Коралл-РА и CSPG. Web-интерфейс
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Вы просматриваете старую версию данной страницы. Смотрите текущую версию.

Сравнить с текущим просмотр истории страницы

« Предыдущий Версия 2 Следующий »

В данном разделе конфигурируется список разрешенных IP-адресов, с которых администратор может подключаться к устройству через web-конфигуратор, а также по протоколу Telnet и SSH. По умолчанию разрешены все адреса.

  • Доступ только для разрешенных IP адресов – при установке флага применяется список разрешенных IP-адресов, иначе доступ разрешен с любого адреса.

Существует возможность разрешать доступ для подсетей, для этого необходимо задать адрес в формате IP/mask, например: 192.168.0.0/24.

  • Применить применить изменения;
  • Подтвердить подтвердить изменения.

Для создания, редактирования и удаления списка разрешенных адресов используются кнопки - Добавить/Редактировать/Удалить.

После формирования списка адресов необходимо нажать кнопку «Применить» и «Подтвердить», если в течение 60 секунд не подтвердить изменения, настройки возвращаются к предустановленным значениям – это позволяет защитить пользователя от потери доступа к устройству.


Схема работы сетевой защиты Коралл-РА.

На Коралл-РА работает следующий порядок отработки правил динамического и статического брандмауэра, списка запрещенных адресов и ограничения доступа с сетевых интерфейсов:

  1. Производится отработка правил динамического брандмауэра. На этом этапе происходит сброс запросов от адресов, находящихся в черном списке и списке временных блокировок.
  2. Отрабатываются ограничения доступа, настраиваемые в разделах Сетевые интерфейсы -> Сервисы и Список разрешенных IP-адресов. При неактивном списке разрешённых IP-адресов формируются правила, разрешающие доступ к управлению на адреса сетевых интерфейсов Коралл-РА, у которых есть разрешение на доступ в блоке "Сервисы". При активном списке разрешённых IP-адресов правила дополняются контролем IP-адреса источника – разрешено подключение только с адресов, указанных в списке.
  3. Разрешается прочий доступ к сетевым интерфейсам, на которые нет привязки правил статического брэндмауэра.
  4. Отрабатываются правила статического брандмауэра на тех сетевых интерфейсах, к которым правила привязаны.

 Если отработало одно из правил из списка, то оставшиеся правила к запросу применяться не будут.


Обеспечение типовых задач сетевой защиты Коралл-РА.

Ограничение доступа к управлению по протоколам WEB/Telnet/SSH/SNMP.
Для ограничения доступа к управлению следует воспользоваться Сетевые интерфейсы -> Сервисы и Список разрешенных IP-адресов. Сначала на сетевых интерфейсах, куда необходимо разрешить доступ, выставляются флаги протоколов, по которым необходимо разрешить доступ. Таким образом будет выставлено ограничение по адресу назначения. После этого настраивается список разрешённых IP-адресов, который дополнительно выставит ограничение по адресу источника по адресам из списка.
Ограничение доступа к интерфейсам SIP/H.323 определенными адресами и/или географическими локациями.

Для этого требуется настроить статический брандмауэр (раздел 3.1.8.4). На примере настройки доступа с такими ограничениями:

  • Разрешить доступ из России;
  • Разрешить доступ с подсети 34.192.128.128/28;
  • Ограничить доступ с прочих адресов.

Для этого следует создать три правила статического брандмауэра в следующем порядке:

  1. Правило для входящего трафика с типом "GeoIP" и страной "Russian Federation (RU)". Действие – Accept.
  2. Правило для входящего трафика с типом "Обычное" и IP-адресом и маской источника "34.92.128.128/255.255.255.240". Действие – Accept.
  3. Правило для входящего трафика с типом "Обычное", источник пакета "Любой". Действие – Drop.

После этого выбрать в списке интерфейсов нужные сетевые интерфейсы и сохранить настройки.


Полное ограничение доступа к Коралл-РА с определенного адреса или подсети.

Для того, чтобы реализовать ограничение доступа к Коралл-РА с определенного адреса или подсети, необходимо активировать динамический брандмауэр (раздел "Динамический брандмауэр") и внести адрес или подсеть в черный список. Обратите внимание, если адресов слишком много, то лучше пойти от обратного и создать правила статического брандмауэра (раздел "Статический брандмауэр") по принципу "сначала разрешить соединение доверенным узлам, затем отбросить всё" и настройками ограничения доступа через список разрешенных IP-адресов.


Автоматическая блокировка неудачных запросов/авторизаций.

Автоматическая блокировка неудачных запросов/авторизаций выполняется динамическим брандмауэром (раздел "Динамический брандмауэр"). Для этого следует активировать динамический брандмауэр и настроить условия срабатывания. Также рекомендуется внести в белый список те адреса и подсети, к которым не должны применяться правила автоматической блокировки.

  • Нет меток