Add to collection(s) Add to saved
  1. Инженерия
  2. Информатика
  3. Операционные системы

Методические рекомендации по внедрению аппаратно

advertisement 
Методические рекомендации по внедрению аппаратно-программного комплекса (АПК)
средств защиты информации «ЗАСТАВА».
1. Внедрение АПК «Застава» прежде всего требует наличия пограничного шлюза в
организации. Этот шлюз имеет минимум 2 сетевых интерфейса – первый подключается к
«Заставе», второй к ЛВС организации. Ввиду того, что АПК «Застава» установлена только в
ЦБС, то при такой организации подключения филиалы с конкретной ЦБС не смогут
взаимодействовать между собой. Поэтому СПБ Информационно-аналитический центр
(ИАЦ) предложил временный вариант взаимодействия защищенной площадки (ЦБС) с
незащищёнными её филиалами методомработы с двумя каналами. При таком
взаимодействии пограничный шлюз ЦБС должен иметь третий сетевой интерфейс,
который подключается к старому (незащищенному порту) оборудования АТС Смольного.В
результате мы имеем следующую схему: пограничный шлюз имеет 3 сетевых интерфейса,
при этом первый подключен к ЛВС, второй остается в порту оборудования АТС Смольного
как был подключен ранее, а третий подключается к АПК «Застава».
2. СПБ Информационно-аналитический центр определил следующий порядок подключения к
АПК «Застава»
a. Первый порт АПК «Застава» подключен к оборудованию АТС Смольного
(дополнительный канал передачи данных) силами СПб ИАЦ .
b. Второй порт подключается к сетевому интерфейсу Вашего пограничного шлюза.
c. Сетевому интерфейсу для АПК «Застава» Вашего шлюза присваивается выданный
ИАЦ статический IPадрес с маской 24 с условием, что его последний октет будет
254 (пример: ЦГПБ имени В.В. Маяковского выдана для подключения к АПК
«Застава» сеть 10.130.222.0/24, соответственно настройка TCP/IPдля сетевого
интерфейса, подключенного к АПК «Застава» будет следующей:IP 10.130.222.254
маска 255.255.255.0
d. Поскольку основной трафик для доступа в интернет идет через старый канал
(172.29.X.X), шлюз на сетевом интерфейсе для АПК «Застава» указывать не нужно.
3. Взаимодействие между ЦБС и ЦГПБ имени В.В. Маяковского через АПК «Застава»
осуществляется на основе статической маршрутизации. Если ПК из ЛВС Вашей ЦБС делает
запрос в ЦГПБ имени В.В. Маяковского в сеть 10.130.222.0/24, то Ваш пограничный шлюз
должен знать маршрут к этой сети и на основании маршрутной информации
перенаправлять данный запрос на пограничный шлюз ЦГПБ имени В.В. Маяковского. Для
работы с ИРБИС по порту 6666 определен адрес 10.130.222.222 порт 6666, а для работы с
ИРБИС 128 определен адрес 10.130.222.222 порт 80
4. После настройки Вашего шлюза необходимо убедиться в корректной работе настроенного
сетевого интерфейса для АПК «Застава» следующими тестами:
a. Ping 10.130.X.1 – где Xэто октет для вашей сети. Проверяем доступность АПК
«Застава».
b. Ping10.130.222.222 – проверяем доступность суперсервера (интегратора) ЦГПБ
имени В.В. Маяковского.
c. telnet10.130.222.222 6666 и telnet10.130.222.22280 – проверяем ответ на запросы к
суперверверу (интегратору).
5. В качестве программного обеспечения для пограничного шлюза рекомендуется
использовать следующие программные продукты, работоспособность которых была
проверена в ходе тестированияна различных ОС:
a. Microsoft Internet Security and Acceleration (ISA) - (ОС: Win2003)
b.
c.
d.
e.
Kerio Control- (ОС: Win2003\Win2008\Linux)
iptables - (ОС: Linux)
ipfw- (ОС: FreeBSD)
PfSence 2.0.2 (КоробочнаяОСFreeBSD сWeb-интерфейсом)
6. В случае если по каким-либо причинам нет возможности установить третий сетевой
интерфейс в пограничный шлюз, необходимо настроить дополнительный пограничный
шлюз для АПК «Застава». Для этого необходимо следующее:
a. Аппаратная конфигурация шлюза для АПК «Застава» :
i. Центральный процессор не ниже IntelP4 либо Celeron 2.4 GHz
ii. Жесткий диск не менее 40 GB
iii. Оперативная память не менее 512 MB
iv. 2 сетевые карты
Сам шлюз должен быть надежным, поскольку подразумевает работу в режиме
24X7.
b. Один сетевой интерфейс подключается во второй порт АПК «Застава» (см. п. 2 с),
второй сетевой интерфейс в коммутатор ЛВС библиотеки.
c. На шлюзе устанавливается серверная операционная система с функционалом
маршрутизатора.
d. IPадрес второго сетевого интерфейса берется из пула адресов ЛВС.
e. На основном пограничном шлюзе (смотрящем в открытый канал
ЕМТС)настаивается маршрут, в котором указывается сеть вида 10.X.X.X/8 и в
качестве шлюза – второй пограничный шлюз для АПК «Застава». В политиках
трафика разрешается прохождение пакетов из сети ЛВС в сеть Заставы и обратно.
(В зависимости от исходных настроек политики трафика).
На основании маршрутной информации основного пограничного шлюза, клиент из
ЛВС при запросе в сеть 10.X.X.Xперенаправляется на второй шлюз для АПК «Застава»,
который, в свою очередь транслирует запрос через АПК «Застава» на назначенный
удаленный хост.
Related documents
Слова следует подкреплять делом
Слова следует подкреплять делом
Е.В. Седова НАПРАВЛЕНИЕ РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ АПК
Е.В. Седова НАПРАВЛЕНИЕ РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ АПК
Б.М. Кизяев - Роль водных ресурсов в развитии
Б.М. Кизяев - Роль водных ресурсов в развитии
(ПАК), на базе продуктов VPN/FW «ЗАСТАВА - Элвис-Плюс
(ПАК), на базе продуктов VPN/FW «ЗАСТАВА - Элвис-Плюс
Download
advertisement