Kerio WinRoute Firewall 6.0

3942494f

Определение правил


Правила управления трафиком показаны в виде таблицы, где каждое правило представлено стокой, а свойства (имя, условие, действие — подробности смотрите дальше) расположены по столбцам. Кликните левой клавишей мыши по выделенному полю таблицы (или правой клавишей по правилу, выбрав Edit (редактировать) в контекстном меню), чтобы открытыть диалог для редактирования выделелнного поля.

Для создания нового правила нажмите кнопку Add (добавить). Переместите новое правило внутрь списка с помощью клавиш стрелок.


Name (имя)

Имя правила. Оно должно быть коротким и уникальным. Более детальную информацию можно поместить в поле Description (описание).

Поля соответствий, расположенные за именами, могут быть помечены для активации или сброшены для отмены правил. Если пометка сброшена, WinRoute

проигнорирует это правило. Это означает, что при решении проблем с каким-либо правилом, нет необходимости его удалять, а затем снова создавать.

Цвет фона каждой строки может быть задан. Для задания цвета фона в списке, кликните правой клавишей по ячейке в столбце Name (имя), относящейся к описываемой строке и выберите Edit (редактировать) для редактирования имени и цвета.

В поле Description (описание) можно заносить любой текст, описывающий соответствующее правило (до 1024 символов). Заносить информацию в это поле необязательно.

Если описание представленно, в поле Name (имя) непосредственно за именем правила будет изображён “куржок”. Чтобы просмотреть описание, расположите кусор мыши над кружком.

Рекомендуется описывать все создаваемые правила для более лёгкого понимания (для правил, создаваемых с помощью мастера, опичания генерируется автоматически).

Замечание: описания и цвета не влияют на функциональность правил.

Source and Destination (источник и получатель)

Источника или получателя, определённые в правиле.

Новые источник или получатель можно задать нажатием кнопки Add (добавить):



  • Host (хост) — имя или IP-адрес машины (например 192.168.1.1 or www.company.com)


    Внимание: Если компьютер-источник или компьютер-получатель заданы посредством DNS-имени, WinRoute

    будет пытаться определить их IP- адреса при обработке соответствующего правила.

    Если не будет найдено ни одной записи в кэше, DNS forwarder перенаправит запрос в Интернет. Если окажется, что соединение временно “зависло”, запрос будет послан заново после того, как соединение восстановится. Соответствующее правило перестаёт работать до тех пор, пока не будет получен IP-адрес, соответствующий DNS-имени. При определённых обстоятельствах, запрещённый трафик может проходить пока соответствующее запрещающее правило выключено (такие соединения будут немедленно закрыты, когда правло снова включится).

    По выше описанной причине мы рекомендуем задавать компьютер-источник и компьютер-получатель посредством IP-адреса в случае, если вы выходите в Интернет через телефонное соединение!



  • Network (сеть) — подсеть, задаваемая адресом и маской подсети

    (например 192.168.1.0/255.255.255.0)



  • IP range (диапазон IP-адресов) — например 192.168.1.10—192.168.1.20



  • Subnet with mask (подсеть с заданной маской) — подсеть, задаваемая сетевым адресом и маской подсети (например 192.168.1.0/255.255.255.0)



  • Network connected to interface (сеть, связанная с интерфейсом) — представляет все IP-адреса, находящиеся по ту сторону интерфейса.



  • VPN — виртуальная частная сеть (virtual private network) (созданная с помощью WinRoute реализации VPN). Эта опция может использоваться для добавление следующих пункутов:





  • Входящие VPN-соединения (VPN-клиенты) — все VPN-клиенты присоединённые к WinRoute VPN-серверу через Kerio VPN Client



  • Входящие VPN-соединения (VPN-туннель) — сеть удалённого сервера, присоединённая к данному серверу через VPN-туннель



Для подробной информации о реализации VPN в WinRoute

обратитесь к главе  Kerio VPN.

Users (пользователи) — пользователи или группы, которые могут быть выбраны в специальном диалоге



Правило с опцией Authenticated users (аутентифицированные пользователи) действует для всех пользователей, аутентифицированных брандмауэром. (см. главу  Аутентификация пользователей в брандмауэре).



При задании политики управления трафиком, каждый пользователь/группа или хост представляется IP-адресом с которого посылается запрос на соединение (подробности об аутентификации пользователей смотрите в главе  Аутентификация пользователей в брандмауэре).

Замечания:



  1. Если вам требуется аутентификация во всех правилах, необходимо убедиться, что правила существуют, чтобы пользователи имели возможность открыть страницу аутентификации брандмауэра. Сервис аутентификации использует порт 4080 для HTTP и 4081 для HTTPS.



  2. Если вы используете HTTP, WinRoute может перенаправлять пользователя на страницу аутентификации автоматически (подробности смотрите в главе Правила URL). Другие сервисы не имеют такой особенности. Пользователи должны быть информированы о том, что их перенаправили на страницу аутентификации перед тем, как им предоставится доступ к запрашиваемым сервисам. (см. главы Web-интерфейс и аутентификация пользователей и Брандмауэр и аутентификация пользователей).



  3. Filewal (брандмауэр) — специальная группа адресов, вклющая все интерфейсы хрста, на которых запущен брэндмауэр. Эту поцию можно использовать для разрешения трафика между локальной сетью и самим машиной с WinRoute.

    Используйте кнопку Any (любые) для замены всех заданных пунктов на значение Any (это значение используются также по умолчанию во всех правилах). Поле с таким значением будет автоматически удалено при добавлении по крайней мере одного нового пункта.

    Используйте кнопку Remove (удалить) для удаления всех заданных пунктов. (В списке полей будет отображено значение Nothing (никакое)). Как только будет добавлена по крайней мере одна служба, значение Nothing будет автоматически удалено. Если значение Nothing остаётся в поле Source и/или Destination, соответствующее правило выключается.

    Значение Nothing важно для удаления сетевых интерфейсов (см. главу  Интерфейсы). Значение Nothing ватоматически проставляется во всех полях Source и/или Destination в правилах, где используется интерфейс, который удалили. Таким образом, все такие правила выключены. Вставка значения Nothing вручную не имеет смысла, для этих целей лучше использовать флаг напротив поля Name.



    Note: Удалённый интерфейс не может быть заменён значением Any, иначе политика управления трафиком может фундаментально измениться (например, может быть разрешён нежелательный трафик).

    Service (сервис)

    Сервис, для которого будут применяться правила управления трафиком. Вы можете добвать в список произвольное количество сервисов, определённых в разделай Configuration, Definitions или Services или использующих определённый протокол или порт (или диапазон портов — для задания диапазона используется дефис).



    Кликните по кнопке Any, чтобы заменит все пункты на значение Any (это значение также используется по умолчанию при создании нового правила). Как только будет добавлен по крайней мере один сервис, значение Any удалится.

    Для удаления всех определённых пунктов нажмите кнопку Remove (значение Nothing будет отображаться в списке). При добавлении по крайней мере одного нового сервиса, значение Nothing удаляется автоматически. Если значение Nothing остаётся в столбце сервиса, правило выключается.

    Значение Nothing важно при удаленияя сервисов (см. главу Сервисы). Если севис удалить, в поле Service в определении правила будет автомтически занасено значение Nothing. Таким образом, все такие правила выключаются. Вставка значения Nothing вручную не имеет смысла —a вместо этого может быть использованн флаг в столбце Name.

    Замечания:



    1. При удалении сервиса вы не можете заменять его на значение Any, в противном случае может фундаментально измениться политика управления трафиком. (например, может быть разрешён нежелательный трафик).



    2. Если для задания сервиса используется анализатор соответствующего протокола, этот модуль может быть применён к трафику, удовлетворяющему этому правилу. Если правило может быть применено к всем сервисам (кнопка Any), все необходимые анализаторы протоколов будут применены автоматически.

      При желании, можно определить правло без использования анализаторов протокола (подробности смотрите в главе Сервисы), чтобы обойти их использование для определённых IP.





    Action (действие)

    Действие, которые будет выполнено WinRoute, если пакет удовлетворит всем условиям в правиле (условия определяются источником, получателем и сервисом). Допускаются следующие действия:



    • Permit (разрешить) — трафик будет разрешён брандмауэром



    • Deny (запретить) — доступ по адресу или порту запрещён. Клиент при этом будет немедленно оповещён, что трафик блокируется брандмауэром.



    • Drop (отбросить) — все пакеты, удовлетворяющие правилу, будут отброшены. Клиент никак не будет уведомлён и будет воспринимать ситуацию как неполадки в сети. Клиент не будет повторять запрос сражу (он будет ожидать ответа и повторит попытку соединения позже).



    Замечание: Для ограничения доступа в Интернет локальным пользователям, рекомендуется использовать действие Deny, а действие Drop — для блокирования доступа из Интернета.

    Log (запись в журнал)

    Следующие действия могут быть использованы для записи в журнал информации о трафике:



    • Log matching packets (запись удовлетворяющих пакетов) — запись в журнал фильтра всех пакетов, удовлетворяющих правилу (разрешённых, запрещённых или отбрасываемых, в зависимости от правила).



    • Log matching connections (запись удовлетворяющих соединений) — запсь в журнал соединений всех соединений, удовлетворяющие правилу (это относится только к разрешающим правилам). Отдельные пакеты, принадлежащие соединению записываться не будут.

      Замечание: Соединения, удовлетворяющие Deny- или Drop-правилам, не могут быть записаны в журнал.



    Translation (трансляция)

    Трансляция IP-адресов источника и получателя.

    Трансляцию IP-адреса источника также называют “маскарадом” или разделением Интернет-соединений. Вместо IP-адреса источника (внутреннего адреса) в пакетах, отправляемых из локальной сети в Интернет, подставляется адрес интерфейса, соединённого с Интернетом. Поэтому вся локальная сеть может иметь доступ в Интернет, но внешне выглядит как один хост.

    Задаются следующие варианты IP-трансляции:



    • No Translation (трансляци отсутствует) — адрес источника не изменяется. Эта опция устанавливается по умолчанию и она не отображается внутри правил управления трафиком.





    • Translate to IP address of outgoing interface (замена на адрес клиентского интерфейса) — WinRoute

      будет транслировать адрес источника в исходящих пакетах на адрес сетевого интерфейса, от которого пакет был получен.



    • Translate to IP address of interface (замена на адрес интерфейса) — выбор интерфейса. Адрес подходящего пакета будет заменён на основной адрес интерфейса. Эта опция нечувствительна, если предпологается, что обратный путь отличается от прямого.



    • Translate to IP address (замена на IP-адрес) — тот адрес, на который будет заменяться адрес источника (например второй адрес интерфейса, соединённого с Интернетом). Используйте кнопку Resolve (разрешить) только если вы знаете DNS-имя вашего хоста.

      Замечание: Интерфейсу (только для TCP/IP стека) хоста, на котором работает WinRoute должен быть присвоен IP-адрес!



    Трансляция адресов получателя (также называемая подстановкой портов) используется для разрешения доступа к сервисам, работающим по ту сторону брандмауэра. Все входящие пакеты, удовлетворяющие правилам, перенаправляются на заданный хост (изменяется адрес получателя). С клиентской точки зрения, всё выглядит так, как будто сервис запущен на машине с брэндмауэром.

    Опции получателя NAT (подстановка потров):



    • No Translation (трансляция отсутствует) — адрес получателя не изменяется.



    • Translate to (изменить на) — IP-адрес, на который будет заменён адрес получателя в пакете. Этот адрес также является адресом хоста, на котором в действительности работает сервис.

      Эта опция может быть также задана посредством DNS-имени компьютера получателя. В таких случаях WinRoute найдёт соответствующий IP-адрес через DNS-запрос.

      Внимание: Ты не рекомендуем вам использовать имена компьютеров, которые не записаны в локальном DNS-сервере из-за того, что правило не может работать, пока соответствующий адрес не будет найден. Это может стать причиной временного нефункционирования сервиса подстановки портов.



    • Translate port to (изменить порт на) — в процессе трансляции IP-адресов вы можете также подставлять порты определённых сервисов. Это означает, что сервис в действительности может работать на порту, который отличается от порта, который заменяется.



      Замечание: Вы не можете использовать эту опцию, пока ровно один сервис не будет определён в поле сервиса в соответствующем правиле и пока этот сервис не будет использовать только один порт из диапазона.



    Следующие столбцы скрыты в установках по уполчанию в диалоге политики управления трафиком:

    Valid on (действительно в течении)

    Интервал времени, в течении которого правило действительно. По истечении этого интервала WinRoute будет ингорировать это правило.

    Специальное значение “всегда” можно использовать для отмены ограничения по времени. (оно не показывается в диалоге политики управления трафиком).

    Protocol Inspector (анализатор протокола)

    Выбор анализатора протокола, который будет применяться ко всему трафику, удовлетворяющему правилу. Вы можете задать следующие опции:



    • Default (по умолчанию) — все необходимые анализаторы (или анализаторы сервисов, перечисленных в поле Service) будут применяться к трафику, удовлетворяющему правилу.



    • None (никакие) — не будут применяться никакие анализаторы (независимо от того, какие сервисы заданы в поле Service).



    • Other (другие) — задание определённого анализатора, который будет использоваться для трафика, удовлетворяющего правилу (доступны все анализаторы протокола WinRoute's).

      Внимание: Не используйте эту опцию, если соответствующие правила задают протокол, не относящийся к анализатору. Использование неподходящего анализатора может повлиять на функциональность сервиса.



    Замечание:

    Используйте опцию по умолчанию для анализатора протокола, если в определении правила используется специфический сервис (см. пункт Service). (Анализатор протокола включён в определение правила.)


    Содержание раздела