Настройка межсетевого экрана дионис

Обновлено: 30.06.2024

(учреждено в 1992 г.). Основное направление деятельности предприятия - проектирование, построение и последующее сопровождение защищенных ведомственных и корпоративных информационных телекоммуникационных сетей передачи данных (СПД) с использованием авторской, надлежащим образом сертифицированной технологии «ДИОНИС».

Данная технология является полностью отечественной импортнозамещающей разработкой, не имеет прямых аналогов в России и за рубежом, отвечает требованиям национальной информационной безопасности в плане обеспечения комплексной защиты систем и средств сбора, обработки, хранения и передачи информации от несанкционированного доступа (используемые средства криптографической защиты и сетевой безопасности сертифицированы ФАПСИ, ФСБ и Гостехкомиссией).

Разработанная для нужд России и с учетом ее специфики, технология позволяет создавать многофункциональные, устойчиво работающие СПД высокой пропускной способности на базе всех реально имеющихся в стране каналов связи, включая устаревшие низкоскоростные, обеспечивает тем самым надежную связь головных структур с их подразделениями на местах (вплоть до уровня городских районов), предъявляет минимальные требования к профессиональной подготовке обслуживающего персонала.

В технологии используется отечественное авторское программное обеспечение, алгоритмы которого составляют ядро системы и обеспечивают основные функции защиты, надежности и контроля комплекса.

Использование собственного программного обеспечения, сетевых и специализированных адаптеров, которые так- же являются авторскими разработками производителя, гарантирует максимальный контроль на канальном уровне. Промышленное исполнение делает надежной и бесперебойной работу всего комплекса.

Современные аппаратные платформы позволяют обеспечить «горячее» резервирование комплекса в целом.

В технологии заложена возможность организации удаленного администрирования и непрерывного централизованного мониторинга информационных систем.

Высокие технические характеристики технологии "Дионис" подтверждаются ее успешным применением в целом ряде крупных сетей и систем, а также подсистем ведомственного назначения (ФСБ, ФСО, ВМФ, ВВ, МО, МВД, ЦБ, МНС, структуры ОАО "Ростелеком", ГАС "Выборы" и др.), в региональных СПД (23 субъекта Федерации), сотнях корпоративных СПД (коммерческие банки, включая "Сбербанк", страховые компании, биржи, крупные производственные объединения и пр.).

Качество технологии, ее соответствие стандартам и требованиям подтверждается:

- системой качества ГОСТ Р ИСО 9001-2001 на предприятии-производителе 000 «Фактор-ТС»;

- наличием Государственных лицензий ФСБ, ФАПСИ, Гостехкомиссии, комитета по строительству у предприятия-производителя 000 «Фактор-ТС»;

- сертификатами № СФ/114-0669 ФСБ на встраиваемые средства криптографической защиты информации; сертификатами №№ СФ/124-0491, СФ/114-0492 ФАПСИ на встраиваемые средства криптографической защиты информации;

- сертификатами №№ СФ/020-0598, СФ/020-0599 ФАПСИ на изделие «Криптомаршрутизатор КМ» с шифратором типа М-479, разработанное НИИ «Энергия» с использованием телекоммуникационной технологии «ДИОНИС»;

- сертификатами №№ 288, 289, 359, 359/1, 359/2 Государственной технической комиссии при Президенте РФ;

- сертификатами соответствия №№ 0С/1-СПД-683, ОС/1-СПД-224 Министерства РФ по связи и информатизации на выпускаемую серийно технологию «ДИОНИС».

Технология соответствует всем международным стандартам на системы данного класса, совместима со всеми основными отечественными и зарубежными техническими и программными продуктами и транспортными протоколами, используемыми в России.

Криптомаршрутизатор (далее КМ), разработанный НИИ "Энергия", представляет собой комплекс программно-технических средств, обеспечивающий криптографическую защиту информации, содержащей государственную тайну при передаче IP-потоков данных в ведомственных сетях. КМ разработан на основе телекоммуникационной составляющей технологии «ДИОНИС» (авторская разработка НПП «Фактор-ТС»).

КМ является полностью отечественной разработкой, не имеет прямых аналогов в России и за рубежом, отвечает требованиям национальной информационной безопасности в плане обеспечения комплексной защиты и передачи информации.

Разработанный для нужд России и с учетом ее специфики КМ позволяет создавать многофункциональные ведомственные сети с возможностью защищенной передачи данных, голоса, видеоизображения.

Высокие технические характеристики Криптомаршрутизатора подтверждаются его успешным применением в целом ряде крупных сетей и систем, а также подсистем ведомственного назначения.

Технология соответствует международным стандартам на системы данного класса, совместима со всеми основными аппаратными и программными как отечественными, так и зарубежными аналогами, используемыми для построения сетей передачи данных.

КРИПТОМАРШРУТИЗАТОР

КРИПТОГРАФИЧЕСКАЯ ЗАЩИТА ИНФОРМАЦИИ (видео/голос/данные) КМ представляет собой узел криптографической обработки данных в IP-сетях и обеспечивает прием данных, оцифрованного голоса и видео, отправляемых из одной ЛВС, шифрование всего потока и защищенную передачу через открытую IP-сеть на аналогичный КМ, который выполняет расшифровку принятых потоков информации и их доставку в другую ЛВС.

Передача данных осуществляется КМ по выделенным или коммутируемым телефонным каналам связи с использованием протоколов РРР, SLIP или CSLIP, а также по каналам ЛВС и каналам сетей пакетной коммутации данных в соответствии с Рекомендациями X.25 ITU-T.

КМ обеспечивает шифрование проходящих через него данных в соответствии с протоколом IPSec с установлением приоритетов потоков. Это позволяет скрыть на участке открытой IP-сети информацию о подлинных субъектах обмена и используемых ими прикладных пользовательских протоколах.

СРЕДСТВА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ КРИПТОМАРШРУТИЗАТОРА

КМ может - сеть Ethernet через адаптер Ethernet 10-100 Мбит (до трех интерфейсов);

использовать - высокоскоростные спутниковые или наземные каналы связи через синхронный интерфейс следующие V.24/V.35 HDLC (до четырех интерфейсов по 3.5 Мбит/с);

варианты - выделенные или коммутируемые телефонные каналы через асинхронные интерфейсы V.24 подключения RS232 до 115 Кбит/с (до восьми интерфейсов);

к ТСР/1Р-сетям: - сеть Х.25 (RFC877) через синхронный интерфейс V.24/V.35 до 256 Кбит/с (до двух интерфейсов).

Крилтомаршрутизатор DioNIS® KM. Предназначен для обеспечения комплексной сетевой безопасности и включает в себя:

• IP-маршрутизатор с широким набором сетевых интерфейсов, возможностью инкапсуляции IP-трафика в X.25, HDLC, а также встроенный IP-Accelerator для компрессии IP-трафика при использовании низкоскоростных каналов.

• Криптоинтерфейс для взаимодействия с сертифицированными модулями криптозащиты для шифрования IP-трафика.

• Специальные изделия: Криптомаршрутизаторы КМ-03, 04 (М-47ЯБ, М-479В, М-478Г) на основе открытой составляющей DioNIS соответствуют требованиям ФАПСИ к стойкости шифровальных средств Класса КДС-1.02 и могут использоваться в сетях шифрованной связи 1 класса, тем самым обеспечивая защиту информации, содержащей государственную тайну.

Межсетевой экран DioNIS® FW Pro. Предназначен для:

• защищенного подключения локальной сети и ее ресурсов к сетям общего пользования на базе протоколов TCP/IP, X.25,

• разграничения ресурсов внутри корпоративной сети,

• объединения локальных сетей средствами виртуальных частных сетей (Virtual Private Network, VPN).

Расширение Криптопочтамта DioNIS® КП в добавление к предыдущему обеспечивает защищенный обмен шифрованной корреспонденцией и файлами между абонентами корпоративной или ведомственной сети по различным каналам связи, включая сети общего пользования на базе протоколов TCP/IP, X.25.

Защищенный Сервер доступа к 1Р/Х.25-сетям DioNIS® Access Server. Предназначен для защищенного доступа отдельного абонентского места к тем или иным ресурсам корпоративных или ведомственных ТСР-1Р/Х.25-сетей по различным каналам связи. В основу работы Сервера положен принцип защиты от НСД, межсетевого экранирования и шифрования абонентского потока TCP/IP.

Абонентские места*. Для обеспечения абонентского шифрования и ЭЦП могут использоваться защищенные клиентские места:

DiPost 3.00C с функциями ЭЦП и шифрования корреспонденции, DiSec - шифрование абонентского трафика TCP/IP, DiSign -обеспечение ЭЦП документов Microsoft Office.

* В абонентских местах используется сертифицированное СКЗИ «АП ЗЭП - WIN», удовлетворяющее требованиям ФАПСИ, ФСБ по классу «КС1».

000 «ФАКТОР-ТС» и Технология «ДИОНИС»

ТЕХНИЧЕСКИЕ ХАРАКТЕРИСТИКИ

интерфейсы Асинхронные V.24 RS232 до 115 Кбит/с (до 34-х портов).

и каналы связи Синхронные Х.25 (RFC877) до 256 Кбит/с (до 4-х интерфейсов).

Выделенные и коммутируемые каналы связи.

Сеансовое (число виртуальных соединений) - не ограничено.

• Канальное - в соответствии с конфигурацией телекоммуникационного сервера «ДИОНИС».

Федеральный информационный фонд отечественных и иностранных каталогов на промышленную продукцию Каталог был представлен на выставке «Технологии безопасности - 2006»

Каталог включен в базу данных «Федерального информационного фонда отечественных и иностранных каталогов на промышленную продукцию»

«Министерство образования и науки Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования "Саратовский национальный исследовательский государственный университет имени Н.Г. Чернышевского" Балашовский институт (филиал) Кафедра безопасности жизнедеятельности ФОРМИР. »

«СОДЕРЖАНИЕ CONTENTS РЕГИОНАЛЬНАЯ ГЕОЛОГИЯ REGIONAL GEOLOGY Д. В. Рябчук, А. Г. Григорьев, В. А. Жамойда, D. V. Ryabchuk, A. G. Grigoriev, V. A. Zhamoida, М. А. Спиридонов, А. Котилайнен, Й. Виртасало, M. A. Spiridonov, A. Kotilainen, J. Virtasalo, М. Морос, В. В. Сивков, Е. В. Дорохова M. Moros, V. V. Sivkov, E. V. Doro. »

«Рабочая программа по модулю "Лечебное питание при заболеваниях почек и мочевых путей" Разработчики рабочей программы 1 Бейлина Елена Борисовна 2 Сетко Ирина Михайловна 3 Сетко Нина Павловна 1. Трудоёмкость модуля № Тип занятия Часы 1 Лекции 10,00 2 Практические занятия 24,00 3 Контр. »

«Пояснительная записка Рабочая учебная программа по развитию детей старшей группы разработана в соответствии с ООП МБДОУ "Детский сад общеразвивающего вида" с.Пажга, в соответствии с введением в действие ФГОС ДО. "Познавательное развитие предполагает развитие интересов д. »

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.

Настоящий документ разработан с целью оптимизации процесса изменения настроек на межсетевых экранах Дионис в процессе проведения работ по смене IP адресов в локальных сетях налоговых органов ФНС России.

Документ предназначен для специалистов ИТ-подразделений налоговых органов ФНС России, выполняющих настройки телекоммуникационного оборудования Дионис.

2. Общие положения

В документе рассматривается последовательность действий специалистов при выполнении настроек межсетевого экрана. В качестве примера используются произвольные IP-адреса из множества IP адресов, закрепленных за УФНС России по Тамбовской области (код региона - 68).

Диапазон IP-адресов, закрепленный за территориальными налоговыми органами УФНС России по Тамбовской области - 10.168.0.0 /16.

Внутренний интерфейс межсетевого экрана "Дионис" - 10.168.201.1 /32

Если ПО "ДионисTS" (МЭ + почтовый сервер) выбрать меню Подсистемы(R) Комп.TCP/IP

Если ПО "Дионис"FW" только межсетевой экран выбрать меню Настройка

Далее настройка идентична

Перейти в Интерфейсы, выбираем внутренний интерфейс Lan-In

Сменить адрес в соответствии с планом IP-адресации структурных подразделений ФНС России

Выбрать Таблицу маршрутов

Сменить IP-адрес сети

Сменить маску сети

Посмотреть, какие фильтры используются интерфейсом, в данном примере in-in и in-out

Выйти из меню Интерфейсы и переходим меню Защита (R) Фильтры

Выбрать используемые на интерфейсе фильтры, в данном примере рассмотрим in-in

Фильтр in-in (правила, необходимые для корректного функционирования ЕСК описаны далее)

Изменить правило фильтрации

Сменить IP-адреса в соответствии с планом IP-адресации

При использовании фильтра исходящих in-out на интерфейсе Lan-In замена в нем аналогична in-in

Выйти из меню Фильтры и переходим в NAT-параметры

Изменить внутренние IP-адреса для серверов использующих преобразование адресов NAT

Изменить фиктивный IP-адрес, реальный IP-адрес остается прежним

В итоге все серверы использующие NAT преобразования изменяют внутренние IP-адреса

Перейти в меню Туннели (изменяем внутренние IP-адреса - реальные IP-адреса не изменять)

Просмотреть каждый туннель (туннель между МЭ "Дионис" в одной ЛВС - IP-адреса меняются)

Выбрать Правила отбора

Выбрать все внутренние IP-адреса

Изменить все внутренние IP-адреса в соответствии с планом IP-адресации

После внесения изменений необходимо сохранить настройки

Для корректного функционирования Единой службы каталога (ЕСК) при ее развертывании необходимо на межсетевом экране "Дионис" в фильтрах прописать разрешающие правила.

Рассмотрим на примере взаимодействия УФНС России по Тамбовской области (номер региона 68) с ИФНС России N 2 по Тамбовской области (индекс 6802).

В таблице N 1 представлено распределения пула IP-адресов.

Сеть МИ по ЦОД ФНС России

Контроллер домена МИ по ЦОД ФНС России (IP-адрес взят для примера)

SMS-сервер МИ по ЦОД ФНС России (IP-адрес взят для примера)

Диапазон IP-адресов закрепленный за объектами регионального и местного уровней УФНС России по Тамбовской области

Сеть УФНС России по Тамбовской области

Контроллер домена УФНС Росси по Тамбовской области

SMS-сервер УФНС России по Тамбовской области

MOM-сервер УФНС России по Тамбовской области

MOM Web Console - сервер УФНС России по Тамбовской области

Сеть ИФНС России по Тамбовской области

Контроллер домена ИФНС России N 2 по Тамбовской области

Терминальный сервер ИФНС России N 2 по Тамбовской области

SMS-сервер ИФНС России N 2 по Тамбовской области

Серверы ИФНС России N 2 по Тамбовской области (в примере выбран один сервер)

Рабочие станции ИФНС России N 2 по Тамбовской области

На МЭ "Дионис" УФНС России по Тамбовской области необходимо обеспечить прохождение IP-датаграмм между:

- контроллером домена УФНС России по Тамбовской области и сетью МИ по ЦОД ФНС России (по всем портам);

- контроллером домена УФНС России по Тамбовской области и контроллером домена ИФНС России N 2 по Тамбовской области (по всем портам);

- сетью УФНС России по Тамбовской области и терминальным сервером ИФНС России N 2 по Тамбовской области (по 3389 порту);

- сетью УФНС России по Тамбовской области и SMS-сервером ИФНС России N 2 по Тамбовской области (по 3389 порту);

- SMS-сервером УФНС Росси по Тамбовской области и SMS-сервером ИФНС России N 2 по Тамбовской области (по 445 порту);

- MOM-сервером УФНС России по Тамбовской области и серверами ИФНС и ТОРМ России по Тамбовской области (по портам 5723, 5724);

- MOM Web Console-сервером УФНС России по Тамбовской области и серверами ИФНС и ТОРМ России по Тамбовской области (по портам 51908, 443, 80);

- SMS-сервером УФНС России по Тамбовской области и SMS-сервером МИ по ЦОД ФНС России (по 445 порту);

- сетью УФНС России по Тамбовской области и контроллером домена МИ по ЦОД ФНС России (по всем портам).

Пример фильтра на МЭ "Дионис" для УФНС России по Тамбовской области
(в туннелях Правила отбора настраиваются идентично фильтрам)

На МЭ "Дионис" ИФНС России N 2 по Тамбовской области необходимо обеспечить прохождение IP- датаграмм между:

- контроллером домена ИФНС России N 2 по Тамбовской области и контроллером домена УФНС России по Тамбовской области (по всем портам);

- контроллером домена ИФНС России N 2 по Тамбовской области и сетью МИ по ЦОД ФНС России (по всем портам);

- Рабочими станциями ИФНС России N 2 по Тамбовской области и контроллером домена УФНС России по Тамбовской области (по всем портам);

- Серверами ИФНС России N 2 по Тамбовской области и контроллером домена УФНС России по Тамбовской области (по всем портам);

- Серверами ИФНС России N 2 по Тамбовской области и MOM-сервером УФНС России по Тамбовской области (по портам 5723, 5724);

- Серверами ИФНС России N 2 по Тамбовской области и MOM Web Console -сервером УФНС России по Тамбовской области (по портам 51908, 443, 80);

- SMS-сервером ИФНС России N 2 по Тамбовской области и SMS-сервером УФНС России по Тамбовской области (по портам 445, 1433);

- SMS-сервером ИФНС России N 2 по Тамбовской области и сетью УФНС России по Тамбовской области (по 3389 порту);

- терминальным сервером ИФНС России N 2 по Тамбовской области и сетью УФНС России по Тамбовской области (по 3389 порту);

- Сеть ИФНС России N 2 по Тамбовской области и сетью ТОРМ России по Тамбовской области(по всем портам);

- Сеть ИФНС России N 2 по Тамбовской области и контроллером домена УФНС России по Тамбовской области (по всем портам);

Курс: Базовые настройки Dionis-NX

Продолжительность курса: 16 ак. ч.

Описание курса:
Курс рассчитан на системных администраторов, которые хотят познакомиться с
Dionis-NX. Предполагается, что в обязанности администраторов будет входить
предварительная, базовая настройка маршрутизатора, межсетевого экрана и СКЗИ для
обеспечения удаленного управления хостами Dionis.

Аудитория:
• Сетевые инженеры
• Администраторы сетей

Необходимая подготовка:
• Знание стека протоколов tcp/ip
• Знакомство со статической IP-маршрутизацией, NAT и VPN
• Полезен опыт настройки сетевого оборудования Cisco или аналогичного, настраиваемого при помощи командной строки.

Результат обучения:
После изучения курса слушатель будет уметь:
• Настраивать интерфейсы ethernet
• Создавать статические маршруты
• Использовать NAT
• Фильтровать трафик списками доступа
• Удаленно управлять хостами Dionis по протоколу SSH
• Организовывать VPN, создавая туннели между хостами Dionis
• Инициализировать СКЗИ для шифрования трафика в туннелях
• Обновлять версию Dionis-NX
• Создавать резервные копии конфигурационных файлов и данных
• Запускать отладку и контролировать прохождение пакетов через хост Dionis.

Программа курса:
Часть 1.
«Интерфейс командной строки» знакомит с подключением и входом в Dionis-NX,
«горячими» клавишами, различными режимами командной строки и часто
используемыми командами.

Часть 2.
«Маршрутизатор» описывает настройку IP-маршрутизатора для работы с
интерфейсами ethernet, создание статических маршрутов и работу диагностических
утилит: arping, ping и traceroute.

Часть 3.
«Межсетевой экран» рассматривает защиту удаленного подключения по
протоколу SSH к Dionis-NX, фильтрацию и трансляцию IP-датаграмм, обрабатываемых
IP-маршрутизатором Dionis-NX.

Часть 4.
«Обслуживание» раскрывает работу с файлами в Dionis-NX, создание и
восстановление резервных копий, установку обновлений.

Часть 5.
«Криптозащита» учит, как инициализировать криптосистему, загружать ключи
шифрования и использовать их в статических туннелях.

Часть 6.
«Отладка» включает в себя контроль прохождения пакетов по маршрутизатору
Dionis-NX.

2. Где находятся 1 и 2 гигабитные порты? На задней панели (комбо-порты) вычислено, что это 3 и 4 гигабитные порты.

Ответ: Первый и второй гигабитные порты внутри соединены с маршрутизатором DioNIS. Они никак не доступны из вне. Настраивать эти порты не нужно (не рекомендуется)!

3. У нас имеется две основных задачи: 1) хотим создать vlan 1 для группы портов 1-6 и vlan 2 для группы портов 7-12. На vlan 1 задать ip-адрес из диапазона 10.250.x.x, на vlan 2 задать ip-адрес из диапазона 192.168.x.x. Затем при подключении в любой порт коммутатора, DHCP-сервер должен выдавать IP-адрес из соответствующего диапазона. 2) При подключении, скажем, двух ПК к портам из разных vlan, должен ходить ping, т.е. должна быть организована маршрутизация.

Ответ: на счёт первой задачи вполне реализуемо, но есть нюанс, что Ваш DHCP-сервер сможет выдавать IP-адреса из разных диапазонов конкретному vlan. Настраивается это так:
configure terminal
vlan 1
ip address dhcp
На счёт второй задачи, пока это нереализуемо (на 01.03.2013).

4. Как нам "достучаться" до 12-портового коммутатора (SM-12F) с маршрутизатора DioNIS?

Ответ: Вам необходимо создать frame 4 на DioNIS.

5. Есть ли в DioNIS LXM 20 встроенный почтовый сервер?

Ответ: На модуле коммутирующем модуле SM-12F нет, на криптомаршрутизаторе DioNIS есть полноценный сервер электронной почты (SMTP, POP3, IMAP4, LDAP).

6. Мы хотели бы скопировать конфигурацию с одного аппарата на другой. Можно ли это сделать через tftp?

Ответ: На данный момент это можно сделать таким образом: скопировать конфигурацию (с помощью команды show running-config). Затем вставить полученное, например, в файл 1.txt.
Взять другое устройство, скопировать содержимое файла 1.txt и вставить конфигурацию в консольное окно.

7. Подскажите как задать шлюз на SM-12F?

Ответ: команда ip default-gateway xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx - IP-адрес шлюза.

Ответ: В следующих версиях мы реализуем функцию генерацию SSH ключа при загрузке ПО Арлан. Т.е. Вы сможете зайти через SSH в любом случае. Сейчас же Вам нужно перепрошивать DioNIS с версии NX на LXM.

Читайте также:

  
• Как создать файл cbr
  
• Как сделать игру гонки на компьютер
  
• Как запустить юпитер ноутбук через терминал
  
• Какой тип сети является наилучшим вариантом для объединения в сеть более десяти компьютеров
  
• Как почистить реестр ccleaner