Технологии защиты информации в компьютерных сетях
[+]
Московский государственный технический университет им. Н.Э. Баумана
Опубликован: 03.03.2015 | Доступ: свободный | Студентов: 3969 / 1450 | Длительность: 15:51:00
Темы: Сетевые технологии, Безопасность
Специальности: Администратор информационных систем, Администратор коммуникационных систем
Лекция 10:

Управление межсетевыми экранами D-Link NetDefend
A
|
версия для печати
< Лекция 9 || Лекция 10: 123456 || Дополнительный материал 1 >

Доступ к CLI по протоколу SSH (Secure Shell). Протокол SSH (Secure Shell) используется для доступа к CLI с удаленного хоста в сети и необходим, в первую очередь, для обеспечения безопасного соединения в незащищенных сетях, а также строгой аутентификации и целостности данных. SSH-клиенты доступны для большинства платформ.

Система NetDefendOS поддерживает версии 1, 1.5 и 2 SSH-протокола. Доступ по SSH-протоколу выполняется с помощью политики удаленного управления в NetDefendOS, и по умолчанию отключен.

Пример включения удаленного доступа по SSH-протоколу и сети lannet через lan- интерфейс с помощью добавления правила в политику удаленного управления:

Интерфейс командной строки

gw-world:/> add RemoteManagement RemoteMgmtSSH ssh Network=lannet Interface=lan LocalUserDatabase=AdminUsers

Web-интерфейс

  1. Перейдите в System> Remote Management> Add> Secure Shell Management
  2. Введите Имя (Name) для политики удаленного управления по SSH-протоколу, например, ssh_policy
  3. Выберите следующее из выпадающих списков:
    • User Database: AdminUsers
    • Interface: lan
    • Network: lannet
  4. OK

CLI Prompt. CLI Prompt – это имя устройства, которое отражается в меню Web-интерфейса межсетевого экрана NetDefend на домашней странице (Home).

По умолчанию CLI Prompt:

gw-world:/>

Если необходимо изменить имя устройства (например, на DFL-860E_centre), в командную строку нужно ввести:

gw-world:/> set device name="DFL-860E_centre"

Тогда после активации и сохранения изменений, CLI Prompt примет вид:

DFL-860E_centre:/>

А на домашней странице Web-интерфейса имя устройства отобразится, как показано на рисунке:

Отображение имени межсетевого экрана NetDefend в Web-интерфейсе

увеличить изображение
Рис. 10.1. Отображение имени межсетевого экрана NetDefend в Web-интерфейсе

Активация и применение изменений. Если в текущих настройках с помощью CLI выполнены какие-либо изменения, данные изменения не будут загружены в NetDefendOS, пока не будет выполнена команда:

gw-world:/> activate

Через 3-5 секунд после ввода команды activate должна быть выполнена команда commit для применения изменений:

gw-world:/> commit

Если в течение 30 секунд (время по умолчанию) не выполнена команда commit, сделанные изменения автоматически отменяются, и происходит восстановление прежней конфигурации.

gw-world:/> show -errors

Система NetDefendOS просканирует настройки на наличие активации и отобразит список проблем. Одна из возможных проблем, которая может быть обнаружена таким способом, - ссылка на IP-объект в Адресной книге, несуществующий в восстановленной резервной копии настроек.

Завершение работы в CLI. После завершения работы в интерфейсе командной строки CLI рекомендуется выйти из системы во избежание неавторизованного доступа к системе. Выход осуществляется с помощью команды exit или logout.

Использование команды sessionmanager. Интерфейс командной строки CLI предоставляет команду sessionmanager для самостоятельного управления сессиями. Команда используется для управления всеми типами сессий управления, включая:

  • Сессии CLI по протоколу Secure Shell (SSH).
  • Любая сессия CLI через интерфейс консоли.
  • Сессии по протоколу Secure Copy (SCP).
  • Сессии Web-интерфейса по протоколу HTTP или HTTPS.

Команда без ввода каких-либо опций предоставляет краткую информацию о текущих открытых сессиях: 

gw-world:/> sessionmanager
Session Manager status
----------------------
Active connections : 3
Maximum allowed connections :64
Local idle session timeout : 900

Для просмотра списка всех сессий используется опция -list. Ниже отображены типичные выходные данные локальной сессии:

gw-world:/> sessionmanager -list
User     Database         IP        Type    Mode    Access
-------- ---------------- --------- ------- ------- -------
local    (none)           0.0.0.0   local   console admin

Если пользователь обладает правами администратора, можно завершить любую сессию с помощью опции -disconnect команды sessionmanager .

Сценарии (скрипты) CLI. Для хранения загрузочных файлов и выполнения команд CLI администратором, NetDefendOS поддерживает функцию CLI scripting . CLI script – это предварительно определенная последовательность команд CLI, которые можно выполнить после их сохранения в файл и последующей загрузки файла на межсетевой экран NetDefend.

Для создания CLI script нужно выполнить следующие шаги:

  1. Создайте текстовый файл в текстовом редакторе, содержащим последовательный список команд, по одной на строку. Для этих файлов D-Link рекомендует использовать расширение .sgs (Security Gateway Script). Имя файла, включая расширение, не должно содержать более 16 символов.
  2. Загрузите файл на межсетевой экран NetDefend, используя Secure Copy (SCP). Файлы-сценарии должны храниться в папке script. Загрузка SCP подробно описана ниже.
  3. Используйте команду CLI script -execute для запуска файла.

ВНИМАНИЕ: В файлах скриптов используются только четыре команды:

  • add
  • set
  • delete
  • cc

С помощью команды script –execute запускается именованный файл сценария (скрипта), предварительно загруженный на межсетевой экран. Например, для выполнения файла сценария my_script.sgs, который был предварительно загружен, используется следующая команда CLI:

gw-world:/> script -execute -name=my_script.sgs

Переменные скриптов. Файлы скриптов могут содержать любое количество переменных сценария, которые выглядят следующим образом:

$1, $2, $3, $4…. $n

Значения, используемые как имена переменных, определены в списке в конце командной строки script –execute. Числa 1…n в имени переменной указывают на положение значения переменной в списке. Первым идет значение $1, затем $2 и т.д. Переменная $0 является зарезервированной и перед выполнением всегда заменяется именем файла скрипта.

Например, выполняется скрипт с IP-адресом 126.12.11.1 и комментарием If1 Address , везде заменяя имеющуюся в скрипте переменную $1 на 126.12.11.1, и, соответственно, переменную $2 на строку If1 address.

Файл my_script.sgs содержит одну командную строку CLI:

add IP4Address If1_ip Address=$1 Comments=$2

Для запуска файла скрипта после загрузки, используется команда CLI:

> script -execute -name=my_script.sgs 126.12.11.01 "If1 address"

После запуска файла скрипта и замены переменных файл будет содержать:

add IP4Address If1_ip Address=126.12.11.01 Comments="If1 address"

По умолчанию, скрипты CLI не подтверждены. Это означает, что написание порядка скриптов не будет иметь значения. В начале скрипта может быть ссылка на объект конфигурации, которая создается только в конце (для улучшения читаемости скриптов). Для того, чтобы подобные действия не приводили к запутанному и бессвязному файлу, в файлах скриптов с большим объемом предпочтительнее группировать аналогичные команды CLI.

Если в существующем файле скрипта встречается ошибка, по умолчанию сценарий будет завершен. Завершение может быть прервано с помощью опции -force . Для запуска файла с именем my_script2.sgs таким способом используется команда CLI:

gw-world:/> script -execute -name=my_script2.sgs -force

Все выходные данные выполненного скрипта появятся в консоли CLI. Обычно эти данные состоят из любых сообщений об ошибках, которые произошли во время выполнения. Для просмотра подтверждения выполнения каждой команды, используется опция –verbose:

gw-world:/> script -execute -name=my_script2.sgs -verbose

Дальше >>
< Лекция 9 || Лекция 10: 123456 || Дополнительный материал 1 >

Вопросы и ответы

вопросов: 0