de esta conexión (de fuera a dentro) debe pasar a través de la std-in tubo.
GW-mundo: /> añadir PipeRule ReturnChain = std-in

SourceInterface = lan SourceNetwork =
Lannet DestinationInterface = wan
DestinationNetwork = all-redes de servicio
= all_services Name = Saliente
Interfaz web
1. Ir a: Gestión del Tráfico> Traffic Shaping> Agregar> Regla de tuberías
2. Especificar un nombre adecuado para la tubería, por ejemplo salientes
4. En el marco del Traffic Shaping pestaña, hacer std-in seleccionado en el cadena de retorno controlar
Esta configuración limita todo el tráfico desde el exterior (Internet) a 2 megabits por segundo. No hay prioridades se aplican, ni ningún equilibrio dinámico.
10.1.4. La limitación de ancho de banda en ambas direcciones
El uso de un solo tubo para ambos sentidos
Un solo tubo no le importa en qué dirección el tráfico a través de él fluye cuando calcula total a lo largo. Utilizando el
mismo tubo para el tráfico entrante y saliente está permitido por NetDefendOS pero esto no va a dividir el límite de
tubería exactamente en dos entre las dos direcciones.
En el ejemplo anterior solamente el ancho de banda en la dirección de entrada es limitada. En la mayoría de las situaciones, esta es la dirección en
la que se llena en primer lugar. Pero ¿y si el tráfico saliente debe limitarse de la misma manera?
489
10.1.5. La creación de límites diferenciados Uso de Capítulo 10. Gestión de Tráfico
Cadenas
simplemente insertando std-in en la cadena hacia adelante no va a funcionar ya que, probablemente, queremos que el límite de 2 Mbps
para el tráfico saliente a estar separado del límite de 2 Mbps para el tráfico entrante. Si 2 Mbps de tráfico saliente intenta fluir a través de la
tubería, además de 2 Mbps de tráfico de entrada, el total de intentar fluir es de 4 Mbps. Dado que el límite de tubería es de 2 Mbps, el flujo
real estará cerca de 1 Mbps en cada dirección.
Para elevar el límite total de la tubería a 4 Mbps no resolverá el problema, ya que la única tubería no sabrá que 2 Mbps de entrada y
de salida de 2 Mbps son los límites previstos. El resultado podría ser de 3 Mbps y 1 Mbps de salida entrantes ya que esto también se
suma a 4 Mbps.
El uso de dos tuberías separadas en vez
La forma recomendada para el control de ancho de banda en ambas direcciones es utilizar dos tubos separados, uno para entrada y otro
para el tráfico saliente. En el escenario en discusión cada tubo tendría un límite de 2 Mbps para lograr el resultado deseado. El siguiente
ejemplo va a través de la configuración de este.
Ejemplo 10.2. La limitación de ancho de banda en ambas direcciones
Crear un segundo tubo para el tráfico saliente:
GW-mundo: /> Poner Pipa std de salida LimitKbpsTotal = 2000
Interfaz web
1. Ir a: Gestión del Tráfico> Traffic Shaping> Tubo> Añadir> Pipe
2. Especifique un nombre para la tubería, por ejemplo, std de salida
3. Introduzca 2000 en Total caja de texto
Después de crear una tubería para el control de ancho de banda saliente, añadirlo a la cadena de tubería de avance de la regla creada en el ejemplo anterior:
GW-mundo: /> establecer PipeRule de salida ForwardChain = std-cabo
Interfaz web
1. Ir a: Gestión de Tráfico> Traffic Shaping> Reglas de tuberías
2. Haga clic en la regla de tubería que se creó en el ejemplo anterior y seleccione Editar
3. En el marco del Traffic Shaping pestaña, seleccione std de salida en el adelante cadena lista
Este resultado en todas las conexiones salientes se limitan a 2 Mbps en cada dirección.
10.1.5. La creación de límites diferenciados Uso de Cadenas
En los ejemplos anteriores se aplicó un límite de tráfico estático para todas las conexiones salientes. ¿Y si el objetivo es limitar la navegación
web más de otro tipo de tráfico? Supongamos que el límite de ancho de banda total es de 250 kbps y 125 kbps de que va a ser asignado a la
navegación web tráfico entrante.
490
10.1.6. precedencias Capítulo 10. Gestión de Tráfico
La solución incorrecta
Dos tubos de "Surfing" para el tráfico entrante y saliente se podría establecer. Sin embargo, no se requiere generalmente para limitar el tráfico de salida
ya que la mayoría navegación en la web por lo general consiste de solicitudes de servidor saliente cortas seguidas de respuestas entrantes largos.
UN surf-en Por lo tanto, la tubería se crea por primera vez para el tráfico entrante con un límite de 125 kbps. A continuación, una nueva regla de
tubo está configurado para el surf que utiliza el surf-en tubo y se coloca antes de la regla que dirige todo lo demás a través de la std-in tubo.
Que el tráfico web surf manera pasa por el surf-en tubería y todo lo demás está a cargo de la regla y el tubo creado anteriormente.
Por desgracia, esto no va a conseguir el efecto deseado, que es la asignación de un máximo de 125 kbps a tráfico entrante surf
como parte del total de 250 kbps. El tráfico entrante pasará a través de uno de dos tubos: uno que permite 250 kbps, y uno que
permite 125 kbps, dando un total posible de 375 kbps de tráfico de entrada, pero esto supera el límite real de 250 kbps.
La solución correcta
Para proporcionar la solución, crear una cadena del surf-en tubo seguido de la std-in pipa en la regla de tubería para navegar por el
tráfico. El tráfico entrante surf ahora pasará primero a través surf-en y se limita a un máximo de 125 kbps. A continuación, pasará a través
de la std-in tubería, junto con el resto del tráfico entrante, que se aplicará a los 250 kbps límite total.
Figura 10.3. Límites diferenciadas Uso de Cadenas
Si el surf utiliza el límite total de 125 kbps, 125 kbps esos ocuparán la mitad de la std-in tubería dejando 125 kbps para el resto del tráfico.
Si no hay surf está teniendo lugar a continuación, todos los 250 kbps a través permitidos std-in estará disponible para el resto del tráfico.
Esto no proporciona una garantía de ancho de banda para la navegación web, sino que lo limita a 125 kbps y 125 kbps ofrece una garantía para
todo lo demás. Para la navegación web las reglas normales de primero en llegar, primero se reenvía se aplicará cuando compiten por el ancho
de banda de 125 kbps. Esto puede significar 125 kbps, pero también puede significar velocidad mucho más lenta si se inunda la conexión.
Configuración de tubos de esta manera sólo pone límites a los valores máximos de determinados tipos de tráfico. No da prioridades a los
diferentes tipos de tráfico que compiten.
491
10.1.6. precedencias
La precedencia por defecto es cero
Todos los paquetes que pasan a través de tuberías de conformación de tráfico NetDefendOS tienen una Precedencia. En los ejemplos hasta el
momento, precedencias no se han establecido de forma explícita y por lo tanto todos los paquetes han tenido la misma prioridad por defecto que es 0.
Puede haber hasta 8 niveles de precedencia
Ocho precedencias existen que se numeran de 0 a 7. Precedencia 0 es la precedencia menos importante (prioridad más baja) y
7 es la prioridad (prioridad más alta) más importante. Una prioridad puede ser vista como una cola separada del tráfico; tráfico
de prioridad 2 se remitirá antes que el tráfico en precedencia 0, precedencia 4 transmitió antes de 2.
Figura 10.4. Los ocho precedencias de tuberías
Prioridad precedencia es relativa
La prioridad de una precedencia viene del hecho de que es más alto o más bajo que otro precedencia y no desde el propio número.
Por ejemplo, si se utilizan dos precedencias en un escenario de conformación de tráfico, la elección de precedencias 4 y 6 en lugar
de 0 y 3 voluntad hace ninguna diferencia para el resultado final.
La asignación de prioridad a los de tráfico
La precedencia forma en que se asigna al tráfico se especifica en la regla de tubo de disparo y se puede hacer en una de tres maneras:
• Usar la prioridad del primer tubo
Cada tubo tiene una Precedencia por defecto y los paquetes toman la prioridad por defecto de la primera tubería que pasan a través.
• Utilice una precedencia fijo
La regla tubería provocando asigna explícitamente una prioridad fija.
• Utilizar los bits DSCP
Tomar la precedencia de los bits DSCP en el paquete. DSCP es un subconjunto de la arquitectura de servicios diferenciados, donde la Tipo
de servicio ( ToS) bits se incluyen en la cabecera del paquete IP.
492
Especificación de precedencias dentro de las cañerías
Cuando se configura un tubo, una Precedencia defecto, un Precedencia mínimo y una Precedencia máximo se puede especificar. Las
precedencias por defecto son:
• Precedencia mínima: 0
• Precedencia por defecto: 0
• Prioridad máxima: 7
Como se describió anteriormente, la Precedencia por defecto es la precedencia tomada por un paquete si no se asigna explícitamente por una regla de
tubería.
El precedencias mínimo y máximo definen el rango de precedencia que la tubería se manejar. Si un paquete llega con una
precedencia ya asignados por debajo del mínimo, entonces su prioridad se cambia al mínimo. Del mismo modo, si un
paquete llega con una precedencia ya asignados por encima del máximo, su prioridad se cambia al máximo.
Para cada tubo, los límites de ancho de banda separadas pueden especificarse opcionalmente para cada nivel de precedencia. Estos límites se pueden
especificar en kilobits por segundo y / o paquetes por segundo (si ambos se especifican a continuación, el primer límite alcanzado será el límite
utilizado).
Consejo: Especificación de ancho de banda
Recuerde que al especificar los anchos de banda de tráfico de red, el prefijo Kilo medio
1000 y NO 1024. Por ejemplo, 3 Kbps medio 3000 bits por segundo.
Del mismo modo, el prefijo Mega significa un millón en un contexto de ancho de banda de tráfico.
Límites de precedencia son también las garantías
Un límite de precedencia es tanto un límite y una garantía. El ancho de banda especificado para precedencia también garantiza que el ancho de
banda estará disponible a expensas de precedencias inferiores. Si se excede el ancho de banda especificado, el exceso de tráfico corresponde
a la prioridad más baja. La prioridad más baja tiene un significado especial que se explica a continuación.
El más bajo ( Mejor esfuerzo) Precedencia
La precedencia que es el mínimo (prioridad más baja) precedencia tubo tiene un significado especial: actúa como el Mejor Esfuerzo
precedencia. Todos los paquetes procesados en esta prioridad siempre serán procesados en una base "primero en llegar, primero
comunicados".
Los paquetes con una prioridad más alta que mejor esfuerzo y que superan el límite de su precedencia se transferirán
automáticamente hacia abajo en la prioridad más baja (mejor esfuerzo) y se tratan igual que otros paquetes en la precedencia
más bajo.
En la siguiente ilustración de la precedencia mínimo es 2 y la prioridad máxima es de 6. Prioridad 2 se toma como el

mejor esfuerzo precedencia.
493
Figura 10.5. Mínima y máxima del tubo de precedencia
Límites de menor precedencia
Por lo general no se necesita tener un límite especificado para el (mejor esfuerzo) precedencia más bajo desde esta precedencia simplemente utiliza
cualquier ancho de banda sobrante no utilizado por precedencias superiores. Sin embargo, un límite podría especificarse si existe la necesidad de
limitar el ancho de banda utilizado por el menor precedencia. Este podría ser el caso si un tipo particular de tráfico siempre se sale con la bu menor
precedencia necesita haber restringido el uso de banda ancha.
Precedencias Sólo se aplican cuando una tubería está llena
Precedencias no tienen ningún efecto hasta que se alcanza el límite total especificado para una tubería. Esto es así porque hasta que se alcanza el
límite de tubería (que se convierte en "lleno") no hay competencia entre precedencias.
Cuando el tubo está lleno, el tráfico se prioriza por NetDefendOS según precedencia con paquetes de prioridad más alta que no excedan el
límite de precedencia siendo enviados antes que los paquetes de prioridad inferior. paquetes de menor prioridad se almacenan temporalmente
hasta que puedan ser enviados. Si el espacio de memoria intermedia se agota luego se dejan caer.
Si no se especifica un límite total para un tubo, es lo mismo que decir que el tubo tiene un ancho de banda ilimitado y por lo tanto nunca
puede llegar a ser tan completa precedencias no tienen ningún significado.
La aplicación de precedencias
El uso continuado de la conformación de tráfico ejemplo anterior, vamos a añadir el requisito de que el tráfico de Telnet SSH y es tener una
prioridad más alta que el resto del tráfico. Para ello le añadimos una regla de tuberías específicamente para SSH y Telnet y establecer la prioridad
de la regla a ser una prioridad más alta, por ejemplo 2. Se especifica las mismas tuberías en esta nueva regla que se utilizan para otro tráfico.
El efecto de esto es que el SSH y Telnet regla fija la mayor prioridad a los paquetes relacionados con estos servicios y estos paquetes se envían a
través de la misma tubería como el resto del tráfico. El tubo entonces se asegura de que estos paquetes de mayor prioridad se envían en primer
lugar cuando se excede el límite de ancho de banda total especificado en la configuración de la tubería. paquetes de prioridad más bajos serán
tamponadas y se envían cuando el tráfico de prioridad más alta utiliza menos que el máximo especificado para el tubo. El proceso de
almacenamiento en búfer se refiere a veces como "estrangulamiento back" ya que reduce la velocidad de flujo.
494
La necesidad de garantías
No obstante, un problema puede ocurrir si el tráfico priorizado es un flujo continuo tales como audio en tiempo real, lo que resulta en un uso continuo
de toda la anchura de banda disponible y que resulta en tiempos de puesta en cola inaceptablemente largo para otros servicios como el surf, el DNS o
FTP. Se requiere un medio para garantizar que el tráfico de menor prioridad se pone una parte de ancho de banda y esto se hace con Las garantías
de ancho de banda.
El uso de precedencias como garantías
Especificando un límite para una precedencia también garantiza que hay una cantidad mínima de ancho de banda disponible para que la
precedencia. El tráfico que fluye a través de una tubería obtendrá la garantía especificado para la precedencia que tiene, a expensas de tráfico
con precedencias inferiores.
Para cambiar el SSH priorizada y el tráfico de Telnet desde el ejemplo anterior para una garantía de 96 kbps, el límite de prioridad 2 para el std-in tubería
se ajusta para que sea de 96 kbps.
Esto no quiere decir que SSH entrante y el tráfico de Telnet se limita a 96 kbps. Los límites en precedencias por encima del mejor
esfuerzo precedencia sólo se limite la cantidad del tráfico se pone en aquel prioridad específica.
Si hay más de 96 kbps de tráfico de prioridad 2 llega, cualquier exceso de tráfico se mueve hacia abajo a la mejor esfuerzo
precedencia. Todo el tráfico al mejor esfuerzo precedencia se reenvía en un primer llegado, primer remitido-base.
Nota: Un límite a la prioridad más baja, no tiene un significado
El establecimiento de un límite máximo para la precedencia más bajo (mejor esfuerzo) o cualquier precedencias inferiores no tiene
ningún significado y será ignorado por NetDefendOS.
Las garantías diferenciadas
Un problema surge si el objetivo es dar a 32 kbps específicos garantizan al tráfico telnet y específicos 64 kbps garantiza que el tráfico
SSH. Un límite de 32 kbps se podría establecer para precedencia 2, a 64 kbps límite establecido para precedencia 4 y luego pasan los
distintos tipos de tráfico a través de cada prioridad. Sin embargo, hay dos problemas obvios con este enfoque:
• La cual el tráfico es más importante? Esta cuestión no plantea un gran problema aquí, pero se hace más pronunciada a medida que
el escenario de la modulación del tráfico se hace más compleja.
• El número de precedencias es limitado. Esto puede no ser suficiente en todos los casos, incluso sin el "que el tráfico es más
importante?" problema.
La solución es crear dos nuevos tubos: uno para el tráfico telnet, y uno para el tráfico SSH, al igual que el tubo de "surf" que se creó
anteriormente.
En primer lugar, eliminar el límite de 96 kbps desde el std-in tubo, a continuación, crear dos nuevas tuberías: ssh-in y
telnet-in. Establecer la prioridad por defecto para ambas tuberías a 2, y la precedencia 2 límites a 32 y 64 kbps, respectivamente.
A continuación, dividir la regla previamente definida que cubre los puertos 22 a través de 23 en dos reglas, cubriendo 22 y
23, respectivamente:
Mantenga la cadena de avance de ambas reglas std de salida solamente. Una vez más, para simplificar este ejemplo, nos concentramos solamente en
el tráfico entrante, que es la dirección que es la más probable que sea la primera de ellas para llenar en configuraciones orientados al cliente.
Establecer la cadena de retorno de la regla de puerto 22 a ssh-in seguido por std-in.
495
10.1.7. Grupos de tuberías Capítulo 10. Gestión de Tráfico
Establecer la cadena de retorno de la regla de puerto 23 a telnet-in seguido por std-in.

Configure la asignación de prioridad para ambas normas a Usar los valores predeterminados de primer tubo; la prioridad por defecto tanto de la ssh-in
y telnet-in tuberías es 2.
El uso de este enfoque en lugar de precedencia 2 codificación dura en el conjunto de reglas, es fácil cambiar la prioridad de
todo el tráfico SSH y Telnet cambiando la prioridad por defecto de la ssh-in y
telnet-in tubería.
Nótese que no hemos fijado un límite total para el ssh-in y telnet-in tubería. Nosotros no necesitamos ya que el límite total será aplicada por
el std-in tubería en el extremo de las respectivas cadenas.
los ssh-in y telnet-in tubos actúan como un "filtro de prioridad": se aseguran de que no más de la cantidad reservada, 64 y 32
kbps, respectivamente, del tráfico de prioridad 2 alcanzará std-in. SSH y Telnet tráfico que excede sus garantías alcanzará std-in
como prioridad 0, la precedencia de mejor esfuerzo de la std-in y ssh-in tubería.
Nota: El orden de la cadena de retorno es importante
Aquí, el orden de las tuberías en la cadena de retorno es importante. Debería std-in presentarse ante ssh-in y telnet-in, a
continuación, el tráfico alcanzará std-in en el menor precedencia única y por lo tanto competir por los 250 kbps de ancho de
banda disponible con el resto del tráfico.
10.1.7. Grupos de tuberías
NetDefendOS proporciona un nivel adicional de control dentro de las tuberías a través de la capacidad de dividir el ancho de banda tubería en usuarios
de los recursos individuales dentro de una grupo y aplicar un límite y garantizar a cada usuario.
Los usuarios individuales pueden distinguirse de acuerdo con una de las siguientes:
• IP de origen
• IP de destino
• de red de origen
• Red de destino
• Puerto de origen (incluye el PI)
• Puerto de destino (incluye el PI)
• Interfaz de origen
• Interfaz de destino
Esta función está activada, permitiendo la Agrupamiento opción en una tubería. Los usuarios individuales de un grupo, entonces pueden tener un límite
y / o garantía especificado para ellos en la tubería. Por ejemplo, si la agrupación se realiza mediante la IP de origen entonces cada usuario corresponde
a cada dirección IP de origen único.
Un puerto Agrupación incluye la dirección IP
Si se selecciona una agrupación por el puerto, entonces esto también incluye implícitamente la dirección IP. Por ejemplo, el puerto 1024 de host del
equipo A no es el mismo que el puerto 1024 de ordenador anfitrión B. Es la combinación de puerto y la dirección IP que identifica un usuario único en
un grupo.
La agrupación de las redes Requiere que el tamaño
Si están agrupadas por origen o destino de red, entonces el tamaño de la red también debe especificarse En
496
es decir, la máscara de red para la red debe estar especificada en NetDefendOS.
Especificar los límites de grupo
Una vez que la forma en que se selecciona el método de la agrupación, el siguiente paso es especificar el Límites de grupo.
Estos límites pueden consistir en uno o ambos de los siguientes:
• Grupo Límite Total
Este valor especifica un límite para cada usuario dentro de la agrupación. Por ejemplo, si la agrupación es por la fuente de la dirección IP y el
total especificado es 100 Kbps, entonces esto está diciendo que no hay una dirección IP puede tomar más de 100 Kbps de ancho de banda.
• Las garantías de precedencia grupo
Además de, o como una alternativa al límite total del grupo, precedencias individuales pueden tener valores especificada. Estos
valores son, de hecho, (garantías no límites) para cada usuario en un grupo. Por ejemplo, la precedencia 3 podría tener el valor del
50 Kbps y esto está diciendo que un usuario individual (en otras palabras, cada fuente IP si esa es la agrupación seleccionada)
con la precedencia estará garantizada de 50 Kbps a expensas de precedencias inferiores.
Las precedencias para cada usuario ha de ser asignados por diferentes reglas de tubería que se disparan cuando los usuarios particulares. Por
ejemplo, si la agrupación es por IP de origen a continuación, diferentes reglas de tubería se disparará en diferentes direcciones IP y envían el
tráfico en el mismo tubo con la prioridad adecuada.
La suma de los valores de potencial de precedencia podría llegar a ser claramente mayor que la capacidad de la tubería en algunas
circunstancias, por lo que es importante especificar el límite total de la tubería cuando se utilizan estas garantías.
Combinando el Grupo Total y precedencias
El uso de precedencias de grupo y el total del grupo se puede combinar. Esto significa que:
• Los usuarios de un grupo están primero separados por reglas tubo en precedencias.
• Los usuarios de Internet están a continuación, con sujeción a las garantías especificadas para su precedencia.
• El tráfico combinado está sujeta al límite total del grupo.
La ilustración siguiente muestra este flujo donde la agrupación ha sido seleccionado para ser de acuerdo con la IP de origen.
497
Figura 10.6. Tráfico agrupados por dirección IP
Otro ejemplo grupos simple
Considerar otra situación en la que el límite de ancho de banda total para un tubo es de 400 bps. Si el objetivo es asignar este ancho de banda
entre muchas direcciones IP de destino para que ninguna sola dirección IP puede tomar más de 100 bps de ancho de banda, son necesarios los
siguientes pasos.
• Establecer el límite de tubería, como de costumbre, a ser de 400 bps.
• Selecciona el Agrupamiento opción para el tubo que tiene el valor IP de destino.
• Establecer el total de la tubería de Límites de grupo a ser de 100 bps.
Ancho de banda está atribuida a título "primero en llegar, primero comunicados" pero ninguna dirección IP de destino sola vez puede tomar
más de 100 bps. No importa cuántas conexiones están involucrados el ancho de banda total combinado todavía no puede exceder el límite
de tubería de 400 bps.
La combinación de tubo y los valores del grupo Límite de precedencia
Supongamos que la agrupación está habilitada por una de las opciones como la IP de origen y algunos valores de precedencias se han
especificado bajo Límites de grupo. ¿De qué manera estos se combinan con los valores especificados para las precedencias correspondientes en Límites
de tubería?
En este caso, el Límites de grupo valor de precedencia es una garantía y la Límites de tuberías valor para la misma precedencia es un
límite. Por ejemplo, si el tráfico se está agrupada por IP de origen y la Límites de grupo precedencia 5 valor es de 5 Kbps y la Límites de
tuberías precedencia 5 valor es de 20 Kbps, entonces después de la cuarta IP fuente única (4 x 5 = 20 Kbps) se alcanza el límite
precedencia y las garantías ya no puede ser satisfecha.
Equilibrio dinámico
En lugar de especificar un total para Límites de grupo, la alternativa es permitir que el Equilibrio dinámico
opción. Esto asegura que el ancho de banda disponible se divide en partes iguales entre todas las direcciones sin tener en cuenta
498
10.1.8. Formulación de las Capítulo 10. Gestión de Tráfico
recomendaciones de Tráfico
de cuántos hay. Esto se hace hasta el límite de la tubería.
Si también se especifica un límite total del grupo de 100 bps con el equilibrado dinámico, entonces esto todavía significa que ningún usuario individual
puede tomar más de esa cantidad de ancho de banda.
Precedencias y equilibrado dinámico
Como se discutió, además de especificar un límite total de una agrupación, los límites se pueden especificar para cada prioridad dentro de una
agrupación. Si se especifica un límite de agrupación de precedencia 2 de 30 bps, entonces esto significa que los usuarios les asigna una prioridad de 2
por una regla tubería será garantizada de 30 bps no importa cuántos usuarios están utilizando la tubería. Al igual que con precedencias de tubos
normales, el tráfico de más de 30 puntos básicos para los usuarios en prioridad 2 se mueve hacia abajo a la mejor esfuerzo precedencia.
Continuando con el ejemplo anterior, podríamos limitar la cantidad de ancho de banda garantizado a cada usuario dentro obtiene para el
tráfico SSH entrante. Esto evita que un solo usuario de usar todo el ancho de banda de alta prioridad disponible.
Primer grupo que los usuarios de la ssh-in tubería de manera límites se aplicará a cada usuario en la red interna. Ya que los paquetes son de
entrada, seleccionamos la agrupación para el ssh-in tubo que se IP de destino.
Ahora especificar límites por usuario estableciendo el límite de prioridad 2 a 16 kbps por usuario. Esto significa que cada usuario obtendrá no más
de unos 16 kbps de garantía para su tráfico SSH. Si lo desea, también podemos limitar el ancho de banda total del grupo para cada usuario a algún
valor, como por ejemplo 40 kbps.
Habrá un problema si hay más de 5 usuarios que utilizan SSH de forma simultánea: 16 kbps por 5 es más de 64 kbps. El límite total
para el tubo todavía estará en vigor, y cada usuario tendrá que competir por el ancho de banda disponible prioridad 2 de la misma
manera que tienen que competir por el ancho de banda menor precedencia. Algunos usuarios seguirán recibiendo sus 16 kbps, otros
no.
El equilibrado dinámico se puede habilitar para mejorar esta situación asegurándose de que todos los 5 usuarios obtienen la misma cantidad de
ancho de banda limitado. Cuando el quinto usuario comienza a generar tráfico SSH, balanceo disminuye el límite por usuario a cerca de 13 kbps (64
kbps dividido por 5 usuarios).
Equilibrado dinámico se lleva a cabo dentro de cada precedencia de un tubo individual. Esto significa que si los usuarios se les asigna una cierta
cantidad pequeña de tráfico de alta prioridad, y un trozo más grande de tráfico de mejor esfuerzo, todos los usuarios tendrán su participación en el
tráfico de alta prioridad, así como su participación equitativa en el tráfico de mejor esfuerzo .
10.1.8. Formulación de las recomendaciones de Tráfico
La importancia de un plazo de tuberías
Traffic Shaping sólo entra en efecto cuando una tubería NetDefendOS es completo. Es decir, se pasa tanto tráfico como el límite total
permite. Si una tubería de 500 kbps a 400 kbps está llevando de tráfico de baja prioridad y 90 kbps de tráfico de alta prioridad, entonces
hay 10 kbps de ancho de banda a la izquierda y no hay ninguna razón para desacelerar nada. Por tanto, es importante especificar un
límite total para un tubo para que sepa lo que su capacidad es y el mecanismo de precedencia es totalmente dependiente de esta.
Límites de tubería de VPN
la modulación del tráfico mide el tráfico dentro de túneles VPN. Se trata de los datos sin cifrar primas sin ninguna sobrecarga de protocolo por lo
que será menor que el tráfico real VPN. protocolos de VPN como IPSec puede agregar una sobrecarga significativa a los datos y por esta razón
se recomienda que los límites especificados en las tuberías para la conformación de circulación para el tráfico VPN se establecen en torno al
20% por debajo del ancho de banda real disponible.
Basándose en el límite de Grupo
499
10.1.9. Un resumen de Traffic Shaping Capítulo 10. Gestión de Tráfico
Un caso especial cuando no se especifica un límite total del tubo es cuando se utiliza un límite de grupo en lugar. Se coloca entonces el límite de ancho
de banda en, por ejemplo, cada usuario de una red donde los usuarios deben compartir un recurso de ancho de banda fijo. Un ISP puede utilizar este
enfoque para limitar el ancho de banda de cada usuario mediante la especificación de una agrupación "por IP de destino". Sabiendo cuando el tubo
está lleno no es importante ya que la única limitación es la disponibilidad para cada usuario. Si se utilizaron precedencias la máxima tubería tendría que
ser utilizado.
Límites no deben ser más que el ancho de banda disponible
Si los límites de tubería son más altos que el ancho de banda disponible, el tubo no sabrá cuando la conexión física ha alcanzado su
capacidad. Si la conexión es de 500 kbps, pero el límite total de la tubería se establece en 600 kbps, la tubería se cree que no es
completa y no va a estrangular precedencias inferiores.
Los límites deben ser menos de Ancho de Banda Disponible
límites de tuberías deben estar ligeramente por debajo del ancho de banda de la red. Un valor recomendado es hacer que el tubo límite del
95% del límite físico. La necesidad de esta diferencia llega a ser menos con el aumento de ancho de banda desde el 5% representa una pieza
cada vez mayor del total.
La razón para el límite inferior del tubo es como NetDefendOS procesa el tráfico. Para las conexiones de salida de los paquetes que
salen de la NetDefend Firewall, siempre existe la posibilidad de que NetDefendOS pueden sobrecargar la conexión ligeramente debido
a los retrasos de software involucrados en la decisión de enviar paquetes y los paquetes en realidad siendo despachados desde los
tampones.
Para las conexiones entrantes, hay menos control sobre lo que está llegando y lo que tiene que ser procesada por el subsistema de conformación de
tráfico y por lo tanto es más importante establecer límites de tubo ligeramente por debajo del límite de conexión real para tener en cuenta el tiempo
necesario para NetDefendOS para adaptarse a las condiciones cambiantes.
Los ataques a ancho de banda
la modulación del tráfico no puede proteger contra ataques de agotamiento de recursos entrantes, tales como ataques de denegación de servicio u
otros ataques por inundación. NetDefendOS evitará que estos paquetes extraños lleguen a los anfitriones detrás del NetDefend Firewall, pero no
puede proteger la conexión está sobrecargando si un ataque inunda.
Viendo si hay fugas
Cuando se establecen para proteger y dar forma a un cuello de botella de la red, asegúrese de que todo el tráfico que pasa por ese cuello de botella
pasa a través de las tuberías NetDefendOS definidos.
Si hay tráfico a través de la conexión a Internet que las tuberías no conocen, NetDefendOS no pueden saber
cuando la conexión a Internet se llena.
Los problemas derivados de fugas son exactamente los mismos que en los casos descritos anteriormente. Traffic "fuga" a través sin
ser medido por tuberías tendrá el mismo efecto que el ancho de banda consumido por partes fuera del control del administrador
pero que comparten la misma conexión.
Solución de problemas
Para una mejor comprensión de lo que está sucediendo en una configuración en vivo, el comando de la consola:
GW-mundo: /> -u tubo <nombáreainterc>
se puede utilizar para mostrar una lista de los usuarios actualmente activos en cada tubo.
10.1.9. Un resumen de Traffic Shaping
500
10.1.10. Más ejemplos de tuberías Capítulo 10. Gestión de Tráfico
NetDefendOS conformación de tráfico proporciona un conjunto sofisticado de mecanismos para controlar y dar prioridad a los paquetes
de red. Los siguientes puntos resumen de su uso:
• Seleccione el tráfico a través de gestionar Reglas tubería.
• Reglas de tubería enviar tráfico a través Tubería.
• Un tubo puede tener un límite, que es la cantidad máxima de tráfico permitido.
• Una tubería sólo se puede saber cuándo es completo si no se especifica un límite total de la tubería.
• Un único tubo debe manejar el tráfico en una sola dirección (aunque 2 tubos manera se permiten).
• Las tuberías pueden ser encadenados por lo que el tráfico que uno de tubería se introduce en otro tubo.
• tipos específicos de tráfico se puede dar una prioridad en una tubería.
• Prioridades se puede dar un límite máximo que es también una garantía. El tráfico que supera este será enviado a la
precedencia mínimo que también se llama la Mejor esfuerzo precedencia.
• En el mejor de precedencia esfuerzo todos los paquetes son tratados en una base "primero en llegar, primero comunicados".
• Dentro de un tubo, el tráfico también se puede separar en una Grupo base. Por ejemplo, mediante la dirección IP de origen. Cada usuario en
un grupo (por ejemplo, cada dirección IP de origen) se puede dar un límite máximo y precedencias dentro de un grupo se puede dar un límite
/ garantía.
• Un límite de la tubería no es necesario especificar si los miembros del grupo tienen un límite máximo.
• Equilibrio dinámico se puede utilizar para especificar que todos los usuarios de un grupo reciben una cantidad justa y equitativa de ancho de
banda.
10.1.10. Más ejemplos de tuberías
En esta sección se examinan algunas más escenarios y cómo la modulación del tráfico se puede utilizar para resolver problemas particulares.
Un escenario básico
El primer escenario examinará la configuración mostrada en la siguiente imagen, en el que el tráfico entrante y saliente es estar
limitada a 1 megabit por segundo.
501
Figura 10.7. Un básico Traffic Shaping Escenario
La razón de utilizar 2 tubos diferentes, en este caso, es que estos son más fáciles para que coincida con la capacidad del enlace físico. Esto es
especialmente cierto con enlaces asíncronos, tales como ADSL.
En primer lugar, dos tubos llamados en-pipe y fuera-pipe necesitar ser creada con los siguientes parámetros:
Nombre tubería min Prec Def Prec Max Prec Agrupamiento tamaño de la red límite de tubería
en-pipe 0 0 7 PerDestIP 24 1000kb
fuera-pipe 0 0 7 PerSrcIP 24 1000kb
Equilibrio dinámico debe estar habilitado para ambas tuberías. En lugar de PerDestIP y PerSrcIP podríamos haber utilizado PerDestNet
y PerSrcNet si hubo varias redes en el interior.
El siguiente paso es crear la siguiente Regla Pipe lo que obligará a que el tráfico fluya a través de las tuberías.
Nombre Tubos hacia tubos de Interfaz de Destino de red de origen Servicio

de la regla adelante retorno origen interfaz de destino
Red seleccionado
all_1mbps fuera-pipe en-pipe lan Lannet pálido todas las redes de todas
La norma obligará a todo el tráfico al nivel de precedencia defecto y las tuberías limitará el tráfico total a su límite de 1 Mbps. Teniendo Equilibrio
dinámico habilitado en las tuberías significa que todos los usuarios se asignarán una parte justa de esta capacidad.
El uso de varios precedencias
Ahora extendemos el ejemplo anterior mediante la asignación de prioridades a los distintos tipos de tráfico con el acceso a Internet desde una oficina
de la sede.
Vamos a suponer que tenemos un enlace simétrico 2/2 Mbps a Internet. De la asignación de prioridades de tráfico descendente y
requisitos a los siguientes usuarios:
• Prioridad 6 - VoIP (500 kbps)
502
• Prioridad 4 - Citrix (250 kbps)
• Prioridad 2 - Otro tráfico (1000 kbps)
• La prioridad 0 - Web Plus restante de otros niveles
Para implementar este esquema, podemos utilizar el en-pipe y fuera de la tubería. primero entramos en el Límites de tuberías para cada tubo. Estos
límites corresponden a la lista anterior y son:
• Prioridad 6 - 500
Ahora crea el Reglas de tuberías:
Nombre Tubos hacia tubos de Fuente Fuente dest dest Servicio

Prece seleccionado
de la regla adelante retorno Interfaz Red Interfaz Red dencia
web_surf fuera-pipe en-pipe lan Lannet pálido todas las redes de http_all 0
VoIP fuera-pipe en-pipe lan Lannet pálido todas las redes de H323 6
Citrix fuera-pipe en-pipe lan Lannet pálido todas las redes de Citrix 4
otro fuera-pipe en-pipe lan Lannet pálido todas las redes de Todas 2
Estas reglas se procesan de arriba a abajo y obligan a los diferentes tipos de tráfico en precedencias en base a la Servicio. objetos de servicio
personalizados pueden necesitar ser creado por primera vez con el fin de identificar los tipos particulares de tráfico. los todas servicio al final,
atrapa todo lo que cae a través de las reglas anteriores, ya que es importante que no hay tráfico no pasa por la regla de la tubería establecen
mediante tuberías de lo contrario no funcionará.
tubo de encadenamiento
Supongamos ahora el requisito es limitar la capacidad de precedencia 2 (el resto del tráfico) a 1000 kbps para que no se derrame sobre la
precedencia en 0. Esto se hace con el encadenamiento de tubería donde creamos nuevos tubos llamados en otra y fuera otra ambos con una Límite
de tubería de 1000. El otro regla de tubería se modifica para utilizar estos:
Nombre Tubos hacia tubos de Fuente Fuente dest dest Servicio

Prece seleccionado
de la regla adelante retorno Interfaz Red Interfaz Red dencia
otro fuera de otra en-otra lan Lannet pálido todas las redes de Todas 2
hacia fuera-pipe en-pipe
Tenga en cuenta que en otra y fuera otra son primero en la cadena de tubería en ambas direcciones. Esto se debe a que queremos limitar el
tráfico de inmediato, antes de que entre el en-pipe y fuera-pipe y compite con VoIP, Citrix y tráfico de navegar en la web.
Un escenario VPN
En los casos discutidos hasta ahora, todo conformación de tráfico está ocurriendo dentro de un único NetDefend Firewall. VPN se utiliza
típicamente para la comunicación entre una sede y sucursales en el que las tuberías de caso pueden controlar el flujo de tráfico en ambas
direcciones. Con VPN es el túnel que es la fuente y la interfaz de destino para las reglas de la tubería.
Una consideración importante que se ha discutido anteriormente, es asignación en el pipe total

valores para la sobrecarga utilizado por los protocolos de VPN. Como regla general, un total de tubería de 1700 bps es
503
razonable para un túnel VPN cuando la capacidad de conexión física subyacente es 2 Mbps.
También es importante recordar para insertar en el tubo de todo el tráfico no VPN utilizando el mismo enlace físico.
los el encadenamiento de tubería se puede utilizar como una solución al problema de la VPN de arriba. Un límite que permite esta
sobrecarga se coloca en el tráfico del túnel VPN y se inserta el tráfico no VPN en un tubo que coincide con la velocidad del enlace físico.
Para ello creamos primero tuberías separadas para el tráfico saliente y el tráfico de entrada. el tráfico de VoIP se enviará a través de un
túnel VPN que tendrá una alta prioridad. El resto del tráfico será enviado en el mejor esfuerzo prioridad (véase arriba para una explicación
de este término). Una vez más, vamos a suponer un 2/2 Mbps enlace simétrico.
Las tuberías requeridas serán:
• vpn-in
• Prioridad 6: VoIP 500 kbps
• Prioridad 0: Mejor esfuerzo
Total: 1700
• VPN de salida
• Prioridad 0: Mejor esfuerzo
Total: 1700
• en-pipe
Total: 2000
• fuera-pipe
Total: 2000
a continuación, se necesitan las siguientes reglas de tubería para forzar el tráfico en los tubos correctos y niveles de precedencia:
Nombre Adelante de red de dest Red de Seleccionado

de la regla Tubería RegresoTubería src Int origen Int destino Servicio prece
dencia
vpn_voip_out VPN de salida lan Lannet vpn vpn_remote_net H323 6

fuera-pipe vpn-inen-pipe
vpn_out VPN de salida lan Lannet vpn vpn_remote_net Todas 0

fuera-pipe vpn-inen-pipe
vpn_voip_in vpn-in vpn_remote_net lan Lannet H323 6

en-pipe VPN de fuera-pipe
salida vpn
vpn_in vpn-in vpn_remote_net lan Lannet Todas 0

en-pipe VPN de fuera-pipe
salida vpn
fuera fuera-pipe en-pipe lan Lannet pálido todas las redes de Todas 0
en en-pipa-pipe wan todas las redes de lan Lannet Todas 0
Con esta configuración, todo el tráfico VPN se limita a 1700 kbps, el tráfico total está limitado a 2000 kbps y
504
VoIP en el sitio remoto está garantizada 500 kbps de capacidad antes de que se ve obligado a mejor esfuerzo.
SAT con Tubos
Si se utiliza el SAT, por ejemplo, con un servidor web o servidor ftp, que el tráfico también tiene que ser forzado a tuberías o escapará de la
modulación del tráfico y la ruina de la calidad de servicio prevista. Además, el tráfico del servidor se inicia desde el exterior por lo que el orden
de los tubos tiene que ser invertido: el tubo hacia adelante es la
en-pipe y la tubería de retorno es el fuera de la tubería.
Una solución sencilla es poner una regla de "catch-all-entrante" en la parte inferior de la regla de la tubería. Sin embargo, la interfaz
externa ( pálido) debe ser la interfaz de origen para evitar la puesta en tubos de tráfico que viene desde el interior y que van a la
dirección IP externa. Por tanto, esta última regla será:
Nombre Tubos hacia tubos de Fuente dest dest dencia

de la regla adelante retorno Interfaz FuenteRed
Fuente Interfaz Red Seleccionado
Servicio prece
todo dentro en-pipe fuera-pipe pálido todas las redes de núcleo todas las redes de Todas 0
Nota: SAT y ARPed direcciones IP
Si el SAT es de una dirección IP ARPed, la pálido interfaz debe ser el destino.
505
10.2. IDP Traffic Shaping Capítulo 10. Gestión de Tráfico
10.2. IDP Traffic Shaping

los IDP Traffic Shaping característica es la modulación del tráfico que se realiza en base a la información procedente de los NetDefendOS La
detección y prevención de intrusiones ( IDP) subsistema (para más información sobre IDP ver Sección 6.5, “Detección y prevención de
intrusiones”).
Solicitud relacionada uso de ancho de banda
Un problema típico que se puede resolver con IDP Traffic Shaping se ocupa de los problemas de gestión de tráfico causados por
aplicaciones de gran ancho de banda. Un ejemplo típico de esto es el tráfico relacionado con peer-to-peer (P2P) de transferencia
de datos que incluyen cosas tales como bit torrent y
Conexión directa.
Las altas cargas de tráfico creados por transferencias P2P a menudo pueden tener un impacto negativo en la calidad del servicio para otros usuarios de
la red como el ancho de banda es absorbido rápidamente por este tipo de aplicaciones. Por lo tanto, puede ser necesario un ISP o un administrador de
red corporativa para identificar y controlar el ancho de banda consumido por estas aplicaciones y IDP Traffic Shaping puede proporcionar esta
capacidad.
La combinación de desplazados internos y Traffic Shaping
Uno de los problemas con el control de un tipo de tráfico, tales como P2P es ser capaz de distinguirlo del resto del tráfico. La base de
firmas de NetDefendOS IDP ya proporciona un medio muy eficaz para llevar a cabo este reconocimiento y como una extensión de esto,
NetDefendOS también proporciona la capacidad de aplicar estrangulamiento del tráfico a través de la conformación de NetDefendOS
subsistema cuando se reconoce el destino del tráfico.
IDP Traffic Shaping es una combinación de estas dos características, en los que los flujos de tráfico identificados por el subsistema de IDP
desencadenar automáticamente el establecimiento de formación de tráfico de tubos para controlar esos flujos.
10.2.2. Configuración de IDP Traffic Shaping
Los pasos para la configuración IDP Traffic Shaping son los siguientes:
1. Definir una regla de IDP que desencadena el destino del tráfico.
La firma IDP elegido determina qué tráfico va a ser dirigida y la firma por lo general tiene la palabra " POLÍTICA" en su
nombre, que indica que se refiere a los tipos de aplicaciones específicas.
2. Seleccionar acción de la regla de ser el Tubo opción.
Esto especifica que IDP Traffic Shaping se va a realizar en la conexión que desencadena la regla y en las conexiones
posteriores, relacionados.
3. Seleccione un ancho de banda valor para la regla.
Este es el ancho de banda total que le será permitido para el tráfico apuntado. El tráfico medido es la combinación del flujo
sobre la conexión de disparo más el flujo de cualquier conexión asociados, independientemente de la dirección de flujo.
Conexiones abiertas antes IDP desencadenado no estará sujeta a ninguna restricción.
4. Opcionalmente introducir una Ventana de tiempo en segundos.
Este será el período de tiempo después de la regla de activación durante el cual la modulación del tráfico se aplica a todas las conexiones
asociadas que se abren.
506
10.2.3. Flujo de procesamiento Capítulo 10. Gestión de Tráfico
Típicamente, una transferencia P2P comienza con una conexión inicial para permitir la transferencia de información de control seguido por un
número de conexiones de transferencia de datos a otros hosts.
Es la conexión inicial que IDP detecta y la Ventana de tiempo especifica el periodo de espera después cuando se abrirán
otras conexiones y sujeto a la modulación del tráfico. Conexiones abrieron después de la Ventana de tiempo ha expirado ya
no será sujeto a la modulación del tráfico.
UN Ventana de tiempo valor de 0 significa que sólo el tráfico que fluye a través de la conexión de activación inicial estará sujeto a la
modulación del tráfico. Cualquier conexión asociados que no desencadenan una regla IDP no estarán sujetos a la modulación del tráfico.
5. También puede indicar una Red
Si el Ventana de tiempo valor es mayor que cero, una Red se puede especificar. Este rango de direcciones IP permite al administrador
para refinar aún más las conexiones posteriores asociados con el artículo IDP provocando que estará sujeto a la modulación del tráfico.
Al menos un lado de conexión asociada tiene que estar en el rango de IP especificada para que sea incluido en la modulación del tráfico.
10.2.3. Flujo de procesamiento
Para entender mejor cómo se aplica IDP Traffic Shaping, los siguientes son los pasos del proceso que se producen:
1. Una nueva conexión se abre por un huésped a otro a través de la NetDefend Firewall y el tráfico empieza a fluir. La
dirección IP de origen y destino de la conexión es observada por NetDefendOS.
2. El tráfico que fluye en la conexión activa una regla de IDP. La regla tiene IDP Tubo como la acción por lo
el tráfico en la conexión está ahora sujeto a la limitación de tráfico de ancho de banda tubería se especifica en la norma IDP.
A continuación se establece 3. Una nueva conexión que no desencadena una regla de IDP, pero tiene una IP de origen o destino que es la
misma que la conexión que no active una norma. Si el origen o destino es también un miembro del rango de direcciones IP
especificado como Red, a continuación, el tráfico de la conexión está incluida en el tráfico de rendimiento tubo de conformación para
la conexión de disparo inicial.
Si no Red A continuación se especifica esta nueva conexión también se incluye en el tráfico de la pipa de la conexión de disparo
si la fuente o el destino partido.
10.2.4. La importancia de especificar una Red
Cualquiera de las partes puede desencadenar IDP
Después de leer la descripción de flujo de procesamiento anterior, se puede entender mejor por qué especificar una Red es importante. El
subsistema de IDP no puede saber de qué lado de una conexión que está causando una regla para disparar. A veces es el lado del cliente
y, a veces iniciar el servidor de responder. Si el flujo de tráfico en ambos lados se vuelve restringido, esto puede tener la consecuencia no
deseada de las conexiones de la conformación de tráfico que no debe ser en forma de tráfico.
Consecuencias no deseadas
Para explicar esta limitación de tráfico no deseado, considere un cliente UN que se conecta a la sede x con el tráfico P2P y desencadena una regla
de IDP con el Tubo acción para la conexión a estar sujeta a la modulación del tráfico. Ahora, si otro cliente segundo también se conecta con el
anfitrión x pero esta vez con el tráfico de navegación en la web, una regla de IDP no se dispara pero la conexión no se debe de tráfico con forma
junto con el cliente UN' s
507
10.2.5. Un escenario P2P Capítulo 10. Gestión de Tráfico
sólo porque la conexión de host x esta involucrado.
excluyendo los ejércitos
Para evitar estas consecuencias no deseadas, especificamos las direcciones IPv4 de cliente UN y el cliente segundo en el Red gama, pero no de
acogida X. Esto le dice a NetDefendOS ese host x no es relevante en la toma de una decisión sobre la inclusión de nuevas conexiones no
IDP-desencadenantes en la modulación del tráfico.
Puede parecer contrario a la intuición de que el cliente segundo También se incluye en el Red rango, pero esto se hace en el supuesto de que el
cliente segundo es un usuario cuyo tráfico también podría tener que ser en forma de tráfico si se involucran en una transferencia P2P.
Si Red No se especifica a continuación, cualquier conexión que implica ya sea cliente UN o host x estarán sujetos a la modulación del tráfico y esto
probablemente no es deseable.
10.2.5. Un escenario P2P

El esquema siguiente ilustra un escenario típico que implica la transferencia de datos P2P. La secuencia de eventos es:
• El cliente con la dirección IP 192.168.1.15 inicia una transferencia de archivos P2P a través de una conexión ( 1) al servidor de seguimiento en 81.150.0.10.
• Esta conexión activa una regla de desplazados en NetDefendOS que se configura con una firma IDP que se dirige a la aplicación
P2P.
• Los Tubo acción en la regla establece un tubo de conformación de tráfico con una capacidad especificada y se añade la conexión a la misma.
• Una conexión posterior ( 2) al host al archivo 92.92.92.92 se produce dentro de la regla de IDP Ventana de tiempo y su tráfico tanto,
es añadido a la tubería y está sujeta a la conformación.
• La red de cliente al cual 192.168.1.15 pertenece, idealmente debe ser incluido en el Red
rango de direcciones para la regla IDP.
Figura 10.8. Escenario IDP Traffic Shaping P2P
508
10.2.6. Viendo el tráfico de forma a objetos Capítulo 10. Gestión de Tráfico
10.2.6. Viendo el tráfico de forma a objetos
visualización de los ejércitos
IDP conformación del tráfico tiene un comando CLI especial asociada a ella llamada idppipes y esto puede examinar y manipular los
anfitriones que actualmente están sujetos a la modulación del tráfico.
Para mostrar todos los hosts que son modelados por el tráfico IDP Traffic Shaping, el comando sería:
GW-mundo: /> idppipes -demostrar
Anfitrión kbps Tmout

- - - - - - - - - - - - - - - - - - -
192.168.1.1 100 58
Un anfitrión, en este caso con la dirección IP 192.168.1.1, puede ser retirado de la modulación del tráfico mediante el comando:
GW-mundo: /> idppipes -unpipe -host = 192.168.1.1
Una descripción completa de la idppipes comando se encuentra en el separadas Guía de referencia de la CLI.
Viendo Tubos
IDP Traffic Shaping hace uso de objetos NetDefendOS tuberías normales que se crean automáticamente. Estos tubos se
asignan siempre la más alta prioridad y el uso de la Grupo función para el tráfico del acelerador.
Los tubos están creadas, sin embargo, ocultan al administrador cuando se examina el tráfico actualmente definido la configuración de los
objetos con la Interfaz Web, pero pueden ser examinados y manipulados mediante la CLI normales tubería mando. Por ejemplo, para
mostrar todas las tuberías definidas actualmente, el comando CLI es:
GW-mundo: /> -Mostrar tuberías
Los tubos IDP Traffic Shaping pueden ser reconocidos por su convención de denominación distintiva que se explica a continuación.
Naming tubería
nombres NetDefendOS las tuberías crea automáticamente en IDP Traffic Shaping utilizando el patrón
IDPPipe_ <ancho de banda> para tuberías con aguas arriba (hacia adelante) fluido tráfico y
IDPPipe_ <ancho de banda> R para tuberías con aguas abajo (de retorno) que fluye tráfico. Un sufijo número se anexa si se produce duplicación
de nombres.
Por ejemplo, los primeros tubos creados con un límite de 1000 kbps serán llamados IDPPipe_1000 para el tráfico de aguas arriba y aguas IDPPipe_1000R
para el tráfico de aguas abajo. Duplicados con el mismo límite obtendrían los nombres IDPPipe_1000_ (2) y IDPPipe_1000R_ (2). Si otro
conjunto de duplicados se producen, el sufijo ( 3) se utiliza.
Los tubos son compartidas
No hay una relación de 1 a 1 entre una acción IDP configurado y los tubos creados. Dos tubos son creados por valor de ancho de banda
configurado, una para el tráfico de aguas arriba (hacia adelante) y otra para tráfico de bajada (de retorno). Múltiples anfitriones utilizan el
mismo tubo para cada dirección con el tráfico en la tubería aguas arriba agrupados utilizando la función de "IP Fuente Per" y el tráfico en la
tubería aguas abajo agrupados
509
10.2.7. Garantizando en lugar de limitar Capítulo 10. Gestión de Tráfico
ancho de banda
utilizando la función de "Per IP de destino".
10.2.7. Garantizando en lugar de limitar ancho de banda

Si lo desea, IDP Traffic Shaping se puede utilizar para hacer lo contrario de la limitación de ancho de banda para ciertas aplicaciones.
Si el administrador quiere garantizar un nivel de ancho de banda, por ejemplo, 10 Megabits, para una aplicación, una regla de IDP puede ser
configurado para dar lugar para que la aplicación de la Tubo acción que especifica el ancho de banda requerido. Los tubos de conformación de
tráfico que a continuación se crean automáticamente reciben la más alta prioridad por defecto y, por tanto, se garantiza que el ancho de banda.
10.2.8. Explotación florestal
IDP Traffic Shaping genera mensajes de registro en los siguientes eventos:
• Cuando una regla con el IDP Tubo opción ha generado y del huésped o cliente está presente en el
Red distancia.
• Cuando el subsistema añade una serie que tendrá futuras conexiones bloqueadas.
• Cuando un temporizador para las conexiones de las tuberías de noticias expira, un mensaje de registro se genera lo que indica que las nuevas
conexiones hacia o desde el host ya no son por tubería.
Hay también algunos otros mensajes de registro que indican condiciones menos comunes. Todos los mensajes de registro se documentan en el Entrar
Guía de referencia.
510
10.3. Reglas de umbral Capítulo 10. Gestión de Tráfico
10.3. Reglas de umbral
Visión de conjunto
El objetivo de una Regla umbral es tener un medio de detección de la actividad conexión anormal, así como reaccionar a ella. Un
ejemplo de una causa para tal actividad anormal podría ser un host interno infectarse con un virus que está haciendo repetidas
conexiones con direcciones IP externas. Podría ser, alternativamente, alguna fuente externa al intentar abrir un número excesivo
de conexiones. (A "conexión" en este contexto se refiere a todos los tipos de conexiones, tales como TCP, UDP o ICMP,
seguidos por el estado-motor NetDefendOS).
Nota: Las reglas de umbral no están disponibles en todos los modelos NetDefend
El Umbral prestación Roles sólo está disponible en el D-Link DFL-860E NetDefend,

1660, 2560 y 2560G.
Las políticas de umbral
Una regla de umbral es igual que otras normas de política basada encuentran en NetDefendOS, una combinación de fuente / destino de
red / interfaz se puede especificar para una regla y un tipo de servicio como HTTP puede ser asociada a ella. Cada regla puede tener uno
o más Comportamiento de la misma y las que se especifican cómo manejar diferentes condiciones de umbral.
Una regla de umbral tiene los siguientes parámetros asociados a ella:
• Acción
Esta es la respuesta de la regla cuando se excede el límite. Ya sea la opción Auditoría o Proteger
puede ser seleccionado. Estas opciones se explican con más detalle a continuación.
• Agrupar por
La regla puede ser Anfitrión o Red basado. Estas opciones se explican a continuación.
• Límite
Este es el límite numérico que debe ser sobrepasada por la acción que se activará.
• Tipo de umbral
La regla se puede especificar a cualquiera de limitar el número de conexiones por segundo o limitar el número total de conexiones
simultáneas.
La limitación de la velocidad de conexión
La limitación de velocidad de conexión permite a un administrador para poner un límite en el número de nuevas conexiones que se abra a la
Firewall NetDefend por segundo.
La limitación de las conexiones totales
Conexión total Limitar permite al administrador para poner un límite en el número total de conexiones abiertas a la NetDefend
Firewall.
Esta función es extremadamente útil cuando se requieren piscinas NAT debido al gran número de conexiones generadas por los
usuarios P2P.
511
los Agrupar por Ajuste
Las dos agrupaciones permitidos son los siguientes:
• basado en host
El umbral se aplica por separado a las conexiones desde diferentes direcciones IP.
• basada en la red
El umbral se aplica a todas las conexiones que emparejan las normas como un grupo.
acciones de regla
Cuando se activa una regla de umbral son posibles una de dos respuestas:
• Auditoría
Dejar la conexión intacta, pero registrar el evento.
• Proteger
La caída de la conexión de disparo.
Logging sería la opción preferida si el valor de activación apropiado no puede ser determinado de antemano. Múltiples acciones para una
regla dada podría consistir Auditoría para un determinado umbral, mientras que la acción podría convertirse Proteger para un umbral más
alto.
Acciones disparadas múltiples
Cuando una regla se activa entonces NetDefendOS llevará a cabo las acciones de las reglas asociadas que coinciden con la condición de que se
ha producido. Si más de una acción coincide con la condición entonces esas acciones coincidentes se aplican en el orden en que aparecen en la
interfaz de usuario.
Si varias acciones que tienen la misma combinación de Tipo y La agrupación ( ver más arriba para la definición de estos
términos) se activan al mismo tiempo, se registrará sólo la acción con el valor umbral más alto.
Conexiones exentos
Cabe señalar que algunos ajustes avanzados, conocidos como antes de Reglas configuración, pueden eximir a ciertos tipos de
conexiones para la gestión remota de examen por la regla NetDefendOS IP establecer si están habilitados. Estas antes de Reglas ajustes
también eximirá a las conexiones de reglas de umbral si están habilitados.
Reglas de umbral y ZoneDefense
Reglas de umbral se utilizan en el D-Link ZoneDefense función para bloquear la fuente de attmepts de conexión excesivas de
hosts internos. Más información sobre esta característica se puede encontrar en
Capítulo 12, ZoneDefense.
Las listas negras regla de umbral
Si el Proteger opción se utiliza, reglas de umbral se puede configurar para que la fuente que provocó la
512
regla, se añade automáticamente a una Lista negra de direcciones IP o redes. Si varios Proteger acciones con las listas negras habilitada
se activan al mismo tiempo, sólo el primer desencadenan la acción listas negras será ejecutado por NetDefendOS.
Una acción basado en host con listas negras habilitada lista negra de un único host cuando se activa. Una acción basada en red con listas
negras habilitada la lista negra de la red de origen asociado con la regla. Si la regla de umbral está vinculada a un servicio, entonces es
posible bloquear solamente ese servicio.
Cuando se selecciona una lista negra, el administrador puede optar por dejar las conexiones preexistentes de la fuente de disparo no
afectado, o, alternativamente, puede optar por tener las conexiones interrumpidas por NetDefendOS.
La longitud de tiempo, en segundos, para lo cual es la lista negra la fuente también se puede ajustar.
Esta característica se discute más adelante en Sección 6.7, “Hosts y Redes listas negras”.
513
10.4. Servidor de equilibrio de carga Capítulo 10. Gestión de Tráfico
10.4. Servidor de equilibrio de carga
los Servidor de equilibrio de carga ( SLB) característica permite al administrador para difundir las solicitudes de aplicaciones cliente a través de una serie
de servidores mediante el uso de las normas de PI con una Acción de SLB_SAT.
SLB es una poderosa herramienta que puede mejorar los siguientes aspectos de las aplicaciones de red:
• Actuación
• escalabilidad
• Confiabilidad
• Facilidad de administración
El principio del beneficio SLB de compartir la carga entre varios servidores puede mejorar no sólo el rendimiento de las aplicaciones,
sino también la escalabilidad facilitando la aplicación de un conjunto de servidores (a veces conocido como granja de servidores) que
puede manejar muchas más solicitudes que un único servidor.
Nota: SLB no está disponible en todos los modelos D-Link NetDefend
La característica SLB sólo está disponible en el D-Link DFL-860E NetDefend, 1660, 2560 y 2560G.
La siguiente ilustración muestra un típico escenario SLB, con acceso a Internet a las aplicaciones internas del servidor clientes
externos siendo gestionado por un NetDefend Firewall.
514
10.4.2. Algoritmos de distribución de SLB Capítulo 10. Gestión de Tráfico
Figura 10.9. Una configuración de equilibrio de carga de servidor
Beneficios adicionales de SLB
Además de mejorar el rendimiento y la escalabilidad, SLB proporciona otros beneficios:
• SLB aumenta la fiabilidad de las aplicaciones de red mediante la vigilancia activa de los servidores que comparten la carga.
NetDefendOS SLB puede detectar cuando un servidor falla o se congestiona y no dirigir más solicitudes a ese servidor hasta que
se recupere o tiene menos carga.
• SLB puede permitir a los administradores de red realizar tareas de mantenimiento en los servidores o aplicaciones sin interrumpir los
servicios. servidores individuales se pueden reiniciar, actualizar, eliminar o reemplazados, y los nuevos servidores y aplicaciones se
pueden añadir o mover sin afectar al resto de la comunidad de servidores, o derribar aplicaciones.
• La combinación de monitoreo de red y compartición de carga distribuida también proporciona un nivel adicional de protección
contra Negación de servicio ( DoS).
Consideraciones sobre la implementación SLB
Los siguientes temas deben ser considerados cuando se despliega SLB:
• Al otro lado de la cual los servidores es la carga ha de ser equilibrada.
• Qué algoritmo SLB será utilizado.
• Voluntad "pegajosidad" se utiliza.
• ¿Qué método de monitoreo será utilizado.
Cada uno de estos temas se discuten en las secciones que siguen.
La identificación de los Servidores
Un primer paso importante en el despliegue SLB es identificar los servidores a través del cual la carga es que ser equilibrada. Esto podría ser una granja
de servidores que es una agrupación de servidores configurado para funcionar como un único "servidor virtual". Los servidores que han de ser tratados
como se debe especificar un único servidor virtual por SLB.
10.4.2. Algoritmos de distribución de SLB
Hay varias formas de determinar cómo una carga se comparte a través de un conjunto de servidores. NetDefendOS SLB soporta los siguientes dos
algoritmos para la distribución de la carga:
Round-robin El algoritmo distribuye nuevas conexiones entrantes a una lista de servidores de manera rotativa. Para la
primera conexión, el algoritmo elige un servidor al azar, y asigna la conexión a la misma. Para las
conexiones posteriores, los ciclos de algoritmo a través de la lista de servidores y redirige la carga a los
servidores en orden. Independientemente de la capacidad y otros aspectos de cada servidor, por
ejemplo, el número de conexiones existentes en un servidor o su tiempo de respuesta, todos los
servidores disponibles se turnan para ser asignado en la próxima conexión.
Este algoritmo asegura que todos los servidores reciben un número igual de solicitudes, por lo tanto es más
adecuada para granjas de servidores donde todos los servidores tienen una capacidad igual y las cargas de
procesamiento de todas las solicitudes son probablemente similares.
Conexión de tasa Este algoritmo considera el número de peticiones que cada servidor ha sido
515
10.4.3. Selección de pegajosidad Capítulo 10. Gestión de Tráfico
recibir durante un cierto período de tiempo. Este período de tiempo se conoce como el
Ventana de tiempo. SLB envía la siguiente solicitud al servidor que ha recibido el menor número de
conexiones durante el último ventana de tiempo número de segundos.
los ventana de tiempo es un ajuste que el administrador puede cambiar. El valor por defecto es 10 segundos.
10.4.3. Selección de pegajosidad
En algunos escenarios, como con las conexiones SSL, es importante que el mismo servidor se utiliza para una serie de conexiones desde
el mismo cliente. Esto se consigue mediante la selección del apropiado pegajosidad
opción y esto puede ser utilizado ya sea con el round-robin o algoritmos de tipo de conexión. Las opciones de pegajosidad son los siguientes:
Por el estado de Distribución Este modo es el valor predeterminado y significa que no se aplica ninguna pegajosidad.
Cada nueva conexión se considera que es independiente de otras conexiones, incluso si
proceden de la misma dirección IP o red. Por lo tanto, las conexiones consecutivas
desde el mismo cliente se pueden pasar a diferentes servidores.
Esto puede no ser aceptable si el mismo servidor debe ser utilizado para una serie de
conexiones procedentes del mismo cliente. Si este es el caso, entonces se requiere
pegajosidad.
La pegajosidad Dirección IP En este modo, una serie de conexiones de un cliente específico será manejado por el
mismo servidor. Esto es particularmente importante para TLS o servicios basados en SSL,
tales como HTTPS, que requieren una conexión repetida en el mismo huésped.
red de pegajosidad Este modo es similar a la pegajosidad IP excepto que la pegajosidad puede estar
asociada con una red en lugar de una sola dirección IP. La red se especifica
indicando su tamaño como parámetro.
Por ejemplo, si el tamaño de la red se especifica como 24 ( el valor por defecto),

entonces una dirección IP 10.01.01.02 se supone que pertenecen a la red 10.01.01.00/24
y esta será la red para la que se aplica la pegajosidad.
Parámetros de pegajosidad
Si cualquiera de pegajosidad o adhesividad a la red IP está activada, los siguientes parámetros pegajosidad se pueden ajustar:
• Tiempo de inactividad
Cuando se establece una conexión, la dirección IP de origen de la conexión es recordado en una mesa. Cada entrada de la tabla se conoce
como una espacio. Después de que se crean, la entrada sólo se considera válido para el número de segundos especificado por el Tiempo de
inactividad. Cuando se hace nueva conexión, la mesa se busca en la misma IP de origen, siempre que la entrada de la tabla no ha excedido
su tiempo de espera. Cuando se encuentra una coincidencia, entonces la viscosidad asegura que la nueva conexión va al mismo servidor
que las conexiones anteriores de la misma IP de origen.
El valor predeterminado de esta configuración es 10 segundos.
• Max ranuras
Este parámetro especifica cómo existen muchas ranuras en la tabla de pegajosidad. Cuando la mesa se llena a continuación, la entrada más
antigua se descarta para dar paso a una nueva entrada a pesar de que puede ser aún válida
516
10.4.4. SLB Algoritmos y pegajosidad Capítulo 10. Gestión de Tráfico
(el Tiempo de inactividad no se ha superado).
La consecuencia de una mesa llena puede ser que la rigidez se pierde por cualquier direcciones IP de origen desechados. Por lo tanto, el
administrador debe tratar de asegurarse de que la Max ranuras parámetro se establece en un valor que puede acomodar el número
esperado de conexiones que requieren pegajosidad.
El valor predeterminado de esta configuración es 2048 ranuras en la tabla.
• tamaño neto
Los recursos de procesamiento y memoria necesarios para que coincida con las direcciones IP individuales en la aplicación de la pegajosidad
pueden ser significativos. Al seleccionar la red de pegajosidad opción de estas demandas de recursos puede ser reducido.
Cuando el red de pegajosidad opción está seleccionada, el tamaño neto parámetro especifica el tamaño de la red que debe ser
asociado con el IP fuente de nuevas conexiones. Una búsqueda en la tabla adhesividad no luego comparar las direcciones IP
individuales, sino que compara si la dirección IP de origen pertenece a la misma red como una conexión previa ya en la tabla. Si
pertenecen a la misma red a continuación, la pegajosidad al mismo servidor tendrá como resultado.
El valor predeterminado de esta configuración es un tamaño de la red de 24.
10.4.4. SLB Algoritmos y pegajosidad

En esta sección se analiza con más detalle cómo funciona la adherencia con los diferentes algoritmos SLB.
Un escenario de ejemplo se ilustra en la figura siguiente. En este ejemplo, el NetDefend Firewall es responsable de equilibrar las
conexiones de 3 clientes con diferentes direcciones a 2 servidores. La pegajosidad está activado.
Figura 10.10. Las conexiones desde tres clientes
Cuando se utiliza el algoritmo de round-robin, el primero que llega solicitudes R1 y R2 de El cliente 1 están ambas asignadas a uno Sever, di Servidor
1, de acuerdo con pegajosidad. La siguiente solicitud R3 de El cliente 2 a continuación, se encamina a El servidor 2. Cuando R4 de cliente 3 llega, Servidor
1 regrese a su vez de nuevo y se le asignará R4.
517
10.4.5. Vigilancia de la Salud del servidor Capítulo 10. Gestión de Tráfico
Figura 10.11. Pegajosidad y Round-Robin
Si se aplica el algoritmo de velocidad de conexión en su lugar, R1 y R2 será enviada al mismo servidor debido a la pegajosidad,
pero las solicitudes posteriores R3 y R4 será encaminado a otro servidor ya que el número de nuevas conexiones en cada servidor
en el lapso ventana de tiempo se cuenta en la distribución.
Figura 10.12. Adhesividad y de tipos de conexión
Sin importar qué algoritmo se elige, si un servidor se cae, el tráfico se envía a otros servidores. Y cuando el servidor vuelva a estar disponible,
puede ser colocado automáticamente de nuevo en la comunidad de servidores y comienza a recibir las solicitudes de nuevo.
10.4.5. Vigilancia de la Salud del servidor
usos SLB Vigilancia de la Salud del servidor para comprobar continuamente el estado de los servidores en una configuración SLB. SLB puede
supervisar diferentes capas del modelo OSI para comprobar el estado de cada servidor. Independientemente de los algoritmos utilizados, si un
servidor se considera que ha fallado, SLB no se abrirá más conexiones a la misma hasta que el servidor se restaura la funcionalidad completa.
D-Link Server Load Balancing ofrece los siguientes modos de monitorización:
Ping ICMP Esto funciona en la capa OSI 3. SLB será ping a la dirección IP de cada servidor individual en el conjunto de
servidores. Esto permitirá detectar cualquier servidores que han fallado.
Conexión TCP Esto funciona en la capa OSI 4. SLB intenta conectarse a un puerto especificado en cada servidor. Por
ejemplo, si se especifica un servidor que ejecuta los servicios web en el puerto 80, el SLB enviará una
solicitud TCP SYN a ese puerto. Si SLB no recibe un TCP SYN / ACK, que marcará el puerto 80 en el
servidor como abajo. SLB reconoce las condiciones no hay respuesta, respuesta normal o respuesta
puerto cerrado desde los servidores.
518
10.4.6. Configuración de reglas SLB_SAT Capítulo 10. Gestión de Tráfico
10.4.6. Configuración SLB_SAT Reglas
El componente clave en la creación de SLB son las normas de PI que tienen SLB_SAT como la acción. Los pasos que se deben seguir para la creación
de este tipo de normas son:
1. Definir un objeto de dirección IP para cada servidor para el SLB es permitido.
2. Definir un objeto de grupo de direcciones IP que incluye todos estos objetos individuales.
3. Definir una SLB_SAT regla en el conjunto de reglas IP que se refiere a este grupo de direcciones IP y donde todos
se definen otros parámetros SLB.
4. Definir una regla más que duplica la fuente / interfaz de destino / red de la SLB_SAT
norma que permita el tráfico a través de. Esta podría ser una regla o una combinación de reglas mediante las acciones:
• Permitir
• NAT
Nota: Las reglas de FwdFast no deben utilizarse con SLB
Para su correcto funcionamiento, SLB requiere que el motor de estado NetDefendOS realiza un seguimiento de las conexiones. FwdFast
normas de PI no se deben utilizar con SLB ya que los paquetes que se reenvían por estas reglas están bajo el control de motor de
estado.
La siguiente tabla muestra las reglas que se definen para un escenario típico de un conjunto de servidores web detrás del firewall
NetDefend para el cual se equilibra la carga. los Permitir regla permite a los clientes externos para acceder a los servidores web.
Nombre de la regla Tipo de regla Interfaz src src Red Dest dest interfaz de red
WEB_SLB SLB_SAT alguna todas las redes de núcleo ip_ext
WEB_SLB_ALW Permitir alguna todas las redes de núcleo ip_ext
Si hay clientes en la misma red que los servidores web que también necesitan el acceso a los servidores web a continuación, una NAT regla también
se utilizaría:
Nombre de la regla Tipo de regla Interfaz src src Red Dest dest interfaz de red
WEB_SLB SLB_SAT alguna todas las redes de núcleo ip_ext
WEB_SLB_NAT NAT lan Lannet núcleo ip_ext
WEB_SLB_ALW Permitir alguna todas las redes de núcleo ip_ext
Tenga en cuenta que la interfaz de destino se especifica como núcleo, es decir, NetDefendOS sí se ocupa de esto. La ventaja clave de tener un
separado Permitir regla es que los servidores web pueden registrar la dirección IP exacta que está generando las peticiones externas. Usando
sólo una NAT regla, que es posible, significa que los servidores web verían sólo la dirección IP del servidor de seguridad NetDefend.
Ejemplo 10.3. La creación de SLB
En este ejemplo balanceo de carga que hay que hacer entre 2 servidores web HTTP que están situados detrás de la NetDefend Firewall. Los 2
servidores web tienen las direcciones IPv4 privadas 192.168.1.10 y 192.168.1.11
respectivamente. Se utilizan los valores por defecto SLB para la vigilancia, el método de distribución y pegajosidad.
UN NAT regla se utiliza en conjunción con el SLB_SAT gobiernan para que los clientes detrás del firewall pueden tener acceso a los servidores web. Un Permitir regla se utiliza
para permitir el acceso de los clientes externos.
519
Interfaz web
A. Crear un objeto para cada uno de los servidores web:
2. Introducir un nombre adecuado, por ejemplo servidor 1
3. Introducir el Dirección IP como 192.168.1.10
5. Repita los pasos anteriores para crear un objeto llamado servidor2 para el 192.168.1.11 dirección IP
B. Crear un grupo que contiene los objetos 2 servidor web:
1. Ir a: Objetos> Contactos> Agregar> Grupo IP4
2. Introducir un nombre adecuado, por ejemplo server_group
3. Agregar servidor 1 y servidor2 al grupo
C. Especificar el SLB_SAT norma IP:
1. Ir a: Reglas> Regla IP Fija> principal> Agregar> Regla IP
2. Introduzca:
• Nombre: Web_SLB
• Acción: SLB_SAT
• Servicio: HTTP
• Red de destino: ip_ext
3. Seleccione la pestaña SAT SLB
4. Bajo Las direcciones de servidor añadir server_group a Seleccionado
D. Especificar una coincidencia NAT norma IP para clientes internos:
2. Introduzca:
• Nombre: Web_SLB_NAT
• Acción: NAT
• Servicio: HTTP
E. Especificar una Permitir norma IP para los clientes externos:
520
2. Introduzca:
• Nombre: Web_SLB_ALW
• Servicio: HTTP
521
522
Capítulo 11. Alta disponibilidad
En este capítulo se describe la característica de tolerancia a fallos de alta disponibilidad en NetDefend cortafuegos.
• Mecanismos de HA, página 525
• Configuración de HA, página 528
• HA Problemas, página 532
• Actualización de una HA Cluster, página 534
• Verificación de Enlace y HA, página 536
• HA Configuración avanzada, página 537
Los clusters de alta disponibilidad
NetDefendOS Alta disponibilidad ( HA) proporciona una capacidad de tolerancia a fallos con instalaciones NetDefend Firewall. HA funciona mediante la
adición de una copia de seguridad esclavo NetDefend Firewall a una ya existente dominar
cortafuegos. El maestro y el esclavo están conectados entre sí y forman una lógica Cluster HA. Una de las unidades de un clúster habrá activo cuando
la otra unidad es inactivo y en modo de espera.
Inicialmente, el esclavo clúster será inactivo y sólo controlar la actividad de la maestra. Si el esclavo detecta que el maestro se ha
convertido en inoperante, una failover HA se lleva a cabo y el esclavo se activa, asumiendo la responsabilidad de procesamiento
para todo el tráfico. Si el maestro más tarde se convierte en modo operativo, el esclavo continuará siendo activo, pero el maestro
ahora controlará el esclavo con conmutación por error que tiene lugar si falla el esclavo. Esto a veces se conoce como una activo
pasivo
puesta en práctica de la tolerancia a fallos.
Nota: HA sólo está disponible en algunos modelos NetDefend
La característica HA sólo está disponible en el D-Link DFL-NetDefend 1660, 2560 y 2560G.
los Dominar y Activo Unidades
Al leer esta sección sobre HA, se debe tener en cuenta que la dominar unidad de un clúster no siempre es la misma que la activo unidad
en un clúster.
los activo unidad es el Firewall NetDefend que en realidad está procesando todo el tráfico en un punto dado en el tiempo. Este podría ser el esclavo unidad
si una conmutación por error se ha producido debido a que la dominar ya no es operativa.
La interconexión de las unidades de racimo
En un clúster, las unidades maestra y esclavas deben estar conectados directamente entre sí por una conexión de sincronización que
se sabe que NetDefendOS como el sincronizar interfaz. Una de las interfaces normales en el maestro y el esclavo están dedicados
para este fin y están conectados entre sí con un cable cruzado.
523
11.1. Visión de conjunto Capítulo 11. Alta disponibilidad
paquetes especiales, conocidos como latidos del corazón, son enviados continuamente por todo el NetDefendOS sincronizar
interfaz y todas las demás interfaces de una unidad a la otra. Estos paquetes permiten a la salud de ambas unidades a ser
monitoreada. paquetes de latidos se envían en ambas direcciones para que la unidad pasiva sabe acerca de la salud de la unidad
activa y la unidad sabe acerca de la salud de la pasiva.
El mecanismo de latido del corazón se discute a continuación con más detalle en Sección 11.2, “Mecanismos de alta disponibilidad”.
Administración de clúster
Cuando la gestión de las unidades de hardware individuales en un cluster, que deben administrarse por separado mediante la interfaz
web o la CLI. Los cambios de configuración no se duplican automáticamente entre los pares de racimo.
Compartiendo carga
racimos D-Link HA no proporcionan carga compartida ya que sólo una unidad estará activo mientras que el otro es inactivo y sólo dos
NetDefend Firewalls, el maestro y el esclavo, puede existir en un solo grupo. La única función de procesamiento que desempeña la unidad
inactiva es replicar el estado de la unidad activa y para hacerse cargo de todo el procesamiento de tráfico si se detecta la unidad activa no está
respondiendo.
La duplicación de hardware
D-Link HA funcionará solamente entre dos cortafuegos NetDefend. A medida que el funcionamiento interno de un software diferente del
fabricante del firewall es completamente diferente, no existe un método común disponible para comunicar información de estado a un
dispositivo diferente.
También se recomienda encarecidamente que los cortafuegos NetDefend utilizados en el grupo tienen configuraciones idénticas. También deben
tener licencias idénticos que permiten capacidades idénticas, incluyendo la capacidad de ejecutar en un clúster de alta disponibilidad.
La redundancia se extiende
La implementación de un Cluster HA eliminará uno de los puntos de fallo en una red. Enrutadores, conmutadores y conexiones a Internet
pueden permanecer como posibles puntos de fallo y redundancia para estos también deben ser considerados.
La protección contra fallos de red con la HA y Enlace del monitor
los NetDefendOS enlace monitor característica se puede utilizar para comprobar la conexión con un anfitrión de modo que cuando ya no
es alcanzable una conmutación por error HA se inicia a un compañero que tiene una conexión diferente al host. Esta técnica es una
extensión útil para el uso normal HA que proporciona protección contra fallos de la red entre un único NetDefend Firewall y hosts. Esta
técnica se describe adicionalmente en Sección 2.4.1, “El Monitor de Enlace”.
524
11.2. Mecanismos de HA Capítulo 11. Alta disponibilidad
11.2. Mecanismos de HA
En esta sección se analiza con mayor profundidad los mecanismos NetDefendOS utiliza para implementar la función de alta disponibilidad.
Principios básicos
D-Link HA proporciona una configuración de hardware redundante, sincronizada por el estado. El estado de la unidad activa, tales como la tabla de
conexión y otra información vital, se copia de forma continua a la unidad inactiva a través de la sincronizar interfaz. Cuando se produce la conmutación
por error de clúster, la unidad inactiva sabe que las conexiones están activas, y el tráfico puede continuar fluyendo después de la conmutación por error
con una interrupción insignificante.
El sistema detecta que inactiva el sistema activo ya no está operativo cuando ya no detecta suficiente Latidos de clúster. Los latidos del
corazón se envían a través de la sincronizar interfaz, así como todas las otras interfaces.
frecuencia de pulsación
NetDefendOS envía 5 latidos por segundo desde el sistema activo y cuando se pierden tres latidos (es decir, después de 0,6 segundos) se iniciará una
conmutación por error. Mediante el envío de los latidos del corazón sobre todas las interfaces, la unidad inactiva obtiene una visión global de la salud
de la unidad activa. Incluso si sincronizar se desconecta deliberadamente, conmutación por error no puede resultar si la unidad inactiva recibe
suficientes latidos de otras interfaces a través de un interruptor común, sin embargo, la sincronizar interfaz envía el doble de los latidos del corazón
como cualquiera de las interfaces normales.
Los latidos del corazón no se envían a intervalos más pequeños porque estos retrasos pueden ocurrir durante el funcionamiento normal. Una
operación, por ejemplo, abrir un archivo, podría dar lugar a retrasos tiempo suficiente para hacer que el sistema inactivo para ir activa, a pesar de que el
otro está todavía activo.
La desactivación del latido del corazón Envío en interfaces
El administrador puede desactivar manualmente el envío en cualquier interfaz latido del corazón si se desea. Esto es
no recomendadas desde los menos interfaces que envían los latidos del corazón, mayor será el riesgo de que no se reciben suficientes latidos del
corazón para indicar correctamente la salud del sistema.
La excepción a esta recomendación es que si una interfaz no se utiliza en absoluto. En este caso, puede ser ventajoso deshabilitar el envío de esa
interfaz latido del corazón. La razón de esto es que de lo contrario serían NetDefendOS enviar latidos del corazón en la interfaz con discapacidad y
esto puede contribuir a una imagen falsa de la salud del sistema, ya que estos latidos del corazón siempre se pierden. Por tanto, una conmutación
por error "falsa" podría ser el resultado.
Características del latido del corazón
latidos de clúster tienen las siguientes características:
• La fuente es la dirección IP de la interfaz del servidor de seguridad que envía.
• La IP de destino es la dirección de difusión en la interfaz de envío.
• El IP TTL es siempre 255. Si NetDefendOS recibe un latido de clúster con cualquier otro TTL, se supone que el paquete ha
recorrido un router y por lo tanto no se puede confiar.
• Se trata de un paquete UDP, enviado desde el puerto 999, el puerto 999.
• La dirección MAC de destino es la dirección de multidifusión Ethernet correspondiente a la dirección de hardware compartido y
esto tiene la forma:
525
10-00-00-00-nn-mm
Dónde nn es una máscara de bits compuesto por el bus de interfaz, la ranura y el puerto en el maestro y mm
representa la ID de clúster,
multicast de nivel de enlace se utilizan sobre paquetes unicast normales para la seguridad: el uso de paquetes de unidifusión que significaría que
un atacante local podría engañar a los interruptores a los latidos del corazón de la ruta en algún otro lugar para que el sistema inactivo nunca los
recibe.
Tiempo de conmutación por error
El tiempo para la conmutación por error es típicamente alrededor de un segundo lo que significa que los clientes pueden experimentar una conmutación
por error como una ligera ráfaga de pérdida de paquetes. En el caso de TCP, el tiempo de conmutación por error se encuentra dentro del rango de los
tiempos de espera de retransmisión normales de modo que TCP retransmitirá los paquetes perdidos dentro de un espacio muy corto de tiempo, y
continuar la comunicación. UDP no permite la retransmisión ya que es inherentemente un protocolo no fiable.
Las direcciones IP compartidas y ARP
Tanto el maestro y el esclavo sabe acerca de la dirección IP compartida. ARP consulta para la dirección IP compartida, o cualquier otra dirección
IP publicada a través de la sección de configuración de ARP o a través de Proxy ARP, son respondidas por el sistema activo.
La dirección de hardware de la dirección IP compartida y otras direcciones publicadas no están relacionados con las direcciones
de hardware reales de las interfaces. En cambio, la dirección MAC se construye mediante NetDefendOS de la ID Cluster en la
forma 10-00-00-C1-4A-nn dónde nn se deriva mediante la combinación de la ID de clúster configurado en la sección Opciones
avanzadas con el hardware bus / ranura / puerto de la interfaz. El ID de Cluster debe ser único para cada grupo en una red.
A medida que la dirección IP compartida siempre tiene la misma dirección de hardware, no habrá tiempo de latencia en la actualización de las
memorias caché ARP de unidades adscritas a la misma LAN que el clúster cuando se produce la conmutación por error.
Cuando un miembro del clúster descubre que sus pares no está en funcionamiento, emite consultas ARP gratuitos en todas las interfaces que utilizan la
dirección de hardware compartida como la dirección del remitente. Esto permite que los interruptores de volver a aprender en cuestión de milisegundos
a dónde enviar los paquetes destinados a la dirección compartida. El único retardo en por lo tanto de conmutación por error, está detectando que la
unidad activa está abajo.
consultas ARP también se difunden periódicamente para asegurarse de que los interruptores no se olvide de dónde enviar los paquetes destinados a la
dirección de hardware compartido.
HA con Anti-Virus y IDP
Si un grupo tiene la NetDefendOS Anti-Virus o subsistemas de desplazados activada, las actualizaciones de la base de firmas de antivirus o
base de datos patrón de IDP se produzca de forma rutinaria. Estos cambios implican descargas de las bases de datos externas D-Link y
requieren NetDefendOS reconfiguración que ocurrir para que los nuevos contenidos de bases de datos para convertirse en activo.
Una actualización de la base de datos hace que la siguiente secuencia de eventos que se produzcan en un clúster de alta disponibilidad:
1. La unidad (maestra) activa descarga los nuevos archivos de base de datos de los servidores de D-Link. La descarga se realiza a través de
la dirección IP compartida del clúster.
2. El (master) nodo activo envía los nuevos archivos de base de datos a los pares inactivo.
3. La unidad (esclavo) inactiva reconfigura para activar los nuevos archivos de base de datos.
4. La unidad activa (maestro) ahora vuelve a configurar para activar los nuevos archivos de base que causa una conmutación por error
526
a la unidad esclava. El esclavo es ahora la unidad activa.
5. Después de reconfiguración de la principal se completa, de conmutación por error se produce de nuevo de modo que el maestro una vez más se
convierte en la unidad activa.
tratar con sync Fracaso
Una situación inusual que puede ocurrir en un clúster HA es si el sincronizar conexión entre el maestro y el esclavo experimenta un fallo
con el resultado de que los latidos del corazón y actualizaciones de estado ya no son recibidas por la unidad inactiva.
En caso de producirse un fallo de tales entonces la consecuencia es que ambas unidades seguirán funcionando pero perderán su
sincronización con los demás. En otras palabras, la unidad inactiva ya no tendrá una copia correcta del estado de la unidad activa. Una
conmutación por error no ocurrirá en esta situación ya que la unidad inactiva se dará cuenta de que la sincronización se ha perdido.
El fracaso de la sincronizar resultados de interfaz en la generación de hasync_connection_failed_timeout registrar los mensajes por la unidad activa.
Sin embargo, cabe señalar que este mensaje de registro también se genera cada vez que la unidad inactiva parece ser que no trabaja, por ejemplo,
durante una actualización de software.
El fracaso de la sincronizar interfaz puede confirmarse mediante la comparación de la salida de ciertos comandos de la CLI para cada
unidad. El número de conexiones podría ser comparado con el estadísticas mando. Si túneles IPsec se utilizan en gran medida, la ipsecglobalstat
-verbose mando podría ser utilizado en lugar y diferencias significativas en el número de IPsec, IKE SAs, usuarios activos y estadísticas de
la agrupación IP indicaría una falta de sincronización. Si el sincronizar interfaz está funcionando correctamente, todavía puede haber algunas
pequeñas diferencias en las estadísticas de cada unidad de clúster pero éstos será menor en comparación con las diferencias observadas
en el caso de fallo.
Una vez que el roto sincronizar interfaz es fijo, tal vez mediante la sustitución del cable de conexión, la sincronización entre las unidades activas e
inactivas se no llevará a cabo de forma automática. En su lugar, la unidad inactiva no sincronizado debe reiniciarse después de lo cual se lleva a
cabo lo siguiente:
• Durante el inicio, la unidad inactiva envía un mensaje a la unidad activa de bandera que su estado se ha inicializado y requiere de
todo el estado de la unidad activa que se enviará.
• La unidad activa a continuación, envía una copia de la totalidad de su estado a la unidad inactiva.
• La unidad inactiva se convierte entonces en sincronizada después de lo cual una conmutación por error puede tener lugar con éxito si hay un fallo
en el sistema.
Nota: Se requiere un reinicio unidad inactiva para la resincronización
Un reinicio del NetDefendOS en la unidad inactiva es el único momento en el que todo el estado de la unidad activa
se envía a la unidad inactiva y esta es la razón por la cual se requiere un reinicio para la resincronización. Esto se
logra mediante el comando de la CLI:
GW-mundo: /> apagar
527
11.3. Configuración de HA Capítulo 11. Alta disponibilidad
11.3. Configuración de HA
Esta sección proporciona una guía paso a paso para el establecimiento de un clúster de HA.
11.3.1. Configuración de hardware de HA
Los pasos para la configuración de hardware en un clúster de alta disponibilidad son los siguientes:
1. Comience con dos servidores de seguridad NetDefend físicamente similares. Ambos pueden ser recién comprada o una unidad existente puede
tener una nueva unidad añadido a la misma.
El hardware principal no tiene por qué coincidir exactamente con el esclavo, sin embargo se recomienda que el hardware con un rendimiento
similar se utiliza con el fin de evitar cualquier cambio de rendimiento después de una conmutación por error.
2. Realizar las conexiones físicas:
• Conectar las interfaces coincidentes de maestro y esclavo a través de interruptores separados o dominios de difusión
separados. Es importante mantener el tráfico en cada par de interfaz separado de otros pares.
• Conectar entre sí la sincronizar interfaces. Esto se puede hacer directamente con un cable de cruce o por medio de un interruptor
separado (o dominio de difusión).
3. Decidir sobre una dirección IP compartida para cada interfaz de la agrupación. Algunas interfaces podrían haber compartido direcciones solamente,
mientras que otros también podrían tener direcciones IP únicas e individuales para cada interfaz especificada en una IP4 HA Dirección objeto.
Las direcciones compartidas e individuales se utilizan como sigue:
• Las direcciones individuales especificados para una interfaz en un objeto HA Dirección IP4 permiten la administración remota a través de
esa interfaz. Estas direcciones también se pueden "hacer ping" usando ICMP a condición de que las normas de PI se definen para permitir
que este (de forma predeterminada, las consultas ICMP se redujo en el conjunto de reglas).
Si cualquiera de las unidades es inoperante, sus direcciones IP individuales también serán inalcanzables. Estas direcciones IP son
generalmente privado, pero deben ser públicas si se requiere el acceso de administración a través de la Internet pública.
Si una interfaz no se ha asignado una dirección individual a través de un objeto de dirección IP4 HA continuación, se
debe asignar la dirección por defecto localhost que es una dirección IP de la subred 127.0.0.0/8.
consultas ARP para las direcciones IP individuales especificados en IP4 objetos HA direcciones son respondidas por el servidor de
seguridad que posee la dirección, utilizando la dirección de hardware normal, al igual que con las unidades IP normales.
• Una dirección IP compartida única se utiliza para el enrutamiento y también es la dirección utilizada por la traducción dinámica de
direcciones, a menos que la configuración especifica explícitamente otra dirección.
Nota: La dirección no se puede hacer a través de la IP compartida
La dirección IP compartida no se puede utilizar con fines de gestión o de supervisión remota. Cuando se utiliza,
por ejemplo, SSH para la gestión remota de los Firewalls NetDefend en un clúster de HA, las direcciones IP
individuales de las interfaces de cada servidor de seguridad debe ser utilizado y éstos se especifican en objetos
de dirección IP4 de HA como se discutió anteriormente.
Conexiones de red Cluster típicos de HA
528
11.3.2. Manual de instalación de HA NetDefendOS Capítulo 11. Alta disponibilidad
La ilustración siguiente muestra la disposición de las conexiones típicas Cluster HA en una red. Todos los interfaces en la unidad
maestra normalmente también tener interfaces correspondientes en la unidad esclava y estos estarían conectados a las mismas
redes. Esto se logra mediante la conexión de las mismas interfaces en el maestro y el esclavo a través de un interruptor separado (o
dominio de difusión) a otras partes de red.
En el escenario mostrado anteriormente, la lan interfaz en el maestro y el lan interfaz en el esclavo estaría conectado al mismo
conmutador que luego se conecta a una red interna. del mismo modo el
pálido interfaz en el maestro y el pálido interfaz se conectaría a un interruptor que a su vez se conecta a Internet externa.
Nota: La ilustración muestra una conexión de cable de sincronización de cruce
La ilustración anterior muestra una conexión de cable cruzado directo entre las interfaces de sincronización de cada unidad.
Esta conexión podría, en cambio, ser a través de un interruptor o un dominio de difusión.
11.3.2. Manual de instalación de HA NetDefendOS
Para configurar un clúster HA manualmente, los pasos son como sigue:
1. Conecte a la unidad principal con la WebUI.
2. Ir a: Sistema> alta disponibilidad.
3. Comprobar la Habilitar alta disponibilidad caja.
529
11.3.3. Verificación de las funciones de clúster Capítulo 11. Alta disponibilidad
4. Selecciona el ID de clúster. Esto debe ser único para cada grupo.
5. Elija el Interfaz de sincronización.
6. Seleccionar el tipo de nodo a ser Dominar.
7. Ir a: Objetos> Libreta de direcciones y crear una IP4 HA Dirección objeto para cada par de interfaz.
Cada uno debe contener las direcciones IP de interfaz maestro y esclavo para el par.
Creación de un objeto es obligatorio para un par de interfaz utilizada para la gestión remota, pero opcional para otras
interfaces (en cuyo caso la dirección del defecto localhost debe ser utilizado que es una IP de la 127.0.0.0/8 sub-red).
8. Ir a: Interfaces> Ethernet y pasar por cada interfaz en la lista, que entra en el IP compartida
abordar para esa interfaz en el Dirección IP campo.
También seleccionar la Avanzado pestaña para cada interfaz y establecer el Alta disponibilidad, dirección IP privada campo
para ser el nombre de la IP4 HA Dirección objeto creado previamente para la interfaz (NetDefendOS seleccionarán
automáticamente la dirección apropiada de los maestros y esclavos direcciones definidas en el objeto).
Nota: Las direcciones IP pueden ser direcciones IPv4 públicas
El termino " dirección IPv4 privada" no es estrictamente correcto cuando se utiliza aquí. De cualquier dirección que se
utiliza en un objeto Dirección HA IP4 puede ser pública si se requiere el acceso de administración a través de la Internet
pública.
9. Guardar y activar la nueva configuración.
10. Repetir los pasos anteriores para el otro NetDefend Firewall pero esta vez seleccione el tipo de nodo a ser
Esclavo.
Realización de cambios de configuración de clúster
La configuración en ambos Firewalls NetDefend necesita ser el mismo. Las configuraciones de las dos unidades se sincronizarán
automáticamente. Para cambiar algo en una configuración de clúster, inicie sesión en el maestro o el esclavo, realizar el cambio, a
continuación, guardar y activar. El cambio se realiza automáticamente en ambas unidades.
11.3.3. Verificación de las funciones de clúster
Para verificar que el clúster está funcionando correctamente, utilice la primera decir ah comando en cada unidad. La salida será similar a la
siguiente para el maestro:
GW-mundo: /> decir ah
Este dispositivo es un maestro HA

Este dispositivo está actualmente activo (reenviará tráfico) por pares clúster HA está VIVO
A continuación, utilice el stat comando para verificar que tanto el maestro y el esclavo tienen aproximadamente el mismo número de
conexiones. La salida del comando debe contener una línea similar a la siguiente:
2726 conexiones fuera de 128000
El número más bajo de la izquierda en esta salida es el número actual de conexiones y cuanto mayor sea el número de la derecha
es el número máximo de conexiones permitidas por la licencia.
Los siguientes puntos son también relevantes para la configuración del clúster:
530
11.3.4. Las direcciones único compartido Mac Capítulo 11. Alta disponibilidad
• Si este no es el primer grupo en una red, entonces el ID de clúster debe ser cambiado para el clúster de forma que es única (el
valor por defecto es 0). los ID de clúster determina que la dirección MAC para el clúster es único.
• Activación de la configuración avanzada Utilice único Compartir MAC se recomienda de manera que cada interfaz tiene su propia dirección MAC.
Si esto no está activado, las interfaces comparten una dirección MAC y esto puede confundir a algunos interruptores de terceros.
• Asegúrese de que la configuración avanzada tampones de alta está dispuesto a ser automático para ambas unidades de la
agrupación. Este ajuste determina cómo se asigna memoria por NetDefendOS para el manejo de un número creciente de conexiones.
Se requiere un reinicio NetDefendOS para un cambio en esta configuración surta efecto, y esto se puede lograr con el comando de la
CLI:
GW-mundo: /> apagar
Cuando un grupo tiene un número muy alto (por ejemplo, decenas de miles) de conexiones simultáneas entonces puede ser
necesario establecer un valor alto para este lugar de utilizar automático. Un valor muy alto para tampones de alta puede adaptarse a
situaciones con un gran número de conexiones, pero puede tener el inconveniente de aumentar el rendimiento de latencia.
11.3.4. Las direcciones único compartido Mac
Para la configuración de HA, NetDefendOS ofrece la opción avanzada Utilice único compartido de direcciones MAC. Por defecto, esta opción está
activada y en la mayoría de las configuraciones que no debería necesitar ser desactivado.
La habilitación de una única dirección MAC compartida
El efecto de habilitar esta configuración es que una única dirección MAC, único será utilizado para cada par de búsqueda de interfaces de
hardware de modo que, por ejemplo, el lan1 interfaz de la unidad maestra se parecen tener la misma dirección MAC como el lan1 interfaz
en la unidad esclava.
Diagnóstico de problemas
Un clúster HA funcionará si esta opción está desactivada, pero puede causar problemas con un número limitado de tipos de conmutador cuando el
conmutador utiliza una tabla ARP compartido. Este tipo de problemas puede ser difícil de diagnosticar por lo que lo mejor es tener siempre la
configuración habilitada.
Con las unidades de hardware diferente
En una situación, este ajuste debe ser desactivado y que es cuando un clúster HA se configura a través de hardware no coincidente.
Para funcionar correctamente, no se deben utilizar direcciones MAC únicas compartidas.
531
11.4. HA Cuestiones Capítulo 11. Alta disponibilidad
11.4. HA Cuestiones
Los siguientes puntos deben tenerse en cuenta en la gestión y configuración de un clúster de HA.
Todas las interfaces de racimo necesitan direcciones IP
Todas las interfaces de ambas unidades Cluster HA deben tener un objeto de dirección IP4 privada válida asignada a ellos. El objeto IP
predefinida host local podría ser asignado para este fin. La necesidad de asignar una dirección es cierto incluso si una interfaz ha sido
deshabilitado.
SNMP
estadísticas de SNMP no se comparten entre el maestro y el esclavo. administradores SNMP no tienen capacidades de conmutación por error. Por lo
tanto ambos cortafuegos de un clúster necesitan ser consultados por separado.
El uso de direcciones IP individuales
Las únicas direcciones IP individuales del maestro y el esclavo no pueden ser utilizados sin problemas para nada más que de gestión. Usarlos
para cualquier otra cosa, como por IP de origen en forma dinámica las conexiones NAT o servicios de publicación en ellos, provocará
inevitablemente problemas desde IPs únicas desaparecerán cuando el servidor de seguridad que pertenecen a lo hace.
El IP Compartida No Debe Ser 0.0.0.0
La asignación de la dirección IPv4 0.0.0.0 como la dirección IP compartida debe ser evitada. Esto no es válido para este propósito y hará que
NetDefendOS para entrar en el modo de bloqueo.
Interfaces fallidos
interfaces de fallidos no serán detectados a menos que no hasta el punto en NetDefendOS no puede seguir funcionando. Esto significa que la
conmutación por error no se producirá si la unidad activa todavía puede enviar "Estoy vivo" latidos del corazón a la unidad inactiva a través de
cualquiera de sus interfaces, a pesar de que una o más interfaces pueden ser inoperante.
Cambio de la ID Cluster
Cambio de la ID de clúster en un entorno real no es recomendable por dos razones. En primer lugar esto va a cambiar la dirección de hardware de las
direcciones IP compartidas y causará problemas para todas las unidades conectadas a la red local, ya que se mantendrá la dirección de hardware de
edad en sus memorias caché ARP hasta que el tiempo de espera. Tales unidades tendrían que tener sus cachés ARP vacían.
En segundo lugar esto rompe la conexión entre los servidores de seguridad en el grupo durante el tiempo que están usando diferentes
configuraciones. Esto hará que los dos cortafuegos para ir activas al mismo tiempo.
Las sumas de comprobación no válidas en paquetes de latido
paquetes de latidos de clúster se crean deliberadamente con sumas de comprobación no válidas. Esto se hace para que no serán enviados. Algunos
routers marcarla suma de comprobación válida en sus mensajes de registro.
Hacer que el OSPF
Si OSPF se utiliza para determinar métricas de enrutamiento entonces un clúster no poder ser usado como el designada
532
11.4. HA Cuestiones Capítulo 11. Alta disponibilidad
enrutador.
Si OSPF es trabajar entonces debe haber otra enrutador designado disponible en el mismo área OSPF como el clúster. Idealmente, también habrá
un segundo enrutador designado de respaldo, para proporcionar las métricas OSPF si el router principal designada debería fallar.
PPPoE Túneles y clientes DHCP
Por razones relacionadas con las direcciones IP compartidas de un clúster de alta disponibilidad, túneles PPPoE y clientes DHCP no deben ser
configurados en un clúster de alta disponibilidad.
Soporte IPv6
Soporte para direcciones IPv6 se discute en Sección 3.2, “Soporte IPv6”.
533
11.5. Actualizar un clúster de HA Capítulo 11. Alta disponibilidad
11.5. Actualizar un clúster de HA

Las versiones de software que se ejecutan en NetDefendOS el maestro y el esclavo en un clúster de alta disponibilidad deben ser los mismos. Cuando
una nueva versión NetDefendOS esté disponible y se va a instalar en ambas unidades, la actualización se lleva a cabo una unidad a la vez.
El director central en el proceso de actualización para un cluster es que la actualización de la unidad inactiva no afectará a la operación de la
agrupación y sólo momentáneamente hacer que la unidad inactiva disponible.
La secuencia general de pasos a seguir es:
yo. Identificar qué unidad está inactiva y actualizar esa primera.
ii. Cuando la unidad inactiva se sincroniza de nuevo con la unidad activa, causar una conmutación por error que se produzca de modo que la inactiva
se convierte en la unidad activa.
Iii. Ahora actualizar la unidad inactiva. Ambas unidades continuación, volver a sincronizar y tener la nueva versión NetDefendOS.
Estos tres pasos ahora se descomponen en una descripción más detallada:
A. establecer cual es la unidad inactiva en el clúster
La unidad actualmente inactivo se actualizará primero por lo que es necesario identificar esto. Para ello, conectar con una consola CLI para
una de las unidades de racimo y emitir el decir ah mando. La salida típica si la unidad está activa se muestra a continuación.
Este dispositivo es un esclavo HA

Este dispositivo está actualmente activo (reenviará tráfico) Este dispositivo ha estado
activo: 430697 sec HA pares clúster es ALIVE
Esta unidad (el esclavo) es la unidad activa en ese momento, por lo que el otro (el maestro) es la unidad inactiva.
B. Actualización de la unidad inactiva
Una vez identificada la unidad inactiva, actualizar esta unidad con la nueva versión NetDefendOS. Esto se hace exactamente igual que si la unidad
no se encontraban en un clúster. Por ejemplo, la interfaz web se puede utilizar para hacer la actualización.
Importante: Asegúrese de que la unidad inactiva está VIVO
Antes de ir al siguiente paso asegúrese de que la unidad inactiva está en pleno funcionamiento y sincronizada con la unidad
activa después de la actualización de software completa.
Para ello, emitir la CLI decir ah comando en la unidad inactiva. La salida del comando debe
indicar que el estado es VIVA.
Este dispositivo es un esclavo HA

Este dispositivo está inactivo (no ha de transmitir tráfico) Este dispositivo ha estado
inactivo: 2 seg HA pares clúster es ALIVE
C. causar una conmutación por error que se produzca
534
11.5. Actualizar un clúster de HA Capítulo 11. Alta disponibilidad
Ahora, conectarse a la unidad activa (que todavía se está ejecutando la versión antigua NetDefendOS) con una consola CLI y emitir el ha
-deactivate mando. Esto hará que la unidad activa para convertirse en inactivo, y los inactivos para convertirse en activa.
GW-mundo: /> ha -deactivate
Ha fue: ACTIVO INACTIVO HA va

...
Para comprobar que la conmutación por error se ha completado con éxito, una decir ah mandato puede emitirse de nuevo y el texto " INACTIVO"
y " está vivo" debe aparecer en la salida.
D. Actualiza la unidad recién inactivo
Cuando la conmutación por error se haya completado, actualizar la unidad recientemente inactiva con la nueva versión NetDefendOS. Al igual que el
paso SEGUNDO, esto se realiza de la forma habitual, como si la unidad no eran parte de un clúster.
E. Espere resincronización
Una vez que la segunda actualización del software, dos unidades volverá a sincronizar automáticamente y el grupo continuará su
funcionamiento. se han invertido los papeles de unidad activa e inactiva.
Si es deseable hacer que la unidad activa inactiva, y la unidad inactiva activa, el comando de la CLI decir ah
- activa puede ser usado.
535
11.6. Verificación de Enlace y HA Capítulo 11. Alta disponibilidad
11.6. Verificación de Enlace y HA
Rutas de red redundantes
Cuando se utiliza una configuración HA, puede ser importante utilizar rutas redundantes a los recursos vitales, tales como Internet. Los caminos a
través de la red desde el dispositivo maestro en una configuración de HA pueden fallar, en cuyo caso puede ser deseable tener este fracaso
desencadenar una conmutación por error a la unidad esclava que tiene un camino diferente al recurso.
supervisar las rutas
El control de la disponibilidad de rutas de red específicos se puede hacer con los NetDefendOS Monitor de Enlace. El Monitor de Enlace permite al
administrador especificar ciertos hosts cuya accesibilidad se monitoriza mediante ICMP "ping" y por lo tanto las solicitudes de estado del enlace. Si
estos anfitriones dejan de ser accesibles a continuación, el enlace se considera falló y una conmutación por error a un esclavo puede ser iniciado. A
condición de que el esclavo está utilizando un enlace de red diferente y también el seguimiento de la accesibilidad de los diferentes huéspedes, el
tráfico puede continuar fluyendo.
Utilizando la dirección IP compartida
Cuando se utiliza el monitor de Enlace en alta disponibilidad del clúster la opción Envíe de dirección IP compartida serán visibles durante la
instalación Enlace Monitor. Esta opción se puede utilizar si las direcciones IPv4 públicas individuales no están disponibles para cada unidad en un
clúster de alta disponibilidad.
Lectura adicional Enlace monitor
monitorización de enlaces como un NetDefendOS disponen separados de HA se describe adicionalmente en Sección 2.4.1, “El Monitor de Enlace”.
536
11.7. Configuración avanzada de HA Capítulo 11. Alta disponibilidad
11.7. Configuración avanzada de HA
Los siguientes NetDefendOS avanzaron ajustes están disponibles para alta disponibilidad:
Tamaño del búfer de sincronización
La cantidad de datos de sincronización, en Kbytes, para amortiguar la espera de los acuses de recibo de los pares clúster.
Defecto: 1024
Ráfaga de sincronización de paquetes Max
El número máximo de paquetes de sincronización de estado para enviar en una ráfaga.
Defecto: 20
El silencio inicial
El tiempo en segundos para permanecer en silencio en el arranque o después de la reconfiguración. Cuando la unidad activa en un clúster HA
cree que la unidad inactiva ya no es alcanzable, continúa para enviar el tráfico de sincronización normalmente por un período de un minuto en
la expectativa de que la unidad inactiva volverá a ser alcanzable. Con el fin de no sobrecargar innecesariamente la red, después de que haya
transcurrido un minuto, el tráfico de sincronización se envía entonces sólo después de varios periodos de silencio. La longitud de este silencio
es este ajuste.
Defecto: 5
Utilice único compartido Mac
Utilice una dirección MAC única compartida por cada interfaz. Para una explicación más detallada de este ajuste ver
Sección 11.3.4, “único compartido de direcciones MAC”.
Defecto: Activado
Antes de desactivar reconf
Si se activa, este ajuste hará una conmutación por error de nodo activo al nodo inactivo antes de una reconfiguración se lleva a cabo en lugar
de confiar en el nodo inactivo detectar que el nodo activo no está funcionando normalmente y luego hacerse cargo de su propia iniciativa. Al
habilitar esta configuración reduce el tiempo en que ningún nodo está activo durante los despliegues de configuración.
Defecto: Activado
Reconf Tiempo de conmutación por error
Número de segundos que no responden antes de la conmutación por error en la reconfiguración de HA. El valor por defecto de cero significa
reconfiguración inmediata.
Defecto: 0
537
11.7. Configuración avanzada de HA Capítulo 11. Alta disponibilidad
538
Capítulo 12. ZoneDefense
En este capítulo se describe la función D-Link ZoneDefense.
• Interruptores ZoneDefense, página 540
• Operación ZoneDefense, página 541
ZoneDefense controla los condensadores
ZoneDefense permite una NetDefend cortafuegos controle los interruptores conectados localmente. Puede ser utilizado como una
contramedida para detener un ordenador infectado por un virus en una red local de infectar otros ordenadores.
Cuando los anfitriones o clientes de una red se infectan con virus u otro tipo de código malicioso, esto a menudo puede mostrar su
presencia a través de un comportamiento anómalo, a menudo por un gran número de nuevas conexiones que se abren a los hosts externos.
El uso de umbrales
Con la creación de Reglas de umbral, hosts o redes que se exceda un umbral de conexión definida pueden ser bloqueados de forma
dinámica con la característica de ZoneDefense. Los umbrales se basan o bien en el número de nuevas conexiones realizadas por
segundo, o en el número total de conexiones está realizando.
Estas conexiones se pueden hacer por cualquiera de un único host o todos los hosts dentro de un rango de red CIDR especificado (un intervalo de
direcciones IP especificada por una combinación de una dirección IP y su máscara de red asociado).
Subir ACL
Cuando NetDefendOS detecta que un host o una red ha alcanzado el límite especificado, se sube reglas de la lista de control de acceso (ACL)
a los interruptores correspondientes y esto bloquea todo el tráfico para el anfitrión o red que muestra el comportamiento inusual. hosts y redes
bloqueadas permanecen bloqueadas hasta que el administrador del sistema lo desbloquea manualmente utilizando la Web o la interfaz de
línea de comandos.
Nota: ZoneDefense no está disponible en todos los modelos NetDefend
La característica ZoneDefense sólo está disponible en el D-Link DFL-860E NetDefend, 1660, 2560 y 2560G.
539
12.2. Interruptores ZoneDefense Capítulo 12. ZoneDefense
12.2. Interruptores ZoneDefense

Interruptor de información con respecto a cada interruptor que es para ser controlado por el servidor de seguridad se tiene que especificar
manualmente en la configuración del cortafuegos. La información necesaria con el fin de controlar un interruptor incluye:
• La dirección IP de la interfaz de administración del conmutador
• El tipo de modelo de conmutador
• La cadena de comunidad SNMP (acceso de escritura)
La característica ZoneDefense actualmente admite los siguientes parámetros:
• DES-3226S (Versión R4.02-B26 o posterior)
• DES-3250TG (Versión R3.00-B09 o posterior)
• DES-3326S (Versión R4.01-B39 o posterior)
• DES-3350SR (Versión R3.02-B12 o posterior)
• DES-3526 R3.x (sólo versión R3.06-B20)
• DES-3526 R4.x (Versión R4.01-B19 o posterior)
• DES-3550 R3.x (sólo versión R3.05-B38)
• DES-3550 R4.x (Versión R4.01-B19 o posterior)
• DES-3800 Series (Versión R2.00-B13 o posterior)
• DGS-3200 Series (Versión R1.10-B06 o posterior)
• DGS-3324SR / SRi (Versión R4.30-B11 o posterior)
• DGS-3400 Series R1.x (sólo versión R1.00-B35)
• DGS-3400 Series R2.x (Versión R2.00-B52 o posterior)
• DGS-3600 Series (Versión R2.20-B35 o posterior)
• DXS-3326GSR (Versión R4.30-B11 o posterior)
• DXS-3350SR (Versión R4.30-B11 o posterior)
• DHS-3618 (Versión R1.00-B03 o posterior)
• DHS-3626 (Versión R1.00-B03 o posterior)
Consejo: las versiones de firmware de la alimentación deberá ser la última
Asegúrese de que los conmutadores tienen las versiones de firmware mínimas necesarias antes de activar
ZoneDefense.
540
12.3. Operación ZoneDefense Capítulo 12. ZoneDefense
12.3. Operación ZoneDefense
12.3.1. SNMP
Simple Network Management Protocol (SNMP) es un protocolo de capa de aplicación para la gestión de redes complejas.
SNMP permite a los administradores y los dispositivos gestionados en una red para comunicarse entre sí.
Los administradores SNMP
Un dispositivo de gestión de típico, tal como un NetDefend Firewall, utiliza el protocolo SNMP para supervisar y dispositivos de red de control en el
entorno administrado. El administrador puede almacenarse consulta las estadísticas de los dispositivos controlados mediante el uso de la Cadena de
comunidad SNMP. Esto es similar a un nombre de usuario o la contraseña que permite el acceso a la información de estado del dispositivo. Si el tipo de
cadena de comunidad es escribir, se le permitirá al gerente para modificar el estado del dispositivo.
Los dispositivos administrados
Los dispositivos administrados deben ser compatibles con SNMP, como son los interruptores de D-Link. Almacenan datos de estado en las bases
de datos conocidas como la Base de Información de Gestión (MIB) y proporcionan la información al gestor al recibir una consulta SNMP.
12.3.2. Reglas de umbral

Una regla de umbral se disparará ZoneDefense para bloquear un host específico o una red si se supera el límite de conexión
especificado en la regla. El límite puede ser de dos tipos:
• Límite de velocidad de conexión - Esto puede ser activado si la tasa de nuevas conexiones por segundo al servidor de seguridad supera un
umbral especificado.
• Total de conexiones Limit - Esto puede ser activado si el número total de conexiones al servidor de seguridad supera un umbral
especificado.
reglas de umbral tienen parámetros que son similares a los de las normas de PI. Estos parámetros especifican qué tipo de tráfico de una
regla de umbral se aplica a.
Una regla de umbral único tiene los parámetros:
• interfaz de origen y la red de origen
• interfaz de destino y la red de destino
• Servicio
• Tipo de umbral: Anfitrión y / o una red basada
Tráfico que coincide con los criterios anteriores y hace que el umbral de host / red que se exceda activará la función
ZoneDefense. Esto evitará que el anfitrión / redes de acceso al interruptor (es). Todo el bloqueo en respuesta a violaciónes
de umbral estarán basadas en la dirección IP de la máquina o red en el interruptor (es). Cuando se ha sobrepasado un
umbral basado en la red, la red de origen será bloqueado en lugar de sólo el host atacante.
Para una descripción general de cómo se especifican y función de reglas de umbral, consulte
Sección 10.3, “Reglas de umbral”.
12.3.3. El bloqueo manual y Excluir listas
541
12.3.3. El bloqueo manual y Excluir listas Capítulo 12. ZoneDefense
Como complemento a las reglas de umbral, también es posible definir manualmente los hosts y redes que han de ser bloqueado o excluido
de forma estática. hosts y redes bloqueadas manualmente pueden ser bloqueados por defecto o en base a un horario. También es posible
especificar qué protocolos y números de puerto de protocolo deben ser bloqueados.
Excluir listas puede ser creado y utilizado para excluir los hosts que se bloqueen cuando se alcanza un límite de regla de umbral. La buena práctica
incluye la adición a la lista de direcciones IP de la interfaz del servidor de seguridad o la dirección MAC de conexión hacia el interruptor ZoneDefense.
Esto evita que el servidor de seguridad sean bloqueados accidentalmente.
Ejemplo 12.1. Un escenario sencillo ZoneDefense
El siguiente ejemplo sencillo ilustra los pasos necesarios para configurar ZoneDefense. Se supone que todas las interfaces del servidor de seguridad ya se
han configurado.
Un umbral de HTTP de 10 conexiones / segundo se aplica. Si la tasa de conexión supera esta limitación, el cortafuegos bloqueará el host específico (en
el rango de la red 192.168.2.0/24 por ejemplo) de acceso al interruptor completamente.
Un modelo de detector D-Link DES-3226S se utiliza en este caso, con una dirección 192.168.1.250 interfaz de gestión de la conexión a 192.168.1.1 dirección de la
interfaz del cortafuegos. Se añade este interfaz de servidor de seguridad en la lista de exclusión para evitar que el servidor de seguridad sean bloqueados
accidentalmente el acceso al interruptor.
Interfaz web
Añadir un nuevo interruptor en la sección ZoneDefense:
1. Ir a: ZoneDefense> Interruptores> Añadir> interruptor ZoneDefense
2. Ahora ingrese:
• Nombre: switch1
• Conmutador de modelo: DES-3226S
• Dirección IP: 192.168.1.250
3. Para Comunidad SNMP introducir el Escribir Cadena de comunidad configurado para el interruptor
4. Prensa verificación del interruptor para verificar el servidor de seguridad se puede comunicar con el interruptor y la cadena de comunidad es
correcto.
Añadir interfaz de administración del servidor de seguridad en la lista de exclusión:
1. Ir a: ZoneDefense> lista de exclusión
542
12.3.4. ZoneDefense con Anti-Virus Capítulo 12. ZoneDefense
Scanning
2. Para direcciones elegir el nombre del objeto de dirección de interfaz 192.168.1.1 del servidor de seguridad de la Disponible lista
y ponerlo en el Seleccionado lista.
Configurar un umbral de HTTP de 10 conexiones / segundo:
1. Ir a: Gestión del Tráfico> reglas de umbral> Agregar> Regla Umbral
2. Para el Regla umbral entrar:
• Nombre: HTTP-Umbral
• Servicio: http
• Interfaz de origen: interfaz de administración del cortafuegos
• Fuente de red: 192.168.2.0/24 (o el nombre del objeto)
Especificar el umbral, el tipo de umbral y la acción a tomar en caso de superarse:
1. Ir a: Añadir> Umbral Acción
2. Configurar el Acción Theshold como sigue:
• Acción: Proteger
• Agrupar por: Basada en el host
• Límite: 10
• Establecer las unidades para el valor umbral que se Conexiones / segundo
• Marque la uso ZoneDefense caja
• Haga
ACUERDO
clic DE
12.3.4. ZoneDefense con Anti-Virus Scanning

ZoneDefense se puede utilizar en conjunción con la función de escaneado NetDefendOS Anti-Virus. NetDefendOS puede identificar primero
una fuente de virus a través de la exploración antivirus y luego bloquear la fuente mediante la comunicación con los conmutadores
configurados para trabajar con ZoneDefense. Esta función se activa a través de los siguientes ALGs:
• HTTP - ZoneDefense puede bloquear un servidor HTTP que es una fuente de virus.
• FTP - ZoneDefense puede bloquear un cliente local FTP que se carga de virus.
• SMTP - ZoneDefense puede bloquear un cliente SMTP local que está enviando correos electrónicos con virus.
Esta característica se describe adicionalmente en Sección 6.4, “Anti-Virus Scanning” y en las secciones que cubre los ALGs individuales.
12.3.5. limitaciones
Hay algunas diferencias en el funcionamiento ZoneDefense dependiendo del modelo del interruptor. La primera diferencia es la latencia
entre la activación de una regla de bloqueo hasta el momento en interruptor (es)
543
12.3.5. limitaciones Capítulo 12. ZoneDefense
en realidad comienza a bloquear el tráfico por la regla. Todos los modelos de interruptor requieren un corto período de tiempo de latencia para
implementar el bloqueo una vez que se activa la regla. Algunos modelos pueden activar el bloqueo en menos de un segundo, mientras que algunos
modelos pueden requerir un minuto o más.
Una segunda diferencia es el número máximo de reglas soportadas por diferentes conmutadores. Algunos switches soportan un máximo
de 50 reglas, mientras que otros soportan hasta 800 (por lo general, con el fin de bloquear un host o red, se necesita una regla por puerto
del switch). Cuando se ha alcanzado este límite no hay más hosts o redes serán bloqueados.
Importante: Si se elimina la regla ACL establecido en el conmutador
ZoneDefense utiliza un rango en la regla ACL establecido en el interruptor. Para evitar posibles conflictos en estas normas y
garantizar el control de acceso del servidor de seguridad, se recomienda encarecidamente que el administrador de borrar toda la
regla ACL establecido en el interruptor antes de ejecutar el programa de instalación ZoneDefense.
544
12.3.5. limitaciones Capítulo 12. ZoneDefense
545
Capítulo 13. Configuración avanzada
En este capítulo se describe la configuración avanzada configurables adicionales para NetDefendOS que no están descritos en el
manual. En la interfaz web estos valores se encuentran bajo Sistema> Configuración avanzada.
Los ajustes se dividen en las siguientes categorías:
Nota: La activación de los cambios de configuración
Después de cambiar cualquier configuración avanzada, la nueva configuración NetDefendOS debe activarse para
que el nuevo valor tenga efecto.
• Nivel IP Configuración, página 546
• TCP Nivel Configuración, página 550
• Nivel ICMP Configuración, página 555
• Ajustes para el estado, página 556
• Ajustes de tiempo de espera de conexión, página 558
• Ajustes límite de longitud, página 560
• Ajustes de fragmentación, página 562
• Local reensamblaje de fragmentos Configuración, página 566
• Otras configuraciones, página 567
13.1. Configuración del nivel de IP
Registrar errores de suma de comprobación
Registra los sucesos de los paquetes IP que contienen sumas de comprobación erróneas. Normalmente, esto es el resultado de que el paquete sea
dañado durante el transporte de la red. Todas las unidades de red, ambos routers y estaciones de trabajo, dejan caer los paquetes IP que contienen
errores de suma de comprobación. Sin embargo, es muy poco probable que un ataque se basa en las sumas de comprobación ilegales.
Defecto: Activado
Log no IP4
Registros ocurrencias de paquetes IP que no son la versión 4. NetDefendOS solamente acepta versión 4 paquetes IP; todo lo demás
se descarta.
Defecto: Activado
Entrar Recibido TTL 0
Registra los sucesos de los paquetes IP recibidos con el "tiempo de vida" (TTL) establecido en cero. Bajo ninguna circunstancia debe
ninguna unidad de red enviar paquetes con un TTL de 0.
Defecto: Activado
546
13.1. Configuración del nivel de IP Capítulo 13. Configuración avanzada
Bloque 0000 Src
Bloque 0.0.0.0 como dirección de origen.
Defecto: soltar
Bloque 0 Net
Bloque 0. * como direcciones de origen.
Defecto: DropLog
El bloque 127 Net
Bloque 127. * como direcciones de origen.
Defecto: DropLog
Bloque de multidifusión Src
bloquear direcciones de multidifusión, tanto de origen (224.0.0.0 - 255.255.255.255).
Defecto: DropLog
Min TTL
El valor mínimo TTL aceptado en el recibo.
Defecto: 3
TTL de baja
Determina la acción tomada en paquetes cuyo TTL cae por debajo del valor TTLMin estipulado.
Defecto: DropLog
TTL de multidifusión de baja
Qué acción tomar en valores demasiado bajos TTL de multidifusión.
Defecto: DropLog
TTL predeterminado
Indica que TTL NetDefendOS es utilizar cuando se origina un paquete. Estos valores son por lo general entre 64 y 255.
Defecto: 255
Tamaño capa de consistencia
Verifica que la información de tamaño contenida en cada "capa" (Ethernet, IP, TCP, UDP, ICMP) es consistente con la de
otras capas.
547
Defecto: ValidateLogBad
Compatibilidad SecuRemoteUDP
Permitir que los datos IP a ocho bytes contienen más que el total especifica campo de longitud UDP. Checkpoint SecuRemote viola
borradores NAT-T.
Tamaños opción IP
Verifica el tamaño de "opciones IP". Estas opciones son pequeños bloques de información que pueden añadirse al final de cada cabecera IP. Esta
función comprueba el tamaño de tipos de opción bien conocidos y se asegura de que no hay opción supera el límite de tamaño estipulado por la
cabecera IP en sí.
Opción IP Fuente / Retorno
Indica si las opciones de enrutamiento de origen deben ser permitidos. Estas opciones permiten al emisor del paquete para controlar cómo el
paquete debe ser encaminado a través de cada router y firewall. Estos constituyen un enorme riesgo para la seguridad. NetDefendOS no obedece
a las rutas de origen especificados por estas opciones, independientemente de este ajuste.
Defecto: DropLog
Opciones IP marcas de tiempo
impresión de fecha instruir a cada router y firewall en la ruta del paquete para indicar en qué momento el paquete se reenvía a lo largo de la
ruta. Estas opciones no se producen en el tráfico normal. Las marcas de tiempo también pueden ser usados para "registro" la ruta de un
paquete ha tomado desde el emisor hasta el destino final. NetDefendOS nunca entra la información en estas opciones, independientemente
de este ajuste.
Defecto: DropLog
IP del router opción de alerta
Cómo manejar los paquetes IP con alerta ruta contenida.
Otras opciones IP
Todas las opciones que no sean los especificados anteriormente.
Defecto: DropLog
difusiones dirigidas
Indica si NetDefendOS se reenviar paquetes que se dirigen a la dirección de difusión de sus redes conectadas directamente. Es posible
conseguir esta funcionalidad mediante la adición de líneas a la sección de Reglas, sino que también se incluye aquí por razones de
simplicidad. Esta forma de validación es más rápido que las entradas en la sección Reglas, ya que es más especializado.
Defecto: DropLog
548
Bandera IP reservada
Indica lo NetDefendOS hará si hay datos en los campos "reservados" de las cabeceras IP. En circunstancias normales, estos campos deben leer 0. Se
utiliza por el sistema operativo de huellas dactilares.
Defecto: DropLog
Gaza DontFragment
Franja de la bandera No fragmentar los paquetes iguales o menores que el tamaño especificado por este ajuste.
Defecto: 65535 bytes
opción de multidifusión no coincidente
La acción a tomar cuando las direcciones de multidifusión IP y Ethernet no coincide.
Defecto: DropLog
min opción Broadcast TTL
El valor más corto de difusión IP Time-To-Live aceptado en el recibo.
Defecto: 1
Opción de bajo Broadcast TTL Acción
Qué acción tomar en valores TTL de transmisión demasiado baja.
Defecto: DropLog
549
13.2. Configuración del nivel de TCP Capítulo 13. Configuración avanzada
13.2. Configuración del nivel de TCP
Tamaños opción TCP
Verifica el tamaño de opciones TCP. Esta función actúa de la misma manera como IPOptionSizes descrito anteriormente.
TCP MSS Min
Determina el tamaño mínimo admisible del TCP MSS. Los paquetes que contienen los tamaños máximos de segmento por debajo de este límite se
manejan de acuerdo con la siguiente configuración.
Defecto: 100 bytes
TCP MSS en baja
Determina la acción tomada en paquetes cuya opción TCP MSS cae por debajo del valor TCPMSSMin estipulado. Los valores
demasiado bajos pueden causar problemas en pilas TCP mal escritos.
Defecto: DropLog
TCP MSS Max
Determina el tamaño máximo permitido TCP MSS. Los paquetes que contienen los tamaños máximos de segmento superior a este límite se manejan
de acuerdo con la siguiente configuración.
Defecto: 1460 bytes
TCP MSS VPN Max
Como es el caso con TCPMSSMax, este es el mayor tamaño de segmento máximo permitido. Sin embargo, esta opción solo controla SMS
en las conexiones VPN. De esta manera, NetDefendOS puede reducir el tamaño del segmento efectivo utilizado por TCP en todas las
conexiones VPN. Esto reduce la fragmentación TCP en la conexión VPN incluso si los anfitriones no saben cómo performMTU
descubrimiento.
Este ajuste debe ser menor que el tamaño máximo de IPsec MTU y el tamaño máximo IPsec MTU debe ser menor que el tamaño
máximo de paquete manipulado por la interfaz física.
Defecto: 1400 bytes
TCP MSS El Alto
Determina la acción tomada en paquetes cuya opción TCP MSS excede el valor TCPMSSMax estipulado. Los valores
demasiado alta podría causar problemas en pilas TCP mal escritos o dar lugar a grandes cantidades de paquetes
fragmentados, lo que afectará negativamente al rendimiento.
Defecto: Ajustar
TCP MSS nivel de registro
Determina cuándo iniciar la sesión con respecto demasiado alto TCP MSS, si no hay sesión por TCPMSSOnHigh.
550
Defecto: 7000 bytes
TCP Auto de sujeción
sujetar de forma automática TCP MSS según la MTU de interfaces involucradas, además de TCPMSSMax.
Defecto: Activado
TCP ACK cero sin usar
Determina si NetDefendOS deben establecer el campo de número de secuencia de ACK en paquetes TCP a cero si no se utiliza. Algunos sistemas
operativos revelan información de número de secuencia de esta manera, lo que puede hacer que sea más fácil para los intrusos que quieren
secuestrar conexiones establecidas.
Defecto: Activado
TCP no utilizado Cero URG
Tiras de los punteros URG de todos los paquetes.
Defecto: Activado
WSOPT opción TCP
Determina cómo NetDefendOS manejarán las opciones de ventana de escala. Estos se utilizan para aumentar el tamaño de la ventana utilizada
por TCP; es decir, la cantidad de información que puede ser enviada antes del remitente espera ACK. También se utilizan por el sistema operativo
de huellas dactilares. WSOPT es una ocurrencia común en las redes modernas.
SACO opción TCP
Determina cómo NetDefendOS manejarán las opciones de confirmación selectiva. Estas opciones se utilizan para ACK paquetes individuales en
lugar de toda la serie, que pueden aumentar el rendimiento de las conexiones que experimentan una gran pérdida de paquetes. También se
utilizan por el sistema operativo de huellas dactilares. SACO es una ocurrencia común en las redes modernas.
TSOPT opción TCP
Determina cómo NetDefendOS se encargará de impresión de fecha. Según lo estipulado por las PAWS (proteger contra los números de
secuencia ajustados) método, TSOPT se utiliza para prevenir los números de secuencia (una cifra de 32 bits) de "superior" su límite superior
sin que el destinatario sea consciente de ello.
Esto normalmente no es un problema. Usando TSOPT, algunas pilas TCP optimizar su conexión midiendo el tiempo que tarda un paquete
para viajar desde y hacia su destino. Esta información puede ser utilizada para generar reenvíos más rápido que suele ser el caso.
También se utiliza por el sistema operativo de huellas dactilares. TSOPT es una ocurrencia común en las redes modernas.
ALTCHKREQ opción TCP
551
Determina cómo NetDefendOS manejarán las opciones de solicitud de suma de control alternativos. Estas opciones fueron inicialmente destinados a
ser utilizados en la negociación para el uso de mejores sumas de comprobación de TCP. Sin embargo, estos no son entendidos por los sistemas
estándar de cualquier actuales. Como NetDefendOS no puede entender los algoritmos de suma de comprobación que no sean el algoritmo estándar,
estas opciones no se pueden aceptar. La opción ALTCHKREQ normalmente nunca visto en las redes modernas.
Defecto: StripLog
ALTCHKDATA opción TCP
Determina cómo NetDefendOS manejarán las opciones de datos de suma de control alternativos. Estas opciones se utilizan para transportar sumas de
comprobación alternativos cuando estén permitidos por ALTCHKREQ anteriormente. Normalmente no se ve en las redes modernas.
Defecto: StripLog
Opción TCP Con Tiempo de espera
Determina cómo NetDefendOS manejarán opciones de recuento de conexión.
Defecto: StripLogBad
Opción TCP Otros
Especifica cómo NetDefendOS se ocupará de opciones TCP no cubiertos por los ajustes anteriores. Estos usualmente nunca
aparecen en las redes modernas.
Defecto: StripLog
TCP SYN / URG
Especifica cómo NetDefendOS se ocupará de los paquetes TCP SYN con banderas (sincronizar) y banderas URG (datos urgentes) ambos
encendidos. La presencia de una bandera SYN indica que una nueva conexión está en el proceso de ser abierto, y una bandera URG significa
que el paquete contiene datos que requieren una atención urgente. Estas dos banderas no deben ser activados en un solo paquete, ya que se
utilizan exclusivamente para estrellarse ordenadores con pilas TCP pobremente implementadas.
Defecto: DropLog
TCP SYN / PSH
Especifica cómo NetDefendOS se ocupará de los paquetes TCP con SYN y PSH (push) banderas ambos encendidos. El
indicador PSH significa que la pila receptor debe enviar de inmediato la información en el paquete de la aplicación de destino en
el ordenador.
Estas dos banderas no deben estar encendidos al mismo tiempo, ya que podría suponer un riesgo de accidente para pilas TCP pobremente
implementadas. Sin embargo, algunos sistemas Apple Mac implementan TCP de un modo no estándar, lo que significa que siempre se
envían paquetes SYN con la bandera PSH encendido. Esta es la razón por NetDefendOS normalmente elimina el indicador PSH y permite
que el paquete a través a pesar de que tales paquetes se abandonarían si se siguen estrictamente las normas.
Defecto: StripSilent
TCP SYN / RST
El indicador TCP RST junto con SYN; normalmente no válido (tira = tira RST).
552
Defecto: DropLog
TCP SYN / FIN
El indicador TCP FIN junto con SYN; normalmente no válido (tira = tira FIN).
Defecto: DropLog
FIN de TCP / URG
Especifica cómo NetDefendOS se ocupará de los paquetes TCP con tanto FIN (Finalizar, cerca de la conexión) y banderas URG activado.
Normalmente, esto no debería ocurrir nunca, ya que no se suele intentó cerrar una conexión al mismo tiempo que el envío de datos "importantes".
Esta combinación indicador podría utilizarse para chocar pilas TCP pobremente implementadas y también se utiliza por el sistema operativo de
huellas dactilares.
Defecto: DropLog
TCP URG
Especifica cómo NetDefendOS se ocupará de los paquetes TCP con el indicador URG encendidos, independientemente de cualquier otra bandera.
Muchas pilas TCP y aplicaciones ocupan de banderas urgentes en el camino equivocado y pueden, en el peor de los casos, dejar de trabajar. Tenga
en cuenta sin embargo, que algunos programas, como FTP y MS SQL Server, casi siempre utilizan el indicador URG.
Defecto: StripLog
TCPE ECN
Especifica cómo NetDefendOS se ocupará de los paquetes TCP, ya sea con la bandera de Navidad o YMAS encendido. Estos indicadores se utilizan
actualmente en su mayoría por el sistema operativo de huellas dactilares.
Cabe señalar que el desarrollo de un estándar llamado La notificación explícita de congestión También hace uso de estos indicadores TCP,
pero siempre y cuando sólo hay unos pocos sistemas operativos que apoyan esta norma, las banderas, deberían perder.
Defecto: StripLog
TCP Reservados Campo
Especifica cómo NetDefendOS se ocupará de la información presente en el "campo reservado" en el encabezado TCP, que normalmente debería ser 0.
Este campo no es la misma que la Navidad y ymas banderas. Utilizado por el sistema operativo de huellas dactilares.
Defecto: DropLog
TCP NULL
Especifica cómo NetDefendOS se ocupará de los paquetes TCP que no tienen ninguno de los SYN, ACK, banderas FIN o RST encendidos. De
acuerdo con el estándar TCP, tales paquetes son ilegales y son utilizados por ambos OS huellas digitales y escáneres de puerto de sigilo, ya que
algunos servidores de seguridad no son capaces de detectarlas.
Defecto: DropLog
Los números de secuencia TCP
553
Determina si el rango de número de secuencia ocupado por un segmento TCP se comparará con la ventana de recepción anunciada
por el examinador de recepción antes de desviar el segmento.
la validación de número de secuencia TCP sólo es posible en las conexiones rastreados por el estado-motor (no en paquetes reenviados usando
una FwdFast regla).
Los valores posibles son:
• Ignorar - No validar. Significa que la validación de número de secuencia está totalmente apagado.
• ValidateSilent - Validar y transmitir.
• ValidateLogBad - Validar y transmitir, registrar si el mal.
• ValidateReopen - Validar reabrir intento como el tráfico normal; validar y transmitir.
• ValidateReopenLog - Validar reabrir intentos como el tráfico normal; validar, registrar si el mal.
• ReopenValidate - No validar abrir de nuevo los intentos de todos; validar y transmitir.
• ReopenValidLog - No validar abrir de nuevo los intentos de todos; validar, registrar si el mal.
Notas sobre la TCPSequenceNumbers ajuste
El valor por defecto ValidateLogBad ( o la alternativa ValidateSilent) permitirá que el comportamiento de facto de TCP reabrir intentos, lo que
significa que van a rechazar los intentos de re-abierta con un número de secuencia utilizado anteriormente.
ValidateReopen y ValidReopenLog son las opciones especiales que dan el comportamiento por defecto se encuentra en las versiones
anteriores de NetDefendOS donde sólo se permitirá reabrir intentos utilizando un número de secuencia que cae dentro de la ventana de
TCP (o utilizó por última vez). Esto es más restrictiva que
ValidateLogBad / ValidateSilent, y bloqueará algunos intentos de reabrir TCP válidos. El impacto más significativo de esto será que el tráfico
(transacciones cortas pero completas solicitadas a un conjunto relativamente pequeño de clientes, que se producen al azar con un
intervalo de unos pocos segundos) comunes surf web se ralentizará considerablemente, mientras que la mayoría del tráfico TCP "normal"
seguirá trabajando como de costumbre.
El uso de cualquiera ValidateReopen o ValidateReopenLog Es, sin embargo, no se recomienda ya que el mismo efecto se puede lograr al no
permitir la re-abierta intentos TCP en conjunto. existen estos ajustes sobre todo para la compatibilidad hacia atrás.
ReopenValidate y ReopenValidLog son variantes menos restrictivas que ValidateLogBad o

ValidateSilent. Ciertos clientes y / o sistemas operativos podrían tratar de utilizar un número de secuencia al azar cuando se vuelva a abrir una
conexión TCP de edad (por lo general debido a la preocupación por la seguridad) y esto puede no funcionar bien con estos ajustes. Una vez más,
es más propensos a ser afectados tráfico navegación por Internet, aunque es probable que se produzca el impacto al azar. Utilizando estos
valores en lugar de la configuración predeterminada desactivar por completo la secuencia de validación del número de TCP reabrir intentos. Una
vez establecida la conexión, se reanudará la validación de número de secuencia TCP normal.
Permitir TCP Reabrir
Permitir a los clientes a volver a abrir conexiones TCP que se encuentran en el estado cerrado.
554
13.3. Configuración ICMP Nivel Capítulo 13. Configuración avanzada
13.3. Configuración ICMP Nivel
ICMP envía Límite segundos por
Especifica el número máximo de mensajes ICMP NetDefendOS pueden generar por segundo. Esto incluye las respuestas del ping,
mensajes de destino inaccesible y también paquetes TCP RST. En otras palabras, esta configuración limita cuántos rechaza por segundo
pueden ser generados por las reglas Rechazar en la sección de Reglas.
Defecto: 500
Silenciosamente ICMPErrors gota Estado
Especifica si NetDefendOS debe caer en silencio errores ICMP relativos a statefully conexiones abiertas rastreados. Si estos
errores no se dejan caer por este ajuste, se pasan a la norma establecida para la evaluación como cualquier otro paquete.
Defecto: Activado
555
13.4. ajustes para el estado Capítulo 13. Configuración avanzada
13.4. ajustes para el estado
conexión Reemplazar
Permite nuevas adiciones a la lista de conexiones NetDefendOS para reemplazar las antiguas conexiones si no hay espacio disponible.
Defecto: ReplaceLog
Abrir registro se produce un error
En algunos casos en los que la sección de Reglas determina que un paquete se debe permitir a través de, el mecanismo de inspección
de estado puede decidir posteriormente que el paquete no puede abrir una nueva conexión. Un ejemplo de esto es un paquete TCP
que, aunque permitido por la sección de Reglas y no ser parte de una conexión establecida, tiene su bandera SYN apagado. Tales
paquetes no pueden abrir nuevas conexiones. Además, las nuevas conexiones no pueden ser abiertos por los mensajes ICMP que no
sean de eco ICMP (ping). Este ajuste determina si NetDefendOS es registrar la ocurrencia de tales paquetes.
Defecto: Activado
De registro se abre inversas
Determina si NetDefendOS registra los paquetes que intentan abrir una nueva conexión de vuelta a través de uno que ya está
abierto. Esto sólo se aplica a los paquetes TCP con el indicador SYN activado y a los paquetes ICMP ECHO. En el caso de otros
protocolos como UDP, no hay manera de determinar si el interlocutor remoto está intentando abrir una nueva conexión.
Defecto: Activado
Entrar Violaciónes del Estado
Determina si NetDefendOS registra los paquetes que violen el diagrama de estado de conmutación prevista de una conexión, por ejemplo,
conseguir los paquetes TCP de aleta en respuesta a los paquetes TCP SYN.
Defecto: Activado
registrar las conexiones
Especifica cómo NetDefendOS, se conectarán las conexiones:
• NoLog - No ingrese ninguna conexión; en consecuencia, no importará si el registro está habilitado para cualquiera Permitir o NAT reglas
en el conjunto de reglas IP; no se registrarán. Sin embargo, FwdFast, Gota
y Rechazar reglas serán registrados conforme a lo estipulado por los ajustes en la sección de Reglas.
• Iniciar sesión - registra las conexiones en forma corta; da una breve descripción de la conexión, que regla permitió que se hizo y
cualquier SAB reglas que se aplican. Las conexiones también se registrarán cuando están cerrados.
• LogOC - En cuanto a Log, sino que incluye los dos paquetes que hacen que la conexión que se abre y se cierra. Si se cierra una conexión
como resultado de un tiempo de espera, se registrará ningún paquete que termina
• LogOCAll - Registra todos los paquetes que participan en la apertura y cierre de la conexión. En el caso de TCP, esto cubre todos los
paquetes con SYN, RST o FIN banderas encendidos
• LogAll - Registra todos los paquetes de la conexión.
556
13.4. ajustes para el estado Capítulo 13. Configuración avanzada
Defecto: Iniciar sesión
Conexión registro de uso
Esto genera un mensaje de registro para cada paquete que pasa a través de una conexión que está configurado en el estado-motor
NetDefendOS. Tráfico cuyo destino es la propia NetDefend Firewall, por ejemplo el tráfico de administración NetDefendOS, no está sujeto
a esta configuración.
El mensaje de registro incluye el puerto, servicio, dirección de origen / destino IP y la interfaz. Esta configuración sólo debe ser habilitado para
fines de diagnóstico y de prueba ya que genera volúmenes difíciles de manejar de mensajes de registro y también puede afectar
significativamente el rendimiento del caudal.
Las conexiones dinámicas Max
Asignar el valor Max conexión dinámicamente.
Defecto: Activado
Conexiones Max
Este ajuste se aplica si Las conexiones dinámicas Max anterior está desconectado. Especifica el número de conexiones NetDefendOS
pueden mantener abiertas en un momento dado. Cada conexión consume aproximadamente 150 bytes de RAM. Cuando esta configuración
es dinámica, NetDefendOS intentarán usar tantas conexiones como se permite según el producto.
Defecto: 8192
557
13.5. Configuración del tiempo de espera de conexión Capítulo 13. Configuración avanzada
13.5. Configuración del tiempo de espera de conexión
Los valores de esta sección se especifica cuánto tiempo una conexión puede permanecer inactiva, es decir, sin datos que se envían a través de él,
antes de que se cierra automáticamente. Tenga en cuenta que cada conexión tiene dos valores de tiempo de espera: una para cada dirección. Una
conexión se cierra si cualquiera de los dos valores llega a 0.
TCP SYN por vida inactivo
Especifica en segundos el tiempo que se permite una conexión TCP, que no se ha establecido completamente, a ralentí antes de cerrarse.
Defecto: 60
TCP por vida inactivo
Especifica en segundos el tiempo que una conexión TCP plenamente establecida puede estar inactiva antes de cerrarse. Conexiones desarrollado
plenamente una vez que los paquetes con sus banderas SYN han viajado fuera en ambas direcciones.
Defecto: 262144
TCP FIN inactivo por vida
Especifica en segundos el tiempo que una conexión TCP a punto de cerrarla, puede estar inactiva antes de ser finalmente cerrada. Conexiones llegar a
este estado cuando un paquete con su indicador FIN en ha pasado en cualquier dirección.
Defecto: 80
UDP por vida inactivo
Especifica en segundos cómo las conexiones UDP largas pueden estar inactiva antes de cerrarse. Este valor de tiempo de espera es generalmente
baja, como UDP no tiene manera de señalización cuando la conexión está a punto de cerrar.
Defecto: 130
UDP bidireccional keep-alive
Esto permite que ambas partes mantienen una conexión UDP con vida. El valor por defecto es para NetDefendOS para marcar una
conexión tan vivo (ocupado) cada vez que se envía los datos desde el lado que abre la conexión. Las conexiones que no reciben los datos
desde el lado de la abertura dentro de la vida útil UDP serán, por tanto, estar cerradas, incluso si el otro lado continúa para transmitir datos.
Ping por vida inactivo
Especifica en segundos el tiempo que una conexión de ping (ICMP ECHO) puede permanecer inactiva antes de que se cierre.
Defecto: 8
IGMP por vida inactivo
curso de la vida de conexión para IGMP en segundos.
558
13.5. Configuración del tiempo de espera de conexión Capítulo 13. Configuración avanzada
Defecto: 12
Otro curso de la vida inactivo
Especifica cómo en cuestión de segundos largas conexiones que utilizan un protocolo desconocido puede permanecer inactivo antes de que se cierre.
Defecto: 130
559
13.6. Ajustes límite de longitud Capítulo 13. Configuración avanzada
13.6. Ajustes límite de longitud

Esta sección contiene información acerca de los límites de tamaño impuestas en los protocolos directamente bajo nivel de IP, tales como TCP,
UDP e ICMP.
Los valores indicados aquí se refieren a los datos contenidos en los paquetes IP. En el caso de Ethernet, un solo paquete puede contener
hasta 1480 bytes de datos IP sin fragmentación. Además de eso, hay otros 20 bytes de encabezado IP y 14 bytes de cabecera de Ethernet,
que corresponde a la unidad de transmisión de medios de comunicación máxima en redes Ethernet de 1514 bytes.
Max TCP Longitud
Especifica el tamaño máximo de un paquete TCP incluyendo la cabecera. Este valor generalmente se correlaciona con la cantidad de datos IP que
pueden ser acomodadas en un paquete no fragmentado, ya que por lo general se adapta TCP los segmentos envía para ajustarse al tamaño
máximo de paquete. Sin embargo, puede ser necesario aumentar en un 20-50 bytes en algunos sistemas VPN menos comunes de este valor.
Defecto: 1480
Max UDP Longitud
Especifica en bytes el tamaño máximo de un paquete UDP incluyendo la cabecera. Este valor también puede tener que ser bastante alto, ya que
muchas aplicaciones en tiempo real utilizan paquetes UDP grandes y fragmentadas. Si no se utilizan tales protocolos, el límite de tamaño impuesta
a los paquetes UDP probablemente se puede bajar hasta 1480 bytes.
Defecto: 60000
Max ICMP Longitud
Especifica en bytes el tamaño máximo de un paquete ICMP. mensajes de error ICMP no debe superar los 600 bytes, aunque los paquetes
de ping pueden ser mayores si así lo solicita. Este valor puede reducirse a 1000 bytes si el uso de grandes paquetes Ping no es deseable.
Defecto: 10000
Max GRE Longitud
Especifica en bytes el tamaño máximo de un paquete GRE. GRE, Generic Routing Encapsulation, tiene varios usos,
incluyendo el transporte de PPTP, PPTP, los datos. Este valor debe fijarse en el tamaño del paquete más grande permite
que pase a través de las conexiones VPN, independientemente de su protocolo original, además de aprox. 50 bytes.
Defecto: 2000
Max ESP Longitud
Especifica en bytes el tamaño máximo de un paquete ESP. ESP, encapsulación Carga de seguridad, es utilizado por IPsec donde se
aplica el cifrado. Este valor debe fijarse en el tamaño del paquete más grande permite que pase a través de las conexiones VPN,
independientemente de su protocolo original, además de aprox. 50 bytes.
Defecto: 2000
Max AH Longitud
560
13.6. Ajustes límite de longitud Capítulo 13. Configuración avanzada
Especifica en bytes el tamaño máximo de un paquete AH. AH, Authentication Header, es utilizado por IPsec donde se aplica sólo la
autenticación. Este valor debe fijarse en el tamaño del paquete más grande permite que pase a través de las conexiones VPN,
Defecto: 2000
Max longitud del salto
Especifica en bytes el tamaño máximo de un paquete SKIP.
Defecto: 2000
Max OSPF Longitud
Especifica el tamaño máximo de un paquete OSPF. OSPF es un protocolo de enrutamiento utilizado principalmente en LANs más grandes.
Defecto: 1480
Max IPIP / Longitud FWZ
Especifica en bytes el tamaño máximo de un paquete IP en IP. IP-en-IP es utilizado por Checkpoint Firewall-1 conexiones VPN cuando
no se utiliza IPsec. Este valor debe fijarse en el tamaño del paquete más grande permite que pase a través de las conexiones VPN,
Defecto: 2000
Max IPsec IPComp Longitud
Especifica en bytes el tamaño máximo de un paquete IPComp.
Defecto: 2000
Max L2TP Longitud
Especifica en bytes el tamaño máximo de una capa 2 de paquetes de protocolo de túnel.
Defecto: 2000
Max Otro Largo
Especifica en bytes el tamaño máximo de los paquetes que pertenecen a los protocolos que no están especificados anteriormente.
Defecto: 1480
Los paquetes de gran tamaño log
Especifica si se van a iniciar sesión NetDefendOS ocurrencias de paquetes de gran tamaño.
Defecto: Activado
561
13.7. Ajustes de fragmentación Capítulo 13. Configuración avanzada
13.7. Ajustes de fragmentación

IP es capaz de transportar hasta 65.536 bytes de datos. Sin embargo, la mayoría de los medios de comunicación, tales como Ethernet, no pueden
llevar a tales enormes paquetes. Para compensar, la pila IP fragmenta los datos a ser enviados en paquetes separados, cada uno de ellos dado su
propia cabecera IP y la información que ayudará al destinatario reensamblar el paquete original correctamente.
Muchas pilas IP, sin embargo, no son capaces de manejar paquetes fragmentados de forma incorrecta, un hecho que puede ser explotada por
los intrusos para chocar tales sistemas. NetDefendOS ofrece protección contra ataques de fragmentación en un número de maneras.
Pseudo REASS Max Concurrent
Número máximo de reassemblies fragmento concurrentes. Para retirar todos los paquetes fragmentados, establecer
PseudoReass_MaxConcurrent a 0.
Defecto: 1024
fragmentos ilegales
Determina cómo NetDefendOS manejarán de forma incorrecta fragmentos construidos. El término "construido incorrectamente" se refiere a
fragmentos, fragmentos duplicados con diferentes datos, tamaños de los fragmentos incorrectas, etc. configuraciones posibles incluyen la
superposición de:
• soltar - Descarta el fragmento ilegal sin conectarse él. También recuerda que el paquete que está siendo vuelto a montar es
"sospechoso", que se puede utilizar para el registro de más abajo de la pista.
• DropLog - Los descartes y registra el fragmento ilegal. También recuerda que el paquete que está siendo vuelto a montar es "sospechoso",
que se puede utilizar para el registro de más abajo de la pista.
• DropPacket - Descarta el fragmento ilegal y todos los fragmentos previamente almacenados. No permitirá más fragmentos de este
paquete para pasar a través durante ReassIllegalLinger segundos.
• DropLogPacket - Como DropPacket, sino que también registra el evento.
• DropLogAll - Como DropLogPacket, pero también registra otros fragmentos que pertenecen a este paquete que llega durante
ReassIllegalLinger segundos.
La elección de si para descartar fragmentos individuales o no permitir el paquete entero se rige por dos factores:
• Es más seguro para descartar el paquete entero.
• Si, como resultado de la recepción de un fragmento ilegal, se elige para descartar todo el paquete, los atacantes serán capaces de
interrumpir la comunicación mediante el envío de fragmentos ilegales durante un montaje posterior, y en este bloque manera casi todas
las comunicaciones.
Defecto: DropLog - descarta fragmentos individuales y recuerda que el intento de volver a montar es "sospechoso".
Fragmento de datos duplicada
Si el mismo fragmento llega más de una vez, esto puede significar que ha sido duplicada en algún momento en su viaje al destinatario
o que un atacante está tratando de interrumpir el reensamblaje del paquete. Con el fin de determinar que es más probable,
NetDefendOS compara los componentes de datos de fragmento. La comparación puede hacerse en 2 a 512 lugares al azar en el
fragmento, se muestrearon cuatro bytes de cada ubicación. Si la comparación se hace en un número mayor de muestras, es más
probable encontrar duplicados no coincidentes. Sin embargo, más comparaciones resultan en mayor carga de CPU.
562
Defecto: Check8 - comparar 8 lugares al azar, un total de 32 bytes
No se ha podido reensamblaje de fragmentos
Reassemblies pueden fallar debido a una de las siguientes causas:
• Algunos de los fragmentos no llegó dentro del tiempo estipulado por la configuración ReassTimeout o ReassTimeLimit.
Esto puede significar que uno o más fragmentos se perdieron en su camino a través de Internet, que es una ocurrencia
muy común.
• NetDefendOS se vio obligado a interrumpir el procedimiento de reensamblaje debido a los nuevos paquetes fragmentados que llegan y
el sistema temporalmente corriendo de recursos. En situaciones como estas, viejos intentos de ensamble están eliminados o marcados
como "fallido".
• Un atacante ha intentado enviar un paquete fragmentado de forma incorrecta.
En circunstancias normales, no es deseable registrar fallos que se producen con frecuencia. Sin embargo, puede ser útil para registrar las
fallas que implican fragmentos "sospechosos". Pueden surgir estos fallos si, por ejemplo, el ajuste IllegalFrags se ha establecido en Drop en
vez de DropPacket.
Los siguientes ajustes están disponibles para FragReassemblyFail:
• NoLog - Sin registro se realiza cuando un intento de volver a montar falla.
• LogSuspect - Registros de intentos fallidos de reensamblado sólo si fragmentos de "sospechosos" han sido implicados.
• LogSuspectSubseq - Como LogSuspect, pero también registra fragmentos subsiguientes del paquete como y cuando llegan
• LogAll - Registra todos los intentos fallidos de montaje.
• LogAllSubseq - Como LogAll, pero también registra fragmentos subsiguientes del paquete como y cuando llegan.
Defecto: LogSuspectSubseq
Los fragmentos cayeron
Si un paquete se le negó la entrada al sistema como resultado de los ajustes en la sección Reglas, también puede valer la pena el registro
fragmentos individuales de ese paquete. El ajuste DroppedFrags especifica cómo actuarán NetDefendOS. Configuraciones posibles para esta
regla son los siguientes:
• NoLog - Sin registro se lleva a cabo más allá de lo estipulado en el conjunto de reglas.
• LogSuspect - Registros individuo dejó caer fragmentos de intentos de reensamblaje afectadas por fragmentos "sospechosos".
• LogAll - Siempre registra individuo dejó caer fragmentos.
Defecto: LogSuspect
Los fragmentos duplicados
Si el mismo fragmento llega más de una vez, esto puede significar que ha sido duplicada en algún momento en su viaje al
destinatario o que un atacante está tratando de interrumpir el reensamblaje del paquete. DuplicateFrags determina si un fragmento
tal debe ser registrado. Tenga en cuenta que DuplicateFragData también puede causar este tipo de fragmentos que se registran si
los datos contenidos en ellos no coinciden. Los ajustes posibles son los siguientes:
563
• NoLog - Sin registro se lleva a cabo en circunstancias normales.
• LogSuspect - Registros duplicados fragmentos si el procedimiento de reensamblaje se ha visto afectada por los fragmentos de "sospechosos".
• LogAll - registra Siempre fragmentos duplicados.
Defecto: LogSuspect
La fragmentación de ICMP
Aparte de eco ICMP (ping), los mensajes ICMP y nunca deben ser fragmentados, ya que contienen datos tan poco que la
fragmentación no debería ser necesario. FragmentedICMP determina la acción tomada cuando NetDefendOS recibe mensajes
fragmentados ICMP que no son ya sea ICMP ECHO o ECHOREPLY.
Defecto: DropLog
Longitud mínima Fragmento
Longitud mínima de Fragmento determina cuán pequeño todos los fragmentos, con la excepción del fragmento final, de un paquete puede
ser expresado en bytes.
A pesar de la llegada de demasiados fragmentos que son demasiado pequeños puede causar problemas para pilas IP, normalmente no es posible
establecer este límite demasiado alto. Es raro el caso de que los remitentes crean fragmentos muy pequeños. Sin embargo, un remitente puede enviar
1480 fragmentos byte y un router o un túnel VPN en la ruta hacia el destinatario posteriormente reducir la MTU efectiva de 1440 bytes. Esto daría lugar
a la creación de un número de 1440 fragmentos de bytes y de un número igual de 40 fragmentos de bytes. Debido a los problemas potenciales que
esto puede causar, la configuración predeterminada en NetDefendOS ha sido diseñado para permitir que los fragmentos más pequeños posibles, 8
bytes, que pasan. Para uso interno, donde se sabe que todos los tamaños de medios de comunicación, este valor puede ser elevado a 200 bytes o
más.
Defecto: 8
Tiempo de espera de volver a montar
Un intento de reensamblaje se interrumpirá si no hay más fragmentos llegan dentro de Reensamblaje de tiempo de espera segundos siguientes a la
recepción del fragmento anterior.
Defecto: sesenta y cinco
Límite máximo de reensamblaje Tiempo
Un intento de volver a montar siempre será interrumpido segundo límite reensamblado de tiempo después de que el primer fragmento recibida
llegó.
Defecto: 90
Hecho reensamblaje Límite
Una vez que un paquete ha sido vuelto a montar, NetDefendOS es capaz de recordar el reensamblaje para este número de segundos con el
fin de evitar más fragmentos, por ejemplo los viejos fragmentos duplicados, de ese paquete de llegar.
Defecto: 20
564
Límite ilegal reensamblaje
Una vez que un paquete entero se ha marcado como ilegal, NetDefendOS es capaz de retener esto en memoria para este número de
segundos con el fin de evitar más fragmentos de ese paquete de llegar.
Defecto: 60
565
13.8. Configuración de reensamblaje de fragmentos Capítulo 13. Configuración avanzada
locales
13.8. Configuración de reensamblaje de fragmentos locales
Max Concurrent
Número máximo de reassemblies locales simultáneas.
Defecto: 256
Tamaño máximo
El tamaño máximo de un paquete reensamblado a nivel local.
Defecto: 10000
Los tampones grandes
Número de grandes (más de 2K) reensamblaje buffers locales (del tamaño de arriba).
Defecto: 32
566
13.9. Otras configuraciones Capítulo 13. Configuración avanzada
13.9. Otras configuraciones
UDP Puerto de origen 0
¿Cómo tratar los paquetes UDP con el puerto de origen 0.
Defecto: DropLog
puerto 0
¿Cómo tratar TCP / UDP con paquetes puerto de destino 0 y los paquetes TCP con el puerto de origen 0.
Defecto: DropLog
tiempo de supervisión
Número de segundos que no responden antes organismo de control se activa (0 = desactivado).
Defecto: 180
Inundación Tiempo de reinicio
Como una forma definitiva a cabo, NetDefendOS se reinicia automáticamente si sus buffers se han inundado por un largo tiempo. Este ajuste
especifica esta cantidad de tiempo.
Defecto: 3600
Conexiones Max
Paquete de re-ensamblaje recoge fragmentos IP en datagramas IP completo y, por TCP, reordena los segmentos de manera que se procesan
en el orden correcto y también para mantener un registro de segmento potencial superposiciones y para informar a otros subsistemas de tales
solapamientos. Los ajustes asociados límite de memoria utilizada por el subsistema de re-ensamblaje.
Este ajuste especifica el número de conexiones pueden utilizar el sistema de re-ensamblaje, al mismo tiempo. Se expresa como un
porcentaje del número total de conexiones permitidas. Mínimo 1, máximo 100.
Defecto: 80
memoria Max
Esta configuración especifica la cantidad de memoria que el sistema de re-ensamblaje puede asignar para procesar paquetes. Se
expresa como un porcentaje de la memoria total disponible. Mínimo 1, máximo 100.
Defecto: 3
Los usuarios Max Pipe
El número máximo de usuarios de tubería para asignar. Como los usuarios de tubos solamente se realiza un seguimiento de 20 de un segundo, este
número por lo general no tiene que estar en cualquier lugar cerca del número real de usuarios, o el número de conexiones statefully rastreados. Si no
hay tubos configurados, ningún usuario de tuberías serán asignados, independientemente de este ajuste. Para obtener más información acerca de las
tuberías y los usuarios de tubos, véanse
Sección 10.1, “Asignación de tráfico”.
567
Defecto: 512
568
569
Apéndice A. Suscripción a Actualizaciones
Visión de conjunto
El módulo NetDefendOS Anti-Virus (AV), el módulo de detección de intrusiones y prevención (IDP) y el módulo de filtrado de contenido Web
dinámico usando todas las funciones de bases de datos externas D-Link que contienen detalles de los últimos virus, amenazas a la seguridad
y la categorización de URL. Estas bases de datos se actualizan constantemente y para tener acceso a las últimas actualizaciones de un
D-Link Actualización de seguridad de suscripción debe ser sacado. Esto se realiza mediante:
• La compra de una suscripción de un distribuidor local de D-Link.
• En la compra, los clientes reciben un único código de activación para identificarlos como un usuario del servicio.
• Ir: Mantenimiento> Licencia En la interfaz web de su sistema NetDefend Firewall e introduzca el código de activación.
NetDefendOS indicarán el código es aceptado y se activará el servicio de actualización. (Asegúrese de que el acceso a la
Internet pública es posible cuando' hacer esto).
Consejo: Una guía de inscripción se puede descargar
Un "Manual de Registro" paso a paso que explica los procedimientos de registro y actualización de servicios con más detalle
está disponible para su descarga desde el sitio web de D-Link.
Renovación de la suscripción
En la interfaz web ir a Mantenimiento> Licencia para comprobar qué servicios de actualización se activan y cuando su suscripción está
extremos.
Importante: Renueva en buen momento
Renovar su suscripción antes de que finalice su suscripción actual! No lo deje para el último momento.
Supervisión de actualización de las bases
En la interfaz web ir a Mantenimiento> Actualizar para configurar la base de datos de actualización automática. El administrador
también puede comprobar si la última actualización se intentó y en qué estado era para ese intento.
En la misma zona de la interfaz web también es posible iniciar manualmente la actualización seleccionando
Actualizar ahora para descargar las últimas firmas de la base de datos.
Base de datos comandos de consola

bases de datos de PDI y Anti-Virus (AV) se pueden controlar directamente a través de una serie de comandos de la consola.
Adelantarse a la base de datos Actualizaciones
Una actualización de base de datos IDP puede ser obligado en cualquier momento utilizando el comando:
GW-mundo: /> updatecenter -update IDP
570
Base de datos comandos de consola Apéndice A. Suscripción a Actualizaciones
Una actualización Anti-Virus Del mismo modo se puede iniciar con el comando:
GW-mundo: /> updatecenter -update Antivirus
Consulta de Estado de la actualización
Para obtener el estado de las actualizaciones de desplazados utilizar el comando:
GW-mundo: /> updatecenter -status IDP
Para obtener el estado de las actualizaciones de AV:
GW-mundo: /> updatecenter -status Antivirus
Consulta de estado del servidor
Para obtener el estado de los servidores de red D-Link utilizar el comando:
GW-mundo: /> updatecenter -servers
La eliminación de bases de datos locales
Algunos problemas técnicos en el funcionamiento de cualquiera de los módulos Anti-Virus IDP o puede ser resuelto mediante la supresión de la base
de datos y volver a cargar. Para IDP esto se hace con el comando:
GW-mundo: /> removeDB IDP
Para eliminar la base de datos Anti-Virus, utilice el comando:
GW-mundo: /> removeDB Antivirus
Una vez eliminado, todo el sistema debe ser reiniciado y una actualización de la base iniciada. También se recomienda la eliminación de la base de
datos si bien IDP o Anti-Virus no se utiliza durante períodos más largos de tiempo.
Nota: Actualización de la base de datos hace una pausa en el procesamiento
actualizaciones de la base antivirus requieren un par de segundos para optimizar una vez que se haya descargado una
actualización. Esto hará que el servidor de seguridad para hacer una pausa momentánea en su funcionamiento. Por lo tanto, puede
ser mejor para establecer el calendario de actualizaciones para estar en momentos de poco tráfico, como en las primeras horas de
la mañana. Eliminación de una base de datos puede causar una pausa similar en funcionamiento.
571
Apéndice B. IDP Firma Grupos
Para la exploración de desplazados internos, los siguientes grupos de la firma están disponibles para la selección. Estos grupos sólo están
disponibles para el Servicio Avanzado IDP D-Link. Hay una versión de cada grupo en los tres
tipos de IDS, IPS y Política. Para más información, véase Sección 6.5, “Detección y prevención de intrusiones”.
Nombre del grupo Tipo de intrusiones
APP_AMANDA Amanda, una copia de seguridad de software populares
APP_ETHEREAL Etéreo
APP_ITUNES reproductor de Apple iTunes
APP_REALPLAYER reproductor multimedia de RealNetworks
APP_REALSERVER reproductor de RealNetworks RealServer
APP_WINAMP WinAMP
APP_WMP MS Windows Media Player
AUTHENTICATION_GENERAL Authenticantion
AUTHENTICATION_KERBEROS Kerberos
AUTHENTICATION_XTACACS XTACACS
BACKUP_ARKEIA solución de copia de seguridad de red
BACKUP_BRIGHTSTOR soluciones de copia de seguridad de CA
BACKUP_GENERAL soluciones de copia de seguridad generales
BACKUP_NETVAULT solución de copia de seguridad NetVault
BACKUP_VERITAS Las soluciones de respaldo
BOT_GENERAL Las actividades relacionadas con los robots, incluyendo los controlados por canales de IRC
BROWSER_FIREFOX Mozilla Firefox
BROWSER_GENERAL ataques generales dirigidas a los navegadores web / clientes
BROWSER_IE microsoft Internet Explorer
BROWSER_MOZILLA navegador Mozilla
COMPONENT_ENCODER Codificadores, como parte de un ataque.
COMPONENT_INFECTION Infección, como parte de un ataque
COMPONENT_SHELLCODE código de Shell, como parte de los ataques
DB_GENERAL Los sistemas de bases de datos
DB_MSSQL MS SQL Server
DB_MYSQL MySQL DBMS
DB_ORACLE Oracle DBMS
DB_SYBASE servidor Sybase
DCOM_GENERAL MS DCOM
DHCP_CLIENT actividades relacionadas con el cliente DHCP
DHCP_GENERAL protocolo DHCP
SERVIDOR DHCP actividades relacionadas con el servidor DHCP
DNS_EXPLOIT ataques DNS
DNS_GENERAL Nombre de dominio de Sistemas
DNS_OVERFLOW ataque de desbordamiento de DNS
DNS_QUERY ataques relacionados con la consulta
ECHO_GENERAL protocolo de eco y las implementaciones
ECHO_OVERFLOW desbordamiento del búfer de eco
FINGER_BACKDOOR puerta trasera dedo
FINGER_GENERAL protocolo de dedo y ejecución
FINGER_OVERFLOW El rebosadero para el protocolo Finger / implementación
FS_AFS Andrew File System
FTP_DIRNAME ataque nombre de directorio
572
FTP_FORMATSTRING ataque de cadena de formato
FTP_GENERAL protocolo FTP y ejecución
ftp_login ataques de inicio de sesión
FTP_OVERFLOW FTP desbordamiento de búfer
GAME_BOMBERCLONE BomberClone juego
GAME_GENERAL servidores de juegos genéricos / clientes
GAME_UNREAL Servidor de juego UnReal
HTTP_APACHE httpd Apache
HTTP_BADBLUE servidor web BadBlue
HTTP_CGI HTTP CGI
HTTP_CISCO Cisco servidor Web incorporado
HTTP_GENERAL Actividades generales HTTP
HTTP_MICROSOFTIIS Los ataques HTTP específicas de servidor web MS IIS
HTTP_OVERFLOWS Desbordamiento de búfer para los servidores HTTP
HTTP_TOMCAT Tomcat JSP
ICMP_GENERAL protocolo y la implementación de ICMP
IGMP_GENERAL IGMP
IMAP_GENERAL protocolo IMAP / implementación
IM_AOL AOL IM
IM_GENERAL implementaciones de mensajería instantánea
IM_MSN MSN Messenger
IM_YAHOO Yahoo Messenger
IP_GENERAL protocolo IP e implementación
IP_OVERFLOW Desbordamiento del protocolo IP / implementación
IRC_GENERAL Internet Relay Chat
LDAP_GENERAL LDAP General de clientes / servidores
LDAP_OPENLDAP Open LDAP
LICENSE_CA-LICENCIA gestión de licencias de software de CA.
LICENSE_GENERAL Administrador de licencias en general
MALWARE_GENERAL ataque de malware
METASPLOIT_FRAME ataque marco de Metasploit
METASPLOIT_GENERAL ataque general Metasploit
MISC_GENERAL ataque general
MSDTC_GENERAL MS DTC
MSHELP_GENERAL Ayuda de Microsoft Windows
NETWARE_GENERAL Protocolo central de NetWare
NFS_FORMAT Formato
NFS_GENERAL protocolo NFS / implementación
NNTP_GENERAL NNTP aplicación / protocolo
OS_SPECIFIC-AIX específica de AIX
OS_SPECIFIC GENERAL OS en general
OS_SPECIFIC-UX HP-UX relacionados
OS_SPECIFIC-LINUX específica de Linux
OS_SPECIFIC-SCO SCO específica
OS_SPECIFIC-SOLARIS específica de Solaris
OS_SPECIFIC-VENTANAS específico de windows
P2P_EMULE herramienta P2P eMule
P2P_GENERAL Herramientas generales P2P
P2P_GNUTELLA herramienta P2P Gnutella
PACKINGTOOLS_GENERAL herramientas generales de embalaje ataque
573
PBX_GENERAL PBX
POP3_DOS Denegación de Servicio para POP
POP3_GENERAL v3 Post Office Protocol
POP3_Login ataques adivinar una contraseña de inicio de sesión y el ataque relacionado
POP3_OVERFLOW desbordamiento servidor POP3
POP3_REQUEST-ERRORES Solicitud de error
PORTMAPPER_GENERAL PortMapper
PRINT_GENERAL servidor de impresión LP: LPD LPR
PRINT_OVERFLOW Desbordamiento de LPR / LPD protocolo / aplicación
REMOTEACCESS_GOTOMYPC PC Goto MI
REMOTEACCESS_PCANYWHERE PcAnywhere
REMOTEACCESS_RADMIN Remote Administrator (Radmin)
REMOTEACCESS_VNC-CLIENTE Ataques dirigidos a clientes VNC
REMOTEACCESS_VNC-SERVER Ataque dirigido a servidores VNC
REMOTEACCESS_WIN-TERMINAL Windows Terminal / Remote Desktop
RLOGIN_GENERAL protocolo y aplicación RLogin
RLOGIN_LOGIN-ATAQUE ataques de inicio de sesión
ROUTER_CISCO ataque router Cisco
ROUTER_GENERAL ataque general enrutador
ROUTING_BGP protocolo enrutador BGP
RPC_GENERAL protocolo y aplicación RFC
RPC_JAVA-RMI Java RMI
RSYNC_GENERAL rsync
SCANNER_GENERAL escáneres genéricos
SCANNER_NESSUS escáner Nessus
SECURITY_GENERAL soluciones anti-virus
SECURITY_ISS software de Internet Security Systems
SECURITY_MCAFEE McAfee
SECURITY_NAV solución de Symantec AV
SMB_ERROR Error SMB
SMB_EXPLOIT SMB Exploit
SMB_GENERAL ataques SMB
SMB_NETBIOS ataques de NetBIOS
SMB_WORMS gusanos SMB
SMTP_COMMAND-ATAQUE ataque comando SMTP
SMTP_DOS Denegación de Servicio para SMTP
SMTP_GENERAL protocolo SMTP e implementación
SMTP_OVERFLOW SMTP desbordamiento
SMTP_SPAM CORREO NO DESEADO
SNMP_ENCODING codificación SNMP
SNMP_GENERAL protocolo SNMP / implementación
SOCKS_GENERAL protocolo y aplicación SOCKS
SSH_GENERAL protocolo SSH e implementación
Ssh_login-ATAQUE Contraseña de inicio de sesión de la conjetura y ataques relacionados
SSH_OPENSSH servidor OpenSSH
SSL_GENERAL protocolo SSL e implementación
TCP_GENERAL protocolo TCP e implementación
TCP_PPTP PPTP
TELNET_GENERAL protocolo Telnet e implementación
TELNET_OVERFLOW Telnet ataque de desbordamiento de búfer
574
TFTP_DIR_NAME Nombre del directorio ataque
TFTP_GENERAL protocolo TFTP e implementación
TFTP_OPERATION Ataque operación
TFTP_OVERFLOW TFTP ataque de desbordamiento de búfer
TFTP_REPLY Responder ataque TFTP
TFTP_REQUEST ataque petición TFTP
TROJAN_GENERAL Trojan
UDP_GENERAL general de UDP
UDP_POPUP Ventana emergente para MS Windows
UPNP_GENERAL UPnP
VERSION_CVS CVS
VERSION_SVN Subversión
VIRUS_GENERAL Virus
VOIP_GENERAL protocolo VoIP y ejecución
VOIP_SIP protocolo SIP y la ejecución
WEB_CF-ARCHIVO-INCLUSIÓN inclusión de archivos de ColdFusion
WEB_FILE-INCLUSIÓN inclusión de archivos
WEB_GENERAL ataques a las aplicaciones Web
WEB_JSP-ARCHIVO-INCLUSIÓN JSP inclusión de archivos
WEB_PACKAGES populares paquetes de aplicaciones web
WEB_PHP-XML-RPC PHP XML RPC
WEB_SQL-INYECCIÓN Inyección SQL
WEB_XSS Cross-Site Scripting-
WINS_GENERAL MS servicio WINS
WORM_GENERAL lombrices
X_GENERAL X aplicaciones genéricas
575
Apéndice C. tipos de archivos Verified MIME
Algunas pasarelas capa de aplicación (ALG) NetDefendOS tienen la capacidad opcional para verificar que el contenido de un archivo
descargado coincide con el tipo que el tipo de archivo en el nombre del archivo indica. Los tipos de archivo MIME para los que la
verificación se puede hacer se enumeran en este apéndice y la ALG a los que se aplica este son:
• La ALG HTTP
• El FTP ALG
• El POP3 ALG
• El SMTP ALG
Los ALG mencionados anteriormente, también ofrecen la opción de permitir de forma explícita o bloquear ciertos tipos de archivos como descargas de
una lista de tipos. Esa lista es la misma que se encuentra en este apéndice.
Para una descripción más detallada de la verificación MIME y el bloque de tipo de archivo / permitir función, consulte
Sección 6.2.2, “El HTTP ALG”.
extensión de tipo de archivo Solicitud
3ds archivos 3D Studio
3gp archivo multimedia 3GPP
aac MPEG-2 Advanced Audio Coding Archivo
ab applix Constructor
as archivo de la ECA
ad3 Los sistemas de archivos comprimidos dec Voz
ag applix archivo gráfico
AIFF, AIF archivo de intercambio de audio
a.m Macro applix ÚTIL
arco archivo de almacenamiento
Alz archivo comprimido ALZip
avi archivo de audio y vídeo entrelazado
arj archivo comprimido
arca Quark archivo en formato comprimido
ARQ archivo comprimido
como archivo de hoja de cálculo applix
asf archivo Advanced Streaming Format
avr Audio Visual Sound Investigación
aw applix archivo de Word
bh archivo de formato de archivo Blackhole
bmp Ventanas de gráficos de mapa de bits
caja archivo de mensajes de voz VBOX
BSA Archivo comprimido BSARC
BZ, bz2 archivo comprimido Bzip UNIX
taxi archivo de Microsoft gabinete
CDR Corel archivo gráfico vectorial
cgm CGM
chz CHARC archivo en formato comprimido
clase código de bytes de Java
CMF Archivo de música creativa
núcleo / coredump Unix volcado de memoria
576
CPL Panel de control de archivos de Windows Extensión
dBm archivo de base
DCX archivo de mapa de bits multipágina PCX
debutante archivo de paquete Debian Linux
djvu archivo DjVu
DLL archivo de biblioteca de vínculos dinámicos de Windows
dpa DPA datos de archivo
DVI TeX Dispositivo documento independiente
ota archivo de EET
huevo archivo de datos Allegro
el C Emacs Lisp byte-compilado Código Fuente
EMD Formato de archivo de ABT EMD Módulo / canción
esp ESP datos de archivo
exe ejecutable de windows
FGF Free Graphics archivo de formato
FLAC archivo Free Lossless Audio Codec
FLC FLIC Foto animada
Fli FLIC Animación
flv Macromedia Flash Video
gdbm archivo de base
gif archivo de formato de intercambio de gráficos
gzip, GZ, TGZ archivo comprimido gzip
tener suerte HAP datos de archivo
hpk HPack archivo en formato comprimido
hqx Macintosh BinHex 4 archivo comprimido
CPI Kodak Color Management System, perfil ICC
icm Perfil archivo Microsoft ICM color
ico El archivo de icono de Windows
FMI módulo de datos de sonido imago Orpheus
inf El archivo de información SIDPLAY
eso Módulo Música Rastreador Impulso
Java código fuente de Java
tarro archivo JAR de Java
JNG Formato de vídeo JNG
JPG, JPEG, JPE, JFF, jfif, jif archivo JPEG
CCI archivo comprimido Jrchive
jsw Sólo la palabra de sistema Procesador Ichitaro
kdelnk archivo de enlace de KDE
LHA un archivo comprimido LHA
lim Archivo comprimido límite
ceceo datos de archivo LIM
lzh un archivo comprimido LZH
Maryland un archivo comprimido MDCD
MDB Base de datos de Microsoft Access
mediados, midi Interfaz digital de instrumentos musicales MIDI-secuencia de sonido
mmf Yamaha SMAF sintético Formato de la música de aplicaciones móviles
MNG Multi-Red imagen animación gráfica
mod módulo de datos de sonido Ultratracker
mp3 MPEG Audio Stream, Capa III
mp4 archivo de vídeo MPEG-4
577
mpg, mpeg MPEG 1 Sistema de corriente, archivo de vídeo
MPV archivo de vídeo MPEG-1
archivos de Microsoft archivos de Microsoft Office y otros archivos de Microsoft
MSA datos de archivo Atari MSA
niff, nif Armada de intercambio de archivos Formato de mapa de bits
Noa Nancy Video Codec
NSF NES archivo de sonido
obj, o archivo de objeto de Windows, Linux archivo de objeto
OCX Object Linking and Embedding (OLE) de extensión de control
OGG archivo WAV comprimido Ogg Vorbis Codec
fuera ejecutable de Linux
pac CrossePAC datos de archivo
PBF Mapa de bits portátil Formato de la imagen
PBM Portátil gráfico de mapa de bits
pdf Acrobat Portable Document Format
Educación física El archivo ejecutable portátil
PFB PostScript Tipo 1 Fuente
pgm Gráfico portátil Graymap
PKG SysV R4 PKG Datastreams
pll datos de archivo PAKLeo
pma PMarc datos de archivo
png Portátil (Pública) Network Graphic
ppm PBM portátil Gráfico Pixelmap
PD archivo PostScript
psa PSA datos de archivo
psd Formato de archivo de Photoshop
qt, mov, moov Archivo de película QuickTime
qxd documento de QuarkXPress
ra, ram RealMedia Streaming Media
rar archivo comprimido WinRAR
RBS ReBirth archivo de canción
riff, rif archivo de audio de Microsoft
rm RealMedia Streaming Media
rpm RedHat Package Manager
rtf, WRI archivo de formato de texto enriquecido
sar Racionalizar archivo comprimido
OSE datos del instrumento SoundBlaster
Carolina del Sur SC hoja de cálculo
SGI archivo de Silicon Graphics IRIS gráfico
sid Commodore64 (C64) archivo de música (archivo SID)
sentar archivos StuffIt
cielo Archivo comprimido SKY
SND, AU archivo de audio Sun / siguiente
asi que archivos UNIX biblioteca compartida
sof archivo ReSOF
SQW SQWEZ datos de archivo
SQZ Exprimirlo datos de archivo
STM Gritar Módulo Rastreador v2
SVG archivo de gráficos vectoriales escalables
SVR4 SysV R4 PKG Datastreams
578
SWF Formato de archivo de Macromedia Flash
alquitrán archivo de almacenamiento de cinta
TFM de fuentes tipográficas datos de métrica
tiff, tif Etiquetado de archivos Formato de la imagen
tnef Tnef
torrente archivos BitTorrent metainfo
ttf Fuente TrueType
TXW archivos de audio Yamaha TX Wave
ufa UFA datos de archivo
VCF archivo vCard
viv Archivo de vídeo VivoActive reproductor de streaming
wav forma de onda de audio
sem documento de Lotus 1-2-3
WMV archivo de Windows Media
wrl, vrml archivo VRML texto sin formato
xcf Archivo de imagen GIMP
XM Fast Tracker 2 Módulo extendido, archivo de audio
xml archivo XML
xmcd archivo de base de datos para xmcd kscd
xpm El archivo de icono BMC Software Patrulla UNIX
YC archivo comprimido YAC
ZIF imagen ZIF
cremallera Zip un archivo comprimido
Zoo archivo comprimido ZOO
ZPK Zpack datos de archivo
z archivo comprimido Unix
579
Marco Apéndice D. El OSI
Visión de conjunto
los Sistemas abiertos de interconexión ( OSI modelo) define un marco para las comunicaciones entre la computadora. Se
clasifica protocolos diferentes para una gran variedad de aplicaciones de red en siete capas más pequeñas y manejables. El
modelo describe cómo los datos de una aplicación en un ordenador se pueden transferir a través de un medio de red a una
aplicación en otro equipo.
El control de tráfico de datos se transmite de una capa a la siguiente, a partir de la capa de aplicación en un ordenador, de proceder a la
capa inferior, atravesando el medio a otro ordenador y luego entregar hasta la parte superior de la jerarquía. Cada capa se encarga de un
cierto conjunto de protocolos, de modo que las tareas para el logro de una aplicación pueden ser distribuidos a diferentes capas y pueden
implementar de manera independiente. El modelo es relevante para la comprensión del funcionamiento de las muchas características
NetDefendOS tales como ARP, servicios y ALG.
número de capa propósito capa
capa 7 Solicitud
capa 6 Presentación
capa 5 Sesión
capa 4 Transporte
capa 3 Red
capa 2 Enlace de datos
capa 1 Físico
Figura D.1. Las 7 capas del modelo OSI
Funciones de la capa
Las diferentes capas realizan las siguientes funciones:
Capa 7 - Capa de aplicación Define la interfaz de usuario que soporta aplicaciones directamente.
Protocolos: HTTP, FTP, TFTP. DNS, SMTP, Telnet, SNMP y similares. La
ALG operar a este nivel.
Capa 6 - Capa de Presentación Traduce las diversas aplicaciones de red a los formatos uniformes que el
resto de las capas puede entender.
Capa 5 - Capa de Sesión Establece, mantiene y termina las sesiones de toda la red. Protocolos:
NetBIOS, RPC y similares.
Capa 4 - Capa de Transporte datos controla el flujo y proporciona control de errores. Protocolos: TCP, UDP y
similares.
Capa 3 - Capa de Red Realiza direccionamiento y encaminamiento. Protocolos: IP, OSPF, ICMP, IGMP y
similares.
Capa 2 - capa de enlace de datos Crea tramas de datos para la transmisión sobre la capa física e incluye
error de comprobación / corrección. Protocolos: Ethernet, PPP y similares.
ARP funciona a este nivel.
Capa 1 - Capa Física Define la conexión de hardware físico.
580
TFTP, 279
Índice alfabético
TLS, 316
Lista propuesta de algoritmo (ver listas de propuestas) todos
los mosquiteros objeto IP, 92, 136 Permitir regla IP, 139
Permitir que el error de selección (RADIUS), 69 Permitir TCP
UN
Reabrir configuración, 554 ataques de amplificación, 357
reglas de acceso, 263
anonimizar el tráfico de Internet, 368 de filtrado anti-spam
contabilidad, 65
(véase el filtrado de correo no deseado) análisis antivirus, 337
mensajes provisionales, 67
limitaciones con NAT, 69 mensajes,
65
cierres del sistema, 69 activante, 338 de base de datos, 338 fallan
accouting comportamiento del modo, 339 en el FTP ALG,
y alta disponibilidad, libro 68 de 273 en el HTTP ALG, 268 en el POP3 ALG, 289
direcciones, 88 en el SMTP ALG, 280 requisitos de memoria,
direcciones MAC Ethernet, 90, 92 337 relación con IDP, 338 exploraciones
carpetas simultáneas, 337 con ZoneDefense , 341 de
Direcciones IP en, 88
puerta de enlace de capa de aplicación (ver ALG)
grupos de direcciones, 91
ARP, 126
excluyendo direcciones, traducción
de direcciones de 91, 363 cuenta admin,
30
el cambio de contraseña para, varios
accesos 41, 30 configuración avanzada
la configuración avanzada, 130, 131 de caché, 126

ARP, 131 gratuito, 174 de proxy, 180 publicar, 129 estática, 128
tiempo de espera de conexión, 558
xpublish, ajuste de 129 ARP Broadcast, ajuste Tamaño 133
relé DHCP, 257 servidor DHCP, 251
ARP Cache, 127, 133 cambios de ajuste ARP, 132 ARP
fragmentación, 562 de reensamblaje
caducar configuración, 127, 133 ARP expirará entorno
de fragmentos, 566 en general, 546
desconocido, 127, 133 configuración ARP Hash Tamaño,
128, valor Tamaño de VLAN 133 ARP Hash, 128,
configuración 133 ARP IP colisión, 134 ajuste remitente
monitoreo de hardware, de 76 años
ARP Partido Ethernet, configuración 131 ARP multidifusión,
de alta disponibilidad, 537 ICMP, 555
133 ARP ajuste del intervalo de sondeo, 179 la consulta
nivel de IP, IPSec 546, 453 IPv6, 94
ARP sin el ajuste remitente, 132 ARP ajuste de solicitudes,
132 configuración IP del remitente ARP, 132 autenticación,
385
L2TP / PPTP, 463 límite

de longitud, 560 de
registro, 64
monitoreo de memoria, 78
RADIUS, 69
gestión remota, 52 de
enrutamiento, 179 SNMP, 75
estado, 556 nivel TCP, 550 modo
transparente, 244 VLAN, 117 grupo de administradores, 388 agente, grupo
de 396 auditores, 388 páginas de
personalización HTML, 404 bases de datos,
387 de HTTP, 399 base de datos local, 387
Repetición de alarma ajuste de intervalo, 64
reglas, 396 resumen de la configuración, 387
configuración del Nivel de Alerta, 78 ALG, 266
fuente, 397 SSH cliente clave de uso, 389
utilizando grupos con las normas de PI, 387
despliegue, 266 utilizando LDAP, 389 usando RADIUS, 389 con
FTP, 270 una dirección MAC, 400 XAuth, 396
H.323, 302 de HTTP, POP3
267, 289 PPTP, 290 de SIP,
291 SMTP, 280 de filtrado
de correo no deseado, 283
581
Índice alfabético
Agregar automáticamente multidifusión Ruta, 230 sistema cambio rápido, 42 NetDefendOS reiniciar,
autónomo (ver OSPF) Auto intervalo de ahorro de 42 shell seguro, 40 del tabulador,
configuración (DHCP), 258 Guardar automáticamente terminación 37 pestaña de datos, 38
Política de configuración (DHCP), 258 de actualización utilizando nombres de host, 40 secuencias
automática, 83 de comandos de la CLI, 44
segundo
creación automática, 47 pedidos
copias de seguridad de configuraciones, 83
de comando, control de errores
garantías de ancho de banda, los archivos
46, 46 ejecución, nombres de
495 de banner
archivos 45, 44, 47 perfil, la
personalización, 334, 404 para la
eliminación de 47, 46 ahorro, 46
autenticación web, 404 para el filtrado de
contenidos web, 334 parámetros, 334, 405
listas negras
la escritura de pasarela de seguridad (.sgs), 44

hosts y redes, 360 URLs,
carga con SCP, 50 de validación, 46 variables, 45
320 de comodines, 320 con
salida detallada, 46 cluster (ver alta disponibilidad)
IDP, 351
ID de clúster (ver alta disponibilidad) interfaz de
línea de comandos (CLI ver) el modo de
con reglas de umbral, 512 Bloque 0000
configuración, 444 objeto de configuración grupos,
configuración Src, 546 Bloque 0 ajuste neto, 547 del
142
bloque 127 para colocar la red, 547 aplicaciones de
bloqueo con IDP, configuración 343 Bloque de
multidifusión Src, 547 menú de arranque (véase el
arranque menú de la consola) BOOTP, 256 BPDU
y carpetas, 145 y la CLI, 142
reinstalación, 243
propiedades de edición de, 143
configuraciones, 53
el ajuste Remitente emisión Enet, 246

copia de seguridad / restauración, 83 compatibilidad de copia
de seguridad, 83 comprobación de la integridad, de 43 años de
do nombres duplicados, 39 limitación de conexiones (ver reglas de
ajuste Tamaño CAM, 245 umbral) que limita la velocidad de conexión (ver reglas de umbral)
Para CAM caché L3 Dest aprendizaje estableciendo, 244 servidores de conexión Reemplazar configuración, 556 consecutiva
de CA producen errores, el establecimiento de 179 éxito consecutivo,
de acceso, 474, 475 de acceso de cliente de 179 consola
validación incapacitante, 476 de colocación

servidor privado, 475 certificados, 148
menú de inicio, 50 contraseña
CA autoridad, 148 cadenas de que permite, filtrado de contenidos
certificados, 148 peticiones de 51, 319
certificados, 151 listas de contenido activo, el modo de
identificación, 435, 148, lista de auditoría 319, 325 categorías, 327
revocación intermedia 149 dinámico (WCF), 322 de anulación,
autofirmado, 150, 415, 441, certificado 326 de suplantación de identidad, la
de la memoria caché 149 validez, 149, creación de 331, 323 sitio de
418 con IPsec reclasificación, 326 correo no

deseado, 333 estática, 320 de
filtrado de contenido HTML
Solución de problemas VPN, 478

cadenas (en la conformación del tráfico), 486
CLI, 29, 36
cambiar la contraseña de administrador, 41 personalización, 334 interfaz de
historial de comandos, la estructura de núcleo, 107, 136 rutas centrales,
mando 37, 36 de indexación, 39 173 ajuste de nivel crítico, 78
múltiples valores de característica, 39

referencias nombre, categoría 39 objeto,
re
de contexto 38 objeto, de tipo 38 objeto,
fecha y hora, 153
36
Antes de desactivar el ajuste de reconf (HA), 537 de detección de
pares muertos, 439
582
Índice alfabético
configuración TTL decremento, 245 regla por puerta de enlace predeterminada, 109
defecto de acceso, 169, 263 configuración incapacitante, 114 permitiendo, 114 dirección IP,
TTL predeterminado, 547 zona 109 diferencia lógica / física, 112 con DHCP, la
desmilitarizada (DMZ ver) denegación de prevención del ataque 109 evasión, 347 eventos,
servicio, 355 59
destino algoritmo de RLB, 190 DHCP,
249
mostrar información del servidor, 252
contratos, 249 log receptores de mensajes, 60
varios servidores, 250 a través de mensajes de registro, 59
Ethernet, 109 de configuración avanzada
de relé, 257 reinstalación, 256
F
ajuste de reensamblaje de fragmentos fallado, 563 filetype
la configuración avanzada de servidores,
bloque de descarga / permitir
251 de la lista negra de servidores,
FTP ALG, 273 en HTTP ALG, el
servidores 253, 250
establecimiento de inundación 268 Hora de
asignación estática anfitrión, 253 con el
reinicio, 567 carpetas
modo transparente, 237 grupos DH, 428
herramientas de diagnóstico
con las normas de PI, 141 con la libreta
de direcciones, 92 de ajuste fragmentación
pcapdump, 80
de ICMP, FTP ALG 564, 270
Diffie-Hellman (DH ver Grupos) diffserv,
485
restricciones de mando, 272 opciones de conexión
ajuste Directed retransmisiones, 548
de restricción, restricciones de canal de control 272,
algoritmos distancia vector, 196 DMZ, 372
273, 273 de tipo de archivo de cheques modo
DNS, 160
híbrido, configuración IP del servidor 271 de
detección de virus pasiva, 279, 273 de reglas
de búsqueda dinámica, 161
FwdFast IP, 139
Listas negras DNS para el filtrado de correo no deseado,
284, 19 documentación
Ataque DoS (ver denegación de servicio) la descarga de
exclusión de la limitación de tráfico, 488 con las
archivos con SCP, 48 DPD caducar Tiempo de ajuste
normas múltiplex, 222
(IPsec), 456 DPD Mantener ajuste de la hora (IPsec),
ajuste de 455 DPD Métrico (IPsec), 455 caída de todo
dominio IP, 137 regla gota IP, 139 GRAMO
Generic Router encapsulación (ver GRE) ajuste del
tiempo de gracia, 179 generación ARP gratuito, 177
Los fragmentos cayeron de ajuste, 563 DSCP, ARP gratuito en fallar el ajuste, 177, 180 GRE, 120
485
en el establecimiento de precedencia, 492 DST Fin
ajuste de la fecha, 158 DST ajuste del offset, 158 de inicio suma de comprobación adicional, 121 y IP reglas,
de DST ajuste de la fecha, 158 configuración duplicada 122 configurar, ventajas de direcciones IP 121 de
Fragmento de datos, 562 configuración duplicados túnel, 121 Agrupación de ajuste de intervalo, 159
Fragmentos, 563 equilibrio dinámico (en tuberías), 498 grupos
configuración CAM Tamaño dinámico, 245 DNS dinámico,
161
objetos de configuración, 142 en la

autenticación, 387 en las tuberías, 496
L3C entorno dinámico Tamaño, 245 dinámico Max
configuración de conexiones, 557 reglas de enrutamiento
dinámico, 210, 212
MARIDO
acción OSPF, 212 acción de
H.323 ALG, 302 HA (alta
enrutamiento, 213 servicio
disponibilidad ver) de hardware
DynDNS, 161
monitoreo, 76
mi frecuencia de monitoreo mensaje, 64, 78 latidos del
Habilitar ajuste Sensors, 76 final de los corazón (ver alta disponibilidad) alta disponibilidad, 523
procedimientos de la vida, 86
extensiones ESMTP, la interfaz 282 de la configuración avanzada, 537 y contables, 68
Ethernet, 108 ID de clúster, 532 deshabilitar el envío de los
cambio de direcciones IP, 111 Resumen de latidos del corazón, 525
los comandos CLI, 112
583
Índice alfabético
latidos del corazón, vidas, 424 de negociación, 424 parámetros, 425 IKE
525, 532 temas CRL ajuste de validez temporal, 454 configuración de la
el uso de monitor de enlace, 536 Ruta IKE Max CA, 455 IKE Enviar entorno CRL, 454 IKE
haciendo el trabajo de OSPF, 532 Enviar configuración de contacto inicial, 454 ikesnoop VPN
mecanismos, 525 solución de problemas, 446, 479 Fragmentos ilegales de
interconexión física, 523 unidades ajuste, 562 Silencio Inicial ajuste (HA), el ajuste 537 de
resincronizador, 527 configurar, 528 fallo inserción de prevención de ataques, 347 Interface Alias
de sincronización, 527 único compartido (SNMP), 75 Descripción de la interfaz de ajuste (SNMP), 75
MAC, 531 NetDefendOS de interfaces, 106
mejoramiento, 534 con IDP y anti-virus,
526 con IPv6, 97
con el modo transparente, el seguimiento

237 anfitrión incapacitante, 107 grupos, 124 de bucle de retorno, 106, 107,
para conmutación por error de 106 de intercambio de claves de Internet física (véase IKE)
ruta, 177 páginas HTML Intervalo entre el ajuste de sincronización, 158 intrusión, detección
contenido de personalización de filtrado, 334 de y prevención (ver IDP) regla de detección de intrusos, 345 de suma
autenticación web de personalización, 404 de HTTP de comprobación no válida
ALG, 267
autenticación, 399 precedencia
lista blanca, 269 cartel HTTP, 161
en latidos de clúster, 532 objetos de dirección IP,
Certificado de configuración HTTPS, 53 URI HTTP IP 92 Tamaños opción de ajuste, 548 IP Otras opciones
normalización de IDP, 346 de ajuste, ajuste de la opción Fuente 548 / Retorno IP,
ajuste de 548 opciones IP marcas de tiempo, 548, 259
piscinas IP
yo
ICMP envía ajuste de Límite de Sec Per, 555 ICMP
mensaje inalcanzable, 140 normas IDENT e IP, 139
con el modo de configuración, ajuste de 444
listas de identificación, 435 IDP, 343
Bandera IP reservadas, configuración del router
IP opción de alerta 548, 548 normas de PI, 135,
135
las listas negras, 351
acciones, 139 conexiones bidireccionales, 140
HTTP URI normalización, 346
drop todas las reglas, 137, 138 orden de
grupos de firmas, 349, 348 firmas
evaluación de uso de IPv6, carpetas conjunto
de reglas 137, 141, 136 conjuntos de reglas
comodines firma, receptores de registro
SMTP 350, 351 de tráfico, 354, 506 utilizando
firmas individuales, 354 ajuste del intervalo de
sondeo de Iface, 179 IGMP, 220
TCP número de secuencia de alteración, 140 IPsec,
423
la configuración avanzada, 453 Listas de
la configuración avanzada de configuración,
algoritmo propuesta, 433 e IP reglas, 438
230, 225 configuración de reglas, 228 IGMP
clientes, 418 de detección de pares
Antes de establecer reglas, ajuste por vida
muertos, 439 de mantenimiento de
inactivo 230 IGMP, 558
conexión, 439 de LAN para configurar la
LAN, 414 NAT transversal, 431 descripción,
configuración IGMP último miembro intervalo de consulta, 231 IGMP
423 guía de inicio rápido, configuración 413
ajuste menor versión compatible, 230 IGMP Max interfaz de
clientes de uso móvil, 416 solución de
configuración de solicitudes, 231 IGMP Max Total solicitudes
problemas, el establecimiento del túnel
configuración, 231 configuración IGMP intervalo de consulta, 231
477, 438 túneles IPsec 438 Antes de
configuración IGMP respuesta de consulta de intervalo, 231 IGMP
establecer reglas, 454
reaccionan a propias consultas establecer, 230 Robustez IGMP
configuración variable, 231 configuración del router IGMP versión, 231
configuración de inicio de consultas IGMP Conde, ajuste de 231 IGMP
inicio intervalo de consulta, el establecimiento de 232 IGMP Unsolicated
Intervalo de informe, 232 IKE, 423
uso, 438
configuración de IPsec certificado en la caché Max, 455 configuración
de puerta de enlace IPsec Nombre Tiempo caché, 455 configuración
de IPsec Reglas Max, 453
propuestas de algoritmos, 424
584
Índice alfabético
configuración de IPsec máximo de túneles, 454 Acción entorno de baja difusión TTL, 549
IPv6, 93
añadir una dirección, 93 todo nets6-objeto de
METRO
dirección, 96 y el acceso de administración, 96
dirección MAC, 126
permitiendo a nivel mundial, 94 que permite en una
autenticación, 400 en la libreta
interfaz, 94 permitiendo de anuncio de enrutador,
de direcciones, 90 con ARP, 126
95 agrupación con IPv4, 96 en las normas de PI,
con ARP publicar, 129 interfaces
137 en reglas de encaminamiento, 186 con alta
de gestión, 29
disponibilidad , 97 con el comando ping, validación
96 ip
la configuración avanzada, 52 e IPv6, 96 Configuración del
acceso remoto, 43 NetDefendOS de gestión, 29 configuración de
la longitud máxima de AH, 560 Rutas Max Auto configuración
(DHCP), 258 Max Concurrente (reensamblaje) de ajuste, 566
enlaces máx (reensamblaje) de ajuste, 567 enlaces máx , 557
con el modo de configuración, 444
ajuste de la longitud máxima ESP, 560 ajuste de la longitud
máxima GRE, 560 Max Hops ajuste de configuración (DHCP),
L 257 ajuste Max ICMP Longitud, 560 Max entorno IPIP / FWZ
L2TP, 457 Longitud, 561 ajuste de la longitud máxima de IPsec IPComp,
la configuración avanzada, 463 ajuste de la longitud 561 Max L2TP, 561 ajuste de configuración
clientes, 463 max Tiempo de concesión (DHCP), 257 memoria Max
guía de inicio rápido, 419 (remontaje), 567 ajuste de la longitud máxima de OSPF, 561 Max
servidores, 458 Otro ajuste de longitud, 561 Max Pipe Usuarios de ajuste Ajustes,
Antes de establecer reglas L2TP, 463 567 Max PPM (DHCP), el establecimiento de 257 Max PPP
configuración de Tamaño de caché L3, 245 de reenvíos, 463 Max Estableciendo los Contextos de radio, 69 Max
LAN a LAN túneles, 440 reensamblado tiempo de fraguado del límite máximo, 564
guía de inicio rápido, 414, 415 ajuste de grandes sesiones
cantidades de memoria (remontaje), ajuste de Tamaño La
consistencia de la capa 566, 547 LDAP
la autenticación, la autenticación con 389

PPP, 394 MS Active Directory, los
servidores 390, 445 monitor de enlace, 71
inicializar NIC, 71 reconf de conmutación por error de

tiempo, 72 con alta disponibilidad, 536 algoritmos de parámetro de los servicios, entorno 101 Tamaño
estado de enlace, 196 Configuración del tiempo límite de máximo (remontaje), 566 ajuste Max longitud del salto, 561
consola local, 52 de dirección IP local en rutas, 167 ajuste de la longitud máxima de TCP, 560 Max ajuste de
Conectarse ARP Resolver configuración Si no, el tiempo de desplazamiento, ajuste de 158 Transacciones
establecimiento de 132 errores de registro de suma de Max (DHCP), el ajuste Longitud 257 Max UDP, 560
control, 546 configuración de conexiones de registro, MEMlog, 60
556 Entrar configuración de uso de la conexión, la tala
557, 59
Memoria de configuración del registro de Repetición,
78 configuración de la memoria de seguimiento, 78
la configuración avanzada, 64, configuración de la memoria Intervalo de sondeo, el
60 MEMlog establecimiento de utilizar el porcentaje de la
excepciones de mensajes, 62 filtros memoria 78, verificación de tipo de archivo MIME 78
de gravedad, 62 trampas SNMP, 62 FTP ALG, 273 en HTTP ALG, 268 en POP3 ALG,
de registro del sistema, 60 289 en SMTP ALG, 280 lista de tipos de archivos,
configuración 576 Min Broadcast TTL, ajuste de
autenticación de inicio de sesión, 396 longitud de 549 Fragmento mínimo, 564 multidifusión,
mensajes de registro, 59 de ajuste no IP4 220
de registro, 546 Log apertura falla el
establecimiento, 556
Cerrar sesión al cerrar el sistema de ajuste (RADIUS), 69, 69 de
cierre de sesión de CLI, 43 traducción de direcciones, 224 reenvío,
Entrar ajuste de gran tamaño paquetes, 561 Log 221 IGMP, 225 de reenvío de rutas inversa,
Recibido TTL 0 ajuste, 546 Log Reverse Abre 220 ajuste Remitente Multicast Enet, ajuste
ajuste, ajuste 556 Violaciónes Log estatales, 556 246 Multicast Mismatch, 549
interfaces de bucle invertido, 106, 107
585
Índice alfabético
Multicast TTL a temperatura baja, 547 de con SSL VPN, PPTP

autenticación de inicio de sesión múltiple, 396, 221 467, 457
reglas multiplex la configuración avanzada, 463 ALG, 290
creando con CLI, 223 clientes, 463 problema con NAT, 464 guía
de inicio rápido, 421 servidores, 457 PPTP
Antes de establecer reglas, 463
norte
precedencias
NAT, 364
anonimizar con, 368 normas de
PI, 139, 369 piscinas
en tuberías, 491 claves

piscinas con estado, 369 de
pre-compartidas, 414, 434
recorrido, 431
problema de carácter no ASCII, 434 configuración
traducción de direcciones de red (NAT ver) NTP (véase la
del servidor Tiempo de primaria, 158 descripción del
sincronización de tiempo) el ajuste Remitente nulo Enet,
producto, listas de propuestas 17, 433 ARP proxy,
245
180
O configurar, 180
Open Shortest Path First (OSPF ver) OSPF, ajuste de seudo REASS Max concurrente, 562
196
agregados, 201, 209
Q
áreas, 200, 206
QoS (calidad de servicio ver) la calidad
sistema autónomo, 199 despliegue
del servicio, 485
de cheques, 215 comandos, 215
conceptos, 199
R
reglas de enrutamiento dinámico, 210 de RADIO
interfaz, 207 vecinos, 209 de proceso router, contabilidad, 65 configuración avanzada, 69 permiten el ajuste
la creación de 204, 213 enlaces virtuales, 201, de error, 68 autenticación, 389 servidores que no responden, 68 ID
209 Otros Ajuste de ralentí 559 vidas, filtrado de proveedor, 67, 389 reensamblado ajuste de Límite de Hecho,
de contenidos de primer orden, 326 564 El ajuste de carrera ilegal reensamblado, 564 ajuste de
reensamblaje de tiempo de espera, 564 reconf de conmutación por
error de tiempo (HA) establecer , 72, 537 Rechazar regla IP, 139
entorno MPLS Relay, 247 de ajuste de relés BPDU Spanning-Tree,
244, 246 NetDefendOS reiniciar, 42 Restaurar valores
predeterminados de fábrica, 85 restaurar copias de seguridad, 83
PAG
reenvío de ruta inversa (ver multidifusión) de búsqueda de ruta
flujo de paquetes
inversa, 138 , 169, 263, 440 clientes de uso móvil roundrobin
descripción, 24
algoritmo de RLB, 190 ruta de conmutación por error, 174
simplificado, 137 longitud de
la contraseña, 41 pcapdump,
80
la descarga de archivos de salida, archivo
81 de salida de limpieza, archivo 81 de salida
de denominación, formato de archivo 81 PCAP
(ver pcapdump) suplantación de identidad
(véase el filtrado de contenidos) Ping ajuste de
por vida inactivo, 558 ajuste del intervalo de
sondeo Ping, 179 reglas de tubería, 486 tubos,
monitoreo de acogida, balanceo
486 políticas, 135
de carga 177 ruta, 190
algoritmos, 190 y VPN,
195 entre ISPs, 193 de
Encuesta de ajuste de intervalo, 76
enrutamiento, 164
POP3 ALG, 289 Puerto 0 ajuste,
567
la adición de rutas, 172 configuración
traducción de direcciones de puerto (ver SAT) el
avanzada, 179 rutas centrales, 173
reenvío de puertos (ver SAT) copia de puertos (ver
predeterminado de ruta de puerta de enlace,
pcapdump) autenticación PPP con LDAP, 394
109, 172, 196 de uso dinámico IPv6, 173 de
PPPoE, 118
direcciones IP local, 167 métrica para las rutas
por defecto, 172
configuración del cliente, 118 de
soporte sin numeración, 119 con HA,
120
586
Índice alfabético
métricas, 165, 198, 174 especificando el número de puerto, 100 SYN protección contra
de vigilancia inundaciones, comando CLI 101 SessionManager, archivo 44 sgs
estrecho principio de congruencia, 167 extensión, 44 configuración silenciosamente dejan caer Estado ICMPErrors,
notación, 169 555 protocolo simple de administración de redes (SNMP ver) SIP ALG, 291
parámetro de ordenamiento, 187,
183 principios basados en políticas,
165
rutas añadidas en el arranque, 171, 185 y calidad de servicio, 292 equipos de
reglas incompatibilidad, 292 NAT transversal, 292
basadas en servicios, 183 Registro de carreteras, 294 escenarios
en la fuente, 183 estáticos, compatibles, 292 SLB (ver balanceo de carga)
165, 169, 183 mesas SMTP
la ruta todo-redes, 172 basado

en el usuario, 183 ALG, 280 extensiones ESMTP,
verificación 282 de cabeza, 286
S receptor de registro con IDP, 351 de

precedencia lista blanca, 281 SNMP, 73
SA (ver asociación de seguridad)
SafeStream, 338 SAT, 372
la configuración avanzada, el 75 de cuerda de la

todo-a-1 traducción, 379 normas de
comunidad, 73 MIB, 73, 62 trampas con las normas
PI, 139
de PI, 74 SNMP antes de establecer reglas, 75
muchos-a-muchos de traducción, 377 varias
configuración SNMP Solicitud Límite, 74, 75 de
coincidencias regla, la regla 381 múltiplex,
filtrado de correo no deseado, 283
221 uno-a-uno la traducción, el reenvío de
puertos 372, 372 traducción de puertos, 381
segundo destino regla, 372 con las normas
FwdFast, 382, 146 SCP horarios, 48
el almacenamiento en caché, 287 de
registro, 287 de etiquetado, 285 categoría
spamWCF, 333 que abarca la retransmisión
de árbol, 243 desbordamiento algoritmo de
RLB, 190 spoofing, 264 SSH, 40 SSH Antes
operaciones permitidas, 49 copia de seguridad /
de establecer las reglas, las claves de
restauración de uso, formato de comando 84, 48
cliente 52 SSH, 389 aceleración SSL, 317
scripting (ver secuencias de comandos CLI)
SSL VPN, 396, 466
programación Secundaria servidor de tiempo, 158
copia segura (ver SCP)
ajuste SecuRemoteUDP Compatibilidad, 548 shell

seguro (ver SSH)
limpieza del cliente, 471 operación del
seguridad / transporte opción habilitada, asociación de
cliente, 471 configuración, la conexión del
seguridad 124, 423 Enviar ajuste de Límite, 64 consola
servidor 467 personalizada, 470 la
serie (ver consola) puerto de consola serie, el equilibrio
instalación del cliente, 469 reglas IP para el
de carga del servidor 40, 514
tráfico, 471 ping a la IP interna, 467 ARP
proxy, 468 que ejecuta el cliente, 469 con
PPPoE, 467 con VLAN, 467 estado-motor,
algoritmo de velocidad de conexión, 515 ajuste
20
de tiempo de espera inactivo, 516 ranuras max
ajuste, 516 ajuste de tamaño de red, 516
algoritmo round-robin, 515 con las normas
FwdFast, 519 servicios, 98
flujo de paquetes, 24 de inspección de estado (ver el

estado del motor) piscinas NAT con estado (véase NAT)
y ALGs, 101 la creación de costumbre, el
de traducción de direcciones estáticas (ver SAT) ajuste
protocolo IP 99 de encargo, 104 tiempos
estáticas ARP cambios, ajuste 132 Strip DontFragment,
de espera personalizados, 105 de grupo,
549 rutas de conmutación (ver modo transparente) de
104 ICMP, 102 max sessions, errores
sincronización Tamaño de búfer (HA) ajuste, ajuste de
ICMP 101 de paso, 101 especificando
sincronización 537 Pkt Max ráfaga (HA), 537 SYN
todos los servicios, 101
protección contra inundaciones, 101, 358
587
Índice alfabético
syslog, 60 y acceso a Internet, 238 y NAT, 239 de

/ Restauración, configuración 83 Sistema de ajuste de agrupación de direcciones IP, 239
Contacto (SNMP), 75 Sistema de Localización (SNMP), ejecución, 234 individuales rutas de
ajuste de respaldo del sistema 75 Sistema de nombres host, 235 rutas de conmutación, 233,
(SNMP), 75 235 con DHCP, 237 con alta
disponibilidad, 237 con VLAN, 236 vs
T modo de enrutamiento, 233

configuración TTL mínima, 547 TTL a
la implementación del tabulador (ver CLI) de
temperatura baja, 547, 106 túneles
configuración de TCP Auto de sujeción, 551 de
configuración de TCP ECN, 553 de configuración de
TCP FIN / URG, 553 TCP FIN configuración de
Duración de inicio, configuración de Duración en
ralentí 558 TCP, el establecimiento de 558 TCP MSS
Nivel de registro, configuración 550 TCP MSS Max,
550 ajuste de TCP MSS mínima, 550 TCP MSS a T
fuego alto, 550 TCP MSS a temperatura baja, el UDP bidireccional entorno de mantenimiento de conexión, 558
establecimiento de 550 TCP MSS VPN máximo y UDP ajuste de por vida inactivo, 558 de puerto de origen UDP
ajuste de NULL 550 TCP, 553 ajuste de 0, 567 Desconocido etiquetas VLAN ajuste, sin
numerar 117, 119 PPPoE no solicitado respuestas ARP
establecer, 132 NetDefendOS de mejora
Configuración de opciones ALTCHKDATA TCP, el
establecimiento de 552 TCP Opción ALTCHKREQ, 551 Opción
TCP ajuste Con tiempo de espera, 552 TCP Opción Otro con un clúster de alta disponibilidad, 534 carga de archivos con
ajuste, ajuste de opción SACK 552 TCP, el establecimiento de SCP, 48 de autenticación de usuario (véase la autenticación) Uso
551 Tamaños opción TCP, ajuste de Opción TSOPT 550 TCP, entorno único compartido Mac (HA), 531, 537
ajuste de Opción WSOPT 551 TCP, 551 TCP campo de
configuración reservada, el establecimiento de números de
secuencia 553 TCP, 553 de configuración de TCP SYN / FIN,
V
553 de ajuste / PSH TCP SYN, 552 de configuración de TCP
Tiempo de espera de la validación de ajuste, 52
SYN / RST, 552 de configuración de TCP SYN / URG, 552
LAN virtual (VLAN) ver las redes privadas virtuales
configuración de Duración de inactividad TCP SYN, 558 de
(VPN ver) VLAN, 115
configuración de TCP URG, 553
la configuración avanzada, 117,

117 limitaciones de la licencia de
puertos basados en, 116, 116
troncales de voz sobre IP
TCP ACK Puesta a cero sin usar, 551 TCP Puesta a
cero URG no utilizado, 551 Teriary configuración del
con H.323, SIP, con 302,
servidor de tiempo, 158 TFTP ALG, 279 reglas de
291 de VoIP (voz sobre IP ver)
umbral, 511, 541
VPN, 409
en ZoneDefense, 541 de sincronización de

cifrado, 410 IPsec, 423 de
tiempo, 154 Ajuste del tiempo de sincronización del
distribución de claves, 411
servidor Tipo, 158 configuración de zona horaria, 157
planificación, 411 guía de inicio
TLS ALG, conformación 316 de tráfico, 485
rápido, 413 SSL VPN, 466 de
resolución de problemas, el uso
de 477, 409
garantías de ancho de banda, 495 de
ancho de banda que limita, 488 para
redes privadas virtuales, 499
la exclusión regla FwdFast IP, 488
objetivos, 485, 496 grupos de tubos W
precedencias, 491 recomendaciones, 499 ajuste de nivel de advertencia, el establecimiento
sumarias, 500, 506 con IDP de 79 Watchdog Time, 567 WCF (ver el filtrado
de contenido web) WebAuth, filtrado de
contenido web 399, 322
ajuste de tiempo de espera de transacción (DHCP), 257 de modo, 324 listas

Transparencia ATS caducar ajuste, ajuste de Tamaño 245 blancas, 323 interfaz web,
Transparencia ATS, el modo transparente 245, 233 29, 30 fallar
interfaz de conexión predeterminado, 31 objeto
la configuración avanzada, 244 clonación, 34
588
Índice alfabético
navegadores recomendados, 31
configuración de estación de trabajo IP, 31
WebUI (véase la interfaz web) WebUI Antes de
establecer reglas, configuración del puerto
HTTP 52 WebUI, 52 WebUI HTTPS
configuración del puerto, 53 listas blancas
hosts y redes, 360 URLs, 320

de comodines, 320 de
comodines
en listas negras y blancas, 282, 320 en las reglas de

PDI, 350
en el filtrado de contenido estático, 269 solicitudes
de certificados de Windows, CA 151 Wireshark con
pcapdump, 82
x
certificados X.509, 148 XAuth
(ver autenticación)
Z
ZoneDefense, 539
interruptores, 540 con
anti-virus, 341 con FTP
ALG, 274 con IDP, 351 con
SMTP ALG, 283
589

DFL 260E - User Manual - EN - US Firewall - En.español PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

DFL 260E - User Manual - EN - US Firewall - En.español PDF

Cargado por

Copyright:

Formatos disponibles

Manual del usuario de la red de seguridad

Solución de seguridad de red http://www.dlink.com

DFL-260E / 860E / 1660/2560 / 2560G

NetDefendOS versión 2.40.00

NetDefendOS versión 2.40.00

EN NINGUNA CIRCUNSTANCIA, D-LINK O SUS PROVEEDORES RESPONSABLES DE DAÑO DE

3.2. Soporte IPv6 ................................................ ......................................... 93

4.7. Modo transparente ................................................ ................................ 233

6.7. Listas negras de máquinas y redes .............................................. ............... 360

9.6.1. Visión de conjunto ................................................. ................................ 466

13. Configuración avanzada .............................................. ........................................... 546

10.6. Tráfico agrupados por dirección IP ............................................. ........................ 498

4.10. Añadir una OSPF Área ................................................ ..................................... 217

10.3. La creación de SLB ............................................... ............................................ 519

La estructura del texto y Convenciones

El texto se divide en capítulos y subsecciones. Numeradas sub-secciones se muestran en la tabla de contenido al

Ejemplo 1. Ejemplo de notación

Interfaz de línea de comandos

GW-mundo: /> algúncomando someparameter = somevalue

1. Ir a: Artículo X> artículo Y> Z artículo

Este es un punto esencial que el lector debe leer y entender.

• NetDefendOS Arquitectura, página 20

• Flujo de paquetes NetDefendOS el Estado de Motor, página 24

NetDefendOS como un sistema de seguridad de la red de servicio

enrutamiento IP NetDefendOS proporciona una variedad de opciones para enrutamiento IP incluyendo

VPN NetDefendOS es compatible con una amplia gama de soluciones de red

Terminación TLS NetDefendOS apoya la terminación para que TLS el

Operaciones y mantenimiento gestión del administrador de NetDefendOS es posible a través de un conector de

proporciona capacidades además de soporte para el seguimiento a través de SNMP

1.2. NetDefendOS Arquitectura

1.2.2. NetDefendOS Building Blocks

Los siguientes tipos de interfaz se admiten en NetDefendOS:

• Subinterfaces - Estos incluyen interfaces VLAN y PPPoE.

Los objetos lógicos

Los conjuntos de reglas NetDefendOS

1.2.3. Flujo básico de paquetes

• interfaces de origen y de destino

• Origen y destino de red

• protocolo IP (por ejemplo TCP, UDP, ICMP)

• puertos TCP / UDP

• Punto en el tiempo en referencia a un programa predefinido

Si un partido no puede ser encontrado, el paquete se descarta.

Nota: Las acciones adicionales

1.3. Flujo de paquetes Motor Estado NetDefendOS

Figura 1.1. Esquema de flujo de paquetes Parte I

El flujo de paquetes se continúa en la página siguiente.

Figura 1.2. Esquema de flujo de paquetes Parte II

El flujo de paquetes se continúa en la página siguiente.

Figura 1.3. Paquete de flujo esquemático de la Parte III

Figura 1.4. Expandido aplicar reglas Lógica

• NetDefendOS de gestión, página 29

• Eventos y registro, página 59

• Radio de la contabilidad, página 65

• Los pcapdump De comandos, página 80

2.1. La gestión de NetDefendOS

2.1.1. Visión de conjunto

NetDefendOS proporciona las siguientes interfaces de gestión:

El navegador se conecta a una de las interfaces Ethernet del hardware usando

Esta característica se describe completamente en Sección 2.1.3, “La interfaz web”.

Esta característica se describe completamente en Sección 2.1.4, “La línea de comandos”.

SCP es un complemento al uso de la CLI y proporciona un medio seguro de transferencia

Esta característica se describe completamente en Sección 2.1.6, “Secure Copy”.

Esta característica se describe completamente en Sección 2.1.7, “Menú La consola de arranque”.