Помимо деления физических сетевых интерфейсов на группы доверенных и недоверенных, существуют деление на два класса сетевых интерфейсов. Разделение интерфейсов на классы происходит с точки зрения наличия или отсутствия возможности СКЗИ и МЭ контролировать трафик на них в зависимости от конфигурации ESR CLI. Если СКЗИ и МЭ может контролировать трафик на сетевом интерфейсе, то такой интерфейс будет называться «контролируемым» и соответственно относиться к классу контролируемых, в противном случае – «неконтролируемым» и входить в класс неконтролируемых. Таблица 1 показывает возможные состояния интерфейса и допустимые переходы между ними.
Таблица 1
Классификация состояний интерфейсов
Группа\Класс |
Контролируемый |
Неконтролируемый |
Доверенный |
По умолчанию |
Переключение по инициативе администратора для выполнения расширенных функций |
Недоверенный |
По умолчанию |
Недопустимо |
Чтобы сетевой интерфейс стал неконтролируемым, его нужно определенным образом настроить. Для этого в ESR CLI, в контексте настройки сетевого интерфейса, нужно указать одну из следующих команд:
Примечание. Сетевые интерфейсы, относящиеся к недоверенной (публичной) группе, ни при каких условиях не должны переводиться в неконтролируемое состояние, так как это может стать причиной утечки конфиденциальных данных.