Определение защищаемых ресурсов и сетевых портов

При планировании подключения устройства к внешним сетям необходимо учитывать, что каждый сетевой порт устройства, который может быть подключен к внешней сети, должен быть включен в политику безопасности, либо непосредственно, как физический интерфейс, либо косвенно, как логический (виртуальный) интерфейс, который скрывает под собой данный физический интерфейс и сетевой порт. Соответствие между нумерованным портом, расположенным на лицевой панели ESR-ST, и физическим или виртуальным сетевым интерфейсом, отображаемым в CGW CLI, определяется следующим образом:

• Интерфейсы GigabitEthernet1/N, TenGigabitEthernet1/N и все их vlan-subinterfaces соответствуют портам с номером N.
• Интерфейс Port-channelN соответствует группе портов, на которых задана команда channel-group  N в ESR CLI.
• Интерфейс Bridge N (с учетом настроенного на нем vlan M) соответствует группе портов, на которых заданы команды в ESR CLI (для ESR-1000-ST):.

switchport general allowed vlan add M

switchport general pvid M

или команда (дляESR-100-ST/ESR-200-ST):

switchport access vlan M

Например (для ESR-1000-ST):

bridge 100

  vlan 200

  ip address 172.16.100.2/24

  enable

exit

interface gigabitethernet 1/0/2

  switchport

  switchport general pvid 200

  switchport general allowed vlan add 200 untagged

exit

• Интерфейс E1port X/Y/Z соответствует интерфейсу e1 X/Y/Z в ESR CLI, который в свою очередь соответствует порту, на котором задана команда switchport  e1 slot  Y, например:

interface gigabitethernet 1/0/1

  switchport

  switchport mode e1

  switchport e1 slot 3

  switchport e1 timeslots 1-16

  switchport e1 clock source line

exit

interface e1 1/3/1

  ip address 10.10.0.1/24

exit

• Интерфейс Multilink N соответствует группе интерфейсов e1 X/Y/Z в ESR CLI, на которых задана команда ppp  multilink-group  N. Далее группа портов определяется по алгоритму, описанному для интерфейса e1 X/Y/Z (см. выше), например:

interface gigabitethernet 1/0/2

  switchport

  switchport mode e1

  switchport e1 slot 0

  switchport e1 clock source line

exit

interface gigabitethernet 1/0/4

  switchport

  switchport mode e1

  switchport e1 slot 1

  switchport e1 clock source line

exit

interface multilink 1

  ip address 20.20.0.2/24

exit

interface e1 1/0/1

  ppp multilink

  ppp multilink-group 1

exit

interface e1 1/1/1

  ppp multilink

  ppp multilink-group 1

exit

• Интерфейсы типа LoopbackN не имеют соответствия сетевым портам и на данных интерфейсах не должны настраиваться функции СКЗИ и МЭ. Трафик, имеющий в качестве адреса источника IP-адрес LoopbackN интерфейса, должен контролироваться СКЗИ и МЭ на недоверенных интерфейсах.
• Интерфейсы TunnelN не имеют строгой ассоциации с портами. Трафик, направляемый по таблице маршрутизации на интерфейсы данного типа, после обработки проходит повторную маршрутизацию и может выйти с устройства через любой порт. Входящий трафик, предназначенный для интерфейсов данного типа, может быть получен через любой порт, независимо от таблицы маршрутизации.

Описание защищаемых ресурсов должно основываться на адресах, портах и протоколах трафика, подлежащего защите. При описании ресурсов в политике безопасности необходимо учитывать следующие факторы:

• Трафик, соответствующий описанию защищаемого, может быть принят на любом сетевом интерфейсе, подключенном к внешней сети, и должен быть блокирован, если требуемые функции безопасности не были выполнены. То есть, если трафик какой-то защищённой сети не ожидается на интерфейсе, то в политике безопасности для него не будет задано правило IPsec, но для предотвращения попадания нежелательного трафика в защищаемую сеть должно быть задано правило уничтожения такого трафика (явное или по умолчанию).
• Функции трансляции адресов и виртуальные интерфейсы типа TunnelN изменяют адресные поля заголовков пакетов, что должно быть учтено в политике безопасности. Например: если устройство должно защищать весь TCP трафик подсети 10.0.0.0/16, и при этом настроен туннельный интерфейс для инкапсуляции трафика данной подсети в GRE, то в политике безопасности следует описывать защищаемый трафик не как “GRE”, а как “IP,10.0.0.0/16” и “GRE”. То есть, в политике безопасности должен быть учтен исходный защищаемый трафик не только после инкапсуляции или трансляции, но и в оригинальном виде, до этих преобразований. Это необходимо делать для предотвращения утечки защищаемого трафика в случае сбоя туннельного интерфейса.