Московский государственный технический университет им. Н.Э. Баумана
Опубликован: 03.03.2015 | Доступ: свободный | Студентов: 4173 / 1488 | Длительность: 15:51:00
Лекция 10:

Управление межсетевыми экранами D-Link NetDefend

Управление межсетевыми экранами D-Link NetDefend

Система NetDefendOS разработана для обеспечения высокой производительности и надежной работоспособности. Система предоставляет не только расширенный набор функций, но и дает администратору возможность полного управления каждой деталью системы, что позволяет применять межсетевые экраны NetDefend в самых разнообразных ситуациях.

NetDefendOS поддерживает следующие интерфейсы управления:

Web-интерфейс пользователя или WebUI. Доступен через стандартный Web-браузер (рекомендуется Microsoft Internet Explorer или Firefox, но могут использоваться и другие). Браузер подключается к одному из Ethernet-интерфейсов оборудования с помощью протокола HTTP или HTTPS и система NetDefendOS выступает в роли Web-сервера, позволяя использовать Web-страницы в качестве интерфейса управления.

Интерфейс командной строки CLI. Доступен локально через консольный порт или удаленно с помощью протокола Secure Shell (SSH), обеспечивает управление всеми параметрами в NetDefendOS.

Secure Copy. Secure Copy (SCP) – широко распространенный протокол обмена данными, используемый для передачи файлов. NetDefendOS не предоставляет определенного SCP-клиента, однако, существует широкий выбор SCP-клиентов, доступных для всех платформ рабочих станций. SCP является дополнением к CLI и обеспечивает защиту файлов, передаваемых между рабочей станцией администратора и межсетевым экраном NetDefend. Различные файлы, используемые системой NetDefendOS, могут быть скачены и загружены с помощью SCP.

Удаленный доступ . Удаленный доступ к интерфейсам управления может быть организован с помощью политики удаленного управления. Таким образом, администратор может ограничить доступ к управлению на основе: сети источника, интерфейса источника, имени пользователя и пароля. Может быть разрешен удаленный доступ к интерфейсу командной строки CLI при подключении по IPSec-туннелю.

По умолчанию, доступ к Web-интерфейсу открыт пользователям в сети при подключении через LAN-интерфейс межсетевого экрана D-Link (при наличии устройства более одного LAN-интерфейса, LAN1 является интерфейсом по умолчанию).

Управление межсетевыми экранами NetDefend через интерфейс командной строки (CLI)

Система NetDefendOS предоставляет интерфейс командной строки (CLI) администраторам, которым предпочтительнее или требуется использовать командную строку, или которым необходимо более тщательное управление системными настройками. Интерфейс командной строки (CLI) доступен как локально через консольный порт, так и удаленно через Ethernet-интерфейс с использованием протокола Secure Shell (SSH) клиента SSH.

Консольный порт – это локальный порт RS-232 (на моделях DFL-210/260/260E/800/860/1600/1660/2500/2560) и локальный порт RJ-45 через кабель RJ45-to-DB9 (для моделей DFL-260E/860E) межсетевых экранов NetDefend, обеспечивающий прямой доступ к интерфейсу командной строки NetDefendOS CLI при подключении к компьютеру или терминалу без сетевых связей.

При настройке соединения компьютер (com-порт)-межсетевой экран NetDefend (консольный порт) необходимо запустить программу эмуляции терминала VT100

Например, настройки программы Putty-клиент putty.exe выглядят следующим образом:


Наиболее часто используемые команды CLI:

  • add – Добавление объекта, например, IP-адреса или правила в настройки NetDefendOS.
  • set – Установка какого-либо свойства объекта в качестве значения. Например, может использоваться для настройки интерфейса источника в IP-правиле.
  • show – Отображение текущих категорий или значений объекта.
  • delete – Удаление определенного объекта.

Как правило, команды CLI обычно начинаются со структуры: <command> <object_type> <object_name>. Например, для отображения IP-адреса объекта my_address, используется команда:

gw-world:/> show Address IP4Address my_address

Для просмотра адресов в папке InterfaceAddresses указывается следующий путь:

gw-world:/> show Address IP4Address InterfaceAddresses/my_address

Приглашение ко вводу команд " gw-world:/>" может быть другим. Например, по умолчанию в межсетевых экранах серии DFL приглашение выглядит следующим образом: в DFL-860E: DFL-860E:/>, в DFL-1660: DFL-1660:/> и т.д.

Вторая часть команды определяет тип объекта (object_type) и необходима для идентификации категории объекта, к которой относится имя объекта (принимая во внимание, что одно и то же имя может существовать в двух разных категориях).

Команда add может содержать свойства объекта. Для добавления нового объекта IP4Address с IP-адресом 140.168.2.8 используется команда:

gw-world:/> add IP4Address my_address Address=140.168.2.8

Типу объекта может опционально предшествовать категория объекта. Группы категорий совместно с набором типов используются с функцией tab completion. Достаточно сложно запомнить все команды и их опции. Система NetDefendOS предоставляет функцию, которая называется tab completion. Нажатие клавиши tab вызовет автоматическое завершение текущей части команды. Если завершение невозможно, нажатие клавиши tab вызовет автоматическое отображение доступных опций возможной команды.

Функция tab completion для данных. Преимущество функции tab completion заключается в отображении автоматического завершения команды или параметра данных возможными значениями. Это выполняется нажатием клавиши tab после ввода начального символа. Например, если при наборе незаконченной команды:

set Add

нажать клавишу tab, в командной строке автоматически отобразится

set Address

Если при наборе команды необходимо уточнить, например, возможности ввода значений IP-адресации, нужно ввести символ "=" (равно) и нажать tab:

set Address IP4Address lan_ip Address=

В командной строке отобразится:

add Address IP4Address lan_ip Address= Type: IP4Address Description: IP address, e.g. "172.16.50.8", "192.168.30.7,192.168.30.11", "192.168.7.0/24" or "172.16.25.10-172.16.25.50".

Выбор категории объектов. Для некоторых категорий (например, тип IP4Address принадлежит категории Address) сначала необходимо выбрать элемент данной категории с помощью команды cc (change category – изменение категории) до того, как отдельные объекты могут быть обработаны. Это касается, например, маршрутов. Если существует более одной таблицы маршрутизации, при добавлении или управлении маршрутом, прежде всего, необходимо использовать команду cc для идентификации именно той таблицы маршрутизации, которая требуется.

Предположим, что main – таблицa маршрутизации, в которую необходимо добавить маршрут. Первой командой будет:

gw-world:/> cc RoutingTable main gw-world:/main>

Cтрока команды изменилась для указания текущей категории. Теперь можно добавить маршрут:

gw-world:/main> add Route Interface=lan Network=InterfaceAddresses/lannet

Для отмены категории используется команда cc:

gw-world:/main> cc gw-world:/>

Иногда определенным параметрам присваивается несколько значений. Например, некоторые команды используют параметр AccountingServers, и данному параметру можно назначить более одного значения, разделяя их запятой. Например, если необходимо определить три сервера server1, server2, server3, назначение параметра в команде будет следующим:

AccountingServers=server1,server2,server3

Порядок правил, определенный в списках, например, набор IP-правил, является крайне важным. С помощью команды add, используемой CLI, по умолчанию добавляется новое правило в конец списка. Если размещение на определенной позиции является критичным, команда add может включить параметр Index= в качестве опции. Вставка на первую позицию в списке определена с помощью параметра Index=1 в команде add, на вторую позицию – с помощью параметра Index=2 и т.д.

Использование имен хоста в CLI. Для некоторых команд CLI, IP-адреса могут опционально определяться как текстовое имя хоста вместо объекта IP4Address. При этом перед именем хоста должен стоять префикс, состоящий из символов "dns:", указывающий на то, что таблица поиска DNS решает какому имени хоста соответствует какой IP-адрес. Например, имя хоста host.company.com будет определено в CLI как dns:host.company.com.

Параметры, где могут употребляться URN (Uniform Resource Names –унифицированные имена ресурсов) с CLI:

  • Remote Endpoint (Удаленная конечная точка) для IPsec, L2TP и PPTP-туннелей.
  • Хост для LDAP-серверов.

Если требуется выполнить поиск с помощью DNS, в системе NetDefendOS должен быть настроен хотя бы один публичный DNS-сервер для преобразования имен хостов в IP-адреса.