как разделить сеть ФПСУ-IP

K

klick23

New Member
Всем добрый день. у нас возникла проблема. раньше ФПСУ занимался другой человек, теперь переорганизация сети. хотим сделать так как на схеме.
имеем: домен, шлюз в инет, юзеров. в защищенный сегмент хотим убрать сервера.

так вот вопрос.сейчас сеть построена так же , только без фпсу. между двумя свичами ставим фпсу.

1) я не понимаю, как сделать чтоб фпсу работал так, чтобы его не было видно, но он фильтровал пакеты бегающие с одного свича на другой. и настроить доступ по IP итд. в руководстве администратора ничего не нашел умного. хотелось бы что бы сегмент защищенной сети так же имел старые адреса и мог ходить в инет по мере необходимости. с фспу и меню её настройки знаком.. в данный момент , защищаемая подсеть имеет иные адреса чем общая сеть и маршрутизируется через цыску. очень сложная и не понятная схема.
 

Вложения

  • ФПСУ.jpg
    ФПСУ.jpg
    85 KB · Просмотры: 1
Добрый день.

Адресацию специально после подключения ФПСУ менять не обязательно.

Попробую ответить по пунктам, для начала с такой детализацией:
1. Что бы фпсу "не было видно", надо поставить в общих настройках (см. руководство администратора пункт 4.2.1) следующие опции: "Не изменять TTL пакетов", "Сокрытие работы ФПСУ", "Не выдавать ICMP сообщения об ошибках".

2. Для фильтрации хостов незащищенной сети, добавить на порт ФПСУ, "ведущий" в незащищенную сеть, список только тех IP-адресов, которые должны получить доступ к защищенной части. Убедиться что для них не установлена галочка "Отвечать на пинг", что бы они "не видели" ФПСУ. (см. руководство администратора пункт 4.2.4.4.1 и 4.2.4.4.2)

3. Создать на порту ФПСУ, ведущем во внутреннюю сеть, записи абонентов для всех серверов, к которым требуется доступ из незащищенной сети. (см. руководство администратора пункт 4.2.4.4.1)

4. Что бы хосты защищенной сети получил доступ в интернет, следует:
4.а. Создать на порту ФПСУ, "ведущим" к интернет, записть маршрутизатора 192.168.1.10 (см. руководство администратора пункт 4.2.4.2)
4.б. Создать на порту ФПСУ, "ведущим" к интернет, абонента "любой хост" в режиме ретрансляция через маршрутизатор 192.168.1.10 (см. руководство администратора пункт 4.2.4.4.3)
 
<r><QUOTE author="vpv"><s>
vpv написал(а):
</s>отличный ответ
<e>
Нажмите для раскрытия...
</e></QUOTE>

Огромное Спасибо за подсказку. приблизительно так и думал. теперь вопросы:
1) если на защищенную сеть будет ктото ломиться из адресов которых нет в списке адресов для порта незащищенной сети, фспу будет отражать в логах ошибки доступа?
2) портам фспу соответственно не надо назначать IP адреса так?
3) компьютеры защищенной сети смогут свободно между собой общаться или для их общения нужно создавать правила на фспу?(желательно разграничение доступа между машинами в защищенной сети)
4) можно ли всем клиентам в незащищенной сети которых я буду добавлять в порт фспу забить мак адреса, для того что бы если совпадает IP то проверялся еще и мак адрес.
5) можно ли создать клиента фспу в защищенной сети, который может иметь доступ к незащищенной сети только при наличии USB ключа, если ключ не вставлен - то соответственно никуда клиент не может обратиться и к нему никто не может обратиться?</r>
 
Пожалуйста.

1. Ошибки доступа журналируются по умолчанию. Будет.
2. Обязательно надо. Иначе ФПСУ просто не запустится в режим фильтрации.
3. В текущей схеме - свободно, т.к. защищаемые сервера находятся в одном broadcast сегменте.
4. ФПСУ проверку по MAC адресам не выполняет в текущей версии.
5. Да, можно. Потребуется на эту станцию установить и настроить персональный межсетевой экран ПАК ФПСУ-IP/Клиент. Интересующая опция локального межсетевого экрана "Работа только через ФПСУ, все остальные IP пакеты блокируются" (см. руководство по ФПСУ-IP/Клиент)
 
<r><QUOTE author="vpv"><s>
vpv написал(а):
</s>Пожалуйста.
2. Обязательно надо. Иначе ФПСУ просто не запустится в режим фильтрации.
3. В текущей схеме - свободно, т.к. защищаемые сервера находятся в одном broadcast сегменте.
<e>
Нажмите для раскрытия...
</e></QUOTE>

1) тогда не понимаю, какой IP назначать портам фспу? любой или из нашей подсети 192.168.1.0\24, и логически не понимаю, как будет видна сеть за фспу, если фспу имеет IP. или надо где то маршруты прописывать все же?

2) есть какие нибудь варианты для разграничения доступа машинам друг к другу в защищенном сегменте. по сути, защищенный сегмент это 2-5 серверов и пару ПК, не защищенный - это домен, шлюз, остальные ПК. тоесть защищенный сегмент обращается к шлюзу и домену.</r>
 
<r>1. Любой из вашей подсети. Маршрутизацию менять не надо. Для понимания рекомендую поискать в документации про режим "ARP-proxy".
Ну и в целом. Рекомендую скачать (<URL url="https://amicon.ru/download.php">https://amicon.ru/download.php</URL>) и почитать документ "Описание применения ПАК "ФПСУ-IP"". В том числе про ARP-proxy.

2. На мой взгляд, тут вариантов много. Если с помощью наших продуктов, то, например - поставив на защищаемые сервера ПАК ФПСУ-IP/Клиент.

P.S. Продукт называется Фильтр Пакетов Сетевого Уровня IP протокола, ФПСУ-IP, а не фСпу.</r>
 
еще раз огромное спасибо. покурю мануал, попробую настроить. вопросы вроде пока что все

да, забыл спросить. где скачивать ПО IP клиент, и ПО для обновления самого ФПСУ IP? так же удаленный админ например, и ПО для перешивки таблеток
 
Скачать то что в свободном доступе - по ссылке из предыдущего поста.
Если чего-то не нашлось из интересующего, то оно доступно только после обращения в техническую поддержку (телефоны см. в шапке форума).
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху