Интернет шлюзы. Концентратор Работа концентраторов Работают на физическом уровне. Выполняют передачу пакетов на все порты. Произв

Содержание

Слайд 2

Концентратор

Концентратор

Работа концентраторов

Работают на физическом уровне.
Выполняют передачу пакетов на все порты.
Производится усиление

Концентратор Концентратор Работа концентраторов Работают на физическом уровне. Выполняют передачу пакетов на
электрического сигнала.

Слайд 3

Работа коммутаторов

Работают на канальном уровне.
Строят таблицу коммутации. Выполняют передачу пакетов на

Работа коммутаторов Работают на канальном уровне. Строят таблицу коммутации. Выполняют передачу пакетов
требуемый порт.
Производится регенерация пакета перед передачей.

Слайд 4

Работа маршрутизаторов

Работают на сетевом уровне. Оперируют сетями.
Строят таблицу маршрутизации. Выполняют передачу пакетов

Работа маршрутизаторов Работают на сетевом уровне. Оперируют сетями. Строят таблицу маршрутизации. Выполняют
на требуемый порт.
Умеют выбирать лучший маршрут.

Слайд 5

Статическая и динамическая маршрутизация

Статическая и динамическая маршрутизация

Слайд 6

Маршрут по умолчанию

Маршрут по умолчанию

Слайд 7

Динамическая маршрутизация

Динамическая маршрутизация

Слайд 8

Вопросы безопасности

Сложность исполь-
зуемых
средств

Позмена пакетов/ Спуфинг

1990

1985

1980

Подбор
пароля

Самораспростоняю-щиеся программы

Взлом
пароля

Использование
“слабых мести” в
технологиях

Отключение
аудита

“Черные” дыры

Подмена сессии

Анализаторы протоколов

Невидимая

Вопросы безопасности Сложность исполь- зуемых средств Позмена пакетов/ Спуфинг 1990 1985 1980
диагностика

Требуемый
уровень
знаний

Высокий

Низкий

1995

Слайд 9

Source: Cisco Secure Consulting Engagements, 1996-1999

Source: Cisco Secure Consulting Engagements, 1996-1999

Слайд 10

Разделение сети на зоны с различным уровнем доверия
Пакетные фильтры – ограничение трафика

Разделение сети на зоны с различным уровнем доверия Пакетные фильтры – ограничение
на основании информации 3 и 4 уровней
NAT – скрытие внутренних адресов
Защита от DoS (Denial of Service, отказ в обслуживании) атак – ограничение на количество одновременных сессий, время жизни сессии и т.д.
Statefull Packet Inspection – отслеживание корректности установленных сессий
Отслеживание корректности работы протоколов более высоких уровней
Защита от атак на основе базы сигнатур и эвристического анализа
Защита от вирусов на основе базы сигнатур и эвристического анализа
Ограничение доступа к URL ресурсам на основе базы, масок и анализа страниц
Блокирование определённых Java и ActiveX аплетов.

Основные задачи, выполняемые файрволами

Слайд 11

Основные задачи, выполняемые файрволами

Разделение сети на зоны с различным уровнем доверия

Основные задачи, выполняемые файрволами Разделение сети на зоны с различным уровнем доверия

Слайд 12

Основные задачи, выполняемые файрволами

Пакетные фильтры – ограничение трафика на основании информации

Основные задачи, выполняемые файрволами Пакетные фильтры – ограничение трафика на основании информации
3 и 4 уровней

If then (если <тест> тогда <действие>), где
is about layer 3/4 matches (<тест> на совпадения на уровнях 3/4
can be (<действия> могут быть следующими
permit/deny (разрешить/запретить)
prioritize (приоритизировать)
trigger interface (запустить интерфейс)
encrypt, etc... (зашифровать и др.)

Пример:
Если IP адрес источника 193.168.1.12, TCP порт источника 25, IP адрес назначения 194.129.8.5, TCP порт назначения 25, тогда прохождение пакета разрешить

Слайд 13

All Allowed Commands

Outside

Inside

Mail Server

Internet

Trying to KILL
(eg) Mail Server

Firewall Embryonic
Connection
Limit = 2

SMTP

Основные

All Allowed Commands Outside Inside Mail Server Internet Trying to KILL (eg)
задачи, выполняемые файрволами

Защита от DoS (Denial of Service, отказ в обслуживании) атак

Слайд 14

NAT – Network аddress Translation

Трансляция между внутренними (не зарегистрированными) и внешними (зарегистрированными)

NAT – Network аddress Translation Трансляция между внутренними (не зарегистрированными) и внешними
адресами
Безопасность: скрыты внутренние адреса
Может быть статическим и динамическим
PAT – вид NATa: использует номера портов, что бы ставить в соответствие множество внутренних адресов к одному или нескольким внешним адресам

Основные задачи, выполняемые файрволами

Слайд 15

192.12.34.3

1026

36.11.9.85

23

10.0.0.14

1026

36.11.9.85

23

NAT POOL
192.12.34.1 -
192.12.34.5

Private
Network
(Inside)

Network Address Translation

NAT

Основные задачи, выполняемые файрволами

192.12.34.3 1026 36.11.9.85 23 10.0.0.14 1026 36.11.9.85 23 NAT POOL 192.12.34.1 -

Слайд 16

Основные задачи, выполняемые файрволами

Statefull Packet Inspection – отслеживание корректности установленных сессий

Основные задачи, выполняемые файрволами Statefull Packet Inspection – отслеживание корректности установленных сессий

Слайд 17

Основные задачи, выполняемые файрволами

Statefull Packet Inspection – отслеживание корректности установленных сессий

Проверка

Основные задачи, выполняемые файрволами Statefull Packet Inspection – отслеживание корректности установленных сессий
входящего пакета по динамическому правилу и удаление в случае несоответствия или истечения лимита времени

Слайд 18

Отслеживание корректности работы протоколов более высоких уровней, например отслеживание команд протоколов FTP,

Отслеживание корректности работы протоколов более высоких уровней, например отслеживание команд протоколов FTP,
SNMP, SMTP, HTTP и терминация сессии в случае неправильного порядка команд и др.
Защита от атак на основе базы сигнатур и эвристического анализа
Защита от вирусов на основе базы сигнатур и эвристического анализа
Ограничение доступа к URL ресурсам на основе информационной базы, масок и анализа страниц
Блокирование определённых Java и ActiveX аплетов.

Основные задачи, выполняемые файрволами

Слайд 19

Зачем нужен Интернет/широкополосный шлюз?

Информация, свободно доступная из Интернет.
Работа и конкуренция в информационно-богатом

Зачем нужен Интернет/широкополосный шлюз? Информация, свободно доступная из Интернет. Работа и конкуренция
мире. Такая информация необходима для принятия быстрых и правильных решений.
Многие компании хотят использовать интернет без больших затрат.
Им не нужен дорогой маршрутизатор.
Эффективное дешевое решение

Интернет шлюз или Широкополосный шлюз

Слайд 20

Интернет - шлюз

2 основные идеи в работе Интернет-шлюза :
Трансляция сетевых адресов

Интернет - шлюз 2 основные идеи в работе Интернет-шлюза : Трансляция сетевых
- NAT
Разделяет один общий IP адрес на много компьютеров
Разделение полосы пропускания
Много пользователей получают доступ к интернет одновременно

Слайд 21

NAT & DHCP Сервер

PC
100.10.10.1

PC
100.10.10.2

PC
100.10.10.3

PC
100.10.10.4

PC
100.10.10.5

DHCP сервер, работающий на Интернет-сервере, автоматически назначает IP

NAT & DHCP Сервер PC 100.10.10.1 PC 100.10.10.2 PC 100.10.10.3 PC 100.10.10.4
адрес каждому PC из внутренней подсети

100.10.10.0 – внутренняя подсеть, назначенная пользователем, принадлежит к частным IP-адресам

ISP предоставляет только один публичный IP-адрес, например: 200.10.10.5

Интернет

Слайд 22

Firewall & NAT

Только один публичный IP, все остальные адреса IP в LAN

Firewall & NAT Только один публичный IP, все остальные адреса IP в
- частные IP адреса
Хакер рыщет в Интернет в поисках общего IP, потому что LAN IP адреса “защищены”

Слайд 23

Виртуальные частные сети - VPN

VPN представляет собой объединение отдельных машин или локальных

Виртуальные частные сети - VPN VPN представляет собой объединение отдельных машин или
сетей в единую виртуальную сеть, которая обеспечивает целостность и безопасность передаваемых данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные через промежуточную сеть например Интернет. VPN позволяет отказаться от использования выделенных линий.

Слайд 24

Виртуальные частные сети - VPN

Имея доступ в Интернет, любой пользователь может без

Виртуальные частные сети - VPN Имея доступ в Интернет, любой пользователь может
проблем подключиться к сети офиса своей фирмы. Общедоступность данных совсем не означает их незащищенность. Система безопасности VPN - защищает всю информацию от несанкционированного доступа: информация передается в зашифрованном виде. Прочитать полученные данные может лишь обладатель ключа к шифру.

Слайд 25

Виртуальные частные сети - VPN

Средства VPN должны решать как минимум следующие задачи:
Конфиденциальность

Виртуальные частные сети - VPN Средства VPN должны решать как минимум следующие
– это гарантия того, что в процессе
передачи данных по каналам VPN эти данные не будут
просмотрены посторонними лицами.
Целостность – гарантия сохранности передаваемых данных.
Никому не разрешается менять, модифицировать, разрушать или
создавать новые данные при передаче по каналам VPN.
Доступность – гарантия того, что средства VPN постоянно
доступны легальным пользователям.
Для решения этих задач в решениях VPN используются такие средства как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизации для проверки прав пользователя и разрешения доступа к сети VPN.

Слайд 26

Виртуальные частные сети - VPN

Часто в своей работе решения VPN используют туннелирование

Виртуальные частные сети - VPN Часто в своей работе решения VPN используют
(или инкапсуляцию).
Туннелирование или инкапсуляция - это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в сгенерированном узлом-отправителем виде, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю.
Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находится данные, содержащие информацию, полезную для взлома сети, например, IP- адреса, количество подсетей и т.д.

Слайд 27

Виртуальные частные сети - VPN

Существует множество различных решений для построения виртуальных
частных сетей.

Виртуальные частные сети - VPN Существует множество различных решений для построения виртуальных
Наиболее известные и широко используемые это:
PPTP (Point-to-Point Tunneling Protocol), разработанный совместно Microsoft, 3Com и Ascend Communications. Этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.
PPPoE (PPP over Ethernet) — разработка RedBack Networks, RouterWare, UUNET и другие.
L2TP (Layer 2 Tunneling Protocol ) - представляет собой дальнейшее развитие протокола L2F и объединяет технологии L2F и PPTP.
IPSec (Internet Protocol Security) — официальный стандарт Интернет.
Эти протоколы поддерживаются в Интернет-шлюзах D-Link, в
зависимости от модели все или часть из них.

Слайд 28

Виртуальные частные сети: PPTP


PPTP дает возможность пользователям устанавливать коммутируемые соединения с

Виртуальные частные сети: PPTP PPTP дает возможность пользователям устанавливать коммутируемые соединения с
Internet-провайдерами и создавать защищенный тоннель к своим корпоративным сетям.
В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP — протокола, который специфицирует соединения типа точка-точка в IP-сетях.
PPTP позволяет создавать защищенные каналы для обмена данными по протоколам – IP, IPX, NetBEUI и др.

Слайд 29

Виртуальные частные сети: PPTP


Как происходит установление соединения PPTP: пользователь «звонит» на

Виртуальные частные сети: PPTP Как происходит установление соединения PPTP: пользователь «звонит» на
сервер корпоративной сети или провайдера, где установлен протокол PPTP. Этот «звонок» отличается от обычного тем, что вместо телефонного номера указывается IP-адрес сервера PPTP. При этом устанавливается сессия PPTP между клиентом и сервером, клиент аутентифицируется и дальше начинается передача данных.
Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется Microsoft Point-to-Point Encryption (MРPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование.

Слайд 30

Виртуальные частные сети: PPTP


Как происходит передача: данные протоколов, использующихся внутри сети,

Виртуальные частные сети: PPTP Как происходит передача: данные протоколов, использующихся внутри сети,
поступают в глобальную сеть упакованными в кадры PPP, затем с помощью протокола PPTP инкапсулируются в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP (например, Интернет). Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные.

Слайд 31

Виртуальные частные сети: PPTP


PPTP шифрует поле полезной нагрузки пакета и берет

Виртуальные частные сети: PPTP PPTP шифрует поле полезной нагрузки пакета и берет
на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню:

Слайд 32

Виртуальные частные сети: PPTP


Для организации VPN на основе PPTP не требуется

Виртуальные частные сети: PPTP Для организации VPN на основе PPTP не требуется
больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP, а на клиентских компьютерах выполнить необходимые настройки.
Для объединения филиалов вместо настройки PPTP на всех клиентских станциях лучше выполнить настройки только на пограничном маршрутизаторе филиала, подключенном к Интернет, для пользователей все абсолютно прозрачно.
Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы и шлюзы D-Link: DI-604, DI-714P+, DI-614+, DI-804HV, DI-754

Слайд 33

Виртуальные частные сети: PPPoE


Технология PPPoE сегодня является одной из самых дешевых

Виртуальные частные сети: PPPoE Технология PPPoE сегодня является одной из самых дешевых
при предоставлении пользователям доступа к услугам Интернет на базе Ethernet и при использовании технологии DSL.
PPPoE запускает сессию PPP поверх сети Ethernet. При этом будет поддерживаться аутентификация пользователей по протоколам PAP и CHAP, динамическое выделение IP-адресов пользователям, назначение адреса шлюза, DNS-сервера и т.д.
Принципом работы PPPoE является установление соединения "точка-точка" поверх общей среды Ethernet, поэтому процесс функционирования PPPoE разделен на две стадии.

Слайд 34

Виртуальные частные сети: PPPoE


клиент посылает широковещательный запрос PADI (PPPoE Active Discovery

Виртуальные частные сети: PPPoE клиент посылает широковещательный запрос PADI (PPPoE Active Discovery
Initiation) на поиск сервера со службой PPPoE

Ответный пакет от сервера доступа PADO (PPPoE Active Discovery Offer) посылается клиенту

Стадия установления соединения

Слайд 35

Виртуальные частные сети: PPPoE


Стадия установления соединения (продолжение)

клиент выбирает нужный ему сервер

Виртуальные частные сети: PPPoE Стадия установления соединения (продолжение) клиент выбирает нужный ему
доступа и посылает пакет PADR (PPPoE Active Discovery Request) с информацией о требуемой службе, имя провайдера и т.д.

сервер доступа подготавливается к началу PPP сессии и посылает клиенту пакет PADS (PPPoE Active Discovery Session-confirmation).

Слайд 36

Стадия установленной сессии

Если все запрашиваемые клиентом службы доступны, то начинается второй этап

Стадия установленной сессии Если все запрашиваемые клиентом службы доступны, то начинается второй
- стадия установленной сессии. Если требуемые клиентом услуги не могут быть предоставлены, клиент получает пакет PADS с указанием ошибки в запросе услуги.
Сессия начинается с использованием пакетов PPP. При установлении PPP-сессии клиент может быть аутентифицирован, например, при помощи RADIUS, и его трафик будет учитываться как при обычном модемном доступе.
Клиенту можно назначить динамический IP- адрес из пула адресов сервера, установить настройки шлюза и DNS-сервера. При этом на сервере доступа клиенту соответственно ставится виртуальный интерфейс.
Завершение соединения PPPoE происходит по инициативе клиента или концентратора доступа при помощи посылки пакета PADT (PPPoE Active Discovery Terminate).

Слайд 37

Виртуальные частные сети: IPSec

IPSec (Internet Protocol Security) – это не столько протокол,

Виртуальные частные сети: IPSec IPSec (Internet Protocol Security) – это не столько
сколько целая система открытых стандартов и протоколов, призванная чтобы обеспечить решение по безопасной передачи данных через публичные сети – т.е. для организации VPN.
Система IPSec использует следующие протоколы для своей работы:
Протокол AH (Authentication Header) - обеспечивает целостность и аутентификацию источника данных в передаваемых пакетах, а также защиту от ложного воспроизведения пакетов;
Протокол ESP (Encapsulation Security Payload) - обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов;
Протокол IKE (Internet Key Exchange) - обеспечивает способ инициализации защищенного канала, а также процедуры обмена и управления секретными ключами;

Слайд 38

Виртуальные частные сети: IPSec

Существуют две основные схемы применения IPSec, отличающиеся ролью узлов,

Виртуальные частные сети: IPSec Существуют две основные схемы применения IPSec, отличающиеся ролью
образующих защищенный канал.
В первой схеме защищенный канал образуется между конечными узлами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:

Слайд 39

Виртуальные частные сети: IPSec

Во второй схеме защищенный канал устанавливается между двумя шлюзами

Виртуальные частные сети: IPSec Во второй схеме защищенный канал устанавливается между двумя
безопасности. Эти шлюзы принимают данные от конечных узлов, подключенных к сетям, расположенным позади шлюзов. Конечные узлы в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть проходит через шлюз безопасности, который выполняет защиту от своего имени.

Слайд 40

Виртуальные частные сети: IPSec

Для шифрования данных в IPSec может быть применен любой

Виртуальные частные сети: IPSec Для шифрования данных в IPSec может быть применен
симметричный алгоритм шифрования, использующий секретные ключи.
Взаимодействие протоколов IPSec происходит следующим образом:
С помощью протокола IKE между двумя точками устанавливается защищенный канал, называемый «безопасной ассоциацией» - Security Association, SA.
При этом выполняется следующие действия:
аутентификация конечных точек канала
выбираются параметры защиты данных
(алгоритм шифрования, сессионный ключ и др.)
Затем в рамках установленного канала начинает действовать протокол AH или ESP, с помощью которого и выполняется требуемая защита передаваемых данных.

Слайд 41

Две фазы
Фаза 1 – Установление двухстороннего SA
Используются сертификаты или Pre-Shared ключи
Существует два

Две фазы Фаза 1 – Установление двухстороннего SA Используются сертификаты или Pre-Shared
режима: Main Mode или Aggressive Mode
Фаза 2 – Устанавливается IPSEC
Инициатор определяет какие записи в SPD для каждого SA будут посылаться респондеру
Ключи и SA атрибуты передаются из Фазы 1
Всегда используется Quick mode

Виртуальные частные сети: IPSec

Слайд 42

SA_R

SA_I

KE_I+Nonce_I

Initiator

Cookie_I

Responder

Cookie_R

KE_R+Nonce_R

[ID_I]

[ID_R]

[Hash_I]

[Hash_R]

Main Mode IKE
Фаза 1

Виртуальные частные сети: IPSec

SA_R SA_I KE_I+Nonce_I Initiator Cookie_I Responder Cookie_R KE_R+Nonce_R [ID_I] [ID_R] [Hash_I] [Hash_R]

Слайд 43

SA_R+KE_R+Nonce_R+ID_R+Hash_R

SA_I+KE_I+Nonce_I+ID_I

[Hash_I]

Initiator

Cookie_I

Responder

Cookie_R

Aggressive Mode IKE
Фаза 1

Виртуальные частные сети: IPSec

SA_R+KE_R+Nonce_R+ID_R+Hash_R SA_I+KE_I+Nonce_I+ID_I [Hash_I] Initiator Cookie_I Responder Cookie_R Aggressive Mode IKE Фаза 1 Виртуальные частные сети: IPSec

Слайд 44

SA_R+New_KE_R+ Nonce_I ID_R+ID_I+Hash_R

SA_I+New_KE_I+Nonce_I +ID_R+ID_I+Hash_I

[New_Hash_I]

Initiator

SPI_I

Responder

SPI_R

IKE
Фаза 2

Виртуальные частные сети: IPSec

SA_R+New_KE_R+ Nonce_I ID_R+ID_I+Hash_R SA_I+New_KE_I+Nonce_I +ID_R+ID_I+Hash_I [New_Hash_I] Initiator SPI_I Responder SPI_R IKE Фаза

Слайд 45

Security Association – SA
Логический канал между двумя точками, определяет правила обработки и

Security Association – SA Логический канал между двумя точками, определяет правила обработки
шифрации/дешифрации трафика
Security Parameters Index – SPI
Уникальный идентификатор, который позволяет устройству назначения выбрать соответствующий SA
Как правило, SA= SPI + Dest IP address + IPSec Protocol (AH or ESP)
SA Database – SAD
Содержит параметры для каждого SA:
Время жизни SA
AH и ESP информацию
Туннельный или транспортный режим
Security Policy Database – SPD
Определяет какой трафик защищать, правильно ли защищён входящий трафик, какие SA применять к IP трафику

Виртуальные частные сети: IPSec

Слайд 46

Виртуальные частные сети: IPSec

Установление соответствия между IP-пакетами и правилами их обработки

Виртуальные частные сети: IPSec Установление соответствия между IP-пакетами и правилами их обработки

Слайд 47

Виртуальные частные сети: IPSec

Протоколы AH и ESP могут работать в двух режимах:

Виртуальные частные сети: IPSec Протоколы AH и ESP могут работать в двух
транспортном и туннельном.
В транспортном режиме передача IP-пакета через сеть выполняется с помощью оригинального заголовка этого пакета. При этом не все поля исходного пакета защищаются. Протокол ESP аутентифицирует, проверяет целостность и шифрует только поле данных пакета IP. Протокол AH защищает больше полей: кроме поля данных еще и некоторые поля заголовка, за исключением изменяемых при передаче полей, например, поля TTL.
В туннельном режиме исходный пакет помещается в новый IP-пакет и передача данных выполняется на основании заголовка нового IP-пакета.

Слайд 48

Виртуальные частные сети: IPSec

AH – туннельный и транспортный режимы работы

IP HDR

Authenticated Except

Виртуальные частные сети: IPSec AH – туннельный и транспортный режимы работы IP
for Mutable Fields

AH

Data

AH

IP HDR

New IP HDR

Authenticated Except for Mutable Fields in New IP Header

Data

Tunnel Mode

Transport Mode

Слайд 49

Виртуальные частные сети: IPSec

ESP – туннельный и транспортный режим

IP HDR

Encrypted

ESP HDR

Data

IP

Виртуальные частные сети: IPSec ESP – туннельный и транспортный режим IP HDR
HDR

Data

ESP HDR

IP HDR

New IP HDR

Data

Tunnel Mode

Transport Mode

ESP
Trailer

ESP
Trailer

Authenticated

Encrypted

Authenticated

Слайд 50

Виртуальные частные сети: IPSec

Виртуальные частные сети: IPSec

Слайд 51

Виртуальные частные сети: IPSec

Для хостов, поддерживающих IPSec, разрешается использование как транспортного, так

Виртуальные частные сети: IPSec Для хостов, поддерживающих IPSec, разрешается использование как транспортного,
и тоннельного режимов. Для шлюзов разрешается использование только тоннельного режима.
В качестве устройств, работающих как шлюз IPSec, можно применять Интернет-маршрутизаторы D-Link, например,
DI-804HV.

Слайд 52

Резюме по применению режимов IPSec*

Протокол – ESP (AH)
Режим – туннельный (транспортный)
Способ обмена

Резюме по применению режимов IPSec* Протокол – ESP (AH) Режим – туннельный
ключами – IKE (ручной)
Режим IKE – main (aggressive)
Ключ DH – group 5 (group 2, group 1)
Аутентификация – SHA1 (SHA, MD5)
Шифрование – AES (3DES, Blowfish, DES)

*Параметры указаны в порядке снижения уровня безопасности

Слайд 53

Интернет-маршрутизаторы D-Link

 

Интернет-маршрутизаторы D-Link

Слайд 54

4 порта 10/100 Мбит/с
1 порт ADSL
1 порт RS-232

4 порта 10/100 Мбит/с 1 порт ADSL 1 порт RS-232 (DB-9) для
(DB-9) для настройки
Управление на основе Web-интерфейса

ADSL - маршрутизатор DSL-504

Слайд 55

Использование DSL-504

Использование DSL-504

Слайд 56

Характеристики DSL-504

Маршрутизатор со встроенным ADSL-интерфейсом и 4-х портовым коммутатором
1 консольный порт (DB-9

Характеристики DSL-504 Маршрутизатор со встроенным ADSL-интерфейсом и 4-х портовым коммутатором 1 консольный
RS-232) для настройки
Высокоскоростное подключение к Интернет
Стандарты G.dmt и G.lite, скорость нисходящего потока до 8 Мбит/с
Ethernet over ATM, IP over ATM, PPPoE
Встроенный NAT и DHCP сервер
Протоколы маршрутизации RIP-1, RIP-2, Static routing
Управление через web-интерфейс и консольный порт

Слайд 57

Интернет маршрутизатор: DI-604

1 порт WAN - 10Base-T для подключения к DSL

Интернет маршрутизатор: DI-604 1 порт WAN - 10Base-T для подключения к DSL
или кабельному модему
4 порта LAN 10/100 Мбит/с
Расширенные функции межсетевого экрана
Управление через Web-интерфейс

Слайд 58

Применение DI-604

Разработанный специально для использования дома или в малом офисе, DI-604 позволяет

Применение DI-604 Разработанный специально для использования дома или в малом офисе, DI-604
быстро и легко подключиться к Интернет посредством DSL или кабельного модема

Слайд 59

Расширенные функции Firewall в DI-604

Расширенные функции Firewall в DI-604

Слайд 60

Интернет маршрутизатор: DI-614+

1 порт WAN – 10/100 Base-T для подключения к

Интернет маршрутизатор: DI-614+ 1 порт WAN – 10/100 Base-T для подключения к
DSL или кабельному модему
4 порта LAN 10/100 Мбит/с
Беспроводная точка доступа IEEE-802.11b+

Слайд 61

Применение DI-614+

Применение DI-614+

Слайд 62

Возможности DI-614+

Обеспечение доступа в интернет всем компьютерам сети
Оборудован 4-х портовым коммутатором Fast

Возможности DI-614+ Обеспечение доступа в интернет всем компьютерам сети Оборудован 4-х портовым
Ethernet
Поддержка VPN в режиме Path Trough: PPTP, L2TP, IPSec
Межсетевой экран
Поддержка маршрутизации RIP 1, RIP 2, Static
Имеет встроенную беспроводную точку доступа IEEE-802.11b+ - скорость соединения до 22 Мбит/с
Поддержка виртуального сервера с демилитаризованной зоной – DMZ
Удобное управление через Web-интерфейс

Слайд 63

Широкополосный шлюз: DI-704P

1 порт WAN - 10Base-T для подключения к DSL

Широкополосный шлюз: DI-704P 1 порт WAN - 10Base-T для подключения к DSL
или кабельному модему
4 порта LAN 10/100 Мбит/с
1 параллельный порт для принтера

Слайд 64

Применение DI-704P

Применение DI-704P

Слайд 65

Характеристики DI-704P

Обеспечение доступа в интернет всем компьютерам сети
Оборудован 4-портовым коммутатором Fast Ethernet
Поддержка

Характеристики DI-704P Обеспечение доступа в интернет всем компьютерам сети Оборудован 4-портовым коммутатором
VPN в режиме Pass Trough: PPTP, L2TP, IPSec
Встроенный клиент PPTP и PPPoE для установления VPN-тоннеля с провайдером иди центральным офисом
Встроенный принт-сервер
Межсетевой экран
Поддержка контроля доступа
Поддержка виртуального сервера с демилитаризованной зоной – DMZ
Удобное управление через Web-интерфейс

Слайд 66

Широкополосный шлюз: DI-714P+

1 порт WAN - 10Base-T для подключения к DSL

Широкополосный шлюз: DI-714P+ 1 порт WAN - 10Base-T для подключения к DSL
или кабельному модему
4 порта LAN 10/100 Мбит/с
1 параллельный порт для принтера
Беспроводная точка доступа IEEE-802.11b+

Слайд 67

Применение DI-714P+

Применение DI-714P+

Слайд 68

Возможности DI-714P+

Обеспечение доступа в интернет всем компьютерам сети
Оборудован 4- х портовым коммутатором

Возможности DI-714P+ Обеспечение доступа в интернет всем компьютерам сети Оборудован 4- х
Fast Ethernet
Поддержка VPN в режиме Path Trough: PPTP, L2TP, IPSec
Встроенный принт-сервер
Межсетевой экран
Имеет встроенную беспроводную точку доступа IEEE-802.11b+ - скорость соединения до 22 Мбит/с
Поддержка контроля доступа
Поддержка виртуального сервера с демилитаризованной зоной – DMZ
Удобное управление через Web-интерфейс

Слайд 69

Широкополосный шлюз: DI-764

1 порт WAN – 10/100 Base-T для подключения к

Широкополосный шлюз: DI-764 1 порт WAN – 10/100 Base-T для подключения к
DSL или кабельному модему
4 порта LAN 10/100 Мбит/с
Двухдиапазонная беспроводная точка доступа 802.11a / 802.11b+

Слайд 70

Применение DI-764

Применение DI-764

Слайд 71

Возможности DI-764

Доступ в Интернет как для проводных, так и для беспроводных клиентов
Встроенный

Возможности DI-764 Доступ в Интернет как для проводных, так и для беспроводных
4- х портовый коммутатор Fast Ethernet
Поддержка VPN
Межсетевой экран
Двухдиапазонная беспроводная точка доступа стандартов 802.11a и 802.11b+ - скорость соединения до 54 Мбит/с
Поддержка контроля доступа с возможностью задания расписания действия правил доступа
Поддержка виртуального сервера с демилитаризованной зоной – DMZ
Поддержка протокола NTP для синхронизации времени
Удобное управление через Web-интерфейс

Слайд 72

Интернет - маршрутизатор: DI-804HV

1 порт WAN - 10Base-T для подключения к

Интернет - маршрутизатор: DI-804HV 1 порт WAN - 10Base-T для подключения к
DSL или кабельному модему
1 порт WAN – RS-232 для подключения к Dial-up модему
4 порта LAN 10/100 Мбит/с
Управление через Web-интерфейс
Поддержка VPN: до 40 туннелей IPSec

Слайд 73

Применение DI-804V / DI-804HV

Применение DI-804V / DI-804HV

Слайд 74

Характеристики DI-804HV

WAN - порт 10/100 Мбит/с для подключения к глобальной сети посредством

Характеристики DI-804HV WAN - порт 10/100 Мбит/с для подключения к глобальной сети
кабельного или ADSL-модема
4-портовый коммутатор 10/100Мбит/с Fast Ethernet для подключения к локальной сети
Маршрутизация: RIP I, RIP II, Static
Встроенный межсетевой экран
Встроенный клиент PPTP и PPPoE для установления VPN-тоннеля с провайдером иди центральным офисом
Встроенный PPTP и L2TP сервер
Поддержка IPSec: до 40 туннелей
Встроенный DHCP-сервер
Порт RS-232 для подключения внешнего аналогового модема
Управление посредством Web-браузера
Имя файла: Интернет-шлюзы.-Концентратор-Работа-концентраторов-Работают-на-физическом-уровне.-Выполняют-передачу-пакетов-на-все-порты.-Произв.pptx
Количество просмотров: 152
Количество скачиваний: 0