DFL 260E - User Manual - EN - US Firewall - En.español PDF

Manual del usuario de la red de seguridad
Firewall
NetDefendOS
SeguridadSeguridad
Ver. 2.40.00
Solución de seguridad de redhttp://www.dlink.com

Manual de usuario
DFL-260E / 860E / 1660/2560 / 2560G
NetDefendOS versión 2.40.00
D-Link Corporation
Nº 289, Sinhu tercera Rd, Neihu Distrito, la ciudad de Taipei 114, Taiwán ROC
http://www.DLink.com
Publicado 2011-09-06
Derechos de autor © 2011
Manual de usuario
DFL-260E / 860E / 1660/2560 / 2560G
NetDefendOS versión 2.40.00
Publicado 2011-09-06
Copyright © 2011
Aviso de copyright
Esta publicación, incluyendo todas las fotografías, ilustraciones y el software, está protegido por las leyes internacionales de derechos de autor,
todos los derechos reservados. Ni este manual, ni ninguno de los materiales contenidos en este documento, puede ser reproducida sin el
consentimiento por escrito de D-Link.
Renuncia
La información contenida en este documento está sujeta a cambios sin previo aviso. D-Link no hace representaciones o garantías con
respecto al contenido de este documento y rechaza específicamente cualquier garantía implícita de comerciabilidad o aptitud para un
propósito particular. D-Link se reserva el derecho de revisar esta publicación ya realizar cambios de vez en cuando en el contenido de la
misma, sin ninguna obligación de notificar a ninguna persona o partes de dichas revisiones o modificaciones.
Limitaciones de responsabilidad
EN NINGUNA CIRCUNSTANCIA, D-LINK O SUS PROVEEDORES RESPONSABLES DE DAÑO DE

CUALQUIER CARÁCTER (daños por ejemplo, para pérdida de beneficio, restauración de software,
INTERRUPCIÓN DEL TRABAJO, PÉRDIDA DE SAVED de datos o cualquier otro daño comercial O PÉRDIDAS)
resultante
D-LINK es de la aplicación
informado de laoposibilidad
uso IMPROPIA DEL
de tales PRODUCTO
daños. D-LINK
ADEMÁS, O NO
D-LINK FALLO
SERÁDEL PRODUCTO, AUNQUE
RESPONSABLE DE
RECLAMACIONES DE TERCEROS AL CLIENTE por pérdidas o daños. D-LINK no será en ningún caso será
responsable por cualquier daño EN exceso de la cantidad D-LINK recibido de la USUARIO FINAL DEL
PRODUCTO.
Tabla de contenido
Prefacio ................................................. .................................................. ............15
1. Descripción general NetDefendOS .............................................. ...................................... 17
1.1. Caracteristicas ................................................. ............................................... 17
1.2. NetDefendOS Arquitectura ................................................ ...................... 20
1.2.1. Arquitectura basada en el estado .............................................. ................. 20
1.2.2. NetDefendOS Building Blocks ............................................... ........ 20
1.2.3. Flujo básico de paquetes ............................................... ......................... 21
1.3. Flujo de paquetes Motor NetDefendOS Estado ........ ..................................... ........ 24
2. Gestión y Mantenimiento ............................................. ............................... 29
2.1. NetDefendOS gestión de ................................................ .......................... 29
2.1.1. Visión de conjunto ................................................. .................................. 29
2.1.2. La cuenta de administrador predeterminada ....... ....................................... ... 30
2.1.3. La Interfaz Web ............................................... ........................ 30
2.1.4. La CLI ................................................ ..................................... 36
2.1.5. Secuencias de comandos de la CLI ................................................ ................................. 44
2.1.6. Secure Copy ................................................ ............................... 48
2.1.7. El menú de la consola de arranqu
e .............................................. ................. 50
2.1.8. Gestión de Configuración avanzada ....... ........................................ ...... 52
2.1.9. Trabajar con Configuraciones ............................................... .......... 53
2.2. Eventos y registro ............................................... ................................. 59
2.2.2. Mensajes de registro ................................................ ............................. 59
2.2.3. La creación de Receptores Log............................................... .................. 60
2.2.4. Registrar en MemoryLogReceiver ............................................... ..... 60
2.2.5. Ingreso a los ejércitos Syslog ... ........................................... ................. 60
2.2.6. Severidad de filtro y Mensaje Excepciones .......... ................................. 62
2.2.7. SNMP Traps ................................................ ............................... 62
2.2.8. Avanzadas Configuración de registro ............................................... .................. 64
2.3. Radio de la contabilidad ................................................ ..............................sesenta y cinco
2.3.1. Visión de conjunt o ................................................. ..................................sesenta y cinco
2.3.2. Los mensajes RADIUS Accounting ............................................... .......sesenta y cinco
2.3.3. Los mensajes de Contabilidad provisionales ............................................... ......... 67
2.3.4. La activación de Radio de la contabilidad ............................................... ...... 67
2.3.5. RADIUS Seguridad Contabilidad ............................................... ......... 68
2.3.6. Radio de la contabilidad y de alta disponibilidad ...................................... 68
2.3.7. Manejo de servidores RADIUS que no responden ......................................... 68
2.3.8. Contabilidad y apagados del sistema .............................................. ... 69
2.3.9. Limitaciones con NAT ............................................... .................... 69
2.3.10. RADIUS Configuración avanzada ............................................... ......... 69
2.4. Supervisión ................................................. ........................................... 71
2.4.1. El Monitor de Enlace ............................................... ......................... 71
2.4.2. Monitoreo SNMP ................................................ ....................... 73
2.4.3. Monitorización de hardware ................................................ ................... 76
2.4.4. Supervisión de la memoria Ajustes ............................................... .......... 78
2.5. los pcapdump Comando ................................................. ....................... 80
2.6. Mantenimiento ................................................. ......................................... 83
2.6.1. Mecanismo de actualización automática .............................................. ................. 83

2.6.2. Realizar copias de seguridad Configuracio nes ............................................... ............ 83
2.6.3. Restaurar valores predeterminados de fáb rica .............................................. .............. 85
3. Fundamentos ............................................... .................................................. ..88
3.1. La libreta de direcciones ............................................... ................................... 88
3.1.2. Direcciones IP ................................................ ............................... 88
3.1.3. Las direcciones Ethernet ................................................ ....................... 90
3.1.4. Grupos de direcciones ................................................ ........................... 91
3.1.5. Dirección Objects AUTOGENERADAS ...... ....................................... ....... 92
3.1.6. Dirección carpetas Libro ............................................... .................... 92
4
Manual de usuario
3.2. Soporte IPv6 ................................................ ......................................... 93

3.3. Servicios ................................................. ............................................... 98
3.3.2. La creación de servicios personalizados ............................................... ............... 99
3.3.3. Servicios ICMP ................................................ .......................... 102
3.3.4. Personalizados IP Servicios de Protocolo .............................................. .......... 104
3.3.5. Grupos de servicios ................................................ .......................... 104
3.3.6. Tiempos de espera de servicios personali zados ............................................... ............. 105
3.4. Interfaces ................................................. ........................................... 106
3.4.1. Visión de conjunto ................................................. ................................ 106
3.4.2. Interfaces Ethernet ................................................ ..................... 108
3.4.3. VLAN ................................................. .................................... 115
3.4.4. PPPoE ................................................. .................................... 118
3.4.5. Túneles GRE ................................................ ............................ 120
3.4.6. Grupos de interfaz ................................................ ........................ 124
3.5. ARP ................................................. ................................................. 126
3.5.2. El NetDefendOS caché ARP .............................................. ....... 126
3.5.3. La creación de objetos ARP ............................................... .................. 128
3.5.4. Utilizando ARP Configuración avanzada .............................................. ....... 130
3.5.5. Resumen Configuración avanzada ARP .............................................. 131 ..
3.6. Reglas IP ................................................ ............................................. 135
3.6.1. Políticas de seguridad ................................................ ........................ 135
3.6.2. IP evaluación de las reglas ............................................... ...................... 138
3.6.3. IP las acciones de reglas ............................................... .......................... 139
3.6.4. regla de edición de IP fija entradas............................................. ............... 140
3.6.5. IP carpetas conjunto de reglas .............................................. ...................... 141
3.6.6. Grupos objeto de configuración ............................................... ........ 142
3.7. Horarios ................................................. .......................................... 146
3.8. Certificados ................................................. ........................................ 148
3.8.2. Certificados en NetDefendOS ............................................... ......... 150
3.8.3. Las solicitudes de certificados CA ............................................... ............... 151
3.9. Fecha y hora ............................................... ...................................... 153
3.9.2. Ajuste de la fecha y la hora . ............................................. .................. 153
3.9.3. Servidores de tiempo ................................................ ............................ 154
3.9.4. Resumen para la configuración de fecha y hora ............................................ 157
3.10. DNS ................................................. ................................................ 160
4. Enrutamiento ............................................... .................................................. ........ 164
4.1. Visión de conjunto ................................................. ........................................... 164
4.2. Enrutamiento estatico ................................................ ...................................... 165
4.2.1. Los Principios de enrutamiento .............................................. .............. 165
4.2.2. Enrutamiento estatico ................................................ ........................... 169
4.2.3. Ruta de conmutaciónpor error ................................................ .......................... 174
4.2.4. Monitorización acogerá por la r uta de conmutación por er ror ............................................. 177 ..
4.2.5. Configuración avanzada para la ruta de conmutación por err or ............................................ 179
4.2.6. Proxy ARP ................................................ ............................... 180
4.3. basado en políticas de enrutamiento .............................................. .............................. 183
4.4. Ruta de equilibrio de carga ............................................... ............................ 190
4.5. OSPF ................................................. ................................................ 196
4.5.1. Enrutamiento dinámico ................................................ ....................... 196
4.5.2. Conceptos de OSPF ................................................ ......................... 199
4.5.3. OSPF Componentes ................................................ ..................... 204
4.5.4. Reglas de enrutamiento dinámico ............................................... ............... 210
4.5.5. Configuración de OSPF ............................................... ........................ 213
4.5.6. Un ejemplo OSPF ............................................... ...................... 217
4.6. Enrutamiento multicast ................................................ ................................. 220
4.6.2. Multicast Forwarding con SAT Reglas Multiplex ............................. 221
4.6.3. Configuración IGMP ................................................ .................. 225
4.6.4. Configuración avanzada de IGMP ............................................... ............. 230
5
Manual de usuario
4.7. Modo transparente ................................................ ................................ 233

4.7.2. Activación del acceso a Internet ............................................... .............. 238
4.7.3. Escenarios de modo transparente .... ........................................... ......... 239
4.7.4. Spanning Tree BPDU Soporte .............................................. ........ 243
4.7.5. Configuración avanzada de modo transparente ....................................... 244
5. Servicios DHCP .............................................. ................................................ 249
5.2. Servidores DHCP ................................................ ..................................... 250
5.2.1. Los anfitriones DHCP estáticas ............................................... ...................... 253
5.2.2. Opciones personalizadas ................................................ ......................... 255
5.3. DHCP retransmisión ................................................ ................................... 256
5.3.1. DHCP Relay Configuración avanzada .............................................. ..... 257
5.4. Conjuntos de IP ................................................ .............................................. 259
6. Mecanismos de seguridad.............................................. ......................................... 263
6.1. Reglas de acceso ................................................ ....................................... 263
6.1.2. IP Spoofing ................................................ .............................. 264
6.1.3. De acceso Configuración de reglas ............................................... ................... 264
6.2. ALG ................................................. ................................................ 266
6.2.2. El HTTP ALG ............................................... ......................... 267
6.2.3. El FTP ALG ............................................... ............................ 270
6.2.4. El TFTP ALG ............................................... .......................... 279
6.2.5. El SMTP ALG ............................................... ......................... 280
6.2.6. El POP3 ALG ............................................... .......................... 289
6.2.7. El PPTP ALG ............................................... .......................... 290
6.2.8. La SIP ALG ............................................... ............................. 291
6.2.9. El H.323 ALG ............................................. ........................... 302
6.2.10. El TLS ALG ............................................... .......................... 316
6.3. Filtrado de Contenido Web ............................................... ............................ 319
6.3.2. Manipulación de contenido activo............................................... .............. 319

6.3.3. Filtrado de contenido estático ............................................... ................ 320
6.3.4. Filtrado de Contenido Web dinámico .............................................. ..... 322
6.4. Scanning Anti-Virus .............................................. ............................... 337
6.4.2. Implementación ................................................. ........................ 337
6.4.3. Activación de Scanning Anti-Virus ........ ..................................... ....... 338
6.4.4. La base de firmas ............................................... ............... 338
6.4.5. La suscripción al Servicio Anti-Virus D-Link ................................. 339
6.4.6. Opciones de Anti-Virus .............................................. ....................... 339
6.5. La detección y prevención de intrusiones .............................................. ............ 343
6.5.2. IDP disponibilidad para el D-Link Modelos ........................................... ... 343
6.5.3. Reglas de desplazados ................................................ ................................. 345
6.5.4. Inserción / Evasión la prevención de ataques ...... ....................................... . 347
6.5.5. IDP Pattern Matching ............................................... .................. 348
6.5.6. IDP Firma Grupos ............................................... .................. 349
6.5.7. Acciones de desplazados ................................................ .............................. 350
6.5.8. Receptor SMTP registro para los eventos de desplazados ............................................ 351 ..
6.6. Denegación de Servicio de Prevención de Ataque ........................................... ............. 355
6.6.2. Mecanismos de ataque de denegación d e servicio ............................................... .............. 355
6.6.3. Ping de la Muertey Sacudida Ataques ................................................. .... 355
6.6.4. La fragmentación ataques de superposición: Lágrima, Bonk, Boink y Nestea ...... 356
6.6.5. los Tierra y LaTierra ataques ................................................. .... 356
6.6.6. los WinNuke ataque ................................................. .................. 356
6.6.7. ataques de amplificación: Pitufo, Papasmurf, Fraggle ........................... 357
6.6.8. Los ataques TCP SYN Flood ... ........................................... ............... 358
6.6.9. los Jolt2 Ataque ................................................. ....................... 358
6.6.10. Los ataques de denegación de servicio istribuidos
d ............................................... ............. 358
6
Manual de usuario
6.7. Listas negras de máquinas y redes .............................................. ............... 360

7. Traducción de Direcciones de .............................................. .......................................... 363
7.2. NAT ................................................. ................................................. 364
7.3. Piscinas NAT ................................................ .......................................... 369
7.4. SAB ................................................. .................................................. 372
7.4.1. Traducción de una sola dirección IP (1: 1) ............ ........................... 372 ..
7.4.2. Traducción de varias direcciones IP (M: N) .................................... 377
7.4.3. All-to-One Asignaciones (N: 1) ....................................... .................. 379
7.4.4. Traducción de puertos ................................................ ......................... 381
7.4.5. Protocolos manejado por satélite ... ........................................... ............ 381
7.4.6. Múltiple SAB Regla Partidos ................................................ ......... 381
7.4.7. SAB y FwdFast Reglas ................................................. ............. 382
8. autenticación de usuario .............................................. .......................................... 385
8.2. Configuración de la autentica
ción ................................................ ............................. 387
8.2.1. Resumen de configuración ................................................ ......................... 387
8.2.2. La base de datos local ............................................... ..................... 387
8.2.3. Los servidores RADIUS externos ............................................... ............ 389
8.2.4. Los servidores LDAP externos ............................................... ................ 389
8.2.5. Normas de autenticación ................................................ .................. 396
8.2.6. Procesamiento de autenticación ................................................ ........... 398
8.2.7. Un uso Grupo Ejemplo .............................................. ............... 399
8.2.8. Autenticación HTTP ................................................ ................. 399
8.3. Personalización de autenticación páginas HTML .............................................. 404 ..
9. VPN ............................................... .................................................. ............ 409
9.1.1. Uso de VPN ................................................ ............................... 409
9.1.2. VPN cifrado ................................................ ........................ 410
9.1.3. Planificación VPN ................................................ ........................... 411
9.1.4. Distribución de claves ................................................ ........................ 411
9.1.5. La Alternativa TLS para VPN ............................................. ......... 412
9.2. VPN de inicio rápido ............................................... ................................... 413
9.2.1. IPsec LAN a LAN con claves compartidas Pre-....................................... 414
9.2.2. IPsec LAN a LAN con Certificados ............................................ . 415
9.2.3. IPsec clientes de uso móvil con claves compartidas Pre-.................................. 416
9.2.4. IPsec clientes de uso móvil con certificados ........... .............................. 418
9.2.5. L2TP clientes de uso móvil con Pre-Shared Keys .............. ................... 419
9.2.6. L2TP Roaming clientes con Certificados ........................................ 421
9.2.7. PPTP Roaming clientes ............................................... ................ 421
9.3. IPsec Componentes ................................................ ................................ 423
9.3.2. Internet Key Exchange (IKE) ............................................ ........... 423
9.3.3. IKE autenticación ................................................ .................... 429
9.3.4. Protocolos de IPsec (ESP / AH) ... ........................................ ................ 430
9.3.5. NAT ................................................ .......................... 431
9.3.6. Listas de propuestas de algoritmos............................................... .............. 433
9.3.7. Claves pre-compartida .............................................. .......................... 434
9.3.8. Listas de identificación ................................................ ..................... 435
9.4. Los túneles IPsec ................................................ ...................................... 438
9.4.2. LAN a LAN Túneles con claves compartidas Pre-............ ....................... 440
9.4.3. Los clientes de itinerancia ................................................ ........................ 440
9.4.4. Obtención de las CRL desde un servidor LDAP alternativo ............ .................... 445
9.4.5. Solución de problemas con ikesnoop ................................................. .... 446
9.4.6. IPsec Configuración avanzada ............................................... .............. 453
9.5. PPTP / L2TP ............................................... .......................................... 457
9.5.1. Los servidores PP TP ................................................ ............................ 457
9.5.2. Servidores L2TP ................................................ ............................ 458
9.5.3. configuración avanzada L2TP / PPTP Server ............................................ 463
9.5.4. Los clientes PPTP / L2TP .............................................. ...................... 463
9.6. SSL VPN ................................................ ............................................ 466
7
Manual de usuario

9.6.2. Configuración de SSL VPN en NetDefendOS .......... ............................... 467
9.6.3. Instalación del cliente de VPN SSL ............................................. ......... 469
9.6.4. Ejemplo de configuración ................................................ .......................... 472
9.7. CA servidor de acceso ............................................... ................................. 474
9.8. Solución de problemas de VPN ................................................ ........................... 477
9.8.1. Solución de problemas generales ................................................ ............. 477
9.8.2. Certificados de solución de problemas...............................................
. ........ 478
9.8.3. Solución de problemas de IPsec Comandos ..... .......................................... . 478
9.8.4. Error de interfaz de gestión con VPN ........................................ 479
9.8.5. Mensajes de error específicos . .............................................. ............... 479
9.8.6. Los síntomas específicos ................................................ .................... 482
10. Gestión de Tráfico .............................................. ........................................ 485
10.1. Traffic Shaping ................................................ .................................. 485
10.1.1. Visión de conjunto ................................................. ............................... 485
10.1.2. Traffic Shaping en NetDefendOS .............................................. ... 486
10.1.3. Ancho de banda sencilla Limitar ..... .......................................... ........ 488
10.1.4. La limitación de ancho de banda en ambas direcciones ..... ................................... 489
10.1.5. La creación de los límites de distinguir empleando Cadenas .......... ....................... 490
10.1.6. Precedencias ................................................. ........................... 492
10.1.7. Grupos de tuber ía ................................................ ............................ 496
10.1.8. Traffic Shaping Recomendaciones .............................................. 499
10.1.9. Un resumen de Traffic Shaping ............................................. ...... 500
10.1.10. Más ejemplos de tubería ............................................... ................ 501
10.2. IDP Traffic Shaping ............................................... ............................. 506
10.2.2. Configuración de IDP Traffic Shaping ............................................. ..... 506
10.2.3. Flujo de procesamiento ................................................ ....................... 507
10.2.4. La importancia de especificar una Red ...................................... 507
10.2.5. Un escenario P2P ............................................... ......................... 508
10.2.6. Viendo el tráfico de forma a objetos .............................................. 509 ..
10.2.7. Garantizando en lugar de limitar ancho de banda ................................. 510
10.2.8. Tala ................................................. ................................ 510

10.3. Reglas de umbral ................................................ ................................. 511
10.4. Servidor de equilibrio de carga ............................................... ......................... 514
10.4.2. Algoritmos de distribución de SLB ............................................... ....... 515
10.4.3. Selección de pegajosidad................................................ .................. 516
10.4.4. SLB Algoritmos y pegajosidad .............................................. ..... 517
10.4.5. Vigilancia de la Salud del servidor . ............................................. ........... 518
10.4.6. Configuración SLB_SAT Reglas ................................................. ....... 519
11. Alta disponibilidad .............................................. ............................................ 523
11.1. Visión de conjunto ................................................. ......................................... 523
11.2. Mecanismos de HA ................................................ ................................. 525
11.3. Configuración de HA ............................................... .................................... 528
11.3.1. Configuración de hardware HA ............................................... .................. 528
11.3.2. NetDefendOS Configuración manual HA .............................................. ... 529
11.3.3. Verificación de las funciones de clúster .............................................. .... 530
11.3.4. Único compartido direcciones MAC .............................................. ..... 531
11.4. Problemas HA ................................................ ......................................... 532
11.5. Actualizar un clúster de HA .............................................. ....................... 534
11.6. Verificación de Enlace y HA .............................................. ........................ 536
11.7. HA Configuración avanzada ............................................... ......................... 537
12. ZoneDefense ............................................... ................................................. 539
12.1. Visión de conjunto ................................................. ......................................... 539
12.2. ZoneDefense Interruptores ................................................ ......................... 540
12.3. Operación ZoneDefense ................................................ ....................... 541
12.3.1. SNMP ................................................. ................................... 541
12.3.2. Reglas de umbral ................................................ ....................... 541
12.3.3. Manuales de bloqueo y listas de excluidos ............................................. 541
12.3.4. ZoneDefense con el escaneado Anti-Virus ............ ............................ 543
12.3.5. Limitaciones ................................................. ............................ 543
8
Manual de usuario
13. Configuración avanzada .............................................. ........................................... 546

13.1. IP Configuración del nivel de ............................................... ................................. 546
13.2. Configuración del nivel de TCP ............................................... .............................. 550
13.3. ICMP Configuración del nivel de ............................................... ............................ 555
13.4. Ajustes para el estado ................................................ ..................................... 556
13.5. Configuración de conexión de tiempo de es pera ............................................... ................. 558
13.6. Ajustes límite de longitud ............................................... ........................... 560
13.7. Ajustes de fragmentación ................................................ ........................ 562
13.8. Ajustes locales reensamblaje de fragmentos .............................................. ....... 566
13.9. Otras configuraciones ................................................ ........................ 567
A. La suscripción a actualizaciones ............................................. ...................................... 570
B. IDP Firma Grupos ............................................. ........................................ 572
tipos de archivos C. Verified MIME ............................................. .................................... 576
D. El Marco OSI ............................................. .......................................... 580
Índice alfabético ................................................ ............................................. 581
9
Lista de Figuras
1.1. Esquema de flujo de paquetes Parte I ............................................. .............................. 24
1.2. Esquema de flujo de paquetes Parte II ............................................. ............................. 25
1.3. Paquete de flujo esquemático de la ParteIII............................................. ............................ 26
1.4. Expandido aplicar reglas Lógica ................................................. ........................... 27
3.1. Conexiones VLAN ................................................ ...................................... 116
3.2. Un ARP Publicar trama Ethernet ............................................. ........................ 130
3.3. Simplificada NetDefendOS Flujo de Tráfico ....... ....................................... ............... 138
4.1. Un escenario de enrutamiento Típica .............................................. ............................. 166
4.2. Utilizando Dirección IP local Sin consolidar con una red ............................................ 168
4.3. Un escenario de ruta de conmutación por error de ISP de acceso ........................................... .............. 174
4.4. Un Proxy ARP Ejemplo .............................................. .................................... 181
4.5. La RLB Round Robin Algoritmo ............................................. ...................... 191
4.6. La RLB Spillover Algoritmo .............................................. ........................... 192
4.7. Un escenario Ruta de equilibrio de carga ............................................. ...................... 194
4.8. Un escenario simple OSPF .............................................. ................................. 197
4.9. Proporcionar OSPF Ruta redundancia .............................................. ................... 198
4.10. Enlaces virtuales conectan las áreas .... .......................................... ...................... 202
4.11. Enlaces virtuales con Backbone con particiones ............................................. ............ 203
4.12. Objetos NetDefendOS OSPF ............................................... ......................... 204
4.13. Los objetos dinámicos regla de enrutamiento .............................................. ....................... 211
4.14. Reenvío de multidifusión - Sin traducción de direcciones de ............................................ .... 222
4.15. Reenvío de multidifusión - Traducción de Direcciones de ............................................. ....... 224
4.16. Modo de multidifusión Snoop ............................................... .................................. 226
4.17. Modo Proxy multidifusión ............................................... .................................. 226
4.18. Acceso a Internet de modo no transparente ....... ..................................... ............... 238
4.19. El acceso a Internet transparente Modo ..... ......................................... ................... 238
4.20. Transparente Escenario Modo 1 .............................................. .......................... 240
4.21. Transparente Escenario Modo 2 .............................................. .......................... 241
4.22. Un escenario de ejemplo BPDU retransmisión ............................................. .............. 244
5.1. Objetos del servidor DHCP ............................................... .................................... 253
6.1. La implementación de unALG ............................................... ........................................ 266
6.2. HTTP ALG procesamiento de pedidos .............................................. ........................... 269
6.3. FTP ALG Modo híbrido .............................................. ................................... 271
6.4. SMTP ALG procesamiento de pedidos .............................................. ........................... 282
6.5. Anti-Spam Filtrado .............................................. ........................................ 284
6.6. El uso de PPTP ALG ............................................... ......................................... 290
6.7. Terminación TLS ................................................ .......................................... 317
6.8. Flujo de filtrado de contenido dinámico ...
........................................... ....................... 323
6.9. La actualización de base de datos IDP ............................................... .................................. 344
6.10. Selección Firma IDP ............................................... ................................ 346
7.1. NAT Traducción de direcciones IP . ............................................. ............................ 364
7.2. A Ejemplo NAT ............................................... ........................................... 366
7.3. Anonimizar con NAT ............................................... ................................. 368
7.4. El papel de la DMZ ............................................. ....................................... 373
8.1. Normal de autenticación LDAP ............................................... ......................... 395
8.2. LDAP para PPP con CHAP, MS-CHAPv1 o MS-CHAPv2 ................... ............... 396
9.1. El protocolo AH ............................................... ........................................... 431
9.2. PPTP
9.3. El protocolo
uso delESP ...............................................
cliente ..........................................
............................................... 431
........................................ 465
9.4. VPN SSL Navegador de opciones de conexión ............................................. ............... 469
9.5. La sesión SSL VPN Client ............................................. ............................... 470
9.6. Las estadísticas de clientes VPN SSL . ............................................ ........................... 471
9.7. Certificado de componentes de validación ............................................... ................... 475
10.1. Reglas de tubería determinar el uso de tuberías ............................................. ..................... 487
10.2. FwdFast Reglas de derivación Traffic Shaping .............................................. ............. 488
10.3. Límites diferenciadas Uso de Cadenas .............................................. .................. 491
10.4. Los ocho precedencias de tubería .............................................
. ............................ 492
10.5. Mínima y máxima del tubo Precedencia ............................................. .......... 494
10
Manual de usuario
10.6. Tráfico agrupados por dirección IP ............................................. ........................ 498

10.7. Un básico Traffic Shaping Escenario ............................................. ..................... 502
10.8. IDP Traffic Shaping P2P Escenario ............................................. .................... 508
10.9. Una carga del servidor de configuración de equilibrio ............................................. ............. 514
10.10. Las conexiones desde tres clientes ....... ....................................... ..................... 517
10.11. Pegajosidad y Round-Robin ............................................. .......................... 518
10.12. Pegajosidad y del tipo de conexión ..... ........................................ ....................... 518
D.1. Las 7 capas del modelo OSI ........................................... ........................... 580
11
Lista de ejemplos
1. Ejemplo de notación .............................................. ...............................................15
2.1. Que permite la gestión remota a través de HTTPS ............................................. .............. 35
2.2. La activación de SSH de acceso remoto .............................................. ............................ 41
2.3. Lista de objetos de configuración ............................................... ............................ 53
2.4. Viendo un objeto de configuración .............................................. ....................... 54
2.5. Edición de un objeto de configuración .............................................. ........................... 55
2.6. Adición de un objeto de configuración .............................................. ........................... 55
2.7. La eliminación de un objeto de configuración .............................................. .......................... 56
2.8. Restauración de un objeto de configuración............................................
.. ...................... 56
2.9. Modificado lista de objetos de configuración ........ ...................................... ................ 57
2.10. Activación y confirmación de una configuración ............ ................................. .......... 57
2.11. Habilitar el registro a un host Syslog ...... ...................................... ......................... 61
2.12. El envío de mensajes de alerta SNMP a un receptor de captura SNMP ....... ................................... ..... 63
2.13. Configuración del servidor RADIUS Contabilidad .............................................. .................... 70
2.14. Habilitación de SNMP Monitoreo ... ............................................ ............................ 74
2.15. La realización de una copia de seguridad completa ............................................. ............... 85
2.16. Restablecimiento de hardware completa a los valores de fábrica ..... ....................................... ....... 85
3.1. Adición de una dirección de host IP ............................................. ................................. 89
3.2. Adición de una red IP .............................................. ....................................... 89
3.3. La adición de un rango de IP .............................................. .......................................... 90
3.4. La eliminación de un objeto de dirección .............................................. ................................ 90
3.5. Adición de una dirección Ethernet .. ............................................ ............................... 91
3.6. Adición de direcciones de host IPv6 .............................................. .............................. 93
3.7. Habilitación de IPv6 a nivel mundial ............................................... .................................... 94
3.8. Habilitación de IPv6 en una interfaz ...........................................
.. .............................. 94
3.9. Habilitación de IPv6 Anuncios ............................................... ........................... 95
3.10. Una lista de los servicios disponibles .............................................. ........................... 98
3.11. Visualización de un servicio específico .............................................. ............................... 99
3.12. La creación de un / UDP servicio personalizado TCP........................................... .................. 102
3.13. Adición de un servicio de protocolo IP ............................................. ......................... 104
3.14. La definición de una VLAN ............................................... ........................................ 117
3.15. Configuración de un cliente PPPoE .............................................. ........................... 120
3.16. Creación de un grupo de interfaz .............................................. ............................ 124
3.17. Viendo la caché ARP .............................................. ............................. 127
3.18. Vaciar la caché ARP .............................................. ................................ 127
3.19. Definición de una entrada ARP estática ............................................. ............................ 128
3.20. Adición de una Permitir Regla IP ................................................ .............................. 141
3.21. La creación de una política de seguridad Time-programada .......................................... ......... 147
3.22. Carga de un certificado ............................................... ................................. 150
3.23. La asociación de certificados con túneles IPsec ...........
.................................. ........ 151
3.24. Ajuste de la fecha y hora actuales ............................................ ..................... 153
3.25. Ajuste del huso horario .............................................. ................................... 154
3.26. Activación DST ................................................ ............................................ 154
3.27. Habilitación de sincronización de tiempo SNTP usando ............................................. ....... 155
3.28. La activación manual de un tiempo de sincronización ............................................. ..... 156
3.29. Modificar el valor de ajuste máximo ............................................. ....... 156
3.30. Forzar sincronización de tiempo ............................................... ....................... 157
3.31. Permitiendo el D-Link Servidor NTP ........................................... ........................ 157

3.32. Configuración de servidores DNS ............................................... .............................. 160
4.1. Viendo la principal Tabla de ruteo ................................................ .................. 171
4.2. Adición de una ruta a la principal Mesa ................................................. .................. 172
4.3. Viendo las Rutas Core .............................................. .............................. 173
4.4. Creación de una tabla de enrutamiento .............................................. ................................. 184
4.5. Adición de rutas ................................................ ............................................. 184
4.6. Creación de una regla de enrutamiento .............................................. .................................. 185
4.7. Enrutamiento basado en políticas con los ISP múltiples ........................................... ............... 188
4.8. Configuración de RLB ............................................... ............................................ 194
4.9. la creación de una Proceso OSPF Router ............................................... .................... 217
12
Manual de usuario
4.10. Añadir una OSPF Área ................................................ .....................................

217
4.11. Añadir Interfaz OSPF Objetos ................................................. ........................ 217
4.12. Las rutas de importación de un AS OSPF en la tabla de enrutamiento principal ................... ......... 218
4.13. Exportación de la ruta por defecto en un OSPF AS .......................................... ....... 218
4.14. Reenvío de multidifusión de tráfico utilizando la Regla SAT Multiplex ........................... 222
4.15. Reenvío de multidifusión - Traducción de Direcciones de ............................................. ....... 224
4.16. IGMP - Sin traducción de direcciones de ............................................. ....................... 227
4.17. IF1 Configuración ................................................. ....................................... 228
4.18. IF2 Configuración - Grupo de Traducción ......... ..................................... ............... 229
4.19. Configuración de modo transparente para el Escenario 1 ........................................... ......... 240
4.20. Configuración de modo transparente para el Escenario 2 ........................................... ......... 241
5.1. Configuración de un servidor DHCP ............................................. ................................. 251
5.2. Asignación estática de host DHCP .............................................. .......................... 254
5.3. La creación de un retransmisor de DHCP ............................................. ............................... 256
5.4. Creación de una piscinaIP .............................................. ......................................... 261
6.1. La creación de una regla de acceso ............................................. ................................. 265
6.2. La protección de un servidor FTP con un ALG ........................................... .................. 274
6.3. La protección de clientes FTP ............................................... ................................... 277
6.4. Proteger Móviles detrás de cortafuegos NetDefend ............. ................................ ..... 305
6.5. H.323 con direcciones IPv4 privadas ........................................... ....................... 306
6.6. Dos teléfonos en diferentes firewalls NetDefend ............................................ 307
6.7. Uso de direcciones IPv4 privadas .... .......................................... ........................... 308
6.8. H.323 con Gatekeeper ............................................. ..................................... 309
6.9. H.323 con Gatekeeper y dos servidores de seguridad NetDefend ......................................... . 311
6.10. Utilizando el H.323 ALG en un entorno corporativo ........................................ ... 312
6.11. Configuración de oficinas remotas para H.323 ........................................... .................. 315
6.12. Permitiendo que la puerta de enlace H.323 a r egistrarse con el Gatekeeper .................. ............ 315
6.13. Excluyendo los applets de Java y ActiveX ............................................. ................... 320
6.14. La creación de una lista negra blanco y ............................................ ......................... 321
6.15. Permitiendo Web dinámica de filtrado de contenidos ...... ....................................... .......... 324
6.16. Activación del modo de Auditoría ............................................... ................................... 326
6.17. La reclasificación de un sitio bloqueado .............................................. ............................ 327
6.18. Edición de filtrado de contenido HTTP Banner archivos .........

................................... ....... 334
6.19. Activación de Scanning Anti-Virus ............................................. ........................ 341
6.20. Configuración de un receptor de registro SMTP ............................................. ................. 351
6.21. Configuración de IDP para un servidor de correo ........................................... ......................... 352
6.22. Adición de un host a la lista blanca ............................................ .......................... 361
7.1. Especificación de una NAT Regla ................................................. ................................. 366
7.2. Utilización de grupos de NAT ............................................... .......................................... 370
7.3. Permitiendo el tráfico a un servidor Web protegido en una DMZ ........................................ . 373
7.4. Permitiendo el tráfico a un s ervidor Web en una red interna ................. ................... 375
7.5. La traducción de tráfico a los servidores web protegidos Múltiples ........................................ 377
7.6. La traducción de tráfico a un servidor web individual Protegida (N: 1) .................................. 380
8.1. Creación de un grupo de autenticación de usuario ..........................................
... ............... 402
8.2. Configuración de la autenticación de usuario para Web Access ............................................ ........... 402
8.3. Configuración de un servidor RADIUS .............................................. ......................... 403
8.4. Edición de filtrado de contenido HTTP Banner archivos ............................................ ........ 405
9.1. El uso de una lista de propuestas Algoritmo . ........................................... ....................... 433
9.2. El uso de una clave precompartida ............................................ ..................................... 434
9.3. El uso de una lista de Identidad .............................................. ...................................... 436
9.4. La creación de un túnel VPN basado PSK para clientes de uso móvil ............. .......................... 441
9.5. La creación de un túnel VPN basado en certificado autofirmado para clientes de uso móvil ......... ...... 441
9.6. Configuración de certificado de CA del servidor túneles VPN basados para clientes de uso móvil ................. 44 3
9.7. Configuración del modo de configuración .............................................. .................................. 445
9.8. Uso del modo Config con túneles IPsec ............................................ ................ 445
9.9. Configuración de un servidor LDAP ............................................. ................................ 446
9.10. Configuración de un servidor PPTP ............................................. ................................. 458
9.11. Configuración de un servidor L2TP ............................................. ............................... 459
9.12. La creación de un túnel L2TP sobre IPSec ........ ................................... ................ 459
9.13. Configuración de una VPN SSL interfaz ............................................ ...................... 472
10.1. La aplicación de un límite de ancho de banda simple ............................................. ................. 488
10.2. La limitación de ancho de banda en ambas direcciones ............................................. .............. 490
13
Manual de usuario
10.3. La creación de SLB ............................................... ............................................ 519

12.1. Un simple escenario ZoneDefense .............................................. ...................... 542
14
Prefacio
Público destinatario
El público objetivo de esta guía de referencia está administradores que son responsables de la configuración y administración de
servidores de seguridad NetDefend que se ejecutan el sistema operativo los NetDefendOS. Esta guía asume que el lector tiene un
conocimiento básico de las redes y seguridad de la red.
La estructura del texto y Convenciones

El texto se divide en capítulos y subsecciones. Numeradas sub-secciones se muestran en la tabla de contenido al
principio. Un índice se incluye al final del documento para ayudar con búsqueda alfabético de los sujetos.
Cuando un enlace de "Ver capítulo / sección" (como por ejemplo: ver Capítulo 9, VPN) se proporciona en el texto principal, esto se puede hacer clic para
llevar al lector directamente a esa referencia.
El texto que pueden aparecer en la interfaz de usuario del producto se designa por estar en caso negrita.Cuando se está introduciendo un término
por primera vez o que es tensionada que puede aparecer en cursiva.
Donde la interacción de la consola se muestra en el texto principal en el exterior de un ejemplo, que aparecerá en una caja con un fondo gris.
Donde se muestra una referencia de dirección Web en el texto, al hacer clic se abrirá la URL especificada en un navegador en una nueva
ventana (algunos sistemas pueden no permitir esto). Por ejemplo, http://www.dlink.com.
Imágenes
Esta guía contiene un mínimo de capturas de pantalla. Esto es deliberado y se realiza porque las ofertas manuales
específicamente con NetDefendOS y administradores tienen la opción de gestión de interfaces de usuario. Se decidió que el
manual sería menos claro y más fácil de leer si se concentra en describir cómo NetDefendOS funciones en lugar de incluir un gran
número de capturas de pantalla que muestran cómo se utilizan los diversos interfaces. Se dan ejemplos, pero estos son en gran
medida las descripciones textuales de uso de la interfaz de gestión.
Ejemplos
Ejemplos en el texto se indican mediante el encabezado Ejemploy aparecen con un fondo gris, como se muestra a continuación. Contienen
un ejemplo de la CLI y / o un ejemplo Interfaz Web según el caso. (Los NetDefendOS Guía de referencia de la CLI documentos de todos los
comandos de la CLI).
Ejemplo 1. Ejemplo de notación
Información sobre lo que el ejemplo está tratando de lograr aquí se encuentra, a veces con una imagen explicativa.
Interfaz de línea de comandos
El ejemplo de interfaz de línea de comandos aparecería aquí. Sería comenzar con el símbolo del sistema seguido por el comando:
GW-mundo: /> algúncomando someparameter = somevalue
Interfaz web
15
1.2.3. Flujo básico de paquetes Capítulo 1. Visión general NetDefendOS
Los conjuntos de reglas NetDefendOS
Por último, las reglas que se definen por el administrador en los distintos conjuntos de reglas se utilizan para la aplicación real de las políticas de
seguridad NetDefendOS. El conjunto más fundamental de reglas son las Reglas IP,
que se utilizan para definir la política de filtrado de capa 3 IP, así como llevar a cabo la traducción de direcciones y balanceo de carga del servidor. Las
Reglas de la modulación del tráfico definen la política de gestión de ancho de banda, las Reglas de desplazados internos controlan el comportamiento
del motor de prevención de intrusiones y así sucesivamente.
1.2.3. Flujo básico de paquetes
Esta sección describe el flujo básico en el estado-motor para los paquetes recibidos y transmitidos por NetDefendOS. La siguiente
descripción se simplifica y puede que no sea plenamente aplicable en todos los escenarios, sin embargo, los principios básicos serán
válidas para todas las implementaciones NetDefendOS.
1. Un marco Ethernet se recibe en una de las interfaces Ethernet en el sistema. validación trama Ethernet básica se lleva a
cabo y el paquete se descarta si el marco es válido.
2. El paquete está asociado con una interfaz de srcen. La interfaz de srcen se determina como sigue:
• Si la trama de Ethernet contiene un ID de VLAN (Identificador de LAN Virtual), el sistema comprueba una interfaz VLAN
configurado con un ID de VLAN correspondiente. Si se encuentra uno, que la interfaz VLAN se convierte en la interfaz de srcen
para el paquete. Si no se encuentra una interfaz de juego, el paquete se descarta y se registra el suceso.
• Si la trama Ethernet contiene una carga útil de PPP, el sistema comprueba una interfaz PPPoE coincidente. Si se encuentra
uno, esa interfaz se convierte en la interfaz de srcen para el paquete. Si no se encuentra una interfaz de juego, el paquete se
descarta y se registra el suceso.
• Si ninguno de lo anterior es cierto, la interfaz Ethernet de recepción se convierte en la interfaz de srcen para el paquete.
3. El datagrama IP dentro del paquete se pasa a la NetDefendOS Comprobador de coherencia. El comprobador de coherencia realiza una serie de
comprobaciones de validez en el paquete, incluyendo la validación de las sumas de comprobación, banderas de protocolo, la longitud del
paquete y así sucesivamente. Si las comprobaciones de coherencia fallan, el paquete se cae y se registra el suceso.
4. NetDefendOS ahora trata de las operaciones de búsqueda una conexión existente, haciendo coincidir los parámetros del paquete
entrante. Una serie de parámetros se utilizan en el intento partido, incluyendo la interfaz de srcen, fuente y direcciones IP de
destino y el protocolo IP.
Si un partido no puede ser encontrado, un proceso de establecimiento de la conexión se inicia el cual incluye los pasos de aquí a 9 abajo. Si se
encuentra una coincidencia, el proceso continúa en la etapa de reenvío 10 abajo.
5. El Reglas de acceso son evaluados para averiguar si la dirección IP de srcen de la nueva conexión es
permitidos en la interfaz recibido. Si no hay regla de acceso coincide entonces una consulta de rutas inversa se hará en las tablas de
enrutamiento.
En otras palabras, por defecto, una interfaz sólo aceptará direcciones IP de srcen que pertenecen a redes enrutadas a través de esa
interfaz. UN búsqueda inversa significa que nos fijamos en las tablas de enrutamiento para confirmar que hay una ruta en la que si esta
red es el destino a continuación, la misma interfaz podría ser utilizado.
Si la búsqueda de regla de acceso o la búsqueda de ruta inversa determinan que la IP de srcen no es válida, el paquete se
descarta y se registra el suceso.
6. Una consulta de rutas está siendo hecha usando la tabla de enrutamiento apropiado. La interfaz de destino para la conexión ha
determinado ahora.
7. Las normas de PI están buscado una regla que coincide con el paquete. Los siguientes parámetros son parte del proceso de
correspondencia:
21
• interfaces de srcen y de destino
• Origen y destino de red
• protocolo IP (por ejemplo TCP, UDP, ICMP)
• puertos TCP / UDP
• tipos ICMP
• Punto en el tiempo en referencia a un programa predefinido
Si un partido no puede ser encontrado, el paquete se descarta.
Si se encuentra una regla que coincide con la nueva conexión, elAcción parámetros de la regla decide qué NetDefendOS debe
hacer con la conexión. Si la acción es la gota, el paquete se descarta y el evento se registra de acuerdo con la configuración del
registro para la regla.
Si la acción es Permitir, el paquete se permite a través del sistema. Un estado correspondiente se añadirá a la tabla de conexión
para hacer coincidir los paquetes posteriores que pertenecen a la misma conexión. Además, el objeto de servicio que se
correspondía con el protocolo IP y los puertos podría haber contenido una referencia a una puerta de enlace de objeto de capa de
aplicación (ALG). Esta información se registra en el estado de modo que NetDefendOS sabrán que el procesamiento de capa de
aplicación tendrá que ser realizado en la conexión.
Por último, la apertura de la nueva conexión se registra de acuerdo con la configuración del registro de la regla.
Nota: Las acciones adicionales
En realidad, hay una serie de medidas adicionales disponibles como traducción de direcciones y balanceo de
carga del servidor. El concepto básico de goteo y permitiendo que el tráfico sigue siendo el mismo.
8. La detección de intrusiones y Normas de Prevención (IDP) están ahora evaluaron de una manera similar a las normas IP. Si se
encuentra una coincidencia, los datos IDP se registra con el estado. Al hacer esto, NetDefendOS sabrán que IDP exploración se
supone que debe ser llevado a cabo en todos los paquetes que pertenecen a esta conexión.
9. El Traffic Shaping y los conjuntos de reglas límite del umbral se buscaron ahora. Si se encuentra una coincidencia, la
información correspondiente se registra en el estado. Esto permitirá una gestión adecuada del tráfico en la conexión.
10. A partir de la información en el estado, NetDefendOS ahora sabe qué hacer con el paquete entrante:
• Si la información ALG está presente o si se va a realizar la exploración IDP, la carga útil del paquete está cuidado por el
subsistema TCP Pseudo-montaje, que a su vez hace uso de las diferentes puertas de enlace de capa de aplicación, la capa
7 motores de análisis y así sucesivamente , para analizar más o transformar el tráfico.
• Si el contenido del paquete se encapsula (tal como con IPsec, PPTP / L2TP o algún otro tipo de protocolo de túnel),
entonces las listas de interfaz se comprueban para una interfaz coincidente. Si se encuentra uno, el paquete se
decapsulated y la carga útil (el texto en claro) se envía en NetDefendOS otra vez, ahora con interfaz de srcen siendo la
interfaz de túnel emparejado. En otras palabras, el proceso continúa en el paso 3 anterior.
• Si la información de gestión del tráfico está presente, el paquete podría obtener en cola o de otra manera ser s ometido a acciones
relacionadas con la gestión del tráfico.
11. Finalmente, el paquete será reenviado a cabo en la interfaz de destino de acuerdo con el estado.
22
Si la interfaz de destino es una interfaz de túnel o una sub-interfaz física, el procesamiento adicional tal como el
cifrado o encapsulación pudiera ocurrir.
La siguiente sección proporciona un conjunto de diagramas que ilustran el flujo de paquetes a través de NetDefendOS.
23
1.3. Flujo de paquetes Motor Estado NetDefendOS Capítulo 1. Visión general NetDefendOS
1.3. Flujo de paquetes Motor Estado NetDefendOS
Los diagramas de esta sección proporcionan un resumen del flujo de paquetes a través del estado del motor NetDefendOS. Hay
tres diagramas, cada uno que fluye en el siguiente. No es necesario entender estos diagramas, sin embargo, pueden ser útiles
como referencia para configurar NetDefendOS en ciertas situaciones.
Figura 1.1. Esquema de flujo de paquetes Parte I
El flujo de paquetes se continúa en la página siguiente.
24
2.1.3. La Interfaz Web Capítulo 2. Gestión y Mantenimiento
Para obtener información sobre el nombre de usuario y contraseña por defecto, consulte Sección 2.1.2, “La cuenta pre determinada del administrador”.
Nota: el acceso de administración remota
El acceso a la interfaz web se rige por la política de gestión remota configurada. Por defecto, el
sistema sólo permitirá acceso a la web de la red interna.
diseño de interfaz
La página principal de la interfaz web se divide en tres secciones principales:
A. barra de menú La barra de menús situada en la parte superior de la interfaz web contiene una serie de botones y menús
desplegables que se utilizan para realizar tareas de configuración, así como para la navegación a varias
herramientas y páginas de estado.
• Casa - Se desplaza a la primera página de la Interfaz Web.
• Configuración
yo. Guardar y activar -Guarda y activa la configuración.
ii. Descartar los cambios Descarta

- los cambios realizados en la configuración
durante la sesión actual.
Iii. Ver cambios Enumerar

- los cambios realizados en la configuración, ya que
se guardó por última vez.
• Herramientas Contiene
- una serie de herramientas que son útiles para el mantenimiento del sistema.
• status -Proporciona varias páginas de estado que se pueden utilizar para el diagnóstico del sistema.
33
• Mantenimiento
yo. Centro de Actualizaciónactualizar

- manualmente o programar las actualizaciones de las firmas de
detección de intrusiones y antivirus.
ii. Licencia -Ver los detalles de la licencia o introduzca el código de activación.
Iii. Apoyo -Hacer una copia de seguridad de la configuración de un equipo local o

restaurar una copia de seguridad previamente descargado.
iv. Reiniciar -Reiniciar el servidor de seguridad o restablecer los valores de fábrica.
v. Actualización Actualizar
- el firmware del servidor de seguridad.
VI. Soporte técnicoEsta

- opción ofrece la posibilidad de descargar un archivo
desde el servidor de seguridad que se puede estudiar de forma local o enviada a un especialista de soporte
técnico para el análisis de problemas. Esto puede ser muy útil, ya que la información proporcionada de
forma automática incluye detalles importantes que se requieren para la solución de problemas.
SEGUNDO.Navegador El navegador se encuentra en el lado izquierdo de la interfaz web contiene una representación del árbol
de la configuración del sistema. El árbol se divide en varias secciones que corresponden a los
principales bloques de construcción de la configuración. El árbol puede ser ampliado para exponer las
secciones adicionales y el conjunto de objetos seleccionados se muestran en, ventana principal central
de la Interfaz Web.
DO. Ventana principal La ventana principal contiene de configuración o estado detalles correspondientes a la sección
seleccionada en el navegador o la barra de menú.
Cuando se muestran las tablas de información en la ventana principal, haciendo clic derecho en una línea (por
ejemplo, una regla IP) hará que aparezca un menú contextual.
Este menú contextual se puede utilizar para añadir un nuevo objeto, elimine el actual, cambiar el
orden y otras operaciones. los Clon función se utiliza para hacer una copia completa del objeto actual
y luego añadirlo como el último objeto en la tabla. A continuación se muestra un ejemplo típico del
menú contextual.
34
Control de acceso a la interfaz web
Por defecto, la interfaz web sólo es accesible desde la red interna. Si se requiere tener acceso desde otras partes de la
red, esto se puede hacer mediante la modificación de la política de gestión remota.
Ejemplo 2.1. Que permite la gestión remota a través de HTTPS
GW-mundo: /> añadir RemoteManagement RemoteMgmtHTTP https

Red = Interfaz de todos los mosquiteros = cualquier
LocalUserDatabase = adminusers HTTPS = Sí
Interfaz web
1. Ir a: Sistema> Administración remota> Añadir> HTTP / HTTPS Gestión
2. Introduzca una Nombrepara la política de gestión remota HTTP / HTTPS, por ejemplo,https
3. Comprobar la HTTPS caja
4. Seleccione las siguientes opciones en las listas desplegables:
• Base de datos del usuario:

adminusers
• Interfaz:alguna
• Red: todas las redes de
5. Haga clic DE ACUERDO
Precaución: No exponga la interfaz de gestión
Se proporciona el ejemplo anterior sólo tiene fines informativos. Nunca se recomienda para exponer
cualquier interfaz de gestión a cualquier usuario de Internet.
Cierre de sesión de la Interfaz Web
Después de terminar el trabajo con la interfaz web, es recomendable cerrar la sesión siempre para evitar que otros usuarios con acceso a la
estación de trabajo de conseguir el acceso no autorizado a NetDefendOS. Salir se consigue haciendo clic en Cerrar
el sesiónbotón en la parte
derecha de la barra de menú.
35
2.1.4. la CLI Capítulo 2. Gestión y Mantenimiento
Consejo: correctamente encaminar el tráfico de administración
Si hay un problema con la interfaz de administración cuando se comunica junto túneles VPN, consulte la tabla de
enrutamiento principal y buscar una todas las redes deruta al túnel VPN. el tráfico de administración puede ser
mediante esta ruta.
Si hay una ruta específica está configurado para la interfaz de gestión a continuación, todo el tráfico procedente de
la gestión NetDefendOS automáticamente se dirigirá hacia el túnel VPN. Si este es el caso, entonces una ruta se
debe agregar por el administrador para el tráfico de gestión de rutas con destino a la red de gestión de la interfaz
correcta.
2.1.4. la CLI
NetDefendOS proporciona una Interfaz de línea de comandos ( CLI) para los administradores que prefieren o requieren un enfoque de línea de
comandos para la administración, o que necesitan un control más detallado de la configuración del sistema. El CLI está disponible de forma local
a través del puerto de consola serie (conexión a esto se describe más adelante), o de forma remota a través de una interfaz Ethernet utilizando el Cubierta
segura ( SSH) protocolo de un cliente SSH.
La CLI proporciona un amplio conjunto de comandos que permiten la visualización y modificación de datos de configuración, así como permitir
que los datos de tiempo de ejecución que se mostrarán y permitiendo que las tareas de mantenimiento del sistema a realizar.
Esta sección sólo proporciona un resumen para el uso de la CLI. Para una referencia completa para todos los comandos de la CLI, consulte el
documento adjunto D-LinkGuía de referencia de la CLI.
Los comandos de la CLI utilizados con más frecuencia son:
• añadir - Añade un objeto tal como una dirección IP o una regla para una configuración NetDefendOS.
• set - Establece una propiedad de un objeto a un valor. Por ejemplo, esto podría ser utilizado para establecer la interfaz de srcen en una norma IP.
• espectáculo - Muestra las categorías actuales o mostrar los valores de un objeto en particular.
• borrar - Elimina un objeto específico.
Estructura Comando de la CLI
Los comandos de CLI por lo general comienzan con la estructura: < comando> <tipo_objeto> <object_name>. Por ejemplo, para mostrar
un objeto de dirección IP llamada mi dirección, el comando sería:
GW-mundo: /> Ver dirección IP4Address my_address
La segunda parte del comando especifica eltipo de objeto y es necesario identificar qué categoría de objeto el nombre del objeto se
refiere a (tener en cuenta que el mismo nombre puede existir en dos categorías diferentes).
Nota: Categoría y Contexto
El termino categoríase refiere a veces como lacontextode un objeto.
Un comando como añadir también puede incluir propiedades del objeto. Para añadir un nuevo objeto IP4Address con una dirección IP de 10.49.02.01,
el comando sería:
GW-mundo: /> añadir IP4Address my_address Dirección = 10.49.02.01
36
El objeto tipo puede estar opcionalmente precedido por el objeto

categoría. UN categoría agrupa un conjunto detipos y se utiliza principalmente con la
implementación del tabulador que se describe a continuación.
Consejo: Cómo obtener ayuda acerca de la ayuda
Escribiendo el comando CLI:
GW-mundo: /> ayuda ayuda
dará información sobre el propio comando de ayuda.
La historia comando de la CLI
Al igual que la consola en muchas versiones de Microsoft Windows ™, las teclas de flecha arriba y abajo permiten al usuario desplazarse por la
lista de comandos en elhistorial de comandos CLI. Por ejemplo, al pulsar la tecla de flecha hacia arriba una vez hará que el último comando
ejecutado aparece en el indicador CLI actual. Después de que aparezca un comando que se puede volver a ejecutar en su forma srcinal o
modificado antes de la ejecución.
del tabulador
Recordando a todos los comandos y sus opciones puede ser difícil. NetDefendOS proporciona una función llamada la implementación del
tabulador lo que significa que al presionar la tecla de tabulación causará automáticamente la terminación de la parte actual del comando. Si la
terminación no es posible, pulsando la tecla de tabulación, alternativamente, se mostrará las posibles opciones de comandos que están
disponibles.
Los parámetros opcionales se Tab Último
La implementación del tabulador no funciona con parámetros opcionales hasta que se hayan introducido todos los parámetros obligatorios.
Por ejemplo, al crear una regla de IP para un conjunto de reglas IP en particular, la línea de comandos podría comenzar:
añadir iprule
Si la tecla de tabulación es presionado, los parámetros obligatorios se muestran por NetDefendOS:
Se requiere un valor de las siguientes propiedades:
Acción DestinationNetwork SourceInterface

Servicio DestinationInterface SourceNetwork
los Nombre parámetro no está en esta lista ya que no es obligatoria ya que las reglas pueden ser referenciados con su número de índice. Del
mismo modo, podría introducir lo siguiente:
añadir iprule Na
Si la tecla de tabulación está presionado, las letras N / A No se completará a ser name = porque Nombre es opcional y se deben introducir todos los
parámetros obligatorios antes de la implementación del tabulador funciona para parámetros opcionales.
Por ejemplo, si el comando siguiente se escribe:
añadir iprule SourceInterface = if12 SourceNetwork = all-redes

DestinationInterface = IF2 DestinationNetwork = redes de toda acción = Permitir a los
servicios all_services = Na
Si la tecla de tabulación está presionado, las letras N / A ahora será completado para ser name = porque todo el
37
ya se han introducido los parámetros obligatorios.
Nota: Se recomienda nombres de las reglas
Incluso cuando es opcional, se recomienda que una Nombre valor se asigna a una regla. Esto hace que el examen y
la comprensión de la configuración más sencilla.
Especificando el valor predeterminado
El período "." personaje antes de una ficha se puede utilizar para rellenar automáticamente el valor predeterminado para una propiedad de objeto. Por
ejemplo:
añadir LogReceiver LogReceiverSyslog log_example

Dirección = = example_ip LogSeverity. (lengüeta)
Se rellenará con el valor por defecto para LogSeverity:
añadir LogReceiverSyslog ejemplo Dirección = example_ip

LogSeverity = Emergencia, Alerta, crítico, error, advertencia, aviso, la información
Esta lista de gravedad se puede editar con las teclas de flecha y la tecla de retroceso de la espalda. Un valor por defecto no siempre está disponible.
Por ejemplo, el Acción de una regla IP tiene ningún valor predeterminado.
Otro uso del carácter de punto antes de una pestaña es para rellenar automáticamente el valor actual de una propiedad de objeto en una línea
de comandos. Por ejemplo, podríamos haber escrito el comando sin terminar:
Seleccionar la dirección de DirecciónIP If1_ip Dirección =
Si ahora escribimos "" seguido de una pestaña, NetDefendOS mostrará el valor actual para elDirección
parámetro. Si ese valor es, por ejemplo, 10.6.58.10 a continuación, la línea de comandos sin terminar se convertirá automáticamente en:
Seleccionar la dirección de DirecciónIP If1_ip Dirección = 10.6.58.10
NetDefendOS inserta automáticamente el valor actual de10.6.58.10 y esto, entonces se puede cambiar con la tecla de retroceso o teclas de
flecha hacia atrás antes de completar el comando.
Categorías de objetos
Se ha mencionado que los objetos están agrupados por tipo, como IP4Address. Tipos mismos están agrupados por categoría. El tipo IP4Address
pertenece a la categoría Dirección. El uso principal de las categorías está en la implementación del tabulador cuando se busca el tipo de
objeto derecho de uso.
Si un comando como añadir se introduce y luego se presiona la tecla de tabulación, NetDefendOS muestra todas las categorías disponibles. Al
elegir una categoría y luego pestaña pulsando de nuevo todos los tipos de objetos de esa categoría se muestra. El uso de categorías significa que
el usuario tiene una forma sencilla de especificar qué tipo de objeto que están tratando de especificar y se muestran un número manejable de
opciones después de pulsar la pestaña.
No todos los tipos de objetos pertenecen a una categoría. El tipo de objeto UserAuthRule es un tipo sin una categoría y aparecerá en la lista de
categorías después de pestaña presionando al comienzo de un comando.
La categoría a veces también se denomina contexto.
Selección de objetos Categorías
Con algunas categorías, es necesario elegir primero un miembro de esa categoría con los cc ( cambio de categoría) de comandos
antes de objetos individuales pueden ser manipulados. Este es el caso, por ejemplo,
38
con las rutas. No puede haber más de una tabla de enrutamiento, por lo que cuando la adición o la manipulación de una ruta que primero tendrá que
utilizar el cc comando para identificar qué tabla de enrutamiento que nos interesa.
principal. El primer comando sería:

Supongamos que una ruta es que se añade a la tabla de enrutamiento
GW-mundo: /> principal cc RoutingTable
GW-mundo: / principal>
Observe que los cambios de símbolo del sistema para indicar la categoría actual. La ruta ahora se puede añadir:
GW-mundo: / principal> Agregar ruta Name = new_route1 Interfaz de red LAN = = Lannet
Para anular la selección de la categoría, el comando es cc por sí mismo:
GW-mundo: / principal> cc
GW-mundo: />
Las categorías que requieren una inicial cc comando antes de la manipulación de objetos tiene un carácter "/" después de sus nombres cuando
se ordenan por una espectáculo mando. Por ejemplo: Tabla de ruteo/.
Especificación de valores múltiples de propiedad
A veces una propiedad de comandos puede tener varios valores. Por ejemplo, algunos comandos utilizan la propiedad AccountingServers
y más de un valor se puede especificar para esta propiedad. Al especificar múltiples valores, deben estar separados por una coma
"" carácter. Por ejemplo, si tres servidores server1, server2, servidor3 es necesario especificar entonces la asignación de
propiedad en el comando sería:
AccountingServers = server1, server2, server3
La inserción en listas de reglas
listas de reglas tales como el conjunto de reglas IP tienen un ordenamiento que es importante. Al agregar mediante la CLI
añadir comando, el valor predeterminado es añadir una nueva regla al final de una lista. Cuando la colocación en una posición particular es
crucial, la añadir comando puede incluir la index = parámetro como una opción. Inserción en la primera posición en una lista se especifica con
el parámetro Index = 1 en una añadir comando, la segunda posición con el parámetroIndex = 2 y así.
Hacer referencia por Nombre
El nombramiento de algunos objetos es opcional y se realiza con laname = parámetro en una añadir mando. Un objeto, como una regla de
umbral, siempre tendrá una Índice valor que indica su posición en la lista de reglas, pero opcionalmente se puede asignar un nombre
también. la manipulación posterior de una norma de este tipo puede hacerse ya sea refiriéndose a ella por su índice, es decir, su posición
lista, o, alternativamente, utilizando el nombre asignado a la misma.
los Guía de referencia de la CLI enumera las opciones de los parámetros disponibles para cada objeto, incluyendo el NetDefendOS
name = y index
= Opciones.
Uso de nombres únicos
Para mayor comodidad y claridad, se recomienda que se asigna un nombre a todos los objetos de manera que pueda ser utilizado como referencia, si
es necesario. Referencia por su nombre es particularmente útil cuando se escriben los guiones de la CLI.
39
Para más información sobre esto ver los guiones Sección 2.1.5, “Secuencias de comandos de la CLI”.
La CLI hará cumplir denominación única dentro de un tipo de objeto. Por razones de compatibilidad con versiones anteriores a NetDefendOS
comunicados, existe una excepción a las normas de propiedad intelectual que pueden tener nombres duplicados, sin embargo se recomienda para
evitar esto. Si se utiliza un nombre de regla IP duplicada en dos reglas IP a continuación, sólo el Índice valor puede identificar de manera única cada
regla IP en los comandos de la CLI posteriores. Hacer referencia a una regla de IP con un nombre duplicado va a fallar y dar lugar a un mensaje de
error.
El uso de nombres de host en la CLI
Para ciertos comandos de la CLI, las direcciones IP opcionalmente se pueden especificar como un nombre de host textual en lugar de un objeto
IP4Address o la dirección IP en bruto tal como 192.168.1.10. Cuando se hace esto, el nombre de host debe tener el prefijo con las letras DNS: para
indicar que una búsqueda de DNS se debe hacer para resolver el nombre de host a una dirección IP. Por ejemplo, el nombre de host host.company.com
se especificaría como
DNS: host.company.com en el CLI.
Los parámetros donde los URN podrían utilizarse con la CLI son:
• Los Punto final remoto para IPsec, L2TP y PPTP túneles.
• Los Anfitrión para los servidores LDAP.
Cuando la búsqueda de DNS que hay que hacer, al menos un servidor DNS público debe estar configurado en NetDefendOS de nombres
de host que se traducen a direcciones IP.
Serial acceso a la consola CLI
El puerto serie de consola es un puerto local RS-232 en el Firewall NetDefend que permite el acceso directo a la NetDefendOS CLI a
través de una conexión en serie a un PC o terminal. Para localizar el puerto de consola serie en el hardware de D-Link, consulte la Guía
de inicio rápido D-Link.
Para utilizar el puerto de la consola, se requiere el siguiente equipo:
• Un terminal o un ordenador con un puerto serie y la capacidad de emular un terminal (como el uso de la Hiper terminal software
incluido en algunas ediciones de Microsoft Windows ™). El puerto de consola serie utiliza la siguiente configuración predeterminada: 9600
bps, sin paridad, 8 bits de datos y 1 bit de parada.
• Un cable RS-232 con conectores apropiados. Un paquete de electrodomésticos incluye un cable de módem nulo RS-232.
Para conectar ahora un terminal al puerto de consola, siga estos pasos:
1. Ajuste el protocolo de terminal como se describe anteriormente.
2. Conecte uno de los conectores del cable RS-232 directamente al puerto de consola del sistema NetDefend
Firewall.
3. Conectar el otro extremo del cable a la terminal o el conector serie del equipo que ejecuta el software de
comunicaciones.
4. presione el entrar clave en el terminal. Los NetDefendOS indicador de conexión debe aparecer en la pantalla del terminal.
SSH (Secure Shell) Acceso CLI
El protocolo SSH (Secure Shell) se puede utilizar para acceder a la CLI través de la red desde un host remoto. SSH es un protocolo utilizado
principalmente para la comunicación segura a través de redes inseguras, proporcionando fuerte autenticación e integridad de datos. clientes
SSH están libremente disponibles para casi todo el hardware
40
plataformas.
NetDefendOS soporta la versión 1, 1,5 y 2 del protocolo SSH. acceso SSH está regulada por la política de gestión remota en
NetDefendOS, y está desactivado por defecto.
Ejemplo 2.2. La activación de SSH de acceso remoto
Este ejemplo muestra cómo habilitar el acceso remoto SSH desde el Lannetred a través de la lan interfaz mediante la adición de una regla a la política
de gestión remota.
GW-mundo: /> añadir RemoteManagement RemoteMgmtSSH ssh

Red = Lannet interfaz LAN = =
LocalUserDatabase adminusers
Interfaz web
1. Ir a: Sistema> Administración remota> Añadir> Secure Shell de administración
2. Introduzca una Nombrepara la política de gestión remota SSH, por ejemplo,ssh_policy
• Base de datos del usuario:

adminusers
• Interfaz:lan
• Red: Lannet
Inicio de sesión en la CLI
Cuando el acceso a la CLI se ha establecido a través de la consola NetDefendOS serial o un cliente SSH, el administrador tendrá que iniciar
sesión en el sistema antes de poder ejecutar cualquier comando CLI. Este paso es necesario para garantizar la autenticación que sólo los
usuarios de confianza pueden acceder al sistema, así como proporcionar información de usuario para la auditoría.
Al acceder a la CLI de forma remota a través de SSH, NetDefendOS responderá con un mensaje de login. Introduzca el nombre de usuario y
pulse el Entrar clave, seguido de la contraseña y luego Entrar de nuevo.
Después de un inicio de sesión correcto, aparecerá el símbolo del sistema de la CLI:
GW-mundo: />
Si un mensaje de bienvenida se ha establecido a continuación, se mostrará inmediatamente después del inicio de sesión. Por razones de seguridad, es
recomendable desactivar cualquiera o anonimizar el mensaje de bienvenida de la CLI.
Cambiando eladministraciónContraseña de usuario
Se recomienda cambiar la contraseña predeterminada de la administración cuenta desde administración a otra cosa tan pronto como sea posible
después de la puesta en marcha inicial. Las contraseñas de usuario puede ser cualquier combinación de caracteres y no puede ser mayor de 256
caracteres de longitud. Se recomienda utilizar sólo caracteres imprimibles.
Para cambiar la contraseña, por ejemplo,mi contraseña Se utilizan los siguientes comandos CLI. En primer lugar debemos cambiar la
categoría actual a ser el LocalUserDatabase llamado (adminusers que existe por defecto):
41
GW-mundo: /> Adminusers cc LocalUserDatabase
Ahora estamos enadminusers y puede cambiar la contraseña de la administración usuario:
GW-mundo: / adminusers>conjunto de administrador de usuario Contraseña = "mi-contraseña"
Por último, volvemos la categoría actual al nivel superior:
GW-mundo: / adminusers> cc
Nota: La contraseña de la consola es independiente
La contraseña que se puede configurar para proteger el acceso directo de la consola serie es una contraseña separada y no se
debe confundir con las contraseñas relacionadas con las cuentas de usuario. La contraseña de la consola se describe en Sección
2.1.7, “Menú La consola de arranque”.
Cambio de la indicación de la CLI
El símbolo de CLI por defecto es:
GW-mundo: />
dónde Dispositivo es el número de modelo del NetDefend Firewall. Esto se puede modificar para requisitos particulares, por ejemplo, a mi-prompt: />, utilizando
el comando de la CLI:
GW-mundo: /> Nombre del dispositivo de juego = "mi-prompt"
los Guía de referencia de la CLI utiliza el símbolo del sistema GW-mundo: />en todo.
Consejo: El símbolo de CLI es el nombre del dispositivo WebUI
Cuando el indicador de línea de comandos se cambia a un nuevo valor de cadena, esta cadena también aparece como el nuevo
nombre del dispositivo en el nodo de nivel superior de la WebUI de vista de árbol.
Activación y confirmar los cambios
Si se realiza algún cambio en la configuración actual a través de la CLI, esos cambios no se subirán a NetDefendOS
hasta que el comando:
GW-mundo: /> activar
se emite. Inmediatamente después de laactivar comando, el comando:
GW-mundo: /> cometer
debe ser emitida para hacer esos cambios sean permanentes.
Si una cometer comando no se emite dentro de un período de tiempo predeterminado de 30 segundos después los cambios se revierten
automáticamente y la configuración antigua restaurada.
Reinicio NetDefendOS con la CLI
El CLI puede utilizarse para reiniciar NetDefendOS utilizando el comando:
42
GW-mundo: /> apagar
Esto es suficiente para la mayoría de las situaciones que requieren un reinicio del sistema. Para apagar y reiniciar ambos NetDefendOS
y reinicializar completamente el hardware, incluyendo el cargador NetDefendOS (equivalente a cambiar el hardware de ahí en adelante)
utiliza el comando:
GW-mundo: /> -reboot apagado
Un posible efecto secundario de confirmar los cambios aunque la CLI es que cualquier sesión del navegador Interfaz Web que se registra
en el momento de la confirmación, será necesario que el usuario inicie sesión de nuevo. Esto se debe a la vista de la interfaz Web de la
configuración puede no ser válida.
Comprobar la integridad de configuración
Después de cambiar una configuración NetDefendOS y antes de emitir activar

el y cometer
comandos, es posible comprobar explícitamente de cualquier problema en una configuración con el comando:
GW-mundo: /> Mostrar -errors
Esto hará que NetDefendOS para escanear la configuración a punto de ser activado y la lista de cualquier problema. Un posible problema que podría
encontrarse de esta manera es una r eferencia a un objeto IP en la libreta de direcciones que no existe una copia de seguridad de configuración
restaurada.
Cierre de sesión en la CLI
Después de terminar el trabajo con la CLI, se recomienda cerrar la sesión con el fin de evitar que cualquier persona obtener acceso no autorizado al
sistema. Cierre la sesión mediante el uso de la salida o el cerrar sesión mando.
Configuración del acceso de gestión remota en una interfaz
puede necesitar ser configurado a través de la CLI de acceso de administración remota. Supongamos que es el acceso de administración a ser a través
de la interfaz Ethernet IF2 que tiene una dirección IP 10.8.1.34.
En primer lugar, establecemos los valores de los objetos de dirección IPv4 para IF2 que ya existen en el libro NetDefendOS dirección,
comenzando con el IP de la interfaz:
GW-mundo: /> Seleccionar la dirección de IP4Address if2_ip Dirección = 10.8.1.34
La dirección IP de red para la i nterfaz también se debe establecer en el valor adecuado:
GW-mundo: /> Seleccionar la dirección de IP4Address if2_net Dirección = 10.8.1.0 / 24
En este ejemplo, las direcciones IP locales se utilizan para la ilustración, pero estos podrían ser públicas las direcciones IPv4 en su lugar.
HTTP_if2:
A continuación, crear un acceso a objetos de gestión remota HTTP, en este ejemplo se llama
GW-mundo: />añadir RemoteManagement RemoteMgmtHTTP HTTP_if2

Interfaz de Red = IF2 = todas las redes de
LocalUserDatabase = = adminusers AccessLevel
administración HTTP = Sí
Si ahora activar y cometer la nueva configuración, acceso de gestión a distancia a través de la IPv4
43
2.1.5. Secuencias de comandos de la CLI Capítulo 2. Gestión y Mantenimiento
dirección 10.8.1.34 es ahora posible utilizando un navegador web. Si se requiere acceso SSH a continuación, una gestión
RemoteMgmtSSHobjeto
debe ser añadido.
El supuesto hecho con los comandos anteriores es que una todas las redes de ruta existe para la puerta de enlace del ISP. En otras palabras, el
acceso a Internet se ha habilitado para la NetDefend Firewall.
Gestión de sesiones de gestión con SessionManager
La CLI proporciona un comando llamado SessionManager para la gestión de sesiones de gestión propios. El comando se utiliza
para gestionar todos los tipos de sesiones de gestión, incluyendo:
• Asegure sesiones de CLI Shell (SSH).
• Cualquier sesión de CLI a través de la interfaz de la consola serie.
• Secure Copy sesiones (SCP).
• sesiones interfaz web conectados por HTTP o HTTPS.
El comando sin ninguna opción da un resumen de las sesiones abiertas en ese momento:
GW-mundo: /> SessionManager
Gestor de estado de la sesión

----------------------
Las conexiones activas : 3
Máximas conexiones permitidas: 64
Local de tiempo de espera de inactividad de sesión: 900
NetCon tiempo de espera de sesión inactiva: 600
Para ver una lista de todas las sesiones utilizan el - lista opción. A continuación se muestra una cierta salida típica que muestra la sesión de consola
local:
GW-mundo: /> SessionManager -lista
Usuario Base de datos IP Tipo Modo Acceso

-- -- - -- - -- -- -- -- -- -- -- -- - - -- -- -- - - -- -- -- - -- -- -- - -- -- -- -
local (ninguna) 0.0.0.0 La consola de administración local,
Si el usuario tiene privilegios de administrador completos, que pueden poner fin a la fuerza a otra sesión de gestión utilizando el - desconectar
de la opción SessionManager mando.
los SessionManager opciones de comando están completamente documentadas en Guía

el de referencia de la CLI.
2.1.5. Secuencias de comandos de la CLI
Para permitir que el administrador para almacenar y ejecutar conjuntos de comandos de la CLI fácilmente, NetDefendOS proporciona una función
llamada secuencias de comandos CLI.UN escritura de la CLI es una secuencia predefinida de comandos de la CLI que se pueden ejecutar después de
que se guardan en un archivo y el archivo se sube a la NetDefend Firewall.
Los pasos para crear una secuencia de comandos CLI son los siguientes:
1. Crear un archivo de texto con un editor de texto que contiene una lista secuencial de los comandos de la CLI, uno por línea.
La convención recomendada D-Link es que estos archivos utilizan la extensión de archivo.SGS ( S eguridad
GRAMO ateway S cripta). El nombre de archivo, incluyendo la extensión, no debe contener más de 16 caracteres.
2. Sube el archivo en el servidor de seguridad NetDefend usando Secure Copy (SCP). Los archivos de comandos deben ser almacenados
44
en un directorio en la raíz llamada / guiones. SCP carga se discute en detalle en

Sección 2.1.6, “Secure Copy”.
3. Utilice el comando CLI -execute guión para ejecutar el archivo de script.
la CLI guión comando es la herramienta utilizada para la gestión de la escritura y ejecución. La sintaxis completa del comando se
describe en el Guía de referencia de la CLI y ejemplos específicos de uso se detallan en las siguientes secciones. Ver también Sección
2.1.4, “El CLI” en este manual.
Sólo cuatro comandos están permitidos en Scripts
Los comandos permitidos en un archivo de script se limitan a cuatro y estos son:

• añadir
• conjunto
• borrar
• cc
Si aparece cualquier otro comando en un archivo de script, se ignora durante la ejecución y un mensaje de advertencia se emite. Por
ejemplo, el silbido comando será ignorado.
La ejecución de secuencias de comandos
Como se mencionó anteriormente, la -execute guión comando inicia un archivo script llamado que se ha cargado previamente a la
NetDefend Firewall. Por ejemplo, para ejecutar el archivo de scriptmy_script.sgs
que ya ha sido cargado, el comando CLI sería:
GW-mundo: /> guión -execute -name = my_script.sgs
Las variables de script
Un archivo de script puede contener cualquier número de variables de proceso que se denominan:
$ 1, $ 2, $ 3, $ 4 ...... $ n
Los valores sustituidos para estos nombres de variables se especifican como una lista al final de la -execute guión
línea de comando. El número norte en el nombre de la variable indica la posición del valor de la variable en esta lista.
$ 1 es lo primero, $ 2 ocupa el segundo lugar y así sucesivamente.
Nota: El símbolo $ 0 está reservado
Observe que el nombre de la primera variable es de $ 1. La variable $ 0 está reservado y siempre se sustituye antes de la
ejecución por el nombre del archivo de secuencia de comandos.
Por ejemplo, un script llamado my_script.sgs está para ser ejecutado con la dirección IP 126.12.11.01 reemplazando todas las ocurrencias de $ 1 en el
archivo de secuencia de comandos y la cadenadirección IF1 reemplazando todas las ocurrencias de $ 2.
El archivo my_script.sgs contiene la única línea de comando de la CLI:
añadir IP4Address If1_ip Dirección = $ = $ 1 Comentarios 2
Para ejecutar este archivo de comandos después de la carga, el comando CLI sería:
> guión -execute -name = 126.12.11.01 my_script.sgs "dirección de IF1"
45
Cuando se ejecuta el archivo de comandos, la sustitución variables significaría que el archivo se convierte en:
añadir IP4Address If1_ip Dirección = 126.12.11.01 Comentarios = "dirección IF1"
Comandos de validación y pedidos de comandos
secuencias de comandos de la CLI no son, por defecto, validado. Esto significa que el pedido por escrito de la secuencia de comandos no importa. No
puede ser una referencia a un objeto de configuración en el comienzo de una secuencia de comandos que sólo se crea al final de la secuencia de
comandos. Aunque esto puede parecer ilógico, que se hace para mejorar la legibilidad de los guiones. Si hay algo que siempre tiene que ser creado
antes de que se hace referencia a continuación, esto puede resultar en un archivo de script confuso y desarticulado y en grandes archivos de
comandos a menudo es preferible agrupar los comandos de la CLI que son similares.
Manejo de errores
Si un archivo de secuencia de comandos CLI ejecutando encuentra una condición de error, el comportamiento por defecto es que el guión para
terminar. Este comportamiento puede ser anulado por el uso de la - fuerza opción. Para ejecutar un archivo script llamado
my_script2.sgs De esta manera, el comando CLI es:
GW-mundo: /> guión -execute -name = my_script2.sgs force
Si - fuerza se utiliza, el script continuará ejecutando incluso si los errores son devueltos por un comando en el archivo de script.
salida de la escritura
Cualquier salida de la ejecución del script aparecerá en la consola CLI. Normalmente esta salida sólo se compone de cualquier mensaje
de error que se producen durante la ejecución. Para ver la confirmación de cada orden de terminar, la - verboso opción debe utilizarse:
GW-mundo: /> guión -execute -name = my_script2.sgs -verbose
ahorro de secuencias de comandos
Cuando un archivo de script se carga en el servidor de seguridad NetDefend, se mantuvo inicialmente sólo en la memoria RAM temporal. Si
NetDefendOS reinicia entonces cualquier script subidas se perderán de esta memoria volátil y deben subirse de nuevo a correr. Para almacenar un
guión entre puestas en marcha, deberá haber sido expresamente se trasladó a NetDefendOS no volátiles disco mediante el uso de la memoria -store
guión mando.
Para mover el ejemplo my_script.sgs a la memoria no volátil del comando sería:
GW-mundo: /> guión -store -name = my_script.sgs
Por otra parte, todos los scripts se pueden mover a la memoria no volátil con el comando:
GW-mundo: /> guión -store -todas
La eliminación de secuencias de comandos
Para eliminar un script guardado. el-remove guióncomando se puede utilizar.
Para eliminar el ejemplo my_script.sgs archivo de comandos, el comando sería:
46
GW-mundo: /> guión -remove -name = my_script.sgs
listado de secuencias de comandos
los guión por sí solo, el comando sin ningún parámetro, se enumeran todas las secuencias de comandos disponibles en la actualidad y se indica el
tamaño de cada secuencia de comandos, así como el tipo de memoria donde reside (residencia en la memoria no volátil se indica mediante la palabra
" Disco" en el Memoria columna).
GW-mundo: /> guión
Nombre Almacenamiento Tamaño (bytes)

-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
my_script.sgs RAM 8
my_script2.sgs disco 10
Para listar el contenido de un archivo de script cargado específica, por ejemplo,my_script.sgs el comando sería:
GW-mundo: /> guión -demostrar -name = my_script.sgs
Creación de secuencias automáticamente
Cuando tiene que ser copiado entre varios servidores de seguridad NetDefend, a continuación, una manera de hacer esto con la CLI de los mismos
objetos de configuración es crear un archivo de secuencia de comandos que crea los objetos requeridos y luego subir a ejecutar y el mismo guión en
cada dispositivo.
Si ya tenemos una instalación NetDefendOS que ya tiene los objetos configurados que necesitan ser copiados, a continuación, ejecutar el-create
guión comando en la instalación que proporciona una forma de crear automáticamente el archivo de secuencia de comandos necesaria.
Este archivo de script puede ser descargado en la estación de trabajo de gestión local y se ha cargado y ejecutado en otros servidores de
seguridad NetDefend duplicar los objetos.
Por ejemplo, supongamos que el requisito es crear el mismo conjunto de IP4Addressobjetos en varios Firewalls NetDefend
que ya existen en una sola unidad. El administrador se conectaría a la unidad individual con la CLI y ejecute el comando:
GW-mundo: /> guión -create Dirección IP4Address -nombre new_script.sgs
Esto crea un archivo script llamadonew_script_sgs que contiene todos los comandos de la CLI necesario para crear todos
IP4Addressdirección
de objetos en la configuración de dicha unidad. el contenido del archivo creado podrían, por ejemplo, ser:
añadir IP4Address If1_ip Dirección = 10.6.60.10 añadir IP4Address

If1_net Dirección = 10.6.60.0 / 24 Añadir IP4Address If1_br Dirección =
10.6.60.255 añadir IP4Address If1_dns1 Dirección = 141.1.1.1
"""
El archivo new_script_sgs a continuación, se puede descargar en la SCP a la estación de trabajo de gestión local y luego cargado y ejecutado en los
otros servidores de seguridad NetDefend. El resultado final es que todas las unidades tendrán el mismo IP4Addressobjetos en su libreta de
direcciones.
El nombre del archivo creado usando el - crear opción no puede ser mayor que 16 caracteres de longitud (incluyendo la extensión) y
el tipo de archivo debe ser. SGS.
47
2.1.6. Secure Copy Capítulo 2. Gestión y Mantenimiento
Consejo: Listado de comandos en la consola
Para una lista de los comandos CLI creado en la consola en lugar de guardar en un archivo, dejar de lado la opción - name
= en el -create guiónmando.
Ciertos aspectos de una configuración que son dependientes del hardware no puede tener una entrada del archivo de secuencia de comandos creada
cuando se utiliza el - crear opción. Esto es cierto cuando el tipo de nodo en el CLI
-create guión
comando es uno de:
• COMPortDevice
• Ethernet
• EthernetDevice
• Dispositivo
Estos tipos de nodos se omiten cuando se crea el archivo de comandos y NetDefendOS da el mensajeNo hay objetos de categoría o tipo
seleccionado.
Al comentar archivos de comandos
Cualquier línea en un archivo de secuencia de comandos que se inicia con el # carácter se trata como un comentario. Por ejemplo:
# La siguiente línea define la dirección IP IF1 añadir IP4Address If1_ip

Dirección = 10.6.60.10
Secuencias que se ejecutan otros scripts
my_script.sgs podría contener la línea:

Es posible que una secuencia de comandos para ejecutar otro script. Por ejemplo, la secuencia de comandos
"" Guión -execute -nombre my_script2.sgs ""
NetDefendOS permite que el archivo de script my_script2.sgs para ejecutar otro archivo de guión y así sucesivamente. La profundidad máxima de este
anidación guión es 5.
2.1.6. Secure Copy

Para cargar y descargar archivos desde o hacia el NetDefend Firewall, el copia de seguridad ( SCP) protocolo se puede utilizar. SCP se basa en
el protocolo SSH y muchos clientes de CPS libre disposición existe para casi todas las plataformas. Los ejemplos de línea de comandos a
continuación se basan en el formato del comando más común para el software de cliente de SCP.
Formato de comando SCP
sintaxis del comando SCP es sencillo para la mayoría de los clientes basados en la consola. El comando básico que se utiliza aquí es SCP seguido por
la fuente y destino para la transferencia de archivos.
Subir se realiza con el comando:
> scp <local_filename> <destination_firewall>
48
2.1.6. Secure Copy Capítulo 2. Gestión y Mantenimiento
Descarga se realiza con el comando:
> scp <source_firewall> <local_filename>
El srcen o destino NetDefend servidor de seguridad es de la forma:

<Nombre_de_usuario> @ <firewall_ip_address>: <ruta de archivo>.
Por ejemplo: admin@10.62.11.10: config.bak. la < nombre_usuario> debe ser un usuario NetDefendOS definido en el grupo de usuario del
administrador.
Nota: Los ejemplos de CPS no muestran la solicitud de contraseña
SCP normalmente pedirá la contraseña de usuario después de la línea de comandos, pero que no está pronta se muestra en
los ejemplos que se dan aquí.
En la siguiente tabla se resumen las operaciones que se pueden realizar entre un cliente y NetDefendOS SCP:
Tipo de archivo Sube posible descarga posible

Copia de seguridad de configuración (config.bak) Sí (también con WebUI) Sí (también con WebUI)
Copia de seguridad del sistema (full.bak) Sí (también con WebUI) Sí (también con WebUI)
Las actualizaciones de firmware Sí No

certificados Sí No
claves públicas SSH Sí No
archivos de la bandera de autenticación Web Sí Sí
archivos de banner filtro de contenido web Sí Sí
Organización de archivos NetDefendOS
NetDefendOS mantiene una sencilla estructura de directorios de nivel 2 que consiste en el nivel superior raíz y un número de subdirectorios. Sin
embargo, estos "directorios", tales como sshlclientkey se debe pensar más correctamente como de tipos de objetos. Todos los archivos
almacenados en la raíz NetDefendOS, así como todos los tipos de objetos se pueden visualizar utilizando el comando CLI ls.
La salida resultante se muestra a continuación:
GW-mundo: /> ls
HTTPALGBanners /
HTTPAuthBanners /
certificado / full.bak
config.bak script /
sshclientkey /
Además de los archivos individuales, los tipos de objetos que figuran son:
• HTTPALGBanners / -Los archivos HTML de la bandera para la autenticación de usuarios. La posibilidad de subir estos se describe
adicionalmente en Sección 6.3.4.4, “Personalización de WCF HTML Pages”.
• HTTPAuthBanner / - Los archivos de banner para el filtrado de contenido dinámico HTML ALG. La posibilidad de subir estos se describe
adicionalmente en Sección 6.3.4.4, “Perso nalización de WCF HTML Pages”.
• certificado/ - El tipo de objeto para todos los certificados digitales.
49
2.1.7. El menú de la consola de arranque Capítulo 2. Gestión y Mantenimiento
• script / - El tipo de objeto para todas las secuencias de comandos de la CLI. Scripts se describen adicionalmente en Sección 2.1.5, “Secuencias de
comandos de la CLI”.
• sshclientkey / - El cliente SSH tipo de objeto clave.
Ejemplos de cargar y descargar
En algunos casos, un archivo se encuentra en la raíz NetDefendOS. El archivo de licencia ( license.lic) entra en esta categoría, así como los archivos de
copia de seguridad para las configuraciones ( config.bak) y el sistema completo ( full.bak).
Al subir, estos archivos contienen una cabecera única que identifica cuáles son. NetDefendOS comprueba esta cabecera y asegura que el
archivo se almacena sólo en la raíz (todos los archivos no tienen un encabezado).
Si un nombre de usuario administrador es admin1 y la dirección IPv4 del servidor de seguridad es NetDefend
10.5.62.11 a continuación, para cargar una copia de seguridad de configuración, el comando SCP sería:
> SCP config.bak admin1@10.5.62.11:
Para descargar una copia de seguridad de configuración en el directorio actual, el comando sería:
> SCP admin1@10.5.62.11: config.bak ./
Para cargar un archivo a un tipo de objeto en la raíz, el comando es un poco diferente. Si tenemos un archivo local escritura CLI llamadamy_script.sgs
a continuación, el comando de carga sería:
> SCP my_script.sgs admin1@10.5.62.11: script /
Si tenemos el mismo archivo de comandos CLI llamada my_scripts.sgs almacenado en el servidor de seguridad NetDefend entonces el comando de
descarga sería:
> SCP admin1@10.5.62.11: script / my_script.sgs ./
La activación de Cargas
Al igual que todos los cambios de configuración, sólo subirá SCP se activa después de que los comandos de la CLI activar
se han emitido y esto debe ser seguido por cometer para hacer el cambio permanente.
Subidas de actualizaciones de firmware (empaquetados en. UPG archivos) o una copia de seguridad completa del sistema ( full.bak) son la excepción.
Ambos de estos tipos de archivo se traducirá en un reinicio automático del sistema. La otra excepción es para la carga de secuencias de comandos que
no afectan a la configuración.
2.1.7. El menú de la consola de arranque
los NetDefendOS cargador es el software de base sobre la cual corre NetDefendOS y la interfaz directa del administrador para esto se
llama el menú de arranque de la consola ( también conocido simplemente como la
menú de arranque). Esta sección analiza las opciones del menú de arranque.
Acceso al menú de la consola de arranque
El menú de arranque sólo se puede acceder a través de un dispositivo de consola conectada directamente a la consola de serie ubicado en la
NetDefend Firewall. Se puede acceder a través de la consola después de la NetDefend Firewall está encendido y antes de NetDefendOS esté
totalmente activado.
Pulse
Después de encender el NetDefend Firewall, hay un segundo intervalo de 3 antes de NetDefendOS se pone en marcha y en ese tiempo el mensaje
cualquier tecla para abortar y menú de arranque de carga se visualiza como se muestra
50
2.1.7. El menú de la consola de arranque Capítulo 2. Gestión y Mantenimiento
abajo:
Si se pulsa cualquier tecla de la mesa durante estos 3 segundos y luego hace una pausa de inicio y la NetDefendOS
menú de arranque de la consolase visualiza.
Opciones de menú de arranque iniciales sin un conjunto contraseña
Cuando NetDefendOS se inicia por primera vez sin la contraseña de la consola fija para acceso a la consola a continuación se muestra el conjunto
completo de opciones de menú de arranque, como se muestra a continuación:
Las opciones disponibles en el menú de arranque son:
1. iniciar cortafuegos
Esto inicia la puesta en marcha completa del software NetDefendOS en el NetDefend Firewall.
2. La unidad vuelve a los ajustes de fábrica
Esta opción restaurará el hardware a su estado inicial de fábrica. Las operaciones que se realizan si se selecciona esta opción son
los siguientes:
• Eliminar la seguridad de la consola para que no haya contraseña de la consola.
• Restaurar NetDefendOS predeterminados ejecutables junto con la configuración predeterminada.
3. Revertir a la configuración predeterminada
Esto sólo se restablecerá la configuración a ser el, archivo de configuración por defecto NetDefendOS srcinales. Otras opciones, como la
seguridad de la consola, no se verán afectados.
4. Configurar contraseña de la consola
Establecer una contraseña para el acceso a la consola. Hasta que se establece una contraseña, cualquier persona puede utilizar la consola
para seleccionar configuración de la contraseña tan pronto como sea posible se recomienda. Una vez configurada, la consola le pedirá la
contraseña antes de permitir el acceso a cualquiera el menú de inicio o la interfaz de línea de comandos (CLI).
Opciones iniciales con una contraseña de de consola
Si una contraseña de l a consola se establece a continuación, las opciones iniciales que aparecen cuando NetDefendOS carga se interrumpe con una
pulsación de tecla se muestra a continuación.
51
2.1.8. Configuración avanzada de gestión Capítulo 2. Gestión y Mantenimiento
los 1. cortafuegos de inicio

opción de re-continúa el proceso de inicio NetDefendOS interrumpido. Si el 2. Inicio de sesiónla opción elegida, se debe
introducir la contraseña de la consola y se entra en el menú de arranque completo descrito anteriormente.
Eliminación de la contraseña de la consola
Una vez que la contraseña de la consola se establece que se puede eliminar mediante la selección de la Configurar contraseña de la consola opción en
el menú de inicio y entrar nada como la contraseña y simplemente presionando el Entrar clave para el indicador.
La contraseña de la consola es sólo para la consola
La contraseña establecida para la consola no está conectada a las combinaciones de nombre de usuario / contraseña de gestión utilizados para el
acceso de administrador a través de un navegador web. Es válido sólo para acceso a la consola.
2.1.8. Configuración avanzada de gestión

Bajo la Gestión remotasección de la Interfaz Web una serie de ajustes avanzados se puede encontrar. Estos son:
SSH Antes de Reglas
Habilitar el tráfico SSH al servidor de seguridad, independientemente de Reglas IP configuradas.
Defecto: Activado
WebUI Antes de Reglas
Habilitar HTTP (S) el tráfico al servidor de seguridad, independientemente de Reglas IP configuradas.
Defecto: Activado
Tiempo de espera de consola local
Número de segundos de inactividad hasta que el usuario consola local se registra de forma automática.
Defecto: 900
Tiempo de espera de la validación
Especifica la cantidad de segundos de espera para que el administrador iniciar sesión antes de volver a la configuración anterior.
Defecto: 30
puerto HTTP WebUI
52
2.1.9. Trabajar con Configuraciones Capítulo 2. Gestión y Mantenimiento
Especifica el puerto HTTP para la interfaz web.
Defecto: 80
WebUI puerto HTTPS
Especifica el puerto HTTP (S) para la Interfaz Web.
Defecto: 443
Certificado HTTPS
Especifica el certificado a utilizar para el tráfico HTTPS. Sólo los certificados RSA son compatibles.
Defecto: HTTPS
2.1.9. Trabajar con Configuraciones
Objetos de configuración
La configuración del sistema se construye por Objetos de configuración, donde cada objeto representa un elemento configurable de ningún tipo.
Ejemplos de objetos de configuración son entradas de enrutamiento de mesa, las entradas de la libreta de direcciones, las definiciones de servicio,
reglas de IP y así sucesivamente. Cada objeto de configuración tiene un número de propiedades que constituyen los valores del objeto.
Tipos de objetos
Un objeto de configuración tiene un tipo bien definido. El tipo define las propiedades que están disponibles para el objeto de
configuración, así como l as restricciones para esas propiedades. Por ejemplo, l a IP4Address
tipo se utiliza para todos los objetos de configuración que representan una dirección IPv4 nombrado.
Organización de objetos
En la interfaz web de configuración de los objetos se organizan en una estructura de árbol basado en el tipo de objeto.
En la CLI, tipos de objetos de configuración similares se agrupan juntos en una categoría. Estas categorías son diferentes de la estructura
utilizada en la Interfaz Web para permitir un acceso rápido a los objetos de configuración de la CLI. Los tipos IP4Address, IP4Group y
direccionethernet son, por ejemplo, agrupadas en una categoría denominada Dirección, ya que todos ellos representan diferentes direcciones. En
consecuencia, los objetos Ethernet VLAN y se agrupan en una categoría denominada Interfaz, como lo son todos los objetos de la interfaz. Las
categorías tienen en realidad ningún impacto en la configuración del sistema; que se proporcionan simplemente como un medio para simplificar
la administración.
Los siguientes ejemplos muestran cómo manipular objetos.
Ejemplo 2.3. Lista de objetos de configuración
Para averiguar qué existen objetos de configuración, puede recuperar una lista de los objetos. Este ejemplo muestra cómo enumerar todos los objetos de servicio.
GW-mundo: /> Concursos Servicios
Se mostrará una lista de todos los servicios, agrupados por su respectivo tipo.
53
Interfaz web
1. Ir a: Objetos> Servicios
2. Se presentará la página web una lista de todos los servicios. Una lista
contiene los siguientes elementos básicos:
• Añadir Botón -Muestra un menú desplegable al hacer clic. El menú mostrará una lista de todos los tipos de elementos de configuración que se pueden agregar a la lista.
• cabecera -La fila de encabezado muestra los títulos de las columnas de la lista. Las diminutas imágenes flecha situada junto a cada título se pueden utilizar para
clasificar la lista según esa columna.
• filas -Cada fila de la lista corresponde a un elemento de configuración. Por lo general, cada fila comienza con el nombre del objeto (si el
elemento tiene un nombre), seguido por los valores de las columnas de la lista. Una sola fila de la lista se puede seleccionar haciendo clic en la fila
en un lugar donde no hay ningún hipervínculo. El color de fondo de la fila se vuelve azul oscuro. Haga clic en la fila se mostrará un menú que le da
la opción de editar o eliminar el objeto, así como modificar el orden de los objetos.
Ejemplo 2.4. Viendo un objeto de configuración

La operación más simple en un objeto de configuración es para mostrar su contenido, en otras palabras, los valores de las propiedades del objeto. Este
ejemplo muestra cómo mostrar el contenido de un objeto de configuración que representa la telnet
Servicio.
GW-mundo: /> mostrar ServiceTCPUDP servicio telnet
El valor de la propiedad
-- -- -- -- -- -- -- -- - -- -- -- -
Nombre: telnet
DestinationPorts: 23
SourcePorts TCP:: Tipo
0-65535
SYNRelay: No
PassICMPReturn: No
ALG: (ninguno)
MaxSessions: 1000
Comentarios: Telnet
La columna Propiedad enumera los nombres de todas las propiedades de la clase ServiceTCPUDP y la columna Valor muestra los valores de propiedad
correspondientes.
Interfaz web
2. Haga clic en la telnethipervínculo en la lista
3. Se presentará una página web que muestra el servicio telnet
Nota
Cuando se accede a través de la CLI objeto se puede omitir el nombre de la categoría y sólo tiene que utilizar el nombre del
tipo. El comando CLI en el ejemplo anterior, por ejemplo, podría simplificarse a:
GW-mundo: /> Mostrar ServiceTCPUDP telnet
54
Ejemplo 2.5. Edición de un objeto de configuración
Cuando se cambia el comportamiento de NetDefendOS, lo más probable es necesario modificar uno o varios objetos de configuración. Este ejemplo muestra
cómo editar elcomentariospropiedad de la telnetServicio.
GW-mundo: /> Conjunto de servicios ServiceTCPUDP telnet

Comentarios = "Comentario Modificado"
Mostrar de nuevo el objeto de verificar el nuevo valor de la propiedad:
GW-mundo: /> mostrar ServiceTCPUDP servicio telnet
-- -- -- -- -- -- -- -- - -- -- -- -
Nombre: telnet
DestinationPorts: 23
SourcePorts TCP:: Tipo
0-65535
SYNRelay: No
PassICMPReturn: No
ALG: (ninguno)
MaxSessions: 1000
Comentarios: Comentario Modificado
Interfaz web
2. Haga clic en la telnethipervínculo en la lista
3. En el comentarioscuadro de texto, un comentario adecuado
Verificar que el comentario se ha actualizado en la lista.
Importante: Los cambios de configuración deben ser activados
Los cambios en un objeto de configuración no se pueden aplicar a un sistema en funcionamiento hasta que se active la
configuración nuevos NetDefendOS.
Ejemplo 2.6. Adición de un objeto de configuración
Este ejemplo muestra cómo añadir un nuevo IP4Addressobjeto, aquí la creación de la dirección IPv4 192.168.10.10,a la libreta de direcciones.
GW-mundo: /> Añadir dirección IP4Address myhost Dirección = 192.168.10.10
Mostrar el nuevo objeto:
GW-mundo: /> Ver dirección IP4Address myhost
--- -- --- -- --- --- -- --- --- --- -- --- --
Nombre: myhost Dirección:
192.168.10.10 UserAuthGroups: (ninguno)
NoDefinedCredentials: No
Comentarios: (ninguno)
55
Interfaz web
1. Ir a: Objetos> Libreta de direcciones
2. Haga clic en la Añadirbotón
3. En el menú desplegable que aparece, seleccione

Dirección IP
4. En el Nombrecuadro de texto, introduzca Mi anfitrión
5. Introducir en el 192.168.10.10Dirección IPcaja de texto
7. Verificar que el nuevo objeto de dirección IP4 se ha añadido a la lista
Ejemplo 2.7. La eliminación de un objeto de configuración
Este ejemplo muestra cómo eliminar el objeto IP4Address recién agregado.
GW-mundo: /> Eliminar dirección IP4Address myhost
Interfaz web
2. Haga clic en la línea que contiene el Mi anfitriónobjeto
3. En el menú desplegable que aparece, seleccione

Borrar
La fila se representa con una línea de penetración lo que indica que el objeto está marcado para eliminación.
Ejemplo 2.8. Restauración de un objeto de configuración
Un objeto eliminado siempre puede ser restaurada hasta que la configuración se ha activado y comprometido. Este ejemplo muestra cómo restaurar el
objeto IP4Address borrado se muestra en el ejemplo anterior.
GW-mundo: /> recuperar Dirección IP4Address myhost
Interfaz web
2. Haga clic en la línea que contiene el Mi anfitriónobjeto
3. En el menú desplegable que aparece, seleccione Deshacer eliminación
Añadir objetos modificados
Después de modificar varios objetos de configuración, es posible que desee ver una lista de los objetos que se han cambiado, añadir y eliminar
desde la última confirmación.
56
2.2.5. Ingreso a los ejércitos Syslog Capítulo 2. Gestión y Mantenimiento
Visión de conjunto
syslog es un protocolo estandarizado para el envío de datos de registro, aunque no existe un formato estandarizado para los mensajes
de registro en sí. El formato utilizado por NetDefendOS se adapta bien a tratamiento automatizado, filtrado y búsqueda.
Aunque el formato exacto de cada entrada de registro depende de cómo funciona un receptor Syslog, la mayoría son muy parecidos. La forma en que
se leen registros también depende de cómo funciona el receptor syslog. demonios de registro del sistema en servidores UNIX suele conectarse a
archivos de texto, línea por línea.
Formato de los mensajes
La mayoría de los receptores Syslog prefacio cada entrada de registro con una marca de tiempo y la dirección IP de la máquina que envía los datos de
registro:
5 Feb firewall.ourcompany.com el año 2000 09:45:23
Esto es seguido por el texto del remitente ha elegido enviar.
5 Feb el año 2000 09:45:23 firewall.ourcompany.com EFW: DROP:
El texto subsiguiente depende del evento que ha ocurrido.
Con el fin de facilitar el procesamiento automatizado de todos los mensajes, NetDefendOS escribe todos los datos de registro a una sola línea de texto.
Todos los datos siguientes del texto inicial se presenta en el formato nombre = valor. Esto permite a los filtros automáticos para encontrar fácilmente los
valores que están buscando sin asumir que una parte específica de los datos está en una ubicación específica en la entrada de registro.
Nota: Los campos Prio y la se veridad
los prio = campo en los mensajes Syslog contiene la misma información que Gravedad
la campo para los mensajes de
D-Link Logger. Sin embargo, el orden de la numeración se invierte.
Ejemplo 2.11. Habilitar el registro a un host de Syslog
Para habilitar el registro de todos los eventos con una gravedad mayor que o igual a la Guía para un servidor Syslog con la dirección IP
195.11.22.55, siga los pasos que se indican a continuación:
GW-mundo: /> añadir LogReceiverSyslog my_syslog Dirección IP = 195.11.22.55
Interfaz web
1. Ir a: Sistema> Registro y receptores de eventos> Añadir> receptor Syslog
2. Especificar un nombre adecuado para el receptor de eventos, por ejemplomy_syslog
3. Introduzca 195.11.22.55como el Dirección IP
4. Seleccionar una instalación adecuada de la Instalacioneslista - el nombre de la instalación se utiliza comúnmente como un parámetro de filtro en
la mayoría de los demonios de registro del sistema.
El sistema será ahora registrando todos los eventos con una gravedad mayor que o igual a la Guía para el servidor syslog en
195.11.22.55.
61
2.2.6. Filtrar gravedad y Mensaje Capítulo 2. Gestión y Mantenimiento
Excepciones
Nota: la configuración del servidor Syslog
El servidor syslog puede tener que ser configurado para recibir mensajes de registro de NetDefendOS. Por favor,
consulte la documentación de servidores Syslog específicos con el fin de configurar correctamente.
2.2.6. Filtrar gravedad y Mensaje Excepciones

Para cada receptor de registro es posible imponer reglas en lo que ingrese categorías de mensajes y niveles de gravedad se envían a ese receptor.
También puede bajar o subir la gravedad de los acontecimientos específicos.
El Filtro de Gravedad
los Filtro de Gravedad es un medio de especificar qué niveles de gravedad, en su caso, se envían al receptor. Por defecto, todos los mensajes
excepto log Depurar se envían. Esto puede ser aún más restringido así, por ejemplo, sólo
Alerta de emergencia y Crítico los mensajes se envían.
Entrar excepciones de mensajes
Después se aplica el filtro gravedad, cualquier Entrar excepciones de mensajes se aplican a los mensajes generados. No puede haber más de una
excepción de mensajes para un receptor de registro y cada uno se compone de los siguientes:
• Categoría e ID
Esto especifica los mensajes de registro que se verán afectados por la excepción. Si no se especifica el número de identificación del mensaje de
registro a continuación, todos los mensajes de registro para la categoría especificada se incluirán.
El ID de mensajes de registro específicos se puede encontrar en el Entrar Guía de referencia.
• Tipo
Este puede ser uno de los siguientes:
yo. Excluir -Esto excluirá el mensaje de registro especificado (s), incluso si se les permite por el filtro de la gravedad.
ii. incluir -Esto incluirá el mensaje de registro especificado (s), incluso si están excluidos por el filtro de la gravedad.
además, el Gravedaddel mensaje (s) incluido puede ser especificado. Si esto se establece en
Defecto se utiliza la gravedad srcinales. De lo contrario, la gravedad se establece en el valor especificado. Esto proporciona la capacidad
de subir (o bajar) la gravedad de los mensajes de registro específicos.
2.2.7. Las trampas SNMP
El protocolo SNMP
Protocolo Simple de Manejo de Red (SNMP) es un medio para la comunicación entre un Sistema de Gestión de Red
Leer
(NMS) y un dispositivo gestionado. SNMP define 3 tipos de mensajes: una
de comandos para un NMS para examinar un dispositivo gestionado, una Escribir comando para modificar el estado de un dispositivo gestionado y una Trampa
que es utilizado por los dispositivos gestionados para enviar mensajes de forma asíncrona a un NMS sobre un cambio de estado.
Las trampas SNMP en NetDefendOS
62
2.2.8. Configuración de registro avanzada Capítulo 2. Gestión y Mantenimiento
NetDefendOS lleva el concepto de un SNMP Trap un paso más allá al permitir alguna mensaje de evento que se enviará como una trampa
SNMP. Esto significa que el administrador puede configurar SNMP notificación de captura de eventos que se consideran importantes en el
funcionamiento de una red.
El archivo DFLNNN-TRAP.MIB ( dónde NNN indica el número de modelo del firewall) es proporcionado por D-Link y define los
objetos SNMP y tipos de datos que se utilizan para describir un SNMP Trap recibió de NetDefendOS.
Nota
Hay un archivo MIB diferente para cada modelo de NetDefend Firewall. Asegúrese de que se utiliza el archivo correcto.
Para cada modelo NetDefend Firewall no es un objeto genérico llamado trampa DLNNNosGenericTrap,
que se utiliza para todas las trampas (dondeNNN indica el número de modelo). Este objeto incluye los siguientes parámetros:
• sistema - El sistema de generación de la trampa
• Gravedad - Gravedad del mensaje
• Categoría - Lo subsistema NetDefendOS informa que el problema
• CARNÉ DE IDENTIDAD - identificación única dentro de la categoría
• Descripción - Una breve descripción textual
• acción - Qué acción tomar es NetDefendOS
Esta información puede ser una referencia cruzada a la Entrar Guía de referencia.
Nota: Las normas de t rampas SNMP
NetDefendOS envía trampas SNMP que se basa en el estándar SNMPv2c como se define en
RFC1901, RFC1905 y RFC1906.
Ejemplo 2.12. El envío de mensajes de alerta SNMP a un receptor de capturas SNMP
Para habilitar la generación de trampas SNMP para todos los eventos con una gravedad mayor que o igual a Alert a una trampa SNMP receptor con una dirección IP de
195.11.22.55, siga los pasos que se indican a continuación:
GW-mundo: /> añadir LogReceiver EventReceiverSNMP2c my_snmp

Dirección IP = 195.11.22.55
Interfaz web
1. Ir a: Receptores de registro de eventos> Añadir> SNMP2cEventReceiver
2. Especifique un nombre para el receptor de eventos, por ejemplo,my_snmp
3. Introduzca 195.11.22.55 como el Dirección IP
4. Introduzca un SNMP cadena de comunidad

si es necesario por el receptor de capturas
El sistema será ahora el envío de capturas SNMP para todos los eventos con una gravedad mayor que o igual a Alert a un receptor de trampas SNMP al
195.11.22.55.
63
2.2.8. Configuración de registro avanzada Capítulo 2. Gestión y Mantenimiento
2.2.8. Configuración de registro avanzada
Las siguientes opciones avanzadas para NetDefendOS registro de eventos están disponibles para el administrador:
Enviar Límite
Esta configuración especifica los mensajes de registro máximos que NetDefendOS enviará por segundo. Este valor no debe ser
demasiado baja ya que esto puede resultar en eventos importantes no están registrados, ni tampoco debe ser demasiado alto. Cuando se
supera el máximo, los mensajes en exceso se eliminan y no se almacenan.
El administrador debe hacer caso por caso un juicio acerca de la carga de mensajes que ingrese servidores pueden tratar. A menudo, esto puede
depender de la plataforma de hardware de servidor que se utiliza y si los recursos de la plataforma están siendo compartidos con otras tareas.
Defecto: 2000
Repetición de alarma de intervalo
El retraso en segundos entre las al armas cuando se usa una alarma continua. Como se discutió en
Sección 2.4.3, “Monitorización de hardware”, los mensa jes de sucesos de registro generados por monitoreo de hardware son continuas y este
ajuste se deben utilizar para limitar la frecuencia de esos mensajes.
Mínimo 0, máximo 10.000.
Defecto: 60 ( un minuto)
64
2.3. Radio de la contabilidad Capítulo 2. Gestión y Mantenimiento
2.3. Radio de la contabilidad
2.3.1. Visión de conjunto
El enfoque de base de datos central
Dentro de un entorno de red que contiene un gran número de usuarios, es ventajoso tener una o un grupo de servidores centrales que
mantienen la información de la cuenta de usuario y son responsables de las tareas de autenticación y autorización. La base de datos
central que residen en dichos servidores dedicados contiene todas las credenciales de usuario, así como detalles de las conexiones.
Esta complejidad administración que reduce significativamente.
los La autenticación remota telefónica de servicio de usuario ( RADIUS) es una Autenticación, autorización y contabilidad ( AAA) de protocolo
ampliamente utilizado para implementar este enfoque base de datos central y es utilizado por NetDefendOS para implementar el control de usuarios.
RADIUS Arquitectura
El protocolo RADIUS se basa en una arquitectura cliente / servidor. El NetDefend Firewall actúa como el cliente del servidor RADIUS,
crear y enviar peticiones a un servidor (s) dedicado. En la terminología de RADIUS el servidor de seguridad actúa como el Network
Access Server ( NAS).
Para la autenticación de usuario, el servidor RADIUS recibe las solicitudes, verifica la información del usuario mediante la consulta de la base
de datos y devuelve o una "aceptar" o "rechazar" respuesta al cliente solicitante.
Con el estándar RFC 2866, RADIUS se amplió para manejar la entrega de la información contable y este es el estándar seguido por
NetDefendOS para la contabilidad de usuario. De esta manera, todos los beneficios de los servidores centralizados de este modo se
extendieron a la contabilidad de conexión de usuario.
El uso de RADIUS para la autenticación NetDefendOS se discute enSección 8.2, “Configuración de la autenticación”.
2.3.2. Los mensajes RADIUS Accounting
mensaje Generación
Estadísticas, como el número de bytes enviados y recibidos, y el número de paquetes enviados y recibidos son actualizados y almacenados a lo largo
sesiones RADIUS. Todas las estadísticas se actualizan para un usuario autenticado cada vez que una conexión relacionada con un usuario
autenticado está cerrado.
Cuando una nueva sesión de cliente se inicia por un usuario establecer una nueva conexión a través del servidor de seguridad
NetDefend, NetDefendOS envía unaAccountingRequest COMIENZOmensaje a un servidor RADIUS nominado, para registrar el inicio
de la nueva sesión. información de la cuenta del usuario también se entrega al servidor RADIUS. El servidor enviará de vueltaAccountingResponse
un
mensaje a NetDefendOS, reconociendo que el mensaje ha sido recibido.
Cuando un usuario ya no está autenticado, por ejemplo, después de que el usuario cierra la sesión o el tiempo de la sesión expira, una AccountingRequest
DETENER mensaje es enviado por NetDefendOS que contienen las estadísticas de la sesión pertinentes. La información incluida en estas estadísticas
es configurable por el usuario. El contenido de la COMIENZOy DETENER mensajes se describen en detalle a continuación:
Parámetros mensaje de inicio
Parámetros incluidos en COMIENZOlos mensajes enviados por NetDefendOS son:
• Tipo -Marcas esta AccountingRequest como indica el comienzo del servicio (START).
sesenta y cinco
2.3.2. Los mensajes RADIUS Accounting Capítulo 2. Gestión y Mantenimiento
• CARNÉ DE IDENTIDAD Un
- identificador único para permitir la adaptación de un AccountingRequest con juego Acct-Status-Type a la posición
STOP.
• Nombre de usuario El
- nombre de usuario del usuario autenticado.
• La dirección IP NAS La
- dirección IP del servidor de seguridad NetDefend.
• NAS Puerto -El puerto de la NAS en que haya sido autenticado el usuario (esto es una interfaz física y no un puerto
TCP o UDP).
• Dirección IP del usuarioLa

- dirección IP del usuario autenticado. Esto sólo se envía si se especifica en el servidor de autenticación.
• Cómo autenticados ¿Cómo

- se ha autenticado el usuario. Esto se establece en RADIO si el usuario se autentica a través de
RADIUS, o LOCAL si el usuario se autentica a través de una base de datos de usuario local.
• Tiempo de retardo El - retardo de tiempo (en segundos) desde el paquete AccountingRequest se envió y se recibió el acuse de
recibo de autenticación. Esto puede restarse de la hora de llegada en el servidor para encontrar el tiempo aproximado del hecho
generador de este AccountingRequest. Tenga en cuenta que esto no refleja retrasos en la red. El primer intento tendrá este
parámetro se establece en 0.
• Marca de tiempo El
- número de segundos desde el 1 de enero de 1970. Se utiliza para establecer una marca de tiempo cuando este paquete fue
enviado desde NetDefendOS.
Parámetros mensaje de detención
Parámetros incluidos en DETENERlos mensajes enviados por NetDefendOS son:
• Tipo -Marca esta solicitud de contabilidad como indica el final de una sesión (STOP).
• CARNÉ DE IDENTIDAD Un
- identificador de búsqueda de un paquete AccountingRequest enviado previamente, con Acct-Status-Type SET para
iniciar.
• Nombre de usuario El
- nombre de usuario del usuario autenticado.
• La dirección IP NAS La
- dirección IP del servidor de seguridad NetDefend.
• NAS Puerto El
- puerto en el NAS en que haya sido autenticado el usuario. (Esta es una interfaz física y no un puerto
TCP o UDP).
• Dirección IP del usuarioLa

- dirección IP del usuario autenticado. Esto sólo se envía si se especifica en el servidor de autenticación.
• Bytes de entrada El
- número de bytes recibidos por el usuario. (*)
• Bytes de salida El
- número de bytes enviados por el usuario. (*)
• Los paquetes de entradaEl- número de paquetes recibidos por el usuario. (*)
• Los paquetes de salida El

- número de paquetes enviados por el usuario. (*)
• Tiempo de sesión El
- número de segundos que duró esta sesión. (*)
• Terminación Causa La
- razón por la cual se dio por terminada la sesión.
• Cómo autenticados ¿Cómo

- se ha autenticado el usuario. Esto se establece en RADIO si el usuario se autentica a través de
RADIUS, o LOCAL si el usuario se autentica a través de una base de datos de usuario local.
• Tiempo de retardo Ver

- el comentario anterior sobre este parámetro.
66
2.3.3. Los mensajes de Contabilidad provisionales Capítulo 2. Gestión y Mantenimiento
• Marca de tiempo El
- número de segundos desde 1970-01-01. Se utiliza para establecer una marca de tiempo cuando este paquete fue enviado
desde el servidor de seguridad NetDefend. Además, dos atributos más pueden ser enviados:
• Gigawords de entradaIndica - cuántas veces el contador de bytes de entrada ha envuelto. Esto sólo se envía si Bytes de entrada ha
envuelto, y si se envía el atributo de entrada Bytes.
• Gigawords de salidaIndica - cuántas veces la salida Bytes contador ha envuelto. Esto sólo se envía si la Salida Bytes
ha envuelto, y si se envía el atributo de bytes de salida.
Consejo: El significado del asterisco después de una entrada de la lista
El símbolo asterisco (*) después de una entrada en la lista anterior indica que el envío del parámetro es opcional y
se puede configurar.
2.3.3. Los mensajes de Contabilidad provisionales
Además deCOMIENZOy DETENER mensajes NetDefendOS opcionalmente pueden enviar periódicamente Los mensajes de Contabilidad
provisionales para actualizar el servidor de contabilidad con el estado actual de un usuario autenticado.
Los mensajes son instantáneas
Un mensaje de contabilidad intermedia puede ser visto como una instantánea de los recursos de red que un usuario autenticado ha utilizado
hasta un punto dado. Con esta característica, el servidor RADIUS puede realizar un seguimiento de la cantidad de bytes y paquetes de un usuario
autenticado ha enviado y recibido hasta el momento en que se envió el último mensaje.
Un mensaje de contabilidad provisional contiene los valores actuales de las estadísticas para un usuario autenticado. Contiene más o menos los
mismos parámetros que se encuentran en una solicitud de contabilidadDETENERmensaje, excepto que elAcct-Terminate-Cause no se incluye
(como el usuario no se ha desconectado todavía).
Frecuencia de mensajes
La frecuencia de los mensajes de cuentas provisionales se puede especificar en el servidor de autenticación o en NetDefendOS.
Cambio de la configuración en NetDefendOS anulará la configuración en el servidor de contabilidad.
2.3.4. Activación de cuentas RADIUS

Para activar la contabilidad RADIUS una serie de pasos a seguir es:
• El servidor RADIUS de contabilidad se debe configurar.
• Un objeto de autenticación de usuario debe tener una regla asociada a ella, donde se especifica un servidor RADIUS.
• servidor RADIUS Ther sí debe estar configurado correctamente
Importante: La identificación del vendedor debe ser RADIUS 5089
Al configurar el servidor RADIUS en sí para comunicarse con NetDefendOS, es necesario introducir un valor
para el ID de proveedor vid).
( Este valor debe especificarse como
5089.
67
2.3.5. RADIUS Seguridad Contabilidad Capítulo 2. Gestión y Mantenimiento
Algunos puntos importantes deben tenerse en cuenta acerca de la activación:
• FwdFast gobernar en el conjunto de reglas IP.

Radio de la contabilidad no funcionará cuando una conexión está sujeta a una
• El mismo servidor RADIUS no tiene que manejar tanto la autenticación y contabilidad; un servidor puede ser responsable de la
autenticación mientras que otro es responsable de las tareas de contabilidad.
• Los servidores RADIUS múltiples se pueden configurar en NetDefendOS para tratar el caso cuando el servidor primario es
inalcanzable.
2.3.5. RADIUS Seguridad Contabilidad

La comunicación entre NetDefendOS y cualquier servidor de contabilidad RADIUS está protegido por el uso de un secreto
compartido. Este secreto nunca se envía por la red, pero en cambio un 16 bytes de largo
código autenticadorse calcula utilizando una función hash MD5 de una manera y esto se utiliza para autenticar los mensajes de contabilidad.
El secreto compartido entre mayúsculas y minúsculas, puede contener hasta 100 caracteres, y se debe escribir exactamente lo mismo para
NetDefendOS y para el servidor RADIUS.
Los mensajes se envían utilizando el protocolo UDP y el número de puerto predeterminado utilizado se 1813 aunque esto es configurable por el
usuario.
2.3.6. Radio de la contabilidad y de alta disponibilidad

En un clúster HA, información de contabilidad se sincroniza entre los Firewalls NetDefend activos y pasivos. Esto significa que la
información contable se actualiza automáticamente en ambos miembros del clúster cada vez que una conexión se cierra.
Contabilidad Eventos especiales
Dos hechos contables especiales también son utilizados por la unidad activa para mantener la unidad pasiva sincronizado:
• Un AccountingStartevento es enviado al miembro inactivo en una configuración de HA cada vez que una respuesta ha sido recibida desde el
servidor de contabilidad. Esto especifica que la información contable debe ser almacenado para un usuario autenticado específica.
• Un problema con la contabilidad de la sincronización de información podría ocurrir si una unidad activa tiene un usuario autenticado para
los que los tiempos de conexión asociados fuera antes de que se sincroniza en la unidad inactiva.
Para solucionar este problema, un especialAccountingUpdateevento se envía a la unidad pasiva en un tiempo de espera y esto
contiene la información contable más reciente para las conexiones.
2.3.7. Manejo de servidores RADIUS que no responden

Puede ocurrir que un cliente envía un RADIIUS AccountingRequest COMIENZOpaquete que un servidor RADIUS no responde a. Si esto
sucede, NetDefendOS se volverá a enviar la petición después del número especificado por el usuario de segundos. Esto significa, sin
embargo, que un usuario todavía habrá acceso autenticado mientras NetDefendOS está intentando contactar con el servidor de
contabilidad.
Tres intentos de conexión se hacen las
Sólo después de NetDefendOS ha hecho tres intentos de alcanzar el servidor va a la conclusión de que el servidor de contabilidad es
inalcanzable. El administrador puede utilizar las avanzadas de configuración de NetDefendOS
68
2.3.8. Contabilidad y apagados del Capítulo 2. Gestión y Mantenimiento
sistema
Permitir que en caso de error

para determinar cómo se maneja esta situación.
Si el Permitir que en caso de error

configuración está habilitada, la sesión de un usuario autenticado ya no se verá afectado. Si no está
activado, cualquier usuario afectado será automáticamente cerrará la sesión, incluso si ya se han autenticado.
2.3.8. Contabilidad y apagados del sistema

AccountingRequest DETENERpaquete, el servidor de contabilidad
En el caso de que el cliente por alguna razón no puede enviar un RADIUS
nunca será capaz de actualizar sus estadísticas de usuarios, pero lo más probable es creer que la sesión está todavía activo. Esta situación debe
ser evitado.
En el caso de que el administrador del servidor de seguridad NetDefend emite un comando de apagado mientras que los usuarios autenticados
están todavía en línea, la AccountingRequest DETENER potencialmente no enviará paquetes. Para evitar esto, la configuración avanzada
Cerrar
sesión en el apagado
Permite al administrador especificar explícitamente que NetDefendOS deben enviar primero una DETENER mensaje para
los usuarios autenticados a cualquier servidor RADIUS configurado antes de comenzar con el apagado.
2.3.9. Limitaciones con NAT

El módulo de autenticación de usuario en NetDefendOS se basa en la dirección IP del usuario. Por lo tanto, los problemas pueden ocurrir con los
usuarios que tienen la misma dirección IP.
Esto puede suceder, por ejemplo, cuando varios usuarios están detrás de la misma red utilizando NAT para permitir el acceso a la
red a través de una única dirección IP externa. Esto significa que tan pronto como un usuario se autentica, el tráfico que viene a
través de esa dirección IP NAT podría asumirse que puede venir desde que un usuario autenticado a pesar de que puede venir de
otros usuarios en la misma red. Por lo tanto, NetDefendOS Radio de la contabilidad se reúnen estadísticas de todos los usuarios de
la red juntos como si fueran un solo usuario en lugar de individuos.
2.3.10. Configuración avanzada de RADIUS

Las siguientes opciones avanzadas están disponibles con cuentas RADIUS:
Permitir que en caso de error
Si no hay respuesta por parte de una contabilidad RADIUS configurado el servidor al enviar los datos de contabilidad para un usuario que ya
ha sido autenticado, a continuación, habilitar esta configuración significa que el usuario continuará estar conectado.
La desactivación del ajuste significará que el usuario se registra si el servidor RADIUS de contabilidad no puede ser alcanzado a
pesar de que el usuario ha sido autenticado previamente.
Defecto: Activado
Cerrar sesión en el apagado
Si hay un cierre ordenado de la NetDefend Firewall por el administrador, entonces NetDefendOS retrasará la desconexión hasta que se
haya enviado la contabilidad RADIUS DETENERmensajes a cualquier servidor RADIUS configurado.
Si esta opción no está activada, NetDefendOS se apagará a pesar de que puede haber sesiones de contabilidad RADIUS que
no se han eliminado correctamente. Esto podría llevar a la situación de que el servidor RADIUS asumirá los usuarios todavía
se registran en sus sesiones a pesar de que se han terminado.
Defecto: Activado
69
2.3.10. Configuración avanzada de RADIUS Capítulo 2. Gestión y Mantenimiento
Contextos Radio máximo
El número máximo de contextos permitidos con RADIUS. Esto se aplica a RADIUS utilizar tanto con la contabilidad y la
autenticación.
Defecto: 1024
Ejemplo 2.13. Configuración del servidor RADIUS Contabilidad
Este ejemplo muestra configuración de un servidor RADIUS local conocido como radio-contablecon la dirección IP
123.04.03.01utilizando el puerto 1813.
Interfaz web
1. Ir a: Autenticación de usuario> Servidores de Contabilidad> Añadir> servidor Radius
2. Ahora ingrese:
• Nombre:radio-contable
• Dirección IP:123.04.03.01
• Puerto:1813
• Tiempo de espera de volver a intentar:

2
• Secreto compartido:
Ingrese una contraseña
• Confirmar secreto:
vuelva a introducir la contraseña
• Tabla de ruteo:
principal
70
2.4. Supervisión Capítulo 2. Gestión y Mantenimiento
2.4. Supervisión
El rendimiento en tiempo real de NetDefendOS se puede controlar en un número de maneras. Son:
• Los NetDefendOS enlace Observatorio.
• Monitoreo a través de un cliente SNMP.
• monitoreo de hardware para los modelos de hardware específicos.
2.4.1. El Monitor de Enlace
Visión de conjunto
los enlace monitor es una característica NetDefendOS que permite la monitorización de la conectividad a una o más direcciones IP
externa a la NetDefend Firewall. Este seguimiento se realiza mediante solicitudes ICMP estándar "ping" y permite NetDefendOS para
evaluar la disponibilidad de las vías de la red a estas direcciones IP. El administrador puede seleccionar una de una serie de acciones
que se produzca debería aparecer a ser roto por alguna razón una vía.
Nota: Enlace de supervisión no está disponible en todos los modelos NetDefend
La función de supervisión de enlace sólo está disponible con el D-Link DFL-NetDefend 1600,
1660, 2500, 2560 y 2560G.
Seguir el enlace de acciones
Si suficientes respuestas no se reciben a Monitor de Enlace de votación, NetDefendOS hace la suposición de que el enlace común a los que la
dirección IP es hacia abajo y luego puede iniciar una de las 3 acciones configurables:
• A NetDefendOS reconfiguran.
• Una conmutación por error de clúster de alta disponibilidad (HA).
• Un clúster de conmutación HA seguido de un reconfigure NetDefendOS.
El Monitor de Enlace Reconfigurar es diferente
El reconfigure que puede ser desencadenada por el Monitor de Enlace tiene un aspecto especial para ella. El reconfigure Enlace Monitor tiene la acción
adicional de reiniciar todas las interfaces. Esto significa que si hay un problema relacionado con una tarjeta de red Ethernet en particular, tal vez debido
a una sobrecarga, entonces esto se puede borrar la inicialización de interfaz. Esto da como resultado solamente un retraso momentáneo en el
rendimiento, mientras que la reconfiguración se lleva a cabo.
Usos Seguir el enlace
El Monitor de Enlace es útil en dos escenarios distintos:
• Un dispositivo externo se desarrolla un problema ocasional con su enlace a la NetDefend Firewall y el enlace físico necesita ser
renegociado. Tales problemas pueden ocurrir a veces con algunos equipos más antiguos, tales como ADSL Módems. Para esta
acción escenario 1. Reconfigurardebe ser seleccionado.
A reconfigure significa que la configuración NetDefendOS se volverá a cargar. Todas las conexiones y los estados se guardan para la
reconfiguración pero volver a cargar significa que todo el tráfico se suspende durante un corto
71
2.4.1. El Monitor de Enlace Capítulo 2. Gestión y Mantenimiento
período y todos los enlaces de interconexión con los dispositivos externos se vuelven a negociar.
• En una configuración de clúster de alta disponibilidad, el enlace desde el maestro a la Internet externa (u otra parte de una r ed) puede ser
monitoreado continuamente por lo que si el enlace falla, el esclavo se hará cargo de (suponiendo que el esclavo tiene una conexión física
diferente a la dirección supervisado). La acción elegida para HA debe ser 2. conmutación por error
o 3. conmutación por error y
reconfigurar.
Si la primera opción de acción 1. Reconfigurarse elige en un clúster de alta disponibilidad, entonces el reconfigure también causará una
conmutación por error, ya que suspenderá temporalmente la operación del maestro, mientras que la reconfiguración se lleva a cabo y el
esclavo se hará cargo cuando detecta esta inactividad. Si reconfiguración con conmutación por error es deseable que es mejor seleccionar la
opción 3. conmutación por error y reconfigurar
ya que esto hace la conmutación por error y la primera es casi instantánea, casi sin
interrupción del tráfico. Reconfigurar primera es más lenta y los resultados de alguna interrupción del tráfico.
Para preservar todos los túneles VPN en un escenario, lo mejor es elegir el 2. conmutación por error
opción ya una reconfiguración puede
causar algunos túneles que se pierdan.
Verificación de Enlace con los racimos de HA
El uso más común para la supervisión enlace está en el escenario de clúster HA descrito anteriormente. Es importante que el maestro y
el esclavo no duplican la misma condición que provocó el Monitor de Enlace. Por ejemplo, si un router en particular conectado a la
maestro NetDefend Firewall estaba siendo "ping" por Link Control, el esclavo no se debe también conectado a ese enrutador. Si lo es, por
continuación del disparo de una reconfiguración por el Monitor de Enlace luego hacer que el esclavo de conmutación por error al maestro,
que a su vez la conmutación por error de vuelta al esclavo de nuevo y así sucesivamente.
Si es importante para no permitir una conmutación por error durante la reconfiguración de la unidad activo en un clúster HA entonces la configuración
avanzada Reconf Tiempo de conmutación por e rror
se debe establecer en un valor que no es ni demasiado baja o demasiado alta.
Reconf Tiempo de conmutación por error

controla el tiempo que la unidad inactiva esperará a que la unidad activa para volver a configurar antes de
hacerse cargo. Al establecer este valor demasiado bajo significará la unidad inactiva no espera el tiempo suficiente. Establecer el valor demasiado alto
podría significar el tiempo de inactividad significativo si la unidad activo falla durante la reconfiguración y la unidad inactiva necesita tomar el relevo.
Más información sobre los grupos se pueden encontrar en Capítulo 11, de alta disponibilidad.
Parámetros de Verificación de Enlace
El Monitor de Enlace toma los siguientes parámetros:
Acción Especifica cuál de las 3 acciones descritas anteriormente

NetDefendOS deben tomar.
direcciones Especifica un grupo de hosts para monitorear. Si al menos la mitad de ellos no

responden, NetDefendOS asume que hay un problema de enlace. Las respuestas de un
anfitrión se ignoran hasta NetDefendOS ha sido capaz de alcanzar al menos una vez.
Esto significa que un host inalcanzable puede ser responsable de desencadenar una
acción una vez, pero no dos veces.
Un grupo de tres anfitriones donde uno ha sido inalcanzable desde la última

configuración por lo tanto será tratado como un grupo de dos anfitrión hasta la
tercera huésped se vuelve accesible. Esto también significa que si un problema de
enlace activa una acción y el problema no se resuelve, NetDefendOS no intentará
repetir la misma acción hasta que el problema se resuelve y los anfitriones son más
accesibles.
72
2.4.2. Monitoreo SNMP Capítulo 2. Gestión y Mantenimiento
Pérdida máxima Un único host se considera inalcanzable si este número de respuestas de ping
consecutivos a ese host no se contestan a.
Periodo de gracia No permita que el monitor de enlace para desencadenar una acción para este número de
segundos después de la última reconfiguración. Esto evita falsos positivos durante la
negociación del enlace inicial. El valor predeterminado es de 45 segundos.
Envíe de dirección IP compartida Esta opción sólo aparece en un clúster de alta disponibilidad y se debe utilizar si las
direcciones IPv4 públicas individuales no están disponibles para los dispositivos en un clúster.
2.4.2. Monitoreo SNMP
Visión de conjunto
Protocolo Simple de Manejo de Red ( SNMP) es un protocolo estandarizado para la gestión de dispositivos de red. Un cliente
compatible SNMP puede conectarse a un dispositivo de red que soporte el protocolo SNMP para consultar y controlarlo.
NetDefendOS soporta SNMP versión 1 y 2. La conexión puede realizarse por cualquier cliente compatibles con SNMP a los dispositivos
con NetDefendOS. Sin embargo, sólo se permiten operaciones de consulta por razones de seguridad. Específicamente, NetDefendOS
admite las siguientes operaciones solicitud SNMP por un cliente:
• Los Solicitud de Obtener operación
• Los GET siguiente solicitud operación
• Los Petición GET A GRANEL operación (sólo SNMP versión 2c)
El MIB NetDefendOS
los Base de Información de Gestión ( MIB) es una base de datos, por lo general en forma de un archivo de texto, que define los parámetros en
un dispositivo de red que un cliente SNMP puede consultar o cambiar. El archivo MIB para un dispositivo que ejecuta NetDefendOS se
distribuye con el paquete de distribución NetDefendOS norma como un archivo con el nombre DFLNNN-TRAP.MIB ( dónde NNN indica el
número de modelo del servidor de seguridad).
Este archivo MIB debe ser transferido al disco duro de la estación de trabajo que va a ejecutar el cliente de SNMP para que pueda ser importado
por el software de cliente. Cuando el cliente SNMP se ejecuta, el archivo MIB se lee y le dice al cliente qué valores se pueden consultar en un
dispositivo NetDefendOS.
Definición de acceso SNMP
acceso SNMP se define a través de la definición de un NetDefendOSRemoto objeto con una Modo valor de SNMP. El objeto remoto
requiere la entrada de:
• Interfaz -La interfaz NetDefendOS en la que llegarán las solicitudes SNMP.
• Red - La dirección IP o red desde la que las solicitudes SNMP vendrán.
• comunidad La
- cadena de comunidad que proporciona seguridad de contraseñas para los accesos.
La cadena de comunidad
73
Seguridad para SNMP versiones 1 y 2c es manejado por el cadena de comunidadque es lo mismo que una contraseña para el acceso
SNMP. La cadena de comunidad debe ser difícil de adivinar y por lo tanto debe ser construido de la misma manera que cualquier otra
contraseña, usando combinaciones de letras mayúsculas y minúsculas junto con los dígitos.
Habilitación de una regla IP para SNMP
La configuración avanzada SNMP Antes de Reglascontroles si la regla IP establecida cheques todos los accesos por los clientes SNMP. Esta es
desactivada de forma predeterminada y la recomendación es para que siempre este ajuste.
El efecto de la activación de este valor es añadir un invisible Permitirregla en la parte superior del c onjunto de reglas IP que permite
automáticamente accede en el puerto 161 de la red y en la interfaz especificada para el acceso SNMP. El puerto 161 se utiliza generalmente
para SNMP y NetDefendOS siempre espera que el tráfico SNMP en ese puerto.
Cifrado de acceso remoto
Cabe señalar que el SNMP versión 1 ó 2c acceso significa que la cadena de comunidad se enviará como texto sin formato en una red.
Esto es claramente inseguro si un cliente remoto se comunica a través de Internet pública. Por tanto, es aconsejable disponer de
acceso remoto tienen lugar sobre un túnel VPN encriptado o los medios de comunicación de manera similar seguras.
La prevención de sobrecarga SNMP
La configuración avanzada SNMP Solicitud Límite

restringe el número de SNMP peticiones permitidas por segundo. Esto puede ayudar a prevenir
ataques a través de la sobrecarga de SNMP.
Ejemplo 2.14. Habilitación de SNMP Monitoreo
Este ejemplo permite el acceso SNMP a través de la internal an de interfaz de la redMGMT-netel uso de la cadena de comunidadMg1RQqR.
Dado que el cliente es la gestión de la red interna, no hay necesidad de que se comunique a través de un túnel VPN.
GW-mundo: /> añadir RemoteManagement RemoteMgmtSNMP my_snmp

Interfaz de red LAN = = MGMT-net
SNMPGetCommunity = Mg1RQqR
En caso de que sean necesarias para permitir SNMP Antes de Reglasque

( está activada de forma predeterminada), el comando es:
GW-mundo: /> establecer la configuración RemoteMgmtSettings SNMPBeforeRules = Sí
Interfaz web
1. Goto Sistema> Administración remota> Añadir> gestión SNMP
2. Para Tipo de acceso remoto

entrar:
• Nombre:un nombre adecuado, por ejemplo snmp_access
• Comunidad:Mg1RQqR
3. Para Filtrar el acceso

entrar:
• Interfaz:lan
• Red: MGMT-net
74
En caso de que sean necesarias para permitir SNMP Antes de Reglasque

( está habili tado de forma predeterminada), la configuración se puede encontrar en Sistema>
Administración remota> Configuración avanzada.
Parámetros avanzados de SNMP
Los siguientes ajustes avanzados de SNMP se pueden encontrar bajo la Gestión remotala sección de la interfaz web. También se
pueden establecer a través de la CLI.
Antes de SNMP RulesLimit
Habilitar el tráfico SNMP al servidor de seguridad, independientemente de Reglas IP configuradas.
Defecto: Activado
SNMP Solicitud Límite
El número máximo de solicitudes SNMP que serán procesadas cada segundo por NetDefendOS. En caso de solicitudes SNMP superan esta tasa
a continuación, el exceso de solicitudes serán ignorados por NetDefendOS.
Defecto: 100
Contacto del sistema
La persona de contacto para el nodo administrado.
Defecto: N / A
Nombre del sistema
El nombre para el nodo administrado.
Defecto: N / A
sistema de Localización
La ubicación física del nodo.
Defecto: N / A
Descripción de la interfaz (SNMP)
Lo que se mostrará en las variables SNMP MIB-II ifDescr.
Defecto: Nombre
interfaz de Alias
Lo que se mostrará en las variables SNMP ifAlias ifMIB.
75
2.4.3. Monitorización de hardware Capítulo 2. Gestión y Mantenimiento
Defecto: Hardware
2.4.3. Monitorización de hardware
disponibilidad de funciones
Ciertos modelos de hardware D-Link permiten al administrador utilizar la CLI para consultar el valor actual de los parámetros de funcionamiento
diferentes de hardware, tales como la temperatura actual dentro del firewall. Esta característica se conoce como Monitorización de hardware.
Nota: El monitoreo de Hardware no está disponible en todos los modelos NetDefend
La función de monitoreo de hardware sólo está disponible en el D-Link DFL-NetDefend 1660, 2560
y 2560G.
Configurar y realizar la monitorización del hardware puede hacerse ya sea a través de la CLI o a través de la interfaz web.
Habilitar la supervisión de hardware
los Sistema> Monitorización de hardware sección de la interfaz web proporciona al administrador la siguiente configuración para permitir
la monitorización del hardware cuando está disponible:
Habilitar Sensores
Activar / desactivar todas las funciones de monitorización del hardware.
Defecto: Discapacitado
Intervalo de encuesta
Intervalo de sondeo para el Monitor de Hardware, que es el retardo en milisegundos entre las lecturas de valores de monitorización hardware.
Valor mínimo: 100

Valor máximo: 10000
Defecto: 500
Utilizando elhwm comando de la CLI
Para obtener una lista de los valores actuales de todos los sensores disponibles, el siguiente comando se puede utilizar:
GW-mundo: />hwm -todas
Esto se puede abreviar a:
GW-mundo: /> hwm -a
Algunos salida típica de este comando para dos sensores de temperatura se muestra a continuación:
GW-mundo: /> hwm -a
Nombre valor actual (unidad)

-- -- -- -- -- -- -- - -- -- -- -- -- -- -- -- -- --
Temperatura SYS = 44,000 (C) (x)
76
2.4.3. Monitorización de hardware Capítulo 2. Gestión y Mantenimiento
Temperatura de la CPU = 41,500 (C) (x)
los SYS la temperatura es la temperatura global dentro de la unidad de hardware. los UPC temperatura se refiere específicamente a
procesador central de la unidad que puede ser inferior a la temperatura global debido al método de enfriamiento.
Nota: El significado de "(x)"
El "(x)" en el lado de cada línea del sensor, indica que el sensor está activado.
Los - verboso opción muestra los valores actuales, además de los rangos configurados:
GW-mundo: /> hwm -a -v
2 sensores disponibles Poll tiempo intervalo

= 500 ms
Nombre [tipo] [número] = LOW_LIMIT] Current_Value [HIGH_LIMIT (unidad)

-----------------------------------------------------------------
Temperatura SYS [TEMP] [0] = 44.000] 45,000 [0,000 (C)
Temperatura de la CPU [TEMP] [1] = 42.000] 42,500 [0,000 (C)
Tiempo para sondear sensores: 2.980000e-05 segundos
Cada atributo físico que aparece a la izquierda se le da un rango mínimo y máximo dentro del cual debe funcionar. Cuando el valor
devuelto después de sondeo cae fuera de este rango, NetDefendOS genera opcionalmente un mensaje de registro que se envía a los
servidores de registro configurados.
Nota: hardware diferente tiene diferentes sensores y rangos
Cada modelo de hardware puede tener un conjunto diferente de sensores y un rango de operación diferente. La salida de
arriba y sus valores son sólo para ilustración.
Configuración del rango mínimo y máximo
hwm comando se establecen a través de la interfaz web, vaya S

Los valores mínimos y máximos que se muestran en la salida de la a istema>
Hardware Monitoring> Añadir y seleccionar el parámetro de hardware para supervisar. El rango de funcionamiento deseado puede ser
especificado.
Un sensor se identifica en la interfaz web mediante la especificación de una combinación única de los siguientes parámetros:
• Tipo
Este es el tipo del sensor que se muestra en la salida CLI anterior y se presenta como una lista de opciones en la interfaz web. Por
ejemplo, Temperatura.
• Sensor
Este es el número del sensor como se muestra en la salida CLI anteriormente. Por ejemplo, el Temperatura SYS
número es 0.
• Nombre
Este es el Nombre del sensor como se muestra en la salida CLI anteriormente. Por ejemplo, Temperatura SYS.
• Activado
Un sensor individual puede ser activado o desactivado utiliza esta configuración. Cuando está activada, una "( x)" es
77
2.4.4. Configuración de monitoreo de memoria Capítulo 2. Gestión y Mantenimiento
aparece junto al sensor en la salida de la hwm mando.
El control de la frecuencia de envío de eventos
La frecuencia máxima de generación de eventos de registro cuando los valores de monitoreo de hardware caen fuera de su rango preestablecido se
puede limitar el uso de la AlarmRepeatInterval en el establecimiento de LOGSETTINGS objeto. Este ajuste se utiliza debido a que los valores
monitorizados son continuas.
Por ejemplo, para cambiar el intervalo del valor predeterminado de 60 segundos a un nuevo valor de 900 segundos, utilice el comando de la CLI:
GW-mundo: /> Configuración del conjunto de LOGSETTINGS AlarmRepeatInterval = 900
Esto significa que un nuevo mensaje de evento ahora debe esperar 900 segundos después de la anterior ha sido enviado.
Todas las opciones para LOGSETTINGS puede encontrarse en Sección 2.2.8, “Configuración Avanzada Entrar”.
2.4.4. Configuración de monitoreo de memoria
los Sistema> Monitorización de hardware sección de la interfaz web proporciona al administrador con una serie de ajustes relacionados
con el seguimiento de la memoria disponible. Estos son:
Memoria Intervalo de sondeo
intervalo de sondeo de memoria, que es el retraso en minutos entre lecturas de valores de memoria. Mínimo 1, máximo
200.
Defecto: 15 minutos
Uso de memoria Porcentaje
Cierto Si el monitor de memoria utiliza un porcentaje como la unidad de monitorización, Falso si se utilizan megabytes. Se aplica a nivel de
alerta, nivel crítico y nivel de advertencia.
Defecto: Cierto
Memoria de registro de Repetición
¿Hay que enviar un mensaje de registro para cada r esultado de la encuesta que se encuentra en el nivel de alerta, advertencia o crítico, o debemos
enviar sólo cuando se alcanza un nuevo nivel. Si es verdad, se envía un mensaje cada vez que la memoria Intervalo de sondeo se dispara. Si es falso,
se envía un mensaje cuando un valor pasa de un nivel a otro.
Defecto: Falso
Nivel de alerta
Generar un mensaje de registro de alertas si la memoria libre es inferior a este número de bytes. Desactivar ajustando a 0. El valor máximo es de
10.000.
Defecto: 0
Nivel crítico
78
2.4.4. Configuración de monitoreo de memoria Capítulo 2. Gestión y Mantenimiento
Generar un mensaje de registro crítico si la memoria libre es inferior a este número de bytes. Desactivar mediante el establecimiento de
0. El valor máximo es de 10.000.
Defecto: 0
Nivel de alerta
Generar un mensaje de registro de un aviso si la memoria libre está por debajo de este número de bytes. Desactivar mediante el establecimiento de
0. El valor máximo 10.000.
Defecto: 0
79
3.4.5. Los túneles GRE Capítulo 3. Fundamentos
GRE no proporciona características de seguridad, pero esto significa que su uso tiene muy bajo costo operativo.
usando GRE
GRE se utiliza típicamente para proporcionar un método de conectar dos redes entre sí a través de una tercera red, tal
como Internet. Las dos redes están conectadas entre sí comunican con un protocolo común que se túnel usando GRE
través de la red intermedia. Ejemplos de uso GRE son:
• Atravesando el equipo de red que bloquea un protocolo particular.
• Tunneling tráfico IPv6 en una red IPv4.
• Cuando un flujo de datos UDP es ser multidifusión y es necesario para el tránsito a través de un dispositivo de red que no
soporta la multidifusión. GRE permite un túnel a través del dispositivo de red.
GRE Seguridad y Rendimiento
Un túnel GRE no utiliza ningún tipo de cifr ado para la comunicación y por lo tanto no es, en sí mismo, seguro. Ninguna
seguridad debe venir del protocolo que se está túnel. La ventaja de l a falta de cifrado de GRE es el alto rendimiento que se
puede lograr debido a la sobrecarga de baja procesamiento de tráfico.
La falta de cifrado puede ser aceptable en algunas circunstancias si el túnel se realiza a través de una red interna que no
es pública.
Configuración de GRE
Al igual que otros túneles en NetDefendOS tales como un túnel IPsec, un túnel GRE se trata como una interfaz lógica por NetDefendOS, con las
capacidades de filtrado de mismo, para la conformación de tráfico y de configuración como una interfaz estándar. Las opciones GRE son:
• Dirección IP
Esta es la dirección IPv4 del interior del túnel en el lado local. Esto no puede dejarse en blanco y se debe dar un
valor.
La dirección IP especificada se utiliza para lo siguiente:
yo. un ICMP Silbido puede ser enviado a este punto final del túnel.
ii. Registrar los mensajes relacionados con el túnel será generado con esta dirección IP como la fuente.
Iii. Si NAT está siendo utilizado entonces no será necesario ajustar la IP de srcen en la norma IP que realiza NAT
en el tráfico a través del túnel. Esta dirección IP se utiliza como dirección de srcen para NAT.
• Red remota
La red remota que el túnel GRE se conectará con.
• Punto final remoto
Esta es la dirección IPv4 del dispositivo remoto que el túnel se conectará con.
• Uso de la clave de sesión
Un número único opcionalmente se puede especificar para el túnel. Esto permite que más de un túnel GRE para funcionar entre los
mismos dos puntos finales. losclave de sesiónvalor se utiliza para distinguir
121
entre ellos.
• Suma de comprobación de encapsulación adicional
El protocolo GRE permite una suma de comprobación adicional por encima de la suma de comprobación IPv4. Esto proporciona una
comprobación adicional de la integridad de los datos.
los Avanzadola configuración de una interfaz GRE son:
• Añadir automáticamente la ruta para la red remota Esta- opción normalmente se comprueba con el fin de que la tabla de
enrutamiento se actualiza automáticamente. La alternativa es crear manualmente la ruta a seguir.
• Dirección a utilizar como IP de srcenEs - posible especificar una dirección IP en particular como el IP interfaz de srcen para el
túnel GRE. aparecerá ser iniciado por esta dirección IP en lugar de la dirección IPv4 de la interfaz que realmente establece el túnel
de la configuración del túnel.
Esto podría hacerse si, por ejemplo, si se está utilizando la publicación de ARP y el túnel es configurar mediante un ARP publicó
dirección IP.
GRE y el conjunto de reglas IP
Un túnel GRE establecida no significa automáticamente que todo el tráfico que viene desde o hacia el túnel GRE es de
confianza. Por el contrario, el tráfico de red procedente del túnel GRE será transferido a la regla NetDefendOS IP establecida
para su evaluación. La interfaz de srcen del tráfico de la red será el nombre del túnel GRE asociado.
Lo mismo es cierto para el tráfico en la dirección opuesta, es decir, entrar en un túnel GRE. Además, una
Ruta tiene que ser definido de manera NetDefendOS sabe qué direcciones IP deben ser aceptados y enviados a través del túnel.
Un escenario de ejemplo GRE
El diagrama anterior muestra un típico escenario GRE, donde dos NetDefend FirewallsUN y segundodeben comunicarse
entre sí a través de l a red interna intervenir 172.16.0.0/16.
Todo el tráfico que pasa entre UN y segundoes un túnel a través de la red de intervención utilizando un túnel GRE y ya que
la red es interno y no pública no hay necesidad de cifrado.
122
Configuración de Firewall NetDefendUN"

"
Suponiendo que la red 192.168.10.0/24 es Lannet sobre el lan interfaz, el procedimiento para la instalación de NetDefendOSUN son:
1. En la libreta de direcciones configurar los siguientes objetos de PI:
• remote_net_B:192.168.11.0/24
• remote_gw:172.16.1.1
• ip_GRE:192.168.0.1
2. Crear un objeto denominado túnel GRE GRE_to_Bcon los siguientes parámetros:
• Dirección IP:ip_GRE
• Red remota: remote_net_B
• Punto final remoto:remote_gw
• Utilice Clave de Sesión:

1
• Adicional Encapulation Checksum:

Activado
3. Definir una ruta en el principal la tabla de enrutamiento que enruta todo el tráfico remote_net_Bsobre el
GRE_to_BInterfaz GRE. Esto no es necesario si la opción Añadir ruta para la red remota
está activado en el Avanzadopestaña, ya que esto añadirá la ruta de forma automática.
4. Crear las siguientes reglas en el conjunto de reglas IP que permite que el tráfico pase por el túnel:
Nombre Acción src Int src neto dest Int dest Net Servicio
To_B Permitir lan Lannet GRE_to_B remote_net_B all_services

From_B Permitir GRE_to_B remote_net_B lan Lannet all_services
Configuración de Firewall NetDefendSEGUNDO"

"
Suponiendo que la red 192.168.11.0/24 es Lannet sobre el lan interfaz, el procedimiento para la instalación de NetDefendOS segundoson como
sigue:
1. En la libreta de direcciones configurar los siguientes objetos de PI:
• remote_net_A:192.168.10.0/24
• remote_gw:172.16.0.1
• ip_GRE:192.168.0.2
2. Crear un objeto denominado túnel GREGRE_to_Acon los siguientes parámetros:
• Dirección IP:ip_GRE
• Red remota: remote_net_A
• Punto final remoto:remote_gw
• Utilice Clave de Sesión:

1
• Adicional Encapulation Checksum:

Activado
123
3.4.6. Grupos de interfaz Capítulo 3. Fundamentos
3. Definir una ruta en el principal la tabla de enrutamiento que enruta todo el tráfico remote_net_Asobre el
GRE_to_AInterfaz GRE. Esto no es necesario si la opción Añadir ruta para la red remota
está activado en el Avanzadopestaña, ya que esto añadirá la ruta de forma automática.
4. Crear las siguientes reglas en el conjunto de reglas IP que permite que el tráfico pase por el túnel:
Nombre Acción src Int src neto dest Int dest Net Servicio
to_a Permitir lan Lannet GRE_to_A remote_net_A all_services

A partir de una Permitir GRE_to_A remote_net_A lan Lannet all_services
Comprobación GRE túnel Estado
túneles IPsec tienen un estatus de ser ya sea hacia arriba o no hacia arriba. Con túneles GRE en NetDefendOS esto no se aplica
realmente. El túnel GRE es de hasta si existe en la configuración.
Sin embargo, podemos comprobar en el lo que está pasando con un túnel GRE. Por ejemplo, si el túnel se llama gre_interface entonces
podemos utilizar el ifstat comando CLI:
GW-mundo: /> ifstat gre_interface
Esto nos mostrará lo que está sucediendo con el túnel y elifstat opciones de comando pueden proporcionar diversos detalles.
3.4.6. Grupos de interfaz

Grupo interfaz. Este actúa entonces como un objeto de
Cualquier conjunto de interfaces NetDefendOS puede agruparse juntos en una
configuración NetDefendOS única que se puede utilizar en la creación de políticas de seguridad en el lugar de un único grupo. Cuando se usa un
grupo, por ejemplo, como interfaz de srcen en una regla de IP, cualquiera de las interfaces en el grupo podrían proporcionar a la altura de la
regla.
Un grupo puede consistir en interfaces Ethernet ordinarias o podría consistir en otros tipos tales como interfaces de VLAN o
túneles VPN. Además, los miembros de un grupo no tienen que ser del mismo tipo. Un grupo podría consistir, por ejemplo, de
una combinación de dos interfaces Ethernet y cuatro interfaces VLAN.
los Seguridad / Equivalente Transporte

Opción
Al crear un grupo de interfaz, la opción Seguridad / Equivalente Transporte puede ser activado (que está desactivado por defecto). Al
activar la opción significa que el grupo puede ser usado como la interfaz de destino en las reglas NetDefendOS donde podrían
necesitar ser movido entre dos interfaces de conexiones. Por ejemplo, la interfaz podría cambiar con conmutación por error ruta o
OSPF.
Si una conexión se mueve de una interfaz a otra dentro de un grupo ySeguridad / Equivalente Transporte está activada,
NetDefendOS no se compruebe la conexión contra los conjuntos de reglas NetDefendOS con la nueva interfaz.
Con la opción de desactivar, una conexión no se puede mover a otra interfaz en el grupo y en su lugar se cayó y se debe volver a
abrir. Esta nueva conexión se comprueba en los conjuntos de reglas NetDefendOS. En algunos casos, como una interfaz
alternativa que es mucho más lento, puede que no sea razonable para permitir que ciertas conexiones a través de la nueva
interfaz.
Ejemplo 3.16. La creación de un Grupo de Interfaz
124
3.4.6. Grupos de interfaz Capítulo 3. Fundamentos
GW-mundo: /> añadir la interfaz InterfaceGroup examplegroup

Miembros = exampleif1, exampleif2
Interfaz web
1. Ir a: Interfaces> grupos de interfaces> Añadir> InterfaceGroup
2. Introduzca la información siguiente para definir el grupo:
• Nombre:El nombre del grupo que se utilizará más adelante
• Seguridad / Transporte equivalente:

Si está habilitado, el grupo de interfaz se puede utilizar como una i nterfaz de destino en reglas, donde podrían
necesitar ser movido entre las interfaces de conexiones.
• Interfaces:Seleccionar las interfaces para estar en el grupo
125
3.5. ARP Capítulo 3. Fundamentos
3.5. ARP
Protocolo de resolucion de DIRECCION ( ARP) permite la asignación de un protocolo de capa de red (capa OSI 3) Dirección a una dirección de
hardware de capa de enlace de datos (capa OSI 2). En las redes de datos que se utiliza para resolver una dirección IP en su dirección Ethernet
correspondiente. ARP opera en la capa OSI 2, la capa de enlace de datos, y se encapsula por cabeceras de Ethernet para su transmisión.
Tip: Capas OSI
Ver Apéndice D, El Marco OSI

para una visión general de las diferentes capas del modelo OSI.
Direccionamiento IP sobre Ethernet
Un host en una red Ethernet puede comunicarse con otro host sólo si se conoce la dirección Ethernet (dirección MAC) de dicho host.
protocolos de nivel superior, tales como IP hacen uso de direcciones IP que son fundamentalmente diferentes de un esquema de
hardware de nivel inferior se ocupó como la dirección MAC. ARP se utiliza para recuperar la dirección MAC de Ethernet de un host
utilizando su dirección IP.
Cuando un host tiene que resolver una dirección IP a la dirección Ethernet correspondiente, difunde un paquete de solicitud de
ARP. El paquete de petición ARP contiene la dirección MAC de srcen, la dirección IP de srcen y la dirección IP de destino. Cada
host en la red local recibe este paquete. El host con la dirección IP de destino especificado, envía un paquete de respuesta ARP
para el host de srcen con su dirección MAC.
3.5.2. La caché ARP NetDefendOS

los caché ARP en equipos de red, tales como conmutadores y cortafuegos, es un componente importante en la aplicación de
la ARP. Consiste en una tabla dinámica que contiene el mapeo entre las direcciones IP y direcciones MAC Ethernet.
NetDefendOS utiliza una caché ARP exactamente de la misma forma que otros equipos de la red. Inicialmente, la caché está vacío en el
arranque NetDefendOS y se puebla con las entradas como las vías de circulación.
Los contenidos típicos de una tabla mínima de caché ARP puede tener un aspecto similar al siguiente:
Tipo Dirección IP Dirección Ethernet expira

Dinámica 192.168.0.10 08: 00: 10: 0F: BC: a5 45
Dinámica 193.13.66.77 0a: 46: 42: 4f: ac: 65 136
Publicar 10.5.16.3 4a: 32: 12: 6c: 89: a4 -
La explicación de los contenidos de la tabla son los siguientes:
• La primera entrada en este caché ARP es una entrada ARP dinámica que nos dice que la dirección IP
192.168.0.10 está asignada a una dirección Ethernet de 08: 00: 10: 0F: BC: A5.
• La segunda entrada en la tabla asigna dinámicamente la dirección IPv4 193.13.66.77 a la dirección Ethernet 0a: 46: 42: 4f: ac: 65.
• La tercera entrada es una unión de la dirección IPv4 entrada ARP estática 10.5.16.3 a la dirección Ethernet
4a: 32: 12: 6c: 89: a4.
los expira Columna
126
3.5.2. La caché ARP NetDefendOS Capítulo 3. Fundamentos
La tercera columna de la tabla, expira, se utiliza para indicar cuánto tiempo más la entrada ARP será válido para.
Por ejemplo, la primera entrada tiene un valor de expiración del 45 lo que significa que esta entrada se representará no válida y
se elimina de la caché ARP en 45 segundos. Si el tráfico va a ser enviado a la
192.168.0.10 dirección IP después de la expiración, NetDefendOS emitirá una nueva petición ARP.
El tiempo de expiración por defecto para las entradas dinámicas ARP es de 900 segundos (15 minutos). Esto se puede cambiar modificando la
configuración avanzada ARP caduca.
La configuración avanzada ARP caducar Desconocido

especifica cómo NetDefendOS largos recordarán las direcciones que no pueden ser
alcanzadas. Se necesita este límite para asegurar que NetDefendOS no solicita continuamente dichas direcciones. El valor predeterminado de
esta configuración es de 3 segundos.
Ejemplo 3.17. Viendo la caché ARP
El contenido de la caché ARP se pueden visualizar desde el interior de la CLI.
GW-mundo: /> arp -demostrar
caché ARP del iface de LAN

10.4.0.1 dinámico = 1000: 0000: 4009 Caducar = 196
dinámica 10.4.0.165 = 0002: A529: 1f65 Caducar = 506
Vaciar la caché ARP
Si un host en una red se reemplaza con un nuevo hardware y conserva la misma dirección IP, entonces es probable que tenga una
nueva dirección MAC. Si NetDefendOS tiene una vieja entrada ARP para el host en su caché ARP entonces que la entrada no será
válida debido a la dirección MAC cambiado y esto hará que los datos sean enviados al host a través de Ethernet, que nunca llegará a
su destino.
Después del tiempo de caducidad de una entrada ARP, NetDefendOS aprenderá la nueva dirección MAC de la máquina, pero a veces puede ser
necesario forzar manualmente la actualización. La forma más fácil de lograrlo es mediante la
enrojecimiento la caché ARP. Esto elimina todas las entradas ARP dinámicas de la caché y fuerza a NetDefendOS emitir nuevas consultas
ARP para descubrir las asignaciones de direcciones MAC / IP para los hosts conectados.
Flushing se puede hacer con el comando CLI -flush arp.
Ejemplo 3.18. Vaciar la caché ARP
Este ejemplo muestra cómo vaciar la caché ARP desde el interior de la CLI.
GW-mundo: /> arp -flush
caché ARP de todas las interfaces enrojecida.
El tamaño de la caché ARP
Por defecto, el caché ARP es capaz de mantener 4.096 entradas ARP al mismo tiempo. Esto es adecuado para la mayoría de los escenarios,
pero en raras ocasiones, como cuando hay varias redes locales muy grandes directamente
127
3.5.3. La creación de objetos ARP Capítulo 3. Fundamentos
conectado al servidor de seguridad, puede ser necesario ajustar este valor hacia arriba. Esto se puede hacer mediante la modificación de la
configuración avanzada de ARP Tamaño de la caché ARP.
Las tablas hash se utilizan para buscar rápidamente las entradas en la caché ARP. Para una eficacia máxima, una tabla hash debe ser dos veces
mayor que las entradas que es la indexación, por lo que si el mayor directamente conectada a internet contiene 500 direcciones IP, el tamaño de la
tabla hash de entrada ARP debe ser al menos 1000. El administrador puede modificar el configuración avanzada de ARP ARP Hash Tamaño
para
reflejar los requisitos específicos de la red. El valor predeterminado de esta configuración es 512.
El ajuste ARP Hash Tamaño VLAN

configuración es similar a la ARP Hash Tamaño
ajuste, sino que afecta el tamaño de hash para interfaces VLAN
solamente. El valor por defecto es 64.
3.5.3. La creación de objetos ARP

Para cambiar la forma en que maneja NetDefendOS ARP en una interfaz, el administrador puede crear NetDefendOSobjetos ARP, cada
uno de los cuales tiene los siguientes parámetros:
Modo El tipo de objeto ARP. Este puede ser uno de:
• Estática - Crear una correspondencia fija en la caché ARP local.
• Publicar - Publicar una dirección IP en una dirección MAC particular (o esta interfaz).
• XPublish - Publicar una dirección IP en una dirección MAC particular y "mentira" sobre la
dirección MAC envío de la trama Ethernet contiene la respuesta ARP.
Interfaz La interfaz física local para el objeto ARP.
Dirección IP La dirección IP para la asignación de direcciones MAC / IP.
Dirección MACLa dirección MAC para la asignación de direcciones MAC / IP.
Los tres modos de ARP Estática, Publicar y XPublish se discuten a continuación.
Estática ARP Mode Objetos
UN Estático objeto ARP inserta una asignación particular, dirección de MAC / IP en la caché ARP NetDefendOS.
El uso más frecuente de objetos ARP estáticas es en situaciones en algún dispositivo de red externa no está respondiendo a las peticiones ARP
correctamente y está informando una dirección MAC incorrecta. Algunos dispositivos de red, tales como módems inalámbricos, pueden tener este
tipo de problemas.
También puede ser usado para bloquear una dirección IP a una dirección MAC específica para aumentar la seguridad o para evitar ataques de
denegación de servicio si hay usuarios deshonestos en una red. Sin embargo, esta protección sólo se aplica a los paquetes que se envían a esa
dirección IP. No se aplica a los paquetes que se envían desde esa dirección IP.
Ejemplo 3.19. Definición de una entrada ARP estática
En este ejemplo se creará una asignación estática entre la dirección IP 192.168.10.15y la dirección Ethernet
sobre el lan interfaz:
4b: 86: f6: c5: a2: 14
GW-mundo: /> añadir ARP = Interfaz de red LAN

IP 192.168.10.15 = = Modo
estático
MACAddress = 4b-86-f6-c5-A2-14
128
3.5.3. La creación de objetos ARP Capítulo 3. Fundamentos
Interfaz web
1. Ir a: Interfaces> ARP> Añadir> ARP
• Modo:Estático
• Interfaz:lan
3. Introduzca la siguiente:
• Dirección IP:192.168.10.15
• MAC: 4b-86-f6-c5-A2-14
Publicar ARP
soportes NetDefendOS publicación direcciones IP en una interfaz particular, opcionalmente junto con una dirección específica MAC en lugar
de la dirección MAC de la interfaz. NetDefendOS enviará entonces a cabo estos como respuestas ARP para cualquier ARP solicitudes
recibidas en la interfaz de las direcciones IP publicados.
Esto se puede hacer por un número de r azones:
• Para dar la impresión de que una interfaz en NetDefendOS tiene más de una dirección IP.
Esto es útil si hay varios tramos IP separadas en una sola LAN. Los anfitriones de cada lapso de IP pueden entonces utilizar una puerta de
enlace en su propio lapso cuando estas direcciones de puerta de enlace se publican en la interfaz NetDefendOS correspondiente.
• Otro uso es la publicación de varias direcciones en una interfaz externa, lo que permite NetDefendOS para abordar de forma estática traducir
el tráfico a estas direcciones y enviarlo hacia adelante a los servidores internos con direcciones IPv4 privadas.
• Un objetivo menos común es ayudar a los equipos de la red cerca de responder a ARP de una manera incorrecta.
Modos de edición
Hay dos modos de publicación disponibles cuando se publica un par de direcciones MAC / IP:
• Publicar
• XPublish
En ambos casos, una dirección IP y una dirección MAC asociada se especifican. Si no se especifica la dirección MAC (es todo ceros),
entonces se utiliza la dirección MAC de la interfaz física que envía.

Para entender la diferencia entre Publicar y XPublish es necesario entender que cuando NetDefendOS responde a una
consulta ARP, hay dos direcciones MAC en la trama Ethernet enviados de regreso con la respuesta ARP:
1. La dirección MAC de la trama Ethernet de la interfaz Ethernet de enviar la respuesta.
2. La dirección de MAC en la respuesta ARP que está contenida dentro de este marco. Este suele ser el mismo que ( 1) la fuente
de la dirección MAC en la trama Ethernet, pero no tiene que ser.
129
3.5.4. Utilizando ARP Configuración avanzada Capítulo 3. Fundamentos
Estos se muestran en la siguiente ilustración de una trama de Ethernet que contiene una respuesta ARP:
Figura 3.2. Un ARP Publicar trama Ethernet
los Publicar opción utiliza la dirección MAC real de la interfaz de envío para la dirección ( 1) en la trama Ethernet.
En casos raros, algunos equipos de la red requerirá que las direcciones MAC tanto en la respuesta ( 1 y
2 más arriba) son los mismos. En este casoXPublish se utiliza, ya que cambia ambas direcciones MAC en la respuesta a ser la dirección
MAC publicada. En otras palabras, XPublish " mentiras" acerca de la dirección de srcen de la respuesta ARP.
Si una dirección MAC publicada es la misma que la dirección MAC de la interfaz física, no hará ninguna diferencia siPublicar o XPublish
se selecciona, el resultado será el mismo.
La publicación de redes enteras
Al utilizar las entradas ARP, las direcciones IP sólo se publicarán uno a la vez. Sin embargo, el administrador puede utilizar la
alternativa Proxy ARPen función NetDefendOS manejar publicación de redes completas (ver Sección 4.2.6, “proxy ARP”).
3.5.4. Utilizando ARP Configuración avanzada
Esta sección presenta algunos de los ajustes avanzados relacionados con ARP. En la mayoría de los casos, estos ajustes no necesitan ser cambiados,
pero en algunas implementaciones, podrían ser necesarias modificaciones. Un resumen de todas las configuraciones avanzadas ARP se puede
encontrar en la siguiente sección.
Multicast y broadcast
peticiones ARP y respuestas ARP que contiene las direcciones de difusión o multidifusión son generalmente nunca correcta, con la excepción de
ciertos dispositivos de balanceo de carga y redundancia, que hacen uso de las direcciones de multidifusión de la capa de hardware.
El comportamiento predeterminado de NetDefendOS es dejar caer y registrar dichas peticiones ARP y respuestas ARP. Esto puede, sin embargo,
puede cambiar modificando la configuración avanzada ARP multidifusióny ARP Broadcast.
130
3.5.5. Configuración avanzada de ARP Capítulo 3. Fundamentos
Resumen
Respuestas ARP no solicitados
Es posible que un host en una red conectada para enviar una respuesta ARP a NetDefendOS a pesar de una solicitud ARP correspondiente
no se emitió. Esto se conoce como una respuesta ARP no solicitados.
De acuerdo con la especificación de ARP, el destinatario debe aceptar estos tipos de respuestas ARP. Sin embargo, ya que esto
podría ser un intento malicioso de secuestrar una conexión, NetDefendOS van a gota defecto y registro solicitado respuestas ARP.
Este comportamiento se puede cambiar modificando la configuración avanzada No solicitado respuestas ARP.
Las solicitudes ARP
La especificación ARP establece que un anfitrión debe actualizar su caché ARP con datos de ARP solicitudes recibidas de otros hosts. Sin
embargo, ya que este procedimiento puede facilitar el secuestro de conexiones locales, NetDefendOS normalmente no permiten esto.
Para hacer que el comportamiento compatible con la especificación RFC 826, el administrador puede modificar la configuración
Las solicitudes
ARP. Incluso si esto se establece enSoltar ( lo que significa que el paquete se descarta sin ser almacenadas), NetDefendOS responderán a ella
siempre que otras reglas aprueban la solicitud.
Los cambios en la caché ARP
Una respuesta ARP recibido o petición ARP, posiblemente, puede modificar una entrada existente en la caché ARP. Permitiendo que esto
ocurra puede permitir el secuestro de conexiones locales. Sin embargo, no permitir que esto puede causar problemas si, por ejemplo, se
sustituye un adaptador de red desde NetDefendOS no aceptarán la nueva dirección hasta que la anterior entrada de caché ARP ha agotado el
tiempo.
La configuración avanzada Cambios estática ARP

puede modificar este comportamiento. El comportamiento por defecto es que NetDefendOS
permitirán cambios tengan lugar, pero todos estos cambios se registrarán.
Un problema similar se produce cuando la información en respuestas ARP o peticiones ARP podría chocar con entradas estáticas en la
caché ARP. Esto no se debe permitir que esto ocurra y cambiando el ajuste
Cambios estática ARPpermite al administrador especificar
si o no este tipo de situaciones se registran.
IP del remitente0.0.0.0
NetDefendOS se pueden configurar para el manejo de las consultas ARP que tienen un remitente de IP 0.0.0.0. Tales direcciones IP del remitente no
son válidos como las respuestas, pero las unidades de red que todavía no han aprendido de su dirección IP a veces hacer preguntas ARP con una
dirección IP del remitente "no especificado". Normalmente, estas respuestas ARP se dejan caer y se registran, pero el comportamiento se puede
cambiar modificando el entorno La consulta ARP Sin remitente.
Coincidencia de direcciones Ethernet
Por defecto, NetDefendOS, será necesario que la dirección del remitente a nivel Ethernet debe cumplir con la dirección Ethernet según
los datos de ARP. Si este no es el caso, la respuesta será dado de baja y se registra. El comportamiento se puede cambiar
modificando el entorno Remitente ARP Partido Ethernet.
3.5.5. Configuración avanzada de ARP Resumen

Las siguientes opciones avanzadas están disponibles con ARP:
Remitente ARP Partido Ethernet
131
Resumen
Determina si NetDefendOS requerirán la dirección del remitente a nivel Ethernet para cumplir con la dirección de hardware según
los datos de ARP.
Defecto: DropLog
La consulta ARP Sin Remitente
0.0.0.0. Tales direcciones IP del remitente no son válidos en las respuestas, pero las unidades
Maneja las consultas ARP que tienen un remitente de IP
de red que todavía no han aprendido de su dirección IP a veces hacen preguntas ARP con una dirección IP del remitente "no especificado".
Defecto: DropLog
IP del remitente ARP
Determina si la dirección IP del remitente debe cumplir con las normas de la sección de acceso.
Defecto: Validar
Respuestas ARP no solicitados
Determina cómo NetDefendOS manejarán ARP responde que no ha pedido. De acuerdo con la especificación de ARP, el destinatario
debe aceptar estos. Sin embargo, ya que esto puede facilitar el secuestro de conexiones locales, no está permitido normalmente.
Defecto: DropLog
Las solicitudes ARP
Determina si NetDefendOS añadirán automáticamente los datos de las solicitudes ARP a su tabla ARP. La especificación ARP afirma que
esto se debe hacer, pero ya que este procedimiento puede facilitar el secuestro de conexiones locales, que normalmente no se permite.
Incluso si ARPRequests se establece en "Drop", lo que significa que el paquete se descarta sin ser almacenadas, NetDefendOS será,
siempre que otras reglas apruebe la solicitud, la respuesta recibida.
Defecto: soltar
Los cambios ARP
Determina cómo se NetDefendOS hacer frente a situaciones en que la respuesta ARP recibido o petición ARP alteraría un elemento
existente en la tabla ARP. Permitiendo que esto ocurra puede facilitar el secuestro de conexiones locales. Sin embargo, no permitir que
esto puede causar problemas si, por ejemplo, se sustituye un adaptador de red, como NetDefendOS no aceptarán la nueva dirección
hasta que la entrada de la tabla ARP anterior ha caducado.
Defecto: AcceptLog
Cambios estática ARP
Determina cómo se NetDefendOS manejar situaciones en que la respuesta ARP recibido o petición ARP alteraría un elemento estático en la tabla
ARP. Por supuesto, esto nunca se permite que esto ocurra. Sin embargo, esta configuración hace que el administrador pueda especificar si o no
este tipo de situaciones son que estar conectado.
Defecto: DropLog
Si no ingrese ARP Resolve
132
Resumen
Esto determina si NetDefendOS registrará fallado solicitudes de resolución ARP o no. El registro puede ser utilizado para propósitos de monitoreo y
puede ser útil para la solución de problemas de red problemas relacionados. Sin embargo, puede deshabilitar el registro de prevenir los intentos de
"spam" receptores de registro con las solicitudes de resolución fallidos.
Defecto: Activado
ARP caducar
Especifica el tiempo que un elemento dinámico normales en la tabla ARP es para ser retenido antes de que se elimina de la tabla.
Defecto: 900 segundos (15 minutos)
ARP caducar Desconocido
Especifica en segundos el tiempo que NetDefendOS es recordar las direcciones que no pueden ser alcanzadas. Esto se hace para asegurar
que NetDefendOS no solicita continuamente dichas direcciones.
Defecto: 3
ARP multidifusión
Determina cómo NetDefendOS es para hacer frente a las peticiones ARP y respuestas ARP ese estado que son las direcciones de multidifusión.
Tales demandas son generalmente nunca correcta, con la excepción de ciertos dispositivos de balanceo de carga y redundancia, que hacen uso de
direcciones de multidifusión de capa de hardware.
Defecto: DropLog
ARP Broadcast
Determina cómo NetDefendOS se ocupa de las peticiones ARP y respuestas ARP ese estado que se transmiten direcciones. Tales
afirmaciones son por lo general no correcta.
Defecto: DropLog
ARP tamaño de la caché
¿Cuántas entradas ARP no puede haber en la memoria caché en total.
Defecto: 4096
ARP Hash Tamaño
Hashing se usa para buscar rápidamente entradas en una tabla. Para una máxima eficiencia, el tamaño de hash debe ser dos veces mayor que la
mesa es la indexación. Si la mayor LAN conectado directamente contiene 500 direcciones IP entonces el tamaño de la entrada de hash ARP debe
ser de al menos 1000 entradas.
Defecto: 512
ARP Hash Tamaño VLAN
Hashing se usa para buscar rápidamente entradas en una tabla. Para una máxima eficiencia, el tamaño de hash debe ser dos veces mayor que la
mesa es la indexación, por lo que si la VLAN más grande conectado directamente contiene 500 direcciones IP, el tamaño de la entrada de hash ARP
debe ser de al menos 1000 entradas.
133
Resumen
Defecto: 64
ARP IP de colisión
Determina el comportamiento cuando se recibe una solicitud ARP con una dirección IP del remitente que choca con uno ya utilizado en la
interfaz de recepción. Las acciones posibles: Caída o Notificar.
Defecto: soltar
134
3.6. Reglas IP Capítulo 3. Fundamentos
3.6. Reglas IP
3.6.1. Políticas de seguridad
Antes de examinar la regla IP fija en detalle, vamos a mirar primero el concepto genérico de políticas de seguridad
a la que pertenecen los conjuntos de reglas IP.
Características política de seguridad
políticas de seguridad NetDefendOS son configurados por el administrador para regular la forma en que el tráfico puede fluir a través
de la NetDefend Firewall. Estas políticas se describen por el contenido de diferentes NetDefendOS conjuntos de reglas. Estos conjuntos
de reglas comparten un medio uniforme de especificar criterios de filtrado que determinan el tipo de tráfico a la que se aplicarán. Los
posibles criterios de filtrado consisten en lo siguiente:
Interfaz de srcen Un Interfazo Interface Groupen el que el paquete se recibe en el NetDefend

Firewall. Esto también podría ser un túnel VPN.
de red de srcen La red que contiene la dirección IP de srcen del paquete. Esto podría ser un
objeto NetDefendOS IP, que podría definir una única dirección IP o intervalo de
direcciones.
Interfaz de destino Un Interfazo un Interface Groupa partir de la cual el paquete dejaría la

NetDefend Firewall. Esto también podría ser un túnel VPN.
Red de destino La red a la que la dirección IP de destino del paquete pertenece. Esto podría ser
un objeto NetDefendOS IP, que podría definir una única dirección IP o intervalo
de direcciones.
Servicio El tipo de protocolo a la que pertenece el paquete. objetos de servicio definen un tipo de
protocolo / puerto. Ejemplos de ello son HTTPy ICMP.
objetos de servicio también definen cualquier ALG, que se va a aplicar al tráfico
NetDefendOS ofrece un gran número de objetos de servicio predefinidos, pero el administrador

definidos servicios personalizados También se pueden crear. objetos de servicio existentes
también pueden ser recogidos juntos en grupos de servicio.
Ver Sección 3.3, “Servicios” Para obtenermás información acerca de este tema.
Los conjuntos de reglas de política de seguridad NetDefendOS
Los NetDefendOS principales conjuntos de reglas que definen las políticas de seguridad NetDefendOS, y que funcionen con los mismos parámetros de
filtrado descritos anteriormente (redes / las interfaces / servicio), incluyen:
• Reglas IP
Estos determinan la cual el tráfico se le permite pasar a través de la NetDefend Firewall, así como determinar si el tráfico está
sujeto a la traducción de direcciones. El filtro de red para estas reglas puede ser direcciones IPv4 o IPv6 (pero no ambos en una
sola regla). Ellos se describen más adelante en esta sección.
• Reglas de tuberías
Estos determinan que el tráfico desencadena formación de tráfico a tener lugar y se describen en
Sección 10.1, “Asignación de tráfico”.
135
3.6.1. Políticas de seguridad Capítulo 3. Fundamentos
• Reglas de enrutamiento basado en políticas
Estas reglas determinan la tabla de enrutamiento para ser utilizado por el tráfico y se describen en Sección 4.3, “Enrutamiento basado en
directivas”. El filtro de red para estas reglas puede ser direcciones IPv4 o IPv6 (pero no ambos en una sola regla).
• Normas de autenticación
Estos determinan el que el tráfico provoca la autenticación a tener lugar (sólo fuente neta / interfaz) y se describen enCapítulo
8, la autenticación de usua rio.
Reglas IP y el valor predeterminado

principalRegla IP Set
conjuntos de reglas IP son los más importantes de estos conjuntos de reglas de política de seguridad. Ellos determinan la función de filtrado de
paquetes crítica de NetDefendOS, la regulación de lo que está permitido o no permite que pase a través de la NetDefend Firewall, y si es necesario,
cómo se aplican traducciones de direcciones como NAT. Por defecto, una regla NetDefendOS IP establecida siempre existirá y esto tiene el nombre principal.
Hay dos formas posibles de cómo el tráfico que atraviesa el NetDefend Firewall podría abordarse:
• Todo se negó a menos que esté específicamente permitido.
• O todo está permitido a menos que sea específicamente denegado.
Para proporcionar la mejor seguridad, el primero de estos enfoques es adoptado por NetDefendOS. Esto significa que la primera vez que se
instala y se inicia, el NetDefendOS no tiene reglas definidas en el IP principal norma IP fija y por lo tanto todo el tráfico se redujo. Con el fin de
permitir cualquier tráfico para atravesar el NetDefend Firewall (así como permitiendo NetDefendOS para responder a ICMP Silbido solicitudes),
algunas reglas IP deben ser definidos por el administrador.
Cada regla IP que se agrega por el administrador definirá los siguientes criterios de filtrado básicas:
• De qué interfaz a lo que los flujos de tráfico de la interfaz.
• A partir de lo que la red a la red lo que los flujos de tráfico.
• ¿Qué tipo de protocolo se ve afectada (la Servicio).
• ¿Qué medidas tomará la regla cuando un partido en el filtro desencadena.
Especificación de cualquier interfaz de red o
Al especificar los criterios de filtrado en cualquiera de los conjuntos de reglas de política, hay varios objetos de configuración predefinidos
útiles que pueden ser utilizados:
• Por un srcen o destino de red, la todas las redes deopción es equivalente a la dirección IP 0.0.0.0/0
lo que significa que cualquier dirección IP es aceptable.
• Para Fuente o interfaz de destino, el alguna opción se puede utilizar para que NetDefendOS no se preocupan
por la interfaz que el tráfico va o viene de.
• La interfaz de destino se puede especificar como núcleo.Esto significa que el tráfico, como por ejemplo un ICMP
Silbido, está destinado para el propio NetDefend Firewall y NetDefendOS responderá a ella.
Las nuevas conexiones que se inician por sí mismo NetDefendOS no necesitan una regla IP explícita, ya que están habilitados de forma
predeterminada. Por esta razón, la interfaznúcleono se utiliza como interfaz de srcen. Tales conexiones incluyen los necesarios para
conectarse a las bases de datos externos necesarios para tales
136
4.7.1. Visión de conjunto Capítulo 4. Enrutamiento
Para explicar mejor esto, consideremos una VLAN VLAN5 que se define en dos interfaces físicas llamadas IF1 y IF2. Ambas
interfaces físicas tienen interruptor dirige definen para que operen en modo transparente. Dos interfaces VLAN con el
mismo ID de VLAN se definen en las dos interfaces físicas y se llaman vlan5_if1 y vlan5_if2.
Para la VLAN para operar en modo transparente se crea una tabla de enrutamiento con el orden establecido en solamente
y que contiene las siguientes 2 rutas de conmutación:
Red Interfaz
todas las redes de vlan5_if1
todas las redes de vlan5_if2
En lugar de crear entradas individuales, un grupo de interfaz podría ser utilizado en la tabla de enrutamiento anteriormente.
No hay otras rutas no deben ser conmutada en esta tabla de enrutamiento porque el tráfico que s igue a estas rutas serán etiquetados de forma
incorrecta con el ID de VLAN.
Por último, hay que asociar esta tabla de enrutamiento con su interfaz de VLAN mediante la definición de una Política basada regla de enrutamiento.
Habilitar el modo transparente directamente en interfaces
La forma recomendada para habilitar el modo transparente es añadir rutas de conmutación, como se describió anteriormente. Un método alternativo es
para habilitar el modo transparente directamente en una interfaz (una casilla de verificación para este se proporciona en las interfaces gráficas de
usuario). Cuando se activa de esta manera, las rutas de conmutación por defecto se añaden automáticamente a la tabla de encaminamiento para la
interfaz y cualquier ruta no interruptor correspondiente se eliminan automáticamente. Este método se utiliza en los ejemplos detallados se dan más
adelante.
Alta disponibilidad y modo transparente
Rutas de conmutación no se pueden utilizar con alta disponibilidad y de modo transparente, por tanto, cierto no se puede implementar con un
clúster de alta disponibilidad NetDefendOS.
En lugar de interruptor dirige la solución en una configuración de alta disponibilidad es utilizar proxy ARP para separar dos redes. Esto se
describe adicionalmente en Sección 4.2.6, “proxy ARP”. La desventaja fundamental de este enfoque es que, en primer lugar, los clientes no
serán capaces de moverse entre las interfaces NetDefendOS, conservando la misma dirección IP. En segundo lugar, y más importante aún,
sus rutas de red tendrán que ser configurado manualmente para el proxy ARP.
Modo transparente con DHCP
En los escenarios del modo más transparente, la dirección IP de los usuarios está predefinido y fijo y no es inverosímil dinámicamente
mediante DHCP. De hecho, la ventaja clave de modo transparente es que estos usuarios pueden conectar en cualquier lugar y NetDefendOS
puede encaminar su tráfico correctamente después de determinar su paradero y su dirección IP a través de intercambios ARP.
Sin embargo, un servidor DHCP podría ser utilizado para asignar direcciones IP del usuario en una configuración de modo transparente si se desea.
Con conexiones de Internet, puede ser propio servidor DHCP del ISP que entregar direcciones IPv4 públicas a los usuarios. En este caso,
NetDefendOS DEBE ser configurado correctamente como una DHCP retransmisor para reenviar el tráfico DHCP entre los usuarios y el servidor
DHCP.
Puede ser el caso de que no se conoce la dirección IP exacta del servidor DHCP, pero lo que sí se sabe es la interfaz Ethernet a la que está
conectado el servidor DHCP. Para habilitar las peticiones DHCP a ser transmitida a través del cortafuegos, son necesarios los siguientes
pasos:
• 255.255.255.255 a la interfaz en la que se encuentra el servidor

Definir una ruta estática que las rutas de dirección IPv4
DHCP.
237
4.7.2. Activación del acceso a Internet Capítulo 4. Enrutamiento
• FF-FF-FF-FF-FF-FF a la dirección IPv4 255.255.255.255.

Definir una entrada estática tabla ARP que asigna la dirección MAC
• Configurar la retransmisión DHCP para la dirección IP del servidor DHCP 255.255.255.255.
4.7.2. Activación del acceso a Internet

Un malentendido común cuando la configuración del modo transparente es cómo configurar correctamente el acceso a la Internet pública. A
continuación se muestra un escenario típico en el que un número de usuarios en una red IP llama
Lannet acceder a Internet a través de la puerta de enlace del ISP con la dirección IP gw-ip.
Figura 4.18. El acceso a Internet de modo no transparente
La ruta no interruptor general se necesita para permitir el acceso a Internet sería la siguiente:
tipo de ruta Interfaz Destino Puerta
Además de interruptores IF1 todas las redes de gw-ip
Ahora vamos a suponer que el NetDefend Firewall es para operar en modo transparente entre los usuarios y el ISP. La ilustración
siguiente muestra cómo, utilizando rutas de conmutación, la NetDefend Firewall está configurado para ser transparente entre la
red Ethernet física interna ( pn2) y la red Ethernet a la puerta de enlace del ISP ( pn1). Las dos redes Ethernet se tratan como una
única red IP lógica en modo transparente con un rango de direcciones común (en este ejemplo 192.168.10.0/24).
Figura 4.19. El acceso a Internet transparente Modo
En esta situación, cualquier no-switch "normal" todas las redes de rutas de la tabla de enrutamiento deben ser retirados y reemplazados con una todas
las redes de ruta interruptor (no hacer esto es un error común durante la instalación). Esta ruta conmutador permitirá el tráfico de los usuarios locales
en la red Ethernet pn2 para encontrar la puerta de enlace del ISP.
Estos mismos usuarios también deben configurar el gateway de Internet en sus equipos locales para que sean los proveedores de Internet
238
4.7.3. Escenarios de modo transparente Capítulo 4. Enrutamiento
Dirección de la entrada. En el modo no transparente IP de la pasarela del usuario sería la dirección IP del NetDefend Firewall pero en modo
transparente de puerta de enlace del ISP está en la misma red IP lógico como los usuarios y por lo tanto serágw-ip.
NetDefendOS también pueden necesitar acceso a Internet
El NetDefend Firewall también necesita encontrar la Internet pública si se va a realizar funciones tales como NetDefendOS búsqueda de DNS,
filtrado de contenido Web o Anti-Virus y actualización IDP. Para permitir esto, necesitan vías no de conmutación individuales "normales" que se
creará en la tabla de enrutamiento para cada dirección de IP que especifica la interfaz que lleva a la ISP y la dirección de puerta de enlace IP
ISPs.
Si las direcciones IPv4 que necesitan ser alcanzado por NetDefendOS son 85.12.184.39 y 194.142.215.15
a continuación, la tabla de enrutamiento completa para el ejemplo anterior sería:
tipo de ruta Interfaz Destino Puerta

Cambiar IF1 todas las redes de
Cambiar IF2 todas las redes de
Además de interruptores IF1 85.12.184.39 gw-ip

Además de interruptores IF1 194.142.215.15 gw-ip
También tendrá que ser añadido a la norma IP configurada para permitir el acceso a Internet a través del servidor de seguridad NetDefend las normas
de propiedad intelectual correspondientes.
La agrupación de direcciones IP
Puede ser más rápido cuando se trata de muchas direcciones IP para agrupar todas las direcciones en un solo grupo objeto IP y luego
usar ese objeto en una sola ruta definida. En el ejemplo anterior, 85.12.184.39 y
194.142.215.15 podrían agruparse en un único objeto de esta manera.
El uso de NAT
NAT no debe ser habilitado para NetDefendOS en modo transparente, ya que, como se ha explicado anteriormente, el NetDefend Firewall está
actuando como un interruptor de traducción y dirección de nivel 2 se realiza en la capa IP OSI superior.
La otra consecuencia de no usar NAT es que las direcciones IP de los usuarios que acceden a Internet en general tienen que ser direcciones IPv4
públicas.
Si NATing necesita ser realizado en el ejemplo anterior para ocultar las direcciones individuales de Internet, tendría que
ser hecho por un dispositivo (posiblemente otro NetDefend Firewall) entre el
192.168.10.0/24 la red y la Internet pública. En este caso, las direcciones IPv4 privadas internas, podrían ser utilizados por los usuarios
de la red Ethernet pn2.
4.7.3. Escenarios de modo transparente
escenario 1
El servidor de seguridad en modo transparente se coloca entre un router de acceso a Internet y la red interna. El router se utiliza
para compartir la conexión a Internet con una única dirección IPv4 pública. La red NATeado interna detrás del cortafuegos está en
el espacio de direcciones 10.0.0.0/24. Los clientes de la red interna se les permite acceder a Internet a través del protocolo HTTP.
239
Figura 4.20. Transparente Escenario Modo 1
Ejemplo 4.19. Configuración de modo transparente para el Escenario 1
Interfaz web
Configurar las interfaces:
1. Ir a: Interfaces> Ethernet> Editar (WAN)
2. Ahora ingrese:
• Red: 10.0.0.0/24
• Puerta de enlace predeterminada:

10.0.0.1
• Modo transparente:
Habilitar
4. Ir a: Interfaces> Ethernet> Editar (LAN)
5. Ahora i ntroduzca:
• Red: 10.0.0.0/24
Habilitar
Configurar las reglas:
1. Ir a: Reglas> Reglas IP> Añadir> iprule
2. Ahora ingrese:
• Nombre:HTTPAllow
• Acción:Permitir
• Servicio:http
240
• Interfaz de srcen:lan
• Interfaz de destino:
alguna
• Fuente de red:10.0.0.0/24
• Red de destino:todas las redes de (0.0.0.0/0)
escenario 2
Aquí el NetDefend Firewall en modo transparente separa los recursos del servidor de una red interna mediante la conexión a una
interfaz independiente sin la necesidad de diferentes rangos de direcciones.
Todos los hosts conectados a la LAN y DMZ (el interfaces LAN y DMZ) comparten el 10.0.0.0/24 espacio de dirección. Ya que esto se configura
utilizando el modo transparente cualquier dirección IP se puede utilizar para los servidores, y no hay ninguna necesidad de que las máquinas
de la red interna para saber si un recurso está en la misma red o colocado en la zona de distensión. Las máquinas de la red interna se les
permite comunicarse con un servidor HTTP en DMZ mientras que el servidor HTTP en la zona de distensión se puede llegar a través de
Internet. El NetDefend Firewall es transparente entre la DMZ y LAN pero el tráfico sigue siendo controlada por el conjunto de reglas IP.
Figura 4.21. Transparente Escenario Modo 2
Ejemplo 4.20. Configuración de modo transparente para el Escenario 2
configurar una cambiar la rutasobre las interfaces LAN y DMZ para el rango de direcciones 10.0.0.0/24 (asume la interfaz WAN ya está
configurado).
Interfaz web
Configurar las interfaces:
241
1. Ir a: Interfaces> Ethernet> Editar (LAN)
2. Ahora ingrese:
• Red: 10.0.0.0/24
Inhabilitar
• Añadir ruta para la interfaz de red:

Inhabilitar
4. Ir a: Interfaces> Ethernet> Editar (DMZ)

• Red: 10.0.0.0/24
Inhabilitar
• Añadir ruta para la interfaz de red:

Inhabilitar
Configuración de los grupos de interfaz:
1. Ir a: Interfaces> grupos de interfaces> Añadir> InterfaceGroup
2. Ahora ingrese:
• Nombre:TransparentGroup
• Seguridad / Transporte equivalente:

Inhabilitar
• Interfaces:Seleccione LAN y DMZ
Configurar el enrutamiento:
1. Ir a: Cables> Principal tabla de enrutamiento> Añadir> SwitchRoute
2. Ahora ingrese:
• Interfaces conmutadas:
TransparentGroup
• Red: 10.0.0.0/24
• Métrico:0
Configurar las reglas:
2. Ahora ingrese:
• Nombre:HTTP-LAN a DMZ
• Servicio:http
• Interfaz de destino:DMZ
• Fuente de red:10.0.0.0/24
• Red de destino:10.1.4.10
242
4.7.4. Abarcando Soporte Árbol BPDU Capítulo 4. Enrutamiento
• Nombre:HTTP-WAN-a-DMZ
• Acción:SAB
• Servicio:http
• Interfaz de srcen:pálido
• Fuente de red:todas las redes de
• Red de destino:wan_ip
• Traducir:Seleccionar destino IP
• Nueva dirección IP:

10.1.4.10
• Nombre:HTTP-WAN-a-DMZ
• Servicio:http
4.7.4. Abarcando Soporte Árbol BPDU

NetDefendOS incluye soporte para la transmisión de la Bridge Protocol Data Units (BPDU) en todo el NetDefend Firewall. marcos
llevan mensajes BPDU Spanning Tree Protocol (STP) entre la capa 2 interruptores en una red. STP permite que los interruptores
para comprender la topología de la red y evitar las ocurrencias de bucles en la conmutación de paquetes.
El siguiente diagrama ilustra una situación en la que se producirían mensajes BPDU si el administrador permite a los interruptores para
ejecutar el protocolo STP. Dos Firewalls NetDefend están desplegados en modo transparente entre los dos lados de la red. Los interruptores
en cada lado de la firewall necesitan comunicarse y requieren NetDefendOS para retransmitir conmutar mensajes BPDU con el fin de que los
paquetes no lo hacen bucle entre los servidores de seguridad.
243
4.7.5. Configuración avanzada de modo Capítulo 4. Enrutamiento
transparente
Figura 4.22. Un escenario de retransmisión Ejemplo BPDU
Implementación de BPDU retransmisión
La aplicación retransmisión NetDefendOS BDPU sólo lleva mensajes STP. Estos mensajes STP pueden ser de tres tipos:
• El protocolo de árbol normal de expansión (STP)
• Rapid Spanning Tree Protocol (RSTP)
• Protocolo de árbol de expansión múltiple (MSTP)
• Propiedad de Cisco Protocolo TSVP + (por VLAN Spanning Tree Plus)
NetDefendOS comprueba el contenido de los mensajes BDPU para asegurarse de que se admite el tipo de contenido. Si no es así, la trama se dejó
caer.
Activación / desactivación BPDU retransmisión
BPDU retransmisión está desactivada por defecto y puede ser controlado a través de la configuración avanzada Retransmitir BPDU Spanning Tree.
Registro
de los mensajes BPDU también puede ser controlado a través de este ajuste. Cuando está activado, todas las llamadas entrantes STP, RSTP y MSTP
mensajes BPDU se transmiten a todas las interfaces transparentes en la misma tabla de enrutamiento, excepto la interfaz de entrada.
4.7.5. Configuración avanzada de modo transparente
CAM para el aprendizaje L3 Cache Dest
Activar esta opción si el servidor de seguridad debe ser capaz de aprender el destino de los ejércitos mediante la combinación de información de la
dirección de destino y la información que se encuentra en la tabla CAM.
244
transparente
Defecto: Activado
decremento TTL
Active esta opción si el TTL debe ser disminuido cada vez que un paquete atraviesa el cortafuegos en modo transparente.
Defecto: Discapacitado
Tamaño dinámica CAM
Este ajuste se puede utilizar para configurar manualmente el tamaño de la tabla CAM. Normalmente Dinámica es el valor preferido de usar.
Defecto: Dinámica
Tamaño CAM
Si el ajuste dinámico de la CAM Tamaño no está activado, entonces este es el número máximo de entradas en cada tabla CAM.
Defecto: 8192
Tamaño dinámica L3C
Asignar el valor de Tamaño de caché L3 dinámicamente.
Defecto: Activado
Tamaño de caché L3
Esta configuración se utiliza para configurar manualmente el tamaño de la caché de capa 3. Habilitación Tamaño dinámica L3C se prefiere
normalmente.
Defecto: Dinámica
Transparencia ATS caducar
Define el tiempo de vida de una entrada sin respuesta ARP Transacción Estado (ATS) en cuestión de segundos. Los valores válidos son de 1-60
segundos.
Defecto: 3 segundos
Transparencia ATS Tamaño
Define el número total máximo de entradas ARP Transacción del Estado (ATS). Los valores válidos son 128-65536 entradas.
Defecto: 4096
Nota: La capacidad óptima ATS
Ambos Transparencia ATS caducar y Transparencia ATS Tamaño

se puede utilizar para ajustar la manipulación para ser
óptimo en diferentes entornos ATS.
245
transparente
Null remitente Enet
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet como nulas (0000:
0000: 0000). opciones:
• Soltar - Descartar paquetes
• DropLog - Caer y los paquetes de registro
Defecto: DropLog
Remitente emisión Enet
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet se establece en la
dirección de difusión Ethernet (FFFF: FFFF: FFFF). opciones:
• aceptar - Acepta el paquete
• AcceptLog - Acepta el paquete y log
• Volver a escribir - Vuelva a escribir a la MAC de la interfaz de reenvío
• RewriteLog - Vuelva a escribir a la MAC de la interfaz de reenvío y de registro
Defecto: DropLog
Remitente multidifusión Enet
Define qué hacer cuando se recibe un paquete que tiene la dirección de hardware remitente (MAC) en la cabecera Ethernet se establece en una
dirección Ethernet de multidifusión. opciones:
• aceptar - Acepta el paquete
• AcceptLog - Acepta el paquete y log
• Volver a escribir - Vuelva a escribir a la MAC de la interfaz de reenvío
• RewriteLog - Vuelva a escribir a la MAC de la interfaz de reenvío y de registro
Defecto: DropLog
Relé de Spanning Tree BPDU
Cuando se establece en Ignorartodos los STP entrante, RSTP y MSTP BPDU se transmiten a todas las interfaces transparentes en la misma tabla
de enrutamiento, excepto la interfaz de entrada. opciones:
• Ignorar - Dejar pasar los paquetes pero no inicie sesión
246
transparente
• Iniciar sesión - Dejar pasar los paquetes y el registro de eventos
• Soltar - Soltar los paquetes
• DropLog - Descartar paquetes registrar el evento
Defecto: soltar
relé de MPLS
Cuando se establece enIgnorartodos los paquetes MPLS entrantes se transmiten en modo transparente. opciones:
• Ignorar - Dejar pasar los paquetes pero no inicie sesión
• Iniciar sesión - Dejar pasar los paquetes y el registro de eventos
• Soltar - Soltar los paquetes
• DropLog - Descartar paquetes registrar el evento
Defecto: soltar
247
transparente
248
Capítulo 5. Servicios DHCP
En este capítulo se describen los servicios DHCP en NetDefendOS.
• Descripción general, página 249
• Servidores DHCP, página 250
• DHCP retransmisión, página 256
• Conjuntos de IP, página 259
5.1. Visión de conjunto

Protocolo de configuración huésped dinámico ( DHCP) es un protocolo que permite a los administradores de red asignar automáticamente
direcciones IP a los ordenadores en una red.
Asignación de direcciones IP
UN servidor DHCP implementa la tarea de asignar direcciones IP a los clientes DHCP. Estas direcciones vienen de un grupo de direcciones IP
predefinido que gestiona DHCP. Cuando un servidor DHCP recibe una solicitud de un cliente DHCP, devuelve los parámetros de
configuración (como una dirección IP, una dirección MAC, un nombre de dominio, y un contrato de arrendamiento para la dirección IP) al
cliente en un mensaje unicast.
asignaciones DHCP
En comparación con la asignación estática, donde el cliente es dueño de la dirección, el direccionamiento dinámico por un servidor DHCP concede a la
dirección de cada cliente durante un periodo de tiempo predefinido. Durante la vida de un contrato de arrendamiento, el cliente tiene permiso para
mantener la dirección asignada y se garantiza que no tienen dirección de colisión con otros clientes.
caducidad de la concesión
Antes de la expiración del contrato de arrendamiento, el cliente tiene que renovar la concesión del servidor para que pueda seguir usando la
dirección IP asignada. El cliente también puede decidir en cualquier momento que ya no desee utilizar la dirección IP que se le asignó, y puede
terminar el contrato y liberar la dirección IP.
El tiempo de concesión se puede configurar en un servidor DHCP por el administrador.
249
5.2. servidores DHCP Capítulo 5. Servicios DHCP
5.2. servidores DHCP

Los servidores DHCP asignar y administrar las direcciones IP tomadas de un conjunto de direcciones especificado. En NetDefendOS, los servidores
DHCP no se limitan a servir a un solo intervalo de direcciones IP, pero puede utilizar cualquier intervalo de direcciones IP que puede ser especificada
por un objeto de dirección NetDefendOS IP.
Múltiples servidores DHCP
El administrador tiene la capacidad de configurar uno o más servidores DHCP lógicas en NetDefendOS. Filtrado de solicitudes de cliente
DHCP a diferentes servidores DHCP se basa en una combinación de:
• Interfaz
Cada interfaz NetDefendOS puede haber, como máximo, un solo servidor DHCP lógica asociada a ella. En otras palabras, pueden
NetDefendOS clientes DHCP prestación utilizando diferentes rangos de direcciones dependiendo de qué interfaz se encuentran en.
• retransmisor IP
La dirección IP relayer en el paquete IP también se utiliza para determinar el servidor. El valor por defecto de
todas las redes designifica que este todas las direcciones son aceptados y sólo la interfaz se considera en hacer una selección de servidor
DHCP. Las otras opciones para este parámetro se describen más adelante.
Buscando en la lista de servidores
Múltiples servidores DHCP forman una lista a medida que se definen, el último definido estar en la parte superior de la lista. Cuando
NetDefendOS busca un servidor DHCP para atender una solicitud, que pasa a través de la lista de arriba a abajo y elige el primer servidor con
una combinación coincidente de interfaz y relayer valor de filtro IP. Si no hay ninguna coincidencia en la lista a continuación, se ignora la
solicitud.
El ordenamiento servidor DHCP en la lista puede, por supuesto, ser cambiada por una de las interfaces de usuario.
El uso de retransmisor IP filtrado de direcciones
Como se explicó anteriormente un servidor DHCP se selecciona basándose en un partido de ambos filtro IP de la interfaz y relayer. Cada servidor
DNS debe tener un valor de filtro IP relayer especificado y los valores posibles son los siguientes:
• todas las redes de
El valor por defecto es todas las redes de (0.0.0.0/0). Esto significa que todas las peticiones DHCP coincidirán valor de este filtro sin tener en
cuenta si las solicitudes DHCP proviene de un cliente en la red local o ha llegado a través de un relayer DHCP.
• Un valor de0.0.0.0
El valor 0.0.0.0 coincidirá con las peticiones DHCP que vienen de solamente un cliente local. peticiones DHCP que han sido retransmitidos
por un relayer DHCP serán ignorados.
• Una dirección IP específica.
Esta es la dirección IP del relayer DHCP a través del cual ha llegado la solicitud de DHCP. se tendrán en cuenta las peticiones de los
clientes locales u otras relayers DHCP.
Opciones de DHCP
250
Las siguientes opciones se pueden configurar para un servidor DHCP:
Parámetros generales
Nombre Un nombre simbólico para el servidor. Se utiliza como una referencia de interfaz pero también se utiliza como
referencia en los mensajes de registro.
Filtro interfaz La interfaz de srcen en el que NetDefendOS escuchará las peticiones DHCP. Esto puede
ser una interfaz única o un grupo de interfaces.
Dirección IP piscina Una gama, grupo o red IP que el servidor DHCP utilizará como un conjunto de direcciones IP para la
entrega de concesiones DHCP.
máscara de red La máscara de red que será enviada a los clientes DHCP.
Parámetros opcionales
GW por defecto Esto especifica qué IP debe ser enviada al cliente para su uso como la puerta de enlace
predeterminada (enrutador al que se conecta el cliente).
Dominio El nombre de dominio utilizado para la resolución DNS. Por ejemplo,

domain.com.
Tiempo de concesión El tiempo, en segundos, que se proporciona una concesión DHCP. Después de este tiempo el
cliente DHCP debe renovar el contrato de arrendamiento.
DNS primaria / secundaria La IP de los servidores DNS primario y secundario.
/ secundario NBNS / WINS primario IP del Windows Internet Name Service (WINS) que
se utilizan en entornos de Microsoft que utiliza el Servidores de Nombres NetBIOS ( NBNS)
para asignar direcciones IP a nombres de NetBIOS.
Siguiente servidor Especifica la dirección IP del servidor siguiente en el proceso de arranque. Esto suele ser
un servidor TFTP.
Configuración avanzada del servidor DHCP
Existen dos configuraciones avanzadas que se aplican a todos los servidores DHCP:
• Guardar directiva de Auto
La política de ahorro de la base de datos de arrendamiento en el disco. Las opciones son:
1. Nunca - Nunca guarde la base de datos.
2. ReconfShut -Guardar la base de datos en un r econfigurar o un cierre.
3. ReconfShutTimer -Guardar la base de datos en un reconfigure o una parada y también

periódicamente. La cantidad de tiempo entre periódica salva es especificado por el parámetro siguiente,
Arrendar tienda de intervalo.
• Intervalo de arrendamiento tienda
El número de segundos entre automático de ahorro de la base de datos de arrendamiento en el disco. El valor por defecto es
86400 segundos.
Ejemplo 5.1. Configuración de un servidor DHCP
251
Este ejemplo muestra cómo configurar un servidor DHCP llamada DHCPServer1que asigna y gestiona las direcciones IP de un conjunto de
direcciones IPv4 llamada DHCPRange1.
Este ejemplo asume que un rango de IP para el servidor DHCP ya se ha creado.
GW-mundo: /> añadir DHCPServer DHCPServer1

Interface = lan IPAddressPool =
DHCPRange1 máscara de red
255.255.255.0 =
Interfaz web
1. Ir a: Sistema> DHCP> servidores DHCP> Añadir> DHCPServer
2. Ahora ingrese:
• Nombre:DHCPServer1
• Filtro de interfaz:
lan
• Dirección IP Piscina:
DHCPRange1
• máscara de red:
255.255.255.0
Viendo IP a MAC Address Mapping
Para visualizar las asignaciones de direcciones IP a direcciones MAC que resultan de las concesiones DHCP asignados, la servidor DHCP comando se
puede utilizar. A continuación se muestra un poco de salida típica:
GW-mundo: />dhcpserver -demostrar -mappings
asignaciones de servidor DHCP: IP del

cliente cliente MAC Modo
--------------- ----------------- -------------
10.4.13.240 00-1e-0b--a0 c6-5f ACTIVO (estático)
10.4.13.241 00-0c-29-04-f8-3c ACTIVO (estático)
10.4.13.242 00-1e-0b-aa-ae-11 ACTIVO (estático)
10.4.13.243 00-1c-c4-36-6c-c4 INACTIVO (estático)
10.4.13.244 00-00-00-00-02-14 INACTIVO (estático)
10.4.13.254 00-00-00-00-02-54 INACTIVO (estático)
10.4.13.1 00-12-79-3b-dd-45 ACTIVE
10.4.13.2 00-12-79-c4-06-e7 ACTIVO
10.4.13.3 * ACTIVO 00-A0-A3-f8-23-45
10.4.13.4 * 00-0E-7f-4b-e2-29 ACTIVE
El asterisco "*" antes de una dirección MAC significa que el servidor DHCP no hace un seguimiento del cliente utilizando la dirección MAC pero en su
lugar un seguimiento del cliente a través de una identificador de cliente el cual el cliente ha dado al servidor.
Para visualizar toda la información DHCP utiliza el servidor DHCP comando sin opciones. Cada servidor DHCP configurado de forma individual
se conoce como una Regla que se le da un número único. Este número se utiliza para identificar el contrato de alquiler corresponde a cada
servidor de la salida de CLI. Para ver sólo los servidores DHCP comfigured, utilice el comando:
GW-mundo: /> dhcpserver -demostrar -normas
252
6.2.8. La SIP ALG Capítulo 6. Mecanismos de seguridad
• Sin NAT por lo que la topología de la red está expuesta.
Solución A - El uso de NAT
A continuación, el proxy y los clientes locales se ocultan detrás de la dirección IP del servidor de seguridad NetDefend. Los pasos de instalación son los
siguientes:
1. Definir un solo objeto SIP ALG usando las opciones descritas anteriormente.
2. Definir una Servicio objeto que está asociado con el objeto SIP ALG. El servicio debe tener:
• Puerto de destinoajustado a 5060 ( el valor por defecto SIP puerto de señalización)
• Tipo ajustado a TCP / UDP
3. Definir las tres reglas en el conjunto de reglas IP:
• UN NAT gobernar para el tráfico saliente desde el proxy local y los clientes de la red interna a los clientes remotos en, por
ejemplo, Internet. La SIP ALG se hará cargo de todo la traducción de direcciones que necesita el NAT regla. Esta
traducción se producirá tanto en el nivel IP y el nivel de aplicación. Ni los clientes o los apoderados deben ser
conscientes de que los clientes locales están siendo NATeado.
Si Registro de carreteras está activado en el proxy SIP, el fuente la red de la NAT regla puede incluir sólo el proxy SIP, y
no a los clientes locales.
• UN SAB gobernar para redirigir el tráfico SIP entrante a la dirección IPv4 privada del proxy local NATeado. Esta regla
tendrá núcleocomo la interfaz de destino (en otras palabras NetDefendOS en sí), ya que el tráfico entrante será
enviado a la dirección IPv4 privada del proxy SIP.
• Un Permitir regla que coincide con el mismo tipo de tráfico como el

SAB regla definida en el paso anterior.
Acción Interfaz src Src Red Red Dest Dest Interfaz

OutboundFrom NAT lan Lannet pálido todas las redes de
ProxyUsers (ip_proxy)
ProxyAndClients SAT pálido todas las redes de núcleo wan_ip

InboundTo ip_proxy
SETDEST
ProxyAndClients Permitir pálido todas las redes de núcleo wan_ip
InboundTo
Si Registro de carreteras está activada, el de red de srcen para el tráfico saliente de los usuarios de proxy puede ser restringido adicionalmente en las
reglas anteriores mediante el uso de " Proxy ip" como se indica.
Cuando se recibe una llamada entrante, el SIP ALG seguirá el SAB gobernar y reenviar la petición SIP al servidor
proxy. El proxy, a su vez, enviará la petición a su destino final, que es el cliente.
Si Registro de carreteras está deshabilitado en el servidor proxy, y dependiendo del estado de la sesión SIP, SIP ALG puede
reenviar mensajes SIP entrantes directamente al cliente, sin pasar por el proxy SIP. Esto sucederá automáticamente sin
configuración adicional.
Solución B - Sin NAT
Sin NAT, el s aliente NAT regla se sustituye por una Permitir regla. el entrante SAB y Permitir
normas se reemplazan por un solo Permitir regla.

OutboundFrom Permitir lan Lannet pálido todas las redes de
298

Proxy y Clientes (Proxy ip)
InboundTo proxy Permitir pálido todas las redes de lan Lannet
y Clientes (ip_proxy)
Si Registro de carreteras está activada, las redes en las reglas anteriores pueden estar más restringidos por el uso de "( Proxy ip)" como se indica.
escenario 3
La protección de los clientes proxy y locales - Proxy en la interfaz DMZ
Este escenario es similar al anterior, pero la principal diferencia es la ubicación del servidor proxy SIP local. El servidor se coloca en una
interfaz independiente y la red para los clientes locales. Esta configuración añade una capa adicional de seguridad ya que el tráfico SIP
inicial no se i ntercambia directamente entre un extremo remoto y l os clientes locales, protegidas.
La complejidad se incrementa en este escenario ya que los mensajes SIP fluyen a través de tres interfaces: la interfaz que recibe desde el
iniciador de llamada, la interfaz DMZ hacia el proxy y la interfaz de destino hacia el terminador de llamada. Esto los mensajes primeros
intercambios que tienen lugar cuando una llamada está configurado en este escenario se ilustra a continuación:
299
Los intercambios ilustradas son las siguientes:
• 1,2 - Una inicial INVITACIÓN se envía al servidor proxy local de salida en la zona de distensión.
• 3,4 - El servidor proxy envía los mensajes SIP hacia el destino en Internet.
• 5,6 - Un cliente o servidor proxy remoto responde al servidor proxy local.
• 7,8 - El proxy local envía la respuesta al cliente local.
Este escenario se puede implementar en una configuración de topología escondite con DMZ ( Una solución demás adelante), así como una
configuración sin NAT ( solución Babajo).
Solución A - El uso de NAT
A continuación hay que señalar acerca de esta configuración:
• La dirección IP del servidor proxy SIP debe ser una dirección IP globalmente enrutable. El NetDefend Firewall no es compatible con el
ocultamiento de proxy en la zona de distensión.
• La dirección IP de la i nterfaz DMZ debe ser una dirección IP globalmente enrutable. Esta dirección puede ser la misma dirección
que el utilizado en la i nterfaz externa.
Los pasos de instalación son los siguientes:
3. Definir las cuatro reglas en el conjunto de reglas IP:
• UN NAT gobernar para el tráfico saliente de los clientes de la red interna para el proxy situado en la interfaz DMZ. La SIP
ALG se hará cargo de todo la traducción de direcciones que necesita elNAT regla. Esta traducción se producirá tanto
en el nivel IP y en el nivel de aplicación.
Nota
Clientes registrarse en el proxy en la zona de distensión tendrán la dirección IP de la
300
interfaz DMZ como la dirección de contacto.
• Un Permitir gobernar para el tráfico saliente desde el proxy detrás de la interfaz DMZ a los clientes remotos a través de Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde el proxy SIP detrás de la interfaz DMZ a la dirección IP del servidor de
seguridad NetDefend. Esta regla tendrá núcleo (en otras palabras, NetDefendOS sí mismo) como la i nterfaz de destino.
La razón de esto es debido a laNAT regla anterior. Cuando se recibe una llamada entrante, NetDefendOS localiza
automáticamente el receptor local, realiza la traducción de direcciones y envía mensajes SIP para el receptor. Esto se
realiza con base en el estado interno del SIP ALG.
• Un Permitir gobernar para el tráfico entrante desde, por ejemplo Internet, al proxy detrás de la zona de distensión.
4. Si Registro de carreterases no habilitado en el proxy, el intercambio directo de mensajes SIP también debe permitir entre los clientes, sin pasar
Registro de carreterasestá desactivado:
por el proxy. por lo tanto, se necesitan las siguientes reglas adicionales cuando
• UN NAT gobernar para el tráfico saliente de los clientes de la red interna a los clientes externos y servidores proxy en, por
ejemplo, Internet. La SIP ALG se hará cargo de todo la traducción de direcciones que necesitaNAT el regla. La
traducción se producirá tanto en el nivel IP y el nivel de aplicación.
• Un Permitir gobernar para el tráfico SIP entrante desde, por ejemplo Internet, a la dirección IP de la interfaz DMZ. La razón
de esto es porque los clientes locales serán NATed utilizando la dirección IP de la interfaz DMZ al registrarse en el
proxy situado en la zona de distensión.
Esta regla tiene núcleocomo la interfaz de destino (en otras palabras, NetDefendOS sí mismo). Cuando se recibe una
llamada entrante, NetDefendOS utiliza la información de registro del receptor local para localizar automáticamente este
receptor, lleve a cabo los mensajes de traducción de direcciones y SIP hacia delante al receptor. Esto se hará en base al
estado interno de la SIP ALG.
Las reglas IP necesarios con Registro de carreteras habilitados son:

OutboundToProxy NAT lan Lannet DMZ Proxy ip
OutboundFromProxy Permitir DMZ Proxy ip pálido todas las redes de
InboundFromProxy Permitir DMZ Proxy ip núcleo dmz_ip

InboundToProxy Permitir pálido todas las redes de DMZ Proxy ip
Con Registro de carreteras personas con discapacidad, las siguientes reglas IP hay que añadir a los anteriores:

OutboundBypassProxy NAT lan Lannet pálido todas las redes de
InboundBypassProxy Permitir pálido todas las redes de núcleo ipdmz
Solución B - Sin NAT
Los pasos de instalación son los siguientes:
301
6.2.9. El H.323 ALG Capítulo 6. Mecanismos de seguridad
3. Definir las cuatro reglas en el conjunto de reglas IP:
• Un Permitir gobernar para el tráfico saliente de los clientes de la red interna para el proxy situado en la interfaz
DMZ.
• Un Permitir gobernar para el tráfico saliente desde el proxy detrás de la interfaz DMZ a los clientes remotos a través de Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde el proxy SIP detrás de la interfaz DMZ a los clientes ubicados en la
red local, protegido.
• Un Permitir gobernar para el tráfico SIP entrante de clientes y servidores proxy en Internet al proxy detrás de la interfaz DMZ.
4. Si Registro de carreteras es no habilitado en el proxy, el intercambio directo de mensajes SIP también debe permitir entre los clientes, sin pasar por
el proxy. por lo tanto, son necesarios los siguientes dos reglas adicionales cuando Registro de carreteras está desactivado:
• Un Permitir gobernar para el tráfico saliente de los clientes en la red local a los clientes externos y servidores proxy en
Internet.
• Un Permitir gobernar para el tráfico SIP entrante desde Internet a los clientes de la red local.
Las reglas IP conRegistro de carreteras habilitados son:

OutboundToProxy Permitir lan Lannet DMZ Proxy ip
OutboundFromProxy Permitir DMZ Proxy ip lan Lannet
InboundFromProxy Permitir DMZ Proxy ip núcleo dmz_ip

InboundToProxy Permitir pálido todas las redes de DMZ Proxy ip
Con Registro de carreteras personas con discapacidad, las siguientes reglas IP hay que añadir a los anteriores:

OutboundBypassProxy Permitir lan Lannet pálido todas las redes de
InboundBypassProxy Permitir pálido todas las redes de lan Lannet
6.2.9. El H.323 ALG

H.323 es un estándar aprobado por la Unión Internacional de Telecomunicaciones (UIT) para permitir la compatibilidad en las
transmisiones de video conferencia a través de redes IP. Se utiliza para el audio en tiempo real, vídeo y comunicación de datos a
través de redes basadas en paquetes, como Internet. Especifica los componentes, protocolos y procedimientos para proporcionar
dicha comunicación multimedia, incluyendo el teléfono de Internet y voz sobre IP (VoIP).
componentes H.323
H.323 consiste en cuatro componentes principales:
terminales Los dispositivos utilizados para audio y vídeo opcional o comunicación de datos,
tales como teléfonos, unidades de conferencia, u
302
• Servicio:H323
alguna
• Fuente de red:Lannet
• Red de destino:0.0.0.0/0 (todos-redes)
• Comentario:Activación de llamadas salientes
Regla entrante:
2. Ahora ingrese:
• Nombre:H323AllowIn
• Servicio:H323
• Interfaz de srcen:alguna
• Interfaz de destino:lan
• Fuente de red:0.0.0.0/0 (todos-redes)
• Red de destino:Lannet
• Comentario:Permitir que las llamadas entrantes
Ejemplo 6.7. Uso de direcciones IPv4 privadas
Este escenario consta de dos teléfonos H.323, cada uno conectado detrás del NetDefend firewall en una red con direcciones IPv4 privadas. Con el fin de realizar
llamadas en estos teléfonos a través de Internet, las siguientes reglas se deben agregar a la regla establecida en el servidor de seguridad. Asegúrese de que no
hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
Como estamos usando direcciones IP privadas en los teléfonos, el tráfico de entrada necesita ser saciado como en el ejemplo siguiente. El objeto debe ser la IP
IP-teléfono
interna del teléfono H.323 detrás de cada servidor de seguridad.
Interfaz web
Regla de salida:
2. Ahora ingrese:
• Nombre:H323Out
• Acción:NAT
• Servicio:H323
alguna
308
• Comentario:Activación de llamadas salientes
Reglas de entrada:
2. Ahora ingrese:
• Nombre:H323In
• Acción:SAB
• Servicio:H323
núcleo
• Red de destino:wan_ip (IP externa del firewall)
• Comentario:Permitir que las llamadas entrantes al teléfono H.323 en IP-teléfono
3. Para SAB entrar Traducir las direcciones IP de destino:

Para Nueva Dirección IP: IP-teléfono (dirección IP del teléfono)
2. Ahora ingrese:
• Nombre:H323In
• Servicio:H323
núcleo
• Comentario:Permitir que las llamadas entrantes al teléfono H.323 en IP-teléfono
Para realizar una llamada al teléfono detrás de la NetDefend Firewall, realizar una llamada a la dirección IP externa en el servidor de seguridad. Si
hay varios teléfonos H.323 se colocan detrás del firewall, uno SAB regla tiene que ser configurado para cada teléfono. Esto significa que múltiples
direcciones externas tienen que ser utilizados. Sin embargo, es preferible utilizar un controlador de acceso H.323 ya que esto sólo requiere una
dirección externa.
Ejemplo 6.8. H.323 con Gatekeeper
En este escenario, un controlador de acceso H.323 se coloca en la DMZ de la NetDefend Firewall. Una regla se configura en el servidor de seguridad para
permitir el tráfico entre la red privada donde los teléfonos H.323 están conectados a la red interna y al Gatekeeper en la zona de distensión. El guardián de
puerta en la DMZ está configurado con una dirección privada. Las siguientes reglas se deben agregar a la lista de reglas en ambos cortafuegos, asegúrese de
que no hay reglas rechazando o permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
309
Interfaz web
Reglas entrantes Gatekeeper:
2. Ahora ingrese:
• Nombre:H323In
• Acción:SAB
• Servicio:H323-Gatekeeper
núcleo
• Comentario:regla SAT para la comunicación entrante con el controlador de acceso situada en ip-guardián
3. Para SAB entrar Traducir las direcciones IP de destino:

Para Nueva Dirección IP: IP-guardián (dirección IP del
portero).
2. Ahora ingrese:
• Nombre:H323In
núcleo
• Comentario:Permitir la comunicación entrante con el Gatekeeper
310
2. Ahora ingrese:
• Nombre:H323In
• Red de destino:ip-guardián (dirección IP del gatekeeper)
• Comentario:Permitir la comunicación entrante con el Gatekeeper
Nota: Las llamadas salientes no necesitan una regla específica
No hay necesidad de especificar una regla específica para las llamadas salientes. NetDefendOS supervisa la comunicación
entre teléfonos "externos" y el guardián de puerta para asegurarse de que es posible para los teléfonos internos para llamar a
los teléfonos externos que están registrados con el gatekeeper.
Ejemplo 6.9. H.323 con Gatekeeper y dos NetDefend cortafuegos
Este escenario
guardián es muy
de puerta similar al
conectado escenario
a la zona de 3, con la diferencia
distensión debe serde que el NetDefend
configurado Firewall
exactamente protege
igual que enloselteléfonos
escenario"externos". El Firewall Firewall
3. El otro NetDefend NetDefend con el
debe
configurarse de la siguiente manera. Las normas tienen que ser añadido a la lista de reglas, y deben asegurarse de que no hay reglas rechazando o
permitiendo que el mismo tipo de puertos / tráfico antes de estas reglas.
Interfaz web
311
2. Ahora ingrese:
• Nombre:H323Out
• Acción:NAT
alguna
• Comentario:Permitir la comunicación saliente con un gatekeeper
Nota: Las llamadas salientes no necesitan una regla específica
No hay necesidad de especificar una regla específica para las llamadas salientes. NetDefendOS supervisa la comunicación
entre teléfonos "externos" y el guardián de puerta para asegurarse de que es posible para los teléfonos internos para llamar a
los teléfonos externos que están registrados con el gatekeeper.
Ejemplo 6.10. Utilizando el H.323 ALG en un entorno corporativo
Este escenariodomicilio
de distensión es un ejemplo degatekeeper
social un una red másH.323
compleja que muestra
se coloca cómo
que puede el H.323
manejar ALGlos
todos seclientes
puede H.323
implementar en un entorno
en la cabeza-, rama-ycorporativo. En la zona
oficinas remotas. Esto
permitirá que toda la corporación de utilizar la red para la comunicación de voz y compartir aplicaciones. Se supone que los túneles VPN están
configurados correctamente y que todas las oficinas utilizan rangos de IP-privadas en sus redes locales. Todas las llamadas externas se realizan por la
red telefónica existente utilizando la pasarela (gateway ip) conectado a la red telefónica ordinaria.
312
6.3. Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
6.3. Filtrado de Contenido Web
el tráfico de Internet es una de las mayores fuentes de problemas de seguridad y uso indebido de Internet. hábitos de navegación inapropiada pueden
exponer a una red a muchas amenazas a la seguridad, así como las responsabilidades legales y reglamentarios. La productividad y el ancho de banda
de Internet también pueden verse afectadas.
Los mecanismos de filtrado
A través de los protocolos HTTP ALG, NetDefendOS ofrece los siguientes mecanismos de filtrado de contenidos web que se considera
inadecuada para una organización o grupo de usuarios:
• Manipulación de contenido activo se puede utilizar para "depurar" las páginas web de contenido que el administrador considera una amenaza
potencial, tales como objetos ActiveX y applets de Java.
• Estática filtrado de contenido proporciona un medio para clasificar manualmente sitios web como "bueno" o "malo". Esto también se conoce
como URL listas negras y listas blancas.
• Filtrado de contenido dinámico es una potente característica que permite al administrador para permitir o bloquear el acceso a sitios
web en función de la categoría a la que se han clasificado en por un servicio de clasificación automática. filtrado de contenido dinámico
requiere un mínimo de esfuerzo de administración y tiene una precisión muy alta.
Nota: Activación WCF
Todo el contenido del Web está habilitado el filtrado a través de los protocolos HTTP ALG que se describe en la Sección 6.2.2,
“El HTTP ALG”.
6.3.2. Manipulación de contenido activo
Algunos de los contenidos web puede contener código malicioso diseñado para dañar la estación de trabajo o la red desde donde el usuario
es el surf. Por lo general, dicho código se incrusta en diversos tipos de objetos o archivos que están incrustados en páginas web.
NetDefendOS incluye soporte para la eliminación de los siguientes tipos de objetos de contenido de la página web:
• Los objetos ActiveX (incluyendo Flash)
• applets de Java
• código Javascript / VBScript
• Galletas
• Formato no válido caracteres UTF-8 (el formato de URL no válida se pueden utilizar para atacar servidores web)
Los tipos de objetos que deben eliminarse se pueden seleccionar individualmente mediante la configuración de la correspondiente capa de aplicación
HTTP de puerta de enlace en consecuencia.
Precaución: Tenga en cuenta las consecuencias de la eliminación de objetos
La consideración cuidadosa se debe dar antes de habilitar la eliminación de cualquier tipo de objeto de contenido web. Muchos
sitios web utilizan JavaScript y otros tipos de código del lado del cliente y en la mayoría de los casos, el código no es malicioso.
Los ejemplos más comunes de esto es el script utilizado para implementar menús desplegables así como mostrar y ocultar
elementos en las páginas web.
319
6.3.3. Estática filtrado de contenido Capítulo 6. Mecanismos de seguridad
La eliminación de dicho código legítimo podría, a lo sumo, hacer que el sitio web se vea distorsionada, en el peor, hacer que no
funciona en un navegador en absoluto. Manejo de contenido activo debe, por tanto, sólo se puede utilizar cuando las
consecuencias son bien entendidos.
Ejemplo 6.13. Excluyendo los applets de Java y ActiveX
Este ejemplo muestra cómo configurar una puerta de enlace de capa de aplicación HTTP para despojar a los applets de Java y ActiveX. El ejemplo
utilizará el content_filtering
ALG objeto y asume uno de los ejemplos anteriores se ha hecho.
GW-mundo: />establecer ALG ALG_HTTP content_filtering

RemoveActiveX = Sí Sí =
RemoveApplets
Interfaz web
1. Ir a: Objetos> ALG
2. En la tabla, haga clic en nuestra HTTP ALG objeto,content_filtering
3. Comprobar la objetos Strip ActiveX (incluyendo flash)

controlar
4. Comprobar laapplets de Java de Gaza

controlar
6.3.3. Estática filtrado de contenido

A través de los protocolos HTTP ALG, NetDefendOS pueden bloquear o permitir ciertas páginas web en base a listas de direcciones URL
configuradas que se llaman listas negras y listas blancas. Este tipo de filtrado es también conocido como Filtrado de contenido estático. El principal
beneficio de filtrado de contenido estático es que es una excelente herramienta para la orientación a sitios web específicos, y tomar la decisión en
cuanto a si se deben bloquear o permitir.
Pedido de filtros estáticos y dinámicos
Además, filtrado de contenido estático se lleva a cabo antes de Filtrado dinámico de contenidos (descrito más adelante), lo que permite la
posibilidad de hacer manualmente excepciones del proceso de clasificación dinámica automática. En un escenario en el que los bienes
tienen que ser comprado en una tienda en particular en línea, filtrado de contenido dinámico puede estar configurado para impedir el
acceso a sitios de compras mediante el bloqueo de la categoría "Compras". Introduciendo la URL de la tienda on-line en la capa de
aplicación HTTP lista blanca de puerta de enlace, siempre se permite el acceso a esa URL, pasando por encima de filtrado de contenido
dinámico.
comodines
Tanto la lista negra de URL y el apoyo lista blanca URL comodín coincidente de URL a fin de ser más flexible. Esta coincidencia de
comodines es aplicable a la ruta siguiendo el nombre de host URL que significa que el filtrado puede ser controlado a un nivel de archivo
y directorio también.
A continuación se presentan algunas URL de ejemplo en la lista negra de buenos y malos utilizados para el bloqueo:
* . example.com/* Bueno. Esto bloqueará todos los hosts del example.com de dominio y todas las páginas web atendidos por
estos equipos.
www.example.com/* Bueno. Esto bloqueará la www.example.com sitio web y todas las páginas web
320
6.3.3. Estática filtrado de contenido Capítulo 6. Mecanismos de seguridad
servido por ese sitio.
* /*.gif Bueno. Esto bloqueará todos los archivos con. gif como la extensión del nombre de archivo.
www.example.com Malo. Esto sólo bloquear la primera solicitud al sitio web. surf hasta
www.example.com/index.html, por ejemplo, no será bloqueado.
* example.com/* Malo. Esto también hará que www.myexample.com a ser bloqueado ya que bloquea todos los sitios que
terminan con example.com.
Nota: La lista negra de hosts y redes es independiente
contenido web filtrado de URL lista negra es un concepto separado de la sección 6.7, “Lista gra
ne
hosts y redes”.
Ejemplo 6.14. La creación de un blanco y la lista negra
Este ejemplo muestra el uso de filtrado de contenido estático en el que NetDefendOS pueden bloquear o permitir ciertas páginas web basadas en listas negras
y blancas. Como se ilustrará la usabilidad de filtrado de contenido estático, filtrado de contenido dinámico y la manipulación contenido activo no se habilitarán
en este ejemplo.
En este pequeño escenario de una política general surf evita que los usuarios descarguen archivos .exe. Sin embargo, el sitio web de D-Link proporciona archivos de
programa de seguros y necesarios que deben ser autorizados a descargar.
Comience agregando un ALG HTTP con el fin de filtrar el tráfico HTTP:
GW-mundo: /> añadir ALG ALG_HTTP content_filtering
A continuación, cree un servidor HTTP ALG URL para configurar una lista negra:
GW-mundo: /> content_filtering cc ALG ALG_HTTP
GW-mundo: / content_filtering> añadir ALG_HTTP_URL

URL = * / *. Exe Action =
Lista negra
Por último, hacer una excepción de la lista negra mediante la creación de una lista blanca específica:
GW-mundo: / content_filtering> añadir ALG_HTTP_URL

URL = www.D-Link.com / *. Exe Action =
Lista blanca
Interfaz web
Comience agregando un ALG HTTP con el fin de filtrar el tráfico HTTP:
1. Ir a: Objetos> ALG> Añadir> HTTP ALG
2. Introduzca un nombre adecuado para el ALG, por ejemplo,c ontent_filtering
A continuación, crear una URL HTTP ALG para configurar una lista negra:
2. En la tabla, haga clic en el recién creado HTTP ALG para ver sus propiedades
3. Haga clic en el URL HTTPlengüeta
321
6.3.4. Dinámica Filtrado de Contenido Web Capítulo 6. Mecanismos de seguridad
4. Ahora haga clic Añadiry seleccione URL HTTP ALGen el menú
5. Seleccionar Lista negracomo el Acción
6. Introduzca * / *. exe en el URL caja de texto
Por último, hacer una excepción de la lista negra mediante la creación de una lista blanca:
2. En la tabla, haga clic en el recién creado HTTP ALG para ver sus propiedades
3. Haga clic en el URL HTTPlengüeta
4. Ahora haga clic Añadiry seleccione URL HTTP ALGen el menú
5. Seleccionar Lista blancacomo el Acción
6. En el URL cuadro de texto, introduzca www.D-Link.com/*.exe
Simplemente seguir añadiendo listas negras y blancas específicos hasta que el filtro satisface las necesidades.
6.3.4. Dinámica Filtrado de Contenido Web
6.3.4.1. Visión de conjunto
Dinámica Filtrado de Contenido Web WCF)

Como parte de los protocolos HTTP ALG, NetDefendOS soportes ( de tráfico web, que permite a un
administrador para permitir o bloquear el acceso a páginas web basadas en el contenido de dichas páginas web.
Bases de datos de WCF dinámicos
NetDefendOS dinámica de WCF permite que la página web de bloqueo a ser automatizado por lo que no es necesario especificar manualmente de
antemano qué direcciones URL para bloquear o permitir. En lugar de ello, D-Link mantiene una infraestructura global de bases de datos que contienen
un gran número de direcciones URL de sitios web actuales que ya están clasificados y agrupados en una variedad de categorías tales como ir de
compras, noticias, deportes, orientado a los adultos y así sucesivamente.
Las bases de datos de URL dinámico WCF se actualizan casi a cada hora con nuevos, URLs categorizadas mientras que al mismo tiempo
mayores, las direcciones URL no válidas se dejan caer. El alcance de las URLs de las bases de datos es global, que abarca los sitios web en
muchos idiomas diferentes y alojados en servidores ubicados en diferentes países.
Flujo de procesamiento de WCF
Cuando un usuario de un navegador web solicita acceso a un sitio web, NetDefendOS consulta las bases de datos dinámicas WCF con el fin
de recuperar la categoría del sitio solicitado. El acceso a la URL a continuación, puede ser permitido o denegado en base a la política de
filtrado que el administrador ha puesto en marcha para esa categoría.
Si se deniega el acceso, una página web se presenta al usuario que explica que el sitio solicitado ha sido bloqueado. Para que el proceso de consulta
lo más rápido posible NetDefendOS mantiene una caché local en memoria de las direcciones URL se ha accedido recientemente. El almacenamiento
en caché puede ser altamente eficiente, ya que una determinada comunidad de usuarios, como por ejemplo un grupo de estudiantes universitarios, a
menudo se encuentre navegando a una gama limitada de sitios web.
322
Figura 6.8. Flujo de filtrado de contenido dinámico
Si la URL de la página web solicitada no está presente en las bases de datos, entonces el contenido de páginas web en la URL se
descargará automáticamente al almacén central de datos de D-Link y analizada de forma automática utilizando una combinación de
técnicas de software. Una vez clasificadas, la URL se distribuye a las bases de datos globales y NetDefendOS recibe la categoría de la
URL. Por lo tanto, dinámico WCF requiere un mínimo de esfuerzo de administración.
Nota: Las nuevas presentaciones de URL se llevan a cabo de forma anónima
Nuevas direcciones URL, no categorizados enviados a la red D-Link se tratan como envíos anónimos y ningún registro
de la fuente de nuevas presentaciones se mantiene.
Páginas categorizar y no los sitios
filtrado dinámico NetDefendOS clasifica las páginas web y no son los Sitios. En otras palabras, un sitio web puede contener determinadas
páginas que deberían ser bloqueados sin bloquear todo el sitio. NetDefendOS proporciona un bloqueo a nivel de página para que los usuarios
todavía pueden acceder a partes de los sitios web que no están bloqueados por la política de filtrado.
WCF y listas blancas

Si está en la lista blanca de una URL en particular, entonces se pasará por alto el subsistema de WCF. Sin clasificación se hará sobre la URL y
que siempre estará permitido. Esto se aplica si la URL tiene una coincidencia exacta con una entrada en la lista blanca o si coincide con una
entrada que hace uso de comodines.
6.3.4.2. Configuración de WCF
Activación
323
Filtrado de contenido dinámico es una característica que se habilita mediante la suscripción de una suscripción por separado al servicio. Esta es una
adición a la licencia NetDefendOS normales.
Una vez que una suscripción se saca, una puerta de enlace (ALG) Objeto de capa de aplicación HTTP debe definirse con Dynamic filtrado
de contenido permitido. Este objeto se asocia entonces con un objeto de servicio y el objeto de servicio se asocia entonces con una norma
de la norma IP establecida para determinar qué tráfico debe estar sujeto a la filtración. Esto hace posible la creación de una política de
filtrado detallado basado en los parámetros de filtrado que se utilizan para las reglas en el conjunto de reglas IP.
Consejo: El uso de un calendario
Si el administrador desea que la política de filtrado de contenidos para variar dependiendo de la hora del día,
pueden hacer uso de un objeto Programación asociada con la regla IP correspondiente. Para obtener más
información, consulte la Sección 3.7, “Horarios”.
De ajuste del modo de fallo
Existe la opción de configurar el ALG HTTP modo a prueba de la misma manera que se puede ajustar para algunos otros ALG y se aplica a WCF
igual que lo hace a funciones tales como el análisis antivirus. El ajuste del modo de falla determina lo que sucede cuando el filtrado de contenido
dinámico no puede funcionar y, por lo general, esto se debe a NetDefendOS es incapaz de llegar a las bases de datos externas para llevar a cabo
operaciones de búsqueda URL. Fallar modo puede tener uno de dos valores:
• Denegar -Si WCF es incapaz de funcionar las URL se les niega el acceso si la base de datos externa para verificar que no es posible. El
usuario verá un "acceso denegado" página web.
• Permitir -Si la base de datos de WCF externa no es accesible, las direcciones URL se permite a pesar de que podrían denegarse si las
bases de datos de WCF eran accesibles.
Ejemplo 6.15. Activación dinámica filtrado de contenido Web
Este ejemplo muestra cómo configurar una política de filtrado de contenido dinámico para el tráfico HTTP desde
intneta todos-NET.La política se puede configurar para
bloquear todos los sitios de búsqueda, y este ejemplo se supone que el sistema está utilizando un único
NAT
gobernar para el tráfico HTTP desde intneta todos-NET.
En primer lugar, crear un Objeto Gateway (ALG) Capa de aplicación HTTP:

WebContentFilteringMode = Habilitado
FilteringCategories = SEARCH_SITES
A continuación, cree un objeto de servicio usando la nueva ALG HTTP:
GW-mundo: /> añadir ServiceTCPUDP http_content_filtering Tipo = TCP

DestinationPorts = 80 ALG =
content_filtering
Por último, modificar elNAT gobernar a utilizar el nuevo servicio. regla de suponer se llamaNATHttp:
GW-mundo: /> establecer iprule NATHttp Servicio = http_content_filtering
Interfaz web
2. Especificar un nombre adecuado para el ALG, por ejemplocontent_filtering
3. Haga clic en el Filtrado de Contenido Web

lengüeta
324
4. Seleccionar Activadoen el Modo lista
5. En el Categorías bloqueados
lista, seleccione Los sitios de búsqueda
y haga clic en el botón >>.
A continuación, cree un objeto de servicio usando la nueva ALG HTTP:
1. Ir a: Objetos Locales> Servicios> Añadir> TCP / UDP servicio
2. Especificar un nombre adecuado para el Servicio, por ejemplo,h ttp_content_filtering
3. Seleccione el TCP en el Tipo la lista desplegable
4. Introduzca 80 en el Puerto de destino

caja de texto
5. Seleccione el HTTP ALG acaba de crear en el

ALG lista
Por último, modificar el NAT gobernar a utilizar el nuevo servicio:
1. Ir a: Reglas> Reglas IP
2. Seleccione el NAT descartar el manejo del tráfico HTTP
3. Seleccione el Serviciolengüeta
4. Seleccione el nuevo servicio, http_content_filtering,

en el predefinida Serviciolista
filtrado de contenido dinámico está ahora activado para todo el tráfico web desde Lanneta todos-NET.
Podemos validar la funcionalidad con los siguientes pasos:
1. En una estación de trabajo en la Lannetred, lanzar un navegador web estándar.
2. Trate de navegar a un sitio de búsqueda. Por ejemplo, www.google.com.
3. Si todo está configurado correctamente, el navegador web presentará una página web que informa al usuario de que el sitio solicitado está
bloqueado.
Modo de auditoría
En Modo de auditoría,el sistema clasificar y registrar toda la surfear acuerdo con la política de filtrado de contenidos, pero los sitios web restringidos
todavía será accesible a los usuarios. Esto significa que la función de filtrado de contenido de NetDefendOS entonces se puede utilizar como una
herramienta de análisis para el análisis de lo categorías de sitios web se accede por una comunidad de usuarios y con qué frecuencia.
Después de ejecutar en modo auditoría para un cierto período de tiempo, es más fácil para luego tener una mejor comprensión del comportamiento de
navegación de los diferentes grupos de usuarios y también para comprender mejor el impacto potencial de activar la función de WCF.
Poco a poco la introducción de bloqueo
El bloqueo de sitios web pueden molestar a los usuarios si se introduce de repente. Por tanto, se recomienda que el administrador introduce
gradualmente el bloqueo de determinadas categorías de una en una. Esto da tiempo a los usuarios individuales para acostumbrarse a la idea
de que existe bloqueo y podría evitar cualquier reacción adversa que pudiera ocurrir si demasiado se bloquea a la vez. introducción gradual
también hace que sea más fácil para evaluar si se están cumpliendo los objetivos de bloqueo de sitios.
325
Este mecanismo puede ser activado en un nivel por ALG-HTTP, lo que significa que el administrador puede habilitar esta funcionalidad para los
usuarios regulares o sólo para un grupo de usuarios seleccionado.
Si reclasificación está habilitado y un usuario solicita una página web que está anulado, la página web de bloque incluirá una lista desplegable
que contiene todas las categorías disponibles. Si el usuario cree que el sitio web solicitada se clasifica erróneamente, se puede seleccionar una
categoría más apropiada de la lista desplegable, y lo presentarán como una propuesta.
La URL de la página web solicitada, así como la categoría propuesta serán enviadas al almacén de datos central de D-Link para la
inspección manual. Que la inspección puede resultar en el sitio web que se está reclasificado, ya sea de acuerdo a la categoría
propuesta oa una categoría que se siente ser correcta.
Ejemplo 6.17. La reclasificación de un sitio bloqueado
Este ejemplo muestra cómo un usuario puede proponer una reclasificación de un sitio web, si él cree que se clasifica erróneamente. Este mecanismo se
activa por cada nivel por HTTP ALG.


WebContentFilteringMode = Habilitar
FilteringCategories = SEARCH_SITES
AllowReclassification = Sí
A continuación, seguir configurando el objeto de servicio y modificación de laNAT gobernar como lo hemos hecho en los ejemplos anteriores.
Interfaz web
2. Especificar un nombre adecuado para el ALG, por ejemplocontent_filtering
3. Haga clic en el Filtrado de Contenido Web

lengüeta
4. Seleccionar Activadoen el Modo lista
5. En el Categorías bloqueados
lista, seleccione Los sitios de búsqueda
y haga clic en el botón >>
6. Comprobar la Permitir Reclasificación

controlar
A continuación, seguir configurando el objeto de servicio y modificación de laNAT gobernar como lo hemos hecho en los ejemplos anteriores.
filtrado de contenido dinámico está ahora activado para todo el tráfico web desdeLanneta todas las redes dey el usuario es capaz de proponer la reclasificación de
sitios bloqueados. Validar la funcionalidad siguiendo estos pasos:
1. En una estación de trabajo en la Lannetred, lanzar un navegador web estándar.
2. Trate de navegar a un sitio de búsqueda, por ejemplo,w ww.google.com.
3. Si todo está configurado correctamente, el navegador web presentará una página de bloqueo, donde se incluye una lista desplegable que contiene todas las
categorías disponibles.
4. El usuario es ahora capaz de seleccionar una categoría más adecuada y proponer una reclasificación.
6.3.4.3. Filtrado de contenidos Categorías
En esta sección se enumeran todas las categorías utilizadas con filtrado de contenido dinámico y describe el propósito de cada categoría.
327
Categoría 1: Contenido para adultos
Un sitio web puede ser clasificado en la categoría de contenido para adultos si su contenido incluye la descripción o representación de actos
eróticos o sexuales o material de orientación sexual como la pornografía. Las excepciones a esto son los sitios web que contienen información
relacionada con la sexualidad y la salud sexual, que pueden clasificarse en los sitios de salud Categoría (21). Algunos ejemplos pueden ser:
• www.naughtychix.com
• www.fullonxxx.com
Categoría 2: Noticias
Un sitio web puede ser clasificado en l a categoría de Noticias si su contenido incluye artículos de información sobre los acontecimientos recientes
relacionados con los temas que rodean una localidad (por ejemplo, pueblo, ciudad o nación) o la cultura, incluyendo la información de predicción
meteorológica. Normalmente, esto incluiría la mayoría en tiempo r eal las publicaciones de noticias en línea y la tecnología o revistas comerciales. Esto
no incluye las cotizaciones financieras, se refieren a la categoría Sitios de inversión (11), o los deportes, se refieren a la categoría de Deportes (16).
Algunos ejemplos pueden ser:
• www.newsunlimited.com
• www.dailyscoop.com
Categoría 3: Búsqueda de trabajo
Un sitio web puede ser clasificado en la categoría de búsqueda de empleo si su contenido incluye instalaciones para buscar o presentar solicitudes
de empleo en línea. Esto también incluye reanudar la escritura y la publicación y entrevistas, así como servicios de contratación y formación del
personal. Algunos ejemplos pueden ser:
• www.allthejobs.com
• www.yourcareer.com
Categoría 4: Juegos de azar
Un sitio web puede ser clasificado en la categoría de juegos de azar si su contenido incluye la publicidad o promoción de, o instalaciones
que permitan la participar de cualquier forma de juego; Por dinero o de otra manera. Esto incluye los juegos en línea, las probabilidades
de apuestas y sitios web de lotería. Esto no incluye los juegos tradicionales o computadora basados; se refieren a la categoría Juegos
Sitios (10). Algunos ejemplos pueden ser:
• www.blackjackspot.com
• www.pickapony.net
Categoría 5: Viaje / Turismo
Un sitio web puede ser clasificado en la categoría / Viajes Turismo si su contenido incluye información relacionada con las
actividades de viaje que incluye viajes de recreo y de reservas de viajes. Algunos ejemplos pueden ser:
• www.flythere.nu
328
• www.reallycheaptix.com.au
Categoría 6: El hacer compras
Un sitio web puede ser clasificado en la categoría de compras si su contenido incluye cualquier forma de publicidad de mercancías o servicios a
ser canjeados por dinero, y también puede incluir las instalaciones para llevar a cabo la transacción en línea. Se incluyen en esta categoría son
las promociones de mercado, catálogo de venta y servicios de comercialización. Algunos ejemplos pueden ser:
• www.megamall.com
• www.buy-alcohol.se
Categoría 7: Entretenimiento
Un sitio web puede ser clasificado en la categoría de entretenimiento si su contenido incluye cualquier forma general de entretenimiento que no está
cubierto específicamente en otra categoría. Algunos ejemplos de esto son los sitios de música, películas, aficiones, intereses especiales, y clubes
de fans. Esta categoría también incluye páginas web personales, tales como los proporcionados por los ISP. Las siguientes categorías cubren más
específicamente diversos tipos de contenido de entretenimiento, pornografía / Sexo (1), Juegos de azar (4), salas de chat (8), sitios de juegos (10),
Deportes (16), Clubes y Sociedades (22) y descargas de música (23 ). Algunos ejemplos pueden ser:
• www.celebnews.com
• www.hollywoodlatest.com
Categoría 8: salas de chat

Un sitio web puede ser clasificado en l a categoría de salas de chat si su contenido se centra en o incluye en tiempo real en línea de grupos de
discusión interactivos. Esto también incluye los tablones de anuncios, tablones de anuncios, foros en línea, grupos de discusión, así como las
direcciones URL para descargar el software de chat. Algunos ejemplos pueden ser:
• www.thetalkroom.org
• chat.yazoo.com
Categoría 9: sitios de citas
Un sitio web puede ser clasificado en la categoría de sitios de citas si su contenido incluye instalaciones para presentar y revisar los anuncios
personales, organizar reuniones románticas con otras personas, novia por correo / introducciones cónyuge extranjero y los servicios de escolta.
• adultmatefinder.com
• www.marriagenow.com
Categoría 10: sitios de juegos
Un sitio web puede ser clasificado en la categoría de sitios del juego si su contenido se centra en o incluye la revisión de los juegos, basada
tradicional o computadora, o incorpora las instalaciones para la descarga de juegos de ordenador relacionado con el software, o jugar o
participar en juegos en línea. Algunos ejemplos pueden ser:
329
• www.gamesunlimited.com
• www.gameplace.com
Categoría 11: Sitios de inversión
Un sitio web puede ser clasificado en la categoría Sitios de inversión si su contenido incluye información, servicios o instalaciones
relacionadas con la inversión personal. URL en esta categoría incluyen contenidos como servicios de corretaje, la configuración de la
cartera en línea, foros de manejo de dinero o las cotizaciones de bolsa. Esta categoría no incluye los centros de banca electrónica; se
refieren a la categoría E-Banking (12). Algunos ejemplos pueden ser:
• www.loadsofmoney.com.au
• www.putsandcalls.com
Categoría 12: E-Banking
Un sitio web puede ser clasificado en la categoría E-Banking si su contenido incluye información o los servicios de banca electrónica. Esta
categoría no incluye contenidos relacionados con la inversión; se refieren a la categoría Sitios de inversión (11). Algunos ejemplos pueden
ser:
• www.nateast.co.uk
• www.borganfanley.com
Categoría 13: Crimen / Terrorismo

Un sitio web puede ser clasificado en la categoría Crimen / Terrorismo si su contenido incluye la descripción, la promoción o la
instrucción en actividades criminales o terroristas, culturas u opiniones. Algunos ejemplos pueden ser:
• www.beatthecrook.com
Categoría 14: Creencias Personales / Cultos
Un sitio web puede clasificarse dentro de las Creencias Personales / Cultos categoría si su contenido incluye la descripción o representación
de, o instrucción en, sistemas de creencias y prácticas religiosas. Algunos ejemplos pueden ser:
• www.paganfed.demon.co.uk
• www.cultdeadcrow.com
Categoría 15: Política
Un sitio web puede ser clasificado en la categoría Política si su contenido incluye información u opiniones de carácter político,
la información electoral y que incluye grupos de discusión política. Algunos ejemplos pueden ser:
• www.democrats.org.au
330
• www.political.com
Categoría 16: Deportes
Un sitio web puede ser clasificado en la categoría de deportes si su contenido incluye información o instrucciones relativas a los deportes
recreativos o profesionales, o comentarios en los eventos deportivos y los resultados deportivos. Algunos ejemplos pueden ser:
• www.sportstoday.com
• www.soccerball.com
Categoría 17: Sitios www-Email
Un sitio web puede ser clasificado en l a categoría www-Email Sitios si su contenido incluye servicios de correo electrónico en línea, basados en la web.
• www.coldmail.com
• mail.yazoo.com
Categoría 18: Violencia / indeseable
Un sitio web puede ser clasificado en la categoría de violencia / no deseados si su contenido es extremadamente violenta o horrible en la
naturaleza. Esto incluye la promoción, descripción o representación de los actos violentos, así como los sitios web que tienen contenido no
deseado y no podrán ser clasificados en otro lugar. Algunos ejemplos pueden ser:
• www.itstinks.com
• www.ratemywaste.com
Categoría 19: malicioso
Un sitio web puede ser clasificado en la categoría malicioso si su contenido es capaz de causar daño a un entorno de ordenador o
computadora, incluyendo el consumo de ancho de banda de red malicioso. Esta categoría también incluye las direcciones URL "phishing"
que lo ha diseñado para capturar los detalles secretos de autenticación de usuario, haciéndose pasar por una organización legítima.
• hastalavista.baby.nu
Categoría 20: Sitios de Búsqueda
Un sitio web puede ser clasificado en la categoría de sitios de búsqueda si su objetivo principal es proporcionar servicios de búsqueda de Internet
en línea. Consulte la sección de categorías únicas en el inicio de este documento. Algunos ejemplos pueden ser:
• www.zoogle.com
• www.yazoo.com
331
Categoría 21: Sitios de salud
Un sitio web puede ser clasificado en la categoría Sitios de salud si su contenido incluye información o servicios relacionados con la salud,
incluida la sexualidad y la salud sexual, así como grupos de apoyo, el hospital y la información quirúrgica y revistas médicas. Algunos
ejemplos pueden ser:
• www.thehealthzone.com
• www.safedrugs.com
Categoría 22: Clubes y Sociedades
Un sitio web puede ser clasificado en la categoría Clubes y Sociedades si su contenido incluye información o servicios de relación con
un club o sociedad. Esto incluye equipo de conferencias o sitios web. Algunos ejemplos pueden ser:
• www.sierra.org
• www.walkingclub.org
Categoría 23: descargas de música
Un sitio web puede ser clasificado en la categoría de descargas de música si se ofrece la descarga de música en línea, cargar y compartir
instalaciones, así como la transmisión de audio de alto ancho de banda. Algunos ejemplos pueden ser:
• www.onlymp3s.com
• www.mp3space.com
Categoría 24: Orientado a Negocios
Un sitio web puede ser clasificado en la categoría de negocios orientada a si su contenido es relevante para los negocios generales del día a
día o buen funcionamiento de Internet, por ejemplo, las actualizaciones del navegador Web. El ac ceso a los sitios web en esta categoría sería
en la mayoría de los casos no se considera improductivas o inapropiada.
Categoría 25: Lista de bloqueo Gobierno
Esta categoría está poblada por los URL especificados por una agencia gubernamental, y contiene las direcciones URL que se consideran no aptos
para ser vistos por el público en general a través de su naturaleza muy extremo. Algunos ejemplos pueden ser:
• www.verynastystuff.com
• www.unpleasantvids.com
Categoría 26: Educación
Un sitio web clasificado en la categoría de Educación puede pertenecer a otras categorías, pero tiene contenido que se relaciona con los
servicios educativos o se haya considerado de valor educativo, o para ser un recurso educativo, por las organizaciones educativas. Esta
categoría está poblada por solicitud o presentación de
332
diversas organizaciones educativas. Algunos ejemplos pueden ser:
• highschoolessays.org
• www.learn-at-home.com
Categoría 27: Publicidad
Un sitio web puede ser clasificado en la categoría de publicidad si su foco principal incluye el suministro de información o servicios relacionados con
la publicidad. Algunos ejemplos pueden ser:
• www.admessages.com
• www.tripleclick.com
Categoría 28: Las drogas / alcohol
Un sitio web puede ser clasificado en la categoría de Drogas / Alcohol si su contenido incluye drogas y alcohol información o servicios
relacionados. Algunas URLs categorizadas bajo esta categoría también pueden clasificarse en la categoría de Salud. Algunos ejemplos
pueden ser:
• www.the-cocktail-guide.com
• www.stiffdrinks.com
Categoría 29: Informática / TI
Un sitio web puede ser clasificado en la categoría / IT Informática si su contenido incluye el cálculo de información o servicios relacionados.
• www.purplehat.com
• www.gnu.org
Categoría 30: traje de baño / de la ropa interior / Modelos
Un sitio web puede ser c lasificado en la categoría / Lencería / Modelos traje de baño si su contenido incluye información relacionada con o
imágenes de trajes de baño, lencería o modelos generales de moda. Algunos ejemplos pueden ser:
• www.vickys-secret.com
• sportspictured.cnn.com/features/2002/swimsuit
Categoría 31: Spam
Un sitio web puede ser clasificado en l a categoría de spam, si se comprueba que deben figurar en granel o de spam correos electrónicos. Algunos
ejemplos pueden ser:
• kaqsovdij.gjibhgk.info
• www.pleaseupdateyourdetails.com
333
Categoría 32: Non-Managed
sitios no clasificados y sitios que no encajan en una de las otras categorías serán colocados en esta categoría. Es inusual para bloquear esta
categoría ya que esto podría resultar en URL más inofensivos siendo bloqueados.
6.3.4.4. Personalización de WCF páginas HTML
El Filtrado (WCF) característica del HTTP ALG contenido Web hace uso de un conjunto de archivos HTML para presentar información al usuario
whencertain se producen condiciones tales como intentar acceder a un sitio bloqueado. Estas páginas web son también conocidos como HTTP
Archivos Banner y se almacenan dentro de NetDefendOS pero puede ser personalizado para adaptarse a las necesidades de una instalación
particular. WebUI ofrece una forma sencilla de descargar, editar y subir estos archivos.
Nota
Los archivos de banner relacionados con reglas de autenticación y autenticación web son un tema aparte y se discuten
en la Sección 8.3, “Personalización de a utenticación HTML de páginas”.
Archivos disponibles Banner
Los archivos predefinidos de banner HTML ALG para WCF son:
• CompressionForbidden
• ContentForbidden
• URLForbidden
• RestrictedSiteNotice
• ReclassifyURL
Parámetros página HTML
Las páginas HTML contienen una serie de parámetros que pueden ser utilizados según sea necesario. Los parámetros disponibles son los siguientes:
• % URL% - La URL que fue solicitado
• % IPADDR% -La dirección IP que está siendo navegado desde
• %% RAZÓN -La razón por la que el acceso fue denegado
Personalización de los archivos Banner
Para llevar a cabo la personalización es necesario crear primero una nueva, llamadaALG Archivos Bannerobjeto. Este nuevo objeto
contiene automáticamente una copia de todos los archivos de laDefecto ALG objeto Banner archivos. Estos nuevos archivos pueden ser
editados y subido de nuevo a NetDefendOS. El srcinal Defecto

objeto no puede editarse. El siguiente ejemplo va a través de los pasos necesarios.
Ejemplo 6.18. Edición de filtrado de contenido HTTP Archivos Banner
Este ejemplo muestra cómo modificar el contenido de la URL prohibidopágina HTML.
Interfaz web
334
1. Ir a: Objetos> HTTP archivos Banner> Añadir> ALG Banner Archivos
2. Introduzca un nombre como new_forbiddeny pulse DE ACUERDO
3. Aparecerá el diálogo para el nuevo conjunto de archivos de banner ALG
4. Haga clic en el Editar y ficha de vista previa
5. Seleccionar URLForbiddendesde el Páginalista
6. Ahora editar el código HTML que aparece en el cuadro de texto de la página URL Prohibida
7. uso Avancepara comprobar el diseño, si es necesario
8. Prensa Salvarpara guardar los cambios

9. Haga clic DE ACUERDOpara salir de la edición
10. Ir a: Autenticación de usuario> Reglas de autenticación de usuario
11. Seleccione el ALG HTML correspondiente y haga clic en el Opciones de agente

lengüeta
12. Establecer laBanderas HTTPopción esté new_forbidden
14. Ir a: Configuración> Guardar y Activar

para activar el nuevo archivo
15. Prensa Salvary haga clic DE ACUERDO
El nuevo archivo se cargará en NetDefendOS
Tip: Cómo guardar los cambios
En el ejemplo anterior, más de un archivo HTML se pueden editar en una sesión, pero el
Salvar se debe presionar el botón para guardar todos los cambios antes de comenzar a editar otro archivo.
Subir con SCP
Es posible subir archivos nuevos Banner HTTP utilizando SCP. Los pasos para hacer esto son:
1. Desde SCP no se puede utilizar para descargar el código HTML srcinal por defecto, el código fuente se debe copiar en primer lugar de la
WebUI y pegar en un archivo de texto local que se edita a continuación, utilizando un editor apropiado.
2. Un nuevo ALG Archivos Banner objeto debe existir el cual el archivo (s) editado subido a. Si el
objeto se llama myTxt, el comando CLI para crear este objeto es:
GW-mundo: /> añadir HTTPALGBanners myTxt
Esto crea un objeto que contiene una copia de toda la Defecto Archivos de contenido de banner de filtrado.
3. El archivo modificado se carga a continuación, utilizando SCP. Se cargan en el tipo de objeto

HTTPALGBanner y el objeto myTxt con el nombre de propiedadURLForbidden. Si el editada
URLForbidden archivo local se llama my.html a continuación, utilizando el cliente SSH abierto SCP, el comando de carga sería:
SCP myhtml admin@10.5.62.11: HTTPAuthBanners / myTxt / URLForbidden
El uso de los clientes de CPS se explica más adelante en Sección 2.1.6, “Secure Copy”.
4. Uso de la CLI, el correspondiente HTTP ALG ahora debe estar configurada para utilizar el myTxt archivos de banner. Si el
ALG nosotros llamamosmy_http_alg, el comando sería:
335
establecer ALG_HTTP my_http_alg HTTPBanners = myTxt
5. Como es habitual, la activar Seguido por el cometer comandos de la CLI se deben utilizar para activar el
cambios en la NetDefend cortafuegos.
336
6.4. Scanning Anti-Virus Capítulo 6. Mecanismos de seguridad
6.4. Scanning Anti-Virus

El módulo NetDefendOS Anti-Virus protege contra código malicioso realizado en descargas de archivos. Los archivos pueden ser descargados como
parte de una página web en una transferencia HTTP, en una descarga FTP, o tal vez como un archivo adjunto a un correo electrónico entregado a
través de SMTP. El código malicioso en este tipo de descargas puede tener diferentes intenciones que van desde programas que sólo causan
molestias a los objetivos más siniestros como el envío de vuelta contraseñas, números de tarjetas de crédito y otra información sensible. El término
"virus" se puede utilizar como una descripción genérica para todas las formas de código malicioso realizadas en los archivos.
Combinando con Client Anti-Virus Scanning
A diferencia de los desplazados internos, que se dirige principalmente a los ataques contra servidores, análisis antivirus se centra en las descargas
de los clientes. NetDefendOS Anti-Virus está diseñado para ser un complemento de la exploración antivirus estándar normalmente llevadas a cabo a
nivel local por software especializado instalado en los equipos cliente. IDP no pretende ser un sustituto completo para la exploración local, si no más
bien como un escudo adicional para impulsar la protección del cliente. Lo más importante es que puede actuar como un respaldo para cuando el
análisis antivirus cliente local no está disponible.
Activación A través de ALG
NetDefendOS Anti-Virus está habilitado en una base por ALG. Está disponible para la descarga de archivos asociados a
los siguientes ALG y se habilita en los propios ALG:
• La ALG HTTP
• El FTP ALG
• El POP3 ALG
• El SMTP ALG
6.4.2. Implementación
Transmisión
Como la transferencia de archivos se transmite a través de la NetDefend Firewall, NetDefendOS analizará el flujo de datos para detectar
la presencia de virus si el módulo Anti-Virus está habilitada. Dado que los archivos están siendo escuchados y no ser leídos por completo
en la memoria, se requiere una cantidad mínima de memoria y hay un efecto mínimo en el rendimiento global.
La coincidencia de patrones
El proceso de inspección se basa en la coincidencia de patrones contra una base de datos de patrones de virus conocidos y pueden determinar,
con un alto grado de certeza, si un virus se encuentra en proceso de ser descargado a un usuario detrás de la NetDefend Firewall. U na vez que
un virus se reconoce en el contenido de un archivo, la descarga puede ser terminado antes de que se complete.
Tipos de descargas de archivos analizados
Como se describió anteriormente, el análisis antivirus está habilitado en una base por ALG y puede escanear las descargas de archivos asociados con
los protocolos HTTP, FTP, SMTP y POP3 ALG. Más específicamente:
337
6.4.3. Activación Anti-Virus Scanning Capítulo 6. Mecanismos de seguridad
• Cualquier tipo de archivo sin comprimir transferido a través de estos ALG puede ser escaneado.
• Si la descarga se ha comprimido, descargas de archivos ZIP y GZIP se pueden escanear. El administrador tiene la opción de dejar siempre
archivos específicos, así como la opción de especificar un límite de tamaño de archivos escaneados. Si no se especifica un límite de tamaño, entonces
no hay límite superior predeterminado en tamaños de archivo.
Las exploraciones simultáneas
No hay un límite fijo de la cantidad de escaneos de antivirus pueden tener lugar simultáneamente en una sola NetDefend Firewall. Sin
embargo, la memoria libre disponible se puede poner un límite en el número de exploraciones simultáneas que se pueden iniciar.
el comportamiento específico de protocolo
Desde exploración Anti-Virus se implementa a través de unaApplication Gateway Nivel (ALG), características específicas del protocolo se
implementa en NetDefendOS. Con FTP, por ejemplo, la exploración es consciente de los canales de control y transferencia de datos duales
que se abren y se puede enviar una solicitud a través de la conexión de control para detener una descarga si se detecta un virus en la
descarga.
Relación con IDP
Una pregunta que a menudo se plantea es el "orden" de la exploración antivirus en relación con la exploración IDP. De hecho, el concepto
de ordenación no es relevante ya que los dos procesos de exploración pueden ocurrir simultáneamente y operar a diferentes niveles de
protocolo.
Si se habilita IDP, que escanea todos los paquetes designados por regla general IDP definido y no toma nota de protocolos de alto nivel,
tales como HTTP, que generan los flujos de paquetes. Sin embargo, anti-virus es consciente del protocolo de nivel superior y sólo se basa
en los datos involucrados en la transferencia de archivos. Análisis antivirus es una función que pertenece, por lo tanto, lógicamente, en un
ALG, mientras que IDP no pertenece allí.
6.4.3. Activación Anti-Virus Scanning
Asociación con un ALG
La activación de la exploración Anti-Virus se logra a través de un ALG asociado con el protocolo orientado. Un objeto ALG
debe existir primero con la opción Anti-Virus habilitado. Como siempre, un ALG entonces debe estar asociado con un objeto
de servicio adecuado para el protocolo que va a escanear. El objeto de servicio se asocia entonces con una regla en el
conjunto de reglas IP que define el srcen y el destino del tráfico a la que la ALG se va a aplicar.
Creación de Políticas Anti-Virus
Puesto que las reglas de conjuntos de reglas IP son los medios por los cuales se implementa la función Anti-Virus, el despliegue puede política
ser
basada. normas IP pueden especificar que la ALG y su análisis anti-virus asociado pueden aplicarse a tráfico que va en una dirección dada y entre
las direcciones y / o redes IP de srcen y de destino específicas. La programación también se puede aplicar a la detección de virus para que se
lleva a cabo sólo en momentos específicos.
6.4.4. La base de firmas
SafeStream
338
6.4.5. La suscripción al Servicio Capítulo 6. Mecanismos de seguridad
Anti-Virus D-Link
NetDefendOS análisis antivirus se implementa por D-Link utilizando el "SafeStream" base de datos de firmas de virus. se crea la base
de datos SafeStream y mantenido por Kaspersky, una empresa que es líder mundial en el campo de la detección de virus. La base de
datos ofrece protección contra amenazas de virus prácticamente todos conocidos, incluyendo troyanos, gusanos, exploits de puerta
trasera y otros. La base de datos también se prueba a fondo para proporcionar cerca de cero falsos positivos.
Actualizaciones de la base de datos
La base de datos se actualiza SafeStream diariamente con nuevas firmas de virus. firmas mayores rara vez se retiraron pero en cambio
se sustituyen con las firmas más genéricos que cubren varios virus. Los locales NetDefendOS copia de la base de datos SafeStream por
lo tanto, debe actualizarse con regularidad y este servicio de actualización está habilitado como parte de la suscripción de la suscripción
Anti-Virus de D-Link.
6.4.5. La suscripción al Servicio Anti-Virus D-Link

La función Anti-Virus D-Link se compra como un componente adicional a la licencia base de D-Link y se compra en la forma de una
suscripción renovable. Una suscripción Anti-Virus incluye la actualización periódica de la base de datos de Kaspersky SafeStream
durante el periodo de suscripción con las firmas de las últimas amenazas de virus.
6.4.6. Opciones de Anti-Virus

Al configurar la exploración Anti-Virus en un ALG, los siguientes parámetros se pueden ajustar:
1. Opciones Generales
Modo Este debe ser uno de:
yo. Discapacitado -Anti-Virus está apagado.
ii. auditoría -La exploración es activo, pero el registro es la única acción.
Iii. proteger -Anti-Virus está activo. archivos sospechosos y se dejan caer

iniciado sesión.
comportamiento modo a prueba Si un análisis de virus falla por cualquier razón, entonces la transferencia se puede caer o se deja,
con el evento que se está registrando. Si esta opción se establece enPermitir a continuación, una
condición como la base de datos de virus no estar disponibles o la licencia actual no es válida no
hará que los archivos que se retiren. En su lugar, se les permitirá a través de un mensaje de
registro y se generarán para indicar ha producido un fallo.
2. Opción de escaneo Excluir
Ciertos tipos de archivos pueden ser excluidos expresamente de detección de virus, si eso es deseable. Esto puede aumentar el rendimiento
global si un tipo de archivo excluido es un tipo que comúnmente se encuentra en un escenario particular, tales como archivos de imagen en
descargas HTTP.
NetDefendOS realiza la comprobación de contenido MIME en todos los tipos de archivos que figuran en el Apéndice C, tipos de archivos Verified MIME establecer
cierto tipo de archivo del archivo y luego buscar ese tipo de archivo en la lista de excluidos. Si el tipo de archivo no puede establecerse a partir de su
contenido (y esto puede ocurrir con tipos de archivos no especificados en Apéndice C, tipos de archivos Verified MIME) a continuación, el tipo de archivo
en el nombre del ar chivo se utiliza cuando la lista de excluidos se comprueba.
3. Compresión límite Ratio
339
6.4.6. Opciones de Anti-Virus Capítulo 6. Mecanismos de seguridad
Al escanear archivos comprimidos, NetDefendOS debe aplicar la descompresión para examinar el contenido del archivo. Algunos tipos de datos
pueden resultar en relaciones de compresión muy altas donde el archivo comprimido es una pequeña fracción del tamaño del archivo srcinal sin
comprimir. Esto puede significar que podría tener que ser descomprimido en un archivo mucho más grande que se puede colocar una carga excesiva
sobre los recursos y NetDefendOS notablemente el rendimiento desaceleración comparativamente pequeño archivo adjunto comprimido.
Para evitar esta situación, el administrador debe especificar una Índice de compresión límite. Si no se especifica el límite de la ración como 10 entonces
esto va a significar que si el archivo no comprimido es 10 veces más grande que el archivo comprimido, la acción especificada se debe tomar.
La acción puede ser uno de:
• Permitir -El archivo se permite el paso sin detección de virus
• scan -Escanear el archivo en busca de virus como normales
• Soltar -Soltar el archivo
En los tres casos anteriores se registra el evento.
Verificar el tipo MIME
la ALG La integridad del archivo

opciones se pueden utilizar con la exploración antivirus para comprobar que el contenido del archivo coincide con
el tipo MIME que dice ser.
El tipo MIME identifica el tipo de un archivo. Por ejemplo, un archivo puede ser identificado como del tipo. gif
y por lo tanto debe contener datos de imágenes de ese tipo. Algunos virus pueden tratar de ocultar archivos dentro mediante el uso de un tipo de
archivo engañosa. Un archivo puede pretender ser un. gif archivo, pero los datos del archivo no coincidirán patrón de datos de ese tipo, ya que está
infectado con un virus.
Habilitación de esta función se recomienda para asegurarse de que esta forma de ataque no puede permitir que un virus para pasar. Los posibles
tipos MIME que se pueden comprobar se enumeran en Apéndice C, tipos de archivos Verified MIME.
Ajuste de la hora del sistema correcta
Es importante que un NetDefendOS tiene la hora correcta del sistema establecer si la función de actualización automática en el módulo Anti-Virus
puede funcionar correctamente. Una hora incorrecta puede significar la actualización automática está desactivada.
El comando de la consola
GW-mundo: /> updatecenter -status
mostrará el estado actual de la función de actualización automática. Esto también puede hacerse a través de la WebUI.
Actualización en clusters de alta disponibilidad
Actualización de las bases de datos Anti-Virus para ambos los Firewalls NetDefend en un Cluster HA se realiza automáticamente por NetDefendOS.
En un clúster siempre hay una activo unidad y un inactivo unidad. Sólo la unidad activa en el clúster llevará a cabo la comprobación periódica de
nuevas actualizaciones de bases de datos. Si una nueva actualización de base de datos que se disponga de la secuencia de eventos será el
siguiente:
1. La unidad activa determina que hay una nueva actualización y descarga los archivos necesarios para la actualización.
2. La unidad activa lleva a cabo una r econfiguración automática para actualizar su base de datos.
3. Esta reconfiguración provoca una conmutación por error por lo que la unidad pasiva se convierte en l a unidad activa.
4. Cuando se haya completado la actualización, la unidad recientemente activo también descarga los archivos para la actualización y realiza una
reconfiguración.
340
6.5.3. Reglas de desplazados Capítulo 6. Mecanismos de seguridad
Una nueva base de datos de firma actualizada se descarga automáticamente por el sistema NetDefendOS en un intervalo configurable.
Esto se hace a través de una conexión HTTP con el servidor de red D-Link que ofrece las últimas actualizaciones de la base de firmas. Si
la base de firmas del servidor tiene una versión más reciente de la base de datos actual, la nueva base de datos será descargado, en
sustitución de la versión anterior.
Los términos IDP, IPSy IDS
Los términos La detección y prevención de intrusiones ( IDP), Sistema de Prevención de Intrusión ( IDP) y
Sistema de detección de intrusos ( IDS) se utilizan indistintamente en la literatura de D-Link. Todos ellos se refieren a la misma característica, que es
IDP.
Ajuste de la hora del sistema correcta
Es importante que un NetDefendOS tiene la hora correcta del sistema establecer si la función de actualización automática en el módulo de IDP puede
funcionar correctamente. Una hora incorrecta puede significar la actualización automática está desactivada.
El comando de la consola
> updatecenter -status
mostrará el estado actual de la función de actualización automática. Esto también puede hacerse a través de la WebUI.
Actualización en clusters de alta disponibilidad
Actualización de las bases de datos de PDI, tanto para los Firewalls NetDefend en un Cluster HA se realiza automáticamente por NetDefendOS. En
un clúster siempre hay una activo unidad y un inactivo unidad. Sólo la unidad activa en el clúster llevará a cabo la comprobación periódica de
nuevas actualizaciones de bases de datos. Si una nueva actualización de base de datos que se disponga de la secuencia de eventos será el
siguiente:
1. La unidad activa determina que hay una nueva actualización y descarga los archivos necesarios para la actualización.
2. La unidad activa lleva a cabo una r econfiguración automática para actualizar su base de datos.
3. Esta reconfiguración provoca una conmutación por error por lo que la unidad pasiva se convierte en l a unidad activa.
4. Cuando se haya completado la actualización, la unidad recientemente activo también descarga los archivos para la actualización y realiza una
reconfiguración.
5. Esta segunda reconfiguración causa otra conmutación por error por lo que la unidad pasiva vuelve a estar activo de nuevo.
Estos pasos dan como resultado en ambos Firewalls NetDefend en un clúster que tiene bases de datos actualizadas y con los papeles activos / pasivos
srcinales. Para obtener más información acerca de los clústeres de HA consulte Capítulo 11, de alta disponibilidad.
6.5.3. Reglas de desplazados
componentes de reglas
Un Regla IDPdefine qué tipo de tráfico, o servicio, debe ser analizado. Una regla IDP es similar en composición a una regla de IP. Reglas de
desplazados internos están construidos como otras políticas de seguridad en NetDefendOS tales como las normas de PI. Una Regla IDP especifica
una fuente determinada combinación / interfaces de destino / direcciones, además de ser asociados con un objeto de servicio que define las reglas
de PDI que serán utilizados durante el escaneo de tráfico. Un calendario también puede estar asociado con una regla de IDP. Lo más importante,
una regla especifica el IDP Acción para asumir la detección de una intrusión en el destino del tráfico por la regla.
345
6.5.3. Reglas de desplazados Capítulo 6. Mecanismos de seguridad
Selección Firma IDP
Firmas de
Cuando se utiliza la interfaz web, todas las firmas de desplazados internos en la base de firmas locales se muestran en el epígrafe
desplazados internos.
Esto muestra un árbol de dos niveles de todas las firmas en función del grupo. Sin embargo, su propósito es sólo para
referencia y no es posible añadir firmas a través de este árbol.
En la interfaz web, la asociación de firmas con una regla de IDP se hace seleccionando la Acción lengüeta. Una captura de pantalla de una parte de
esta pestaña en la interfaz web se muestra a continuación.
Figura 6.10. Selección Firma IDP
Hay una opción de entrar firmas en el cuadro de texto superior o seleccionarlos a través del árbol bajo el cual recoge las firmas
juntos en sus respectivos grupos. Cuando las colecciones de firmas se seleccionan en el árbol, la definición de comodín
equivalente aparecerá automáticamente en el cuadro de arriba. firmas individuales no se pueden seleccionar a través del árbol y
sólo se pueden introducir en el cuadro de texto.
Lo que aparece en el cuadro de texto superior es equivalente a la forma en que las firmas se especifican cuando se utiliza la CLI para definir una regla
de IDP.
La normalización de HTTP
Cada regla IDP tiene una sección de configuración de la normalización de HTTP. Esto permite al administrador elegir las acciones que se deben
tomar cuando IDP encuentra inconsistencias en las URIs incrustados en las solicitudes HTTP entrantes. Algunos ataques al servidor se basan
en la creación de URIs con secuencias que pueden explotar las debilidades de algunos productos de servidor HTTP.
Las condiciones de URI, que IDP puede detectar son:
• inválida UTF8
Esto se ve por ningún carácter UTF8 no válidos en un URI.
• Inválido codificación hex
Una secuencia hexadecimal válido es donde una muestra de porcentaje es seguido por dos valores hexadecimales para representar un
solo byte de datos. Una secuencia hexadecimal no válido sería el signo de porcentaje seguido de algo que no es un valor hexadecimal
válido.
• doble codificación
Esto se ve para cualquier secuencia hex que a su vez se codifica utilizando otras secuencias hex escape. Un ejemplo sería la
secuencia srcinal% 2526 dónde % 25 se podría entonces ser decodificado por el servidor HTTP a '%' y los resultados en la
secuencia '% 26' . Esto es, finalmente decodificado a '&'.
346
6.5.4. / Evasión prevención de ataques de Capítulo 6. Mecanismos de seguridad
inserción
Procesamiento de Paquetes Inicial
La orden inicial de procesamiento de paquetes con IDP es como sigue:
1. Un paquete llega al servidor de seguridad y NetDefendOS realiza la verificación normal. Si el paquete es parte de una nueva
conexión, entonces se compara con la norma IP establecida antes de pasar al módulo de IDP. Si el paquete es parte de una
conexión existente se pasa directamente al sistema de IDP. Si el paquete no es parte de una conexión existente o es
rechazado por la norma IP fija entonces se deja caer.
2. La información fuente y de destino del paquete se compara con el conjunto de reglas de PDI definido por el administrador. Si se encuentra
una coincidencia, se pasa a la siguiente nivel de procesamiento IDP que es la coincidencia de patrones, que se describe en el paso a
continuación. Si no hay un partido contra una regla de IDP entonces el paquete es aceptado y el sistema IDP toma ninguna otra
acción si bien otras acciones definidas en el conjunto de reglas IP se aplican como traducción de direcciones y la explotación forestal.
Comprobación de paquetes perdidos
La opción existe en NetDefendOS IDP para buscar intrusiones en todo el tráfico, incluso los paquetes que son rechazados por el conjunto de reglas de
comprobación de IP para nuevas conexiones, así como los paquetes que no son parte de una conexión existente. Esto proporciona al administrador
del servidor de seguridad con una forma de detectar cualquier tráfico que parece ser una intrusión. Con esta opción sólo es posible la acción de regla
IDP está registrando. Se debe por supuesto ser ejercida con esta opción ya que la carga de procesamiento puede ser mucho mayor cuando se
comprueban todos los paquetes de datos.
6.5.4. / Evasión prevención de ataques de inserción
Visión de conjunto
Un Inserción /
Al definir una regla de IDP, el administrador puede activar o desactivar la opción Proteger contra el ataque de inserción / Evasión.
Ataque Evasión es una forma de ataque que está dirigido específicamente a evadir los mecanismos de PDI. Se aprovecha el hecho de que en una
transferencia de datos TCP / IP, el flujo de datos a menudo debe ser vuelto a montar a partir de piezas más pequeñas de datos, ya que las piezas
individuales o bien llegan en el orden equivocado o se fragmentan de alguna manera. Las inserciones o evasiones están diseñados para explotar este
proceso de montaje.
Los ataques de inserción
Un ataque de inserción consiste en insertar datos en una corriente de modo que la secuencia resultante de paquetes de datos es
aceptada por el subsistema de IDP pero será rechazado por la aplicación específica. Este resultado es dos flujos de datos diferentes.
Como un ejemplo, considerar un flujo de datos dividido en 4 paquetes: P1, P2, P3 y P4. El atacante podría enviar paquetes primero P1 y
P4 a la aplicación de destino. Estos se llevarán a cabo tanto por el subsistema de PDI y de la aplicación hasta que los paquetes P2 y P3
llegan rearmado de manera que se puede hacer. El atacante envía ahora deliberadamente dos paquetes, P2' y P3' , los cuales serán
rechazados por la aplicación, pero aceptadas por el sistema IDP. El sistema IDP es ahora capaz de completar el reensamblaje de los
paquetes y se cree que tiene la secuencia de datos completa. El atacante envía ahora otros dos paquetes, P2 y P3, que serán aceptadas
por la aplicación que se puede volver a montar ahora completa, pero que resulta en un flujo de datos diferente a la observada por el
subsistema de IDP.
Los ataques de evasión
Un ataque la evasión tiene un resultado final similar al ataque de inserción, ya que también genera dos flujos de datos
diferentes, uno que el subsistema IDP ve y que ve la aplicación de destino, pero
347
6.5.8. Registro SMTP receptor para Eventos de Capítulo 6. Mecanismos de seguridad
desplazados
Una regla de IDP llamada IDPMailSrvRulese creará, y el Servicioa utilizar es el servicio SMTP. Fuente de interfaz de red de srcen y define
dónde viene el tráfico, en este ejemplo la red externa. los Interfaz de destinoy Red de destinodefinir donde el tráfico se dirige a, en este
caso el servidor de correo. Red de destinoPor lo tanto, se debe establecer en el objeto de definir el servidor de correo.
Crear una regla de IDP:
GW-mundo: /> Agregar servicio IDPRule = smtp SourceInterface = wan

SourceNetwork = Wannet DestinationInterface =
DMZ DestinationNetwork = ip_mailserver Name =
IDPMailSrvRule
Especificar la acción de regla:
GW-mundo: /> cc IDPRule IDPMailSrvRule
GW-mundo: / IDPMailSrvRule> añadir IDPRuleAction

Action = Proteger IDPServity = Todas
las firmas = IPS_MAIL_SMTP
Interfaz web
Crear una regla de IDP:
Esta regla se llama IDP IDPMailSrvRule,y se aplica al servicio SMTP. Fuente de interfaz de red de srcen y definen dónde viene el tráfico, en
este ejemplo, la red externa. La interfaz de destino y la red de destino definen donde el tráfico se dirige a, en este caso el servidor de correo.
Por lo tanto, la red de destino se debe establecer en el objeto de definir el servidor de correo.
1. Ir a: IDP IDP> Reglas> Agregar> Regla de IDP
2. Ahora ingrese:
• Nombre:IDPMailSrvRule
• Servicio:SMTP
• También inspeccione los paquetes perdidos: En caso de que todo el tráfico que coincide con esta regla debe ser escaneado (esto también significa que el tráfico que
el conjunto principal regla caería), laProteger contra ataques de inserción / evasión
casilla de verificación debe ser verificada, que es el caso en este ejemplo.
• Fuente de red:Wannet
353
6.5.8. Registro SMTP receptor para Eventos de Capítulo 6. Mecanismos de seguridad
desplazados
• Red de destino:ip_mailserver
• Haga
ACUERDO
clic DE
Especificar la acción:
Una acción se define ahora, especificando lo que las firmas de los IDP debe utilizar al escanear registro que satisfaga la regla, y qué NetDefendOS
debe hacer cuando se detecta una posible intrusión. En este ejemplo, los intentos de intrusión harán que la línea se desconecte, por lo Acciónse
establece en Proteger.los firmas opción se establece en
IPS_MAIL_SMTPcon el fin de utilizar firmas que describen los ataques desde la red externa que se basa en el protocolo SMTP.
1. Seleccione el Acción de la regla

ficha de la regla de IDP
2. Ahora ingrese:
• Acción:Proteger
• firmas: IPS_MAIL_SMTP
• Haga
ACUERDO
clic DE
Si se desea el registro de intentos de intrusión, esto se puede configurar haciendo clic en

acciones
el de regla
pestaña cuando se crea una regla de PDI y la habilitación del registro.
los Gravedadse debe establecer enTodascon el fin de que coincida con todos los ataques SMTP.
En resumen, ocurrirá lo siguiente: Si se produce el tráfico de la red externa al servidor de correo, IDP se activará. Si el tráfico coincide con
alguna de las firmas en el IPS_MAIL_SMTPgrupo de firmas, se interrumpe la conexión, lo que protege el servidor de correo.
El uso de firmas individuales
El ejemplo anterior utiliza todo un nombre de grupo IDP al habilitar IDP. Sin embargo, es posible especificar en lugar de firmas indvidual
o una lista de firmas para una regla de IDP. firmas individuales se identifican por su número de identificación único y múltiples firmas se
especifica como una lista separada por comas de estos ID se separaron.
Por ejemplo, para especificar las firmas con el ID 68343, la CLI en el ejemplo anterior se convertiría en:

Action = Proteger
IDPServity = Todas las
firmas = 68343
Para especificar una lista que también incluye firmas 68345 y 68349:

Action = Proteger IDPServity = Todas las
firmas = 68343,68345,68349
firmas individuales se introducen de forma similar cuando se utiliza la Interfaz Web.
IDP Traffic Shaping
PDI ofrece un excelente medio de la identificación de diferentes tipos de flujo de tráfico a través de NetDefendOS y las aplicaciones
responsables de los mismos. Esta capacidad se combina con las características de gestión del tráfico de NetDefendOS para proporcionar IDP
Traffic Shaping que puede imponer restricciones de ancho de banda y la prioridad de los flujos específicos identificados.
El tráfico IDP característica conformación se discute en profundidad enSección 10.2, “IDP de tráfico”.
354
6.6. Prevención de ataque de denegación de Capítulo 6. Mecanismos de seguridad
servicio
6.6. Prevención de ataque de denegación de servicio
Al abrazar la Internet, las empresas experimentan nuevas oportunidades de negocio y crecimiento. La red de la empresa y las aplicaciones
que se ejecutan sobre él son crítica para el negocio. No sólo puede una empresa alcanzar un mayor número de clientes a través de Internet,
puede servir más rápido y más eficientemente. Al mismo tiempo, el uso de una red IP pública permite a las empresas reducir los costes
relacionados con la infraestructura.
Por desgracia, las mismas ventajas que Internet aporta a los negocios también se benefician los piratas informáticos que utilizan la misma
infraestructura pública para montar ataques. herramientas de ataque están fácilmente disponibles en Internet y desarrollo de estas herramientas a
menudo se divide en grupos de hackers novatos - a veces se denomina con nombres tales como "niños de la escritura -. repartidas por todo el
mundo, proporcionando una evolución de los métodos de ataque 24/7 Muchos técnicas de ataque más recientes utilizan la topología distribuida de
Internet para poner en marcha Negación de servicio ( DoS) contra las organizaciones resultantes en los servidores web paralizados que ya no
pueden responder a las peticiones de conexión legítimas.
Para estar en el lado receptor de un ataque DoS es probablemente la última cosa que cualquier administrador de red desea experimentar. Los
ataques pueden aparecer de la nada y las consecuencias pueden ser devastadoras con los servidores caídos, conexiones a Internet
atascadas y sistemas críticos de negocio en sobrecarga.
Esta sección se ocupa de NetDefend utilizando servidores de seguridad para proteger a las organizaciones contra estos ataques.
6.6.2. Mecanismos de ataque de denegación de servicio
Un ataque de denegación de servicio puede ser perpetrada en un número de maneras, pero hay tres tipos básicos de ataque:
• El consumo de recursos computacionales, tales como ancho de banda, espacio en disco, o tiempo de CPU.
• La interrupción de la información de configuración, tal como información de encaminamiento.
• La alteración de los componentes físicos de la red.
Uno de los métodos más comúnmente utilizado es el consumo de recursos computacionales que significa que el ataque DoS inunda
la red y ata los recursos críticos utilizados para ejecutar aplicaciones críticas de negocio. En algunos casos, las vulnerabilidades de
los sistemas operativos Unix y Windows son explotados a chocar intencionalmente el sistema, mientras que en otros casos grandes
cantidades de tráfico aparentemente válida se dirigen a sitios hasta que se sobrecargan y accidente.
Algunos de los ataques de denegación de servicio más utilizados han sido:
• El Ping de la Muerte ataques / Jolt
• Fragmentación ataques de superposición: Lágrima / Bonk / Boink / Nestea
• Los ataques por tierra y LaTierra
• El ataque WinNuke
• ataques de amplificación: Pitufo, Papasmurf, Fraggle
• ataque TCP SYN Flood
• El ataque Jolt2
6.6.3. Ping de la Muerte y Sacudida ataques
El "ping de la muerte" es una de las primeras capas 3/4 ataques. Una de las formas más sencillas para ejecutarlo es ejecutar "ping -l
65510 1.2.3.4" en un sistema Windows 95, donde 1.2.3.4 es la dirección IP del
355
6.6.4. ataques de superposición de fragmentación: en forma Capítulo 6. Mecanismos de seguridad
de lágrima, Bonk, Boink y Nestea
víctima. "Sacudida" es simplemente un programa de propósito-escrito para generar dichos paquetes en sistemas operativos cuyos comandos de
ping negarse a generar paquetes de gran t amaño.
El factor desencadenante es que el último fragmento hace que el tamaño total del paquete excede de 65535 bytes, que es el número más
alto que un entero de 16 bits puede almacenar. Cuando el valor se desborda, salta de nuevo a un número muy pequeño. Lo que sucede
entonces es una función de lo bien que se implementa la pila IP de la víctima.
NetDefendOS nunca permitirá fragmentos a través de que resultaría en el tamaño total superior a 65535 bytes. Además de eso,
hay límites configurables para el tamaño de los paquetes IP en Configuración avanzada.
Ping de la muerte se mostrará en NetDefendOS troncos en forma de gotas con el nombre conjunto de reglas para "LogOversizedPackets".
La dirección IP del remitente puede ser falsa.
6.6.4. La fragmentación ataques de superposición: Lágrima, Bonk, Boink y

Nestea
Teardrop y sus seguidores son los ataques de superposición de fragmentos. Muchas pilas IP han demostrado un comportamiento errático (agotamiento
de recursos excesiva o se bloquea) cuando se expone a fragmentos de superposición.
NetDefendOS protege completamente contra los ataques de la fragmentación de solapamiento. fragmentos solapantes nunca se les permite pasar a
través del sistema.
Lágrima y sus seguidores se mostrarán en NetDefendOS troncos en forma de gotas con el nombre conjunto de reglas para "IllegalFrags". La
dirección IP del remitente puede ser falsa.
6.6.5. los Tierra y LaTierra ataques

La tierra y las obras LaTierra ataca mediante el envío de un paquete a una víctima y haciendo que la víctima responde de nuevo a sí mismo, que
a su vez genera una nueva respuesta a la misma, etc. Esto ya sea atascar la máquina de la víctima hacia abajo, o hacer que se bloquee.
El ataque se lleva a cabo mediante el uso de la dirección IP de la víctima en el campo de srcen de un paquete IP, así como en el campo de
destino.
NetDefendOS protege contra este ataque mediante la aplicación de protección IP spoofing a todos los paquetes. En su configuración por
defecto, simplemente comparar los paquetes que llegan a los contenidos de la tabla de enrutamiento; Si un paquete llega en una interfaz
que es diferente de la interfaz donde el sistema espera la fuente a ser, será dado de baja del paquete.
La tierra y los ataques LaTierra se mostrarán en NetDefendOS troncos en forma de gotas con el nombre de la regla establecida en "AutoAccess"
por defecto, o si la configuración contiene reglas de acceso personalizados, el nombre de la regla de acceso que dejó caer el paquete. La
dirección IP del remitente no es de interés aquí, ya que es siempre la misma que la dirección IP de destino.
6.6.6. los WinNuke ataque

El ataque WinNuke funciona mediante la conexión a un servicio TCP que no tiene controladores para los datos "fuera de banda"
(segmentos TCP con el bit URG), pero aún así acepta dichos datos. Esto suele poner el servicio en un bucle estrecho que consume
todo el tiempo de CPU disponible.
Uno de esos servicios era el NetBIOS sobre servicio TCP / IP en máquinas Windows, lo que dio el ataque de su nombre.
NetDefendOS protege contra esto de dos maneras:
• Con una política de entrada cuidado, la superficie de ataque se reduce considerablemente. Sólo servicios expuestos posiblemente
podrían ser víctimas del ataque, y los servicios públicos tienden a ser más bien escrito que los servicios previstos para servir sólo a la
red local.
356
6.6.7. ataques de amplificación: Pitufo, Capítulo 6. Mecanismos de seguridad
Papasmurf, Fraggle
• Al eliminar el bit URG por defecto de todos los segmentos TCP que atraviesan el sistema (configurable a través Configuración
avanzada> TCP> TCPUrg).
WinNuke ataques por lo general aparecen en los registros de NetDefendOS como gotas normales con el nombre de la regla IP que anuló
el intento de conexión.
Para conexiones permitidas a través del sistema, la categoría "DROP" "TCP" o (dependiendo de la
TCPUrg Marco) entradas aparecerán, con un nombre de la regla de "TCPUrg". La dirección IP del remitente no es probable que sea falso; un
enlace de tres vías completa debe completarse antes de segmentos de fuera de banda se pueden enviar.
6.6.7. ataques de amplificación: Pitufo, Papasmurf, Fraggle

Esta categoría de ataques todos hacen uso de "amplificadores": redes mal configuradas, que amplifican un flujo de paquetes y la envían a
la meta final. El objetivo es el consumo excesivo de ancho de banda - el consumo de toda la capacidad de conexión a Internet de la
víctima. Un atacante con suficiente ancho de banda puede renunciar a toda la etapa de amplificación y simplemente transmitir suficiente
ancho de banda en la víctima. Sin embargo, estos ataques permite a atacantes con menos ancho de banda que la víctima para amplificar
su flujo de datos a abrumar a la víctima.
• "Pitufo" y "Papasmurf" envían paquetes de eco I CMP a la dirección de difusión de las redes abiertas con muchas máquinas,
falsificar la dirección IP de srcen a la de la víctima. Todas las máquinas de la red abierta a continuación, "responden" a la víctima.
• "Fraggle" utiliza la misma idea general, pero en lugar de utilizar UDP echo (puerto 7) para realizar la tarea. Fraggle consigue
generalmente más bajos factores de amplificación, ya que hay un menor número de servidores en Internet que tienen el servicio de eco
UDP activado.
ataques Smurf se mostrarán en NetDefendOS registros como masas de paquetes de respuesta de eco ICMP abandonado. Las direcciones
IP de srcen serán los de las redes amplificador utilizado. ataques Fraggle se mostrarán en NetDefendOS registros como masas de
paquetes perdidos (o permitidos, según la política). Las direcciones IP de srcen serán los de las redes amplificador utilizado.
Evitando convertirse en un amplificador
A pesar de que la peor parte de la corriente de ancho de banda es al lado de la víctima final, siendo seleccionada como una red de amplificador
también puede consumir grandes recursos. En su configuración predeterminada, NetDefendOS gotas explícitamente paquetes enviados para transmitir
dirección de redes conectadas directamente (configurable a través
Configuración avanzada> IP> DirectedBroadcasts).
Sin embargo, con una política de entrada razonable, no hay una red protegida debe nunca tiene
que preocuparse acerca de convertirse en un amplificador de pitufo.
Protección en la cara de la víctima
Pitufo, y sus seguidores, son ataques de agotamiento de recursos en que utilizan la capacidad de conexión a Internet. En el caso general, el
servidor de seguridad está situado en el lado "equivocado" cuello de botella de la conexión a Internet para ofrecer mucha protección contra
este tipo de ataques. El daño ya se ha hecho en el momento en que los paquetes llegan al servidor de seguridad.
Sin embargo, NetDefendOS pueden ayudar a mantener el peso de encima de los servidores internos, haciéndolos disponibles para el servicio
interno, o tal vez el servicio a través de una conexión secundaria de Internet no se dirige el ataque.
• Pitufo y Papá Pitufo Tipo inundaciones serán vistos como respuestas de eco ICMP en el lado de la víctima. A no ser que FwdFast reglas
están en uso, tales paquetes nunca son permitidos para iniciar nuevas conexiones, independientemente de si hay o no hay reglas que
permitan el tráfico.
• Fraggle los paquetes pueden llegar en cualquier puerto de destino UDP dirigido por el atacante. Apretar el conjunto de reglas de entrada puede
ayudar.
357
6.6.8. Los ataques TCP SYN Flood Capítulo 6. Mecanismos de seguridad
los Traffic Shaping característica integrada en NetDefendOS también ayudar a absorber algo de la inundación antes de que alcance los servidores
protegidos.
6.6.8. Los ataques TCP SYN Flood

ataques de inundación TCP SYN trabajar mediante el envío de grandes cantidades de paquetes TCP S YN a un puerto determinado y luego no
responder a SYN ACK enviado en respuesta. Esto atar los recursos locales pila TCP en el servidor web de la víctima por lo que es incapaz de
responder a más paquetes SYN hasta que las conexiones medio abiertas existentes han expirado.
NetDefendOS pueden proteger contra ataques TCP SYN Flood si el Protección contra inundaciones SYN opción está habilitada en un objeto de
servicio asociado a la regla en el conjunto de reglas IP que desencadena en el tráfico. Esto también se conoce a veces como el SYN Relay opción.
Protección contra las inundaciones se activa automáticamente en los servicios predefinidos http-in-https en, smtp-in,
y
ssh-in.Si un nuevo objeto de servicio personalizado está definido por el administrador, entonces la opción de protección contra inundaciones puede ser
activada o desactivada según se desee.
El mecanismo de defensa contra las inundaciones SYN
protección contra inundaciones SYN funciona completando el 3 vías apretón de manos con el cliente antes de hacer un segundo apretón de
manos de su cuenta con el servicio de destino. Las situaciones de sobrecarga tienen dificultad ocurrida en NetDefendOS debido a la gestión de
recursos superior y una ausencia de las restricciones normalmente colocado sobre otros sistemas operativos. Mientras que otros sistemas
operativos pueden presentar problemas con tan sólo 5 conexiones pendientes a medio abrir, NetDefendOS pueden llenar toda su tabla de
estado antes de que algo sucede fuera de lo común. Cuando la tabla de estado se llena, viejas conexiones SYN pendientes serán los primeros
en ser bajado a hacer espacio para nuevas conexiones.
Detectar SYN inundaciones
ataques de inundación TCP SYN se mostrarán en los registros NetDefendOS como cantidades excesivas de nuevas conexiones (o
gotas, si el ataque está dirigido a un puerto cerrado). La dirección IP del remitente está casi siempre falsa.
ALG proporcionan automáticamente protección contra las inundaciones
Cabe señalar que la protección contra inundaciones SYN no tiene que estar habilitado explícitamente en un objeto de servicio que tiene un ALG
asociada a ella. ALG proporciona protección automática contra inundaciones SYN.
6.6.9. los Jolt2 Ataque

El ataque Jolt2 funciona mediante el envío de un flujo constante de fragmentos idénticos en el equipo de la víctima. A unos cientos de paquetes por
segundo se congelarán las máquinas vulnerables por completo hasta que se terminó la corriente.
NetDefendOS completamente protegerá contra este ataque. El primer fragmento se pondrá en c ola, a la espera de los fragmentos anteriores
para llegar a fin de que puedan ser transmitidos en orden, pero es to nunca sucede, así que ni siquiera el primer fragmento consigue a través.
fragmentos subsiguientes se desechan, ya que son idénticas al primer fragmento.
Si el atacante elige un fragmento compensado mayor que los límites impuestos por la Configuración avanzada> LengthLim
en
NetDefendOS, los paquetes ni siquiera llegar tan lejos; serán retirados de inmediato. Jolt2 ataques pueden o no aparecer en los registros de
NetDefendOS. Si el atacante elige una compensación por el ataque demasiado alta fragmento, que se mostrarán en forma de gotas desde el
conjunto de reglas de "LogOversizedPackets". Si el fragmento de desplazamiento es lo suficientemente baja, no se producirá ningún registro.
La dirección IP del remitente puede ser falsa.
6.6.10. Los ataques de denegación de servicio distribuidos
358
6.6.10. Los ataques de denegación de servicio distribuidos Capítulo 6. Mecanismos de seguridad
Una forma más sofisticada de DoS es la Denegación de Servicio Distribuida ( Ataque DOS. Los ataques DDoS implican romper en cientos
o miles de máquinas en todo el Internet que instala el software de DDoS en ellos, lo que permite al hacker controlar todas estas máquinas
burgled para lanzar ataques coordinados en los sitios de las víctimas. Estos ataques típicamente de ancho de banda de escape, la
capacidad de procesamiento del router, o recursos pila de red, rompiendo la conectividad de red a las víctimas.
A pesar de los recientes ataques DDoS se han lanzado desde ambos sistemas institucionales públicos y privados corporativos, los
hackers tienden a menudo prefieren universidad o redes institucionales debido a su naturaleza abierta y distribuida. Las
herramientas usadas para lanzar ataques DDoS incluyen Trin00, TribeFlood red (TFN), TFN2K y Stacheldraht.
359
6.7. Listas negras de máquinas y redes Capítulo 6. Mecanismos de seguridad
6.7. Listas negras de máquinas y redes
Visión de conjunto
NetDefendOS implementa una Lista negra de direcciones de host o IP de red que pueden utilizarse para proteger contra el tráfico
procedente de fuentes de Internet específicos.
Ciertos NetDefendOS subsistemas tienen la capacidad de opcionalmente lista negra un host o red cuando se encuentran ciertas
condiciones. Estos subsistemas son:
• La detección y prevención de intrusiones (IDP).
• Reglas umbral. (Disponible en ciertos modelos NetDefend - véase Sección 10.3, “Reglas de umbral” para detalles.)
Opciones listas negras
La lista negra automática de un host o red se puede activar en IDP y en reglas de umbral especificando el Protegeracción para
cuando se activa una regla. Una vez activados, hay tres opciones de listas negras:
Tiempo de bloqueo de host / red en cuestión El anfitrión o red que es la fuente del tráfico permanecerá en la lista negra
de segundos durante el tiempo especificado y luego ser eliminados. Si la m isma fuente
desencadena otra entrada a la lista negra, entonces el tiempo de bloqueo se
renueva a su valor srcinal, completo (en otras palabras, no es acumulativo).
Bloquear solamente este Servicio Por defecto Lista negra bloquea todos los servicios para el anfitrión de disparo.
Eximir a las conexiones ya establecidas a Si no se establecen conexiones que tienen la misma fuente que esta nueva entrada
partir de listas negras de lista negra, entonces no se eliminará si se establece esta opción.
direcciones IP o redes se añaden a la lista a continuación, el tráfico de estos orígenes se bloquea a continuación, para el período de tiempo
especificado.
Nota: Reinicia no afectan a la lista negra
El contenido de la lista negra no se pierde si el NetDefend Firewall se apaga y se reinicia.
listas blancas
Para asegurar que el tráfico de Internet procedente de fuentes de confianza, como la estación de trabajo de gestión, no están en la lista negra, en
ningún caso, una Lista blanca también es mantenido por NetDefendOS. Cualquier objeto de dirección IP se puede añadir a esta lista blanca
Consejo: Las direcciones IP deben ser importantes en la lista blanca
Se recomienda añadir la propia NetDefend Firewall a la lista blanca, así como la dirección IP o la red de la
estación de trabajo de gestión desde una lista negra de cualquiera podría tener graves consecuencias para las
operaciones de red.
360
También es importante entender que aunque las listas blancas impide una fuente particular de la lista negra, todavía no impide que
los mecanismos NetDefendOS tales como reglas de umbral por caídas o denegar conexiones desde esa fuente. Lo que hace es
evitar que las listas blancas que se añade una fuente a una lista negra si esa es la acción de una regla ha especificado.
Para más detalles sobre su uso, véase Sección 6.5.7, “Acciones de desplazados internos” y Sección 10.3, “Reglas de umbral”.
Nota: La lista negra de filtrado de contenido es independiente
Contenido de la lista negra de filtrado es un tema aparte y utiliza una lista lógico separado (véase la Sección 6.3, “Filtrado
de Contenido Web”).
la CLI lista negra Mando
los lista negra comando se puede utilizar para mirar, así como manipular el contenido actual de la lista negra y la lista
blanca. La lista negra actual se puede ver con el comando:
GW-mundo: /> lista negra -show-negro
Esta lista negra comando se puede utilizar para eliminar un host de la lista negra con el - desatascar opción.
Ejemplo 6.22. Adición de un host a la lista blanca
En este ejemplo, añadiremos un objeto de dirección IP llamadawhite_ipa la lista blanca. Esto significará esta dirección IP no puede ser la lista negra.
GW-mundo: /> añadir BlacklistWhiteHost Direcciones = white_ip Servicio = all_tcp
Interfaz web
1. Goto Sistema> Lista blanca> Añadir> anfitrión lista blanca
2. Ahora seleccione el objeto de dirección IPwhite_ippor lo que se añade a la lista blanca
3. Seleccione el servicio all_tcppara ser asociado con esta entrada de lista blanca
361
362
Capítulo 7. Traducción de direcciones
Este capítulo describe las capacidades de traducción de direcciones NetDefendOS.
• NAT, página 364
• Piscinas NAT, página 369
• SAT, página 372

La capacidad de NetDefendOS para cambiar la dirección IP de los paquetes a medida que pasan a través de la NetDefend Firewall es conocido como traducción
de direcciones.
La capacidad de transformar una dirección IP a otra puede tener muchos beneficios. Dos de los más importantes son:
• Las direcciones IPv4 privadas se pueden utilizar en una red protegida donde hosts protegidos necesitan tener acceso a la Internet
pública. También puede haber servidores con direcciones IPv4 privadas que deben ser accesibles a través de Internet pública.
• La seguridad se incrementa al hacer que sea más difícil que alguien pueda entender la topología de la red protegida.
traducción de direcciones oculta las direcciones IP internas que significa que un ataque procedente del "exterior" es más
difícil.
Tipos de Traducción
NetDefendOS admite dos tipos de traducción:
• NAT)
La traducción de direcciones de red dinámica (
• La traducción de direcciones estáticas

SAB)
(
La aplicación de los dos tipos de traducción depende de las políticas de seguridad especificados, lo que significa que se aplican al
tráfico específico basado en las reglas de filtrado que definen combinaciones de srcen / destino de red / interfaz, así como el
servicio. Hay dos tipos de reglas NetDefendOS IP, NAT
normas y SAB reglas se utilizan para configurar la traducción de direcciones.
Esta sección describe y proporciona ejemplos de la configuración de NAT y SAB reglas.
363
7.2. NAT Capítulo 7. Traducción de direcciones
7.2. NAT
La traducción de direcciones de red dinámica NAT)
( proporciona un mecanismo para traducir las direcciones IP de las fuentes srcinales a
una dirección diferente. Los paquetes salientes a continuación, parecen venir de una dirección IP diferente y los paquetes entrantes de nuevo
a esa dirección tienen su dirección IP traduce de nuevo a la dirección IP srcinal.
NAT puede tener dos ventajas importantes:
• Las direcciones IP de los clientes y los hosts individuales pueden ser "ocultos" detrás de la dirección IP del servidor de seguridad.
• Sólo el servidor de seguridad necesita una dirección IPv4 pública para el acceso a Internet. Hosts y redes detrás del firewall se
pueden asignar direcciones IPv4 privada, pero aún pueden tener acceso a la Internet pública a través de la dirección IPv4 pública.
NAT proporciona
muchos-a-unoLa traducción de direcciones IP
NAT proporciona Traducción muchos-a-uno. Esto significa que cada NAT regla en el conjunto de reglas IP se traducirá entre varias
direcciones IP de srcen y una única dirección IP de srcen.
Para mantener la información de estado de sesión, cada conexión de forma dinámica direcciones traducidas utiliza un número de
puerto único y la combinación de dirección IP como su remitente. NetDefendOS realiza la traducción automática del número de
puerto de srcen, así como la dirección IP. En otras palabras, las direcciones IP de srcen para las conexiones están traducidos a la
misma dirección IP y las conexiones se distinguen entre sí por la asignación de un número de puerto único para cada conexión.
El siguiente diagrama ilustra el concepto de NAT.
Figura 7.1. La traducción de direcciones IP NAT
En la ilustración anterior, tres conexiones de direcciones IP A, B y do se NATed través de una dirección IP única fuenteNORTE. Los
números de puerto srcinales también se cambian.
El siguiente número de puerto de srcen asignado para una nueva conexión NAT será el primer puerto libre seleccionado al azar por
NetDefendOS. Los puertos se asignan al azar para aumentar la seguridad.
Limitaciones en el número de conexiones NAT
Aproximadamente 64.500 conexiones simultáneas NAT son posibles si se considera una "conexión" para ser un par único de
direcciones IP y números de puerto diferentes no se utilizan o se utiliza el mismo puerto de destino.
364
Sin embargo, puesto que hay un posible rango de 64.500 puertos de srcen y el mismo número de puertos de destino, es teóricamente
posible tener más de 4 mil millones de conexiones entre dos direcciones IP si se utilizan todos los puertos.
Utilización de grupos de NAT puede aumentar la Conexiones
Para aumentar el número de conexiones NAT que puede existir entre la NetDefend Firewall y un IP de host externo particular, los
NetDefendOS piscinas NATcaracterística se puede utilizar lo que puede hacer automáticamente el uso de direcciones IP
adicionales en el firewall.
Esto es útil en situaciones en las que un servidor r emoto requiere que todas las conexiones están a un solo número de puerto. En tales casos, se
aplicará el límite de 64.500 para los pares de direcciones IP únicas.
Ver Sección 7.3, “Piscinas NAT” Para obtenermás información acerca de este tema.
La dirección IP de srcen usada para la conversión
Hay tres opciones para la forma NetDefendOS determina la dirección IP de srcen que se usará para NAT:
• Utilice la dirección IP de la interfaz
Cuando se establece una nueva conexión, la tabla de enrutamiento es consultado para resolver la interfaz de salida para la conexión.
La dirección IP de la interfaz resuelto se utiliza entonces como la nueva dirección IP de srcen cuando NetDefendOS realiza la
traducción de direcciones. Esta es la forma predeterminada en que se determina la dirección IP.
• Especificar una dirección IP específica
Una dirección IP específica se puede especificar como la nueva dirección IP de srcen. La dirección IP especificada debe tener un
juego ARP Publicar entrada configurada para la interfaz de salida. De lo contrario, el tráfico de retorno no será recibido por el
NetDefend Firewall. Esta técnica podría ser utilizada cuando la IP de srcen es a variar según el srcen del tráfico. Por ejemplo, un
proveedor de Internet que utiliza NAT, podría utilizar diferentes direcciones IP para diferentes clientes.
• Utilizar una dirección IP de un conjunto NAT
UN NAT piscina, que es un conjunto de direcciones IP definidas por el administrador, puede ser utilizado. La siguiente dirección
disponible desde la piscina se puede utilizar como la dirección IP utilizada para NAT. No puede haber una o muchas piscinas NAT y una
única piscina se puede utilizar en más de una NAT regla. Este tema se discute en Sección 7.3, “Piscinas NAT”.
La aplicación de traducción NAT
El siguiente ejemplo ilustra cómo se aplica NAT en la práctica en una nueva conexión:
1. El emisor en la dirección IP 192.168.1.5 envía un paquete desde un puerto asignado dinámicamente, para
ejemplo 1038, a un servidor, por ejemplo, 195.55.66.77 el puerto 80.
192.168.1.5:1038 => 195.55.66.77:80
2. 195.11.22.33 como la dirección de la

En este ejemplo, se utiliza la opción Dirección de usar interfaz, y vamos a utilizar
interfaz. Además, el puerto de srcen se cambia a un puerto libre al azar en el NetDefend Firewall y que está por encima del
puerto 1024. En este ejemplo, supondremos que se elija puerto 32789. El paquete es enviado a su destino.
195.11.22.33:32789 => 195.55.66.77:80
365
3. El servidor receptor entonces procesa el paquete y envía su respuesta.
195.55.66.77:80 => 195.11.22.33:32789
4. NetDefendOS recibe el paquete y lo compara a su lista de conexiones abiertas. Una vez que encuentra la conexión en
cuestión, se restaura la dirección srcinal y reenvía el paquete.
195.55.66.77:80 => 192.168.1.5:1038
5. El remitente srcinal ahora recibe la respuesta.
La secuencia de estos eventos se ilustra adicionalmente en el siguiente diagrama.
Figura 7.2. A Ejemplo NAT
Ejemplo 7.1. Especificación de una

NAT Regla
A continuación se añadirán unaNAT regla que llevará a cabo la traducción de direcciones para todo el tráfico HTTP procedente de la red interna lan a medida
que fluye a la Internet pública en el
pálido interfaz. La dirección IP de la pálidointerfaz se utiliza como la dirección NATing para todas las conexiones.
En primer lugar, cambiar la categoría actual a ser el principalnorma IP fija:
GW-mundo: /> principal cc IPRuleSet
Ahora, crear la regla de IP:
GW-mundo: / principal> añadir iprule Action = NAT

SourceInterface = lan SourceNetwork =
Lannet DestinationInterface = wan
DestinationNetwork = todas las redes de
servicio = http Name = NAT_HTTP
NATAction = UseInterfaceAddress
Volver al nivel superior:
366
GW-mundo: / principal> cc
los NATActionopción podría quedar fuera ya que el valor predeterminado es utilizar la dirección de la interfaz. La alternativa es especificarUseSenderAddressy el
uso de la NATSenderAddress opción para especificar la dirección IP a usar. También tendrá que ser explícitamente ARP publicada en la interfaz de la dirección del
remitente.
Interfaz web
2. Especificar un nombre adecuado para la regla, por ejemplo,NAT_HTTP
• Acción:NAT
• Servicio:http
• Interfaz de destino:pálido
• Red de destino:
todas las redes de
4. En el marco del NAT pestaña, asegúrese de que laU so Interfaz Dirección

se selecciona la opción
Tala opcionalmente puede ser habilitado para que esta regla de manera que se genera un mensaje de registro cada vez que se dispara.
Procesadas por los protocolos NAT
traducción dinámica de direcciones es capaz de lidiar con los protocolos TCP, UDP e ICMP con un buen nivel de funcionalidad ya que el
algoritmo sabe qué valores se pueden ajustar para convertirse en único en los tres protocolos. Para otros protocolos de nivel IP,
conexiones únicas son identificados por sus direcciones de remitente, las direcciones de destino y los números de protocolo.
Esto significa que:
• Una máquina interna puede comunicarse con varios servidores externos utilizando el mismo protocolo IP.
• Una máquina interna puede comunicarse con varios servidores externos usando protocolos IP diferentes.
• Varias máquinas internas pueden comunicar con diferentes servidores externos utilizando el mismo protocolo IP.
• Varias máquinas internas pueden comunicarse con el mismo servidor utilizando protocolos IP diferentes.
• Varias máquinas internas pueden no comunicarse con el mismo servidor externo utilizando el mismo protocolo IP.
Nota: Las restricciones sólo se aplican a los protocolos de nivel IP
Estas restricciones se aplican sólo a los protocolos de nivel IP que no sean TCP, UDP e ICMP, como OSPF y
L2TP. Ellos no se aplican a los protocolos transportados por TCP, UDP e ICMP como Telnet, FTP, HTTP y
SMTP.
NetDefendOS pueden alterar el número de puerto en el TCP y UDP cabeceras para hacer que cada conexión
única, a pesar de que este tipo de conexiones han tenido sus direcciones de remitente convierten a la misma IP.
367
Algunos protocolos, independientemente del medio de transporte utilizado, pueden causar problemas durante la traducción de direcciones.
Anonimizador tráfico de Internet con NAT
Una aplicación útil de la f unción NAT en NetDefendOS es para los proveedores de servicios de anonimato para anonimizar tráfico entre clientes y
servidores a través de Internet público, por lo que la dirección IP pública del cliente no está presente en t odas las solicitudes de acceso al
servidor o de igual a igual tráfico.
Vamos a examinar el caso típico en el que el NetDefend Firewall actúa como un servidor PPTP y termina el túnel PPTP para
clientes PPTP. Los clientes que desean permanecer en el anonimato, se comunican con su ISP local usando PPTP. El tráfico se
dirige al proveedor de servicios de anonimato, donde se ha instalado un NetDefend Firewall para que actúe como servidor PPTP
para el cliente, que termina el túnel PPTP. Esta disposición se ilustra en el siguiente diagrama.
Figura 7.3. Anonimizar con NAT
NetDefendOS está configurado con NAT reglas de la norma IP establecida por lo que toma el tráfico de comunicación que
viene del cliente y NAT TI a salir a Internet. La comunicación con el cliente es con el protocolo PPTP pero el túnel PPTP
desde el cliente termina en el firewall. Cuando este tráfico se transmite entre el firewall y el Internet, ya no es encapsulada
por PPTP.
Cuando una aplicación, como por ejemplo un servidor web, recibe ahora peticiones del cliente, parece como si están viniendo
desde la dirección IP externa del proveedor de servicios de anonimato y no IP del cliente. Por lo tanto, la aplicación envía sus
respuestas de vuelta al servidor de seguridad que transmite el tráfico de vuelta al cliente a través del túnel PPTP. La dirección IP
srcinal del cliente no se revela en el tráfico, ya que se transmite más allá de la terminación del túnel PPTP en los NetDefendOS.
Típicamente, todo el tráfico pasa a través de la misma interfaz física y que la interfaz tiene una única dirección IP pública. Múltiples interfaces
podrían utilizarse si las direcciones IPv4 públicas múltiples están disponibles. Es evidente que existe una pequeña sobrecarga de procesamiento
involucrado con el tráfico de anonimato, pero esto no tiene por qué ser un problema si se emplean los recursos de hardware suficientes para realizar
el anonimato.
Esta misma técnica también se puede utilizar con L2TP en lugar de las conexiones PPTP. Ambos protocolos se discuten en Sección
9.5.4, “Los clientes PPTP / L2TP”.
368
7.3. Piscinas NAT Capítulo 7. Traducción de direcciones
7.3. Piscinas NAT
Visión de conjunto
Traducción de Direcciones de Red ( NAT) proporciona una manera de tener varios clientes internos y anfitriones con direcciones únicas IP privadas,
internas comunicarse con un ordenador remoto a través de una única dirección IPv4 pública externa (esto se discute en profundidad en Sección 7.2,
“NAT”). Cuando varias direcciones IP externas públicas están disponibles a continuación, una conjunto NAT objeto se puede utilizar para asignar
nuevas conexiones a través de estas direcciones IPv4 públicas.
Piscinas NAT se emplean generalmente cuando hay una necesidad de un gran número de conexiones de puerto exclusivos. El Puerto Maestro
NetDefendOS tiene un límite de aproximadamente 65.000 conexiones para una combinación única de direcciones IP de srcen y destino. Donde
gran número de clientes internos están utilizando aplicaciones como el software de intercambio de archivos, un gran número de puertos pueden
ser requeridos para cada cliente. La situación puede ser exigente de manera similar, si un gran número de clientes tienen acceso a Internet
mediante un servidor proxy. La limitación se supera el número de puerto mediante la asignación de direcciones IP externas adicionales para
acceso a Internet y el uso de NAT piscinas para asignar nuevas conexiones a través de ellos.
Tipos de piscinas NAT
Un conjunto NAT puede ser uno de los siguientes tres tipos con cada asignación de nuevas conexiones de una manera diferente:
• stateful
• Apátrida
• Fijo
Los detalles de estos tres tipos se presentan a continuación.
Piscinas con estado de NAT
Cuando el stateful opción está seleccionada, NetDefendOS asigna una nueva conexión a la dirección IP externa que actualmente tiene el
menor número de conexiones enrutadas a través de él con la suposición de que es la menor carga. NetDefendOS mantiene un registro en
memoria de todas estas conexiones. Las conexiones posteriores que implican el mismo interno cliente / host A continuación, utilizar la
misma dirección IP externa.
La ventaja del enfoque de estado es que puede equilibrar las conexiones a través de varios enlaces ISP externos garantizando al mismo
tiempo que un host externo siempre se comunicará de nuevo a la misma dirección IP que será esencial con protocolos como HTTP
cuando se trata de cookies. La desventaja es la memoria adicional requerida por NetDefendOS para rastrear el uso en su tabla de estado
y la pequeña sobrecarga de procesamiento involucrado en el procesamiento de una nueva conexión.
Para asegurarse de que la tabla de estado no contiene entradas para las comunicaciones muertos que ya no están activos, una Estado
Keepaliveel tiempo puede ser especificado. Esta vez es el número de segundos de inactividad que deben ocurrir antes de que se elimina un
estado en la tabla de estado. Después de este período NetDefendOS no asume ningún tipo de comunicación más se srcinará desde el host
interno asociado. Una vez que se elimina el estado entonces la comunicación subsiguiente desde el host dará lugar a una nueva entrada de
tabla de estado y puede ser asignado a una dirección IP externa diferente en el NAT Pool.
La tabla de estado en sí ocupa de memoria por lo que es posible limitar su tamaño mediante Max
el Unidos el valor de un objeto de conjunto
NAT. La tabla de estado no se asigna a la vez, pero se incrementa en tamaño según sea necesario. Una entrada en la tabla de estado de
seguimiento de todas las conexiones para un único host detrás del NetDefend Firewall sin importar que albergan las preocupaciones externa de
conexión. Si Max Unidos se alcanza luego se sustituye un estado existente con el tiempo de inactividad más largo. Si todos los estados de la
mesa es activa, entonces la nueva conexión se interrumpe. Como regla general, cuanto Max Unidos valor debe ser al menos el número de hosts o
clientes locales que se conectará a Internet.
369
Sólo hay una tabla de estado por cada conjunto NAT de modo que si un solo conjunto NAT se reutiliza en varias reglas NAT IP que comparten la
misma tabla de estados.
Sin estado piscinas NAT
los Apátrida opción significa que no hay tabla de estado se mantiene y la dirección IP externa elegido para cada nueva conexión es la
que tiene el menor número de conexiones ya asignados a la misma. Esto significa dos conexiones entre un host interno para el mismo
host externo puede utilizar dos direcciones IP externas diferentes.
La ventaja de una piscina sin estado NAT es que existe una buena difusión de nuevas conexiones entre las direcciones IP externas
sin necesidad de memoria asignada a una tabla de estados y hay menos tiempo de procesamiento necesario para la creación de
cada nueva conexión. La desventaja es que no es adecuada para la comunicación que requiere una dirección IP externa constante.
Piscinas fijas NAT
los Fijo opción significa que cada cliente interno o host se asigna una de las direcciones IP externas a través de un algoritmo de
hash. Aunque el administrador no tiene control sobre cuál de las conexiones externas se utilizará, este esquema asegura que un
cliente interno en particular o anfitrión siempre se comunicarán a través de la m isma dirección IP externa.
La opción Fijos tiene la ventaja de no requerir memoria para una tabla de estado y proporciona un procesamiento muy rápido para el nuevo
establecimiento de la conexión. Aunque el equilibrio de carga explícita no es parte de esta opción, debe haber divulgación de la carga a
través de las conexiones externas debido a la naturaleza aleatoria del algoritmo que se distribuyen.
Uso IP Pool
Cuando la asignación de direcciones IP externas a un conjunto NAT no es necesario indicar explícitamente estos. En cambio, un NetDefendOS IP Pool objeto
puede ser seleccionado. IP piscinas se reúnen colecciones de direcciones IP automáticamente a través de DHCP y, por tanto, pueden suministrar
direcciones IP externas de forma automática a un conjunto NAT. Ver Sección 5.4, “Conjuntos de IP” para más detalles sobre este tema.
Uso de Proxy ARP
Cuando un router externo envía consultas ARP a la NetDefend Firewall para resolver direcciones IP externas incluidas en un conjunto NAT,
NetDefendOS tendrán que enviar el ARP correcta responde a esta resolución se lleve a cabo a través de su mecanismo de proxy ARP por
lo que el router externo puede construir correctamente su tabla de ruteo.
Por defecto, el administrador debe especificar en la configuración del conjunto NAT qué interfaces serán utilizados por las piscinas NAT. Sin
embargo existe la opción para habilitar Proxy ARP para un conjunto NAT en todas las interfaces, pero esto puede causar problemas a veces por
la posible creación de rutas a interfaces en las que los paquetes no deben llegar. Por ello se recomienda que la interfaz (s) que debe utilizarse
para el mecanismo de NAT piscina Proxy ARP se especifican explícitamente.
Utilización de grupos de NAT
Piscinas NAT se utilizan en combinación con una regla NAT IP normal. Al definir una NAT regla general, el diálogo incluye la opción de
seleccionar un conjunto NAT para usar con la regla. Esta asociación aporta el conjunto NAT en uso.
Ejemplo 7.2. Utilización de grupos de NAT
370
En este ejemplo se crea un grupo de NAT con el rango de direcciones IP externa10.6.13.10a 10.16.13.15que luego se utiliza en una NAT norma IP para el
tráfico HTTP en el pálidointerfaz.
Interfaz web
R. En primer lugar crear un objeto en la libreta de direcciones del intervalo de direcciones:
1. Ir a: Objetos> Contactos> Añadir> IP4 Dirección
2. Especificar un nombre adecuado para el rango de IPnat_pool_range
3. Introduzca 10.6.13.10-10.16.13.15
en el Dirección IPcaja de texto
(Una red tal como 10.6.13.0/24 podría utilizarse aquí - las 0 y 255 direcciones serán eliminados automáticamente)
B. A continuación, cree un objeto de estado conjunto NAT llamada stateful_natpool:
1. Ir a: Objetos> Piscinas NAT> Añadir> conjunto NAT
2. Ahora ingrese:
• Nombre:stateful_natpool
• Tipo de piscina:stateful
• Rango de IP:nat_pool_range
3. Seleccione el Proxy ARPficha y añadir el PÁLIDO interfaz
C. Ahora definir el NAT gobernar en el conjunto de reglas IP
1. Ir a: Reglas> Reglas IP> Agregar> Regla IP
2. Bajo Generalentrar:
• Nombre:Introduzca un nombre adecuado, tal como nat_pool_rule
• Acción:NAT
3. Bajo filtro de direcciones

entrar:
• Interfaz de srcen:int
• Fuente de red:int-net
• Interfaz de destino:pálido
• Red de destino:
todas las redes de
• Servicio:HTTP
4. Seleccione el NAT ficha y escriba:
• Comprobar el Utilizar NAT piscina

opción
• Seleccionar stateful_natpool
de la lista desplegable
371
7.4. SAB Capítulo 7. Traducción de direcciones
7.4. SAB
NetDefendOS pueden traducir rangos enteros de direcciones IP y / o números de puerto. Estas conversiones son transposiciones donde cada
dirección o puerto se asigna a una dirección o puerto correspondiente en una nueva gama, en lugar de la traducción de todos ellos a la misma
dirección o puerto. Esta funcionalidad se conoce como
La traducción de direcciones estáticas ( SAB).
Nota: El reenvío de puertos
Algunos proveedores de equipos de red utilizan el término " el reenvío de puertos"cuando se hace referencia a la SAT. Ambos
términos se refieren a la misma funcionalidad.
SAT requiere de reglas IP múltiples
A diferencia de NAT, SAT requiere algo más que una sola regla IP por definir. UN SAB primera regla debe añadirse para especificar la traducción de
direcciones, pero NetDefendOS no termina la búsqueda conjunto de reglas después de encontrar una coincidencia SAB regla. En cambio, la
búsqueda de reglas IP continúa durante un juego Permitir, NAT
o FwdFast regla. Sólo cuando se ha encontrado una norma de este tipo no coincidente NetDefendOS ejecutar el srcinal SAB regla.
los SAB regla solamentedefine la traducción que ha de tener lugar. La segunda regla IP, asociado debe existir para permitir que en
realidad el tráfico atraviese el firewall.
La segunda regla debe dar lugar en el destino sin traducir IP
Un principio importante a tener en cuenta al crear las reglas de propiedad intelectual para el SAT es que la segunda regla, por ejemplo, una Permitir
regla, debe gatillo de la sin traducirDirección IP de destino. Un error común es crear una regla que desencadena en la dirección traducida
propuesta por el SAB regla.
Por ejemplo, si una SAB regla traduce el destino de 1.1.1.1 a 2.2.2.2 entonces la segunda regla asociada debe permitir
que el tráfico pase al destino 1.1.1.1 y no 2.2.2.2.
Sólo después de la segunda regla se activa para permitir el tráfico, es la búsqueda de rutas a continuación, realizado por NetDefendOS en la
dirección traducida para elaborar la interfaz que los paquetes deben ser enviados desde.
7.4.1. Traducción de una dirección IP única (1: 1)

La forma más simple de uso de SAT es la traducción de una sola dirección IP. Un escenario muy común para esto es para que los usuarios
externos acceder a un servidor protegido en una DMZ que tiene una dirección privada. Esto también es a veces referido como la implementación de
una IP virtual o como una Servidor virtual y se utiliza a menudo en confunction con una DMZ.
El papel de una DMZ
En este punto, es relevante para analizar el papel de la red conocida como el Zona desmilitarizada
(DMZ) puesto que las reglas SAT se utiliza a menudo en permitir el acceso DMZ.
El propósito de la DMZ es tener una red donde el administrador puede poner los recursos que serán accesibles a los clientes externos,
no son de confianza y donde este acceso se realiza normalmente a través de la Internet pública. Estos servidores tienen la máxima
exposición a las amenazas externas y por lo tanto con mayor riesgo de verse comprometidos.
Mediante el aislamiento de estos servidores de la DMZ, estamos creando una separación distinta de las redes internas, locales más
sensibles. Esto permite un mejor control NetDefendOS a lo que los flujos de tráfico entre la DMZ y las redes internas y para aislar mejor los
errores de seguridad que pudieran producirse en los servidores de DMZ.
372
7.4.1. Traducción de una dirección IP Capítulo 7. Traducción de direcciones
única (1: 1)
La ilustración siguiente muestra una disposición típica de red con un servidor de seguridad NetDefend mediación de las
comunicaciones entre la Internet y los servidores de la DMZ y entre la DMZ y clientes locales en una red llamada LAN.
Figura 7.4. El papel de la DMZ
Nota: El puerto DMZ podría ser cualquier puerto
En todos los modelos de D-Link Hardware NetDefend, existe una interfaz Ethernet específico que se marca como
para el DMZ red. Aunque este es el uso previsto del puerto que podría ser utilizado para otros fines y cualquier
interfaz Ethernet también podría ser utilizado en lugar de una DMZ.
Ejemplo 7.3. Permitiendo el tráfico a un servidor Web protegido en una DMZ
En este ejemplo, vamos a crear una política de SAT que se traducirá y permitir las conexiones de Internet a un servidor web situado en una DMZ. El
NetDefend Firewall está conectado a la Internet a través de la interfaz WAN con wan_ip objeto de dirección (definido como 195.55.66.77)como la
dirección IP. El servidor web tiene la dirección IPv4 10.10.10.5
y es accesible a través de la interfaz de DMZ.
En primer lugar, cambiar la categoría actual a ser el principalnorma IP fija:
GW-mundo: /> principal cc IPRuleSet
A continuación, cree una regla SAT IP:
GW-mundo: / principal> añadir iprule Action = SAT

Servicio = http SourceInterface = cualquier
SourceNetwork = todas las redes de
núcleo DestinationInterface = =
DestinationNetwork wan_ip SATTranslate
= DestinationIP
373
única (1: 1)
SATTranslateToIP = 10.10.10.5 Name =

SAT_HTTP_To_DMZ
A continuación, crear una correspondiente Permitirregla:
GW-mundo: / principal> añadir la acción iprule = Permitir

Servicio = http SourceInterface =
cualquier SourceNetwork = all-redes
DestinationInterface = núcleo
DestinationNetwork = wan_ip Name =
Allow_HTTP_To_DMZ
Interfaz web
En primer lugar crear una regla SAT:
2. Especificar un nombre adecuado para la regla, por ejemplo,S AT_HTTP_To_DMZ
• Acción:SAB
• Servicio:http
núcleo
4. En el marco delS AB pestaña, asegúrese de que la

D irección IP de destino
se selecciona la opción
cuadro de texto, introduzca 10.10.10.5

5. En el Nueva Dirección IP
A continuación, crear una correspondiente Permitirregla:
2. Especificar un nombre adecuado para la regla, por ejemplo,A llow_HTTP_To_DMZ
• Servicio:http
núcleo
4. En el marco del Serviciopestaña, seleccione http en el predefinidalista
Esto se traduce en las siguientes dos reglas en el conjunto de reglas IP:
# Acción src de Iface src neto dest de Iface dest Net parámetros
1 SAB alguna todas las redes de núcleo wan_ip http SETDEST 10.10.10.5 80
2 Permitir alguna todas las redes de núcleo wan_ip http
Estas dos reglas permiten el acceso al servidor web a través de la dirección IP externa del NetDefend Firewall. Regla 1 establece que
374
única (1: 1)
traducción de direcciones puede tener lugar si se ha permitido la conexión, y la regla 2 permite la conexión.
La interfaz de destino regla SAT debe ser

núcleo porque IPs de interfaz siempre se encaminan en
núcleo.
Una regla NAT también puede ser necesaria para permitir el acceso a los equipos internos de la Internet pública:
3 NAT lan Lannet alguna todas las redes de Todas
El problema con este conjunto de reglas es que hace que las direcciones internas visibles para los equipos de la zona de distensión. Cuando las computadoras se conectan a
wan_ip puerto 80, se les permitirá proceder por la regla 2. Desde una perspectiva de seguridad, los hosts en la zona de distensión deben ser considerados como poco fiable.
Hay dos soluciones posibles:
1. Cambiar la regla 2 de modo que sólo se aplica al tráfico externo.
2. Las disposiciones de cambiar 2 y 3 para que la NAT regla se lleva a cabo para el tráfico interno antes de la Permitirregla se activa.
¿Cuál de estas dos opciones es la mejor? Para esta configuración, no hace ninguna diferencia y ambos trabajan.
Sin embargo, suponemos que usamos otra interfaz, ext2, en el cortafuegos y conectarlo a otra red, tal vez a la de una empresa vecina para que
puedan comunicarse mucho más rápido con nuestros servidores.
Si se ha seleccionado la opción 1, el conjunto de reglas se debe ajustar de esta manera:
2 Permitir pálido todas las redes de núcleo wan_ip http
3 Permitir ext2 ext2net núcleo wan_ip http
4 NAT lan Lannet alguna todas las redes de all_services
Esto aumenta el número de reglas para cada interfaz permitido para comunicarse con el servidor web. Sin embargo, el ordenamiento regla no es importante, lo
que puede ayudar a evitar errores.
Si se ha seleccionado la opción 2, el conjunto de reglas se debe ajustar de esta manera:
2 NAT lan Lannet núcleo wan_ip all_services
Esto significa que no tiene que ser incrementado el número de reglas. Esto es bueno, siempre y cuando todas las interfaces pueden ser de confianza para comunicarse
con el servidor web. Sin embargo, si en un momento posterior añadimos una interfaz que no se puede confiar para comunicarse con el servidor web, porsoltar
separado
normas
tendrían que ser colocados antes de la norma que concede todas las máquinas de acceso al servidor web.
Determinar el mejor curso de acción debe hacerse sobre una base de caso por caso, teniendo en cuenta todas las circunstancias.
Ejemplo 7.4. Permitiendo el tráfico a un servidor Web en una red interna
En este ejemplo, un servidor web con una dirección IPv4 privada se encuentra en una red interna. Este ejemplo ha sido elegido por su sencillez pero este
método no es aconsejable desde el punto de vista de seguridad como servidores web están mejor situados en una DMZ.
Para que los usuarios externos para acceder al servidor web, que deben ser capaces de comunicarse con ella mediante una dirección pública. En este ejemplo, hemos
elegido para convertir el puerto 80 en dirección externa del cortafuegos al puerto 80 en el servidor web:
375
8.2.5. Normas de autenticación Capítulo 8. La autenticación del usuario
la detallada explicación HTTP a continuación).
Una regla de IP que permite el acceso de clientes a núcleo también se requiere con este tipo de agente.
Iii. XAUTH
Este es el método de autenticación IKE que se utiliza como parte de establecimiento de túnel VPN con IPsec.
Xauth es una extensión para el intercambio normal de IKE y proporciona una adición a la normalidad de seguridad IPsec que significa que
los clientes que acceden a una VPN debe proporcionar un nombre de usuario y la contraseña de inicio de sesión.
Cabe señalar que una interfaz valor no se introduce con una regla de autenticación XAuth ya que una sola regla con XAuth
como el agente se utilizará para todos los túneles IPsec. Sin embargo, este enfoque supone que se utiliza una sola fuente de
autenticación para todos los túneles.
Una regla de IP que permite el acceso de clientes a núcleo no es requerido.
iv. L2TP / PPTP / VPN SSL
Esto se utiliza específicamente para L2TP, PPTP o la autenticación SSL VPN.
Una regla de IP que permite el acceso de clientes a núcleo no es requerido.
• Fuente de autenticación
Esto especifica que la autenticación se va a realizar mediante uno de los siguientes:
yo. LDAP - Los usuarios se buscan en una base de datos del servidor LDAP externo.
ii. RADIUS -Un servidor RADIUS externo se utiliza para las operaciones de búsqueda.
Iii. No permitir -Esta opción no permite explícitamente todas l as conexiones que desencadenan esta regla. Tal
conexiones nunca serán autenticados.
Alguna Rechazar reglas están mejor situados en el extremo del conjunto de reglas de autenticación.
iv. local -Una base de datos de usuario local definido dentro NetDefendOS se utiliza para buscar usuarios
cartas credenciales.
v. Permitir -Con esta opción, se pueden autenticar todas las conexiones que desencadenan esta regla
automáticamente. Sin consulta de base de datos se produce.
• Interfaz
La interfaz de srcen en el que las conexiones sean autenticados llegará. Esto se debe especificar.
• srcinador IP
La IP de srcen o de red desde la que llegarán nuevas conexiones. Para XAuth y PPP, este es el Originador IP.
• Terminator IP
La terminación IP con la que llegan las nuevas conexiones. Esto sólo se especifica en el
Agente de autenticación es PPP.
397
8.2.6. Procesamiento de autenticación Capítulo 8. La autenticación del usuario
Tiempos de espera de conexión
Una regla de autenticación puede especificar los siguientes tiempos de espera relacionados con una sesión de usuario:
• Tiempo de inactividad
El tiempo que una conexión está inactiva antes de terminarse de forma automática (1800 segundos por defecto).
• Hora de término de la sesión
El tiempo máximo que puede existir una conexión (sin valor se especifica por defecto).
Si se utiliza un servidor de autenticación entonces la opción de Utilice los tiempos de espera recibidos desde el servidor de autenticación
puede
ser permitido tener estos valores establecidos desde el servidor.
múltiples inicios de sesión
varios accesos donde se manejan más de un usuario desde diferentes direcciones IP de srcen
Una regla de autenticación puede especificar cómo
tratar de iniciar sesión con el mismo nombre de usuario. Las opciones posibles son:
• Permitir múltiples inicios de sesión para que más de un cliente puede utilizar la misma combinación de nombre de usuario / contraseña.
• Permitir sólo una entrada por cada nombre de usuario.
• Permitir una entrada por cada nombre de usuario y cierre de sesión de un usuario existente con el mismo nombre si han estado inactivo durante
un período de tiempo específico cuando se produce el nuevo inicio de sesión.
8.2.6. Procesamiento de autenticación

La siguiente lista describe el flujo de procesamiento a través NetDefendOS para la autenticación de nombre de usuario / contraseña:
1. Un usuario crea una nueva conexión con el servidor de seguridad NetDefend.
2. NetDefendOS ve la nueva conexión de usuario en una interfaz y comprueba el regla de autenticación

conjunto para ver si hay una regla de correspondencia para el tráfico en esta interfaz, que viene de esta red y datos que es uno de
los siguientes tipos:
• el tráfico HTTP
• el tráfico HTTPS
• el tráfico de túnel IPsec
• el tráfico de túnel L2TP
• el tráfico del túnel PPTP
• el tráfico del túnel VPN SSL
3. Si hay una regla coincide, se permite la conexión, siempre que el conjunto de reglas IP permite, y no pasa nada más en el
proceso de autenticación.
4. En base a la configuración de la regla de autenticación primer juego, NetDefendOS puede pedir al usuario con una solicitud de autenticación
que requiere un par nombre de usuario / contraseña que debe introducirse.
5. NetDefendOS valida las credenciales de usuario en el Fuente de autenticación especificada en el
398
8.2.7. Un uso Grupo Ejemplo Capítulo 8. La autenticación del usuario
regla de autenticación. Esta será o bien una base de datos local de NetDefendOS, un servidor de base de datos externo RADIUS o un
servidor LDAP externo.
6. NetDefendOS luego permite más tráfico a través de esta conexión, siempre y cuando la autenticación se ha realizado correctamente y el
servicio solicitado es permitido por una regla en el conjunto de reglas IP. objeto de red de srcen de esa regla tiene ya sea la Sin
credenciales definidos
opción activada o, alternativamente, que se asocia con un grupo y el usuario es también un miembro de dicho
grupo.
7. Si se especifica una restricción de tiempo de espera en la regla de autenticación, el usuario autenticado será desconectado automáticamente
después de ese periodo de tiempo sin actividad.
Cualquier paquete desde una dirección IP que falla la autenticación se descartan.
8.2.7. Un uso Grupo Ejemplo

192.168.1.0/24 que
Para ilustrar el uso de grupos de autenticación, supongamos que hay un conjunto de usuarios que iniciar sesión desde la red
está conectado a la lan interfaz. El requisito es para restringir el acceso a una red llamada important_net sobre el int interfaz para un solo
regular_net sobre
grupo de usuarios de confianza, mientras que los demás usuarios menos confianza sólo pueden acceder a otra red llamada
el DMZ interfaz.
Suponiendo que estamos utilizando la base de datos interna de usuarios como la fuente de autenticación, añadimos los usuarios a esta base de datos
con pares nombre de usuario / contraseña adecuadas y una específica Grupo cuerda. Un conjunto de los usuarios pueda ser asignado al grupo con el
nombre de confianzay la otra para el grupo con el nombre no es de confianza.
Definimos ahora dos objetos IP de la misma red 192.168.1.0/24. Un objeto IP se llama

untrusted_net y tiene su Grupo conjunto de parámetros a la cadenano es de confianza.El otro objeto IP se llama
trusted_net y es Grupo parámetro se establece en la cadenano es de confianza.
El paso final es la creación de las reglas de la norma IP establecida como se muestra a continuación:
# Acción Interfaz de red src src dest dest Red Interfaz Servicio
1 Permitir lan trusted_net int important_net all_services
2 Permitir lan untrusted_net DMZ regular_net all_services
Si quisiéramos permitir que el de confianzaagrupar usuarios también puedan acceder a la red regular se podría añadir una tercera regla para permitir
que esto:
1 Permitir lan trusted_net int important_net all_services

2 Permitir lan trusted_net DMZ regular_net all_services
3 Permitir int untrusted_net DMZ regular_net all_services
8.2.8. La autenticación HTTP

Donde los usuarios se comunican a través de un navegador web utilizando el protocolo HTTP o HTTPS protocolo entonces la autenticación se
realiza mediante NetDefendOS presentan al usuario con las páginas HTML para recuperar la información del usuario requerida. Esto a veces
también se denomina WebAuth y la configuración requiere consideraciones adicionales.
WebUI puerto de administración debe ser cambiado
autenticación HTTP chocará con el servicio de gestión remota de la WebUI que también utiliza el puerto TCP 80 de forma
predeterminada. Para evitar este problema, el número de puerto WebUI debe cambiarse antes de configurar la autenticación.
Para ello, vaya a Gestión remota> configuración avanzada en el WebUI y cambiando la
399
8.2.8. La autenticación HTTP Capítulo 8. La autenticación del usuario
ajuste WebUI puerto HTTP.

El puerto número 81 podría en cambio, ser utilizado para este ajuste.
Lo mismo es cierto para la autenticación HTTPS y el número de puerto HTTPS predeterminado gestión del 443 también debe ser cambiado.
HTTP (S) Opciones de agente
Para HTTP y HTTPS de autenticación existe un conjunto de opciones en una regla de autenticación de llamada Opciones de agente.Estos son:
• Tipo de conexión -Este puede ser uno de:
yo. formulario HTML -El usuario se le presenta una página HTML para la autenticación que se llena
y en los datos enviados de vuelta a NetDefendOS con un POST.
ii. La autenticación básicaEsto

- envía una 401 - Autentificación requerida
mensaje de vuelta al
navegador, que hará que se use su propio diálogo incorporado para pedir al usuario para una combinación de nombre de usuario /
contraseña. UN cadena reinoopcionalmente se puede especificar que aparecerá en el diálogo del navegador.
formulario HTML se recomienda más de basicauthporque, en algunos casos, el navegador podría contener los datos de inicio de sesión
en su caché.
Iii. Autenticación MAC -La autenticación se realiza para los clientes HTTP y HTTPS sin
pantalla de ingreso al sistema. En cambio, la dirección MAC del cliente que se conecta se utiliza como nombre de usuario. La contraseña
es la dirección MAC o una cadena especificada.
Autenticación MAC se explica más adelante.
• Si el Agentese establece en HTTPS entonces el Anfitrión Certificado

y Certificado raíztienen que ser elegidos de una lista de
certificados ya cargados en NetDefendOS.
Dirección MAC autenticación con HTTP y HTTPS
Como se mencionó anteriormente, la NetDefendOS es posible autenticar a un servidor HTTP o HTTPS cliente automáticamente utilizando la
dirección MAC de la interfaz Ethernet del cliente que se conecta. Esto significa que la autenticación se basa únicamente en la identidad del
hardware del cliente.
Esto es útil si el administrador quiere asegurarse de que el acceso es sencillo para un dispositivo en particular y el usuario no va a ser
requred que escribir sus credenciales. Los siguientes puntos deben tenerse en cuenta acerca de este tipo de autenticación:
• El nombre de usuario enviado a la fuente de autenticación (por ejemplo, un servidor RADIUS) essiempre la dirección MAC del
cliente (o la dirección MAC de un enrutador entre los dos).
• Si el cliente se conecta al servidor de seguridad a través de un router, que es la dirección MAC del router y no el cliente que se envía a
la pasarela. Si la dirección MAC del router debe ser permitido como un sustituto de la dirección MAC del cliente, este debe ser
explícitamente habilitada con la opción de regla de autenticación
Permitir a los clientes detrás del router para conectarse.
NetDefendOS es capaz de determinar que el cliente está detrás de un router mediante la detección de la falta de correspondencia entre la
dirección IP de srcen y la dirección MAC del router.
• Por defecto, la contraseña enviada a la fuente de autenticación (por ejemplo, un servidor RADIUS) también es la dirección MAC del cliente
(o la dirección MAC de un enrutador entre los dos). Sin embargo, la utilización de contraseñas se puede especificar de forma explícita como
la propiedad regla de autenticación MAC autenticación secreta.
• La dirección MAC se introduce como una cadena de texto en la base de datos de la fuente de autenticación. Esta cadena de texto debe
seguir un formato específico para la dirección MAC. El formato correcto es una serie de
400
seis dos valores de caracteres en minúscula hexadecimales separados por un guión ( "-") carácter. Por ejemplo:
00-0c-19-f9-14-6f
Reglas IP se necesitan
autenticación HTTP no puede funcionar a menos que se añade una regla para la regla IP establecida para permitir la autenticación explícita a tener
lugar. Esto también es ci erto con HTTPS.
Si consideramos el ejemplo de un número de clientes en la red local Lannet que quieren acceder a la Internet pública a través de la
pálido Interfaz entonces el conjunto de reglas IP contendría las siguientes reglas:
1 Permitir lan Lannet núcleo LAN_IP http-todo
2 NAT lan trusted_users pálido todas las redes de http-todo
3 NAT lan Lannet pálido todas las redes de dns-todo
La primera regla permite que el proceso de autenticación a tener lugar y se supone que el cliente está intentando tener acceso LAN_IP
a la
dirección IP, que es la dirección IP de la interfaz en la NetDefend Firewall, donde se conecta la red local.
La segunda regla permite la actividad normal del surf, pero no podemos simplemente usar Lannet como la red de srcen ya que la regla
desencadenaría para cualquier cliente no autenticada de esa red. En lugar de ello, la red de srcen es un administrador definido por el
objeto IP llama trusted_users que es la misma red que
Lannet pero tiene, además, ya sea la opción de autenticación Sin credenciales definidos habilitado o tiene un grupo de autenticación
asignado a él (que es el mismo grupo que el asignado a los usuarios).
La tercera regla permite la búsqueda de DNS de las direcciones URL.
Obligando a los usuarios a una página de entrada
Con esta configuración, cuando los usuarios no autenticados tratar de navegar a cualquier IP, excepto LAN_IP caerán a través de las
reglas y será dado de baja sus paquetes. Tener siempre estos usuarios llegan a la página de autenticación hay que añadir una SAB regla y
su asociado Permitir regla. El conjunto de reglas ahora se verá así:
1 Permitir lan Lannet núcleo LAN_IP http-todo
2 NAT lan trusted_users pálido todas las redes de http-todo
3 NAT lan Lannet pálido todas las redes de dns-todo
4 SAB lan Lannet pálido todas las http-todo

redes de todo-a-uno
127.0.0.1
5 Permitir lan Lannet pálido todas las redes de http-todo
los SAB regla intercepta todas las solicitudes no autenticadas y debe ser configurado con una asignación de todos a una dirección que los
dirige a la dirección 127.0.0.1 que corresponde a núcleo ( NetDefendOS sí mismo).
401
Ejemplo 8.1. La creación de un grupo de usuarios de autenticación
En el ejemplo de una dirección de objeto de autenticación en la libreta de direcciones, un grupo de usuarios "usuarios" se utiliza para habilitar la autenticación de
usuario en "Lannet". Este ejemplo muestra cómo configurar el grupo de usuarios en la base de datos NetDefendOS.
Interfaz web
Paso A
1. Ir a: Autenticación de usuario> Bases de datos de usuarios locales> Agregar> LocalUserDatabase
2. Ahora ingrese:
• Nombre:lannet_auth_users
• comentarios:carpeta de "Lannet" grupo de usuarios de autenticación - "usuarios"
paso B
1. Ir a: lannet_auth_users> Añadir> Usuario
2. Ahora ingrese:
• Nombre de usuario:
Introduce el nombre de la cuenta del usuario, por ejemplo, usuario1
• Contraseña:Introduzca la contraseña del usuario
• Confirmar contraseña:
Repita la contraseña
• grupos:Un usuario puede especificarse en más de un grupo - introducir los nombres de los grupos aquí separados por una coma - para este
usuarios
ejemplo
4. Repetir paso BPara añadir todas las Lannetlos usuarios que tienen los miembros deusuariosgrupo en el lannet_auth_users
carpeta
Ejemplo 8.2. Configuración de la autenticación de usuario para Web Access
Las configuraciones siguientes muestran cómo habilitar la autenticación de usuario HTTP para el grupo de usuarios usuariosen Lannet.Sólo los usuarios que pertenecen al grupo usuarios
puede obtener el servicio de navegación por la web después de la autenticación, tal como se define en la norma IP.
Asumimos que Lannet, los usuarios, LAN_IP,

carpeta de base de datos locallannet_auth_users
y el objeto de dirección de la autenticaciónlannet_usersse
han definido.
Interfaz web
A. Crear una regla de IP para permitir la autenticación HTTP.
1. Ir a: Reglas> Reglas IP> Añadir> regla IP
2. Ahora ingrese:
• Nombre: http_auth
• Servicio:HTTP
402
• Interfaz de destinonúcleo
• Red de destinoLAN_IP
B. Crear una regla de autenticación
1. Ir a: Autenticación de usuario> Autenticación de Usuarios Reglas> Añadir> regla de autenticación de usuario
2. Ahora ingrese:
• Nombre:HTTPLogin
• Agente:HTTP
• Fuente de autenticación:
Local
• Interfaz:lan
• IP de srcen: Lannet
3. Para DB de usuario local

escoger lannet_auth_users
4. Para Tipo de inicio de sesión

escoger HTMLForm
C. Crear una regla de IP para permitir que los usuarios autenticados para navegar por la web.
1. Ir a: Reglas> Reglas IP> Añadir> regla IP
2. Ahora ingrese:
• Nombre: Allow_http_auth
• Acción:NAT
• Servicio:HTTP
• Fuente de red:lannet_users
• Interfaz de destinoalguna
• Red de destino
todas las redes de
Ejemplo 8.3. Configuración de un s ervidor RADIUS
Los pasos siguientes ilustran cómo un servidor RADIUS está configurado normalmente.
Interfaz web
1. Autenticación de usuario> Bases de datos de los usuarios externos> Añadir> Base de datos de usuarios externos
2. Ahora ingrese:
a. Nombre:Introduzca un nombre para el servidor, por ejemplo, ex-usuarios
segundo. Tipo:Seleccione RADIUS
do. Dirección IP:Introduzca la dirección IP del servidor, o introducir el nombre simbólico si el servidor se ha definido en el Directorio
re. Puerto:1812 (servicio RADIUS utiliza el puerto UDP 1812 por defecto)
403
8.3. Personalización de autenticación de páginas Capítulo 8. La autenticación del usuario
HTML
mi. Tiempo de espera de volver a intentar: 2 (NetDefendOS volverá a enviar la solicitud de autenticación al cortar si no hay
respuesta después del tiempo de espera, por ejemplo cada 2 segundos. Esto se volverá a intentar un máximo de 3 veces)
F. Secreto compartido:
Introducir una cadena de texto aquí para el cifrado básico de los mensajes RADIUS
gramo. Confirmar secreto:

Vuelva a escribir la cadena para confirmar el escrito anteriormente
8.3. Personalización de autenticación de páginas HTML

Autenticación de usuario hace uso de un conjunto de archivos HTML para presentar información al usuario durante el proceso de autenticación. Las
opciones disponibles para el procesamiento de autenticación HTTP son los siguientes:
• Cuando un usuario intenta utilizar un navegador para abrir una página web que se dirigen a una página de inicio de sesión (la
FormLogin página). Después de iniciar sesión correctamente, el usuario es llevado a la página solicitada srcinalmente.
• Después de iniciar sesión correctamente, sino que el usuario puede ser llevado a una página web específica.
• Después de iniciar sesión correctamente, el usuario es llevado a una página web en particular (el Inicio de sesión exitoso página) antes de ser
redirigido a la página solicitada srcinalmente.
HTTP Archivos Banner
Los archivos de página web, también conocida como archivos de banner HTTP, se almacenan dentro de NetDefendOS y ya existe por defecto en
NetDefendOS iniciales de arranque. Estos archivos se pueden personalizar para satisfacer las necesidades de una instalación en particular, ya sea
por la edición directa en la Interfaz Web o descargando y volviendo a cargar a través de un cliente de SCP.
archivos de banner en NetDefendOS son de dos tipos:

• archivos de la bandera por reglas de autenticación que utilizan Web de autenticación ( HTTP y HTTPS de inicio de sesión). Éstos se discuten a
continuación.
• archivos de banner para el HTTP ALG. Estos se discuten en Sección 6.3.4.4, “Personalización de WCF HTML Pages”.
Archivos Banner para la autenticación Web
Los archivos de autenticación web disponibles para la edición tienen los siguientes nombres:
• FormLogin
• Inicio de sesión exitoso
• Fallo de inicio de sesión
• LoginAlreadyDone
• LoginChallenge
• LoginChallengeTimeout
• Inicio de sesión exitoso
• LoginSuccessBasicAuth
• LogoutFailure
• Archivo no encontrado
Personalización de los archivos Banner
WebUI ofrece una forma sencilla de descargar y editar los archivos y luego cargar el código HTML editado de nuevo a NetDefendOS.
404
HTML
Para llevar a cabo la personalización es necesario crear primero un nuevo Auth Archivos Bannerobjeto con un nombre nuevo. Este nuevo
objeto contiene automáticamente una copia de todos los archivos de la Defecto Banner objeto Auth archivos. Estos nuevos archivos pueden ser
editados y subido de nuevo a NetDefendOS. El srcinal
Defecto objeto no puede editarse. El ejemplo dado a continuación pasa a través de los pasos de personalización.
Parámetros página HTML
Las páginas HTML para WebAuth puede contener un número de parámetros. Estos son:
• % CHALLENGE_MESSAGE%El- texto de la pregunta preguntó.
• % IPADDR% -La dirección IP que está siendo navegado desde.
• % ErrorMsg% -La razón por la que el acceso fue denegado.
• % USER% -El nombre de usuario introducido.
• % REDIRHOST% El
- IP de la máquina que se ha solicitado.
• % REDURURL% - El camino del host que se solicitó.
• % REDIRURLENC% - La URL codificada ruta.
• % IPADDR% - La IP del cliente.
• %NOMBRE DEL DISPOSITIVO%El

- nombre del servidor de seguridad de autenticación.
los Fallo de inicio de sesión

Página con autenticación MAC
Si falla la autenticación con la autenticación MAC, el% USUARIO% parámetro contendrá la dirección MAC del cliente
solicitante (o la dirección MAC del router intervenir más cercana del firewall).
Un parámetro típico conjunto de valores para la Fallo de inicio de sesión página cuando la autenticación de direcciones MAC se utiliza podría ser:
USUARIO: 00-0c-19-f9-14-6f
REDIRHOST: 10.234.56.71 REDIRURL:
/ Pruebas? User = usuario y pass = pase
REDIRURLENC: 2ftesting%%% 3fuser 3duser% 26pass% 3dpass IPADDR:
10.1.6.1
DEVICENAME: MyGateway
Los % REDIRURL% El parámetro no se debe quitar
En ciertas páginas Web banner, el parámetro%REDIRURL% aparece. Este es un marcador de posición para la dirección URL srcinal que
fue solicitado antes de que apareciera la pantalla de inicio de sesión de usuario para un usuario no autenticado. Después de una
autenticación exitosa, el usuario se redirige a la URL en poder de este parámetro.
Ya que % REDIRURL% sólo tiene este propósito interno, no debe ser eliminado de las páginas web y debe estar presente en el FormLogin
si la página que se utiliza.
Ejemplo 8.4. Edición de filtrado de contenido HTTP Archivos Banner
405
HTML
Este ejemplo muestra cómo modificar el contenido de la URL prohibidopágina HTML.
Interfaz web
1. Ir a: Objetos> HTTP archivos Banner> Añadir> Auth Archivos Banner
2. Introduzca un nombre como new_forbiddeny pulse DE ACUERDO
3. Aparecerá el diálogo para el nuevo conjunto de archivos de banner ALG
4. Haga clic en el Editar y ficha de vista previa
5. Seleccionar FormLogindesde el Páginalista
6. Ahora editar el código HTML que aparece en el cuadro de texto de la página URL Prohibida
7. uso Avancepara comprobar el diseño, si es necesario
8. Prensa Salvarpara guardar los cambios
9. Haga clic DE ACUERDOpara salir de la edición
10. Ir a:Objetos> ALGy seleccionar el correspondiente HTML ALG
11. Seleccione new_forbiddencomo el HTML Banner
13. Ir a: Configuración> Guardar y Activar

para activar el nuevo archivo
Consejo: cambios en los archivos HTML necesitan ser salvados
En el ejemplo anterior, más de un archivo HTML se pueden editar en una sesión, pero el
Salvar se debe presionar el botón para guardar los cambios antes de comenzar la edición de otro archivo.
Subir con SCP
Es posible subir archivos nuevos Banner HTTP utilizando SCP. Los pasos para hacer esto son:
1. Desde SCP no se puede utilizar para descargar el código HTML srcinal por defecto, el código fuente se debe copiar en primer lugar de la
WebUI y pegar en un archivo de texto local que se edita a continuación, utilizando un editor apropiado.
2. Un nuevo Auth Archivos Banner objeto debe existir el cual el archivo (s) editado subido a. Si el
objeto se llama ua_html, el comando CLI para crear este objeto es:
GW-mundo: /> añadir HTTPAuthBanners ua_html
Esto crea un objeto que contiene una copia de toda la Defecto archivos de la bandera de autenticación de usuario.
3. El archivo modificado se carga a continuación, utilizando SCP. Se cargan en el tipo de objeto

HTTPAuthBanner y el objeto ua_html con el nombre de la propiedadFormLogin. Si el editada
Formlogon archivo local se llama my.html a continuación, utilizando el cliente SSH abierto SCP, el comando de carga sería:
pscp my.html admin@10.5.62.11: HTTPAuthBanners / ua_html / FormLogin
El uso de los clientes de CPS se explica más adelante en Sección 2.1.6, “Secure Copy”.
4. Uso de la CLI, la regla de autenticación de usuario relevante ahora debe estar configurado para utilizar el ua_html. Si el
Regla nos llamamos my_auth_rule, el comando sería:
406
HTML
establecer UserAuthRule my_auth_rule HTTPBanners = ua_html
5. Como es habitual, utilice el activar Seguido por el cometer Comandos de la CLI para activar los cambios en
Firewall NetDefend.
407
HTML
408
Capítulo 9. VPN
En este capítulo se describe la Red Privada Virtual (VPN) funcionalidad en NetDefendOS.
• VPN de inicio rápido, página 413
• IPsec componentes, págin a 423
• Túneles IPsec, página 438
• PPTP / L2TP, página 457
• SSL VPN, página 466
• CA servidor de acceso, página 474
• VPN de averías, página 477
9.1.1. Uso de VPN

La Internet se utiliza cada vez más como un medio para conectar entre sí los ordenadores, ya que ofrece una comunicación
eficiente y de bajo costo. Por lo tanto, existe el requisito de los datos atravesar la Internet para su destinatario sin que la otra parte
ser capaz de leer o alterarlo.
Es igualmente importante que el destinatario pueda verificar que nadie está falsificando datos, en otras palabras, haciéndose pasar por otra
persona. Redes privadas virtuales ( VPNs) satisfacer esta necesidad, proporcionando un medio muy rentable de establecer enlaces seguros
entre dos ordenadores que cooperan de manera que se pueden intercambiar datos de manera segura.
VPN permite la creación de una túnel entre dos dispositivos conocidos como puntos finales del túnel. Todos los datos que fluyen a través
del túnel es entonces seguro. El mecanismo que proporciona seguridad túnel es
encriptación.
Hay dos escenarios comunes donde se utiliza VPN:
1. LAN para conexión LANCuando

- dos redes internas necesitan estar conectados a más de
La Internet. En este caso, cada red está protegida por un individuo NetDefend Firewall y el túnel VPN se
crea entre ellos.
409
9.1.2. cifrado VPN Capítulo 9. VPN
2. Conexión de cliente a LANDonde

- muchos clientes remotos necesitan para conectarse a un interno
la red a través de Internet. En este caso, la red interna está protegida por la NetDefend Firewall a la que se
conecta el cliente y el túnel VPN se establece entre ellos.
9.1.2. cifrado VPN

Cifrado del tráfico VPN se realiza utilizando la ciencia de criptografía. La criptografía es una expresión general que abarca 3
técnicas y ventajas:
confidencialidad Nadie más que los destinatarios es capaz de recibir y entender
el
logrado por el cifrado. comunicación. confidencialidad es
Autenticación e integridad La prueba para el receptor que la comunicación haya sido enviado por el
remitente esperado, y que los datos no han sido modificados en tránsito. Esto
se logra mediante la autenticación, y con frecuencia se implementa mediante el
uso de hashing con clave criptográfica.
No repudio La prueba de que el emisor llega a enviar los datos; el emisor no puede negar
posteriormente haber enviado. No repudio es por lo general una
410
9.3.8. Listas de identificación Capítulo 9. VPN
GW-mundo: /> añadir PSK MyPSK Tipo = HEX PSKHex = <ingresar la clave aquí>
Ahora aplique la clave precompartida para el túnel IPsec:
GW-mundo: /> Ajustar interfase IPsecTunnel MyIPsecTunnel PSK = MyPSK
Interfaz web
En primer lugar crear una clave precompartida:
1. Ir a: Objetos> Autenticación de objetos> Añadir> Pre-Shared Key
2. Introduzca un nombre para la clave pre-compartida, por ejemplo,MyPSK
3. Elegir clave hexadecimal

y haga clicGenerar clave aleatoria
para generar una clave para el
frase de contraseña
caja de texto
A continuación, aplicar la clave pre-compartida para el túnel IPsec:
1. Ir a: Interfaces> IPsec
2. Seleccione el objeto IPsec túnel objetivo
3. En el marco del Autenticaciónpestaña, seleccione Clave pre-compartida

y seleccione MyPSK
9.3.8. Listas de identificación

Cuando se utilizan certificados como método de autenticación para túneles IPsec, el NetDefend Firewall aceptará todos los dispositivos remotos o
clientes VPN que son capaces de presentar un certificado firmado por cualquiera de las autoridades de certificación de confianza. Esto puede ser un
problema potencial, especialmente cuando se utilizan clientes de uso móvil.
Un escenario típico
En cuenta la situación de los empleados que viajan está dando acceso a las redes corporativas internas que utilizan los clientes VPN. La
organización administra su propia autoridad de certificación y los certificados han sido emitidos a los empleados. Los diferentes grupos de
empleados pueden tener acceso a diferentes partes de las redes internas. Por ejemplo, los miembros de la fuerza de ventas necesitan tener
acceso a los servidores que ejecutan el sistema de orden, mientras que los ingenieros técnicos necesitan tener acceso a bases de datos
técnicos.
El problema
Dado que las direcciones IP de los empleados que viajan clientes VPN no pueden ser conocidas de antemano, las conexiones VPN
entrantes de los clientes no pueden diferenciarse. Esto significa que el servidor de seguridad es incapaz de controlar el acceso a diversas
partes de las redes internas.
La solución lista de ID
El concepto de listas de identificación presenta una solución a este problema. Una lista de identificación contiene una o más identidades
(ID), donde cada identidad corresponde al campo sujeto en un certificado. listas de identificación de este modo se pueden utilizar para
regular lo que los certificados que se les da acceso a lo túneles IPsec.
435
Ejemplo 9.3. El uso de una lista de Identidad
Este ejemplo muestra cómo crear y utilizar una lista de identificación para su uso en el túnel VPN. Esta lista de identificación contendrá un ID con el
tipo DN, nombre completo, como el identificador primario. Tenga en cuenta que este ejemplo no ilustra cómo agregar el objeto específico de túnel
IPsec.
En primer lugar crear una Lista de identificación:
GW-mundo: /> añadir IDList MyIDList
A continuación, cree un ID:
GW-mundo: /> cc IDList MyIDList
GW-mundo: / MyIDList> Añadir Id JohnDoe

Type = Distinguishedname
CommonName = OrganizationName
"John Doe" = D-Link OrganizationalUnit =
= Apoyo a los Países Suecia
EmailAddress=john.doe@D-Link.com
GW-mundo: / MyIDList> cc
Por último, aplique la lista de identificación para el túnel IPsec:
GW-mundo: /> Ajustar interfase IPsecTunnel MyIPsecTunnel

AuthMethod = Certificado IDList = MyIDList
RootCertificates = AdminCert
GatewayCertificate = AdminCert
Interfaz web
En primer lugar crear una Lista de identificación:
1. Ir a: Objetos Objetos> VPN> Listas de identificación IKE> Agregar> Lista de ID
2. Introduzca un nombre para la lista, por ejemplo,MyIDList
A continuación, cree un ID:
1. Ir a: Objetos Objetos> VPN> Listas de identificación IKE> Agregar> Lista de ID
2. Seleccionar MyIDList
3. Introduzca un nombre para la identificación, por ejemplo, John Doe
4. Seleccionar Nombre distinguido

en el Tipo controlar
• Nombre común:John Doe
• Nombre de la Organización:
D-Link
• Unidad organizacional:
Apoyo
• País: Suecia
• Dirección de correo electrónico:

john.doe@D-Link.com
436
Por último, aplique la lista de identificación para el túnel IPsec:
1. Ir a: Interfaces> IPsec
2. Seleccione el objeto túnel IPsec de interés
3. En el marco del Autenticación

pestaña, seleccioneCertificado X.509
4. Seleccione el certificado correspondiente en elCertificado Raíz (s)

y Certificado de puerta de enlace
controles
5. Seleccionar MyIDListen el Lista de identificación
437
9.4. Los túneles IPsec Capítulo 9. VPN
9.4. Los túneles IPsec

En esta sección se examina más de cerca túneles IPsec en NetDefendOS, su definición, opciones y su uso.
Un túnel IPSec define un punto final de un túnel encriptado. Cada túnel IPsec se interpreta como una interfaz lógica por NetDefendOS,
con las capacidades de filtrado de mismo, para la conformación de tráfico y de configuración como interfaces regulares.
Iniciación a distancia del túnel Establecimiento
Cuando otro NetDefend Firewall u otro producto de red compatible con IPsec (también conocidos comopunto la final remoto) intenta
establecer un túnel IPSec VPN a un servidor de seguridad local NetDefend, se examina la lista de los túneles IPsec actualmente
definidos en la configuración NetDefendOS. Si se encuentra una definición de túnel coincidente, se abrió el túnel. El IKE asociado y las
negociaciones IPsec entonces tienen lugar, lo que resulta en el túnel está estableciendo al punto final remoto.
Iniciación local del túnel Establecimiento
Alternativamente, un usuario en una red local protegido podría tratar de acceder a un recurso que se encuentra al final de un
túnel IPsec. En este caso, NetDefendOS ve que la ruta para la dirección IP del recurso es a través de un túnel IPsec definida y
el establecimiento del túnel se inicia entonces desde el NetDefend Firewall local.
Reglas IP Control de Tráfico descifrado
Tenga en cuenta que un túnel IPsec establecida hace no significa automáticamente que todo el tráfico que fluye desde el túnel es de
confianza. Por el contrario, el tráfico de red que haya sido descodificada se cotejará con el conjunto de reglas IP. Al hacer esta
comprobación conjunto de reglas IP, la interfaz de srcen del tráfico será el túnel IPsec asociada desde túneles son tratados como
interfaces en NetDefendOS.
Además, una ruta o una regla de acceso pueden tener que ser definido para clientes de uso móvil con el fin de NetDefendOS para
aceptar direcciones IP de srcen específicas del túnel IPsec.
volviendo tráfico
Para el tráfico de red que va en la dirección opuesta, de nuevo en un túnel IPsec, un proceso inverso se lleva a cabo. En primer lugar,
el tráfico sin cifrar es evaluada por el conjunto de reglas. Si una regla de ruta y partidos, NetDefendOS trata de encontrar un túnel IPsec
establecido que coincide con los criterios. Si no lo encuentra, NetDefendOS tratarán de establecer un nuevo túnel a la terminal remota
especificada por una definición de túnel IPsec j uego.
No hay reglas IP se necesitan para el tráfico IPsec Encerrando
Con túneles IPsec, el administrador generalmente establece reglas de IPsec que permiten tráfico sin cifrar fluya en el túnel (el túnel siendo tratada
como una interfaz NetDefendOS). Sin embargo, normalmente no es necesario establecer normas de propiedad intelectual que permiten
explícitamente los paquetes que implementan IPsec en sí.
paquetes IKE y ESP son de forma predeterminada tratados por el interior de NetDefendOS motor de IPsec y el conjunto de reglas IP no es
consultado.
Este comportamiento se puede cambiar en el la configuración avanzada de IPsec

sección con el Antes de Reglas IPsec
ajuste. Un ejemplo de por qué esto podría hacerse es si hay un alto número de túnel IPsec
438
9.4.1. Visión de conjunto Capítulo 9. VPN
los intentos de conexión procedentes de una determinada dirección IP o grupo de direcciones. Esto puede degradar el rendimiento del motor
NetDefendOS IPsec y soltando explícitamente este tipo de tráfico con una regla de IP es una manera eficaz de prevenir que de llegar al motor.
En otras palabras, las reglas IP se pueden utilizar para el control completo sobre todo el tráfico relacionado con el túnel.
Dead Peer Detection
Detección de Punto Inactivo (DPD) opcionalmente se puede habilitar para un túnel IPsec. DPD supervisa la vitalidad del túnel mediante la
búsqueda de tráfico que viene desde el par en el otro extremo del túnel. Si no hay ningún mensaje es visto dentro de un período de tiempo
(determinado por la configuración avanzadaDPD métrico)entonces NetDefendOS envíaDPD-RU-THERE mensajes a los pares para
determinar si todavía es alcanzable y vivo.
Si el interlocutor no responde a estos mensajes durante un período de tiempo (determinado por la configuración avanzada DPD Tiempo
caducar)a continuación, el par se considera muerta y el túnel es bajado. NetDefendOS tratará entonces de forma automática para volver a
establecer el túnel después de un período de tiempo (determinado por la configuración avanzada DPD Keep Time).
La configuración avanzada de DPD se describen además enSección 9.4.6, “Configuración avanzada” IPsec.
DPD está habilitado por defecto para los túneles IPsec NetDefendOS. Incapacitante no inhabilita a la capacidad para responder a las DPD-RU-THERE
de otro compañero.
Mantener viva
el IPsec Mantener viva opción garantiza que el túnel permanece establecido en absoluto posibles tiempos incluso si los flujos de tráfico.
Esto se logra mediante el envío de forma continua ICMP Silbido mensajes a través del túnel. Si las r espuestas a los mensajes de ping no se
reciben luego en el enlace del túnel se supone que está roto y se hace un intento automáticamente para restablecer el túnel. Esta función
sólo es útil para LAN a LAN túneles.
Opcionalmente, una dirección

recomienda especificar una IPespecífica IP de
de destino de srcen y / o l aque
un anfitrión dirección IP de destino
es conocido por serpara los de
capaz pings se pueden
responder de especificar.
manera fiableSea los mensajes
ICMP. Si no se especifica un destino de IP, NetDefendOS utilizará la primera dirección IP en la red remota.
Un uso importante de mantenimiento de conexión es si un túnel de LAN a LAN con el tráfico de datos infrecuentes sólo puede establecerse a partir
de un lado, pero necesita ser mantenido con vida para las máquinas de los otros pares. Si los pares que establece el túnel utiliza keep-alive para
mantener el túnel establecido, cualquier host en el otro lado pueden utilizar el túnel a pesar de que el otro par no se puede establecer el túnel
cuando es necesario.
Comparando DPD y keep-alive
DPD y de mantenimiento de conexión se pueden considerar para realizar una función similar que detecta si un túnel IPsec es hacia abajo y el
restablecimiento de la misma. Sin embargo, hay diferencias:
• Keep-alive sólo se puede utilizar para LAN a LAN túneles IPsec. No se puede utilizar con los clientes móviles.
• Keep-alive es mucho más rápido en la detección de un túnel que está abajo y el restablecimiento de la misma. Por lo tanto, es una solución
preferida para LAN a los túneles de LAN.
Tener keep-alive y DPD habilitado simultáneamente para un túnel de LAN a LAN no es necesario ya que el DPD no se disparará si se están enviando
pings de mantenimiento de conexión.
IPsec Túnel de inicio rápido
Esta sección cubre los túneles IPsec con cierto detalle. Una lista de comprobación de inicio rápido de pasos de configuración para estos protocolos en
situaciones típicas se pueden encontrar en las siguientes secciones:
439
9.4.2. LAN a LAN Túneles con claves Capítulo 9. VPN
precompartidas
• Sección 9.2.1, “IPsec LAN a LAN con claves compartidas Pre-”.
• Sección 9.2.2, “IPsec LAN a LAN con certificados”.
• Sección 9.2.3, “IPsec Roaming clientes con claves compartidas Pre-”.
• Sección 9.2.4, “IPsec roaming Los clientes con Certificados”.
Además de la sección de inicio rápido, más explicación de la configuración del túnel es la siguiente.
9.4.2. LAN a LAN Túneles con claves precompartidas

Una VPN puede permitir distribuidos geográficamente redes de área local (LAN) para comunicarse de forma segura a través de Internet
pública. En un contexto corporativo, esto significa LAN en sitios geográficamente separados pueden comunicarse con un nivel de seguridad
comparable a la existente si se comunicaban a través de un enlace dedicado, privado.
La comunicación segura se logra mediante el uso de túnel IPsec, con el túnel que se extiende desde la pasarela VPN en un lugar
a la gateway VPN en otro lugar. Por consiguiente, el NetDefend Firewall es el ejecutor de la VPN, mientras que al mismo tiempo
la aplicación de vigilancia de seguridad normal de tráfico que pasa a través del túnel. En esta sección se ocupa específicamente
de la configuración de LAN a LAN túneles creados con una clave precompartida (PSK).
Se requiere un número de pasos para configurar la LAN a LAN túneles con PSK:
• Configurar el propiedades de túnel VPN

e incluir la clave pre-compartida.
• Configurar el propiedades túnel VPN.
• Configurar el Ruta en el principal tabla de enrutamiento (u otra tabla de si se está utilizando un suplente).
• Configurar el Reglas (un túnel de 2 vías requiere 2 reglas).
9.4.3. Los clientes en itinerancia
Un empleado que está en movimiento que necesita acceder a un servidor de la empresa central de un ordenador portátil desde diferentes
lugares es un ejemplo típico de un cliente de uso móvil. Aparte de la necesidad de un acceso VPN seguro, el otro problema importante con los
clientes móviles es que la dirección IP del usuario móvil a menudo no se conoce de antemano. Para manejar la dirección IP desconocida los
NetDefendOS pueden añadir dinámicamente rutas de la tabla de enrutamiento que se establecen túneles.
Tratar con direcciones IP desconocidas
Si la dirección IP del cliente no se conoce de antemano entonces el NetDefend Firewall necesita para crear una ruta en su tabla de enrutamiento de
forma dinámica a medida que cada cliente se conecta. En el siguiente ejemplo este es el caso y el túnel IPsec está configurado para añadir
dinámicamente rutas.
Si
Redlosremota
clientes se les debe permitir a vagar de todas partes, conIP:independencia
se debe establecer a todas las redes de Dirección
( de su dirección IP, entonces el
0.0.0.0/0) que permitirá a todas las direcciones IPv4 existentes para
conectarse a través del túnel.
Al configurar túneles VPN para clientes de uso móvil por lo general no es necesario añadir o modificar las listas de propuestas algoritmo
que están pre-configurados en NetDefendOS.
PSK basada túneles de cliente
El siguiente ejemplo muestra cómo un túnel basado PSK se puede configurar.
440
9.4.3. Los clientes en itinerancia Capítulo 9. VPN
Ejemplo 9.4. La creación de un túnel VPN basado PSK para clientes móviles
En este ejemplo se describe cómo configurar un túnel IPsec en la oficina central NetDefend Firewall para clientes móviles que se conectan a la
oficina para obtener acceso remoto. La red de la oficina central utiliza el lapso 10.0.1.0/24 de red con cortafuegos externo wan_ip IP.
Interfaz web
A. Crear una clave previamente compartida para la autenticación IPsec:
1. Ir a: Objetos> Objetos de autenticación> Añadir> Pre-Shared Key
2. Ahora ingrese:
• Nombre:Introduzca un nombre para la clave, por ejemplo, Llave secreta
• Secreto compartido:
Ingrese una frase de contraseña secreta
• Confirmar secreto:
Introduzca la contraseña secreta de nuevo
B. Configurar el túnel IPsec:
1. Ir a: Interfaces> IPsec> Añadir> túnel IPsec
2. Ahora ingrese:
• Nombre:RoamingIPsecTunnel
• Red local:10.0.1.0/24 (Esta es la red local que los usuarios móviles se conectarán a)
• Red remota:todas las redes de
• Punto final remoto:Ninguna)

(
• Túnel
Modo de encapsulación:
3. Para entrar Algoritmos:
• IKE Algoritmos:Medio o Alto
• IPsec Algoritmos:Medio o Alto
4. Para la autenticación entre:
• Pre-Shared Key:Seleccione la clave pre-compartida creado anteriormente
5. En el marco delenrutamientolengüeta:
• Active la
laopción:
opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel.
C. Finalmente configurar la regla IP configurada para permitir el tráfico dentro del túnel.
túneles de cliente basada en certificados con firma
El siguiente ejemplo muestra cómo un túnel basado en el certificado se puede configurar.
Ejemplo 9.5. La creación de un túnel VPN basado en certificado autofirmado para clientes móviles
En este ejemplo se describe cómo configurar un túnel IPsec en la oficina central NetDefend F irewall para clientes móviles que se conectan a la
oficina para obtener acceso remoto. La red de la oficina central utiliza la red 10.0.1.0/24
441
abarcar con wan_ip cortafuegos IP externa.
Interfaz web
A. Crear un certificado autofirmado para la autenticación IPsec:
El paso para crear realmente certificados con firma se lleva a cabo fuera de la Web UI usando un producto de software adecuado. El certificado debe
estar en el formato de archivo PEM (Privacy Enhanced Mail).
B. Cargar todas las auto-firmado los certificados de cliente:
1. Ir a: Objetos> Autenticación de objetos> Añadir> Certificado
2. Introduzca un nombre adecuado para el objeto Certificado
3. Seleccione el Certificado X.509opción
C. Crear listas de identificación:
1. Ir a: Objetos> VPN objetos> Lista de ID> Añadir> Lista de ID
2. Introduzca un adecuadonombre,por ejemplo ventas
4. Ir a: Objetos> VPN Objetos> Lista de ID> Ventas> Añadir> ID
5. Introducir el nombrepara el cliente
6. Seleccionar Email como Tipo
7. En el Dirección de correo electrónico

campo, introduzca la dirección de correo electrónico seleccionada cuando el certificado se crea en el cliente
8. Crear un nuevo ID para cada cliente que se concede derechos de acceso, de acuerdo con las instrucciones anteriores
D. Configurar el túnel IPsec:
2. Ahora ingrese:

(
• Túnel
• Escoger Certificado X.509

como método de autenticación
• Certificado Raíz (s):

Seleccionar todos los certificados de cliente y añadirlos a la Seleccionadolista
• Puerta de enlace de certificado:

Elija el certificado de servidor de seguridad de nueva creación
• Lista de identificación:
Seleccione la lista de ID que va a ser asociado con el túnel VPN. En este caso, será
ventas
• Active la
laopción:
opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel.
442
E. Finalmente configurar la regla IP c onfigurada para permitir el tráfico dentro del túnel.
Sobre la base de los túneles CA certificados de servidor
La creación de túneles de cliente utilizando un certificado de CA emitido es en gran parte el mismo que el uso de certificados auto-firmados con la
excepción de un par de pasos.
Es la responsabilidad del administrador de adquirir el correspondiente certificado de una autoridad expedidora de túneles de cliente. Con
algunos sistemas, como Windows 2000 Server, no se encuentra incorporado el acceso a un servidor de CA (en Windows 2000 Server esto se
Para obtener más información sobre los certificados de servidor CA emitida ver Sección 3.8,
encuentra en Servicios de certificados).
“Certificados”.
Ejemplo 9.6. Configuración de certificado de CA del servidor túneles VPN basados en clientes móviles
En este ejemplo se describe cómo configurar un túnel IPsec en la oficina central NetDefend Firewall para clientes móviles que se conectan a la
oficina para obtener acceso remoto. La red de la oficina central utiliza el lapso 10.0.1.0/24 de red con cortafuegos externo wan_ip IP.
Interfaz web
A. Cargar todos los certificados de cliente:
1. Ir a: Objetos> Autenticación de objetos> Añadir> Certificado
2. Introduzca un nombre adecuado para el objeto Certificado
3. Seleccione el Certificado X.509opción
B. Crear listas de identificación:
1. Ir a: Objetos> VPN objetos> Lista de ID> Añadir> Lista de ID
2. Introduzca un descriptivanombre,por ejemplo ventas
4. Ir a: Objetos> VPN Objetos> Lista de ID> Ventas> Añadir> ID
5. Introducir el nombrepara el cliente
6. Seleccionar Email como Tipo
7. En el Dirección de correo electrónico

campo, introduzca la dirección de correo electrónico seleccionada cuando el certificado se crea en el cliente
8. Crear un nuevo ID para cada cliente que se concede derechos de acceso, de acuerdo con las instrucciones anteriores
C. Configurar el túnel IPsec:
2. Ahora ingrese:

(
• Túnel
443
• Escoger Los certificados X.509

como método de autenticación
• Certificado Raíz (s):

Seleccione el certificado raíz del servidor CA importado antes y añadirlo a laSeleccionadolista
• Puerta de enlace de certificado:

Elija el certificado de servidor de seguridad de nueva creación
• Lista de identificación:
Seleccione la lista de ID que va a ser asociado con el túnel VPN. En este caso, será
ventas
• Active la opción: Agregar dinámicamente ruta a la red remota cuando se establece un túnel
laopción:
D. Finalmente configurar la regla IP configurada para permitir el tráfico dentro del túnel.
Uso del modo de configuración
Modo de configuración IKE ( Modo de configuración) es una extensión de IKE que permite NetDefendOS para proporcionar información de
configuración de LAN a clientes VPN remotos. Se utiliza para configurar dinámicamente los clientes IPsec con direcciones IP y máscaras
de red correspondientes, y para el intercambio de otros tipos de información asociada con DHCP. La dirección IP a un cliente puede ser o
bien basarse en un rango de direcciones IP estáticas predefinidas definidas para el modo de configuración o puede provenir de servidores
DHCP asociados a una IP Pool objeto.
Un conjunto de IP es una memoria caché de direcciones IP recogidos de los servidores DHCP y alquila en estas direcciones se renuevan
automáticamente cuando el tiempo de concesión está a punto de expirar. Conjuntos de IP también manejan información adicional, como DNS y WINS /
NBNS, al igual que un servidor DHCP normal haría. (Para obtener información detallada sobre piscinas esto ver Sección 5.4, “Conjuntos de IP”.)
La definición del objeto del modo de configuración
Actualmente sólo hay un objeto Modo de configuración se puede definir en NetDefendOS y esto se conoce como la
Modo de configuración piscina objeto. Los parámetros clave asociados a ella son las siguientes:
Utilice predefinidas IP agrupación de objetos El objeto del inventario IP que proporciona las direcciones IP.
Utilice una piscina estático Como alternativa al uso de una piscina IP, un conjunto estático de direcciones IP se
puede definir.
DNS La dirección IP del DNS utilizados para la resolución de URL (ya provista por una
piscina de IP).
NBNS / WINS La dirección IP para NBNS resolución / WINS (ya provista por una piscina de IP).
DHCP Indica al anfitrión para enviar sus peticiones DHCP interno a esta dirección.
subredes Una lista de las subredes a las que puede acceder el cliente.
444
9.4.4. Obtención de las CRL desde un servidor LDAP Capítulo 9. VPN
alternativo
Ejemplo 9.7. Configuración del modo de configuración
En este ejemplo, la Modo de configuración piscina

objeto se habilita mediante la asociación con él una ya configuradoIP Pool
objeto llamado ip_pool1.
Interfaz web
1. Ir a: Objetos Objetos> VPN> Config IKE modo de piscina
2. El propiedades de los objetos página Web Modo de configuración de conjunto aparece ahora
3. Seleccionar Utilice un objeto ippool predefinido
4. Elija el ip_pool1objeto de la IP Pool la lista desplegable
Después de definir el objeto del modo de configuración, la acción único que queda es para habilitar el modo de configuración para su uso con el túnel
IPsec.
Ejemplo 9.8. Uso del modo Config con túneles IPsec
Suponiendo un túnel predefinido llamadovpn_tunnel1este ejemplo muestra cómo habilitar el modo de configuración para ese túnel.
Interfaz web
• Ir: Interfaces> IPsec
• Seleccionar el túnelvpn_tunnel1para la edición
• Seleccione el grupo en elIKE Modo Config piscina

la lista desplegable
• Haga
ACUERDO
clic DE
Validación de IP
NetDefendOS siempre comprueba si la dirección IP de srcen de cada paquete dentro de un túnel IPsec es la misma que la dirección IP
asignada al cliente IPsec con el modo de config IKE. Si se detecta una falta de coincidencia el paquete siempre se deja caer y un mensaje
de registro genera con un nivel de gravedad Advertencia.Este mensaje incluye las dos direcciones IP, así como la identidad del cliente.
Opcionalmente, el SA afectada se puede eliminar automáticamente si falla la validación, permitiendo la configuración avanzada IPsecDeleteSAOnIPValidationFailure.
El valor predeterminado de esta configuración es Discapacitado.
9.4.4. Obtención de las CRL desde un servidor LDAP alternativo
Un certificado raíz por lo general incluye la dirección IP o el nombre de la autoridad de certificación en ponerse en contacto cuando los
certificados o CRLs necesitan ser descargado en el NetDefend Firewall. Lightweight Directory Access Protocol ( LDAP) se utiliza para
estas descargas.
Sin embargo, en algunos casos, esta información no está presente, o el administrador desea utilizar otro servidor LDAP. La sección de
configuración LDAP entonces se puede utilizar para especificar manualmente servidores LDAP alternativos.
445
9.4.5. Solución de problemas con ikesnoop Capítulo 9. VPN
Ejemplo 9.9. Configuración de un servidor LDAP
Este ejemplo muestra cómo configurar manualmente y especificar un servidor LDAP.
GW-mundo: /> añadir LDAPServer

Host = 192.168.101.146 Nombre de
usuario Contraseña = miusuario =
mypassword puerto = 389
Interfaz web
1. Ir a: Objetos> VPN objetos> LDAP> Añadir> Servidor LDAP
2. Ahora ingrese:
• Dirección IP:192.168.101.146
• Nombre de usuario:
mi nombre de usuario
• Contraseña:mi contraseña
• Confirmar contraseña:
mi contraseña
• Puerto:389
9.4.5. Solución de problemas con ikesnoop
Negociación de túnel VPN
Cuando la creación de túneles IPsec, pueden surgir problemas debido a que la negociación inicial falla cuando los dispositivos en cada extremo de
un túnel VPN intentan pero no logran ponerse de acuerdo en el que se utilizarán los protocolos y métodos de cifrado. los ikesnoop comando de la
consola con el verboso opción es una herramienta que se puede utilizar para identificar el srcen de dichos problemas, mostrando los detalles de
esta negociación.
Utilizandoikesnoop
los ikesnoop comando se puede introducir a través de una consola CLI o directamente a través de la consola RS232.
Para empezar a supervisar el comando completo es:
GW-mundo: /> ikesnoop -on -verbose
Esto significa que la producción ikesnoop será enviada a la consola para cada túnel VPN negociación IKE. La salida puede ser
abrumador así para limitar la salida a una única dirección IP, por ejemplo la dirección de IP10.1.1.10, el comando sería:
GW-mundo: /> ikesnoop -on 10.1.1.10 -verbose
la dirección IPv4 utilizado es la dirección IP del extremo remoto del túnel VPN (ya sea el IP del extremo remoto o el cliente
IP). Para desactivar la supervisión, el comando es:
GW-mundo: /> ikesnoop -off
446
13.8. Configuración de reensamblaje de fragmentos Capítulo 13. Configuración avanzada
locales
13.8. Configuración de reensamblaje de f ragmentos locales
Max Concurrent
Número máximo de reassemblies locales simultáneas.
Defecto: 256
Tamaño máximo
El tamaño máximo de un paquete reensamblado a nivel local.
Defecto: 10000
Los tampones grandes
Número de grandes (más de 2K) reensamblaje buffers locales (del tamaño de arriba).
Defecto: 32
566
13.9. Otras configuraciones Capítulo 13. Configuración avanzada
13.9. Otras configuraciones
UDP Puerto de srcen 0
¿Cómo tratar los paquetes UDP con el puerto de srcen 0.
Defecto: DropLog
puerto 0
¿Cómo tratar TCP / UDP con paquetes puerto de destino 0 y los paquetes TCP con el puerto de srcen 0.
Defecto: DropLog
tiempo de supervisión
Número de segundos que no responden antes organismo de control se activa (0 = desactivado).
Defecto: 180
Inundación Tiempo de reinicio
Como una forma definitiva a cabo, NetDefendOS se reinicia automáticamente si sus buffers se han inundado por un largo tiempo. Este ajuste
especifica esta cantidad de tiempo.
Defecto: 3600
Conexiones Max
Paquete de re-ensamblaje recoge fragmentos IP en datagramas IP completo y, por TCP, reordena los segmentos de manera que se procesan
en el orden correcto y también para mantener un registro de segmento potencial superposiciones y para informar a otros subsistemas de tales
solapamientos. Los ajustes asociados límite de memoria utilizada por el subsistema de re-ensamblaje.
Este ajuste especifica el número de conexiones pueden utilizar el sistema de re-ensamblaje, al mismo tiempo. Se expresa como un
porcentaje del número total de conexiones permitidas. Mínimo 1, máximo 100.
Defecto: 80
memoria Max
Esta configuración especifica la cantidad de memoria que el sistema de re-ensamblaje puede asignar para procesar paquetes. Se
expresa como un porcentaje de la memoria total disponible. Mínimo 1, máximo 100.
Defecto: 3
Los usuarios Max Pipe
El número máximo de usuarios de tubería para asignar. Como los usuarios de tubos solamente se realiza un seguimiento de 20 de un segundo, este
número por lo general no tiene que estar en cualquier lugar cerca del número real de usuarios, o el número de conexiones statefully rastreados. Si no
hay tubos configurados, ningún usuario de tuberías serán asignados, independientemente de este ajuste. Para obtener más información acerca de las
tuberías y los usuarios de tubos, véanse
Sección 10.1, “Asignación de tráfico”.
567
Defecto: 512
568
569
Apéndice A. Suscripción a Actualizaciones
Visión de conjunto
El módulo NetDefendOS Anti-Virus (AV), el módulo de detección de intrusiones y prevención (IDP) y el módulo de filtrado de contenido Web
dinámico usando todas las funciones de bases de datos externas D-Link que contienen detalles de los últimos virus, amenazas a la seguridad
y la categorización de URL. Estas bases de datos se actualizan constantemente y para tener acceso a las últimas actualizaciones de un
D-Link Actualización de seguridad de suscripción debe ser sacado. Esto se realiza mediante:
• La compra de una suscripción de un distribuidor local de D-Link.
• En la compra, los clientes reciben un único código de activación para identificarlos como un usuario del servicio.
• Ir: Mantenimiento> Licencia En la interfaz web de su sistema NetDefend Firewall e introduzca el código de activación.
NetDefendOS indicarán el código es aceptado y se activará el servicio de actualización. (Asegúrese de que el acceso a la
Internet pública es posible cuando' hacer esto).
Consejo: Una guía de inscripción se puede descargar
Un "Manual de Registro" paso a paso que explica los procedimientos de registro y actualización de servicios con más detalle
está disponible para su descarga desde el sitio web de D-Link.
Renovación de la suscripción
En la interfaz web ir a Mantenimiento> Licencia
para comprobar qué servicios de actualización se activan y cuando su suscripción está
extremos.
Importante: Renueva en buen momento
Renovar su suscripción antes de que finalice su suscripción actual! No lo deje para el último momento.
Supervisión de actualización de las bases

En la interfaz web ir a Mantenimiento> Actualizarpara configurar la base de datos de actualización automática. El administrador
también puede comprobar si la última actualización se intentó y en qué estado era para ese intento.
En la misma zona de la interfaz web también es posible iniciar manualmente la actualización seleccionando
Actualizar ahorapara descargar las últimas firmas de la base de datos.
Base de datos comandos de consola

bases de datos de PDI y Anti-Virus (AV) se pueden controlar directamente a través de una serie de comandos de la consola.
Adelantarse a la base de datos Actualizaciones
Una actualización de base de datos IDP puede ser obligado en cualquier momento utilizando el comando:
GW-mundo: /> updatecenter -update IDP
570
Base de datos comandos de consola Apéndice A. Suscripción a Actualizaciones
Una actualización Anti-Virus Del mismo modo se puede iniciar con el comando:
GW-mundo: /> updatecenter -update Antivirus
Consulta de Estado de la actualización
Para obtener el estado de las actualizaciones de desplazados utilizar el comando:
GW-mundo: /> updatecenter -status IDP
Para obtener el estado de las actualizaciones de AV:
GW-mundo: /> updatecenter -status Antivirus
Consulta de estado del servidor
Para obtener el estado de los servidores de red D-Link utilizar el comando:
GW-mundo: /> updatecenter -servers
La eliminación de bases de datos locales
Algunos problemas técnicos en el funcionamiento de cualquiera de los módulos Anti-Virus IDP o puede ser resuelto mediante la supresión de la base
de datos y volver a cargar. Para IDP esto se hace con el comando:
GW-mundo: /> removeDB IDP
Para eliminar la base de datos Anti-Virus, utilice el comando:
GW-mundo: /> removeDB Antivirus
Una vez eliminado, todo el sistema debe ser reiniciado y una actualización de la base iniciada. También se recomienda la eliminación de la base de
datos si bien IDP o Anti-Virus no se utiliza durante períodos más largos de tiempo.
Nota: Actualización de la base de datos hace una pausa en el procesamiento
actualizaciones de la base antivirus requieren un par de segundos para optimizar una vez que se haya descargado una
actualización. Esto hará que el servidor de seguridad para hacer una pausa momentánea en su funcionamiento. Por lo tanto, puede
ser mejor para establecer el calendario de actualizaciones para estar en momentos de poco tráfico, como en las primeras horas de
la mañana. Eliminación de una base de datos puede causar una pausa similar en funcionamiento.
571
Apéndice B. IDP Firma Grupos
Para la exploración de desplazados internos, los siguientes grupos de la firma están disponibles para la selección. Estos grupos sólo están
disponibles para el Servicio Avanzado IDP D-Link. Hay una versión de cada grupo en los tres
tipos de IDS, IPSy Política.Para más información, véase Sección 6.5, “Detección y prevención de intrusiones”.
Nombre del grupo Tipo de intrusiones
APP_AMANDA Amanda, una copia de seguridad de software populares
APP_ETHEREAL Etéreo
APP_ITUNES reproductor de Apple iTunes
APP_REALPLAYER reproductor multimedia de RealNetworks
APP_REALSERVER reproductor de RealNetworks RealServer
APP_WINAMP WinAMP
APP_WMP MS Windows Media Player
AUTHENTICATION_GENERAL Authenticantion
AUTHENTICATION_KERBEROS Kerberos
AUTHENTICATION_XTACACS XTACACS
BACKUP_ARKEIA solución de copia de seguridad de r ed
BACKUP_BRIGHTSTOR soluciones de copia de seguridad de CA
BACKUP_GENERAL soluciones de copia de seguridad generales
BACKUP_NETVAULT solución de copia de seguridad NetVault
BACKUP_VERITAS Las soluciones de respaldo
BOT_GENERAL Las actividades relacionadas con los robots, incluyendo los controlados por canales de IRC
BROWSER_FIREFOX Mozilla Firefox

BROWSER_GENERAL ataques generales dirigidas a los navegadores web / clientes
BROWSER_IE microsoft Internet Explorer
BROWSER_MOZILLA navegador Mozilla
COMPONENT_ENCODER Codificadores, como parte de un ataque.
COMPONENT_INFECTION Infección, como parte de un ataque
COMPONENT_SHELLCODE código de Shell, como parte de los ataques
DB_GENERAL Los sistemas de bases de datos
DB_MSSQL MS SQL Server

DB_MYSQL MySQL DBMS
DB_ORACLE Oracle DBMS
DB_SYBASE servidor Sybase
DCOM_GENERAL MS DCOM
DHCP_CLIENT actividades relacionadas con el cliente DHCP
DHCP_GENERAL protocolo DHCP
SERVIDOR DHCP actividades relacionadas con el servidor DHCP
DNS_EXPLOIT ataques DNS

DNS_GENERAL Nombre de dominio de Sistemas
DNS_OVERFLOW ataque de desbordamiento de DNS
DNS_QUERY ataques relacionados con la consulta
ECHO_GENERAL protocolo de eco y las implementaciones
ECHO_OVERFLOW desbordamiento del búfer de eco
FINGER_BACKDOOR puerta trasera dedo
FINGER_GENERAL protocolo de dedo y ejecución

FINGER_OVERFLOW El rebosadero para el protocolo Finger / implementación
FS_AFS Andrew File System

FTP_DIRNAME ataque nombre de directorio
572
FTP_FORMATSTRING ataque de cadena de formato
FTP_GENERAL protocolo FTP y ejecución

ftp_login ataques de inicio de sesión
FTP_OVERFLOW FTP desbordamiento de búfer
GAME_BOMBERCLONE BomberClone juego

GAME_GENERAL servidores de juegos genéricos / clientes
GAME_UNREAL Servidor de juego UnReal
HTTP_APACHE httpd Apache

HTTP_BADBLUE servidor web BadBlue
HTTP_CGI HTTP CGI

HTTP_CISCO Cisco servidor Web incorporado
HTTP_GENERAL Actividades generales HTTP
HTTP_MICROSOFTIIS Los ataques HTTP específicas de servidor web MS IIS
HTTP_OVERFLOWS Desbordamiento de búfer para los servidores HTTP
HTTP_TOMCAT Tomcat JSP

ICMP_GENERAL protocolo y la implementación de ICMP
IGMP_GENERAL IGMP
IMAP_GENERAL protocolo IMAP / implementación
IM_AOL AOL IM
IM_GENERAL implementaciones de mensajería instantánea
IM_MSN MSN Messenger

IM_YAHOO Yahoo Messenger
IP_GENERAL protocolo IP e implementación
IP_OVERFLOW Desbordamiento del protocolo IP / implementación
IRC_GENERAL Internet Relay Chat
LDAP_GENERAL LDAP General de clientes / servidores
LDAP_OPENLDAP Open LDAP

LICENSE_CA-LICENCIA gestión de licencias de software de CA.
LICENSE_GENERAL Administrador de licencias en general
MALWARE_GENERAL ataque de malware
METASPLOIT_FRAME ataque marco de Metasploit
METASPLOIT_GENERAL ataque general Metasploit

MISC_GENERAL ataque general
MSDTC_GENERAL MS DTC
MSHELP_GENERAL Ayuda de Microsoft Windows
NETWARE_GENERAL Protocolo central de NetWare
NFS_FORMAT Formato
NFS_GENERAL protocolo NFS / implementación
NNTP_GENERAL NNTP aplicación / protocolo

OS_SPECIFIC-AIX específica de AIX
OS_SPECIFIC GENERAL OS en general
OS_SPECIFIC-UX HP-UX relacionados

OS_SPECIFIC-LINUX específica de Linux
OS_SPECIFIC-SCO SCO específica
OS_SPECIFIC-SOLARIS específica de Solaris
OS_SPECIFIC-VENTANAS específico de windows
P2P_EMULE herramienta P2P eMule
P2P_GENERAL Herramientas generales P2P
P2P_GNUTELLA herramienta P2P Gnutella
PACKINGTOOLS_GENERAL herramientas generales de embalaje ataque
573
PBX_GENERAL PBX
POP3_DOS Denegación de Servicio para POP
POP3_GENERAL v3 Post Office Protocol

POP3_Login ataques adivinar una contraseña de inicio de sesión y el ataque relacionado
POP3_OVERFLOW desbordamiento servidor POP3
POP3_REQUEST-ERRORES Solicitud de error
PORTMAPPER_GENERAL PortMapper
PRINT_GENERAL servidor de impresión LP: LPD LPR
PRINT_OVERFLOW Desbordamiento de LPR / LPD protocolo / aplicación
REMOTEACCESS_GOTOMYPC PC Goto MI
REMOTEACCESS_PCANYWHERE PcAnywhere
REMOTEACCESS_RADMIN Remote Administrator (Radmin)
REMOTEACCESS_VNC-CLIENTE Ataques dirigidos a clientes VNC
REMOTEACCESS_VNC-SERVER Ataque dirigido a servidores VNC
REMOTEACCESS_WIN-TERMINAL Windows Terminal / Remote Desktop
RLOGIN_GENERAL protocolo y aplicación RLogin
RLOGIN_LOGIN-ATAQUE ataques de inicio de sesión
ROUTER_CISCO ataque router Cisco

ROUTER_GENERAL ataque general enrutador
ROUTING_BGP protocolo enrutador BGP
RPC_GENERAL protocolo y aplicación RFC

RPC_JAVA-RMI Java RMI
RSYNC_GENERAL rsync
SCANNER_GENERAL escáneres genéricos
SCANNER_NESSUS escáner Nessus
SECURITY_GENERAL soluciones anti-virus

SECURITY_ISS software de Internet Security Systems
SECURITY_MCAFEE McAfee
SECURITY_NAV solución de Symantec AV
SMB_ERROR Error SMB

SMB_EXPLOIT SMB Exploit
SMB_GENERAL ataques SMB
SMB_NETBIOS ataques de NetBIOS
SMB_WORMS gusanos SMB
SMTP_COMMAND-ATAQUE ataque comando SMTP

SMTP_DOS Denegación de Servicio para SMTP
SMTP_GENERAL protocolo SMTP e implementación

SMTP_OVERFLOW SMTP desbordamiento
SMTP_SPAM CORREO NO DESEADO
SNMP_ENCODING codificación SNMP
SNMP_GENERAL protocolo SNMP / implementación
SOCKS_GENERAL protocolo y aplicación SOCKS

SSH_GENERAL protocolo SSH e implementación
Ssh_login-ATAQUE Contraseña de inicio de sesión de la conjetura y ataques relacionados
SSH_OPENSSH servidor OpenSSH
SSL_GENERAL protocolo SSL e implementación

TCP_GENERAL protocolo TCP e implementación
TCP_PPTP PPTP
TELNET_GENERAL protocolo Telnet e implementación
TELNET_OVERFLOW Telnet ataque de desbordamiento de búfer
574
TFTP_DIR_NAME Nombre del directorio ataque
TFTP_GENERAL protocolo TFTP e implementación

TFTP_OPERATION Ataque operación
TFTP_OVERFLOW TFTP ataque de desbordamiento de búfer
TFTP_REPLY Responder ataque TFTP
TFTP_REQUEST ataque petición TFTP

TROJAN_GENERAL Trojan
UDP_GENERAL general de UDP
UDP_POPUP Ventana emergente para MS Windows
UPNP_GENERAL UPnP
VERSION_CVS CVS
VERSION_SVN Subversión
VIRUS_GENERAL Virus
VOIP_GENERAL protocolo VoIP y ejecución
VOIP_SIP protocolo SIP y la ejecución
WEB_CF-ARCHIVO-INCLUSIÓN inclusión de archivos de ColdFusion
WEB_FILE-INCLUSIÓN inclusión de archivos
WEB_GENERAL ataques a las aplicaciones Web
WEB_JSP-ARCHIVO-INCLUSIÓN JSP inclusión de archivos
WEB_PACKAGES populares paquetes de aplicaciones web
WEB_PHP-XML-RPC PHP XML RPC

WEB_SQL-INYECCIÓN Inyección SQL
WEB_XSS Cross-Site Scripting-

WINS_GENERAL MS servicio WINS
WORM_GENERAL lombrices
X_GENERAL X aplicaciones genéricas
575
Apéndice C. tipos de archivos Verified MIME
Algunas pasarelas capa de aplicación (ALG) NetDefendOS tienen la capacidad opcional para verificar que el contenido de un archivo
descargado coincide con el tipo que el tipo de archivo en el nombre del archivo indica. Los tipos de archivo MIME para los que la
verificación se puede hacer se enumeran en este apéndice y la ALG a los que se aplica este son:
• La ALG HTTP
• El FTP ALG
• El POP3 ALG
• El SMTP ALG
Los ALG mencionados anteriormente, también ofrecen la opción de permitir de forma explícita o bloquear ciertos tipos de archivos como descargas de
una lista de tipos. Esa lista es la misma que se encuentra en este apéndice.
Para una descripción más detallada de la verificación MIME y el bloque de tipo de archivo / permitir función, consulte
Sección 6.2.2, “El HTTP ALG”.
extensión de tipo de archivo Solicitud

3ds archivos 3D Studio
3gp archivo multimedia 3GPP
aac MPEG-2 Advanced Audio Coding Archivo
ab applix Constructor
as archivo de la ECA
ad3 Los sistemas de archivos comprimidos dec Voz
ag applix archivo gráfico
AIFF, AIF archivo de intercambio de audio
a.m Macro applix ÚTIL

arco archivo de almacenamiento
Alz archivo comprimido ALZip
avi archivo de audio y vídeo entrelazado
arj archivo comprimido

arca Quark archivo en formato comprimido
ARQ archivo comprimido

como archivo de hoja de cálculo applix
asf archivo Advanced Streaming Format
avr Audio Visual Sound Investigación
aw applix archivo de Word
bh archivo de formato de archivo Blackhole
bmp Ventanas de gráficos de mapa de bits
caja archivo de mensajes de voz VBOX
BSA Archivo comprimido BSARC

BZ, bz2 archivo comprimido Bzip UNIX
taxi archivo de Microsoft gabinete
CDR Corel archivo gráfico vectorial

cgm CGM
chz CHARC archivo en formato comprimido
clase código de bytes de Java
CMF Archivo de música creativa
núcleo / coredump Unix volcado de memoria
576

CPL Panel de control de archivos de Windows Extensión
dBm archivo de base
DCX archivo de mapa de bits multipágina PCX
debutante archivo de paquete Debian Linux
djvu archivo DjVu
DLL archivo de biblioteca de vínculos dinámicos de Windows
dpa DPA datos de archivo
DVI TeX Dispositivo documento independiente
ota archivo de EET
huevo archivo de datos Allegro
el C Emacs Lisp byte-compilado Código Fuente

EMD Formato de archivo de ABT EMD Módulo / canción
esp ESP datos de archivo
exe ejecutable de windows
FGF Free Graphics archivo de formato
FLAC archivo Free Lossless Audio Codec
FLC FLIC Foto animada

Fli FLIC Animación
flv Macromedia Flash Video
gdbm archivo de base
gif archivo de formato de intercambio de gráficos
gzip, GZ, TGZ archivo comprimido gzip

tener suerte HAP datos de archivo
hpk HPack archivo en formato comprimido
hqx Macintosh BinHex 4 archivo comprimido
CPI Kodak Color Management System, perfil ICC

icm Perfil archivo Microsoft ICM color
ico El archivo de icono de Windows
FMI módulo de datos de sonido imago Orpheus
inf El archivo de información SIDPLAY
eso Módulo Música Rastreador Impulso
Java código fuente de Java
tarro archivo JAR de Java
JNG Formato de vídeo JNG
JPG, JPEG, JPE, JFF, jfif, jif archivo JPEG
CCI archivo comprimido Jrchive

jsw Sólo la palabra de sistema Procesador Ichitaro
kdelnk archivo de enlace de KDE
LHA un archivo comprimido LHA

lim Archivo comprimido límite
ceceo datos de archivo LIM
lzh un archivo comprimido LZH

Maryland un archivo comprimido MDCD
MDB Base de datos de Microsoft Access
mediados, midi Interfaz digital de instrumentos musicales MIDI-secuencia de sonido
mmf Yamaha SMAF sintético Formato de la música de aplicaciones móviles
MNG Multi-Red imagen animación gráfica

mod módulo de datos de sonido Ultratracker
mp3 MPEG Audio Stream, Capa III

mp4 archivo de vídeo MPEG-4
577

mpg, mpeg MPEG 1 Sistema de corriente, archivo de vídeo
MPV archivo de vídeo MPEG-1
archivos de Microsoft archivos de Microsoft Office y otros archivos de Microsoft
MSA datos de archivo Atari MSA
niff, nif Armada de intercambio de archivos Formato de mapa de bits
Noa Nancy Video Codec

NSF NES archivo de sonido
obj, o archivo de objeto de Windows, Linux archivo de objeto
OCX Object Linking and Embedding (OLE) de extensión de control
OGG archivo WAV comprimido Ogg Vorbis Codec
fuera ejecutable de Linux
pac CrossePAC datos de archivo
PBF Mapa de bits portátil Formato de la imagen
PBM Portátil gráfico de mapa de bits
pdf Acrobat Portable Document Format

Educación física El archivo ejecutable portátil
PFB PostScript Tipo 1 Fuente
pgm Gráfico portátil Graymap

PKG SysV R4 PKG Datastreams
pll datos de archivo PAKLeo
pma PMarc datos de archivo
png Portátil (Pública) Network Graphic

ppm PBM portátil Gráfico Pixelmap
PD archivo PostScript
psa PSA datos de archivo
psd Formato de archivo de Photoshop
qt, mov, moov Archivo de película QuickTime
qxd documento de QuarkXPress
ra, ram RealMedia Streaming Media

rar archivo comprimido WinRAR
RBS ReBirth archivo de canción
riff, rif archivo de audio de Microsoft
rm RealMedia Streaming Media

rpm RedHat Package Manager
rtf, WRI archivo de formato de texto enriquecido
sar Racionalizar archivo comprimido

OSE datos del instrumento SoundBlaster
Carolina del Sur SC hoja de cálculo
SGI archivo de Silicon Graphics IRIS gráfico
sid Commodore64 (C64) archivo de música (archivo SID)
sentar archivos StuffIt
cielo Archivo comprimido SKY

SND, AU archivo de audio Sun / siguiente
asi que archivos UNIX biblioteca compartida
sof archivo ReSOF

SQW SQWEZ datos de archivo
SQZ Exprimirlo datos de archivo
STM Gritar Módulo Rastreador v2

SVG archivo de gráficos vectoriales escalables
SVR4 SysV R4 PKG Datastreams
578

SWF Formato de archivo de Macromedia Flash
alquitrán archivo de almacenamiento de cinta
TFM de fuentes tipográficas datos de métrica
tiff, tif Etiquetado de archivos Formato de la imagen
tnef Tnef
torrente archivos BitTorrent metainfo
ttf Fuente TrueType
TXW archivos de audio Yamaha TX Wave
ufa UFA datos de archivo
VCF archivo vCard
viv Archivo de vídeo VivoActive reproductor de streaming
wav forma de onda de audio
sem documento de Lotus 1-2-3
WMV archivo de Windows Media
wrl, vrml archivo VRML texto sin formato
xcf Archivo de imagen GIMP
XM Fast Tracker 2 Módulo extendido, archivo de audio
xml archivo XML
xmcd archivo de base de datos para xmcd kscd
xpm El archivo de icono BMC Software Patrulla UNIX
YC archivo comprimido YAC

ZIF imagen ZIF
cremallera Zip un archivo comprimido

Zoo archivo comprimido ZOO
ZPK Zpack datos de archivo
z archivo comprimido Unix
579
Marco Apéndice D. El OSI
Visión de conjunto
los Sistemas abiertos de interconexión ( OSI modelo) define un marco para las comunicaciones entre la computadora. Se
clasifica protocolos diferentes para una gran variedad de aplicaciones de red en siete capas más pequeñas y manejables. El
modelo describe cómo los datos de una aplicación en un ordenador se pueden transferir a través de un medio de red a una
aplicación en otro equipo.
El control de tráfico de datos se transmite de una capa a la siguiente, a partir de la capa de aplicación en un ordenador, de proceder a la
capa inferior, atravesando el medio a otro ordenador y luego entregar hasta la parte superior de la jerarquía. Cada capa se encarga de un
cierto conjunto de protocolos, de modo que las tareas para el logro de una aplicación pueden ser distribuidos a diferentes capas y pueden
implementar de manera independiente. El modelo es relevante para la comprensión del funcionamiento de las muchas características
NetDefendOS tales como ARP, servicios y ALG.
número de capa propósito capa

capa 7 Solicitud
capa 6 Presentación
capa 5 Sesión
capa 4 Transporte
capa 3 Red
capa 2 Enlace de datos
capa 1 Físico
Figura D.1. Las 7 capas del modelo OSI
Funciones de la capa
Las diferentes capas realizan las siguientes funciones:
Capa 7 - Capa de aplicación Define la interfaz de usuario que soporta aplicaciones directamente.
Protocolos: HTTP, FTP, TFTP. DNS, SMTP, Telnet, SNMP y similares. La
ALG operar a este nivel.
Capa 6 - Capa de Presentación Traduce las diversas aplicaciones de red a los formatos uniformes que el
resto de las capas puede entender.
Capa 5 - Capa de Sesión Establece, mantiene y termina las sesiones de toda la red. Protocolos:
NetBIOS, RPC y similares.
Capa 4 - Capa de Transporte datos controla el flujo y proporciona control de errores. Protocolos: TCP, UDP y
similares.
Capa 3 - Capa de Red Realiza direccionamiento y encaminamiento. Protocolos: IP, OSPF, ICMP, IGMP y
similares.
Capa 2 - capa de enlace de datos Crea tramas de datos para la transmisión sobre la capa física e incluye
error de comprobación / corrección. Protocolos: Ethernet, PPP y s imilares.
ARP funciona a este nivel.
Capa 1 - Capa Física Define la conexión de hardware físico.
580
TFTP, 279
Índice alfabético TLS, 316

Lista propuesta de algoritmo (ver listas de propuestas) todos
los mosquiteros objeto IP, 92, 136 Permitir regla IP, 139
Permitir que el error de selección (RADIUS), 69 Permitir TCP
UN Reabrir configuración, 554 ataques de amplificación, 357
reglas de acceso, 263 anonimizar el tráfico de Internet, 368 de filtrado anti-spam
contabilidad, 65 (véase el filtrado de correo no deseado) análisis antivirus, 337
mensajes provisionales, 67
limitaciones con NAT, 69 mensajes,
65
cierres del sistema, 69 activante, 338 de base de datos, 338 fallan
accouting comportamiento del modo, 339 en el FTP ALG,
y alta disponibilidad, libro 68 de 273 en el HTTP ALG, 268 en el POP3 ALG, 289
direcciones, 88 en el SMTP ALG, 280 requisitos de memoria,
direcciones MAC Ethernet, 90, 92 337 relación con IDP, 338 exploraciones
carpetas simultáneas, 337 con ZoneDefense , 341 de
Direcciones IP en, 88 puerta de enlace de capa de aplicación (ver ALG)
grupos de direcciones, 91 ARP, 126
excluyendo direcciones, traducción
de direcciones de 91, 363 cuenta admin,
30
el cambio de contraseña para, varios
accesos 41, 30 configuración avanzada
la configuración avanzada, 130, 131 de caché, 126

ARP, 131 gratuito, 174 de proxy, 180 publicar, 129 estática, 128
tiempo de espera de conexión, 558 xpublish, ajuste de 129 ARP Broadcast, ajuste Tamaño 133
relé DHCP, 257 servidor DHCP, 251 ARP Cache, 127, 133 cambios de ajuste ARP, 132 ARP
fragmentación, 562 de reensamblaje caducar configuración, 127, 133 ARP expirará entorno
de fragmentos, 566 en general, 546 desconocido, 127, 133 configuración ARP Hash Tamaño,
128, valor Tamaño de VLAN 133 ARP Hash, 128,
configuración 133 ARP IP colisión, 134 ajuste remitente
monitoreo de hardware, de 76 años
de alta disponibilidad, 537 ICMP, 555 ARP Partido Ethernet, configuración 131 ARP multidifusión,
133 ARP ajuste del intervalo de sondeo, 179 la consulta
nivel de IP, IPSec 546, 453 IPv6, 94 ARP sin el ajuste remitente, 132 ARP ajuste de solicitudes,
132 configuración IP del remitente ARP, 132 autenticación,
385
L2TP / PPTP, 463 límite

de longitud, 560 de
registro, 64
monitoreo de memoria, 78
RADIUS, 69
gestión remota, 52 de
enrutamiento, 179 SNMP, 75
estado, 556 nivel TCP, 550 modo
transparente, 244 VLAN, 117 grupo de administradores, 388 agente, grupo
de 396 auditores, 388 páginas de
personalización HTML, 404 bases de datos,
387 de HTTP, 399 base de datos local, 387
Repetición de alarma ajuste de intervalo, 64 reglas, 396 resumen de la configuración, 387
configuración del Nivel de Alerta, 78 ALG, 266 fuente, 397 SSH cliente clave de uso, 389
utilizando grupos con las normas de PI, 387
despliegue, 266 utilizando LDAP, 389 usando RADIUS, 389 con
FTP, 270 una dirección MAC, 400 XAuth, 396
H.323, 302 de HTTP, POP3
267, 289 PPTP, 290 de SIP,
291 SMTP, 280 de filtrado
de correo no deseado, 283
581
Índice alfabético
Agregar automáticamente multidifusión Ruta, 230 sistema cambio rápido, 42 NetDefendOS reiniciar,
autónomo (ver OSPF) Auto intervalo de ahorro de 42 shell seguro, 40 del tabulador,
configuración (DHCP), 258 Guardar automáticamente terminación 37 pestaña de datos, 38
Política de configuración (DHCP), 258 de actualización utilizando nombres de host, 40 secuencias
automática, 83 de comandos de la CLI, 44
segundo
creación automática, 47 pedidos
copias de seguridad de configuraciones, 83
de comando, control de errores
garantías de ancho de banda, los archivos
46, 46 ejecución, nombres de
495 de banner
archivos 45, 44, 47 perfil, la
personalización, 334, 404 para la
eliminación de 47, 46 ahorro, 46
autenticación web, 404 para el filtrado de
contenidos web, 334 parámetros, 334, 405

listas negras
la escritura de pasarela de seguridad (.sgs), 44

hosts y redes, 360 URLs,
carga con SCP, 50 de validación, 46 variables, 45
320 de comodines, 320 con
salida detallada, 46 cluster (ver alta disponibilidad)
IDP, 351
ID de clúster (ver alta disponibilidad) interfaz de
línea de comandos (CLI ver) el modo de
con reglas de umbral, 512 Bloque 0000
configuración, 444 objeto de configuración grupos,
configuración Src, 546 Bloque 0 ajuste neto, 547 del
142
bloque 127 para colocar la red, 547 aplicaciones de
bloqueo con IDP, configuración 343 Bloque de
multidifusión Src, 547 menú de arranque (véase el
arranque menú de la consola) BOOTP, 256 BPDU
y carpetas, 145 y la CLI, 142
reinstalación, 243
propiedades de edición de, 143
configuraciones, 53
el ajuste Remitente emisión Enet, 246

copia de seguridad / restauración, 83 compatibilidad de copia
de seguridad, 83 comprobación de la integridad, de 43 años de
do nombres duplicados, 39 limitación de conexiones (ver reglas de
ajuste Tamaño CAM, 245 umbral) que limita la velocidad de conexión (ver reglas de umbral)
Para CAM caché L3 Dest aprendizaje estableciendo, 244 servidores de conexión Reemplazar configuración, 556 consecutiva
de CA producen errores, el establecimiento de 179 éxito consecutivo,
de acceso, 474, 475 de acceso de cliente de 179 consola
validación incapacitante, 476 de colocación
servidor privado, 475 certificados, 148
menú de inicio, 50 contraseña

CA autoridad, 148 cadenas de que permite, filtrado de contenidos
certificados, 148 peticiones de 51, 319
certificados, 151 listas de contenido activo, el modo de
identificación, 435, 148, lista de auditoría 319, 325 categorías, 327
revocación intermedia 149 dinámico (WCF), 322 de anulación,
autofirmado, 150, 415, 441, certificado 326 de suplantación de identidad, la
de la memoria caché 149 validez, 149, creación de 331, 323 sitio de
418 con IPsec reclasificación, 326 correo no
deseado, 333 estática, 320 de
filtrado de contenido HTML
Solución de problemas VPN, 478
cadenas (en la conformación del tráfico), 486
CLI, 29, 36
cambiar la contraseña de administrador, 41 personalización, 334 interfaz de
historial de comandos, la estructura de núcleo, 107, 136 rutas centrales,
mando 37, 36 de indexación, 39 173 ajuste de nivel crítico, 78
múltiples valores de característica, 39

referencias nombre, categoría 39 objeto,
re
de contexto 38 objeto, de tipo 38 objeto,
fecha y hora, 153
36
Antes de desactivar el ajuste de reconf (HA), 537 de detección de
pares muertos, 439
582
Índice alfabético
configuración TTL decremento, 245 regla por puerta de enlace predeterminada, 109
defecto de acceso, 169, 263 configuración incapacitante, 114 permitiendo, 114 dirección IP,
TTL predeterminado, 547 zona 109 diferencia lógica / física, 112 con DHCP, la
desmilitarizada (DMZ ver) denegación de prevención del ataque 109 evasión, 347 eventos,
servicio, 355 59
destino algoritmo de RLB, 190 DHCP,
249
mostrar información del servidor, 252
contratos, 249 log receptores de mensajes, 60
varios servidores, 250 a través de mensajes de registro, 59
Ethernet, 109 de configuración avanzada
de relé, 257 reinstalación, 256
F
la configuración avanzada de servidores, ajuste de reensamblaje de fragmentos fallado, 563 filetype
bloque de descarga / permitir
251 de la lista negra de servidores,
FTP ALG, 273 en HTTP ALG, el
servidores 253, 250
establecimiento de inundación 268 Hora de
asignación estática anfitrión, 253 con el
reinicio, 567 carpetas
modo transparente, 237 grupos DH, 428
herramientas de diagnóstico
con las normas de PI, 141 con la libreta
de direcciones, 92 de ajuste fragmentación
pcapdump, 80
de ICMP, FTP ALG 564, 270
Diffie-Hellman (DH ver Grupos) diffserv,
485
restricciones de mando, 272 opciones de conexión
ajuste Directed retransmisiones, 548
de restricción, restricciones de canal de control 272,
algoritmos distancia vector, 196 DMZ, 372
273, 273 de tipo de archivo de cheques modo
DNS, 160
híbrido, configuración IP del servidor 271 de
detección de virus pasiva, 279, 273 de reglas
de búsqueda dinámica, 161
FwdFast IP, 139
Listas negras DNS para el filtrado de correo no deseado,
284, 19 documentación
Ataque DoS (ver denegación de servicio) la descarga de
exclusión de la limitación de tráfico, 488 con las
archivos con SCP, 48 DPD caducar Tiempo de ajuste
normas múltiplex, 222
(IPsec), 456 DPD Mantener ajuste de la hora (IPsec),
ajuste de 455 DPD Métrico (IPsec), 455 caída de todo
dominio IP, 137 regla gota IP, 139 GRAMO
Generic Router encapsulación (ver GRE) ajuste del
tiempo de gracia, 179 generación ARP gratuito, 177
Los fragmentos cayeron de ajuste, 563 DSCP, ARP gratuito en fallar el ajuste, 177, 180 GRE, 120
485
en el establecimiento de precedencia, 492 DST Fin
ajuste de la fecha, 158 DST ajuste del offset, 158 de inicio suma de comprobación adicional, 121 y IP reglas,
de DST ajuste de la fecha, 158 configuración duplicada 122 configurar, ventajas de direcciones IP 121 de
Fragmento de datos, 562 configuración duplicados túnel, 121 Agrupación de ajuste de intervalo, 159
Fragmentos, 563 equilibrio dinámico (en tuberías), 498 grupos
configuración CAM Tamaño dinámico, 245 DNS dinámico,
161
objetos de configuración, 142 en la
autenticación, 387 en las tuberías, 496
L3C entorno dinámico Tamaño, 245 dinámico Max
configuración de conexiones, 557 reglas de enrutamiento
dinámico, 210, 212
MARIDO
acción OSPF, 212 acción de
enrutamiento, 213 servicio H.323 ALG, 302 HA (alta
DynDNS, 161
disponibilidad ver) de hardware
monitoreo, 76
mi frecuencia de monitoreo mensaje, 64, 78 latidos del
Habilitar ajuste Sensors, 76 final de los corazón (ver alta disponibilidad) alta disponibilidad, 523
procedimientos de la vida, 86
extensiones ESMTP, la interfaz 282 de la configuración avanzada, 537 y contables, 68
Ethernet, 108 ID de clúster, 532 deshabilitar el envío de los
cambio de direcciones IP, 111 Resumen de latidos del corazón, 525
los comandos CLI, 112
583
Índice alfabético
latidos del corazón, vidas, 424 de negociación, 424 parámetros, 425 IKE
525, 532 temas CRL ajuste de validez temporal, 454 configuración de la
el uso de monitor de enlace, 536 Ruta IKE Max CA, 455 IKE Enviar entorno CRL, 454 IKE
haciendo el trabajo de OSPF, 532 Enviar configuración de contacto inicial, 454 ikesnoop VPN
mecanismos, 525 solución de problemas, 446, 479 Fragmentos ilegales de
interconexión física, 523 unidades ajuste, 562 Silencio Inicial ajuste (HA), el ajuste 537 de
resincronizador, 527 configurar, 528 fallo inserción de prevención de ataques, 347 Interface Alias
de sincronización, 527 único compartido (SNMP), 75 Descripción de la interfaz de ajuste (SNMP), 75
MAC, 531 NetDefendOS de interfaces, 106
mejoramiento, 534 con IDP y anti-virus,
526 con IPv6, 97
con el modo transparente, el seguimiento

237 anfitrión incapacitante, 107 grupos, 124 de bucle de retorno, 106, 107,
para conmutación por error de 106 de intercambio de claves de Internet física (véase IKE)
ruta, 177 páginas HTML Intervalo entre el ajuste de sincronización, 158 intrusión, detección
contenido de personalización de filtrado, 334 de y prevención (ver IDP) regla de detección de intrusos, 345 de suma
autenticación web de personalización, 404 de HTTP de comprobación no válida
ALG, 267
autenticación, 399 precedencia
lista blanca, 269 cartel HTTP, 161
en latidos de clúster, 532 objetos de dirección IP,
Certificado de configuración HTTPS, 53 URI HTTP IP 92 Tamaños opción de ajuste, 548 IP Otras opciones
normalización de IDP, 346 de ajuste, ajuste de la opción Fuente 548 / Retorno IP,
ajuste de 548 opciones IP marcas de tiempo, 548, 259
piscinas IP
yo
ICMP envía ajuste de Límite de Sec Per, 555 ICMP
mensaje inalcanzable, 140 normas IDENT e IP, 139
con el modo de configuración, ajuste de 444
listas de identificación, 435 IDP, 343
Bandera IP reservadas, configuración del router
IP opción de alerta 548, 548 normas de PI, 135,

135
las listas negras, 351
acciones, 139 conexiones bidireccionales, 140
HTTP URI normalización, 346
drop todas las reglas, 137, 138 orden de
grupos de firmas, 349, 348 firmas
evaluación de uso de IPv6, carpetas conjunto
de reglas 137, 141, 136 conjuntos de reglas
comodines firma, receptores de registro
SMTP 350, 351 de tráfico, 354, 506 utilizando
firmas individuales, 354 ajuste del intervalo de
sondeo de Iface, 179 IGMP, 220
TCP número de secuencia de alteración, 140 IPsec,
423
la configuración avanzada, 453 Listas de
la configuración avanzada de configuración,
algoritmo propuesta, 433 e IP reglas, 438
230, 225 configuración de reglas, 228 IGMP
clientes, 418 de detección de pares
Antes de establecer reglas, ajuste por vida
muertos, 439 de mantenimiento de
inactivo 230 IGMP, 558
conexión, 439 de LAN para configurar la
LAN, 414 NAT transversal, 431 descripción,
configuración IGMP último miembro intervalo de consulta, 231 IGMP
423 guía de inicio rápido, configuración 413
ajuste menor versión compatible, 230 IGMP Max interfaz de
clientes de uso móvil, 416 solución de
configuración de solicitudes, 231 IGMP Max Total solicitudes
problemas, el establecimiento del túnel
configuración, 231 configuración IGMP intervalo de consulta, 231 477, 438 túneles IPsec 438 Antes de
configuración IGMP respuesta de consulta de intervalo, 231 IGMP
establecer reglas, 454
reaccionan a propias consultas establecer, 230 Robustez IGMP
configuración variable, 231 configuración del router IGMP versión, 231
configuración de inicio de consultas IGMP Conde, ajuste de 231 IGMP
inicio intervalo de consulta, el establecimiento de 232 IGMP Unsolicated
Intervalo de informe, 232 IKE, 423
uso, 438
configuración de IPsec certificado en la caché Max, 455 configuración
de puerta de enlace IPsec Nombre Tiempo caché, 455 configuración
de IPsec Reglas Max, 453
propuestas de algoritmos, 424
584
Índice alfabético
configuración de IPsec máximo de túneles, 454 Acción entorno de baja difusión TTL, 549
IPv6, 93
añadir una dirección, 93 todo nets6-objeto de
METRO
dirección, 96 y el acceso de administración, 96
dirección MAC, 126
permitiendo a nivel mundial, 94 que permite en una
autenticación, 400 en la libreta
interfaz, 94 permitiendo de anuncio de enrutador,
de direcciones, 90 con ARP, 126
95 agrupación con IPv4, 96 en las normas de PI,
con ARP publicar, 129 interfaces
137 en reglas de encaminamiento, 186 con alta
de gestión, 29
disponibilidad , 97 con el comando ping, validación
96 ip
la configuración avanzada, 52 e IPv6, 96 Configuración del
acceso remoto, 43 NetDefendOS de gestión, 29 configuración de
la longitud máxima de AH, 560 Rutas Max Auto configuración
(DHCP), 258 Max Concurrente (reensamblaje) de ajuste, 566

enlaces máx (reensamblaje) de ajuste, 567 enlaces máx , 557
con el modo de configuración, 444
ajuste de la longitud máxima ESP, 560 ajuste de la longitud
máxima GRE, 560 Max Hops ajuste de configuración (DHCP),
L 257 ajuste Max ICMP Longitud, 560 Max entorno IPIP / FWZ
L2TP, 457 Longitud, 561 ajuste de la longitud máxima de IPsec IPComp,
la configuración avanzada, 463 ajuste de la longitud 561 Max L2TP, 561 ajuste de configuración
clientes, 463 max Tiempo de concesión (DHCP), 257 memoria Max
guía de inicio rápido, 419 (remontaje), 567 ajuste de la longitud máxima de OSPF, 561 Max
servidores, 458 Otro ajuste de longitud, 561 Max Pipe Usuarios de ajuste Ajustes,
Antes de establecer reglas L2TP, 463 567 Max PPM (DHCP), el establecimiento de 257 Max PPP
configuración de Tamaño de caché L3, 245 de reenvíos, 463 Max Estableciendo los Contextos de radio, 69 Max
LAN a LAN túneles, 440 reensamblado tiempo de fraguado del límite máximo, 564
guía de inicio rápido, 414, 415 ajuste de grandes sesiones
cantidades de memoria (remontaje), ajuste de Tamaño La
consistencia de la capa 566, 547 LDAP
la autenticación, la autenticación con 389

PPP, 394 MS Active Directory, los
servidores 390, 445 monitor de enlace, 71
inicializar NIC, 71 reconf de conmutación por error de

tiempo, 72 con alta disponibilidad, 536 algoritmos de parámetro de los servicios, entorno 101 Tamaño
estado de enlace, 196 Configuración del tiempo límite de máximo (remontaje), 566 ajuste Max longitud del salto, 561
consola local, 52 de dirección IP local en rutas, 167 ajuste de la longitud máxima de TCP, 560 Max ajuste de
Conectarse ARP Resolver configuración Si no, el tiempo de desplazamiento, ajuste de 158 Transacciones
establecimiento de 132 errores de registro de suma de Max (DHCP), el ajuste Longitud 257 Max UDP, 560
control, 546 configuración de conexiones de registro, MEMlog, 60
556 Entrar configuración de uso de la conexión, la tala
557, 59
Memoria de configuración del registro de Repetición,
78 configuración de la memoria de seguimiento, 78
la configuración avanzada, 64, configuración de la memoria Intervalo de sondeo, el
60 MEMlog establecimiento de utilizar el porcentaje de la
excepciones de mensajes, 62 filtros memoria 78, verificación de tipo de archivo MIME 78
de gravedad, 62 trampas SNMP, 62 FTP ALG, 273 en HTTP ALG, 268 en POP3 ALG,
de registro del sistema, 60 289 en SMTP ALG, 280 lista de tipos de archivos,
configuración 576 Min Broadcast TTL, ajuste de
autenticación de inicio de sesión, 396 longitud de 549 Fragmento mínimo, 564 multidifusión,
mensajes de registro, 59 de ajuste no IP4 220
de registro, 546 Log apertura falla el
establecimiento, 556
Cerrar sesión al cerrar el sistema de ajuste (RADIUS), 69, 69 de
cierre de sesión de CLI, 43 traducción de direcciones, 224 reenvío,
Entrar ajuste de gran tamaño paquetes, 561 Log 221 IGMP, 225 de reenvío de rutas inversa,
Recibido TTL 0 ajuste, 546 Log Reverse Abre 220 ajuste Remitente Multicast Enet, ajuste
ajuste, ajuste 556 Violaciónes Log estatales, 556 246 Multicast Mismatch, 549
interfaces de bucle invertido, 106, 107
585
Índice alfabético
Multicast TTL a temperatura baja, 547 de con SSL VPN, PPTP

autenticación de inicio de sesión múltiple, 396, 221 467, 457
reglas multiplex la configuración avanzada, 463 ALG, 290
creando con CLI, 223 clientes, 463 problema con NAT, 464 guía
de inicio rápido, 421 servidores, 457 PPTP
Antes de establecer reglas, 463
norte
precedencias
NAT, 364
anonimizar con, 368 normas de
PI, 139, 369 piscinas
en tuberías, 491 claves

piscinas con estado, 369 de
pre-compartidas, 414, 434
recorrido, 431
problema de carácter no ASCII, 434 configuración
traducción de direcciones de red (NAT ver) NTP (véase la del servidor Tiempo de primaria, 158 descripción del
sincronización de tiempo) el ajuste Remitente nulo Enet,
producto, listas de propuestas 17, 433 ARP proxy,
245
180
O configurar, 180
Open Shortest Path First (OSPF ver) OSPF, ajuste de seudo REASS Max concurrente, 562
196
agregados, 201, 209 Q
áreas, 200, 206
QoS (calidad de servicio ver) la calidad
sistema autónomo, 199 despliegue
del servicio, 485
de cheques, 215 comandos, 215
conceptos, 199
R
reglas de enrutamiento dinámico, 210 de RADIO
interfaz, 207 vecinos, 209 de proceso router, contabilidad, 65 configuración avanzada, 69 permiten el ajuste
la creación de 204, 213 enlaces virtuales, 201, de error, 68 autenticación, 389 servidores que no responden, 68 ID
209 Otros Ajuste de ralentí 559 vidas, filtrado de proveedor, 67, 389 reensamblado ajuste de Límite de Hecho,
de contenidos de primer orden, 326 564 El ajuste de carrera ilegal reensamblado, 564 ajuste de
reensamblaje de tiempo de espera, 564 reconf de conmutación por
error de tiempo (HA) establecer , 72, 537 Rechazar regla IP, 139
entorno MPLS Relay, 247 de ajuste de relés BPDU Spanning-Tree,
244, 246 NetDefendOS reiniciar, 42 Restaurar valores
predeterminados de fábrica, 85 restaurar copias de seguridad, 83
PAG
reenvío de ruta inversa (ver multidifusión) de búsqueda de ruta
flujo de paquetes
inversa, 138 , 169, 263, 440 clientes de uso móvil roundrobin
descripción, 24
algoritmo de RLB, 190 ruta de conmutación por error, 174
simplificado, 137 longitud de
la contraseña, 41 pcapdump,
80
la descarga de archivos de salida, archivo
81 de salida de limpieza, archivo 81 de salida
de denominación, formato de archivo 81 PCAP
(ver pcapdump) suplantación de identidad
(véase el filtrado de contenidos) Ping ajuste de
por vida inactivo, 558 ajuste del intervalo de
sondeo Ping, 179 reglas de tubería, 486 tubos,
monitoreo de acogida, balanceo
486 políticas, 135
de carga 177 ruta, 190
algoritmos, 190 y VPN,
195 entre ISPs, 193 de
Encuesta de ajuste de intervalo, 76 enrutamiento, 164
POP3 ALG, 289 Puerto 0 ajuste,
567
la adición de rutas, 172 configuración
traducción de direcciones de puerto (ver SAT) el
avanzada, 179 rutas centrales, 173
reenvío de puertos (ver SAT) copia de puertos (ver
predeterminado de ruta de puerta de enlace,
pcapdump) autenticación PPP con LDAP, 394
109, 172, 196 de uso dinámico IPv6, 173 de
PPPoE, 118
direcciones IP local, 167 métrica para las rutas
por defecto, 172
configuración del cliente, 118 de
soporte sin numeración, 119 con HA,
120
586
Índice alfabético
métricas, 165, 198, 174 especificando el número de puerto, 100 SYN protección contra
de vigilancia inundaciones, comando CLI 101 SessionManager, archivo 44 sgs
estrecho principio de congruencia, 167 extensión, 44 configuración silenciosamente dejan caer Estado ICMPErrors,
notación, 169 555 protocolo simple de administración de redes (SNMP ver) SIP ALG, 291
parámetro de ordenamiento, 187,
183 principios basados en políticas,
165
rutas añadidas en el arranque, 171, 185 y calidad de servicio, 292 equipos de
reglas incompatibilidad, 292 NAT transversal, 292
basadas en servicios, 183 Registro de carreteras, 294 escenarios
en la fuente, 183 estáticos, compatibles, 292 SLB (ver balanceo de carga)
165, 169, 183 mesas SMTP
la ruta todo-redes, 172 basado

en el usuario, 183 ALG, 280 extensiones ESMTP,
verificación 282 de cabeza, 286
receptor de registro con IDP, 351 de
S precedencia lista blanca, 281 SNMP, 73
SA (ver asociación de seguridad)
SafeStream, 338 SAT, 372
la configuración avanzada, el 75 de cuerda de la

todo-a-1 traducción, 379 normas de
comunidad, 73 MIB, 73, 62 trampas con las normas
PI, 139
de PI, 74 SNMP antes de establecer reglas, 75
muchos-a-muchos de traducción, 377 varias
configuración SNMP Solicitud Límite, 74, 75 de
coincidencias regla, la regla 381 múltiplex,
filtrado de correo no deseado, 283
221 uno-a-uno la traducción, el reenvío de
puertos 372, 372 traducción de puertos, 381
segundo destino regla, 372 con las normas
FwdFast, 382, 146 SCP horarios, 48
el almacenamiento en caché, 287 de
registro, 287 de etiquetado, 285 categoría
spamWCF, 333 que abarca la retransmisión
de árbol, 243 desbordamiento algoritmo de
operaciones permitidas, 49 copia de seguridad / RLB, 190 spoofing, 264 SSH, 40 SSH Antes
de establecer las reglas, las claves de
restauración de uso, formato de comando 84, 48
cliente 52 SSH, 389 aceleración SSL, 317
scripting (ver secuencias de comandos CLI)
SSL VPN, 396, 466
programación Secundaria servidor de tiempo, 158
copia segura (ver SCP)
ajuste SecuRemoteUDP Compatibilidad, 548 shell

seguro (ver SSH)
limpieza del cliente, 471 operación del
seguridad / transporte opción habilitada, asociación de
cliente, 471 configuración, la conexión del
seguridad 124, 423 Enviar ajuste de Límite, 64 consola
servidor 467 personalizada, 470 la
serie (ver consola) puerto de consola serie, el equilibrio
instalación del cliente, 469 reglas IP para el
de carga del servidor 40, 514
tráfico, 471 ping a la IP interna, 467 ARP
proxy, 468 que ejecuta el cliente, 469 con
PPPoE, 467 con VLAN, 467 estado-motor,
algoritmo de velocidad de conexión, 515 ajuste
20
de tiempo de espera inactivo, 516 ranuras max
ajuste, 516 ajuste de tamaño de red, 516
algoritmo round-robin, 515 con las normas
FwdFast, 519 servicios, 98
flujo de paquetes, 24 de inspección de estado (ver el

estado del motor) piscinas NAT con estado (véase NAT)
y ALGs, 101 la creación de costumbre, el
de traducción de direcciones estáticas (ver SAT) ajuste
protocolo IP 99 de encargo, 104 tiempos
estáticas ARP cambios, ajuste 132 Strip DontFragment,
de espera personalizados, 105 de grupo,
549 rutas de conmutación (ver modo transparente) de
104 ICMP, 102 max sessions, errores
sincronización Tamaño de búfer (HA) ajuste, ajuste de
ICMP 101 de paso, 101 especificando
sincronización 537 Pkt Max ráfaga (HA), 537 SYN
todos los servicios, 101
protección contra inundaciones, 101, 358
587
Índice alfabético
syslog, 60 y acceso a Internet, 238 y NAT, 239 de

/ Restauración, configuración 83 Sistema de ajuste de agrupación de direcciones IP, 239
Contacto (SNMP), 75 Sistema de Localización (SNMP), ejecución, 234 individuales rutas de
ajuste de respaldo del sistema 75 Sistema de nombres host, 235 rutas de conmutación, 233,
(SNMP), 75 235 con DHCP, 237 con alta
disponibilidad, 237 con VLAN, 236 vs
modo de enrutamiento, 233
T configuración TTL mínima, 547 TTL a
la implementación del tabulador (ver CLI) de
temperatura baja, 547, 106 túneles
configuración de TCP Auto de sujeción, 551 de
configuración de TCP ECN, 553 de configuración de
TCP FIN / URG, 553 TCP FIN configuración de
Duración de inicio, configuración de Duración en
ralentí 558 TCP, el establecimiento de 558 TCP MSS

Nivel de registro, configuración 550 TCP MSS Max,
550 ajuste de TCP MSS mínima, 550 TCP MSS a T
fuego alto, 550 TCP MSS a temperatura baja, el UDP bidireccional entorno de mantenimiento de conexión, 558
establecimiento de 550 TCP MSS VPN máximo y UDP ajuste de por vida inactivo, 558 de puerto de srcen UDP
ajuste de NULL 550 TCP, 553 ajuste de 0, 567 Desconocido etiquetas VLAN ajuste, sin
numerar 117, 119 PPPoE no solicitado respuestas ARP
establecer, 132 NetDefendOS de mejora
Configuración de opciones ALTCHKDATA TCP, el
establecimiento de 552 TCP Opción ALTCHKREQ, 551 Opción
TCP ajuste Con tiempo de espera, 552 TCP Opción Otro con un clúster de alta disponibilidad, 534 carga de archivos con
ajuste, ajuste de opción SACK 552 TCP, el establecimiento de SCP, 48 de autenticación de usuario (véase la autenticación) Uso
551 Tamaños opción TCP, ajuste de Opción TSOPT 550 TCP, entorno único compartido Mac (HA), 531, 537
ajuste de Opción WSOPT 551 TCP, 551 TCP campo de
configuración reservada, el establecimiento de números de
secuencia 553 TCP, 553 de configuración de TCP SYN / FIN,
553 de ajuste / PSH TCP SYN, 552 de configuración de TCP
V
Tiempo de espera de la validación de ajuste, 52
SYN / RST, 552 de configuración de TCP SYN / URG, 552
LAN virtual (VLAN) ver las redes privadas virtuales
configuración de Duración de inactividad TCP SYN, 558 de
(VPN ver) VLAN, 115
configuración de TCP URG, 553
la configuración avanzada, 117,

117 limitaciones de la licencia de
puertos basados en, 116, 116
troncales de voz sobre IP
TCP ACK Puesta a cero sin usar, 551 TCP Puesta a
cero URG no utilizado, 551 Teriary configuración del
con H.323, SIP, con 302,
servidor de tiempo, 158 TFTP ALG, 279 reglas de
291 de VoIP (voz sobre IP ver)
umbral, 511, 541
VPN, 409
en ZoneDefense, 541 de sincronización de

cifrado, 410 IPsec, 423 de
tiempo, 154 Ajuste del tiempo de sincronización del
distribución de claves, 411
servidor Tipo, 158 configuración de zona horaria, 157
planificación, 411 guía de inicio
TLS ALG, conformación 316 de tráfico, 485
rápido, 413 SSL VPN, 466 de
resolución de problemas, el uso
de 477, 409
garantías de ancho de banda, 495 de
ancho de banda que limita, 488 para
redes privadas virtuales, 499
la exclusión regla FwdFast IP, 488
objetivos, 485, 496 grupos de tubos

precedencias, 491 recomendaciones, 499 W
ajuste de nivel de advertencia, el establecimiento
sumarias, 500, 506 con IDP de 79 Watchdog Time, 567 WCF (ver el filtrado
de contenido web) WebAuth, filtrado de
contenido web 399, 322
ajuste de tiempo de espera de transacción (DHCP), 257 de modo, 324 listas

Transparencia ATS caducar ajuste, ajuste de Tamaño 245 blancas, 323 interfaz web,
Transparencia ATS, el modo transparente 245, 233 29, 30 fallar
interfaz de conexión predeterminado, 31 objeto
la configuración avanzada, 244 clonación, 34
588
Índice alfabético
navegadores recomendados, 31
configuración de estación de trabajo IP, 31
WebUI (véase la interfaz web) WebUI Antes de
establecer reglas, configuración del puerto
HTTP 52 WebUI, 52 WebUI HTTPS
configuración del puerto, 53 listas blancas
hosts y redes, 360 URLs, 320

de comodines, 320 de
comodines
en listas negras y blancas, 282, 320 en las reglas de

PDI, 350
en el filtrado de contenido estático, 269 solicitudes
de certificados de Windows, CA 151 Wireshark con
pcapdump, 82
x
certificados X.509, 148 XAuth
(ver autenticación)
Z
ZoneDefense, 539
interruptores, 540 con
anti-virus, 341 con FTP
ALG, 274 con IDP, 351 con
SMTP ALG, 283
589

DFL 260E - User Manual - EN - US Firewall - En.español PDF

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

DFL 260E - User Manual - EN - US Firewall - En.español PDF

Caricato da

Copyright:

Formati disponibili

Manual del usuario de la red de seguridad

Solución de seguridad de redhttp://www.dlink.com

DFL-260E / 860E / 1660/2560 / 2560G

NetDefendOS versión 2.40.00

NetDefendOS versión 2.40.00

EN NINGUNA CIRCUNSTANCIA, D-LINK O SUS PROVEEDORES RESPONSABLES DE DAÑO DE

2.6.1. Mecanismo de actualización automática .............................................. ................. 83

3.2. Soporte IPv6 ................................................ ......................................... 93

4.7. Modo transparente ................................................ ................................ 233

6.3.2. Manipulación de contenido activo............................................... .............. 319

6.7. Listas negras de máquinas y redes .............................................. ............... 360

9.6.1. Visión de conjunto ................................................. ................................ 466

10.2.8. Tala ................................................. ................................ 510

13. Configuración avanzada .............................................. ........................................... 546

10.6. Tráfico agrupados por dirección IP ............................................. ........................ 498

3.31. Permitiendo el D-Link Servidor NTP ........................................... ........................ 157

4.10. Añadir una OSPF Área ................................................ .....................................

6.18. Edición de filtrado de contenido HTTP Banner archivos .........

10.3. La creación de SLB ............................................... ............................................ 519

La estructura del texto y Convenciones

Ejemplo 1. Ejemplo de notación

GW-mundo: /> algúncomando someparameter = somevalue

Los conjuntos de reglas NetDefendOS

1.2.3. Flujo básico de paquetes

red es el destino a continuación, la misma interfaz podría ser utilizado.

• interfaces de srcen y de destino

• Origen y destino de red

• protocolo IP (por ejemplo TCP, UDP, ICMP)

• puertos TCP / UDP

• Punto en el tiempo en referencia a un programa predefinido

Si un partido no puede ser encontrado, el paquete se descarta.

Nota: Las acciones adicionales

1.3. Flujo de paquetes Motor Estado NetDefendOS

Figura 1.1. Esquema de flujo de paquetes Parte I

El flujo de paquetes se continúa en la página siguiente.

Nota: el acceso de administración remota

La página principal de la interfaz web se divide en tres secciones principales:

• Casa - Se desplaza a la primera página de la Interfaz Web.

yo. Guardar y activar -Guarda y activa la configuración.

ii. Descartar los cambios Descarta

Iii. Ver cambios Enumerar

yo. Centro de Actualizaciónactualizar

ii. Licencia -Ver los detalles de la licencia o introduzca el código de activación.

Iii. Apoyo -Hacer una copia de seguridad de la configuración de un equipo local o

iv. Reiniciar -Reiniciar el servidor de seguridad o restablecer los valores de fábrica.

VI. Soporte técnicoEsta

Control de acceso a la interfaz web

Ejemplo 2.1. Que permite la gestión remota a través de HTTPS

Interfaz de línea de comandos

GW-mundo: /> añadir RemoteManagement RemoteMgmtHTTP https

1. Ir a: Sistema> Administración remota> Añadir> HTTP / HTTPS Gestión

3. Comprobar la HTTPS caja

4. Seleccione las siguientes opciones en las listas desplegables:

• Base de datos del usuario:

• Red: todas las redes de

5. Haga clic DE ACUERDO

Precaución: No exponga la interfaz de gestión

Cierre de sesión de la Interfaz Web

Consejo: correctamente encaminar el tráfico de administración

Los comandos de la CLI utilizados con más frecuencia son:

• borrar - Elimina un objeto específico.

Estructura Comando de la CLI

GW-mundo: /> Ver dirección IP4Address my_address