Настройка межсетевого экрана дионис
Технология ДИОНИС является полностью отечественной разработкой, не имеет прямых аналогов в России и за рубежом, отвечает требованиям Доктрины информационной безопасности в плане замещения импортных технических и программных средств в российских СПД, обеспечения комплексной защиты систем и средств сбора, обработки, хранения и передачи информации от несанкционированного доступа (используемые средства криптографической защиты и сетевой безопасности сертифицированы ФАПСИ и Гостехкомиссией России).Разработанная для нужд России и с учетом ее специфики, технология позволяет создавать многофункциональные, устойчиво работающие СПД высокой пропускной способности на базе всех реально имеющихся в стране каналов связи, включая устаревшие низкоскоростные, обеспечивает тем самым надежную связь федеральных структур с их подразделениями на местах (вплоть до уровня городских районов), предъявляет минимальные требования к профессиональной подготовке обслуживающего персонала.Структурно предлагаемые решения на основе технологии ДИОНИС состоят из универсального телекоммуникационного сервера и набора абонентских программных модулей.
Передача конфиденциальной информации по открытым линиям связи. При использовании среды Internet для передачи собственно конфиденциальной информации (ведомственные WWW-серверы, базы данных и т.п.), наряду с рассмотренными мерами необходимо обеспечивать защиту от перехвата информации в процессе ее передачи через сеть. Учитывая, что сетевые средства ограничения доступа в сети Internet отсутствуют (в отличие, например, от сетей Х.25, где указанные вопросы решаются на основе закрытых групп абонентов), единственным средством защиты данных является шифрование передаваемых по сети пакетов.
Рисунок 26 – Крипто - маршрутизатор
В технологии ДИОНИС указанная проблема решается на основе крипто - маршрутизатора (рис. 26). Использование этой технологии позволяет решить весь комплекс вопросов защиты корпоративной информации при ее передаче по открытым каналам связи.
^ Тема 18. Система REX400
Система REX400 обеспечивает обмен между различными телематическими средами (например, между факсимильной и телеграфной связью), между пользователями локальных и глобальных компьютерных систем (X.25.TCP/IP), Одним из главных преимуществ системы REX400 является интеграция широкого спектра почтовых, телеграфных и пр. услуг (рис.27).
Для доступа к системе REX400 можно использовать модем и подключиться непосредственно к станции системы REX400 через телефонную сеть общего пользования.
Владельцы телеграфных терминалов могут подключиться к системе REX400 через телеграфную сеть общего пользования (телексную или АТ-50).
Пользователь может через шлюз в сеть Х.25 попасть в любые сети мира и иметь доступ к мировым информационным ресурсам.
Базовый компонент технологии - почтамт REX400 - содержит в себе следующие функциональные подсистемы (услуги системы REX400):
^ RexFAX - подсистему факсимильного сервиса,
RexGATEWAY - шлюз в сети Х.25,
RexTelex/AT-50 - подсистему телекс/телеграфного сервиса,
RexInfo - информационно-справочную систему,
RexUUCP - шлюз в компьютерные сети с адресацией Internet,
RexMINIMAX - сетевую систему управления базами данных.
Подсистема RexGATEWAY позволяет пользователям подключаться и работать в режиме реального времени (on line) с ресурсами сетей Х.25.
Информационно-справочная подсистема Rexinfo предназначена для размещения текстовых материалов простой структуры (руководства, описания, справочники и др.) и предоставления доступа для работы с ней пользователям в режиме реального времени (on line).
Рисунок 27 - Система REX400
^ Тема 19. Назначение сети Internet.
Глобальная связь в глобальной сети Интернет. Региональные и глобальные компьютерные сети, предназначенные в основном для передачи данных, уже начинают использоваться для передачи речи. Наиболее привлекательна с этой точки зрения глобальная компьютерная сеть Интернет, представляющая собой совокупность локальных сетей и хост-компьютеров, связанных между собой спутниковыми и радиоканалами, обычными телефонными сетями и ISDN. Их объединяет то, что все они используют стандартный комплекс протоколов Интернет TCP/IP.
Вначале телефонные компании и производители телекоммуникационного оборудования скептически относились к инициативе передачи речи по Интернету. Но согласно прогнозам некоторых исследовательских фирм в ближайшее время на Интернет-телефонию будет приходиться до 40 % рынка международных телефонных переговоров. Интернет-телефонию называют IP-телефонией по названию протокола, используемого в Интернете.
Рисунок 28 - Связь двух компьютеров сети
В компьютерной сети Интернет, для того чтобы осуществить связь (рис. 28), пользователи двух компьютеров должны соединиться со
своим провайдером, запустить программное обеспечение, например Internet Phone (Интернет-Телефон), и найти необходимого абонента в списке активных пользователей, также использующих эту программу. Оба компьютера должны быть включены и на них загружено одинаковое ПО. Конечно, такую передачу речи нельзя назвать в полной мере телефонной связью. Это связь между абонентами Интернета, обладающими компьютерами. Распространению технологии телефонной связи по компьютерным сетям может способствовать возможность разговаривать пользователям, имеющим в своем распоряжении не только компьютеры, но и обычные телефоны. Для этого принимаются специальные шлюзы, реализующие связь Интернета и телефонных сетей (рис.29).
Функция шлюза - это компрессия, аналого-цифровое преобразование сигнала и разбиение его на IP-пакеты, а также выполнение обратного процесса. Шлюзы подключаются с одной стороны к телефонной сети, а с другой - к Интернету. При вызове с телефона на компьютер вызов передается через телефонную сеть на шлюз. Затем шлюз посылает вызов компьютеру, сжимая и упаковывая телефонный сигнал в пакеты для передачи по IP-сети. Если на обоих концах линии установлены телефоны, то речевой сигнал первого абонента посылается по телефонной сети на ближайший шлюз, где разбивается на IP-пакеты, а затем передается по Интернету на второй шлюз, ближайший ко второму абоненту. Этот шлюз принимает пакеты, восстанавливает из них исходный сигнал и посылает его по телефонной сети вызываемому абоненту.
В основном компьютерная телефония в Интернете не сильно отличается от телефонии и локальной сети. Но есть и особенности. Одной из основных задач при управлении потоком речевой информации по Интернету становится обеспечение небольшой, и главное, постоянной задержки.
Рисунок 29 - Связь абонентов телефонной сети через Интернет
В сетях ПД постоянную и предсказуемую задержку информации должны обеспечивать коммутаторы или маршрутизаторы. Для этого при обработке очередей пакетов каждый коммутатор или маршрутизаторы для каждого пакета должен знать приоритет и допустимое время нахождения в очереди. В сетях с коммутацией пакетов, где используется виртуальное соединение, известны параметры соединения, включая сведения о маршруте и числе транзитных узлов, и поэтому каждый узел имеет возможность определить динамический приоритет пакета и допустимое время на его обработку.
В сетях с маршрутизацией, к числу которых принадлежит Интернет, транзитный узел (маршрутизатор), как правило, не знает, через какое количество транзитных узлов предстоит пройти пакету, пока он не достигнет адресата. Поэтому у транзитного узла отсутствуют данные, необходимые для определения допустимого времени обработки пакета. Кроме того, маршрутизация пакетов требует более продолжительного времени обработки пакета на узле. Это время не является постоянным и носит случайный характер. Также имеет значение и динамический режим, применяемый в Интернете, когда маршрут передачи последующего пакета может отличаться от маршрута, по которому был передан предыдущий. Это может привести к нарушению порядка следования пакетов и необходимости их сортировки на приемной стороне, что также оказывает влияние на увеличение задержки. Если добавить общую проблему перегруженности транспортных узлов Интернета, то обеспечение небольшой и постоянной задержки еще более затруднено.
Существует два способа решения этой проблемы: — резервирование части пропускной способности сети для передачи пакетов с речевой информацией; — построение магистральной транспортной сети Интернет на основе
технологии Frame Relay или ATM.
Согласно первому способу, для того чтобы более эффективно использовать зарезервированную полосу пропускания, на оконечном или шлюзовом оборудовании должна осуществляться предварительная концентрация речевой информации. При этом IP- пакеты должны формироваться не по мере поступления речевых сигналов, а с некоторой задержкой, достаточной для сборки информационного блока больших размеров. Передача речи в больших информационных блоках упрощает процедуру управления очередями на транзитных узлах, что существенно в связи с неразвитой системой приоритетов протокола IP. Однако реализация этого подхода приводит к появлению дополнительной задержки. Для резервирования полосы пропускания в сети IP может использоваться метод WFQ (Weighted Fair Queuing) или протокол RSVP (Resource Reservation Protocol), разрабатываемый группой перспективных разработчиков Интернета IETF (Internet Engineering Task Force).
Рисунок 30 - Использование в Интернете технологий ATM и Frame Relay
Согласно второму способу (рис.30), пограничные узлы IP взаимодействуют друг с другом через виртуальное соединение сети Frame Relay или ATM, для которых обеспечиваются параметры нагрузки и качества обслуживания такие, как скорость передачи, время задержки, время отклонения величины задержки и т.д. Использование Frame Relay или ATM позволяет отказываться от применения транзитных маршрутов IP. При этом возможно более эффективное использование полосы пропускания за счет установления соединения для каждого телефонного разговора.
Развитие технологии передачи речи по сети Интернет затрагивает интересы операторов телефонных сетей, поскольку эта технология начала применяться в качестве альтернативы традиционной междугородной и международной связи.
Не будем переписывать документацию, а просто на примере рассмотрим, как все это работает. Просьба прочитать «39. Механизмы качества обслуживания (QoS)» в документации, чтоб явственней понимать, что тут происходит. Непосредственно не занимаюсь администрированием данного оборудования, просто пришлось покопаться по случаю.
Для прочтения
Попробуем выделить интересующий нас трафик и ограничить его скорость. Так же попробуем проставлять свои метки TOS/DSCP и настроить реакцию на эти метки наш Dionis.
В нашей тестовой конфигурации будет присутствовать:
- interface ethernet 0 – LAN интерфейс который смотрит в нашу локальную сеть
- interface ethernet 1 – WAN внешний интерфейс куда смотрят наши каналы, интернет и т.д.
Внимание! Правила применяются только на исходящий трафик с конкретного интерфейса. Т.е. если взять WAN интерфейс, то мы можем влиять только на то, что исходит из него, но не на то что приходит.
Внимание! На данной прошивке служба QOS не работает должным образом, при ее использовании возможны проблемы в работе сети, выражающиеся большими лагами. Если вы заметили, что без видимых на то причин у вас начались потеря пакетов, огромные пинги, тормоза в том или ином направлении, то необходимо проверить данную службу.
К примеру: у нас имеются IP камеры, на которые подключатся кому не лень и тем самым забиваю наш исходящий канал. Попробуем урезать скорость для данного устройства для всех кто сидит за пределами нашей локальной сети.
Настройки производятся в режиме конфигурирования.
Вот такой несложный конфиг урежет исходящею скорость до 512kbit. А теперь пройдемся по тому что мы сделали.
Командой ip class-map cm_Camera мы определили класс с именем cm_Camera. Классы нам нужны для того чтоб на основе правил класса мы могли пометить наш трафик как принадлежащий данному классу. Т.е. решили вы пойти на дискотеку, нарядились. Перед входом вас встречает охрана и проводит фейсконтроль – а подходите ли под данные им инструкции: так ли вы оделись, не пьяные ли вы или вообще со своими размерами влезете ли в дверь и т.д.
- MATCH – вот как раз описывает эти правила для нашей охраны.
- match src 10.0.0.16 – говорит, что пакеты с адресом источника 10.0.0.16 будут помечены как члены класса cm_Camera
- match dst 10.0.0.16 – аналогично , только здесь проверяется адрес получателя. Т.е. в данном случае наша охрана, посмотрев тебя спереди и сзади ставит тебе на лбу метку – наш клиент с указанием под какой группированный список критериев ты подошел т.е. имя класса. При этом считаем, что каждое match это отдельное правило группирующееся по ИЛИ – минимум что-то одно должно соответствовать.
Критериев оценки наш не наш в match довольно много, я не буду их описывать
ip policy-map out_policy – создаем политику обслуживания с именем out_policy. Политика у нас будет одна, для многих классов т.к. на интерфейс можно повесить только одну политику. Данная политика говорит нашим охранникам как мы будем поступать с клиентами имеющие разные метки. Например, VIP гостей мы будем обслуживать в приоритетном порядке, у тек у кого карманы широкие - вторыми, наглых - третьими, все остальные идут общей очередью. И да, существует еще общая очередь, куда помещаются все, кто не прошел по фейсконтролю и для них не определено особое правило обращения.
class cm_Camera rate 512kbit – здесь мы описываем конкретное правило поведения для пакетов помеченных состоящими в этом классе. Т.е. говорим, что для класса cm_Camera скорость на отдачу не должна превышать 512kbit, но так же мы гарантируем, что при всей загруженности канала мы постараемся выделить полосу в 512kbit
interface ethernet 1 – переходим в режим конфигурирования ethernet 1 т.е. наш WAN, говорим, что для данного интерфейса мы будем руководствоваться правилами политики out_policy
- Если что-то надо удалить, то необходимо перед командой ставить no сама_команда
Пример: no ip policy-map out_policy - удалит нашу политику out_policy
Удалять надо в обратной последовательности: интерфейс - политика- класс. Это не касается правил в самих политиках, классах - Удаление правил из class-map делается по его номеру no 1 . где 1 это индекс правила в class-map
- Удаление правил из policy-map делается по имени класса no class cm_Camera
- Изменить правило в class-map мы не можем, только удалить и создать новое
- В policy-map изменить правило мы можем так class cm_Camera новые параметры старое правило замениться нашим новым набором.
Все теперь охрана при работе, клиенты, что прошли фейсконтроль тоже, остальные не очень. )))
Давайте теперь выделим icmp пакеты, гарантируем им полосу, а еще и пометим. Icmp – это пакеты которые при любом удачном случае мы, да любое промежуточное оборудование будет обижать. Сейчас мы их сделаем почти самыми любимыми для нас и дадим наградную шапку, чтоб и другие знали кто к ним пришел.
Т.к. политика у нас уже привязана к интерфейсу, мы не делаем ее повторной привязки.
- class icmp – для какого класса
- rate 100kbit – какая гарантированная полоса будет выделена под пакеты отмеченные этим классом
- ceil 1mbit – тут мы говорим, что при всем нашем уважении, но за пределы 1mbit не вылазь.
- priority 3 – из 8 приоритетов 0-7 тебе достанется третий, чем меньше число тем ты выше, круче и тебя будут все любить. Если не указать данный параметр, то данный класс получит общий приоритет как у всех смертных т.е. 7.
- tos 0x80 или dscp cs4 – здесь мы в пакете изменяем TOS значение т.е. когда наш гость покинет наш клуб, ему в качестве презента выдадут вип шапку, с помощью которой он может получить, а может и не получить бонусы по всему дальнейшему пути следования.
Теперь мы будет отлавливать шапочников, но уже с шапками, выданными кем-то другим.
Шапки у нас могут быть двух разновидностей TOS или DSCP – не углубляясь далеко, это почти одинаковые шапки, но скажем так, с китайскими и российскими размерами. Расшифровка DSCP и TOS значений
Ну так вот приходит к нам такой шапочник и что нам с ним делать. Мы можем обслужить его по договорённости с тем, кто выдал шапку, а можем и отобрать шапку и пустить его дальше голым или дать свою шапку, вариантов много.
К примеру, возьмем голосовой трафик IP телефония т.е. пришел к нам клиент с шапкой TOS 0xB8 или же DSCP ef. Т.к. это особая VIP шапка, то мы пожалую ее обслужим как полагается.
В данном случае, мы распознаем клиента только по его шапке и обслуживаем его с приоритетом. Но это может быть и мошенник, который запросто может погубить весь наш сервис.
Вот тут мы уже не смотрим на шапку, а смотрим ему в зубы т.е. делаем вывод на основе порта получателя и отправителя. Если нам надо указать диапазон портов , то пишем так match udp dport 5060 5070 с 5060 по 5070.
Еще раз хочу напомнить, эти правила в нашем случае будет действовать на трафик, идущий из LAN в WAN. Если трафик будет идти из WAN в LAN, то шапочник пойдет общей очередью с общим обслуживанием, и мы даже шапку не отберем.
Не допускайте чтоб один и тот же трафик метился разными классами:
В данном случае приходящий пакет icmp имеющий метку tos 0x00 будет отнесен либо к классу prt0, либо классу icmp. На выходе будет отрабатывать произвольная политика
Программно-аппаратные комплексы Дионис NX предназначены для использования в роли маршрутизаторов, криптомаршрутизаторов, межсетевых экранов и систем обнаружения и предотвращения вторжений. Все функциональные возможности, соответствующие определенным ролям, полностью реализованы в рамках единого программного обеспечения, установленного на каждом изделии Дионис NX.
Документация:
Сертификаты:
Основные функциональные возможности:
- Маршрутизация трафика, статическая, динамическая и на основе политик.
- Средства организации криптографически защищенных VPN.
- Межсетевой экран, контроль сессий, NAT/PAT.
- Система обнаружения и предотвращения вторжений.
- Обеспечивает высокую доступность сервисов, отказоустойчивость портов и устройств.
- Управляет качеством сервисов, ограничение и гарантирование полосы пропускания.
- Поддерживает основные средства мониторинга и диагностики.
Модельный ряд
Изделия Дионис NX распределены в модельном ряду по сериям в зависимости от производительности аппаратной платформы. Тип исполнения аппаратных платформ (сетевая, модульная, серверная) и конфигурация сетевых портов варьируется в широких диапазонах. Конкретное изделие и подбирается под определенные технические требования по запросу.
Серия Dionis-NX 2000
Изделия с низкой производительностью и ограниченными возможностями по конфигурации сетевых портов (максимум 3 x 1G RJ45) предназначены для небольших рабочих групп или индивидуальных рабочих мест. Максимальная скорость маршрутизации до 1 Гб/с; максимальная скорость шифрования до 100 Мб/с.
Серия Dionis-NX 3000
Базовые изделия с широкими возможностями по конфигурации сетевых портов предназначены для небольшого филиала уровня района. Возможно кластерное исполнение. Максимальная скорость маршрутизации до 2 Гб/с; максимальная скорость шифрования до 200 Мб/с.
Серия Dionis-NX 4000
Базовые изделия с высокой производительностью предназначены для крупного офиса уровня региона. Возможно кластерное исполнение. Максимальная скорость маршрутизации до 20 Гб/с; максимальная скорость шифрования до 1 Гб/с.
Серия Dionis-NX 5000
Высокопроизводительные изделия уровня ЦОД. Возможно модульное и кластерное исполнение. Максимальная скорость маршрутизации до 40 Гб/с; максимальная скорость шифрования до 2 Гб/с.
Серия Dionis-NX 7000
Сверхпроизводительные изделия уровня ЦОД. Возможно модульное и кластерное исполнение. Максимальная скорость маршрутизации до 200 Гб/с; максимальная скорость шифрования до 10 Гб/с.
Последнее время нас все чаще спрашивают с чего должна начинаться настройка межсетевого экрана нового поколения. Обладатели нового NGFW не всегда понимают, как нужно активировать или настроить опции, чтобы устройство обеспечивало защиту корпоративной сети.
В данной публикации мы рассмотрим пошаговую инструкцию (HOWTO) для настройки и запуска межсетевого экрана на примере оборудования трёх производителей: Cisco, Huawei, Fortinet.
Ниже приведены основные шаги и скриншоты настроек оборудования со следующими операционными системами:
- Cisco ASA: Firepower Threat Defense Software 6.2 + Firepower Device Manager
- Fortinet Fortigate: FortiOS 6.0
- Huawei USG: Software V500
Часть настроек может быть опциональной исходя из решаемых межсетевым экраном задач. Устройства настраиваются на третьем уровне сетевой модели OSI в режиме маршрутизатора. Возможен режим работы на втором уровне – transparent, но это детально будет рассмотрено в других обзорах.
Группируем настройки по типу, решаемым задачам - и приступим!
Администрирование
4. Изменить настройки или отключить параметры/функционал по умолчанию, такие как DHCP сервер, SNMP community и т.п.
5. Загрузить/активировать необходимые лицензии/подписки на функционал.
Для чего нужно настроить в первую очередь параметры администрирования и какими будут последствия, если этого не сделать?
- Административные учётные записи и пароли по умолчанию либо пустые, либо общеизвестные, либо доступные из документации. Если их не поменять, то злоумышленники без труда получат доступ к управлению устройством.
- Ограничить доступ нужно только IP-адресами рабочих станций администраторов для того, чтобы пользователи, и тем более злоумышленники, не смогли бы провести атаку на подбор пароля.
- Защищённые протоколы управления исключают возможность перехвата пароля, передаваемого в открытом виде, например, по сети Интернет.
- Неизменённые настройки по умолчанию могут быть использованы для получения данных о структуре локальной сети или даже компрометации устройства.
Маршрутизация
1. Задать IP-адресацию интерфейсов. Как минимум, двух: для подключения к сети интернет (WAN) и для локальной сети (LAN). Опционально: настроить DHCP сервер.
2. Настроить маршрутизацию. Как минимум: маршрут по умолчанию. Опционально: с использованием протоколов динамической маршрутизации (в крупных сетях).
3. Обновить версию операционной системы до последней, актуальной и рекомендованной производителем. ПО доступно на сайте при наличии сервисного контракта.
4. Опционально: настроить работу двух устройств в режиме HA (high availability) пары (собрать кластер). На Cisco возможность собрать кластер под управлением Firepower Device Manager появляется на сегодняшний день только при наличии Firepower Management Center (FMC).
Если не сделать: при ненастроенной или настроенной с ошибками маршрутизации не будет связанности между сетями, а также не будет доступа к сети Интернет.
Неактуальная версия прошивки может содержать уязвимости и быть нестабильной в работе.
Режим работы в кластере позволит повысить уровень доступности сервисов
1. Настроить подключение ресурсов локальной сети к сети Интернет с использованием динамической трансляции адресов (SNAT)
2. Настроить доступ из сети Интернет к ресурсам локальной сети с использованием статической трансляции сетевых адресов и портов (DNAT).
3. Настроить доступы между сегментами локальной сети на сетевом уровне.
Для чего это нужно: правило по умолчанию запрещает прохождение любого трафика, без задания правил фильтрации не будет доступа как между локальными сетями, так и сетью Интернет.
1. Настроить подключение удалённых площадок друг с другом (Site to Site).
2. Настроить удалённый доступ (Remote Access).
3. Опционально: настроить двухфакторную аутентификацию для доступа к VPN (2FA).
Для чего нужно: все современные NGFW позволяют организовать связь между разнесёнными площадками поверх любых сетей, в том числе Интернет. Также можно настроить защищённый доступ к ресурсам компании из любого места сети Интернет как IPSEC, L2TP, так и SSL VPN. Двухфакторная аутентификация (FortiToken, Cisco DUO) позволяет более эффективно защитить удалённый доступ к локальной сети.
Контентная фильтрация
1. Подключить устройство к облачным сервисам обновлений. Обновить базы данных средств защиты.
2. Настроить профили антивируса, URL-фильтрации, предотвращения вторжений, защиты DNS и т. п. Более детально будет рассмотрено в тематических обзорах. Пример для URL фильтрации:
3. Активировать функционал инспекции SSL-трафика для поиска вредоносного трафика внутри шифрованных туннелей.
4. Привязать профили защиты и SSL-инспекции к трафику внутри правил Firewall
Что будет если не сделать: существует множество уязвимостей протоколов уровня приложений, которые невозможно обнаружить на сетевом уровне. Расширенные средства позволяют проанализировать уровни 5-7 на предмет наличия вредоносного трафика. Более того, на сегодняшний день более половины трафика является шифрованными по технологии SSL, что не позволяет провести анализ трафика без дешифрации.
Аутентификация
1. Подключить устройство к Microsoft AD.
2. Опционально: подключить устройство к серверу аутентификации/авторизации (Cisco ISE, FortiAuthenticator, Huawei Agile Controller)
3. Опционально: настроить получение данных от смежных систем (SSO)
Что это даёт: с настройками по умолчанию доступ к ресурсам сети Интернет ограничивается на основе IP-адресов. Существует возможность настройки доступа на основе аутентификационных данных, полученных из Microsoft AD. Появляется возможность расширенного протоколирования событий на основе данных пользователей из службы каталогов. Подключение к выделенным серверам аутентификации/авторизации (ААА) позволяет гибко настроить политики доступа в организации. Смежные системы могут предоставить данные для доступа через технологию единого входа (Single sign on).
1. Настроить экспорт событий системных журналов на выделенные сервера (Syslog) как стандартные, так и специализированные. Возможно использование SIEM.
2. Настроить регулярное автоматическое архивирование конфигураций оборудования.
Курс: Базовые настройки Dionis-NX
Продолжительность курса: 16 ак. ч.
Описание курса:
Курс рассчитан на системных администраторов, которые хотят познакомиться с
Dionis-NX. Предполагается, что в обязанности администраторов будет входить
предварительная, базовая настройка маршрутизатора, межсетевого экрана и СКЗИ для
обеспечения удаленного управления хостами Dionis.
Аудитория:
• Сетевые инженеры
• Администраторы сетей
Необходимая подготовка:
• Знание стека протоколов tcp/ip
• Знакомство со статической IP-маршрутизацией, NAT и VPN
• Полезен опыт настройки сетевого оборудования Cisco или аналогичного, настраиваемого при помощи командной строки.
Результат обучения:
После изучения курса слушатель будет уметь:
• Настраивать интерфейсы ethernet
• Создавать статические маршруты
• Использовать NAT
• Фильтровать трафик списками доступа
• Удаленно управлять хостами Dionis по протоколу SSH
• Организовывать VPN, создавая туннели между хостами Dionis
• Инициализировать СКЗИ для шифрования трафика в туннелях
• Обновлять версию Dionis-NX
• Создавать резервные копии конфигурационных файлов и данных
• Запускать отладку и контролировать прохождение пакетов через хост Dionis.
Программа курса:
Часть 1.
«Интерфейс командной строки» знакомит с подключением и входом в Dionis-NX,
«горячими» клавишами, различными режимами командной строки и часто
используемыми командами.
Часть 2.
«Маршрутизатор» описывает настройку IP-маршрутизатора для работы с
интерфейсами ethernet, создание статических маршрутов и работу диагностических
утилит: arping, ping и traceroute.
Часть 3.
«Межсетевой экран» рассматривает защиту удаленного подключения по
протоколу SSH к Dionis-NX, фильтрацию и трансляцию IP-датаграмм, обрабатываемых
IP-маршрутизатором Dionis-NX.
Часть 4.
«Обслуживание» раскрывает работу с файлами в Dionis-NX, создание и
восстановление резервных копий, установку обновлений.
Часть 5.
«Криптозащита» учит, как инициализировать криптосистему, загружать ключи
шифрования и использовать их в статических туннелях.
Часть 6.
«Отладка» включает в себя контроль прохождения пакетов по маршрутизатору
Dionis-NX.
Читайте также: