Зона в LogAn — это логическое объединение сетевых интерфейсов. Политики безопасности UserGate LogAn используют зоны интерфейсов, а не непосредственно интерфейсы.
Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов управления.
По умолчанию LogAn поставляется со следующими зонами:
Наименование |
Описание |
---|---|
Management |
Зона для подключения доверенных сетей, из которых разрешено управление LogAn. |
Trusted |
Зона для подключения доверенных сетей, например, LAN-сетей. Предполагается, что через зону Trusted LogAn будет подключен в сеть, через которую межсетевые экраны UserGate будут отсылать на него журналы, а также через которую LogAn получит доступ в Интернет. |
Для работы LogAn достаточно одного настроенного интерфейса. Разделение функций управления устройством и сбора данных на разные сетевые интерфейсы рекомендовано для обеспечения безопасности, но не является жестким требованием.
Администраторы LogAn могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.
Для создания зоны необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать зону |
Нажать на кнопку Добавить и дать название зоне. |
Шаг 2. Настроить параметры защиты зоны от DoS (опционально) |
Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Рекомендованные значения для порога уведомления - 300 запросов в секунду, для порога отбрасывания пакетов — 600 запросов в секунду. Исключения защиты от DoS — позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для шлюзов UserGate, которые могут слать большой объем данных на сервера LogAn. |
Шаг 3. Настроить параметры контроля доступа зоны (опционально) |
Указать предоставляемые LogAn сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы. Сервисы:
Подробнее о требованиях сетевой доступности читайте в Приложение 1. Требования к сетевому окружению. |
Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально) |
Атаки на основе IP-спуфинга позволяют передать пакет из одной сети, например, из Trusted, в другую, например, в Management. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес необходимой сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес. Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников отличных от указанных будут отброшены. С помощью флага Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0./16 и включить опцию Инвертировать. |
Раздел Интерфейсы отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN и бонд-интерфейсы.
Кнопка Редактировать позволяет изменять параметры сетевого интерфейса:
включить или отключить интерфейс;
указать тип интерфейса — Layer 3;
назначить зону интерфейсу;
изменить физические параметры интерфейса — MAC-адрес и размер MTU;
выбрать тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Кнопка Добавить позволяет добавить следующие типы логических интерфейсов:
VLAN;
Бонд.
С помощью кнопки Добавить бонд-интерфейс администратор может объединить несколько физических интерфейсов в один логический агрегированный интерфейс для повышения пропускной способности или для отказоустойчивости канала. При создании бонда необходимо указать следующие параметры:
Наименование |
Описание |
---|---|
Вкл |
Включает бонд. |
Название |
Название бонда. |
Зона |
Зона, к которой принадлежит бонд. |
Интерфейсы |
Один или более интерфейсов, которые будут использованы для построения бонда. |
Режим |
Режим работы бонда должен совпадать с режимом работы на том устройстве, куда подключается бонд. Может быть:
|
MII monitoring period (мсек) |
Устанавливает периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов. Значение по умолчанию — 0 — отключает MII-мониторинг. |
Down delay (мсек) |
Определяет время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0. |
Up delay (мсек) |
Задает время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0. |
LACP rate |
Определяет, с каким интервалом будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:
|
Failover MAC |
Определяет, как будут прописываться MAC-адреса на объединенных интерфейсах в режиме active-backup при переключении интерфейсов. Обычным поведением является одинаковый MAC-адрес на всех интерфейсах. Возможные значения:
|
Xmit hash policy |
Определяет хэш-политику передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:
|
Сеть |
Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. |
Данный раздел позволяет указать маршрут в сеть, доступную за определенным маршрутизатором. Например, в локальной сети может быть маршрутизатор, который объединяет несколько IP-подсетей.
Для добавления маршрута необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Задать название и описание данного маршрута |
В разделе Сеть выберите в меню Маршруты, нажмите кнопку Добавить. Укажите имя для данного маршрута. Опционально можно задать описание маршрута. |
Шаг 2. Указать адрес назначения |
Задайте подсеть, куда будет указывать маршрут, например, 172.16.20.0/24 или 172.16.20.5/32. |
Шаг 3. Указать шлюз |
Задайте IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с сервера LogAn. |
Шаг 4. Указать интерфейс |
Выберите интерфейс, через который будет добавлен маршрут. Если оставить значение Автоматически, то LogAn сам определит интерфейс, исходя из настроек IP-адресации сетевых интерфейсов. |
Шаг 5. Указать метрику |
Задайте метрику маршрута. Чем меньше метрика, тем приоритетней маршрут в данную сеть, если маршрутов несколько. |
Для подключения LogAn к Интернету необходимо указать IP-адрес одного или нескольких шлюзов.
Можно указать несколько шлюзов, если для подключения к Интернету используется несколько провайдеров. Пример настройки сети с двумя провайдерами:
Интерфейс port1 с IP-адресом 192.168.11.2 подключен к Интернет-провайдеру 1. Для выхода в Интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.11.1
Интерфейс port2 с IP-адресом 192.168.12.2 подключен к Интернет-провайдеру 2. Для выхода в Интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.12.1
При наличии двух или более шлюзов возможны 2 варианта работы:
Наименование |
Описание |
---|---|
Балансировка трафика между шлюзами |
Установить флажок Балансировка и указать Вес каждого шлюза. В этом случае весь трафик в Интернет будет распределен между шлюзами в соответствии с указанными весами (чем больше вес, тем большая доля трафика идет через шлюз). |
Основной шлюз с переключением на запасной |
Выбрать один из шлюзов в качестве основного и настроить Проверку сети, нажав на одноименную кнопку в интерфейсе. Проверка сети проверяет доступность хоста в Интернет с указанной в настройках периодичностью, и в случае, если хост перестает быть доступен, переводит весь трафик на запасные шлюзы в порядке их расположения в консоли. |
По умолчанию проверка доступности сети настроена на работу с публичным DNS-сервером Google (8.8.8.8), но может быть изменена на любой другой хост по желанию администратора.