Мастер правил сети
Мастеру правил сети требуются только данные, которые необходимы для создания основного набора правил трафика. Правила созданные этим мастером будут позволять доступ к выбранным службам Интернет из локальной сети, и обеспечивать полную защиту локальной сети (включающую хост WinRoute) от попыток нежелательного доступа через Интеренет. Для обеспечения надежности функционирования WinRoute, после использования мастера удаляются все существующие правила и заменяются на правила, заданные на основе новых данных.
Для запуска мастера правил сети щелкните кнопку Wizard.
Примечание: Существующая политика трафика подменяется новыми правилами на завершающем этапе процесса после подтверждения на последнем этапе. Это означает, что во время процесса работы мастера он может быть остановлен и удален без потерь существующих правил.
Этап 1 информация
Для успешного запуска, мастеру необходимы следующие параметры хоста WinRoute:
-
по меньшей мере, один активный адаптер, соединенный с локальной сетью
-
по меньшей мере один активный адаптер, соединенный с Интернет или один заданный dial-up. Dial-up необязательно должен быть активен для запуска мастера.
Этап 2 выбор типа соединения с Интернет
Выберите подходящий тип соединения с Интернет сетевой адаптер (Ethernet, WaveLAN, DSL, и т.д.), коммутируемая линия (аналоговый модем, ISDN, и т.д.) или спутниковая система DirecWay. DirecWay возможна только если сответствующий драйвер устройства взаимодействует с операционной системой.
Этап 3 выбор сетевого адаптера или dial-up
Если сетевой адаптер используется для соединения хоста с Интернет, он может быть выбран в меню. Для более легкого пользования инструкцией мастера, также отображаются IP-адрес, сетевая маска и MAC-адрес выбранного адаптера.
Примечание: Web-интерфейс со шлюзом по умолчанию приведен в списке первым. Поэтому, в большинстве случаев, соответствующий адаптер уже устанавливается на этом этапе.
В случае с коммутируемой линией, должен быть выбран соответствующий тип соединения (заданный в операционной системе) и должны быть заданы регистрационные данные.
-
Использование регистрационных данных из RAS имя и пароль для аутентификации на удаленном сервере будет скопировано из данных RAS Windows. RAS-соединение должно сохраняться в системной телефонной книге (соединение должно быть доступно любому пользователю).
-
Использование следующих регистрационных данных задайте имя и пароль, которые будут использованы для аутентификации на удаленном сервере. Эта опция может быть полезна, например, когда нежелательно сохранять регистрационные данные в операционной системе или если позже они будут изменены.
Этап 4 Ограничения доступа к Интернет
Выберите какие службы Интернет будут доступны для пользователей LAN:
Разрешить доступ ко всем службам
Доступ к Интернет не будет ограничен из локальной сети. Пользователи имеют доступ к любой службе Интернет.
Разрешить доступ только к следующим службам
Только выбранные службы будут доступны из локальной сети.
Примечание: В этом диалоге только перечислены основные службы (независимо от служб, заданных в WinRoute смотри главу Services). Другие службы могут быть разрешены определением индивидуальной политики трафика смотри ниже.
Этап 5 задание трафика Kerio VPN
Для использования собственного VPN трафика WinRoute для связи с удаленными пользователями или создания тоннеля между удаленными сетями, выберите Да, я хочу использовать Kerio VPN. Будут добавлены необходимые службы и адресные группы для VPN. Для более полной информации о разработках VPN, встроенных в WinRoute, смотри главу Kerio VPN.
Если вы не хотите использовать это систему, или хотите использовать систему какой-либо третьей стороны, (например, Microsoft PPTP, Nortel IPSec, и т.д.), выберите Нет, я не хочу использовать правила для опции Kerio VPN.
Этап 6 спецификация серверов, которые будут доступны в локальной сети
Если любая служба (например, WWW-сервер, FTP-сервер, и т.д. доступная через Интернет) запускается на хосте WinRoute или другом хосте внутри локальной сети, задайте ее в этом диалоге.
Окно диалога, которое откроет новую службу, может быть активировано кнопкой Add.
Служба запущена
Задание параметров хоста, в котором запущена служба:
-
Брандмауэр хост, в котором устанавливается WinRoute
-
IP-адрес адрес сервера в локальной сети (хост, в котором запущена служба)
Примечание: доступ к Интернет через WinRoute должен быть задан в шлюзе по умолчанию хоста, в противном случае, служба будет недоступна.
Служба
Выбор службы. Служба определяется в Configurations / Definitions / Services (смотри главу Services).
Примечание: Большинство общих служб в WinRoute задано ранее.
Этап 7 NAT
Если вы используете только общий IP-адрес для связи вашей локальной сети с Интернет, запустите функцию NAT (трансляция IP-адреса). Не запускайте эту службу если WinRoute используется для маршрутизации между двумя общими сетями или двумя локальными сегментами (нейтральный маршрутизатор).
Этап 8 формирование правил
На последнем этапе, информационное окно предупреждает пользователей о том, что политика трафика будет основана на новых данных и все существующие данные будут удалены и заменены новыми правилами.
Предупреждение: Это последний шанс остановить процесс и оставить существующую политику трафика. Для удаления существующих правил и заменой их на новые, щелкните кнопку Finish.
Правила, созданные мастером
Политику трафика проще понять по правилам, созданным мастером, на предыдущем примере.
ICMP-трафик
Это правило может быть добавлено в любое время, независимо от установок на каждом этапе. Вы можете использовать команду PING, для того чтобы отправить запрос об ответе с хоста WinRoute. Использованием этой команды могут быть решены важные вопросы (например, можно проверить функционирование Интернет).
Примечание: Правило ICMP-трафик не позволяет пользователям использовать команду PING из локальной сети в Интернет. Если вы намереваетесь использовать команду в любом случае, вы должны добавить возможность Ping в правила NAT (для более полной информации смотри Definition of Custom Traffic Rules).
ISS OrangeWeb Filter
При использовании ISS OrangeWeb Filter (модуль классификации Web-сайтов), это правило разрешает взаимодействие с соответствующей базой данных. Не выключайте этот трафик, в противном случае, ISS OrangeWeb Filter не будет нормально функционировать.
NAT
Если добавлено это правило, то адреса источников (частные) всех пакетов, направленных из локальной сети в Интернет, будут подменены адресами интерфейса, соединенного с Интернет (смотри Мастер, этапы 3 и 6). Однако, будут доступны только службы, заданные на этапе 4.
В колонке Source также включен интерфейс Dial-In. Это означает, что RAS-приложения, соединенные с сервером, могут использовать NAT-технологию для доступа к Интернет.
Локальный трафик
Это правило разрешает весь трафик между локальными хостами и хостом WinRoute. Пункты этого правила Source и Destination включают все интерфейсы хоста WinRoute, кроме интерфейса, соединенного с Интернет (этот интерфейс может быть задан на этапе 3).
Пункты Source и Destination этого правила также затрагивают интерфейсы Dial-In и VPN. Это значит, что правило Локальный трафик также разрешает трафик между локальными хостами и RAS-клиентами/VPN-клиентами, соединенными с сервером.
Примечание: Так как мастер предполагает, что хост WinRoute принадлежит локальной сети, то доступ к нему не ограничен. Ограничения могут быть заданы изменением соответствующего правила или созданием нового. Некорректное правило, ограничивающее доступ к хосту WinRoute, может блокировать удаленное администрирование или стать причиной недоступности служб Интернет (все трафики, направленные к Интернет, передаются через этот хост).
Защитный трафик
Это правило разрешает доступ к определенным службам через хост WinRoute. Оно подобно NAT-правилу, но, в отличие от него, не поддерживает трансляцию IP (этот хост соединяется с Интернет напрямую).
HTTP и HTTPS
Эти правила устанавливают все HTTP и HTTPS-службы, запущенные в хосте с IP-адресом 192.168.1.10 (этап 6). Эти службы будут доступны по IP-адресам внешнего интерфейса (этап 3).
Правило по умолчанию
Это правило запрещает все соединения, не разрешенные другими Правило по умолчанию всегда стоит в конце списка и не может быть удалено.
Правило по умолчанию позволяет администратору выбрать действие, которое лучше всего подойдет для предотвращения нежелательных трафиков (Запрет или Удаление) и разрешения регистрации пакетов.
Примечание: Для получения более полного описания правил трафиков смотри главу Definition of Custom Traffic Rules.
Перевод документации осуществлен силами компании Red Line Software
