PC360

Сетевой экран является организатором локальной сети. Необходимо настроить VLAN и изоляцию между сегментами. Настройку этого сетевого экрана без VLAN можно посмотреть тут.   Создание VLAN. Для меж-вилановой маршрутизации на USG нужны виртуальные L3 под-интерфейсы (dot1q) на первичном физическом интерфейсе. Создадим их для каждого ID.   Аналогичными действиями создаются под-интерфейсы для всех VLAN. В доп. настройках можно активировать разрешение для ping, чтоб находить интерфейс в сети. Временно можно ... Читать далее

L2TP (Layer 2 Tunneling Protocol) – это протокол туннелирования, который позволяет создавать виртуальные сети путем инкапсуляции данных на канальном уровне L2 модели OSI. Данные в нём передаются в открытом виде. По сути, это виртуальный провод (туннель) без какой-либо защиты. Из-за этого возможен перехват трафика, подмена пакетов, подмена сервера, подбор логинов/паролей и тп. L2TP-туннели нельзя использовать без дополнительной защиты шифрованием. Обычно ... Читать далее

IPS (Intrusion Prevention System) – система предотвращения вторжений. Анализирует сетевой трафик и обнаруживает попытки атак, вредоносные пакеты и эксплойты, затем блокирует их до того, как они достигнут целевой системы. IPS работает на основе: -сигнатур атак (signature-based); -анализа поведения (anomaly-based); -контекста сессии – понимает, какое приложение или сервис вызывает трафик. Сигнатура – это уникальный шаблон, признак или набор характеристик, по которому система IPS/IDS идентифицирует конкретную известную ... Читать далее

Расшифровка трафика на сетевом экране нужна для дальнейшей его обработки различными модулями и службами такими как AV, IPS, URL-Filtering, AppControl и т.п.  Такая обработка позволяет эффективно устранять угрозу до того, как она попадёт на конечное устройство. Для корректной работы SSL расшифровки есть два важных требования: -отключение Fast Forwarding; -активная лицензия Content Security Group.   Fast forwarding. Fast forwarding – это режим аппаратного ускорения обработки трафика, при ... Читать далее

Блокировать будем социальные сети, торренты, видеохостинги. На основании приказа руководителя три названные категории должны быть недоступны даже пользователям с полным доступом в Интернет. Политики безопасности по разграничению доступа настраивались тут. Существуют разные способы блокировки. На этой странице рассмотрены варианты блокировок по URL-фильтрации, DNS-фильтрации и URL-категориям через политику. У каждого способа есть достоинства и недостатки. Рассмотрим их далее.   URL-фильтрация. URL-фильтрации – это самый логичный ... Читать далее

Продолжаем рассматривать ограничение скорости в сетевом экране. В первой части было представлено простое ограничение скорости. В данном случае настройка сложнее, и нужно начинать вникать в глубины Huawei USG. Без понимания происходящего выполнить такую настройку под свою инфраструктуру будет сложно. Как и в первой части, план предполагает разделение скорости двум группам пользователей ADMINS и USERS. Дополнением в данном случае является родительская политика, с ... Читать далее

Ограничение скорости – это одно из первых действий, которое нужно сделать в сетевом экране при его внедрении в работу. Если какой-то пользователь вдруг начнет скачивать большие объемы данных и займет весь доступный канал, то у остальных пользователей доступ в Интернет будет тормозить и зависать, или вообще его не будет. Поэтому нужно принимать меры заранее. Рассмотрены два варианта настройки ограничения: попроще ... Читать далее

Представлена настройка проброса порта (Port Forwarding) из внешней сети к видеокамере в локальной сети. Видеокамера выбрана для теста как наиболее доступный вариант, не требующий дополнительных настроек. Если проброс порта выполняется к серверу действия аналогичные, но следует учесть, что в сервере есть свой собственный файервол или брандмауэр, (или эту роль выполняет антивирус) и в нем так же нужно открыть порт для ... Читать далее

На этой странице представлена методика подключения домена к сетевому экрану для контроля доступа в Интернет через доменные учетные записи пользователей. Тоесть при доступе в Интернет с любой доменной учетной записи из ПК в локальной сети, пользователя переадресовывает на портал, расположенный в USG, где нужно ввести свой логин и пароль. При успешной аутентификации далее происходит фильтрация политикой безопасности и если пользователь ... Читать далее

Это описание нужно рассматривать как часть базовой конфигурации сетевого экрана FW USG, которая представлена тут. Первоначально доступ к устройству есть только через Console-порт и Service-порт. Все остальные доступы из WAN и LAN запрещены. План действий такой: выполнить подключение через сервисные порты, создать дополнительных пользователей (админов) и разрешить доступ с нужных интерфейсов. Эта инструкция не про пользователей в смысле клиентов локальной сети, а ... Читать далее