Документация для Kerio WinRoute

Службы

Службы WinRoute позволяют администраторам легко задавать правила соединения (разрешением или запрещением доступа к Интеренет из локальной сети, или разрешением доступа к локальной сети из Интеренет). Службы определяются протоколами связи и номерами портов (например, служба HTTP использует протокол TCP с номером порта 80). Также, вы можете согласовать так называемый протокол-инспектор с определенным типом службы (подробности смотри ниже).

Службы могут быть заданы в Configurations / Definitions / Services. Некоторые стандартные службы, такие как HTTP, FTP, DNS и т.д., уже заданы в установке WinRoute по умолчанию.

Нажатие кнопок Add или Edit открывает диалог задания параметров служб.

Имя

Идентификация службы в WinRoute. Строго рекомендуется использовать короткое имя для работы программы без осложнений.

Протокол

Протокол связи, используемый службой.

Большинство служб используют TCP или UDP-протоколы, или оба, когда они заданы как одна служба с функцией TCP/UDP.

Эта опция позволяет администратору определять протокол, используя номер, содержащийся в заголовке пакета IP. Любой протокол, переносимый в IP (например, GRE номер протокола 47) может быть задан таким образом.

Протокол-инспектор WinRoute (смотри ниже), который будет использован для этой службы.

Предупреждение: Каждый инспектор должен использоваться только для соответствующей службы.

Порт отправки и порт назначения

При использовании протоколов связи TCP или UDP, служба определяется ее номером порта. В случае со стандартным типом "клиент-сервер", сервер ожидает соединения с заданным портом (номер относится к службе), тогда как клиент не знает своего порта заранее (порт назначается во время соединения). Это значит, что порт отправления обычно не определен, в то время как порт назначения обычно известен, в случае со стандартными службами.

Примечание: Определение порта отправления может быть важным, например во время создания правил фильтрации соединения. Для более полной информации, смотри главу Definition of Custom Traffic Rules.

Порты отправления и назначения могут быть определены как:

• Любой доступны все порты (1-65535)

• Адекватный  определенный порт (например,80)

• Больше чем, Меньше чем определяются порты с номерами, либо больше либо меньше заданных

• Кроме определяются порты с номерами, не равными заданному

• В диапазоне все порты, соответствующие диапазону (включая начальный и конечный)

• Список список портов, разделенный запятыми (например, 80,8000,8080)

Описание

Комментарии к заданным службам. Строго рекомендуется подробно описать каждое определение, особенно нестандартных служб, для того чтобы свести к минимуму возможную путаницу при обращении к службе позже.

Протокол-инспекторы

WinRoute включает специальные плагины, контролирующие весь трафик, используя протоколы HTTP, FTP или другие. Эти модули могут использоваться для изменения (фильтрации) соединения или работать в качестве брандмауэров, в зависимости от типа протоколов. Преимущества протоколов-инспекторов можно понять лучше на просмотре двух следующих примеров:

1. HTTP протокол-инспектор контролирует трафик между приложениями (браузерами) и Web-серверами. Он может быть использован для блокирования соединений с определенными страницами или загрузкой определенных объектов (например, изображений, pop-ups, и т.д.).

2. С помощью активного FTP, сервер открывает соединение с приложением. При определенных условиях этот тип соединения не может быть произведен через брандмауэр, поэтому FTP может использоваться только в пассивном режиме. FTP protocol inspector определяет, что FTP активен, открывает соответствующий порт и переадресует соединение соответствующему приложению в локальной сети. Благодаря этому, пользователи локальной сети не ограничены брандмауэром и могут использовать оба режима FTP (активный/пассивный).

 Протокол-инспектор активен, если он включен в службу, использующую правила трафика. Если правило для каждой службы задано, все протокол-инспекторы WinRoute, следующие этим правилам будут активированы автоматически.

Примечания:

1. Протокол-инспекторы различают протоколы приложений через транспортные протоколы (TCP или UDP) и номер порта, который используется соответствующей службой. Если служба запущена через нестандартный порт (например, HTTP через номер 8080), протокол-инспектор не будет работать. В данном случае, вы можете создать службу для порта 8080, использующую HTTP-протокол-инспектор.

2. При определенных обстоятельствах, применение протокол-инспектора нежелательно. Поэтому, можно временно отключать соответствующего инспектора. Для более полной информации, смотри главу Partial Retirement of Protocol Inspector.

Перевод документации осуществлен силами компании Red Line Software