Настройка параметров web интерфейса
Чтобы определить параметры web интерфейса WinRoute, нужно перейти к папке Web Интрефейса в Настройках/Продвинутых опциях (Configuration / Advanced Options).
Активизировать web интерфейс (Enable Web Interface (HTTP))
Эта опция активизирует кодированную (HTTP) версиюWeb интерфейса (для этого интерфейса по умолчанию используется порт 4080).
Активизировать web интрефейс через SSL (HTTPS) (Enable Web Interface over SSL (HTTPS))
Эта опция активизирует кодированную (HTTPS) версию Web интерфейса (по умолчанию для этого интерфейса используется порт 4081).
Имя сервера WinRoute (WinRoute server name)
Имя сервера DNS, которое будет использоваться для web интерфейса (например, server.company.com). Имя не обязательно должно быть идентично имени узла, но в DNS должна быть соответствующая запись, позволяющая необходимое разрешение имени.
Примечание: если все клиенты, имеющие доступ к web интерфейсу, используют в качестве DNS сервера DNS Форвардер WinRoute, то добавлять DNS имя сервера не обязательно. Имя будет уже известно и связано с именем локального домена см. главу DNS Форвардер).
Разрешить доступ только с локальных IP адресов (Allow access only from these IP addresses)
Выделите IP адреса, которым всегда будет разрешена связь с web интерфейсом (обычно это узлы локальной сети). Можно также щелкнуть кнопку Правка (Edit), чтобы редактировать выбранные группы IP адресов или чтобы создать новую IP группу (подробнее см. в главе Группы адресов).
Примечание: ограничения доступа применяются и к кодируемым, и к некодируемым версиям web интерфейса.
В опциях SSL вы можете посмотреть страницы, к которым будут перенаправляться пользователи, если брандмауэр потребует аутентификацию (см. главу Аутентификация пользователей).
-
Не использовать SSL-безопасный интерфейс пользователи будут перенаправляться на некодируемую страницу аутентификации.
Предупреждение: эта опция не слишком безопасна (т.е. пароль пользователя может быть перехвачен). Однако, ее можно совершенно безопасно использовать в локальной сети под защитой брандмауэра. Эту опцию также необходимо использовать, если недоступен действующий SSL сертификат, или при наличии других технических проблем.
-
ИспользоватьSSL-безопасный интерфейс только для страниц регистрации пользователи будут автоматически перенаправляться на безопасную страницу аутентификации. Другие страницы web интерфейса (например, отказ информации, предупреждение об ошибке и др.) не будут кодироваться.
-
Всегда использовать SSL-безопасный web интерфейс кодированная версия будет использоваться для всех страниц web интерфейса.
Web интерфейс: продвинутые опции
Продвинутые параметры web интерфейса можно настроить, щелкнув на кнопке "Продвинутые" (Advanced).
Порты TCP
Этот раздел позволяет определить порты для кодируемой и некодируемой версии web интерфейса (по умолчанию порт для некодируемой версии web интерфейса - 4080, а для кодируемой - 4081).
Подсказка: Если на узле WinRoute не работает никакой WWW сервер, для web интерфейса можно использовать стандартные порты (т.е. 80 для HTTP и 443 для HTTPS). В этом случае в URL для страниц web интерфейса номер порта не требуется.
Предупреждение: если в какой-то записи указан порт, используемый другим сервером или приложением, и если нажать кнопку Применить (Apply) (в Настройках/Продвинутых опциях (Configuration / Advanced Options)), то WinRoute примет этот порт, но web интерфейс на этом порту работать не будет. В результате появится следующая запись об ошибке (см. главу Записи об ошибках):
Socket error: Unable to bind socket for service to port 80.
(5002) Failed to start service "WebAdmin"
bound to address 192.168.1.10.
Если вы не уверены, что указанные порты свободны, то после щелчка на кнопке "Применить" проверьте Записи ошибок (Error log) и посмотрите, не появилась ли соответствующая запись.
Cертификат SSL
В этом разделе дана базовая информация (имя сервера, название организации, выпустившей сертификат) об используемом сертификате SSL. Щелкните кнопку Изменить сертификат SSL (Change SSL certificate), чтобы создать новый сертификат или импортировать сертификат, выпущенный авторитетной фирмой.
Сертификат сервера SSL
Принцип кодированного web интерфейса WinRoute базируется на том, что все коммуникации между клиентом и сервером кодируются, чтобы защитить их от перехвата и несанкционированного использования. Протокол SSL сначала использует асимметричную кодировку, чтобы облегчить обмен симметрично кодированного ключа, который будет потом использоваться для кодировки передаваемой информации.
Для асимметричной кодировки используются два ключа - общий для кодировки и частный для расшифровки. Общий (кодирующий) ключ доступен всем пользователям, которые хотят связаться с сервером, а частный (расшифровывающий) ключ доступен только для сервера и должен оберегаться. Клиенту необходимо идентифицировать сервер. Для этого существует так называемый сертификат. Сертификат содержит общий ключ сервера, имя сервера, информацию о достоверности и другие данные. Чтобы проверить достоверность сертификата, последний должен быть удостоверен и подписан третьей стороной -органом управления сертификатами.
Коммуникация между клиентом и сервером происходит следующим образом: клиент генерирует симметричный ключ и кодирует его с помощью общего ключа сервера (получаемого из сертификата сервера). Сервер расшифровывает сообщение с помощью частного ключа. Следовательно, только эти две стороны знают симметричный ключ.
Создание или импорт сертификата
WinRoute предлагает для теста образец сертификата. Его можно найти в файле server.crt в субдиректории sslcert в директории WinRoute. Другой файл (server.key) включает частный ключ сервера. Этот сертификат идентичен во всех приложениях WinRoute. Это значит, что будут работать только кодированные службы, но практически безопасность не гарантируется (частный ключ знают все - поэтому любой пользователь может расшифровать общие коммуникации).
Щелкните Изменить сертификат SSL (Change SSL certificate) (в диалоге продвинутых установок web интерфейса), чтобы увидеть диалог текущего сертификата сервера. Выбрав опцию Поле (Field) (запись сертификата), вы можете просмотреть информацию о том, кто выпустил сертификат (Issuer) или о предмете (Subject), который представляет ваш сервер.
Чтобы получить собственный уникальный сертификат, который будет использоваться для проверки подлинности вашего сервера, можно воспользоваться одним из нижеописанных методов.
Чтобы создать свой собственный (подписанный вами) сертификат, щелкните кнопку Сгенерировать сертификат (Generate certificate) в диалоге текущего сертификата сервера. Введите требуемые данные о сервере и вашей компании. Требется заполнить только поля, отмеченные звездочкой (*).
Щелкните ОК, чтобы увидеть диалог сертификата сервера SSL. Сертификат запустится автоматически (перезагружать компьютер не надо).
Новый (подписанный вами) сертификат будет уникальным. Он создан вашей компанией, адресован вашей компании и базируется на имени вашего сервера. В отличие от тестовой версии, этот сертификат гарантирует безопасность ваших клиентов, т.к. только вам известен личный ключ. Достоверность вашего сервера гарантируется этим сертификатом. Клиенты в своих браузерах увидят, что авторитетность сертификата ненадежна, но они установят его в браузерах, т.к. доверяют владельцу сертификата. Это гарантирует безопасные коммуникации, и больше не будут появляться предупреждения, т.к. сертификат имеет все необходимые характеристики.
Другая возможность -получить подписанный сертификат у авторитетной компании (например, Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode и др.). Процесс сертификации очень сложен и требует специальных технических знаний. Для получения подробных инструкций обратитесь в службу технической поддержки Kerio.
Языковые предпочтения web интерфейса
Web интерфейс WinRoute's доступен на разных языках. Язык устанавливается автоматически согласно предпочтениям каждого пользователя, указанным в web браузере (эта функция доступна в большинстве браузеров). Если языковые предпочтения недоступны, будет исопльзоваться английский.
Индивидуальные языковые версии сохраняются в файлах определений в субдиректории weblang под директорией WinRoute. Каждый язык представлен двумя следующими файлами: xx.def и xx.res. Строка хх определяет стандартный язык и состоит из двух знаков (т.е. en обозначает английский, и т.д.). Первые ряды xx.def включают соответствующую аббревиатуру языка (эквивалентную аббревиатуре в имени файла). Второй ряд содержит кодировку, используемую для соответствующего языка (т.е. для английского это windows-1251). Эта кодировка должна использоваться для обоих языковых файлов.
Администраторы WinRoute могут легко изменять тексты страниц web интерфейса или создавать новые языковые версии.
Примечание: изменения в файле xx.def file вступят в силу после перезапуска Брандмауэра WinRoute.
Перевод документации осуществлен силами компании Red Line Software
