Межсетевой экран Aker



         

Интеграция фильтра с трансляцией сетевых адресов и с криптографией


В предыдущем разделе мы показали, как настраивать правила фильтрации, если задействован механизм трансляции адресов. Вывод состоял в том, что вам надо работать только с реальными адресами, пренебрегая преобразованием адресов. Теперь возникает еще один вопрос: при настройке защищенных каналов для хостов, адреса которых преобразуются, должны использоваться их реальные или виртуальные адреса?

Чтобы ответить на этот вопрос, снова проанализируем движение пакета:

  • При движении из внутренней области во внешнюю пакеты сначала проходят через фильтр, затем подвергаются преобразованию адресов (при необходимости), и, наконец, попадают в   криптографический модуль. Поэтому последний получает пакеты с виртуальными адресами.
  • При движении из внешней области во внутреннюю пакеты сначала расшифровываются (при необходимости). Затем они проходят через модуль трансляции адресов, который преобразует виртуальные адреса в реальные, и, наконец, попадают в пакетный фильтр. Криптографический модуль получает пакеты перед преобразованием их адресов и, следовательно, имеет дело с виртуальными адресами.
  • В обоих случаях криптографический модуль получает пакеты, как будто они первоначально имели виртуальные адреса и для источника, и для назначения. Это приводит к следующему утверждению:

    ! При создании защищенных каналов вы должны учитывать трансляцию сетевых адресов. Для адресов источника и назначения должны устанавливаться их виртуальные IP адреса.

Назад | Содержание | Вперед




Содержание  Назад  Вперед