Состояние портов и правила доступа

B

butvitalik

New Member
Добрый день!

Подскажите, в руководстве не нашел точной информации по следующим вопросам.
При использовании ФПСУ-IP только как межсетевого экрана.

1. Трафик из защищаемой сети во внешний мир полностью разрешен?
2. Можно как то настроить правила доступа для исходящего трафика?
3. В настройках можно явно запретить или разрешить первые 1024 порта,
а в каком состоянии по умолчанию находятся порты с 1024 и выше?
Как их можно открыть?

Заранее спасибо.
 
<r>Добрый день,

Как МЭ ФПСУ-IP работает по принципу: "Все, что не описано - запрещено". Для каждого рабочего порта МЭ необходимо создать список абонентов, которым разреша­ется подключаться к МЭ со стороны этого порта, указать смежные МЭ ФПСУ-IP и маршрутиза­торы, через которые абоненты будут доступны, и установить правила их работы. В качестве <B><s></s>критериев<e></e></B> фильтрации МЭ позволяет задавать:
- IP-адреса отправителя и получателя;
- идентификационные данные клиентов;
- используемые протоколы транспортного уровня;
- разрешенные режимы работы абонентов;
- разрешенные связи абонентов и маршрутизаторов по конкретным протоколам управления;
- разрешенные информационные взаимодействия абонентов (по пересекающейся совокупности параметров: <B><s></s>протоколам, TCP/UDP-портам, интервалам времени дней недели и т.п.<e></e></B>), приписанных к соответствующим логическим группам (до 64 групп на каждом комплексе).

Для осуществления фильтрации по заданному ряду <B><s></s>критериев<e></e></B> администратор может создать логические группы, определяемые совокупностью специфических параметров доступа, и связать с этими группами отдельных абонентов, участки сети или клиентов. Таким образом, абоненты и клиенты могут быть логически разделены, например, по функциональному признаку, и для каждой группы могут быть установлены свои ограничения. Это все описано в <URL url="https://amicon.ru/download/fpsu-ip-adm.zip"><s></s>руководстве Администратора<e></e></URL> ФПСУ-IP в п. 4.2.5 Параметры доступа. Дублировать здесь не буду.</r>
 
Спасибо большое, я читал Руководство, но ни в вашем ответе ни в Руководстве по прежнему не нашел явных ответов на мои вопросы.
Если вам не трудно, ответьте пожалуйста конкретно на те вопросы что я задал.

Надеюсь на ваше понимание.
 
<r><QUOTE author="butvitalik"><s>
butvitalik написал(а):
</s>Добрый день!
1. Трафик из защищаемой сети во внешний мир полностью разрешен?
2. Можно как то настроить правила доступа для исходящего трафика?
3. В настройках можно явно запретить или разрешить первые 1024 порта,
а в каком состоянии по умолчанию находятся порты с 1024 и выше?
Как их можно открыть?
<e>
Нажмите для раскрытия...
</e></QUOTE>

1. По умолчанию запрещен. Для разрешения обмена между абонентами внутренней сети и внешним миром, этот мир нужно описать на внешнем порту ФПСУ-IP. Для этих целей можно использовать специальный адрес "Любой хост". Он может быть описан только один раз со стороны любого порта и предназначен для реализации возможности обмена пакетами через МЭ ФПСУ-IP с абонен­тами, принадлежащими всей сети Internet/Intranet.
2. Правила доступа можно настраивать для всех прописанных абонентов на портах МЭ. Создайте группу доступа для абонентов, которых необходимо контролировать, и установите критерии фильтрации в меню "Параметры доступа".
3. Для этого в меню "Параметры доступа" есть соответствующая настройка "Доступ по портам UDP/TCP":
Если не установлены никакие правила, доступ по всем портам открыт. По стандартным портам (с 0 по 1023) можно запретить/разрешить работу по каждому порту в отдельности. Запреты по прочим портам UDP/TCP указываются диапазонами портов UDP (TCP), которые не разрешены для работы. Опять же, в руководстве все это подробно описано.</r>
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху