Все интерфейсы шлюза разделите на две части – внутренние интерфейсы, которые будут подключены к локальной подсети (доверенные интерфейсы), и внешние интерфейсы, которые подключаются к публичной (интернет) сети (недоверенные интерфейсы).
Помимо деления физических сетевых интерфейсов на группы доверенных и недоверенных, существуют деление на два класса сетевых интерфейсов. Разделение интерфейсов на классы происходит с точки зрения наличия или отсутствия возможности СКЗИ и МЭ контролировать трафик на них в зависимости от конфигурации ESR CLI. Если СКЗИ и МЭ может контролировать трафик на сетевом интерфейсе, то такой интерфейс будет называться «контролируемым» и соответственно относиться к классу контролируемых, в противном случае – «неконтролируемым» и входить в класс неконтролируемых.
Сетевые интерфейсы, относящиеся к недоверенной (публичной) группе, ни при каких условиях не должны переводиться в неконтролируемое состояние, так как это может стать причиной утечки конфиденциальных данных.
Особенности настройки сетевых интерфейсов описаны в документе «Настройка шлюза» в соответствующем разделе.
Для настройки внешнего интерфейса запросите у провайдера адрес, маску подсети и адрес шлюза по умолчанию.
Для внешнего интерфейса обязательно должна быть создана политика безопасности, связанная с фильтрацией, конфиденциальностью, имитозащитой трафика, проходящего через данный интерфейс, а также указаны параметры аутентификации шлюза. Правила фильтрации должны быть прописаны таким образом, чтобы гарантированно не пропускать трафик в открытом незащищенном виде в публичную недоверенную сеть. На внутреннем интерфейсе могут быть заданы только правила фильтрации, пропускающие или запрещающие трафик в отрытом виде. Для каждого интерфейса может быть прописана своя политика безопасности. Все интерфейсы, для которых задана политика безопасности, называются контролируемыми интерфейсами.
Трафик из локальной подсети в публичную недоверенную сеть должен проходить только через контролируемые внешние интерфейсы, как и из публичной сети в локальную.