Настройка межсетевого экрана континент

Обновлено: 06.07.2024

АПКШ Континент поставляется с предустановленной текущей тиражируемой версией ПО. В некоторых случая может потребоваться ее переустановка (понижение или повышение версии, восстановление работоспособности, установка отладочной версии по и т.д.).

При инсталляции ПО на аппаратную платформу используются два источника инсталляции:

  • CD-диск (входит в комплекте поставки оборудования)
  • USB Flash drive (так же входит в состав поставки)

Самый распространенный способ - это установка через USB Flash drive. В этом случае на носитель необходимо записать образ USB Flash drive из комплекта поставки. Образы находятся на CD-диске в директории Setup\Continent\FLASH\IMAGES, имеют расширение .flash и записываются на USB Flash drive при помощи таких утилит как:

Для распознавания файла образа в balenaEtcher необходимо изменить расширение с .flash на .img (cgw_release.flash -> cgw_release.img)

По факту каждый образ это raw image жесткого диска с двумя разделами. Первый раздел FAT размером 8 МБ. Предназначен для сохранения ключей администратора ЦУС или же конфигурации и ключей КШ. Второй раздел UFS (FreeBSD). Содержит необходимые для установки ПО файлы. Созданный таким образом USB Flash drive будет являться загрузочным устройством и позволит произвести установку ПО на аппаратную платформу АПКШ.

Каждый образ установочного ПО содержит требуемый функционал для конкретной реализации ПО:

  • arm_release.flash - АРМ ГК (Генерации Ключей)
  • cgw.aserv_release.flash - КШ-СД
  • cgw_release.flash - КШ
  • csw_release.flash - КК
  • ids_release.flash - ДА
  • ncc.aserv_release.flash - ЦУС-СД
  • ncc_release.flash - ЦУС

При переустановке ПО на аппаратную платформу АПМДЗ "Соболь" будет выдавать предупреждение о том, что изменился загрузочный диск, на запрос о изменении загрузочного диска следует ответить "НЕТ", в ином случае Соболь при загрузке уже с диска опять выдаст это предупреждение. Так же после переустановке ПО сбросится настройка "Время автоматического входа в систему", следует установить этот параметр в значение, отличное от 0, иначе устройство будет требовать предъявление iButton при каждой загрузке. Пункт "Время автоматического входа в систему" может быть недоступен для редактирования, в этом случае необходимо создать пользователя AUTOLOAD в меню управления пользователям АПМДЗ "Соболь".

Для того, чтобы установить ПО Континент на виртуальную машину используется специальный ISO-образ. Данный образ содержит в инсталляционных файлах все возможные компоненты комплекса (ЦУС, КШ, КК, ДА, ЦУС-СД, КШ-СД, АРМ ГК). Основное отличие данного ISO-образа это эмуляция Соболя, по факту же данный образ может использоваться для установки на x86-совместимое аппаратное обеспечение. Важно понимать, что в этом случае мы никогда не получим формальное соответствие формуляру (актуально для версии 3.7 и ниже). При установке на виртуальную платформу необходимо выбирать гостевую систему FreeBSD (32 bit) ниже 10 версии.

Для оптимизации потребления ресурсов гипервизора рекомендуется использовать следующие параметры в файле /boot/loader.rc:

  • set hint.p4tcc.0.disabled=1
  • set hint.acpi_throttle.0.disabled=1
  • set hint.apic.0.clock=0
  • set kern.hz=50

Начиная с версии 3.9 для установки на реальную платформу и на гипервизор используется один установочный диск, который самостоятельно определяет в каком режиме он будет работать.

Строка инициализации используется для создания устройства в ПУ ЦУС, это способ сообщить ПУ ЦУС идентификационный номер устройства, а так же количество и тип сетевых интерфейсов.

При ошибке в строке инициализации в дальнейшем будет невозможно загрузить конфигурацию на устройство, так что стоит быть предельно внимательным при ее вводе.

Строка инициализации для оборудования, поставляемого производителем приведена в Паспорте. Так же строку инициализации можно увидеть при инсталляции ПО (строка инициализации появляется после ввода идентификатора устройства. В некоторых случая строка инициализации может уйти за границы экрана, в этом случае необходимо нажать Scroll Lock и прокрутить экран вверх при помощи клавиш с указателями).

Следует быть внимательным, при установке на виртуальную машину, поскольку в некоторых гипервизорах могут использоваться различные типы интерфейсов! К примеру в VirtualBox используются интерфейсы le. Так же стоит обратить внимание, если количество интерфейсов в строке инициализации отличается от фактического количества интерфейсов на аппаратной платформе, это может быть признаком выхода интерфейса из строя, и как следствие ОС не может его обнаружить.

Строка инициализации имеет простой и понятный формат, например:

  • 00002710 - идентификатор криптошлюза в HEX, длиной восемь символов, дополняется нулями в начале
  • 3 - количество сетевых интерфейсов устройства, далее и до конца строки идет перечисление интерфейсов и их режимов работы
  • igb0*02BDigb1*02BDigb2*02BD - наименование сетевых интерфейсов, как их определяет операционная система, режим работы (скорость, дуплекс), * отделяет интерфейсы
  • ffff - признак окончания строки инициализации

Интерфейсы и режим работы:

  • em0 (медь) - 02BD
  • igb (оптика) - 3001
  • igb (медь) - 02BD
  • ix (оптика 10G) - 0001
  • ixl (оптика криптоускоритель) - 2E801

Настройка L3 VPN между КШ это самая распространенная задача, выполняемая администратором комплекса. Для создания данного типа VPN необходимо выполнить следующие действия:

  1. создание сетевых объектов
  2. создание парных связей
  3. создание правил фильтрации

Шифрование трафика в комплексе возможно только между сетевыми объектами с типом Защищаемый.

Привязка сетевого объекта должна производится к внутреннему интерфейсу или к интерфейсу с типом "Любой" криптошлюза, за которым этот сетевой объект находится.

После создания сетевого объекта он может быть использован в правилах фильтрации. Подробнее о сетевых объектах и их типов читайте тут (link!).

Парные связи позволяют крипошлюзам узнавать о защищаемых сетевых объектах парных криптошлюзов.

После того, как сетевые объекты и парные связи созданы единственное, что останавливает прохождение трафика по VPN-каналу это межсетевой экран криптошлюза.

Необходимо создать правила фильтрации на основе созданных межсетевых объектов описав в них требуемые разрешения для прохождения трафика. Подробнее о правилах фильтрации и управлении межсетевым экраном читайте тут (link!).

L2 VPN при использовании криптокоммутаторов позволяет прозрачно объединять физические порты криптокоммутатров в единый L2-сегмент. Для конфигурации L2 VPN необходимо выполнить следующие действия:

  • настройки интерфейсов коммутации
  • конфигурация виртуального коммутатора

Интерфейс коммутации - физический или логический интерфейс (VLAN) КК, который отправляет все присланные на него кадры в виртуальный коммутатор. Для задания интерфейса коммутации необходимо открыть свойства КК, перейти на вкладку Интерфейсы, выбрать нужный интерфейс и назначить ему тип "Порт криптокоммутатора". У КК должен так же быть минимум один внешний интерфейс, который используется для передачи VPN-трафика и управления устройством.

Для того, чтобы порты криптокоммутатора передавали трафик защищаемых хостов внутри VPN необходимо создать виртуальный криптокоммутатор. В общем случае можно сказать, что виртуальный коммутатор на логическом уровне объединяет все порты криптокоммутаторов, которые в него включены в единый L2-сегмент. Для создания виртуального коммутатора необходимо задать его имя и добавить из списка доступные порты необходимых КК. Если чекбокс Автоматически создавать парные связи активен, то с свойствах каждого КК не потребуется вручную указывать парные для него КК.

Для организации защищенного соединения удаленного пользователя и доступа его к защищенным ресурсам внутренней сети используется связка Континент АП и СД (Сервер доступа).

Не стоит забывать, что СД это дополнительный модуль, устанавливаемый на КШ и по факту он живет своей жизнью, не привязываясь к IP-адресам или идентификатору КШ.

Для организации удаленного доступа производятся действия на АРМ пользователя и на СД.

На АРМ пользователя:

  • установка ПО "Континент АП"
  • создание закрытого ключа пользователя (опционально)
  • импорт сертификата пользователя (опционально с импортом закрытого ключа), выпущенный на СД
  • создание соединения с СД
  • создание объекта защищаемой сети
  • создание правил межсетевого экрана
  • создание пользователя и выпуск сертификата пользователя
  • назначение пользователю правил межсетевого экрана

Более детально конфигурация данного типа VPN будет рассмотрена в соответствующем разделе.

Недавно столкнулся с необходимостью настроить межсетевой экран СКЗИ Континент-АП по принципу белого списка. Задача несложная, но есть некоторые особенности применительно к данному программному продукту. Решил поделиться, вдруг кому пригодится и лень долго читать инструкции.


СКЗИ Континент-АП представляет собой программный VPN-клиент с функцией персонального межсетевого экрана. VPN-клиент подключается к АПКШ "Континент" и далее можно работать в защищаемой сети. Встроенный функционал МЭ очень полезен когда нужно ограничить сетевое взаимодействие и позволяет не использовать другие решения.

На процессе установки Континент-АП подробно останавливаться не буду, а только опишу основные шаги:

1. Во время установки дистрибутива принудительно выбрать установку с МЭ.

2. После завершения установки в трее появится иконка брандмауера Континента (выделена желтым цветом) и для начала его работы необходимо выбрать пункт "Начать сеанс работы. ". Пароль по умолчанию - "111111". Иконка станет зеленой.

3. Для настройки правил фильтрации необходимо выбрать пункт "Войти в режим настройки. ". Учетные данные по умолчанию: "Администратор" - "111111".

Правила фильтрации МЭ можно настраивать в нескольких режимах, приведены на скриншоте:


"Правила до авторизации" загружаются вместе с операционной системой, "правила фильтрации" и "правила прикладной фильтрации" загружаются после начала сеанса работы с МЭ.

Пример некоторых правил ниже (для режима "правила фильтрации"):

1. Разрешить доступ к конкретному IP-адресу (исходящее или входящее направление):

pass:(tcp port 80) or (tcp port 443) and (host 93.187.72.23);

3. Разрешить доступ к произвольной сети ( 93.187.72.0/24) по протоколу TCP с указанием или без указания порта:

Обзор АПКШ «Континент» 3.9 – многофункционального криптошлюза для защиты сетевого периметра

АПКШ «Континент» 3.9 — аппаратно-программный комплекс шифрования для обеспечения защиты информационных сетей, конфиденциальности при передаче информации по открытым каналам связи, организации безопасного удаленного доступа и защиты сетевого периметра. Решение построено на базе новых аппаратных платформ, что вместе с новым программным обеспечением позволяет добиться производительности до 13 Гбит/с в режиме межсетевого экранирования и до 20 Гбит/с в режиме шифрования канала по ГОСТ. Может использоваться для защиты каналов между ЦОД за счет применения аппаратного криптоускорителя.


Сертификат AM Test Lab

Номер сертификата: 239

Дата выдачи: 14.12.2018

Срок действия: 14.12.2023

  1. 2.1. Архитектура и производительность
  2. 2.2. Функциональные возможности
  3. 2.3. Типовые варианты внедрения
  1. 3.1. Практические примеры настройки «Континент» 3.9
    1. 3.1.1. Пример 1. Создание криптошлюза в топологии защищенной сети
    2. 3.1.2. Пример 2. Настройка DHCP- и NTP-сервера на криптошлюзе
    3. 3.1.3. Пример 3. Резервирование базы данных центра управления сетями
    4. 3.1.4. Пример 4. Агрегация интерфейсов

    Введение

    Развитие инфраструктуры в организациях, в том числе в государственном секторе, дает стимул вендорам и разработчикам средств защиты информации постоянно улучшать свои продукты.

    Динамика развития сетей в госорганах до определенного момента значительно отставала от корпоративного сегмента. Сейчас разрыв уменьшился, и запросы в части производительности активного сетевого оборудования и применяемых технологий выросли. Поэтому все разработчики средств защиты информации стараются успевать за возрастающими потребностями заказчиков.

    По данным исследовательской компании Gartner, за последние годы показатели продаж устройств с 40-гигабитными сетевыми картами сравнялась с показателями продаж 10-гигабитных карт из-за постоянно возрастающих требований к пропускной способности в сетях организаций. Однако обеспечить соответствие новым потребностям рынка способны не только зарубежные сетевые устройства.

    Специфика российского рынка предполагает не только высокие требования к производительности: важными факторами являются тенденция импортозамещения и использования сертифицированных средств защиты информации.

    С этим связано усиление требований со стороны регуляторов для решения различных отраслевых задач и потребностей:

    • потребность в надежных средствах криптографической защиты информации объектов критической информационной инфраструктуры (в соответствии с Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ) для взаимодействия с государственными центрами реагирования на компьютерные инциденты;
    • ГОСТ по защите информации для финансовых организаций (ГОСТ Р 57580.1-2017);
    • повсеместность обработки персональных данных и необходимость их защиты при передаче по открытым каналам связи;
    • требования ФСТЭК России по сертификации межсетевых экранов и средств технической защиты информации стали гораздо серьезнее в части необходимой функциональности и уровня доверия к программной среде, под которой работают устройства подобного класса.

    Еще один мировой тренд в развитии концепции сетевой безопасности направлен в сторону централизации. В соответствии с этим уже сегодня заявлен высокий уровень защиты сети вне зависимости от среды и сценариев реализации систем защиты. Для удовлетворения потребностей заказчиков сейчас все мировые производители выпускают целую линейку продуктов, позволяющих покрыть все потребности заказчика.

    АПКШ «Континент» — централизованный комплекс для защиты сетевой инфраструктуры и создания VPN-сетей с использованием алгоритмов ГОСТ. Он является частью большого комплексного решения для защиты сетевой инфраструктуры, в которое также входят:

    • Персональный межсетевой экран из состава Secret Net Studio — он позволяет сегментировать сеть там, где нельзя установить аппаратный межсетевой экран;
    • «Континент TLS», который обеспечивает защищенный удаленный доступ к web-ресурсам с использованием алгоритмов ГОСТ;
    • vGate vFirewall — обеспечивает сегментацию виртуализованной сети без необходимости использовать виртуальные межсетевые экраны или использовать персональные межсетевые экраны на виртуальных машинах;
    • «Континент WAF» обеспечивает защиту веб-приложений.

    Ниже в качестве примера приведены высокопроизводительные модели линейки продуктов «Кода безопасности» (рисунок 1).

    Таблица 1. Линейка высокопроизводительных АПКШ «Континент»

    IPC-800F
    IPC-1000F
    IPC-3000F
    IPC3000FC

    Характеристики АПКШ «Континент» 3.9

    Архитектура и производительность

    Новый «Континент» 3.9 стал значительно быстрее за счет перехода на 64-битную программную платформу (x86_64 FreeBSD). Проведена оптимизация программного обеспечения и исправлены ранее обнаруженные ошибки. Кроме того, был обновлен модельный ряд устройств. В результате, если старшее устройство АПКШ «Континент» 3.7 обладало пропускной способностью межсетевого экрана в 3,5 Гбит/с и пропускной способностью шифрования в 2,5 Гбит/с, то старшее устройство АПКШ «Континент» 3.9 обладает производительностью в 13 Гбит/с и 20 Гбит/с соответственно.

    Также разработчики добились значительного увеличения производительности межсетевого экрана на устройствах предыдущего поколения (рисунок 2).

    Рисунок 1. Сравнение производительности «Континент» 3.7 и «Континент» 3.9 (Мбит/с)

    Сравнение производительности «Континент» 3.7 и «Континент» 3.9

    Стоит отметить, что для тестирования новой версии была произведена смена методики замеров производительности, основанная на методологии NSS Labs. Используя статистику о реальном трафике на стороне заказчика, можно проводить более точные и близкие к реальности замеры, о чем говорят результаты исследования.

    Применение различных подходов в изучении производительности позволяет доказать эффективность внедренных новшеств.

    Теперь после того, как мы рассмотрели общие вопросы, связанные с архитектурой и методиками замера производительности АПКШ «Континент» 3.9, ознакомимся более детально с модельным рядом (рисунок 3).

    Для начала разберемся с маркировкой, что означают цифры и литеры в названиях АПКШ:

    • IPC — общепринятое обозначение платформы АПКШ;
    • цифры указывают на относительную производительность платформы и классифицируют по уровням (до 100 — начального уровня, 100-1000 — среднего уровня производительности, 3000 — высокопроизводительные устройства);
    • литера F означает наличие на платформе платы расширения с оптическими интерфейсами;
    • литера C означает наличие криптоускорителя.

    Таблица 2. Пропускная способность модельного ряда АПКШ «Континент» 3.9


    Приветствую читателей в третьей статье цикла Континент Getting Started, где рассказывается о UTM решении от компании Код Безопасности. В прошлой статье был описан процесс установки узла безопасности и произведена его первоначальная настройка. В этой статье мы более подробно рассмотрим компонент «Межсетевой экран», создадим правила фильтрации и трансляции.

    В комплексе Континент компонент «Межсетевой экран» может быть реализован в двух вариантах исполнения: UTM и высокопроизводительный межсетевой экран. Правила фильтрации выполняются в строгом порядке, сверху вниз. Если проходящий трафик соответствует параметрам правила, над ним осуществляется действие, заданное этим правилом. Дальнейшая проверка трафика по последующим правилам фильтрации осуществляться не будет.

    Для настройки межсетевого экранирования перейдем в «Контроль доступа» – «Межсетевой экран». По дефолту в межсетевом экране нет ни одного правила. Межсетевой экран Континента работает с объектами ЦУС.


    Сетевые объекты

    Создадим следующие сетевые объекты:

    Защищаемая сеть центрального офиса (ЦО) с адресом 192.168.1.0/24;

    Защищаемая сеть филиала с адресом 192.168.10.0/24;

    Хост администратора – 192.168.1.10

    Внешний ip-адрес шлюза филиала – 10.10.1.244;

    Внешний ip-адрес шлюза ЦО – 10.10.1.245.

    Континент 4 позволяет импортировать сетевые объекты. Для этого должен быть сформирован файл в формате .csv с указанием сетевых объектов. Структура файла следующая:


    Для импорта списка: ПКМ в «Сетевых объектах» – Импортировать.

    Сервисы

    По дефолту в Континенте уже имеются основные сервисы, которые можно дополнить.


    Пользователи

    Учетные записи пользователей могут быть созданы в локальной базе данных ЦУС или импортированы из каталога Active Directory.

    Добавление пользователей из каталога AD возможно с помощью LDAP. Во вкладке «Администрирование» переходим в раздел «LDAP» и далее «Создать LDAP профиль».

    В графе «Название» самопроизвольно указываем имя профиля. В разделе «Домен» указываем доменное имя сервера AD и атрибуты LDAP. В разделе «Аутентификация» указывается пользователь, состоящий в группе, администраторы домена. Для данной цели рекомендуется создать отдельную учетную запись. В разделе «Серверы» указывается IP-адрес сервера AD и порт подключения. Подключение к серверу AD работает по протоколу LDAPS.


    После необходимо активировать компонент «Идентификация пользователей» и добавить созданный профиль на УБ во вкладке «Структура»: ПКМ по УБ – «Идентификация пользователей» – «Профиль LDAP». Далее возвращаемся к нашему LDAP профилю и нажимаем «Импорт LDAP-групп». Если подключение к AD будет выполнено успешно, то на экране появится окно импорта LDAP-групп. Выбираем нужные нам группы и импортируем их. Импортированные группы появятся во вкладке объектов ЦУС «Пользователи».



    Приложения

    Контролируемые комплексом сигнатуры приложений для удобства пользователя разделены по категориям. В базовый контроль приложений входит около 50 приложений. Доступны такие категории как бизнес-приложения, виртуализация, социальные сети, голосовая связь, облачные хранения, удаленный доступ и др.


    При использовании расширенного контроля приложений в БД ЦУС загружаются дополнительные сигнатуры приложений. При необходимости на основании загруженных сигнатур можно создать пользовательскую сигнатуру путем копирования и редактирования свойств существующей.

    Данный компонент лицензируется отдельно. Для использования расширенного контроля приложений необходимо скачать пакет обновления (hotfix) с сервера обновлений (или запросить у вендора) и установить его на ЦУС. Далее активируется компонент в свойствах узла безопасности.


    Приложения, входящие в расширенный контроль можно кастомизировать. Для этого выбирается определенный атрибут приложения. Например, запретим воспроизведение музыки в вк. В поисковой строке ищем нужное приложение – ПКМ – Создать – Отмечаем атрибут «audio».


    Также можно создавать группы приложений. Создадим группы приложений, включающие себя торренты, анонимайзеры, социальные сети и новостные порталы (в категорию приложений «news» входят только иностранные новостные порталы).




    С правилами возможны следующие действия:

    Ввести название правила

    Назначить отправителя и получателя пакета

    Протокол передачи данных

    Перечень контролируемых приложений

    Пропустить или отбросить трафик

    Выбрать профиль усиленной фильтрации

    Включить или выключить систему обнаружения вторжений для конкретного правила

    Назначить временной интервал действия правила

    Узел безопасности, на котором будет установлено правило

    Создадим следующие правила фильтрации:

    Правила, разрешающие прохождение трафика между центральным офисом и филиалом.

    Правила, блокирующие социальные сети, анонимайзеры, торренты и новостные порталы в защищаемых сетях с логированием. (Т.к. выше стоит правило, разрешающее прохождение трафика для администратора, то с его хоста данные приложения будут доступны. Потом мы отключим это правило, для тестирования блокировки приложений)

    Правило, блокирующее доступ к компьютерам защищаемой сети по RDP и Telnet для всех, кроме администратора с логированием

    Правило, запрещающее весь остальной трафик.

    Для сравнения так выглядел межсетевой экран в Континент 3.9:


    Для прохождения трафика между ЦО и филиалом необходимо настроить маршрутизацию. На УБ с ЦУС добавим маршрут до сети филиала (192.168.10.0/24).


    В версии Континент 4.1 есть возможность импорта правил МЭ из конфигурации Check Point версий R77.30 и R80.20, а также связанных с этими правилами объектов.

    При выборе режима трансляции могут быть указаны следующие варианты:

    «Не транслировать» — к трафику не применяются правила трансляции. Используется для правил-исключений при передаче части трафика без трансляции.

    «Скрыть» — маскарадинг (hide NAT). Исходящим пакетам в качестве IP-адреса отправителя назначается IP-адрес, через который будет доступен получатель пакета.

    «Отправителя» — изменение IP-адреса отправителя (source NAT)

    «Получателя» — изменение IP-адреса получателя (destination NAT)

    «Отобразить» — трансляция IP-адреса отправителя в режиме «один к одному»

    Создадим 3 правила трансляции адресов:

    Первое правило – не транслировать. Исключает трансляцию адресов между защищаемыми сегментами.

    Второе правило – hide NAT для центрального офиса.

    Третье правило – hide NAT для филиала.


    Протестируем созданные правила и посмотрим, как будут выглядеть записи в система мониторинга. Не забываем, что необходимо отключить 5 правило фильтрации (прохождение трафика с хоста администратора) для тестирования блокировки приложений. IP-адрес хоста администратора попадает под действие двух сетевых объектов (Admin и 192.168.1.X), так что трафик через этот хост проходить будет, но по другим правилам.



    Проверим записи в системе мониторинга:


    Если отключить 5 правило фильтрации, то приложения будут блокироваться и для администратора:


    Щелкнув 2 раза по записи, можно посмотреть подробное описание:


    Приоритизация трафика

    Для обеспечения повышения качества передачи данных в комплексе Континент используется специальный механизм Quality of Service (QoS). Данная технология предоставляет различным классам трафика приоритеты в обслуживании. Комплекс Континент поддерживает работу следующих механизмов управления QoS:

    приоритизация трафика Представлено 8 приоритетов трафика (неприоритетный, низкий, ниже среднего, средний, выше среднего, высокий, наивысший, реального времени)

    минимизация джиттера для трафика в приоритете реального времени

    Маркировка IP-пакета определяется с помощью DSCP-метки в заголовке IP-пакета. Кодом DSCP называются шесть наиболее значимых бит поля DiffServ. DiffServ — это модель, в которой трафик обрабатывается в промежуточных системах с учетом его относительной приоритетности, основанной на значении поля типа обслуживания (ToS).

    Выглядит это следующим образом:


    В качестве DS5-DS3 используются те же самые биты приоритета. DS2, DS1 определяют вероятность сброса пакетов. DSCP использует группы CS (Class Selector), AF (Assured Forwarding), EF (Expedited Forwarding).

    DSCP-метки группы CS используют только первые 3 бита приоритета, остальные устанавливаются в нули. Выглядят они следующим образом:


    Соответственно получается, что CS0 имеет низший приоритет, CS7 – высший приоритет.

    DSCP-метки группы AF содержат два значения. Условно обозначим их как x и y. X – определяет класс трафика (всего 4 класса), y – приоритет при необходимости сброса трафика (3 значения). AFx1 имеет менее важный приоритет.



    DSCP-метка группы EF имеет высший класс приоритета. Значение DSCP метки 46. Это означает, что трафик будет передан самым лучший способом.

    Best Effort. DSCP значение – 0. Означает, что трафик будет передан по возможности.

    Для обработки приоритетов используется метод HFSC, обеспечивающий распределение полосы пропускания очередей. Протестриуем данный функционал. Для этого активируем компонент «Приоритизация трафика» и создадим правила.



    Профиль приоритизации трафика создается для определения полосы пропускания для каждого типа приоритета. Создается как для исходящего трафика, так и для входящего. Профиль применяется в настройках узла безопасности.


    Multi-WAN

    В комплексе имеется возможность сконфигурировать сеть при одновременном подключении УБ к нескольким внешним сетям. Предусмотрены следующие режимы Multi-WAN:

    передача трафика в соответствии с таблицей маршрутизации;

    обеспечение отказоустойчивости канала связи;

    балансировка трафика между внешними интерфейсами УБ.

    Настройки Multi-WAN происходит в свойствах узла безопасности во вкладке Multi-WAN.


    Заключение

    В данной статье рассмотрены функции и настройки межсетевого экрана в Континент 4.1. Создана базовая политика межсетевого экранирования и показаны записи в системе мониторинга. Подробно разобран функционал приоритизации трафика.

    В следующей статье будет показана работа с веб-фильтром.

    Подробную информацию о продукте можно найти на странице Код Безопасности .

    Читайте также: