Запрет открытых соединений

[andrew321456]

<r><QUOTE><s>

</s>Запретить открытые соединения — кнопка (см. Рис. 4-15), включающая режим ″Запрет
открытых соединений″, в котором вся информация, передаваемая из внутреннего порта ФПСУ на
внешний порт ФПСУ (подробнее про внутренние и внешние порты см. п. 4.2.4), и в обратную
сторону, в принудительном порядке шифруется, либо передача блокируется. После включения
режима он может быть снят только повторной инсталляцией или установкой обновления.<e>

</e></QUOTE>
Объясните тайный смысл данной опции?
Что значит "вся информация, передаваемая из внутреннего порта ФПСУ на внешний порт ФПСУ" ? Это что она шифруется внутри ФПСУ, а на портах снова в открытом виде?

Особенно беспокоит следующий абзац:
<QUOTE><s>

</s>При штатной эксплуатации МЭ ФПСУ- IP следует использовать с включенным режимом ″Запрет открытых соединений″ .<e>

</e></QUOTE>

Так где информация шифруется? Между чем и чем?</r>

 

[vpv]

<r>Добрый день.
<QUOTE><s>

</s>Объясните тайный смысл данной опции? <e>

</e></QUOTE>
Наличие такого режима - вопрос сертификации МЭ ФПСУ-IP по требованиям ФСБ и ФСТЭК.
Выключет возможность передать пакет в режиме "ретрансляция" от абонента порта, описанного в конфигурации как внутренний порт, к абоненту порта, описанному в конфигурации как внешний порт.

<QUOTE><s>

</s>Что значит "вся информация, передаваемая из внутреннего порта ФПСУ на внешний порт ФПСУ" ? <e>

</e></QUOTE>
Буквально. IP поток, передаваемый из сети со стороны "внутреннего" порта в сеть через "внешний" порт, шифруется в обязательном порядке или не передаётся вообще.

<QUOTE><s>

</s>Это что она шифруется внутри ФПСУ, а на портах снова в открытом виде?<e>

</e></QUOTE>
Нет. Здесь нет ни слова про расшифрование перед передачей в сеть.</r>

 

[andrew321456]

<r><QUOTE author="vpv"><s>

</s>Добрый день.
<QUOTE><s>

</s>Объясните тайный смысл данной опции? <e>

</e></QUOTE>
Наличие такого режима - вопрос сертификации МЭ ФПСУ-IP по требованиям ФСБ и ФСТЭК.
Выключет возможность передать пакет в режиме "ретрансляция" от абонента порта, описанного в конфигурации как внутренний порт, к абоненту порта, описанному в конфигурации как внешний порт.
<e>

</e></QUOTE>
А расшифровывает кто?
Это что, принудительный режим "Через ФПСУ"?</r>

 

[vpv]

<r>Ну если со стороны "внешнего" порта нет другого МЭ ФПСУ-IP, то расшифровывать некому, в этом случае обменов со внешней сетью не будет вообще.

<QUOTE><s>

</s>Это что, принудительный режим "Через ФПСУ"?<e>

</e></QUOTE>
Да, если порты, смотрящие в интернет/интранет описаны как "внешние".</r>

 

[andrew321456]

<r><QUOTE author="vpv"><s>

</s>Ну если со стороны "внешнего" порта нет другого МЭ ФПСУ-IP, то расшифровывать некому, в этом случае обменов со внешней сетью не будет вообще.
<e>

</e></QUOTE>
1. Если нет другого ФПСУ, то нет ключевых пар. На каких ключах тогда идет шифрация?

2. Внешний порт остается доступен для работы через ФПСУ-IP/клиента и управления через удаленного администратора?</r>

 

[vpv]

1. Шифрования не происходит, поскольку не происходит передачи пакета во внешнюю сеть абоненту внешнего порта.
2. Да и да.