Монитор WinRoute - Parent Directory
advertisement
Kerio WinRoute Firewall 6.0
Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной
сети с Интернет и защиты сети от несанкционированного доступа. Он разработан для
операционных систем Windows NT 4.0, 2000 и XP.
Базовые Свойства
Прозрачный доступ в Интернет
Технология Передачи Сетевого Адреса (Network Address Translation (NAT))позволяет
соединять локальную сеть с Интернет через один общий IP адрес (статический или
динамический). В отличие от прокси серверов, технология NAT делает доступным все
Интернет службы с любой рабочей станции. При этом можно использовать стандартные
сетевые приложения, как если бы все компьютеры локальной сети имели собственные
соединения с Интернет.
Безопасность
Интегрированный брандмауэр защищает всю
станцию, на которой он установлен, независимо
(передача IP) или WinRoute используется как
двумя сетями. Kerio WinRoute Firewall предлагает
гораздо более дорогие программные продукты.
локальную сеть, включая рабочую
от того, используется ли функция NAT
"нейтральный" маршрутизатор между
такой же стандарт безопасности, как и
Контроль Доступа
Всеми установками безопасности в WinRoute можно управлять через так называемые
правила политики трафика. Это обеспечивает эффективную защиту сети от внешних
атак, при этом обеспечивая легкий доступ ко всем службам, работающим на серверах в
пределах защищенной локальной сети (например, Web сервер, почтовый сервер, FTP
сервер и др.). Правила Коммуникации в политике трафика могут ограничивать доступ
локальных пользователей к определенным службам в Интернет.
Поддержание Протоколов (Инспекторы Протоколов)
Вам могут встретиться приложения, которые не поддерживают стандартные связи,
которые могут использовать несовместимые протоколы соединений, и т.д. Для решения
этой проблемы WinRoute включает так называемые инспекторы протоколов (protocol
inspectors), которые определяют необходимый приложению протокол и динамически
модифицируют работу брандмауэра, например, обеспечивая временный доступ к
определенному порту (при этом будет временно открываться требуемый серверу порт).
FTP в активном режиме, Real Audio или PPTP - вот лишь несколько примеров.
Конфигурация Сети
WinRout
каждой
станции
затраты
ошибки.
имеет встроенный сервер DHCP, который устанавливает параметры TCP/IP для
рабочей станции вашей локальной сети. Параметры для каждой рабочей
могут устанавливаться централизованно из одного места. Это уменьшает
времени, необходимые для конфигурации сети и минимизирует возможность
Модуль DNS форвардер обеспечивает легкую конфигурацию DNS и ускоряет ответы на
запросы DNS. Это простой тип кэширования имени сервера, при котором запросы
пересылаются другому серверу DNS. Ответы хранятся в кэш-памяти. Это значительно
повышает скорость ответов на частые запросы. В комбинации с сервером DHCP и
системными файлами узлов, DNS форвардер может использоваться как динамический
DNS сервер для локального домена.
Удаленное Администрирование
Все настройки выполняются в Администраторском Терминале (Kerio Administration
Console), это независимый администраторский терминал, используемый для
управлением всеми функциями сервера Kerio. Он может работать и на рабочей станции
с WinRoute, и на другом узле в пределах локальной сети или Интернет. Связь между
WinRoute и администраторским терминалом кодируется и защищена от перехвата или
несанкционированного использования.
Различные Операционные Системы в Пределах Локальной Сети
WinRoute работает со стандартным протоколом TCP/IP. С точки зрения рабочих станций
локальной сети, он действует как стандартный маршрутизатор, при этом не требуется
никаких специальных приложений для клиентов. Следовательно, в локальной сети
может работать любая операционная система с TCP/IP, например, Windows, Unix/Linux,
Mac OS и др.
Примечание: WinRoute может работать только с установками протокола TCP/IP. Он не
влияет на работу других протоколов (т.е. IPX/SPX, NetBEUI, AppleTalk и др.).
Дополнительные Свойства
Фильтр Контента
WinRoute может отслеживать все коммуникации HTTP и FTP и блокировать объекты, не
отвечающие установленным критериям. Установки могут быть глобальными или
определяться отдельно для каждого пользователя. Скаченные объекты могут также
прозрачно проверяться внешними антивирусными приложениями.
Антивирусная проверка
WinRoute может выполнять антивирусную проверку передаваемых файлов. Для этого
доступны встроенный антивирус McAfee или внешние антивирусные программы
(например, NOD32, AVG и др.). Проверка на вирусы может применяться к протоколам
HTTP, FTP, SMTP и POP3.
Почтовые уведомления
WinRoute может отправлять пользователям почтовые уведомления, информируя их о
различных событиях. Эта функция облегчает работу администратора, т.к. не
приходится часто соединяться с WinRoute и полностью его проверять. Все
отправленные уведомления сохраняются в регистрационный файл.
Пользовательские квоты
Для каждого пользователя можно установить ограничения по передаче данных. Эти
ограничения можно устанавливать на количество скачиваемых/выгружаемых данных в
день/месяц. Эти ограничения называются квотами. Если квота превышена, то для
соответствующего пользователя будет блокироваться соединение с Интернет.
Пользователю может быть отправлено почтовое уведомление.
Блокировка сетей P2P
WinRoute может определять и блокировать так называемые "равноправные" сети (Peerto-Peer networks) (это сети, применяемые для общего использования файлов,
например, Kazaa, DirectConnect и др.)
Статистика
WinRoute позволяет просматривать подробную статистику интерфейса брандмауэра
(текущая скорость передачи данных, количество переданной информации за
определенный период) и отдельных пользователей (количество переданной
информации, используемые службы, категории посещаемых сайтов и др.).
Личный VPN сервер и клиент
WinRoute также решает проблему личного VPN, который можно использовать в режимах
сервер-сервер и клиент-сервер. VPN может с обоих сторон использовать NAT (даже
множественный). Программа Kerio VPN Client включена в пакет WinRoute и может
использоваться для создания клиент-сервер VPN (соединение удаленных клиентов с
локальной сетью).
Конфликтующие Программы
Узел WinRoute можно использовать как рабочую станцию, хотя это не рекомендуется,
т.к. работа пользователя может негативно повлиять на функциональность
операционной системы и на работу WinRoute.
WinRoute может работать с большинством распространенных приложений. Однако, есть
определенные приложения, которые не следует использовать на том же узле, что и
WinRoute, т.к. это может привести к конфликтам.
Коллизии низкоуровневых драйверов
WinRoute может конфликтовать с приложениями, использующими низкоуровневые
драйверы таким же или сходным способом. Типичными являются следующие
приложения:
Приложения для разделения Интернет соединения - например, Microsoft Internet
Connection Sharing, Microsoft Proxy Server, Microsoft Proxy Client и др.
Сетевые брандмауэры - т.е. Microsoft ISA Server, CheckPoint Firewall-1, WinProxy
(by Ositis), Sygate Office Network и Sygate Home Network и др.
Персональные брандмауэры - т.е. Kerio Personal Firewall, Internet Connection
Firewall (included in Windows XP), Zone Alarm, Sygate Personal Firewall, Norton
Personal Firewall и др.
Программы для создания частных виртуальных сетей (VPN) - т.е. приложения,
разработанные следующими компаниями: CheckPoint, Cisco Systems, Nortel и др.
Существует много подобных приложений, и их свойства различаются у разных
производителей.
В надлежащих условиях рекомендуется использовать VPN, включенный в
WinRoute (подробную информацию см. в главе Kerio VPN). Иначе мы
рекомендуем протестировать конкретный сервер VPN или VPN клиент на
совместимость с пробной версией WinRoute или связаться с нашей службой
технической поддержки (http://www.kerio.com/).
Примечание:
WinRoute
поддерживает
использование
VPN,
операционную систему Windows (на базе протокола Microsoft PPTP).
включенного
в
Конфликты порта
Приложения, использующие те же порты, что и брандмауэр, не могут работать на одном
узле с WinRoute (или нужно изменить конфигурацию портов). При задействовании всех
служб, WinRoute использует следующие порты:
53/UDP — DNS Форвардер
67/UDP — сервер DHCP
1900/UDP — Служба поиска SSDP
2869/TCP — Служба узла UPnP
Две упомянутые выше службы относятся к поддержке UPnP (см. главу Универсальные
модули Plug-and-Play (UPnP))
3128/TCP — HTTP прокси сервер (см. главу Прокси сервер)
44333/TCP+UDP — трафик между Администраторским Терминалом
Брандмауэром WinRoute. Этот сервис остановить нельзя.
Kerio
и
Следующие службы по умолчанию используют указанные порты. Для этих служб порты
можно изменять.
3128/TCP — HTTP прокси сервер (см. главу Прокси сервер)
4080/TCP — интерфейс web администрирования (см. главу Web Интерфейс и
Аутентификация Пользователя).
4081/TCP — безопасная (SSL-кодированная) версия
интерфейса web
администрирования (см. главу Web Интерфейс и Аутентификация Пользователя).
4090/TCP+UDP — личный сервер VPN (подробнее см. главу Kerio VPN).
Антивирусные приложения
Если на узле WinRoute работает антивирусное приложение, способное сканировать
файлы на диске, следует отменить проверку кэшированных файлов HTTP (см. главу
кэширование HTTP, обычно это кэш-субдиректория под директорией, где установлен
WinRoute) и субдиректории tmp (используемой для сканирования объектов HTTP и FTP).
Если антивирус используется вручную, исключать эти файлы не обязательно, но
прежде чем запускать антивирус, нужно выключить Брандмауэр WinRoute (что не
всегда желательно).
Примечание: если WinRoute использует антивирус для проверки объектов,
загружаемых через протоколы HTTP или FTP (см. главу Проверка на Вирусы), кэшдиректорию можно исключить без всяких опасений - файлы в этой директории уже
проверялись антивирусом.
Установка
Системные Требования
Минимальные требования для узла, на котором может быть установлен WinRoute:
CPU Intel Pentium II или совместимый; 300 МГц
128 Мб RAM
2 сетевых интерфейса
50 Мб свободного пространства на диске для установки
Наличие свободной памяти для регистраций (зависит от трафика и выбранного
уровня регистрации)
Продукт поддерживает слудующие операционные системы:
Windows 2000
Windows XP
Windows Server 2003
Примечание: для всех поддерживаемых операционных систем должен быть установлен
компонент Клиент Сетей Microsoft, иначе WinRoute не будет доступен как сервис, и
аутентификация NTLM не будет работать. Данный компонент устанавливается
автоматически для всех поддерживаемых операционных систем.
Что нужно сделать, прежде чем начинать установку
Устанавливайте WinRoute на компьютер, который используется как шлюз, связанный с
локальной сетью и Интернет. Этот компьютер должен иметь по меньшей мере один
интерфейс для связи с локальной сетью ((Ethernet, TokenRing и др.), и по меньшей
мере один интерфейс для связи с Интернет. В качестве интерфейса для связи с
Интернет, вы можете использовать сетевой адаптер (Ethernet, WaveLAN, др.) или модем
(аналоговый, ISDN и т.д.).
Прежде чем начинать установку WinRoute, мы рекомендуем проверить следующее:
Должно быть верно установлено время в операционной системе (для
своевременного выполнения функций, обновлений антивирусных программ и
т.д.).
Должно быть установлено последнее доступное обновление Microsoft для
повышения безопасности.
Для всех доступных сетевых адаптеров должны быть установлены параметры
TCP/IP.
Все сетевые соединения (с локальной сетью и Интернет) должны исправно
работать. Для тестирования времени, необходимого для соединения, можно
воспользоваться командой ping.
Эти проверки и предустановочные тесты помогают избежать дальнейших трудностей и
проблем.
Примечание: базовая установка всех поддерживаемых операционных систем включает
все требуемые компоненты для нормальной работы WinRoute.
Установка и Руководство по Базовым Настройкам
После запуска программы установки (т.е. kerio-kwf-mcafee-6.0.0-win.exe), появятся
инструкции, помогающие произвести базовые настройки параметров брандмауэра.
Вам придется выбрать тип установки - Полную (Full) или Пользовательскую (Custom).
Пользовательская установка позволяет выбрать устанавливаемые компоненты WinRoute
(см. главу Компоненты WinRoute).
Брандмауэр WinRoute (WinRoute Firewall Engine) - ядро приложения
Монитор WinRoute (WinRoute Engine Monitor) - инструмент контроля для
Брандмауэра WinRoute, позволяющий отслеживать его статус (иконка в области
задач).
Поддержка VPN (VPN Support ) - личный VPN, разработанный Kerio Technologies.
Администраторский
Терминал
Kerio
(Kerio
Administration
Console)
Администраторский Терминал (универсальный терминал для всех приложений
Kerio Technologies).
Детальные описания компонентов WinRoute приведены в главе Компоненты WinRoute.
Детальное описание личного VPN приведены в главе Kerio VPN.
Примечание: при выборе Пользовательской установки, установка будет осуществляться
следующим образом:
все отмеченные компоненты будут установлены или обновлены
все неотмеченные компоненты не будут установлены или будут удалены
При проведении обновления, следует отметить все компоненты, которые должны
остаться.
Выполнив эти шаги, можно запускать процесс установки. Все файлы будут
копироваться на жесткий диск, и будут произведены все необходимые настройки
системы. При первой регистрации будет автоматически запущен Мастер (см. гласу
Мастер Настроек).
После завершения установки, перезагрузите компьютер. При этом в ядро операционной
системы будет установлен низкоуровневый драйвер WinRoute. После перезагрузки
автоматически запустится Брандмауэр WinRoute. Он работает как сервисная программа.
Монитор WinRoute будет запущен после регистрации пользователя. Эта программа
позволяет отслеживать статус Брандмауэра, и используется для его запуска и
отключения. Иконка Монитора WinRoute отображается в области задач.
Конфликтующие Приложения и Системные Сервисные Программы
Программа установки WinRoute определяет приложения и системные сервисные
программы, которые могут конфликтовать с Брандмауэром WinRoute.
1. . Kerio WinRoute Pro и Kerio WinRoute Lite
WinRoute более не совместим с версиями 4.х. Если при установке
обнаруживается WinRoute Pro 4.x или WinRoute Lite 4.x, появится следующее
сообщение об ошибке:
Щелкните ОК, чтобы отменить установку. Удалите WinRoute Pro/Lite с помощью
опции Установка/Удаление Программ на Панели Управления, перезагрузите
систему и запустите установку заново.
Примечание: если вы хотите использовать в Kerio WinRoute Firewall 6.x
конфигурацию WinRoute Pro (например, если много учетных записей
пользователей), проведите обновление брандмауэра до версии 5.х, а затем
проведите обновление от Kerio WinRoute Firewall 5.x до Kerio WinRoute Firewall
6.x (более подробно см. в главе Обновление и Удаление).
2. Разделение Интернет Соединения (Internet Connection Sharing) и Интернет
Брандмауэр (Internet Connection Firewall)
Если на каком-либо интерфейсе узла WinRoute работает Разделение Интернет
Соединения или Интернет Брандмауэр (Windows XP или 2003 Сервер), появится
следующее предупреждение:
Не продолжайте установку, если обе службы не отключены
интерфейсах. Иначе WinRoute не будет корректно работать.
на
всех
3. Универсальный Plug and Play Device Host и Служба Поиска SSDP
Эти две службы поддерживают протокол UPnP (Universal Plug and Play) в операционных
системах Windows XP and 2003 Сервер. Обе эти службы следует отключить, если вы
собираетесь использовать UPnP в WinRoute (см. главу Универсальный Plug-and-Play
(UPnP))
Если будет обнаружен Universal Plug and Play Device Host, появится следующий
диалог:
Щелкните "Да" (Yes), чтобы остановить службу Universal Plug and Play Device
Host и отключить автоматический запуск этой службы при загрузке системы.
Выбериет "Нет" (No), чтобы сохранить существующий статус и параметры
службы.
Если будет обнаружена Служба Поиска SSDP, появится следующий диалог:
Действие кнопок соответствует описанным выше.
Примечание: более подробно о UPnP вы можете прочесть в главе Универсальный
Plug-and-Play (UPnP).
Компоненты WinRoute
Kerio WinRoute состоит из трех следующих компонентов:
WinRoute Брандмауэр
Ядро программы, которое выполняет все службы и функции. Оно работает как
сервисная программа операционной системы (сервис называется Kerio WinRoute; по
умолчанию он автоматически работает в системе).
Монитор WinRoute
Это приложение позволяет отслеживать работу приложений WinRoute. Вы можете
включать и выключать сервис, редактировать предпочтения запуска или открыть
администраторский терминал. Более подробную информацию см. в главе Монитор
WinRoute.
Примечание: WinRoute Брандмауэр не зависит от Монитора WinRoute. Это значит,
Брандмауэр может работать, даже если иконка не отображается на панели
инструментов.
Администраторский терминал Kerio.
Это универсальный терминал для локального или удаленного администрирования
нескольких серверных продуктов Kerio. Для успешного соединения с приложением
необходим модуль с соответствующим интерфейсом. При установке WinRoute
администраторский терминал Kerio устанавливается совместно с необходимым модулем.
Чтобы узнать, как использовать Администраторский Терминал для администрирования,
обращайтесь к документу Администраторский Терминал Kerio - Помощь.
Монитор WinRoute
Монитор WinRoute (WinRoute Engine Monitor) использоуется для контроля статуса
работы WinRoute. Иконка этого компонента отображается в области задач.
Если WinRoute отключен, на иконке появится красный круг, перечеркнутый белой
линией. При разных обстоятельствах, чтобы запустить или остановить WinRoute может
потребоваться до нескольких секунд. При этом иконка становится серой и неактивной она не будет реагировать на щелчки мышью.
Двойной щелчок левой кнопкой мыши на иконке откроет Администраторский Терминал
Kerio (см. ниже). Щелчок правой кнопкой мыши на иконке откроет меню со
следующими функциями:
Предпочтения Запуска
Эти опции позволяют установить автоматический запуск WinRoute Брандмауэра и/или
Монитора WinRoute при запуске операционной системы. По умолчанию (после
инсталляции) обе функции включены.
Администрирование
Эта опция открывает Администраторский Терминал Kerio. Это приложение можно
запустить и двойным щелчком на иконке Монитор WinRoute.
Запустить/Остановить WinRoute
Переключает режимы "Старт" и "Стоп". Текст отображает текущий статус.
Отключение Монитора WinRoute
Эта опция отключает Монитор WinRoute. Это не повлияет на статус Брандмауэра
WinRoute (появится соответствующее сообщение).
Обновление и Удаление
В этом разделе приводится описание процедуры обновления WinRoute для версий 5.х и
6.х (т.е. модернизация от версии 5.1.10 до версии 6.0.0 или от версии 6.0.0 до версии
6.0.1). Прямая модернизация от версий 4.х или более ранних до версий 6.х не
возможна.
Просто запустите установку новой версии, чтобы обновить WinRoute (т.е. скачайте
новый выпуск с web страницы Kerio - http://www.kerio.com/).
Прежде чем начинать установку или удаление программы, нужно закрыть все окна
Администраторского
Терминала.
Все
компоненты
WinRoute
будут
закрыты
автоматически.
Программа установки определяет директорию предыдущей версии и обновляет ее,
автоматически заменяя соответствующие файлы на новые. Все регистрационные записи
и данные пользователей будут сохранены.
Предупреждение:
директорию!
мы
настоятельно
рекомендуем
не
изменять
установочную
Чтобы удалить WinRoute, остановите работу всех трех компонентов WinRoute. Процесс
удаления можно запустить с Панели Управления, опция Установка/Удаление Программ.
Будут удалены все файлы под директорией WinRoute (по умолчанию это C:\Program
Files\Kerio\WinRoute Firewall).
Модернизация от WinRoute Pro 4.x
Чтобы импортировать конфигурацию, используемую в WinRoute Pro 4.х, в Kerio
WinRoute Firewall 6.x, выполните следующие шаги:
1. Обновите WinRoute Pro 4.x до Kerio WinRoute Firewall 5.x. Версия 5.х включает
инструменты для начальной конфигурации, способные прочесть и перевести
конфигурацию из WinRoute Pro 4.x.
2. Обновите версию 5.х до версии 6.х (см. выше).
Примечание: этот метод модернизации не рекомендуется применять. Используйте его
только в случае необходимости (т.е. если нужно импортировать большое количество
пользователей). Параметры конфигурации WinRoute Pro 4.x критически отличаются, и
лишь некоторые параметры можно импортировать. Последующая работа по проверке и
исправлению ошибок может перевесить преимущества новой версии.
Поиск Новых Обновлений
WinRoute позволяет автоматически отслеживать появление новых версий продукта на
web сайте Kerio Technologies. При обнаружении новой версии, она будет скачена, и
будет произведено автоматическое обновление.
Подробную информацию см. в главе Проверка Обновлений.
Мастер Настроек
С помощью этого Мастера вы можете определить все базовые параметры WinRoute. Он
запускается автоматически программой установки.
Примечание: в любой языковой версии Мастер доступен только на английском языке.
Пароль учетной записи администратора
Для безопасности брандмауэра важно определить
использоуйте
стандартный
(пустой)
пароль,
несанкционированный доступ к настройкам WinRoute.
пароль
иначе
администратора. Не
будет
возможен
В окне диалога для установки учетной записи администратора определите Пароль
(Password )и подтвердите его в поле Подтверждение Пароля (Confirm Password). Имя
пользователя администратора (по умолчанию используется имя Admin) можно
редактировать в поле Имя пользователя (Username).
Примечание: если WinRoute модернизирован от WinRoute Pro 4.x, пропустите этот шаг и
импортируйте учетную запись администратора из WinRoute Pro 4.x (см. ниже).
Удаленный Доступ
Сразу после первого запуска Брандмауэра WinRoute, весь сетевой трафик будет
блокирован (нужный трафик должен быть разрешен правилами трафика - см. главу
Политика Трафика). Если WinRoute был установлен удаленно (т.е. с использованием
терминального доступа), связь с удаленным клиентом тоже будет сразу прервана
(WinRoute нужно настроить локально).
На втором шаге в Мастере настроек укажите IP адрес узла, с которого брандмауэр
будет удаленно контролироваться (т.е. с использованием терминального сервиса). Это
позволит осуществлять удаленное администрирование и удаление WinRoute. После
этого WinRoute активизирует весь трафик между брандмауэром и удаленным узлом.
Примечание: если вы устанавливали WinRoute локально, пропустите этот шаг.
Разрешить удаленный доступ.
Эта опция разрешает полный доступ к компьютеру WinRoute с выбранного IP адреса.
Удаленный IP адрес.
IP адрес компьютера, с которого вы будете соединяться (т.е. терминальный сервис
клиент). В это поле нужно внести IP адрес. Имя домена не принимается.
Примечание: после удаленной настройки WinRoute правило, позволяющее удаленный
доступ, будет удалено.
Перезагрузка операционной системы
После успешного завершения установки, нужно перезагрузить операционную систему,
чтобы задействовать низкоуровненвый драйвер WinRoute (wrdrv.sys).
После перезагрузки, сервис WinRoute Брандмауэр и Монитор WinRoute будут запущены
автоматически.
После первого запуска Брандмауэра WinRoute (сразу после установки), появится
вопрос, нужно ли открыть Администраторский Терминал. Это рекомендуется сделать,
т.к. необходимо произвести по крайней мере базовые настройки терминала (см. главу
Мастер Сетевых Правил), иначе весь сетевой трафик узла WinRoute будет блокирован.
Администрирование WinRoute
Содержание
Диалоговое Окно Администрирования
Посмотреть Установки
Все продукты Kerio, включая WinRoute, администрируются через Администраторский
Терминал Kerio(Kerio Administration Console). Эта программа открывает доступ к
Брандмауэру WinRoute локально (с узла WinRoute) или удаленно (с другого узла).
Трафик между Администраторским Терминалом и Брандмауэром WinRoute кодируется.
Это защищает его от перехвата и несанкционированного использования.
Администраторский Терминал устанавливается вместе с WinRoute (см. главы Установка
и Компоненты WinRoute). Чтобы посмотреть, как это работает, обратитесь к документу
Администраторский Терминал Kerio - Помощь.
В следующих главах данного руководства описаны отдельные разделы диалогового
окна администрирования WinRoute, которое открывается при входе в WinRoute
Брандмауэр (WinRoute Firewall Engine).
Примечание: при первом входе в WinRoute после успешной установки программы,
запускается Мастер правил трафика, позволяющий произвести начальные настройки
WinRoute. Детальные описания этого Мастера даны в главе Мастер Сетевых Правил.
Диалоговое Окно Администрирования
Главное диалоговое окно администрирования WinRoute ("окно администрирования")
можно открыть после успешной регистрации в Брандмауэр WinRoute через
Администраторский Терминал. Это окно состоит из двух разделов:
В левой колонке представлен структурированный список (дерево) разделов окна
администрирования. Отдельные пункты (разделы) и подразделы можно
открывать и скрывать щелчком. При закрытии Администраторского терминала
текущий статус дерева сохраняется для следующих посещений.
В правой секции главного окна показано содержание разделов, выделенных в
левой колонке (список подразделов, содержащихся в выделенном разделе).
Главное меню окна администрирования
Главное меню предлагает следующие опции:
Файл
Повторное соединение (Reconnect) - повторное соединение с Брандмауэром
WinRoute после обрыва соединения (вызванного, например, перезапуском
Брандмауэра или ошибками в сети). В целях безопасности для повторного
соединения требуется ввести имя пользователя и пароль.
Примечание:
Администраторский
терминал
автоматически
определяет
обрыв
соединения. Обрывы обычно обнаруживаются во время загрузки/выгрузки данных с
сервера/на сервер (т.е. при нажатии кнопки Применить (Apply), или при переключении
между разделами Администраторского терминала). В таких случаях автоматически
появится диалог аутентификации и сообщение об ошибке.
Новое соединение (New Connection) - эта опция может быть полезной для
администрирования нескольких приложений сервера (например, множественные
серверы WinRoute). Опция "Новое соединение" открывает главное диалоговое
окно Администраторского терминала. Это окно содержит меню для возможных
соединений и опции, позволяющие установить новое соединение (подробнее см.
в документе Администраторский Терминал Kerio - Помощь).
Опция "Новое Соединение" открывает тот же диалог, что и Администраторский
Терминал из меню Старт.
Выход (Quit) - завершает сеанс (эта опция обеспечивает выход пользователя и
закрывает окно администрирования). Сеанс можно закрыть и щелкнув на
крестике в верхнем правом углу окна, или нажав Alt+F4.
Помощь
Руководство Администратора (Administrator's Guide) - эта опция открывает
руководство администратора в формате HTML Help. Информацию относительно
файлов помощи можно получить в документе Администраторский Терминал Kerio
- Помощь.
О программе (About) - на этой странице содержится информация о версии
текущего приложения (в данном случае модуля администрирования WinRoute),
ссылки на сайт нашей компании и др.
Строка состояния
В нижней части окна администрирования
отображается следующая информация:
находится
строка
состояния,
где
Открытый раздел окна администрирования (выделенный в левой колонке). Это
вспомогательная информация, она может быть полезна, если какая-то часть
дерева скрыта (напрмер, при низком разрешении экрана).
Имя или IP адрес сервера и порт приложения сервера (WinRoute использует порт
44333).
Имя пользователя, соединение с которым установлено в данное время.
Текущий статус Администраторского Терминала: Готовность (Ready) (ожидание
ответа пользователя), Загрузка (Loading) (загрузка данных с сервера) или
Сохранение (Saving) (сохранение изменений на сервер).
Посмотреть Настройки
Многие разделы Администраторского Терминала оформлены в виде таблицы, где
каждый ряд представляет отдельную запись (например, детальную информацию о
пользователе, информацию о интерфейсе и др.), а колонки содержат данные для этих
записей (например, имя сервера, адрес MAC, IP адрес и др.).
Администраторы WinRoute могут определять - по желанию - способ отображения
информации в разделах. Щелчок правой кнопкой мыши на любом разделе в списке
откроет контекстное меню. Оно содержит пункт Изменить Колонки (Modify Columns).
Этот пункт открывает диалоговое окно, где пользователь может выбрать, какие
колонки будут отображаться, а какие - нет.
Это окно предлагает список всех доступных колонок. Отмечайте пункты слева, чтобы
включить/выключить отображение соответствующей колонки. Можно также щелкнуть
на кнопке Показать (Show), чтобы отображались все колонки. Щелчок на кнопке
Установки по Умолчанию (Default) восстанавливает установки по умолчанию (по
умолчанию отображаются только те колонки, где приведена наиболее важная
информация).
Кнопки со стрелками позволяют передвинуть выделенную колонку вверх или вниз по
списку. Это позволяет определить порядок отображения колонок.
Порядок отображения колонок можно изменять и в окне. Щелкните левой кнопкой
мыши на имени колонки и, удерживая кнопку нажатой, перемещайте колонку в нужное
положение.
Примечание: ширину отдельных колонок можно изменять, перемещая разделительные
линии между названиями колонок.
Настройки интерфейсов и сетевых служб
Содержание
Интерфейсы
Исправление связи
DNS Форваврдер
DHCP-сервер
Прокси-сервер
HHTTP-кэш
Интерфейсы
WinRoute работает в качестве маршрутизатора для всех сетевых интерфейсов
WinRoute, установленных в системе. Список этих интерфейсов находится в разделе
Configuration / Interface консоли WinRoute Administration Console.
Интерфейс
Это имя, используемое для идентификации интерфейса в WinRoute. Для легкого
доступа, желательно, чтобы оно было однозначным, например Интернет для интерфеса
соединения с Интернет. Мы не рекомендуем вам использовать одинаковаые имена, так
как они могут вызвать проблемы в определении политики трафика или составления
таблицы маршрутизации.
Имя может быть отредактировано позднее (смотри ниже), без оказания влияния на
функциональные возможности WinRoute.
Иконка, расположенная слева от имени, представляет тип интерфейса (сетевой
адаптер, dial-up соединение, спутниковое соединение, VPN-сервер, VPN-tunnel).
Примечание: До тех пор, пока имя не будет введено вручную, она будет отображать
имя адаптера, назначенного операционной системой (смотри Ввод имени адаптера).
IP-адрес и маска
IP-адрес и маска подсети этого интерфейса.
Имя адаптера
Имя адаптера (например, “LAN connection 2”). Это имя дается для ссылки.
Данные адаптера
Строка идентификатора адаптера, возвращенная драйвером устройств.
ID-идентификатор
Уникальное имя адаптера в операционной системе (смотри, также главу Backup and
Import of Configuration).
MAC
Аппаратный (MAC) адрес соответствующего сетевого адаптера.
Для удаления или изменения свойств выбранного интерфейса, используйте кнопки,
расположенные внизу интерфейса. Если никакой интерфейс не выбран или выбранный
интерфейс не поддерживает определенные функции, то соответствующие кнопки не
будут активными.
Добавить
Добавляет новый dial-up интерфейс или VPN-канал (смотри ниже).
При добавлении
нового
сетевого
адаптера,
необходимо
устанавливать
и
конфигурировать его в операционной системе первым, для того чтобы WinRoute
обнаружил его автоматически.
Редактирование
Отображает
интерфейса.
подробную
информацию
и
позволяет
редактировать
параметры
Удаление
Удаляет выбранный интерфейс из WinRoute. Это может быть сделано при следующих
условиях:
сбой dial-up
сетевой адаптер не активен, либо не присутствует физически
WinRoute не позволяет удалять активную сеть или dial-up адаптер.
Примечание:
1. Записи больше не существующих адаптеров (которые были удалены) не влияют
на функционирование WinRoute — подобные адаптеры рассматриваются как
неактивные (как в случае со сбоем dial-up).
2. После удаления адаптера, ко всем соответствующим пунктам правил трафика,
где использовался интерфейс, автоматически применяются нулевые значения.
Этои правила будут удалены, обеспечив безопасность политики трафика (для
более полной информации, смотри главу Definition of Custom Traffic Rules).
Связь и разъединение
Вы можете использовать Web-интерфейс WinRoute (смотри главу Web Interface and
User Authentication) для связи или разъединения с линией. При выборе сетевого
адаптера, эти кнопки неактивны.
Обновление
С помощью этой кнопки вы можете обновить список интерфейсов.
Примечание:
интерфейса.
До
128 IP-адресов,
может
использоваться
для
любого
сетевого
Дополнительные интерфейсы
Вдобавок к сетевым адаптерам, в разделе Интерфейсы вы найдете еще два:
Dial-In
Этот интерфейс представляет сервер службы RAS (dial-up соединение) хоста WinRoute.
Интерфейс может использоваться для задания правил трафика (смотри главу Traffic
Policy) для RAS-приложений, соединенных с этим сервером.
Интерфейс Dial-In не может быть конфигурирован или удален.
Примечание:
1. При использовании двух серверов: RAS и WinRoute, RAS-сервер должен быть
сконфигурирован так, чтобы он присваивал IP-адреса приложений из подсети,
не используемой в каком-либо сегменте локальной сети, в противном случае,
стандартная IP-маршрутизация не будет работать соответствующим образом.
2. WinRoute DHCP-сервер может использоваться для присвоения IP-адресов RASприложениям (смотри главу DHCP server).
VPN-сервер
Данный интерфейс представляет сервер, обеспечивающий соединение для собственных
VPN-приложений Kerio Technologies. Для редактирования настроек и параметров VPNсервера, дважды щелкните по интерфейсу или по Edit. VPN-сервер не может быть
удален.
Для более полной информации о решениях VPN в WinRoute смотри главу Kerio VPN.
Добавление интерфейсов
Для того чтобы добавить новый интерфейс, dial-up или VPN tunnel (то есть серверсерверVPN-соединение), щелкните кнопку Add.
Следующий текст описывает только новые dial-up соединения. Указания по
добавлению VPN tunnel даны в главе Interconnection of two private networks via the
Internet (VPN tunnel).
Связь интерфейса...
Выберите Windows RAS-соединение, которое вы используете для соединения с ISP.
Примечания:
1. WinRoute ищет соединения только в системе “phonebook”. При создании нового
соединения WinRoute необходимо установить так, чтобы dial-up соединения были
возможны для всех пользователей, в противном случае операционная система
сохраняет соответствующее dial-up соединение в профиле создавшего его
пользователя и WinRoute не будет способен найти соединение.
2. Мы рекомендуем протестировать любое создаваемое вами dial-up соединение,
перед установкой WinRoute.
Имя интерфейса
Уникальное имя, которое идентифицирует линию связи в WinRoute.
В разделе Dialing Settings, вы можете определить параметры связи. По умолчанию
устанавливается ручной набор.
RAS Entry
Ввод Windows Dial-up соединения, которое было выбрано
identification. Имя RAS отображается с информационной целью.
в
разделе
Interface
Использование регистрационных данных из RAS Entry
Опция применяется для использования регистрационных данных, сохраненных в
соответствующей конфигурации RAS Entry для аутентификации удаленного сервера.
Использование следующих регистрационных данных
Используйте Username и Password для ввода регистрационных данных, которые будут
использоваться для аутентификации на удаленном сервере. Эта опция может быть
полезна, например, когда по какой-либо причине, нежелательно сохранять
регистрационные данные в операционной системе, когда данные могут быть изменены
удаленно (через Administration Console) или в случае решения задач.
Соединение
Тип соединения, используемый для связи:
Ручной — связь может быть установлена только вручную, либо с помощью Kerio
Administration Console, либо WinRoute Web-интерфейса (смотри главу Web
Interface and User Authentication).
По требованию — связь будет устанавливаться всякий раз, когда бы хост сети
LAN не пытался связаться с Интернет (входной пакет). Для более полной
информации о WinRoute и конфигурирования системы связи по требованию,
смотри главу Demand Dial.
Постоянный — связь будет установлена сразу после запуска службы WinRoute
Firewall Engine и будет находиться в активном состоянии (и будет возобновлена в
случае сбоя).
Custom — здесь вы можете установить тип соединения: постоянный, по
требованию, либо отсутствие соединения вообще.
В окне далога вы можете задать период времени для каждого типа соединения.
Щелкните кнопку Edit для того чтобы открыть этот диалог. Для более полной
информации о временном диапазоне, смотри главу Time Ranges.
Как работает задаваемый пользователем тип соединения:
o
o
Опция Keep the line disconnected выполняется в первую очередь. В
течение этого периода соединения не будет (либо оно будет сброшено
автоматически).
Опция Keep the line connected работает во вторую очередь. В течение
этого времени будет сохраняться соединение.
o
Опция On demand dial enabled имеет самый низкий приоритет. Если эта
опция выбрана, то соединение по требованию будет разрешено всегда,
если оно не противоречит временным диапазонам других опций.
Опции
Дополнительные параметры для типов соединения: Ручного, По требованию, и Custom.
В случае постоянного соединения эти опции бесполезны (WinRoute держит постоянное
соединение).
Разъединение при простое
Определяет период времени в течение которого через интерфейс не поступает никаких
данных. При превышении этого диапазона, соединение автоматически будет прервано.
С каждым исходящим и входящим пакетом, таймер пассивности устанавливается на
ноль.
К сожалению, не существует оптимальной величины периода простоя. Если он очень
короткий, соединение устанавливается слишком часто, если слишком длинный,
соединение продолжается слишком долго. И то и другое увеличивает расходы на
Интернет.
Повторный набор
Если при наборе линия занята, WinRoute будет набирать номер повторно, до тех пор,
пока не соединится или не достигнет предела количества попыток, определенного
пользователем. Если произойдет сбой при попытке соединения, то требование набора
будет игнорировано. Поэтому, попытка соединения больше не будет повторена
автоматически.
Повторное соединение при сбое
При обнаружении
соединения.
сбоя
на
линии,
WinRoute
автоматически
повторит
попытку
Дополнительные настройки соединения
WinRoute позволяет запускать приложения или команды в следующих случаях: Перед
набором, После набора, Перед разъединением и/или После разъединения.
Путь к исполняемым файлам должен быть закрытым. Если путь включает промежутки,
они должны быть заключены в кавычки, в противном случае, промежутки могут быть
приняты за параметры командного файла. Если путь к файлу ограничен кавычками, то
текст, следующий за закрывающими
параметры командного файла.
кавычками,
также
будет
приниматься
за
Внимание: Если WinRoute запущен в качестве службы операционной системы, то
приложение будет исполнено в фоновом режиме.
Примечание: В случае выбора опций Перед набором и Перед разъединением, система
не ждет их завершения после запуска программы.
Редактирование параметров интерфейса
Для изменения параметров выбранного интерфеса, щелкните кнопку Edit. В случае RAS
dial-up, диалог свойств интерфейса будет идентичен диалогу добавления нового RAS
dial-up. В случае сетевого адаптера, может быть изменено только имя интерфейса.
Для VPN server и VPN tunnels, диалог настроек VPN server (смотри главу VPN Server
Configuration) или VPN tunnel (смотри главу Interconnection of two private networks via
the Internet (VPN tunnel)) будет доступен.
Исправление связи
WinRoute для надежности связи имеет функцию "исправления связи" (установление
вторичного
соединения).
Это
альтернативное
соединение
устанавливается
автоматически
при
обнаружении
обрыва
основного
Интернет
соединения.
Функционирование
основного
соединения
тестируется
отправкой
выбранным
компьютерам Эхо- Запросов ICMP (PING). Если WinRoute обнаруживает, что основное
соединение снова восстановилось, альтернативное соединение отключается, и
основное автоматически устанавливается.
В качестве альтернативного соединения может использоваться любой сетевой
интерфейс или удаленное соединение, существующее в WinRoute (см. главу Interfaces).
Нужно определить Правила трафика или блокировку соответствующих коммуникаций
через альтернативное соединение. Это значит, что сеть, соединенную с
альтернативным интерфейсом, нужно добавить в раздел "Адрес назначения" в
правилах для исходящего Интернет трафика через основное соединение.
Более подробная информация о правилах трафика приведена в главе Определение
Пользовательских Правил Трафика.
Пример: основное соединение, используемое для исходящего трафика, реализуется
через сетевой адаптер (обозначенный в WinRoute как Интернет). Для альтернативного
соединения будет использоваться интерфейс удаленного доступа. Мы хотим
заблокировать сервис Telnet в направлении от локальной сети в Интернет.
Для выполнения этих требований, нужно установить следующие правила. Для каждого
правила указываются два адреса назначения: сеть, связанная с интерфейсом Интернет
(главное соединение) и сеть, связанная с интерфейсом удаленного доступа
(альтернативное соединение).
Запретить Telnet (Forbid Telnet) - связь с Telnet в направлении от локальной сети
в Интернет будет запрещена.
NAT - передача IP адресов источника будет выполняться для соединений от
локальной сети в Интернет (общее Интернет соединение).
Трафик брандмауэра (Firewall traffic) - узлу WinRoute будет разрешено
соединение с Интернет (использовать NAT нет необходимости, т.к. узел имеет
свой собственный IP адрес).
Примечание:
1. Правила трафика должны быть установлены к моменту активизации Установок
Исправления Соединения (Connection Failover Setup) (см. ниже), иначе
соединение не будет корректно работать.
2. Используйте установленные по умолчанию опции для исходящего интерфейса в
правилах NAT, чтобы гарантировать, что IP адрес источника в пакетах, идущих
из локальной сети в Интернет, всегда указан корректно (т.е. IP адреса главного
или альтернативного интерфейса - в зависимости от того, какой из них
используется в данный момент).
Чтобы указать IP адрес для NAT, нужно определить два независимых правила - одно
для главного, и другое для альтернативного соединения.
Установки Исправления Соединения
Чтобы определить вторичное соединение, используйте вкладку "Исправление
соединения" (Connection failover) в Настройках/Интерфейсах (Configuration /
Interfaces).
Активизировать автоматическое исправление соединения (Enable automatic connection
failover)
Используйте эту опцию, чтобы активизировать/ отключить функцию исправления
соединения.
Текущее соединение (Current connection)
Эта опция информирует пользователя, какое соединение используется в данный
момент:
Основное (Primary) - основное соединение (в зеленом поле)
Вторичное (Secondary) - альтернативное (вторичное) соединение (в пурпурном
поле)
Примечание: текущее соединение в любой момент может переключиться. Чтобы видеть
текущий статус, щелкните кнопку Обновить (Refresh) (в нижней части вкладки
Исправление соединения)
Пробные узелы (Probe hosts)
В этом поле нужно указать IP адрес(а) по меньшей мере одного компьютера (или
маршрутизатора и т.д.). WinRoute будет тестировать доступность указанного IP адреса
(адресов) с регулярными интервалами. Если хоть один из тестируемых девайсов будет
доступен, основное соединение будет считаться работающим.
Примечание:
1. Исправление соединения активизируется, только если указан хоть один пробный
узел (WinRoute не может определять обрывы основного соединения, если не
указан хоть один пробный узел).
2. Пробные
узлы
должны
быть
представлены
постоянно
работающими
компьютерами или сетевыми девайсами (серверы, маршрутизаторы и др.).
Рабочие станции, которые работают лишь несколько часов в день, не могут быть
пробными узлами).
3. Пробные узлы не должны блокироваться Эхо-запросами ICMP (PING), т.к. такие
запросы используются для тестирования доступности этих узлов - иначе узлы
всегда будут считаться недоступными.
Основное соединение
Параметры основного Интернет соединения. Соединение должно быть определено
следующим образом:
сетевой интерфейс со шлюзом по умолчанию
удаленный доступ
Только интерфейсы и удаленный доступ, определенные на вкладке Интерфейсы,
доступны для введения в качестве Интерфейсов (см. главу Интерфейсы).
Установки по умолчанию (шлюз по умолчанию и соответствующий интерфейс)
определяются операционной системой после установки WinRoute, или при первом
включении опции <Активизировать автоматическое исправление соединений> (Enable
automatic connection failover). Это можно сделать и нажав кнопку Определить (Detect).
Если в операционной системе не определен никакой шлюз по умолчанию (т.е. когда
основное соединение реализуется через удаленный доступ, который в настоящее время
отключен), соединение не может быть определено автоматически - основное
соединение должно быть определено вручную.
Альтернативное соединение
Используйте этот раздел, чтобы установить параметры для альтернативного Интернет
соединения, которое будет установлено при обрыве основного соединения.
Альтернативное соединение можно определить как сетевой интерфейс со шлюзом по
умолчанию или как удаленный доступ (также как и основное соединение).
Примечание: можно использовать тот же адаптер, который используется для основного
соединения, но шлюз по умолчанию должен быть другой. Таким образом можно
гарантировать, что при обрыве основного соединения будет использоваться другой
маршрутизатор той же сети (подсети).
Использование удаленного доступа
При использовании удаленного доступа в качестве основного и/или альтернативного
соединения, следует учитывать следующие моменты:
1. Исправление соединений уместно использовать только при его реализации через
постоянное соединение (используя сетевой адаптер или постоянный удаленный
доступ). Если для основного соединения используется удаленный доступ,
устанавливаемый по необходимости (или вручную), после завершения каждого
сеанса связи будет автоматически устанавливаться альтернативное соединение.
2. Если удаленный доступ используется для альтернативного соединения, то не
важно, постоянный он или нет - WinRoute будет устанавливать и обрывать
соединение по необоходимости.
Однако, использование опции Обрывать при бездействии (Hang-up if idle) может
вызвать проблемы - когда альтернативное соединение будет автоматически
обрываться, WinRoute не будет устанавливать соединение снова (пока основное
соединение не восстановится и снова не оборвется).
Поэтому мы рекомендуем установить следующие параметры дозвона:
для основного соединения - постоянное соединение (persistent connection)
для альтернативного соединения - дозвон вручную (manual dialing)
DNS Форваврдер
В WinRoute можно использовать модуль DNS Форвардер (DNS Forwarder), позволяющий
упростить настройки узлов DNS в пределах локальной сети, а также ускоряющий
отверы на повторяющиеся DNS запросы. На локальных узлах DNS можно определить
следующим образом:
использовать IP адрес главного или вспомогательного сервера DNS. При этом
возникает риск медленных ответов DNS.
использовать сервер DNS в пределах локальной сети (при возможности). Сервер
DNS должен позволять доступ к Интернет, чтобы иметь возможность отвечать на
запросы, поступающие не из локальных доменов.
использовать DNS Форвардер WinRoute. DNS Форвардер можно использовать как
базовый сервер DNS для локального домена (см. ниже) или как форвардер для
существующего сервера.
В установках по умолчанию в WinRoute DNS Форвардер активизирован и настроен так,
что все DNS запросы пересылаются одним из DNS серверов, указанным в операционной
системе (обычно это DNS сервер, предлагаемый вашим ISP).
Активизировать пересылку DNS (Enable DNS forwarding)
Эта опция переключает режимы включен/выключен для DNS Форвардера (сервис
работает на порту 53 и использует протокол UDP). Если DNS Форвардер не
используется в конфигурации сети, его можно отключить. Если вы хотите использовать
на том же узле другой DNS сервер, DNS Форвардер должен быть отключен, иначе на
порту возникнет конфликт.
Пересылка DNS (DNS forwarding )
DNS Форвардер должен знать по меньшей мере один DNS сервер, куда пересылать
запросы. Эта опция определяет, как DNS Форвардер будет идентифицировать IP адерс
сервера:
Автоматически пересылать запросы DNS на другой сервер... (Forward DNS
queries to the server automatically...) — требуется функциональное Интернет
соединение. В конфигурации TCP/IP необходимо указать по меньшей мере один
DNS сервер (в Windows DNS серверы определяются для определенных
адаптеров, но эти настройки будут использоваться во всей операционной
системе).
DNS Форвардер может читать эти настройки и использовать те же серверы DNS.
Это имеет следующее преимущество - узлы локальной сети и узел WinRoute
будут использовать один и тот же сервер DNS.
Пересылать запросы DNS указанному DNS серверу (серверам) (Forward DNS
queries to the specified DNS server(s)) — запросы DNS будут пересылаться
указанному DNS серверу/серверам (если указан более чем один сервер, они
будут считаться как главный, вторичный и т.д.). Эту опцию следует
использовать, когда нужно отслеживать, куда пересылаются DNS запросы, или
если нужно создать более сложную конфигурацию.
Позволить кэширование для ускорения ответов на повторяющиеся запросы
(Enable cache for faster response of repeated queries)
Если эта опция включена, все ответы будут храниться в локальной кэш-памяти DNS
Форвардера. Ответы на повторяющиеся запросы заметно ускорятся (один запрос,
посылаемый разными клиентами, тоже считается повторяющимся запросом).
Физически кэш-память DNS хранится в RAM. Однако, все записи DNS также
сохраняются в файле DnsCache.cfg (см. главу
Резервные Копии и Импорт
Конфигурации). Это значит, что записи в кэш-памяти DNS сохраняются даже после
отключения Брандмауэра WinRoute или разъединения с ним.
Примечание:
1. Период времени, в течение которого регистрационные записи DNS хранятся в
кэш-памяти, определяется отдельно для каждой записи (обычно это 24 часа).
2. Использование DNS также ускоряет работу встроенного прокси сервера (см.
главу Прокси сервер).
Использовать пользовательскую пересылку (Use custom forwarding)
Эта опция определяет пользовательские установки для пересылки определенных
запросов DNS другим серверам DNS. Это может помочь, например, когда нужно
использовать локальный сервер DNS для локального домена (другие запросы DNS
будут пересылаться прямо в Интернет - это ускорит ответ).
Исползуйте кнопку Определить
пользовательских правил.
(Define),
чтобы
открыть
диалог
определения
DNS сервер можно определить для:
домена - запросы, требующие имя компьютеров, включенных в определенный
домен, будут пересылаться на этот DNS сервер (так называемые запросы "А").
подсети - запросы, требующие IP адрес определенного домена, будут
пересылаться на сервер DNS (реверсивный домен - запросы PTR).
Щелкните на кнопках Добавить (Add) или Правка (Edit), чтобы открыть диалог для
определения пользовательских правил DNS пересылки.
Используйте опцию "Имя DNS запроса" (Name DNS query), чтобы определить
правило для DNS запросов на имена компьютеров, включенных в определенный
домен (или несколько доменов).
Указание имени домена может содержать * (звездочка - может заменять любое
количество знаков) и/или ? (знак вопроса - может заменять отдельный знак).
Правило будет применяться ко всем доменам, соответствующим строке.
Пример: Имя домена может быть представлено строкой ?erio.c*. Это правило
будет применяться, например, к доменам kerio.com, cerio.cz, aerio.c, etc.
Используйте опцию "Реверсивный DNS запрос" (Reverse DNS query), чтобы
установить правило для DNS запросов на IP адреса в определенной подсети.
Подсеть определяется сетевым адресом и соответствующей маской (т.е..
192.168.1.0 / 255.255.255.0).
В поле "Тогда передать запрос DNS Серверу (серверам)" (Then forward query to
DNS Server(s)) укажите IP адрес(а) одного или нескольких DNS серверов, куда
будут пересылаться запросы. Отдельные записи отделяйте знаком точка с
запятой.
Если внесены несколько DNS серверов, они будут считаться как основной,
вторичный и т.д. Если не указано ни одного сервера, то запросы DNS,
отвечающие правилу, не будут пересылаться ни на какой DNS сервер - WinRoute
будет только сканировать локальный host file или таблицы DHCP сервера (см.
ниже).
Режим простого DNS (Simple DNS Resolution)
DNS Форвардер может использоваться как простой DNS сервер для одного из
локальных доменов. Это может выполняться благодаря следующим функциям:
"host file" (файл узла) — этот файл можно найти в любой операционной системе,
поддерживающей TCP/IP. Каждая строчка в этом файле включает IP адрес узла и
список соответствующих имен DNS. При получении DNS запроса, в первую
очередь проверяется этот файл, чтобы выяснить, содержится ли там нужное имя
или IP адрес. Если нет, то запрос пересылается на сервер DNS.
Если эта функция активирована, DNS Форвардер будет следовать тому же
правилу. Используйте кнопку "Правка", чтобы открыть специальный редактор,
где host file можно редактировать с использованием Администраторского
Терминала, даже если последний удаленно связан с WinRoute.
Таблица DHCP — если узлы локальной сети настроены с помощью сервера DHCP
в WinRoute (см. главу сервер DHCP ), то сервер DHCP будет знать, какой IP
адрес определен для каждого узла. После запуска системы узлы посылают
запрос для определения IP адреса, куда входит имя узла.
DNS Форвардер имеет доступ к таблицам DHCP и может выяснить, какой IP адрес
был назначен для определенного имени узла. Если потребовать сообщить
локальное имя узла, DNS Форвардер всегда будет сообщать текущий IP адрес.
... комбинировать имя... с доменом DNS (... combine the name ... with DNS
domain)
Введите в поле имя локального DNS домена.
Если узел посылает запрос на получение IP адреса, он использует только имя (он еще
не определил домен). DNS Форвардер должен знать имя локального домена, чтобы
отвечать на запросы, сообщая полные имена локального DNS домена (имена,
включенные в домен).
Следующий пример поможет лучше понять проблему:
Имя локального домена company. com. Узел, называемый john, настроен таким
образом, чтобы получать IP адрес у сервера DHCP. После запуска операционной
системы узел посылает на сервер DHCP запрос, содержащий информацию о своем
имени (john). Сервер DHCP ответит, сообщив адрес 192.168.1.56, и сохранит
информацию о присвоении узлу john IP адреса из таблицы.
Другой узел, который хочет начать коммуникации с данным узлом, посылает запрос на
имя john.company.com (узел john в домене company.com). Если имя локального домена
не будет известно DNS Форвардеру, то он перешлет запрос серверу DNS, т.к. не
распознает, что это имя с локального домена. Однако, т.к. DNS Форвардер знает имя
локального домена, имя company.com будет распознано, и узел john с соответствующим
IP адерсом будет найден в таблице DHCP.
Примечание: Если в DNS Форвардере указан локальный домен, локальные имена с
доменом или без него могут записываться в hosts файле.
DHCP-сервер
DHCP-протокол
(Dynamic
Host
Configuration
Protocol)
применяется
для
конфигурирования TCP/IP хостов внутри сети. DHCP-сервер выбирает подходящие
параметры конфигурирования (IP-адрес с соответствующей маской подсети и другими
вспомогательными параметрами, такими, как IP-адрес шлюза по умолчанию, адреса
DNS-серверов, имена доменов и т.д.) пользовательских станций.
DHCP-сервер назначает клиентские IP-адреса внутри заданного диапазона на
определенный период (lease time). IP-адрес может быть оставлен пользователю, для
этого необходимо выполнить запрос на продление периода до срока его истечения.
Если пользователь не запросил продления периода, то IP-адрес считается свободным и
может быть назначен другому пользователю.
Также, DHCP-серверу должно быть назначено так называемое резервирование —
определенные пользователи могут иметь свои IP-адреса в резерве. Адреса могут быть
зарезервированы для аппаратного адреса (MAC) или имени хоста. Эти пользователи
могут иметь фиксированные IP-адреса. Конфигурация адресов задается автоматически.
Использование DHCP приносит две главные выгоды. Первая: управление этим
протоколом намного легче, чем другими, так как все настройки могут быть сделаны на
сервере (нет необходимости конфигурирования индивидуальных рабочих станций).
Вторая: устранение многих конфликтов сети (то есть один IP-адрес может быть
назначен на одну рабочую станцию, и не более).
Конфигурация сервера DHCP
Для задания конфигурации DHCP-сервера в WinRoute, откройте Configuration / DHCP
Server. Здесь вы можете задать IP -диапазон, резервирование или вспомогательные
параметры, и просмотреть информацию о задействованных IP-адресах или статистиках
DHCP-сервера.
DHCP-сервер включается/выключается при помощи опций DHCP Server (расположенных
сверху). Конфигурации могут быть изменены даже если DHCP-сервер отключен.
Задание диапазона и резервирования
Для задания диапазона, включающего дополнительные параметры, а также
резервирования IP-адресов, используйте диалог Scopes. Этот раздел включает две
части — одну, для задания диапазона и вторую, для задания резервирования:
Подсети, в которых можно задать диапазоны и IP-адреса вы найдете в колонке Item.
Вы можете активировать и дезактивировать IP-подсеть, сделав соответствующие
отметки (вы можете временно отключить диапазоны и включить позже). Каждая
подсеть также включает список назначенных в ней резервирований и IP-адресов.
В разделе опций Default (первый пункт в таблице) вы можете установить параметры по
умолчанию DHCP-сервера.
Lease time
Период времени, в течение которого IP-адреса назначаются пользователям. По
истечении этого периода IP-адрес автоматически будет рассматриваться как свободный
(может быть назначен другому пользователю) только если он не был продлен
пользователем.
DNS-сервер
Вы можете задать любой DNS-сервер (или несколько DNS-серверов, через точку с
запятой). Мы рекомендуем использовать DNS Forwarder в качестве основного сервера
WinRoute (первого в списке) — IP-адрес хоста WinRoute. DNS Forwarder может работать
совместно с DHCP-сервером (смотри главу DNS Forwarder ) так , что он всегда будет
использовать правильные IP-адреса для ответов на запросы локального хоста.
WINS-сервер
IP-адрес WINS-сервера.
Домен
Локальный домен. Не устанавливайте этот параметр если локальный домен отсутствует.
Дополнительные
Щелкните кнопку Advanced для того чтобы открыть диалог, включающий список всех
дополнительных параметров, поддерживаемых протокол DHCP (включая описанные
выше). Вы можете добавлять любые параметры, поддерживаемые DHCP-протоколом и
устанавливать их значения.
При заданной конфигурации определенного диапазона (диалог Address Scope/Options),
параметры по умолчанию автоматически сопоставляются с адресными диапазонами. То
же правило действует и на диапазоны и резервирования (параметры, задаваемые
определенным адресным диапазонам используются для других резервирований до тех
пор
пока
действуют
параметры
для
определенных
резервирований).
Вес
индивидуальных параметров соответствует их положению в иерархическом дереве.
Для доступа к диалогу задания адресных диапазонов, выберите опцию Add / Scope.
Примечание: Для каждой сети может быть задан только один диапазон.
Описание
Комментарии к новому адресному
администратора WinRoute).
диапазону
Первый адрес, последний адрес
Первый и последний адрес нового диапазона.
(в
качестве
информации
для
Примечание: Мы рекомендуем вам, по возможности, задавать диапазон больше, чем
действительное количество пользователей подсети.
Маска
Маска соответствующей подсети. Назначается пользователям вместе с IP-адресом.
Примечание: Приложение Kerio Administration Console отслеживает, задан ли первый и
последний адрес подсети маской. При несоблюдении соответствующих требований, при
подтверждении кнопкой OK, вам будет сообщено об ошибке.
Lease time
Период, в который пользователь может использовать IP-адрес. Если, по истечении
этого срока, пользователь не запросит продолжения, то IP-адрес будет рассматриваться
как свободный и может быть назначен другому пользователю.
Исключения
WinRoute позволяет администраторам задавать только один диапазон в каждой
подсети. Для создания дополнительных диапазонов, следуйте этим иструкциям:
задайте адресный диапазон, покрывающий все желаемые диапазоны
задайте так называемые исключения, которые не будут приняты в расчет
Пример: В подсети 192.168.1.0 вы хотите задать два диапазона: от 192.168.1.10 до
192.168.1.49 и от 192.168.1.61 до 192.168.1.100. Адреса с 192.168.1.50 по
192.168.1.60 будут свободными и могут быть использованы для других целей.
Задайте диапазон адресов от 192.168.1.10 по 192.168.1.100 и щелкните кнопку
Exclusions, для задания диапазона от 192.168.1.50 по 192.168.1.60. Эти адреса не
будут назначены DHCP-сервером.
Параметры
В диалоге Address Scope, могут быть заданы основные DHCP-параметры назначенных
адресов:
Шлюз по умолчанию — IP-адрес маршрутизатора, который будет использован в
качестве шлюза по умолчанию для подсети, с которой назначаются IP-адреса.
DNS-сервер — любой DNS-сервер (или несколько DNS-серверов, разделенных
точкой с запятой). Мы рекомендуем вам использовать в WinRoute DNS Forwarder
в качестве основного DNS-сервера (IP-адрес хоста WinRoute), потому что DNS
Forwarder может работать совместно с DHCP-сервером (смотри главу DNS
Forwarder ) и будет всегда отвечать на запросы имен локальных хостов с
соответствующим IP-адресом.
WINS-сервер — В сетях с многоадресными маршрутизаторами иногда
необходимо использовать WINS (Windows Internet Naming Service) для
разрешения локальных именNetBIOS.
Домен — локальный домен Интернет. Не задавайте этот параметр, если
существует локальный домен.
Дополнительные
Щелкните эту кнопку для открытия диалога с полным списком дополнительных
параметров, поддерживаемых DHCP (включая четыре, указанные выше). К списку
может быть добавлен любой, поддерживаемый DHCP параметр, также как и его
характеристики. Этот диалог является также частью раздела Address Scopes.
В правой колонке раздела Address Scope показаны заданные DHCP-параметры и их
характеристики в соответствуюх IP-диапазонах.
Примечание: Простая статистика DHCP-сервера отображается спрва вверху раздела
Address Scope. Каждый диапазон описан следующими данными:
общее количество адресов диапазона
количество и процентное соотношения lease time
количество и процентное соотношение свободных адресов
Lease-резервирование
DHCP-сервер позволяет администраторам зарезервировать IP-адрес для любого хоста.
Для того, чтобы сделать резервирование, щелкните кнопку Add / Reservations в папке
Scopes.
Вы можете зарезервировать любой IP-адрес, включенный в определенную подсеть.
IP-адреса могут быть зарезервированы для:
аппаратного (MAC) адреса хоста — он задается шестнадцатиричными числами,
разделенными двоеточием, например
00:bc:a5:f2:1e:50
либо через тире— например:
00-bc-a5-f2-1e-50
MAC-адрес
сетевого
адаптера
может
быть
обнаружен
инструментами
операционной системы (например, коммандой ipconfig) или специальным
приложением производителя сетевого адаптера.
имени хоста — запросы DHCP большинству DHCP-приложений включают имена
хоста (все ОС Windows), или в настройках приложения может быть задана
отправка имени хоста (ОС Linux).
Leases
IP-диапазоны можно просмотреть в разделе Leases. Эти диапазоны отображаются в
форме древовидных структур. В этих структурах отображены все текущие lease.
Примечание: Статус адреса представлен цветом иконки (смотри ниже). Иконки,
обозначенные знаком R представляют резервированные адреса.
Колонки этих секций содержат следующую информацию:
Leased Address — арендованный IP-адрес
Lease Expiration — дата и время периода действия срока аренды
MAC Address — аппаратный адрес хоста, которому назначен IP-адрес (включая
имя производителя сетевого адаптера).
Hostname — имя хоста, которому назначен IP-адрес (только если DHCPприложение этого хоста отправляет его DHCP-серверу)
Status — статус соответствующего IP-адреса; Leased (арендованные адреса),
Expired (адреса с истекшим сроком аренды — пользователь еще не подал запрос
о продлении), Declined (аренда была остановлена пользователем) или Released
(адрес был освобожден пользователем).
Примечания:
1. Данные об истекших и освобожденных адресах хранятся DHCP-сервером и
могут быть использованы позднее, если тот же самый пользователь
пошлет запрос об аренде.
2. Остановленные адреса используются согласно настройкам раздела
Options (смотри ниже).
Следующие колонки спрятаны по умолчанию:
Last Request Time — дата и время выполнения последнего запроса аренды или
продления
Lease Remaining Time — время, оставшееся до окончания срока действия
Для немедленного освобождения выбранных IP-адресов, независимо от их статуса,
используйте кнопку Release. Освобожденные адреса считаются свободными и могут
быть сразу же назначены другому пользователю.
Щелкните кнопку Reserve, для резервирования выбранных (динамически назначенных)
IP-адресов, основанных на MAC-адресе или имени хоста к которому этот адрес
назначен. Раздел Scopes с диалогом, в котором назначаются соответствующие адреса
для аренды, будет открыт автоматически. Все значения, кроме пункта Описание будут
уже заданы. Введите данные и щелкните кнопку OK для назначения постоянной аренды
для IP-адреса хоста которому он буден назначен динамически.
Примечание: MAC-адрес хоста, для которого арендуется данный IP, будет введен в
диалог резервирования аренды автоматически. Для резервирования IP-адреса
для имени хоста, измените настройки в пунктах Reservation For и Value.
Функции
Остальные параметры DHCP-сервера могут быть установлены в разделе Options.
BOOTP
Если
эта
функция
включена,
DHCP-сервер
назначит
IP-адреса
(включая
вспомогательные параметры) также пользователям BOOTP-протокола (протокол,
использовавшийся до DHCP— он назначает конфигурации только статически, согласно
MAC-адресам).
Windows RAS
С помощью этой функции вы можете включить службу DHCP для RAS-приложений
(Remote Access Service). Вы, также, можете определить время, в которое служба будет
доступна RAS-приложениям (IP-адрес будет назначен), если вас не устраивает время,
установленное по умолчанию.
Функции Declined
Эти
функции
определяют
порядок
работы
с
остановленными
IP-адресами
(отчетDHCPDECLINE). Эти адреса могут рассматриваться как освобожденные, и быть
назначенными другому пользователю (функция Offer immediately), либо быть
заблокироваными на определенное время, для того чтобы бывший пользователь мог их
использовать (Остановленные адреса могут быть предложены после блокировки).
Прокси-сервер
Даже если NAT-технология, используемая в WinRoute, разрешает прямой доступ к
Интернет со всех локальных хостов, он, все равно, имеет стандартный HTTP проксисервер. При определенных обстоятельствах прямой доступ не может быть использован,
либо он неудобен. Следующий список описывает наиболее общие ситуации:
1. Для соединения с хостом WinRoute необходимо использовать прокси-сервер
вашего ISP. В этом случае, доступ к Интернет не будет прямым.
Прокси-сервер, включенный в WinRoute может передавать все запросы так
называемому parent proxy server.
2. Интернет-соединение выполнено через dial-up и доступ к определенным
страницам блокируется (смотри главу URL Rules). При использовании прямого
соединения связь будет установлена перед обнаружением HTTP-запроса (связь
установлена по запросу DNS или по запросу пользователя Web-сервера). Если
пользователь
соединяется
с
запрещенной
Web-страницей,
WinRoute
устанавливает связь и блокирует доступ к странице — связь установлена, но
страница не открывается.
Прокси-сервер может получать и обрабатывать клиентские запросы локально.
Если доступ к требуемой странице запрещен, то связь установлена не будет.
3. WinRoute задействован внутри сети с многими хостами в которых используется
прокси-сервер. Было бы слишком трудной задачей и заняло бы много времени
переконфигурировать все хосты.
При использовании прокси-сервера сохраняется функционирование Интернетсоединения
—
нет
необходимости
в
редактировании
конфигурации
индивидуальных
хостов
(лишь
некоторые
хосты
нуждаются
в
переконфигурировании).
4. WinRoute может фильтровать сайты и объекты прозрачно, однако Web-страница
может содержать переадресацию на нестандартный TCP-порт. В этом случае
прозрачный HTTP-прокси не будет использован. Если браузер сконфигурирован
для использования прокси-сервера, то переадресация будет продолжена через
прокси-сервер.
Примечание: Прокси-сервер WinRoute поддерживает только HTTP и HTTPS-протоколы.
Используйте прямой доступ для поддержания трафика использующего FTP-протокол,
если вы не используете parent proxy server, поддерживающий FTP-протокол (проксисервер WinRoute может “получить” FTP через parent proxy server).
Конфигурация прокси-сервера
Для конфигурирования параметров прокси-сервера, откройте раздел Proxy server в
Configuration / Content Filtering / HTTP Policy.
Включить непрозрачный прокси-сервер
Эта опция включает HTTP прокси-сервер WinRoute в порт, находящийся в Port entry
(порт 3128 установлен по умолчанию).
Предупреждение: Если вы используете номер порта, уже используемый другой службой
или приложением, WinRoute примет этот порт, однако, прокси-сервер не будет
способен работать, и в журнале регистрации ошибок появится следующая надпись
(смотри главу Error Log):
failed to bind to port 3128: another application is using this port
Если вы не уверены в том, что порт, который вы намереваетесь использовать,
свободен, щелкните кнопку Apply и сразу же проверьте журнал регистрации ошибок
(проверьте, появилась регистрация или нет).
Направить к parent proxy server
Отметьте эту опцию для того, чтобы WinRoute отправлял все запросы к parent proxy
server, определяемому следующими данными:
Сервер — DNS-имя или IP-адрес parent proxy server и порта, на котором он
запущен (по умолчанию используется порт 3128).
Parent proxy server запрашивает аутентификацию — если parent proxy server
запрашивает аутентификацию через имя и пароль, включите эту функцию и
задайте имя и пароль.
Примечание: Имя и пароль для аутентификации с parent proxy server посылается
с каждым HTTP-запросом. Поддерживается только Basic-аутентификация.
Опция Forward to parent proxy server определяет как WinRoute будет соединяться
с Интернет (для проверки обновлений, загрузки обновлений McAfee и для
соединения с базой данных ISS OrangeWeb Filter).
Установить автоматическую конфигурацию прокси
При использовании прокси-сервера, Web-браузеры клиентских хостов должны быть
правильно сконфигурированы. Большинство Web-браузеров (например, Microsoft
Internet Explorer, Netscape/Mozilla, Opera, и т.д.) разрешают автоматическую
конфигурацию соответствующих параметров, используя скрипты, загруженные из
соответствующих Web-сайтов, по заданным URL.
В случае с прокси-сервером WinRoute, скрипт конфигурации сохранен на
http://192.168.1.1:3128/pac/proxy.pac,
где 192.168.1.1 - IP-адрес хоста WinRoute, а номер 3128 представляет порт проксисервера (смотри выше).
Опция Позволить браузерам использовать скрипт конфигурации автоматически...
настраивает скрипт конфигурации в соответствии с текущей конфигурацией WinRoute и
настройками локальной сети:
Прямой доступ — браузеры не используют никаких прокси-серверов
WinRoute прокси-сервер — браузер будет использовать IP-адрес хоста WinRoute
и порта, на котором запущен прокси-сервер (смотри выше).
Примечание: Скрипт конфигурации требует, чтобы прокси-сервер был всегда доступен
(Даже если используется опция прямого доступа).
Позволить браузерам использовать скрипт конфигурации автоматически...
Браузер Microsoft Internet Explorer может быть сконфигурирован автоматически, если
используется DHCP-сервер и если в настройках браузера включена опция
Автоматическая настройка.
WinRoute's DHCP-сервер должен быть запущен (смотри главу DHCP server), в противном
случае эта функция не будет работать. Параметры TCP/IP хоста должны быть
статическими — Microsoft Internet Explorer при запуске посылает специальный DHCPзапрос.
Совет: Таким способом браузер Microsoft Internet Explorer в локальном хосте может
быть сконфигурирован одним щелчком.
HTTP-кэш
Использование кэш для доступа к часто открываемым Web-страницам сокращает
Интернет-трафик. Загруженные файлы сохраняются на жестком диске хоста WinRoute,
так что не возникает необходимости загружать их снова с Web-сервера.
Все объекты хранятся в кэш лишь определенное время (Time To Live — TTL). Это время
определяет проверки на последние обновление заданных объектов новым запросом
страниц. Требуемый объект будет находиться в кэш пока срок TTL не закончится. Когда
он закончится, будет выполнена проверка на новое обновление. Этот способ
обеспечивает непрерывное обновление объектов, хранимых в кэш.
Кэш может использоваться как для прямого доступа, так и для доступа через проксисервер. При прямом доступе, HTTP протокол-инспектор должен быть применен к
разрешенному TCP-порту 80 и 443. (смотри главы Definition of Custom Traffic Rules
и Services).
Для настройки параметров HTTP-кэш, откройте раздел Cache в Configuration / Content
Filtering / HTTP Policy.
Включить кэш в прозрачном прокси
Эта опция включает кэш для HTTP-трафика, который использует HTTP протоколинспектор (прямой доступ к Интернет)
Включить кэш в прокси-сервере
Включает кэш для объектов, загруженных через прокси-сервер WinRoute (смотри
главу Proxy server)
HTTP протокол TTL
Время по умолчанию сроков действия объектов в кэш. Это время используется когда:
TTL определенного объекта не задано (для задания TTL используйте кнопку URL
specific settings button —смотри ниже)
TTL,
заданный
Web-сервером
не
принят
(использование
сервера,
поддерживающего Time-To-Live)
Кэш-директория
Директория, которая будет использоваться для хранения загруженных объектов. По
умолчанию, будет использоваться файл cache, директории, где расположен WinRoute.
Предупреждение: Изменения содержимого не будут приняты, пока WinRoute Firewall
Engine не будет перезапущен.
Размер кэш
Размер кэш-файла на диске. Максимальный размер этого файла
файловой системой: FAT16 — 2ГБ, 4ГБ для других файловых систем.
определяется
Примечание: Если кэш заполнен на 98 процентов, то должна быть запущена так
называемая очистка — эта функция удалит все объекты с истекшим TTL. Если объекты
не удаляются, то никакие объекты больше не смогут сохраняться на диске, пока не
появится больше свободного места (произведенного дальнейшей чисткой или ручным
удалением).
Размер кэша памяти
Максимальный размер кэша памяти в ОЗУ. Этот кэш используется главным образом, для
ускорения записи в кэш диска.
Если это значение слишком высоко, то производительность хоста может заметно
снизиться (размер кэш не должен превышать 10 процентов памяти компьютера).
Максимальный размер объекта HTTP
Максимальный размер объекта, который может храниться в кэше.
Что касается статистики, то самое высокое количество запросов для малых объектов
(например, HTML-страницы, изображения, и т.д.). Крупные объекты, такие как архивы
(которые обычно загружаются за один раз), потребовали бы слишком много памяти в
кэш.
Опции кэш
Вспомогательные опции, в которых задается работа кэш.
Продолжить прерванную загрузку — отметьте эту опцию для возможности
автоматической загрузки объектов, которая была прервана пользователем
(используя кнопку Остановить, на браузере). Пользователи часто прерывают
загрузку медленных страниц. Если пользователь попытается открыть ту же
страницу опять, страница будет доступна в кэш и загрузка произойдет намного
быстрее.
Хранить прервынные файлы в кэш — если включена эта опция, сервер сохранит
даже неполные объекты в кэш (незавершенные объекты загрузки). При
следующем открытии страницы, загрузка будет выполнена намного быстрее.
Опция Хранить прерванные файлы в кэш будет игнорироваться, если включена
опция Продолжить прерванную загрузку.
Кэшировать
переадресованный
ответ
—
ответы
HTTP,
содержащие
переадресацию, будут кэшированы.
Использовать сервер, поддерживающий Time-To-Live — объекты будут
кэшированы на время, определенное Web-сервером, с которого они были
загружены. Есля TTL не задано сервером, то будет использовано TTL по
умолчанию (смотри пункт TTL HTTP-протокола).
Игнорировать указания кэш-контроля сервера — WinRoute будет игнорировать
директивы для кэш-контроля Web-страниц.
Страницы часто включают директивы, чтобы страницы не сохранялись в кэш.
Включение опции Игнорировать указания кэш-контроля сервера позволяет
WinRoute принимать только директивы no-store и private.
Примечание: WinRoute проверяет заголовки директив, а не Web-страницы.
Всегда подтверждать файл в кэш — с каждым запросом WinRoute будет
проверять сервер на обновления объектов, хранимых в кэш (несмотря на то,
требует ли это клиент или нет).
Примечание: Пользователи могут в любое время требовать от Web-сервера проверки на
обновление (несмотря на настройки кэш). Используйте для этого комбинацию клавиш
Ctrl-F5, используете ли вы браузер Microsoft Internet Explorer или Netscape/Mozilla. Вы
можете настроить браузер так, чтобы он проверял обновления автоматически при
открытии определенной страницы (вам нужно будет только обновить эту страницу).
Индивидуальные настройки URL
TTL (Время жизни) объектов по умолчанию не всегда удобно для всех страниц. Вы
можете не кэшировать объект или сократить его TTL (например, для страниц с
ежедневным доступом).
Щелкните кнопку URL specific settings для открытия диалога, где может быть задан TTL
для определенного URL.
Правила для этого диалога приведены в списке, где они расположены друг за другом
сверху вниз (для перестройки правил используйте стрелки, расположенные с правой
стороны окна).
Описание
Текстовые комментарии (только для информации)
URL
URL, для которого задается TTL. URL может быть следующего вида:
полный URL (например, www.kerio.com/cz/index.php)
подстрока с использованием группового символа (например, *news.com*)
имя сервера (например, www.kerio.com) — представляет любой URL этого
сервера (строка может быть подменена на www.kerio.com/* автоматически.
TTL
TTL объектов подходящих определенному URL.
Опция 0 дней, 0 часов означает, что объекты не будут кэшированы.
Политика трафика
Содержание
Мастер сетевых правил
Определение пользовательских настроек правил трафика
Типы основных правил трафика
Политика трафика относится к основным конфигурациям WinRoute. Все настройки
показаны и могут быть отредактированы в таблице:
безопасность (защита локальной сети, включая хост WinRoute от нежелательного
проникновения через Интернет)
трансляция IP-адреса (или NAT, Network Address Translation — технология
позволяющая прозрачный доступ целой локальной сети в Интернет только с
одним общим IP-адресом)
доступ к серверам (службам), запущенным в локальной сети из Интернет (port
mapping)
контролированный доступ локальных пользователей в Интернет
Правила политики трафика могут быть заданы в Configurations / Traffic Policy. Правила,
также могут быть заданы вручную (опытными администраторами) или с использованием
мастера (рекомендуется).
Мастер правил сети
Мастеру правил сети требуются только данные, которые необходимы для создания
основного набора правил трафика. Правила созданные этим мастером будут позволять
доступ к выбранным службам Интернет из локальной сети, и обеспечивать полную
защиту локальной сети (включающую хост WinRoute) от попыток нежелательного
доступа через Интеренет. Для обеспечения надежности функционирования WinRoute,
после использования мастера удаляются все существующие правила и заменяются на
правила, заданные на основе новых данных.
Для запуска мастера правил сети щелкните кнопку Wizard.
Примечание: Существующая политика трафика подменяется новыми правилами на
завершающем этапе процесса после подтверждения на последнем этапе. Это означает,
что во время процесса работы мастера он может быть остановлен и удален без потерь
существующих правил.
Этап 1 — информация
Для успешного запуска, мастеру необходимы следующие параметры хоста WinRoute:
по меньшей мере, один активный адаптер, соединенный с локальной сетью
по меньшей мере один активный адаптер, соединенный с Интернет или один
заданный dial-up. Dial-up необязательно должен быть активен для запуска
мастера.
Этап 2 — выбор типа соединения с Интернет
Выберите подходящий тип соединения с Интернет — сетевой адаптер (Ethernet,
WaveLAN, DSL, и т.д.), коммутируемая линия (аналоговый модем, ISDN, и т.д.) или
спутниковая система DirecWay. DirecWay возможна только если сответствующий
драйвер устройства взаимодействует с операционной системой.
Этап 3 — выбор сетевого адаптера или dial-up
Если сетевой адаптер используется для соединения хоста с Интернет, он может быть
выбран в меню. Для более легкого пользования инструкцией мастера, также
отображаются IP-адрес, сетевая маска и MAC-адрес выбранного адаптера.
Примечание: Web-интерфейс со шлюзом по умолчанию приведен в списке первым.
Поэтому, в большинстве случаев, соответствующий адаптер уже устанавливается на
этом этапе.
В случае с коммутируемой линией, должен быть выбран соответствующий тип
соединения (заданный в операционной системе) и должны быть заданы
регистрационные данные.
Использование регистрационных данных из RAS — имя и пароль для
аутентификации на удаленном сервере будет скопировано из данных RAS
Windows. RAS-соединение должно сохраняться в системной “телефонной книге”
(соединение должно быть доступно любому пользователю).
Использование следующих регистрационных данных — задайте имя и пароль,
которые будут использованы для аутентификации на удаленном сервере. Эта
опция может быть полезна, например, когда нежелательно сохранять
регистрационные данные в операционной системе или если позже они будут
изменены.
Этап 4 — Ограничения доступа к Интернет
Выберите какие службы Интернет будут доступны для пользователей LAN:
Разрешить доступ ко всем службам
Доступ к Интернет не будет ограничен из локальной сети. Пользователи имеют доступ к
любой службе Интернет.
Разрешить доступ только к следующим службам
Только выбранные службы будут доступны из локальной сети.
Примечание: В этом диалоге только перечислены основные службы (независимо от
служб, заданных в WinRoute — смотри главу Services). Другие службы могут быть
разрешены определением индивидуальной политики трафика— смотри ниже.
Этап 5 — задание трафика Kerio VPN
Для использования собственного VPN трафика WinRoute для связи с удаленными
пользователями или создания тоннеля между удаленными сетями, выберите Да, я хочу
использовать Kerio VPN. Будут добавлены необходимые службы и адресные группы для
VPN. Для более полной информации о разработках VPN, встроенных в WinRoute, смотри
главу Kerio VPN.
Если вы не хотите использовать это систему, или хотите использовать систему какойлибо третьей стороны, (например, Microsoft PPTP, Nortel IPSec, и т.д.), выберите Нет, я
не хочу использовать правила для опции Kerio VPN.
Этап 6 — спецификация серверов, которые будут доступны в локальной сети
Если любая служба (например, WWW-сервер, FTP-сервер, и т.д. доступная через
Интернет) запускается на хосте WinRoute или другом хосте внутри локальной сети,
задайте ее в этом диалоге.
Окно диалога, которое откроет новую службу, может быть активировано кнопкой Add.
Служба запущена
Задание параметров хоста, в котором запущена служба:
Брандмауэр — хост, в котором устанавливается WinRoute
IP-адрес — адрес сервера в локальной сети (хост, в котором запущена служба)
Примечание: доступ к Интернет через WinRoute должен быть задан в шлюзе по
умолчанию хоста, в противном случае, служба будет недоступна.
Служба
Выбор службы. Служба определяется в Configurations / Definitions / Services (смотри
главу Services).
Примечание: Большинство общих служб в WinRoute задано ранее.
Этап 7 — NAT
Если вы используете только общий IP-адрес для связи вашей локальной сети с
Интернет, запустите функцию NAT (трансляция IP-адреса). Не запускайте эту службу
если WinRoute используется для маршрутизации между двумя общими сетями или
двумя локальными сегментами (нейтральный маршрутизатор).
Этап 8 — формирование правил
На последнем этапе, информационное окно предупреждает пользователей о том, что
политика трафика будет основана на новых данных и все существующие данные будут
удалены и заменены новыми правилами.
Предупреждение: Это последний шанс остановить процесс и оставить существующую
политику трафика. Для удаления существующих правил и заменой их на новые,
щелкните кнопку Finish.
Правила, созданные мастером
Политику трафика проще понять по правилам, созданным мастером, на предыдущем
примере.
ICMP-трафик
Это правило может быть добавлено в любое время, независимо от установок на каждом
этапе. Вы можете использовать команду PING, для того чтобы отправить запрос об
ответе с хоста WinRoute. Использованием этой команды могут быть решены важные
вопросы (например, можно проверить функционирование Интернет).
Примечание: Правило ICMP-трафик не позволяет пользователям использовать команду
PING из локальной сети в Интернет. Если вы намереваетесь использовать команду в
любом случае, вы должны добавить возможность Ping в правила NAT (для более полной
информации смотри Definition of Custom Traffic Rules).
ISS OrangeWeb Filter
При использовании ISS OrangeWeb Filter (модуль классификации Web-сайтов), это
правило разрешает взаимодействие с соответствующей базой данных. Не выключайте
этот трафик, в противном случае, ISS OrangeWeb Filter не будет нормально
функционировать.
NAT
Если добавлено это правило, то адреса источников (частные) всех пакетов,
направленных из локальной сети в Интернет, будут подменены адресами интерфейса,
соединенного с Интернет (смотри Мастер, этапы 3 и 6). Однако, будут доступны только
службы, заданные на этапе 4.
В колонке Source также включен интерфейс Dial-In. Это означает, что RAS-приложения,
соединенные с сервером, могут использовать NAT-технологию для доступа к Интернет.
Локальный трафик
Это правило разрешает весь трафик между локальными хостами и хостом WinRoute.
Пункты этого правила Source и Destination включают все интерфейсы хоста WinRoute,
кроме интерфейса, соединенного с Интернет (этот интерфейс может быть задан на
этапе 3).
Пункты Source и Destination этого правила также затрагивают интерфейсы Dial-In и
VPN. Это значит, что правило Локальный трафик также разрешает трафик между
локальными хостами и RAS-клиентами/VPN-клиентами, соединенными с сервером.
Примечание: Так как мастер предполагает, что хост WinRoute принадлежит локальной
сети, то доступ к нему не ограничен. Ограничения могут быть заданы изменением
соответствующего
правила
или
созданием
нового.
Некорректное
правило,
ограничивающее доступ
к
хосту
WinRoute,
может
блокировать удаленное
администрирование или стать причиной недоступности служб Интернет (все трафики,
направленные к Интернет, передаются через этот хост).
Защитный трафик
Это правило разрешает доступ к определенным службам через хост WinRoute. Оно
подобно NAT-правилу, но, в отличие от него, не поддерживает трансляцию IP (этот хост
соединяется с Интернет напрямую).
HTTP и HTTPS
Эти правила устанавливают все HTTP и HTTPS-службы, запущенные в хосте с IPадресом 192.168.1.10 (этап 6). Эти службы будут доступны по IP-адресам внешнего
интерфейса (этап 3).
Правило по умолчанию
Это правило запрещает все соединения, не разрешенные другими Правило по
умолчанию всегда стоит в конце списка и не может быть удалено.
Правило по умолчанию позволяет администратору выбрать действие, которое лучше
всего подойдет для предотвращения нежелательных трафиков (Запрет или Удаление) и
разрешения регистрации пакетов.
Примечание: Для получения более полного
главу Definition of Custom Traffic Rules.
описания
правил
трафиков
смотри
Определение собственных правил управления трафиком
Для того, чтобы управлять настройками WinRoute было просто, вы можете определять
свои собственные правила или редактировать сгенерированные мастером. Опытные
администраторы могут создавать все правила в соответствии со своими нуждами без
использования мастера.
Замечание: Если вы предпочитаете управлять пользовательскими соединениями к
WWW и FTP серверам, воспользуйтесь специальным инструментом, доступным в
WinRoute (см. главу Контентная фильтрация) вместо правил управления трафиком.
Как работают правила управления трафиком
Политика управления трафиком состоит из правил, отсортированных по их приоритету.
При применении правил, они просматриваются сверху вних; применяется первое
подходящее правило. Порядок правил может быть изменён с помощью двух кнопок
справа от окна.
В конце списка находиться правило, запрещающее весь трафик. Это правило не может
быть отредактированно или удалено. Если для определённого пакета не найдётся
разрешающего правила, он будет отброшен “всё-перехватывающим” запрещающим
правилом.
Определение правил
Правила управления трафиком показаны в виде таблицы, где каждое правило
представлено стокой, а свойства (имя, условие, действие — подробности смотрите
дальше) расположены по столбцам. Кликните левой клавишей мыши по выделенному
полю таблицы (или правой клавишей по правилу, выбрав Edit (редактировать) в
контекстном меню), чтобы открытыть диалог для редактирования выделелнного поля.
Для создания нового правила нажмите кнопку Add (добавить). Переместите новое
правило внутрь списка с помощью клавиш стрелок.
Name (имя)
Имя правила. Оно должно быть коротким и уникальным. Более детальную информацию
можно поместить в поле Description (описание).
Поля соответствий, расположенные за именами, могут быть помечены для активации
или сброшены для отмены правил. Если пометка сброшена, WinRoute проигнорирует
это правило. Это означает, что при решении проблем с каким-либо правилом, нет
необходимости его удалять, а затем снова создавать.
Цвет фона каждой строки может быть задан. Для задания цвета фона в списке,
кликните правой клавишей по ячейке в столбце Name (имя), относящейся к
описываемой строке и выберите Edit (редактировать) для редактирования имени и
цвета.
В поле Description (описание) можно заносить любой текст, описывающий
соответствующее правило (до 1024 символов). Заносить информацию в это поле
необязательно.
Если описание представленно, в поле Name (имя) непосредственно за именем правила
будет изображён “куржок”. Чтобы просмотреть описание, расположите кусор мыши над
кружком.
Рекомендуется описывать все создаваемые правила для более лёгкого понимания (для
правил, создаваемых с помощью мастера, опичания генерируется автоматически).
Замечание: описания и цвета не влияют на функциональность правил.
Source and Destination (источник и получатель)
Источника или получателя, определённые в правиле.
Новые источник или получатель можно задать нажатием кнопки Add (добавить):
Host (хост) — имя
www.company.com)
или
IP-адрес
машины
(например
192.168.1.1
or
Внимание: Если компьютер-источник или компьютер-получатель заданы
посредством DNS-имени, WinRoute будет пытаться определить их IP-адреса при
обработке соответствующего правила.
Если не будет найдено ни одной записи в кэше, DNS forwarder перенаправит
запрос в Интернет. Если окажется, что соединение временно “зависло”, запрос
будет
послан
заново
после
того,
как
соединение
восстановится.
Соответствующее правило перестаёт работать до тех пор, пока не будет получен
IP-адрес, соответствующий DNS-имени. При определённых обстоятельствах,
запрещённый трафик может проходить пока соответствующее запрещающее
правило выключено (такие соединения будут немедленно закрыты, когда правло
снова включится).
По выше описанной причине мы рекомендуем задавать компьютер-источник и
компьютер-получатель посредством IP-адреса в случае, если вы выходите в
Интернет через телефонное соединение!
Network (сеть) — подсеть, задаваемая адресом и маской подсети
(например 192.168.1.0/255.255.255.0)
IP range (диапазон IP-адресов) — например 192.168.1.10—192.168.1.20
Subnet with mask (подсеть с заданной маской) — подсеть, задаваемая сетевым
адресом и маской подсети (например 192.168.1.0/255.255.255.0)
Network connected to interface (сеть, связанная с интерфейсом) — представляет
все IP-адреса, находящиеся по ту сторону интерфейса.
VPN — виртуальная частная сеть (virtual private network) (созданная с помощью
WinRoute реализации VPN). Эта опция может использоваться для добавление
следующих пункутов:
o
o
Входящие
VPN-соединения
(VPN-клиенты)
—
все
VPN-клиенты
присоединённые к WinRoute VPN-серверу через Kerio VPN Client
Входящие VPN-соединения (VPN-туннель) — сеть удалённого сервера,
присоединённая к данному серверу через VPN-туннель
Для подробной информации о реализации VPN в WinRoute обратитесь к главе
Kerio VPN.
Users (пользователи) — пользователи или группы, которые могут быть выбраны
в специальном диалоге
Правило с опцией Authenticated users (аутентифицированные пользователи)
действует для всех пользователей, аутентифицированных брандмауэром. (см.
главу Аутентификация пользователей в брандмауэре).
При задании политики управления трафиком, каждый пользователь/группа или
хост представляется IP-адресом с которого посылается запрос на соединение
(подробности
об
аутентификации
пользователей
смотрите
в
главе
Аутентификация пользователей в брандмауэре).
Замечания:
1.
Если вам требуется аутентификация во всех правилах, необходимо убедиться,
что правила существуют, чтобы пользователи имели возможность открыть страницу
аутентификации брандмауэра. Сервис аутентификации использует порт 4080 для HTTP
и 4081 для HTTPS.
2.
Если вы используете HTTP, WinRoute может перенаправлять пользователя на
страницу аутентификации автоматически (подробности смотрите в главе Правила URL).
Другие сервисы не имеют такой особенности. Пользователи должны быть
информированы о том, что их перенаправили на страницу аутентификации перед тем,
как им предоставится доступ к запрашиваемым сервисам. (см. главы Web-интерфейс и
аутентификация пользователей и Брандмауэр и аутентификация пользователей).
Filewal (брандмауэр) — специальная группа адресов, вклющая все интерфейсы
хрста, на которых запущен брэндмауэр. Эту поцию можно использовать для
разрешения трафика между локальной сетью и самим машиной с WinRoute.
Используйте кнопку Any (любые) для замены всех заданных пунктов на значение Any
(это значение используются также по умолчанию во всех правилах). Поле с таким
значением будет автоматически удалено при добавлении по крайней мере одного
нового пункта.
Используйте кнопку Remove (удалить) для удаления всех заданных пунктов. (В списке
полей будет отображено значение Nothing (никакое)). Как только будет добавлена по
крайней мере одна служба, значение Nothing будет автоматически удалено. Если
значение Nothing остаётся в поле Source и/или Destination, соответствующее правило
выключается.
Значение Nothing важно для удаления сетевых интерфейсов (см. главу Интерфейсы).
Значение Nothing ватоматически проставляется во всех полях Source и/или Destination
в правилах, где используется интерфейс, который удалили. Таким образом, все такие
правила выключены. Вставка значения Nothing вручную не имеет смысла, для этих
целей лучше использовать флаг напротив поля Name.
Note: Удалённый интерфейс не может быть заменён значением Any, иначе политика
управления трафиком может фундаментально измениться (например, может быть
разрешён нежелательный трафик).
Service (сервис)
Сервис, для которого будут применяться правила управления трафиком. Вы можете
добвать в список произвольное количество сервисов, определённых в разделай
Configuration, Definitions или Services или использующих определённый протокол или
порт (или диапазон портов — для задания диапазона используется дефис).
Кликните по кнопке Any, чтобы заменит все пункты на значение Any (это значение
также используется по умолчанию при создании нового правила). Как только будет
добавлен по крайней мере один сервис, значение Any удалится.
Для удаления всех определённых пунктов нажмите кнопку Remove (значение Nothing
будет отображаться в списке). При добавлении по крайней мере одного нового сервиса,
значение Nothing удаляется автоматически. Если значение Nothing остаётся в столбце
сервиса, правило выключается.
Значение Nothing важно при удаленияя сервисов (см. главу Сервисы). Если севис
удалить, в поле Service в определении правила будет автомтически занасено значение
Nothing. Таким образом, все такие правила выключаются. Вставка значения Nothing
вручную не имеет смысла —a вместо этого может быть использованн флаг в столбце
Name.
Замечания:
1. При удалении сервиса вы не можете заменять его на значение Any, в противном
случае может фундаментально измениться политика управления трафиком.
(например, может быть разрешён нежелательный трафик).
2. Если для задания сервиса используется анализатор соответствующего
протокола, этот модуль может быть применён к трафику, удовлетворяющему
этому правилу. Если правило может быть применено к всем сервисам (кнопка
Any),
все
необходимые
анализаторы
протоколов
будут
применены
автоматически.
При желании, можно определить правло без использования анализаторов
протокола (подробности смотрите в главе Сервисы), чтобы обойти их
использование для определённых IP.
Action (действие)
Действие, которые будет выполнено WinRoute, если пакет удовлетворит всем условиям
в правиле (условия определяются источником, получателем и сервисом). Допускаются
следующие действия:
Permit (разрешить) — трафик будет разрешён брандмауэром
Deny (запретить) — доступ по адресу или порту запрещён. Клиент при этом
будет немедленно оповещён, что трафик блокируется брандмауэром.
Drop (отбросить) — все пакеты, удовлетворяющие правилу, будут отброшены.
Клиент никак не будет уведомлён и будет воспринимать ситуацию как неполадки
в сети. Клиент не будет повторять запрос сражу (он будет ожидать ответа и
повторит попытку соединения позже).
Замечание: Для ограничения доступа в Интернет локальным пользователям,
рекомендуется использовать действие Deny, а действие Drop — для блокирования
доступа из Интернета.
Log (запись в журнал)
Следующие действия могут быть использованы для записи в журнал информации о
трафике:
Log matching packets (запись удовлетворяющих пакетов) — запись в журнал
фильтра всех пакетов, удовлетворяющих правилу (разрешённых, запрещённых
или отбрасываемых, в зависимости от правила).
Log matching connections (запись удовлетворяющих соединений) — запсь в
журнал соединений всех соединений, удовлетворяющие правилу (это относится
только к разрешающим правилам).
соединению записываться не будут.
Отдельные
пакеты,
принадлежащие
Замечание: Соединения, удовлетворяющие Deny- или Drop-правилам, не могут
быть записаны в журнал.
Translation (трансляция)
Трансляция IP-адресов источника и получателя.
Трансляцию IP-адреса источника также называют “маскарадом” или разделением
Интернет-соединений. Вместо IP-адреса источника (внутреннего адреса) в пакетах,
отправляемых из локальной сети в Интернет, подставляется адрес интерфейса,
соединённого с Интернетом. Поэтому вся локальная сеть может иметь доступ в
Интернет, но внешне выглядит как один хост.
Задаются следующие варианты IP-трансляции:
No Translation (трансляци отсутствует) — адрес источника не изменяется. Эта
опция устанавливается по умолчанию и она не отображается внутри правил
управления трафиком.
Translate to IP address of outgoing interface (замена на адрес клиентского
интерфейса) — WinRoute будет транслировать адрес источника в исходящих
пакетах на адрес сетевого интерфейса, от которого пакет был получен.
Translate to IP address of interface (замена на адрес интерфейса) — выбор
интерфейса. Адрес подходящего пакета будет заменён на основной адрес
интерфейса. Эта опция нечувствительна, если предпологается, что обратный
путь отличается от прямого.
Translate to IP address (замена на IP-адрес) — тот адрес, на который будет
заменяться адрес источника (например второй адрес интерфейса, соединённого
с Интернетом). Используйте кнопку Resolve (разрешить) только если вы знаете
DNS-имя вашего хоста.
Замечание: Интерфейсу (только для TCP/IP стека) хоста, на котором работает
WinRoute должен быть присвоен IP-адрес!
Трансляция адресов получателя (также называемая подстановкой портов) используется
для разрешения доступа к сервисам, работающим по ту сторону брандмауэра. Все
входящие пакеты, удовлетворяющие правилам, перенаправляются на заданный хост
(изменяется адрес получателя). С клиентской точки зрения, всё выглядит так, как
будто сервис запущен на машине с брэндмауэром.
Опции получателя NAT (подстановка потров):
No Translation (трансляция отсутствует) — адрес получателя не изменяется.
Translate to (изменить на) — IP-адрес, на который будет заменён адрес
получателя в пакете. Этот адрес также является адресом хоста, на котором в
действительности работает сервис.
Эта опция может быть также задана посредством DNS-имени компьютера
получателя. В таких случаях WinRoute найдёт соответствующий IP-адрес через
DNS-запрос.
Внимание: Ты не рекомендуем вам использовать имена компьютеров, которые не
записаны в локальном DNS-сервере из-за того, что правило не может работать,
пока соответствующий адрес не будет найден. Это может стать причиной
временного нефункционирования сервиса подстановки портов.
Translate port to (изменить порт на) — в процессе трансляции IP-адресов вы
можете также подставлять порты определённых сервисов. Это означает, что
сервис в действительности может работать на порту, который отличается от
порта, который заменяется.
Замечание: Вы не можете использовать эту опцию, пока ровно один сервис не
будет определён в поле сервиса в соответствующем правиле и пока этот сервис
не будет использовать только один порт из диапазона.
Следующие столбцы скрыты
управления трафиком:
в
установках
по
уполчанию
в
диалоге
политики
Valid on (действительно в течении)
Интервал времени, в течении которого правило действительно. По истечении этого
интервала WinRoute будет ингорировать это правило.
Специальное значение “всегда” можно использовать для отмены ограничения по
времени. (оно не показывается в диалоге политики управления трафиком).
Protocol Inspector (анализатор протокола)
Выбор анализатора протокола, который будет применяться ко
удовлетворяющему правилу. Вы можете задать следующие опции:
всему
трафику,
Default (по умолчанию) — все необходимые анализаторы (или анализаторы
сервисов, перечисленных в поле Service) будут применяться к трафику,
удовлетворяющему правилу.
None (никакие) — не будут применяться никакие анализаторы (независимо от
того, какие сервисы заданы в поле Service).
Other (другие) — задание определённого анализатора, который будет
использоваться для трафика, удовлетворяющего правилу (доступны все
анализаторы протокола WinRoute's).
Внимание: Не используйте эту опцию, если соответствующие правила задают
протокол, не относящийся к анализатору. Использование неподходящего
анализатора может повлиять на функциональность сервиса.
Замечание: Используйте опцию по умолчанию для анализатора протокола, если в
определении правила используется специфический сервис (см. пункт Service).
(Анализатор протокола включён в определение правила.)
Основные виды правил трафика
В этой главе вы узнаете о том, что некоторые правила могут управлять стандартными
настройками. Вы можете воспользоваться нижеприведенными примерами для создания
набора правил полезных в настройке вашей сети.
Трансляция IP
Трансляция IP(NAT) - это понятие, которым обозначается процесс изменения частного
IP адреса на IP адрес Интернет-интерфейса WinRoute-машины в пакете, проходяшем из
локальной сети в Интернет. В следующем примере показана работа соответствующего
правила трафика:
Источник
Интерфейс соединенный с частной LAN.
Если сеть включает в себя более одного сегмента и каждый сегмент соединен с
отдельным интерфейсом, то необходимо задавать все интерфейсы в записи Источник.
Нет необходимости определять все интерфейсы, если в сеть входят еще и
маршрутизаторы (будет достаточно интрефейса соединенного с сетью через хост
WinRoute).
Место назначения
Интерфейс соединенный с Internet.
Служба
Эта запись может быть использована для определения глобальных ограничений в
доступе к Internet. Если отдельные службы определены для передачи данных через IP
протокол, то только эти службы будут использоваться для данной операции и другие
Internet службы будут недоступны из локальной сети.
Действие
Для работоспособности правила необходимо
(Разрешить), Drop (Оставить), Deny (Запретить).
определить
3
действия:
Permit
Передача
В разделе Source NAT выберите опцию Translate to IP address of outgoing interface
(Транслировать данные netcard в IP адрес). Это означает, что для NAT будет
использоваться основной IP адрес интерфейса, через который будут передоваться
пакеты посредством хоста WinRoute
Если вы хотите использовать какой-то другой IP адрес для передачи данных, то
воспользуйтесь опцией Translate to IP address и введите нужный адрес. Введенный
адрес должен входить в список адресов, которые применяются для интерфейса
Internet, иначе нет гарантии в нормальном функционировании данного механизма
работы.
Внимание: Только в очень редких ситуациях необходимо определять и источник, и
адресат NAT. Например вы предоставляете хостинг для службы в LAN, которая требует
port mapping (отображения порта), однако локальный сервер не имеет своего шлюза по
умолчанию или он использует шлюз несовпадающий с WinRoute. В данном случае есть
возможность использовать источник NAT для прохождения трафика к внутреннему
серверу, так чтобы в процессе работы получать ответные данные для брандмаура
WinRoute.
Замечание: Предыдущее правило позволяет исходящему трафику проходить от LAN в
Internet. Также необходимо определить правило для трафика исходящего от хоста
WinRoute (определяется брандмауром). Т.к. хост WinRoute напрямую соединен с
Internet, то нет необходимости активировать передачу. Установленное по умолчанию
правило "catch all (ловить все)", которое находится внизу списка фильтра (filter list)
приведет к stateful packet inspection на хосте WinRoute.
Отображение порта
Отображение порта позволяет службам, которые работают в LAN (чаще всего в частных
сетях) стать доступными из Internet. Локальный сервер в таком случае ведет себя как
сервер напрямую связанный с Internet. Следовательно правило трафика должно
определяться в соответствии с нижеприведенным примером:
Source
Интерфейс соединенный с Internet (запросы из Internet будут приходить на этот
интерфейс)
Место назначения
Второе название хоста WinRoute - Firewall (Брэндмаур), что подразумевает все IP
адреса связанные с хостом брэндмауера.
Служба
Вы можете выбрать одну из предопределенных служб (см. главу Services) или
определить самому нужную службу со своим протоколом и портом.
Любая служба, которая в будущем может быть подвергнута отображению на один из
хостов может быть определена в данной статье. Процесс отображения служб для других
хостов подразумевает под собой обязательное создание нового правили трафика.
Действие
Выберите опцию Allow (Разрешить), иначе весь трафик будет заблокирован
функционирование port mapping (отображение порта) будет неуместным.
и
Translation
В разделе Destination NAT (Port Mapping) выберите опцию Translate to IP address
(Переводить в IP адрес) и введите IP адрес хоста в LAN, где запущена нужная служба.
Воспользовавшись опцией Translate port to (Переводить порт в ...) вы сможете
отображать службу на другом порту. Данный способ позволяет службам быть
доступными на нестандартных портах без необходимости в изменение стандартного
рабочего порта серверного приложения.
Внимание: В разделе Source NAT необходимо проставить опцию No Translation.
Объединенние переведенных IP адресов источника и адресата является уместной
операцией только в определенных условиях.
Замечание: Для правильного функционирования port mapping (отображения порта)
локальный сервер должен использовать в качестве шлюза брандмаур WinRoute. В
противном случае нет необходимости активировать Источник (Source) NAT в
дополнение к Адресату (Destination) NAT.
Множественная адресация
Понятие множественной адресации применяется для ситуаций, когда один сетевой
интерфейс соединенный с Internet использует различные и к тому же публичные IP
адреса. Обычно различные службы доступны через отдельные IP адреса (т.е.
подразумевается взаимная независимость служб).
Например: В локальной сети запущены 2 web сервера - один из них web1 с IP адресом
192.168.1.100 , а другой web2 с IP адресом 192.168.1.200. Интерфейс соединенный с
Internet использует 2 публичных IP адреса — 63.157.211.10 и 63.157.211.11. Нам
нужно чтобы сервер web1 был доступен из Internet c IP адресом 63.157.211.10, а
сервер web2 с адресом 63.157.211.11.
Для достижения указанного результата необходимо определить в WinRoute два правила
трафика:
Источник
Интерфейс соединенный с Internet (входящие запросы с Internet клиентов будут
проходить через этот интерфейс).
Место назначения
Соответствующий IP адрес вышеуказанного интерфейса (используйте опцию Host для
ввода IP адреса).
Служба
Сюда входит служба, которая будет доступна через этот интерфейс ( в случае web
сервера — HTTP).
Действие
Отметьте опцию Permit (Разрешить) для разблокировки трафика.
Перевод
Зайдите в раздел Destination NAT (Port Mapping), чтобы отметить опцию Translate to IP
address и задать IP адрес соответствующего Web сервера (web1 или web2).
Ограничение доступа в Internet
Доступ к службам Internet может быть ограничен несколькими способами. В
нижеприведенных примерах правила ограничения доступа используют перевод IP
адреса. Нет необходимости определять другие правила, т.к. весь трафик, который не
будет удовлетворять этим требованиям будет заблокирован правилом "catch all
(отлавливать все)".
Другие способы ограничения доступа в Internet находятся в разделе Exceptions (см.
ниже).
Замечание: Использованные в этих примерах правила могут применяться в случае,
если WinRoute работает в качестве нейтрального маршрутизатора (отсутствует перевод
адреса) — в записи Translation не будут определяться переводы.
1. Разрешить доступ только к выбранным службам. Для правила перевода
(находится в записи Service) определите только те службы, которые вы
собираетесь разрешить.
2. Ограничения отсортированы по IP адресам. Доступ к определенным службам
(или доступ к любой Internet службе) будет разрешен только с выбранных
хостов. В записи Source определите группу IP адресов с которых будет возможен
выход в Internet. Также данная группа должна быть формально определена в
Сonfiguration / Definitions / Address Groups (см. главу User Groups).
Замечание: Этот тип правила следует использовать, если только каждый
пользователь имеет свой собственный хост/хосты со статическими IP адресами.
3. Ограничения отсортированы по пользователям. Если соединение исходит от
аутентифицированного хоста, то брандмаур отслеживает ситуацию. В данном
случае вы должны определить пользовательские аккаунты в WinRoute и
пользователи должны обязательно пройти процедуру аутентификации для
получения доступа к определенной службе.
В другом случае вы можете определить правило для разрешения в доступе
идентифицированных
пользователей
к
определенным
службам.
Любой
пользователь с действующим аккаунтом в WinRoute получит доступ в Internet
после
прохождения
Аутентификации
брэндмауером.
Администраторы
брэндмауера могут легко отслеживать службы и страницы, которые использовал
пользователь в своей работе (это невозможно для анонимно подключенных
пользователей).
Замечание: Конкретная информация о пользовательских
брэндмауеру находятся в главе Firewall User Authentication .
подключениях
к
Ниже приводятся правила, которые могут использоваться различными способами (т.е.
пользовательская группа может получить доступ только к определенным Internet
службам).
Исключения
Возможно вам понадобится разрешить доступ в Internet только для определенной
группе пользователь/IP адрес, тогда как всем остальным пользователям не нужно
разрешать доступ.
Вам будет легче разобраться на следующем примере (как разрешить пользовательской
использовать службу Telnet для доступа к Internet серверам ). Воспользуйтесь двумя
следующими правилами:
Первое
правило
запретит
выбранным
пользователям
(или
пользователи/IP адреса и т.д) доступ в Internet.
Второе правило запретит доступ к службе для других пользователей.
группе
Фильтр содержимого
Содержание
Правила URL
Правила для содержимого
Система классификации содержания (ISS OrangeWeb Filter)
Фильтрация по словам
Политика FTP
WinRoute обеспечивает широкий диапазон возможностей фильтрации трафика с
использованием протоколов HTTP и FTP.
Здесь изложены основные цели фильтрации содержимого с помощью HTTP и FTP:
блокирование нежелательных Web-сайтов (то есть страниц, не относящихся к
работе коллектива)
блокирование определенных типов файлов (то есть запрещенного содержания)
блокирование или ограничение вирусов, червей и троянов
HTTP-протокол
— фильтрация Web-страниц:
ограничение доступа по URL (подстроки, содержащиеся в URL-адресах)
блокирование определенных HTML (то есть скриптов, объектов ActiveX и т.д.)
фильтрация, основанная на классификации модуля ISS OrangeWeb Filter
(всемирная база данных классификации Web-сайтов)
ограничения, основанные на выявлении запрещенных слов (строк)
антивирусный контроль загружаемых объектов
FTP-протокол
— контроль доступа к FTP-серверам:
запрещение доступа к определенным FTP-серверам
ограничения, основанные на именах файлов
передача файлов разрешена только в одном направлении (то есть только
получение)
блокирование определенных FTP-команд
антивирусный контроль передаваемых файлов
Требования к фильтрации содержания
Для нормального функционирования фильтра содержания должны быть соблюдены
следующие условия:
1. Трафик должен контролироваться соответствующим инспектором протокола.
Примечание: Соответствующий инспектор протокола активируется правилами
трафика автоматически. Для более полной информации, смотри главу Definition
of Custom Traffic Rules.
2. Соединение не должно быть закодировано. SSL-кодированный трафик (HTTPS и
FTPS-протоколы) не может быть контролирован. В этом случае, вы можете
заблокировать доступ к определенным серверам, используя правила трафика
(смотри главу Definition of Custom Traffic Rules).
Примечание: При использовании прокси-сервера (смотри главу Proxy server),
можно фильтровать также HTTPS-серверы (например, https://www.kerio.com/).
Однако, нельзя фильтровать индивидуальные объекты этих серверов.
3. FTP-протоколы не могут быть фильтрованы при использовании ими безопасной
аутентификации (SASO).
Примечание: WinRoute обеспечивает только средства фильтрации и ограничения
доступа. Решения об ограничении Web-сайтов и типов файлов должны приниматься
администратором (либо другим уполномоченным лицом).
URL правила
Использование URL правил позволяет Администратору ограничить доступ к некоторым
ресурсам, которые не удовлетворяют определенным критериям. С помощью данных
правил, вы легко можете принудить пользователя пройти процедуру Аутентификацию,
переадресовав его браузер на страницу с Аутентификацией (Authentication page). (см.
раздел Firewall User Authentication) По умолчанию, страница с Аутентификацией
открывается автоматически при попытке пользователя получить доступ к важному
ресурсу.
Для настройки правил работы с URL адресами найдете
расположенную в Configuration / Content Filtering / HTTP Policy.
вкладку
URL
Rules,
Правила представлены в виде списка и просматривать данный список необходимо
сверху вниз. Этот список может быть переупорядочен посредством управляющей
клавиши, которая расположена с правой стороны диалогового окна. Если
запрашиваемый URL адрес не подпадает под действие ни одного правило, то доступ к
этому сайту разрешен. По умолчанию все URL адреса доступны для просмотра (до тех
пор, пока их не ограничит URL правило).
На данной вкладке могут быть доступны следующие пункты (столбцы):
Description (Описание) — здесь описывается отдельное правило (только в виде
ссылки). Вы можете использовать переключатель для включения/отключения
данного правила (например на определенный промежуток времени).
Action (Действие) — действие, которое будет выполнено при осуществлении всех
необходимых предпосылок. Permit (Разрешить) — страница доступна для
просмотра, Deny (Запретить) — страница недоступна для просмотра и будет
показано соответствующее сообщение, Drop (Бросить) — доступ к странице
будет закрыт, при этом откроется пустая страница. Redirect (Перенаправить) —
браузер пользователя будет перенаправлен на страницу, которая определена в
правиле.
Condition (Условие) — условие, которое должно быть выполнено для применения
правила (например URL адрес входит в некоторую категорию ISS OrangeWeb
Filter БД и т.д.).
Properties (Свойства) — дополнительные опции для правила (например
Антивирусная проверка, фильтрация информации и т.д.).
IP Groups (Группа IP адресов) — группа адресов, к которым можно применить
данное правило. В группу IP входят адреса клиентов (рабочие станции
пользователей, которые выходят в Internet через WinRoute).
Valid Time (Время действия) — это временной интервал, в течение которого
может применяться правило.
Users List (Список пользователей) — в эту категорию входят списки отдельных
пользователей и групп, к которым можно применить данное правило.
Замечание: Установленная по умолчанию версия WinRoute, сразу же поддерживает
несколько правил по работе с URL. По умолчанию правила не действуют.
Администраторы
WinRoute,
по
своему
желанию,
могут
активировать
или
отредактировать их.
Определение URL правил
Чтобы создать новое правило, вам нужно выбрать необходимое правило и кликнуть
Add для добавления в список нового правила. Потом вы сможете переупорядочить
список при помощи управляющих клавиш.
Замечание: Если URL адреса не совпадают не с одним URL правилом, то они доступны
для любого идентифицированного пользователя (в том числе и с любым трафиком,
который разрешен по умолчанию). Когда вы хотите разрешить доступ к группе
определенных web ресурсов и заблокировать доступ к остальным страницам, то
правило, которое ограничивает доступ к остальным страницам должно располагаться в
конце списка правил (rule list).
Воспользовавшись кнопкой Add, вы сможете открыть диалоговое окно для
нового правила.
создания
Откройте вкладку General (Основные настройки), чтобы определить главные правила.
Description (Описание)
Сюда входит комментарий на соответствующую функцию правила (информация для
Администраторов WinRoute).
Если пользователь попытается получить доступ к определенному URL адресу то эта
опция определяет к каким пользователям будет применяться данное правило:
any user (любой пользователь) — для всех пользователей, даже тех, которые не
прошли процедуру Аутентификации.
selected
user(s)
(определенные
пользователи)
—
для
определенных
пользователей
и/или
пользовательских
групп,
которые
были
аутентифицированы через брандмауер.
Используйте кнопку Set (Установить) , чтобы открыть окна диалога, в котором
вы сможете выбрать пользователей или группы ( удерживайте кнопки Ctrl и Shift
для выбора нескольких пользователей/групп за раз).
Замечание: Пользователя в системе представляет IP адрес его хоста, через который он
соединен с брандмауром в данный момент. (см. главу Firewall User Authentication ).
Критерии совпадения URL адресов
Спецификация URL адреса (или группы URL адресов), к которым можно применить
данное правило:
с чего начинается URL адрес — данный пункт может включать любой целый URL
адрес
(т.e.
www.kerio.com/index.php)
или
только
часть
URL
адреса,
воспользовавшись знаком "*" (полное сопоставление), чтобы заменить любое
количество символов (т.e. *.kerio.com*)
адрес находится в URL группе — выбор URL группы, к которой будет
принадлежать URL адрес (см. главу URL Groups)
адрес рассмотрен системой ISS OrangeWeb Filter — правило будет применяться
ко всем страницам, согласованных с выбранной категорией посредством плагина
ISS OrangeWeb Filter (см. главу Content Rating System (ISS OrangeWeb Filter) ).
Кликните на кнопке Select Rating... , чтобы выбрать из ISS OrangeWeb Filter
категорий. Читайте больше в этой главе Content Rating System (ISS OrangeWeb
Filter) .
----- активировав данную опцию, пользователи не смогут обойти URL фильтры,
при соединении с сайтом через IP адрес, а не через доменное имя.
Действие
Действие, которое произойдет при попытке пользователя открыть URL адрес:
Разрешить доступ к Web сайту.
Запретить доступ к Web сайту — запрашиваемая страница будет заблокирована.
Пользователь будет проинформирован о том, что доступ к странице запрещен
или ему будет показана пустая страница (в соответствии с настройками на
вкладке Advanced — см. ниже).
Отметьте опцию Log, для записи данных о всех страницах, которые соответствуют
данному правилу в Filter log (см. главу Filter Log).
Зайдите на вкладку Advanced для установки конкретных опций правила и/или
настройки действий со страницами, которые были заблокированы.
Временной интервал для правила
Вы можете выбрать временной интервал, в течение которого правило будет
действовать (вне пределов этого интервала - правило не работает). Воспользуйтесь
кнопкой Edit для открытия окна, где могут быть установлены временные интервалы (см.
главу Time Ranges).
Активная группа IP адресов
Выбор группы IP адресов, для которых можно применить правило. Поставьте опцию
Any, если вы хотите использовать правило для всех клиентских адресов.
Кликните на кнопку Edit, чтобы открыть диалоговое окно, в котором вы сможете
отредактировать IP адреса (см. главу Address Groups).
Активно, если тип MIME ...
Правило можно будет применить только для определенного MIME типа (например,
text/html — HTML документы, image/jpeg — изображения в JPEG формате и т.д.).
Вы можете выбрать один из предопределенных MIME типов или создать новый. Знак "*"
может заменить любую часть (т.е. image/*). Этот знак "*" может заменить любой MIME
тип — действие правила не будет зависеть от этого.
Опции Блокирования
Дополнительные опции для страниц, которые были заблокированы. Всякий раз, при
попытке пользователя открыть страницу, запрещенную каким-либо правилом, WinRoute
должен показать:
страницу с сообщением пользователю о том, что запрашиваемая страница
недоступна, поскольку заблокирована запросом от брэндмауера. Также на
данной странице может находится объяснительная информация о причине
блокировки.
На странице с сообщением о блокировке, также должна находится кнопка
Unlock, если отмечена опция Users can Unlock для правила. Воспользовавшись
данной кнопкой, пользователи могут заставить WinRoute открыть нужную
страницу , даже если доступ к этому сайту запрещен URL правилом. Страница
будет открыта в течение 10 минут. Каждый пользователь может unlock
(разблокировать) ограниченное число запрещенных страниц (до 10 страниц за
раз). Все сведения о разблокированных страницах сохраняются в Filter log (см.
главу Filter Log).
Замечания:
1. Только
подписанным
пользователям
разрешается
разблокировать
правила.
2. Все разблокированные правила будут немедленно удалены, если
произойдут любые изменения в URL правилах.
появление пустой страницы — обозначает, что пользователь не будет
проинформирован об отказе в доступе к нужной странице. Вышеуказанное
действие будет похоже на случай отсутствия соединения с сервером.
появление другой страницы — это перенаправление пользовательского браузера
на другой URL. Данная опция полезна, если вы захотите отправить пользователя
на страницу с сообщением об отказе в доступе.
Новые правила будут добавляться ниже того правила в списке, которое было выделено
перед добавлением новых правил. Вы можете воспользоваться указательными
клавишами, расположенными на правой стороне окна, для определения нового правила
в списке.
Также вы можете использовать переключатель, который находится рядом с правилом,
для временного отключения работоспособности правила. Это удобнее, чем удалять
ненужное в данный момент правило, которое может понадобится впоследствии.
Замечание: Доступ к URL адресам, которые не встречаются не в одном правиле, неявно
разрешен. Если вы хотите получить доступ к ограниченной группе URL адресов при
отрицании всего остального, вам необходимо создать правило, которое будет
запрещать доступ к любому URL адресу (используя '*') в конце списка.
Откройте вкладку Content Rules (в разделе HTTP Rules), чтобы определить конкретную
информацию для содержимого правил фильтра.
WWW content scanning options (опции сканирования WWW содержимого)
В данном разделе вы можете определить дополнительные параметры для фильтрации
объектов, которые содержатся в Web страницах и в свою очередь встречаются в
определенном правиле (см. главу
Content Rules). Данные параметры будут
применяться только к тем пользователям, которым не разрешается использовать
“override Content filter rules”. Пользователям разрешается отменять правила при
использовании их настроек.
Может быть установлена одна из двух нижеследующих альтернатив для каждого типа
объекта:
Allow (Разрешать) — данные объекты будут отображаться на экране
Deny (Запрещать) — эти объекты будут фильтроваться
Default (По умолчанию) — к таким объектам будут применяться общие правила
или определенные правила отдельного пользователя (это подразумевает, что
данное правило не будет затрагивать фильтрацию таких объектов)
Deny Web pages containing ...(Блокировать страницы, содержащие ...)
Воспользуйтесь данной опцией, для блокировки страниц, в которых содержатся
слова/строки определенные в разделе Configuration/HTTP Policy section (см. главу
Filtering by Words).
Scan content for viruses according to scanning rules (Сканировать содержимое страниц на
наличие вирусов)
Сканирование Антивирусом, в соответствие с требованиями и настройками,
установленными в разделе Configuration / Content Filtering / Antivirus (см. главу
Antivirus Check).
Опции HTTP Inspection Advanced
Нажмите кнопку Advanced на вкладке HTTP Policy, чтобы открыть диалоговое окно, где
может быть настроен HTTP inspection module.
Используйте опции Enable HTTP Log и Enable Web Log для включения/отключения
записи сведений о HTTP запросах в HTTP log (см. главу HTTP Log) и Web log (см. главу
Web Log).
Также вы можете выбрать формат лог-файлов (Apache лог-файл или Squid лог-файл
прокси). Это важно, в случае обработки лог-файла определенным аналитическим
способом.
По умолчанию, и HTTP, и Web лог-файлы записываются в формат Apache.
Используйте правила Apply filtering для локального сервера, чтобы определить, будет
ли содержание правил фильтрации применяться к локальным WWW серверам, которые
доступны из Internet (см. главу Traffic Policy). По умолчанию эта опция отключена —
protocol inspector (инспектор протокола) сканирует только синтаксис HTTP протокола и
выполняет запись сведений запросов (WWW страниц) в соответствии с настройками.
Правила для содержимого
С помощью WinRoute вы можете блокировать содержимое HTML-страниц.
Для создания правил фильтрации содержимого, откройте раздел Content Rules в главе
Configuration / Content Filtering/ HTTP Policy. В разделе URL Rules могут быть созданы
специальные установки для индивидуальных страниц (смотри главу URL Rules).
Эти параметры применяются также к HTTP-трафику компьютеров, с которыми не
соедины пользователи. Для пользователей, соединенных через брандмауэр
используются специальные установки. (смотри главу User Accounts).
Разрешить HTML ActiveX объекты
Возможности Microsoft ActiveX (дефекты безопасности в течение применения этой
технологии, разрешают исполнение приложений на пользовательских хостах, в отличие
от других возможностей).
Разрешить HTML Script тэги
HTML <script> тэги — команды языков программирования, таких как JavaScript,
VBScript, и т.д.
Разрешить HTML JavaScript pop-up окна
Новые окна открываются автоматически — обычно это коммерческие pop-up окна.
При включеной опции, метод window.open() будет блокирован WinRoute во всех
скриптах .
Разрешить HTML Java апплеты
HTML <applet> тэги (Java Applet)
Разрешить inter-domain referrer
Referrer, включеный в заголовок HTTP.
заключает в себе URL предыдущей открытой страницы. Если функция Allow interdomain referrer отключена, Referrer, включающий имя сервера, отличное от текущего
HTTP-запроса, будет блокирован.
Функция Cross-domain referrer обеспечивает конфеденциальность пользователей
(Referrer может отображать страницы, открываемые каждым пользователем).
Примечание:
Настройки
раздела
Правил
для
содержимиого
применимы
к
неаутентифицированным пользователям. Аутентифицированные пользователи могут
устанавливать правила фильтрации на странице предпочтений (смотри главу User
Preferences). Однако, пользователи, которым не разрешено менять правила WWW
content (смотри главу User Accounts) не смогут пользоваться возможностями HTML,
запрещенными глобально.
Система классификации содержания (ISS OrangeWeb Filter)
Модуль ISS OrangeWeb Filter позволяет WinRoute оценивать содержание Web-страниц.
Все
страницы
сортируются
по
определенным
категориям.
Согласно
этой
классификации, доступ к странице может быть разрешен, либо отклонен.
ISS OrangeWeb Filter использует всемирную динамическую базу данных, включающую
URL и классификацию Web-страниц. Эта база данных обеспечивается специальными
серверами, выполняющими классификацию. При попытке пользователя доступа к Webстранице, WinRoute посылает запрос об этой странице. Согласно классификации
страницы, пользователю будет либо разрешен, либо запрещен доступ к ней. Для
ускорения оценки URL, данные, которые уже были получены ранее, могут храниться в
кэше в течение определенного периода.
Примечание: The Модуль ISS OrangeWeb Filter был разработан и тестирован специально
для англоязычных страниц. Эффективность его применения для неанглоязычных
страниц ниже (около 70 % от общей).
Ввод в действие ISS OrangeWeb Filter
Для применения классификации Web-сайтов модулем ISS OrangeWeb Filter, необходимо
настроить все соответствующие параметры, и запустить его. Для более детального
ознакомления, смотри ISS OrangeWeb Filter Settings.
Всякий раз, когда WinRoute выполняет правила URL по классификации страниц, ISS
OrangeWeb Filter plug-in оценки содержания активируется. Его использование лучше
объяснить на примере, описывающим правило, запрещающее пользователям доступ к
страницам, содержащим предложения о работе.
В разделе URL Rules в Configuration / Content Filtering / HTTP Rules должны быть
определены следующие параметры:
Система оценки ISS OrangeWeb Filter считается ключевым параметром. URL каждой
открытой страницы будет оцениваться модулем ISS OrangeWeb Filter. Доступ к
страницам, совпадающим с категорией оценки, включенной в базу данных, будет
запрещен.
Для того чтобы открыть диалог, где можно задать оценочные категории ISS OrangeWeb
Filter, используйте кнопку Select Rating. Выберите оценочную категорию Job Search
(страницы, включающие предложения о работе).
Примечания:
1. Для того чтобы отметить все пункты выбранной категории, используйте кнопку
Check. Вы можете отключить все пункты в категории, отметив Uncheck.
2. Мы рекомендуем сделать доступной кнопку Unlock для правил системы ISS
OrangeWeb Filter (пользователи могут разблокировать это правило в разделе
Advanced). Эта функция позволит пользователям разблокировать некорректно
классифицированные страницы.
Фильтрация по словам
WinRoute также может фильтровать Web-страницы, содержащие нежелательные слова.
Эта фильтрация применяется глобально на весь HTTP-трафик. Начинает работать после
выполнения правил URL (только если доступ к требуемой странице разрешен).
Принцип фильтрации: Запрещенные слова, совпадающие со значениями, называемыми
весом (представлеными целым положительным числом). Вес этих слов, содержащихся
в требуемой странице, суммируется (вес каждого слова считается только один раз,
несмотря на то, сколько раз это слово встречается на странице). Если общий вес
превысит определенный лимит, страница будет блокирована.
Слова сортируются по группам. Эта возможность облегчает работу WinRoute. Все
группы имеют одинаковый приоритет и постоянно тестируются.
Для задания словесных групп, откройте раздел Word Groups в Configuration / Content
Filtering / HTTP Rules.
Слова и группы, включенные в него, представлены в форме дерева. Для включения
слов используйте поля соответствия, расположенные за ними. Отмеченные правила
будут игнорированы. Благодаря этой функции не возникает необходимости удаления
правил и назначения их снова, позже.
Примечания:
умолчанию:
Следующие
группы
слов
определены
при
установке
WinRoute
по
Порнография — Слова, обычно встречающиеся на страницах с эротическим
содержанием.
Warez / Cracks — . Слова, обычно встречающиеся на страницах, предлагающих
незаконное программное обеспечение, генераторы ключей и т.д.
Все ключевые слова в этих группах блокированы по умолчанию. Администратор
WinRoute может изменить вес каждого слова.
Запрет страниц с превышением веса
Верхний предел общего веса страниц (сумма всех запрещенных слов, обнаруженных на
странице). Если общий вес протестированной страницы превышает предел, то доступ к
ней будет запрещен (каждое слово считается только раз, несмотря на количество этих
слов).
Для добавления нового слова в группу или создания новой группы, используйте кнопку
Add.
Группа
Выбор группы, к которой будет добавлено слово. Вы, также можете добавить новое имя
для создания новой группы.
Ключевое слово
Запрещенное при поиске слово.
Вес
Вес слова (влияет на решение о запрещении страницы)
Описание
Комментарии слова или группы.
Настройка доступа к FTP (FTP Policy)
Для настройки доступа к серверу FTP зайдите в секцию Configuration / Content Filtering
/ FTP Rules.
Там находится список правил. Правила в этом списке применяются сверху вниз (вы
можете изменить порядок правил, используя кнопки справа). Поиск правила
прекращается, когда первое подходящее найдено. Если подходящее правило не
найдено, доступ к серверу FTP будет неявно разрешен .
Замечание:
1.
Конфигурация WinRoute по умолчанию, включает в себя предопределенные
правила для траффика FTP, которые выключены изначально. Эти правила
доступны администратору WinRoute .
2. Правило которое докачивает файл, при прерывании загрузки (называется
resume function, вызывается коммандой FTP - REST ). Это правило необходимо
для надежной проверки на вирусы, для этого файл должен быть просканирован
полностью.
Если такое поведение нежелательно, правило может быть выключено. Это не
рекомендуестя, так как может уменьшить надежность антивирусной проверки.
Как бы там ни было, есть более безопасный метод ограничить действие этого
правила: создать правило которое позволяет неограниченные соединения к
определенному серверу FTP . Это правило будет действительно, только если его
расположить перед правилом Resume.
Используйте кнопку Add для определения нового правила FTP.
Общие условия и действия ,которые могут предприниматься, можно задать во вкладке
General:
Description
Описание правила (информация для администратора).
If user accessing the FTP server is
Накладываемые условия на пользователей, к которым применяется правило:
any user - применяется ко всем пользователям
аунтефицирован пользователь на WinRoute или нет).
(вне
зависимости
any user authenticated on the firewall - применяется ко всем аунтефицированным
пользователям.
selected user(s) - применяется только к выбранным пользователям и/или группам
пользователей.
Нажмите на кнопку Set, чтобы указать пользователей или группы (держите
нажатыми Ctrl или Shift для указания более чем одного пользователя /группы за
раз).
Замечание: Первое и второе правило не имеет смысла до тех пор, пока не будут
комбинироваться с правилами, которые запрещают доступ для не аунтефицированных
пользователей.
And the FTP server is
Накладываемые условия на сервера FTP, к которым применяется правило:
any server -любой сервер FTP
server - адрес IP или DNS имя конкретного сервера FTP .
Если сервер FTP определен через имя DNS, WinRoute автоматически
попытается получить его IP по имени. IP адрес будет получен сразу после
нажатия кнопки OK ( для всех правил где сервер FTP определен через имя DNS).
Предупреждение: Правила будут выключены до тех пор, пока не будет получен
IP адрес!
IP address from group - указание
разрешены или запрещены.
IP адресов, серверов FTP,
которые будут
Нажмите кнопку Edit для редактирования группы IP (подробнее см. главуAddress
Groups).
Action
Выберите действие которое будет выполняться при выполнение вышеуказанных
условий на пользователей и сервера:
Allow - WinRoute позволяет соединения к выбранном серверу FTP (при
некоторых условиях накладываемых на правило во вкладке Advanced - см.
ниже.)
Deny - WinRoute запрещает определенные комманды или соединения FTP (при
некоторых условиях накладываемых на правило во вкладке Advanced - см.
ниже.).
Используйте опцию Log, чтобы регистрировать все попытки доступа к FTP, которые
отвечают правилу, в регистр фильтра (Filter log) (см. главу Filter Log).
Выберите вкладку Advanced, для определения дополнительных условий, которым
должно отвечать правило и для установки дополнительных опций соединений FTP.
Valid at time interval
Выбор интервала времени в течении которого правило будет работать ( вне этого
интервала оно выключено).Используйте кнопку Edit для редактирования интервалов
(подробности см. в главе Time Ranges).
Valid for IP address group
Выбор группы клиентских IP адресов, для которых будет работать это правило.
Используйте опцию Any, чтобы для применения ко всем клиентским адресам.
Используйте кнопку Edit для редактирования групп IP (подробнее см. главу Address
Groups).
Content
Дополнительные условия к передаваемым данным FTP.
Используйте опцию Type для установки методов фильтрации:
Download, Upload, Download
направления траффика.
/
Upload
-
фильтрация
в
зависимости
от
Если одна из этих опции выбрана, вы можете указывать имена файлов, для
которых это правило применяется, используйте поле File name . Шаблоны также
могут использоваться для указания имен (например *.exe для выполняемых
файлов).
FTP command - определение комманд сервера FTP, к которым применяется
это фильтрация.
Any - запрещает весь траффик (любые соединения и комманды)
Scan content for viruses according to scanning rules
Используйте опцию для включения/выключения проверки на вирусы траффика FTP,
который отвечает этому правилу.
Эта опция работает только для разрешающих правил - бессмысленно проверять на
вирусы запрещенный траффик .
Новое правило добавляется ниже выделенного правила, при нажатии кнопки Add.
Используйте кнопки справа, чтобы изменить порядок следования правил.
Используйте поля, следующие за правилами для их выключения. Ticked rules will be
ignored. Это требуется, чтобы лишний раз не удалять временно не нужное правило.
Замечание: Доступ к серверам FTP, который не отвечает ни одному из правил неявно
разрешен. Для запрещения доступа ко всем серверам FTP, кроме явно разрешенных,
добавьте запрещающее все соединения правило (используя шаблон "*"), в конец
списка.
Проверка на вирусы
Содержание
Как выбрать и установить антивирус
Сканирование HTTP и FTP
Сканирование почты
WinRoute обеспечивает проверку на вирусы объектов (файлов) передаваемых по HTTP,
FTP, SMTP и POP3 протоколам. В случае HTTP и FTP протоколов, администратор
WinRoute может указать какие типы файлов сканировать на вирусы.
Любая поддерживаемая
проверки на вирусы.
антивирусная
программа
может
быть
используема
для
WinRoute
поддерживает
несколько антивирусных
программ
разрабатываемых
различными компаниями, такими как Eset Software, Grisoft, F-Secure, и т.д.
Антивирусные
лицензии
должны
соответствовать
лицензионной
политике
компании(обычно лицензии ограниченны , тем же количеством пользователей или
большим количеством чем позволяет лицензия для WinRoute, или лицензия сервера).
Как бы там ни было, версии и лицензии поддерживаемых антивирусов могут меняться.
Для наиболее свежей информации обращайтесь по ссылке (http://www.kerio.com/kwf).
Специальная версия WinRoute распространяется с интегрированным антивирусом
McAfee. Отдельно антивирус McAfee Anti-Virus не входит в число поддерживаемых
WinRoute.
Как выбрать и установить антивирус
Для выбора антивируса, откройте раздел Antivirus в Configuration / Content Filtering /
Antivirus.
Встренный McAfee
Для запуска встроенного антивируса McAfee, выберите Use встроенного механизма
McAfee в разделе Antivirus. Эта опция доступна до тех пор, пока лицензионный ключ
для WinRoute включает в себя лицензию на использование антивируса McAfee, либо в
пробной версии. Для более полной информации о лицензии, смотри главу Registration
and Licensing Policy.
Для обновления параметров для McAfee, используйте Integrated antivirus engine в
разделе Antivirus. .
Проверка на обновление каждые ... часов
Период времени между проверками на обновление базы данных вирусов и
антивирсного механизма (в часах). Если обновления доступны, WinRoute загрузит их
автоматически.
Если произошел сбой попытки обновления (то есть сервер недоступен), то подробная
информация об этой попытке будет внесена в журнал регистрации ошибок (смотри
главу Error Log).
Каждая загрузка (обновление) устанавливает значение выполнения проверки на
последнее обновление на ноль.
Последнее обновление было произведено...
Информация о последнем обновлении.
Примечание: Если значение слишком высоко, то это может означать, что при
обновлении базы данных, несколько раз происходил сбой. В таком случае, мы
рекомендуем вам произвести обновление вручную, щелкнув кнопку Обновить и
проверить журнал регистрации ошибок.
Выполнена проверка последнего обновления
Время, прошедшее с проверки последнего обновления.
Версия базы данных вирусов
Версия используемой базы данных.
Версия механизма сканирования
Версия механизма сканирования McAfee, используемая WinRoute.
Обновить
Нажмите кнопку для немедленного обновления базы данных вирусов и механизма
сканирования.
После запуска проверки на обновление нажатием кнопки Обновить, откроется окно,
отображающее процесс обновления. Вы можете закрыть его, нажав кнопку OK — нет
необходимости ждать до завершения обновления.
При успешном обновлении покажется номер версии новой базы данных вирусов или/и
новая версия антивируса, а также информация о возрасте текущей базы данных
вирусов. Если произойдет сбой обновления (то есть сервер недоступен), появится отчет
об ошибке и подробная информация о попытке обновления будет внесена в журнал
регистрации ошибок.
После выполнения проверки на обновление, данные о последней выполненной
проверке на обновление сбрасываются.
Внешний антивирус
Для использования внешнего антивируса, отметьте опцию Использовать внешний
антивирус, раздела Antivirus и выберите антивирус из combo box. Это окно
обеспечивает все внешние антивирусные программы, поддерживаемых в WinRoute с
помощью специальных plugin.
Предупреждение: Внешние антивирусы должны быть установлены перед их
установкой, в противном случае они будут недоступны. Также рекомендуется
остановить службу WinRoute Firewall Engine перед установкой антивируса.
Для установки дополнительных параметров выбранного антивируса используйте кнопку
Опции. Диалоги между каждым антивирусом различны (некоторые антивирусные
программы не требуют дополнительных настроек). Для более подробной информации
об установке и конфигурации индивидуальных антивирусных программ, смотри
http://www.kerio.com/kwf.
Для проверки выбранного антивируса, щелкните Применить. Если тест прошел
успешно, антивирус начнет работать с момента его включения. Если нет, то вы
получите сообщение об ошибке, а антивирус не будет установлен. Подробная
информация о нарушении будет внесена в журнал регистрации ошибок (смотри
главу Error Log).
Настройки антивируса
Отметьте пункты части Settings раздела Antivirus для возможности проверки антивируса
на индивидуальные протоколы.
Параметры для сканирования HTTP и FTP могут быть установлены в HTTP and FTP
scanning (смотри главу HTTP and FTP scanning), а для сканирования SMTP и POP3
используется раздел Email scanning (смотри главу Email scanning).
HTTP и FTP сканирование на вирусы
Файлы передающиеся как по HTTP так и
FTP сканируются на вирусы.
Передаваемые данные кэшируются и проверяются антивирусом. Если вирус найден,
WinRoute не пересылает последние кэшированные части файла клиенту, и удаляет их.
Это означает, что клиент получает поврежденные файла, которые не могут быть
запущены и следовательно вирус не может заразить компьютер клиента.
Предупреждение:
1. Цель антивирусной проверки только обнаружение вируса, но не лечение
зараженных файлов!
2. Если антивирусная проверка выключена в правилах фильтрации (filtering rules)
HTTP и FTP , объекты и файлы соответствующие этим правилам не проверяются
на вирусы. Подробнее см. URL Rules и FTP Policy.
Для настройки антивирусной проверки в HTTP и FTP, откройте вкладку "HTTP, FTP
scanning" в Configuration / Content Filtering / Antivirus.
Используйте пункт If a virus is found... для определения предпринимаемых действий, в
случае обнаружения вируса в передаваемом файле:
Move the file to quarantine - файл будет сохранен в определенной директории, на
компьютере где запущен WinRoute. Администратор WinRoute может позже
попытаться вылечить файл, используя антивирусную программу и, если файл
восстановится , администратор
может
переслать
его
пользователю,
который пытался его скачать.
Карантинная директория в директории WinRoute используется для карантина
(
по
умолчанию
используетсяC:\Program
Files\Kerio\WinRoute
Firewall\quarantine ). Инфицированные файлы (файлы которые могут быть
заражены) сохраняются в этой директории со сгенерированными автоматически
именами. Имя каждого файла включает, информацию о протоколе, времени и
дате передачи, номере соединения использованного для передачи файла.
Предупреждение: Когда обрабатываете файлы в карантинной директории
будьте внимательны, чтобы не активировать вирусы.
Alert the client - WinRoute ставит в известность пользователей, кто пытается
закачать зараженный файл, по email. Письмо содержит информацию, что данный
файл был заражен и загрузка была прервана в целях безопасности.
Предупреждающие сообщения могут быть посланы в том случае если только
выполняются условия: пользователь прошел аунтефикацию и присоединен к
WinRoute, его корректный email указан в информации о пользователе (см.User
Accounts
)
и правильно настроен
сервер SMTP для
рассылки предупреждений (см.SMTP Relay).
Замечание: Вне зависимости от того включена ли опция Alert the client ,
предупреждения могут посылаться на определенный адрес (например адрес
сетевого администратора) когда вирус обнаружен. Подробнее смотрите
главуAlerts.
Если в передаваемом файле нельзя осуществить антивирусную проверку (файл сжат,
защищен паролем или поврежден) могут быть приняты следующие действия:
Deny transmission of the file - WinRoute
прервет его передачу.
будет счить, что файл заражен и
Совет: Рекомендуется совмещать эту опцию с опцией Move the file to quarantine
(переместить файл в карантинную директорию)- чтобы администратор WinRoute
мог разархивировать файл и проверить на вирусы, в случае если файл
необходим пользователю .
Allow the file to be transferred архивированные файлы не заражен.
WinRoute считает, что защищенные и
В целом эта опция не безопасна. Как бы там ни было, она может оказаться
полезной, в случае когда пользователь пытается скачать большое количество
сжатой, защищенной паролем информации и антивирус установлен на
компьютере пользователя.
Правила сканирования HTTP и FTP
Эти правила определяют в каких случае проводится антивирусная проверка. По
умолчанию сканируются (если нет правил), все файлы, передаваемые по HTTP и FTP.
Замечание: WinRoute содержит несколько предопределенных правил для сканирования
HTTP и FTP. По умолчанию проверяются все выполняемые файлы и все файлы Microsoft
Office. Администратор WinRoute может менять эти установки.
Сканирующие правила упорядочены в списке и применяются сверху вниз. Кнопками
справа можно менять порядок правил. Когда правило соответствующее файлу
найдено, выполняется определенное действие и поиск в правилах прекращается.
Новые правила могут быть созданы в диалоге , который открывается при нажатии
кнопки Add.
Description
Описание правила (только для администратора WinRoute)
Condition
Состояние правила
HTTP/FTP filename - эта опция фильтрует файлы с определенными именами (не
полными URL), передаваемых по FTP и HTTP (например *.exe, *.zip, и т.д.).
Если шаблон *
указан в правиле, оно применяется
передаваемого по HTTP или FTP.
для
любого
файла
Другие две опции которые могут применяться только к HTTP протоколу:
MIME
type
MIME тип,
может
быть определен
как
для
полного выражения (например image/jpeg ) так и как шаблон( например.
application/*).
URL - URL файла (например www.kerio.com/img/logo.gif ), строка указанная
шаблоном (например *.exe ) или имя сервера(например www.kerio.com). Имя
сервера представляет собой произвольныый URL, соответствующего сервера
(www.kerio.com/*).
Замечание: Если для MIME типа и для URL указан шаблон *, правило применяется к
любому файлу HTTP.
Action
Настройки этой секции определяют будет ли файл сканироваться.
Если опция Do not scan alternative включена, антивирусная проверка выполняться не
будет.
Новое правило добавляется сразу после выделенного правила. Вы можете использовать
кнопки справа, для изменения порядка следования правил в списке.
Каждое правило имеет галочку (Check box) для выключения. Правила могут
быть выключены временно, поэтому нет необходимости удалять их, а потом создавать
аналогичные.
Замечание: Если объект не соответствует ни одному из правил, он будет сканирован
автоматически. Если сканируется только выделенный тип объектов, в конце списка
должно быть указано правило, выключающее сканирование произвольных URL и MIME
типов, (используйте предопределенное правило: Skip all other files rule).
Антивирусная проверка Email (Email scanning)
Проверка на вирусы протоколов SMTP и POP3 настраивается через эту вкладку. Если
проверка включена хотя бы для одного из этих протоколов, все приложенные файлы
проверяются для сообщений по умолчанию.
Предупреждение: Антивирусная программа в WinRoute может обнаружить и
заблокировать инфицированные сообщения. Приложенные файлы не могут быть ей
вылечены!
Дополнительные настройки и определение действий,принимаемых при обнаружении
вируса, могут быть определены во вкладке Email scanning .
В секции Specify an action which will be taken with attachments... section, можно
определить следующие действия когда в сообщении обнаружен вирус:
Forward unmodified messages to email address -подозрительные сообщения будут
посылаться на определенный адрес email (обычно адрес администратора
сети). Администратор может попытаться вылечить инфицированные файлы, и
отправить их изначальным адресатам.
Замечаеие: Для посылки email , сервер SMTP Relay Server
соответствующе настроен в WinRoute - см. главуSMTP Relay.
должен быть
Move message to quarantine - подозрительные сообщения помещаются
в предопределенную директорию на хостеWinRoute. Администратор WinRoute
может попытаться вылечить зараженные файлы и позже послать их
изначальным адресатам.
Для карантина существует специальная директория quarantine находящаяся в
главной директории WinRoute.
(по умолчаниюC:\Program Files\Kerio\WinRoute Firewall\quarantine by
default). Сообщения с подозрительными приложенными файлами помещаются в
эту директорию, им присваиваются автоматически сгенерированные имена. Имя
включает в себя информацию о протоколе, дате, времени и номере соединения,
используемого для пересылки сообщения.
Замечание: Вне зависимости от действия которое указано, приложенный файл всегда
удаляется и предупреждение присоединяется к сообщению вместо него.
Используйте секцию TLS connections section для настойки файервола в случае когда
клиент и сервер mail поддерживают протокол TLS-secured SMTP .
Когда используется протокол TLS, устанавливается защищенное соединение. По этому
соединению клиент и сервер приходят к соглашению по о виде защищенного
соединения (encrypted connection ). Если клиент или сервер не поддерживают TLS,
защищенное соединение не используется и сообщения передаются по незащищенному
пути.
Если соединение защищенное (encrypted,) сервер не может проверить на вирусы
передаваемые сообщения. Администратор WinRoute может выбрать одну из следующих
опций: :
Включить TLS. Эта опция подходит для тех случаев, когда защита от взлома сети
(wiretapping) более приоритетна по отношению к антивирусной проверке
сообщений.
Совет: В таких случаях рекомендуется установить антивирус для отдельных
хостов, которые произведут проверку локально.
Выключить
TLS.Защищенный
режим
будет
недоступен.Клиенты
будут
предполагать, что сервер не поддерживает TLS и сообщения будут передаваться
по незащищенному соединению. Файервол будет проводить антивирусную
проверку для всех передаваемых сообщений.
Секция If an attachment cannot be scanned , определяет следующие опции в случае
когда приложенные файлы не могут провериться на вирусы по разным причинам
(например защищены паролем, повреждены и т.д.):
Reject the attachment - WinRoute действует аналогично случаю, когда вирус
обнаружен (см. действия описанные выше).
Allow delivery of the attachment - WinRoute поступает с файлами словно они
повреждены или защищены паролем, и доставляет их адресату.
Замечание: Эта опция небезопасна. Как бы там ни было, опция может быть
полезна, например когда пользователи пытаются переслать большое количество
информации защищенной паролем и антивирус установлен на локальной
машине.
Web-интерфейс и аутентификация пользователя
Содержание
Конфигурирование параметров Web-интерфейса
Безопасная аутентификация пользователя
Избранное
Данные пользователя
Обзор Web-политики
Соединение
Управление HTTP-кэшем
WinRoute содержит специальный Web-сервер, который может использоваться для
нескольких целей, например, интерфейс пользовательских соединений, контроль dialup или управление кэшем. Этот Web-сервер доступен при использовании SSL или
стандартного HTTP без кодирования (оба варианта содержат одинаковые страницы).
Список индивидуальных страниц URL смотри ниже ('server' ссылается на имя или IPадрес хоста WinRoute, 4080, представляющего стандартный HTTP-порт).
главная страница (Index) — включает только links перечисленных ниже страниц
https://server:4080/
аутентификация пользователя брандмауэром (страницы login и logout)
http://server:4080/fw/login
http://server:4080/fw/logout
изменение пользовательской конфигурации (пароль, глобальные ограничения
доступа к WWW-страницам, и т.д.)
http://server:4080/fw/pref
обзор пользовательской статистики (то есть IP-адрес, время регистрации, размер
переданных данных, количество фильтрованных объектов и т.д.)
http://server:4080/fw/stat
набор и разъединение dial-up
http://server:4080/fw/dial
обзор статистики кэша HTTP с функциями удаления и поиска сохраненных
объектов
http://server:4080/fw/cache
обзор правил HTTP (смотри главу URL Rules) не относится к пользователям или
хостам, соединяющихся через Web-интерфейс
http://server:4080/fw/http_restr
Для использования кодированной версии, определите HTTPS-протокол и номер порта,
использующего кодированный Web-интерфейс (по умолчанию 4081) — например
https://server:4081/fw/login
Настройка параметров web интерфейса
Чтобы определить параметры web интерфейса WinRoute, нужно перейти к папке Web
Интрефейса в Настройках/Продвинутых опциях (Configuration / Advanced Options).
Активизировать web интерфейс (Enable Web Interface (HTTP))
Эта опция активизирует кодированную (HTTP) версиюWeb интерфейса (для этого
интерфейса по умолчанию используется порт 4080).
Активизировать web интрефейс через SSL (HTTPS) (Enable Web Interface over
SSL (HTTPS))
Эта опция активизирует кодированную (HTTPS) версию Web интерфейса (по умолчанию
для этого интерфейса используется порт 4081).
Имя сервера WinRoute (WinRoute server name)
Имя сервера DNS, которое будет использоваться для web интерфейса (например,
server.company.com). Имя не обязательно должно быть идентично имени узла, но в
DNS должна быть соответствующая запись, позволяющая необходимое разрешение
имени.
Примечание: если все клиенты, имеющие доступ к web интерфейсу, используют в
качестве DNS сервера DNS Форвардер WinRoute, то добавлять DNS имя сервера не
обязательно. Имя будет уже известно и связано с именем локального домена — см.
главу DNS Форвардер).
Разрешить доступ только с локальных IP адресов (Allow access only from these
IP addresses)
Выделите IP адреса, которым всегда будет разрешена связь с web интерфейсом
(обычно это узлы локальной сети). Можно также щелкнуть кнопку Правка (Edit), чтобы
редактировать выбранные группы IP адресов или чтобы создать новую IP группу
(подробнее см. в главе Группы адресов).
Примечание: ограничения доступа применяются и к кодируемым, и к некодируемым
версиям web интерфейса.
В опциях SSL вы можете посмотреть страницы, к которым будут перенаправляться
пользователи, если брандмауэр потребует аутентификацию (см. главу Аутентификация
пользователей).
Не
использовать
SSL-безопасный
интерфейс—
пользователи
перенаправляться на некодируемую страницу аутентификации.
будут
Предупреждение: эта опция не слишком безопасна (т.е. пароль пользователя
может быть перехвачен). Однако, ее можно совершенно безопасно использовать
в локальной сети под защитой брандмауэра. Эту опцию также необходимо
использовать, если недоступен действующий SSL сертификат, или при наличии
других технических проблем.
ИспользоватьSSL-безопасный интерфейс только для страниц регистрации—
пользователи будут автоматически перенаправляться на безопасную страницу
аутентификации. Другие страницы web интерфейса (например, отказ
информации, предупреждение об ошибке и др.) не будут кодироваться.
Всегда использовать SSL-безопасный web интерфейс— кодированная версия
будет использоваться для всех страниц web интерфейса.
Web интерфейс: продвинутые опции
Продвинутые параметры web интерфейса можно настроить, щелкнув на кнопке
"Продвинутые" (Advanced).
Порты TCP
Этот раздел позволяет определить порты для кодируемой и некодируемой версии web
интерфейса (по умолчанию порт для некодируемой версии web интерфейса - 4080, а
для кодируемой - 4081).
Подсказка: Если на узле WinRoute не работает никакой WWW сервер, для web
интерфейса можно использовать стандартные порты (т.е. 80 для HTTP и 443 для
HTTPS). В этом случае в URL для страниц web интерфейса номер порта не требуется.
Предупреждение: если в какой-то записи указан порт, используемый другим сервером
или приложением, и если нажать кнопку Применить (Apply) (в Настройках/Продвинутых
опциях (Configuration / Advanced Options)), то WinRoute примет этот порт, но web
интерфейс на этом порту работать не будет. В результате появится следующая запись
об ошибке (см. главу Записи об ошибках):
Socket error: Unable to bind socket for service to port 80.
(5002) Failed to start service "WebAdmin"
bound to address 192.168.1.10.
Если вы не уверены, что указанные порты свободны, то после щелчка на кнопке
"Применить" проверьте Записи ошибок (Error log) и посмотрите, не появилась ли
соответствующая запись.
Cертификат SSL
В этом разделе дана базовая информация (имя сервера, название организации,
выпустившей сертификат) об используемом сертификате SSL. Щелкните кнопку
Изменить сертификат SSL (Change SSL certificate), чтобы создать новый сертификат или
импортировать сертификат, выпущенный авторитетной фирмой.
Сертификат сервера SSL
Принцип кодированного web интерфейса WinRoute базируется на том, что все
коммуникации между клиентом и сервером кодируются, чтобы защитить их от
перехвата и несанкционированного использования. Протокол SSL сначала использует
асимметричную кодировку, чтобы облегчить обмен симметрично кодированного ключа,
который будет потом использоваться для кодировки передаваемой информации.
Для асимметричной кодировки используются два ключа - общий для кодировки и
частный для расшифровки. Общий (кодирующий) ключ доступен всем пользователям,
которые хотят связаться с сервером, а частный (расшифровывающий) ключ доступен
только для сервера и должен оберегаться. Клиенту необходимо идентифицировать
сервер. Для этого существует так называемый сертификат. Сертификат содержит
общий ключ сервера, имя сервера, информацию о достоверности и другие данные.
Чтобы проверить достоверность сертификата, последний должен быть удостоверен и
подписан третьей стороной -органом управления сертификатами.
Коммуникация между клиентом и сервером происходит следующим образом: клиент
генерирует симметричный ключ и кодирует его с помощью общего ключа сервера
(получаемого из сертификата сервера). Сервер расшифровывает сообщение с помощью
частного ключа. Следовательно, только эти две стороны знают симметричный ключ.
Создание или импорт сертификата
WinRoute предлагает для теста образец сертификата. Его можно найти в файле
server.crt в субдиректории sslcert в директории WinRoute. Другой файл
(server.key) включает частный ключ сервера. Этот сертификат идентичен во всех
приложениях WinRoute. Это значит, что будут работать только кодированные службы,
но практически безопасность не гарантируется (частный ключ знают все - поэтому
любой пользователь может расшифровать общие коммуникации).
Щелкните Изменить сертификат SSL (Change SSL certificate) (в диалоге продвинутых
установок web интерфейса), чтобы увидеть диалог текущего сертификата сервера.
Выбрав опцию Поле (Field) (запись сертификата), вы можете просмотреть информацию
о том, кто выпустил сертификат (Issuer) или о предмете (Subject), который
представляет ваш сервер.
Чтобы получить собственный уникальный сертификат, который будет использоваться
для проверки подлинности вашего сервера, можно воспользоваться одним из
нижеописанных методов.
Чтобы создать свой собственный (подписанный вами) сертификат, щелкните кнопку
Сгенерировать сертификат (Generate certificate) в диалоге текущего сертификата
сервера. Введите требуемые данные о сервере и вашей компании. Требется заполнить
только поля, отмеченные звездочкой (*).
Щелкните ОК, чтобы увидеть диалог сертификата сервера SSL. Сертификат запустится
автоматически (перезагружать компьютер не надо).
Новый (подписанный вами) сертификат будет уникальным. Он создан вашей
компанией, адресован вашей компании и базируется на имени вашего сервера. В
отличие от тестовой версии, этот сертификат гарантирует безопасность ваших
клиентов, т.к. только вам известен личный ключ. Достоверность вашего сервера
гарантируется этим сертификатом. Клиенты в своих браузерах увидят, что
авторитетность сертификата ненадежна, но они установят его в браузерах, т.к.
доверяют владельцу сертификата. Это гарантирует безопасные коммуникации, и
больше не будут появляться предупреждения, т.к. сертификат имеет все необходимые
характеристики.
Другая возможность -получить подписанный сертификат у авторитетной компании
(например, Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode и др.).
Процесс сертификации очень сложен и требует специальных технических знаний. Для
получения подробных инструкций обратитесь в службу технической поддержки Kerio.
Языковые предпочтения web интерфейса
Web интерфейс WinRoute's доступен на разных языках. Язык устанавливается
автоматически согласно предпочтениям каждого пользователя, указанным в web
браузере (эта функция доступна в большинстве браузеров). Если языковые
предпочтения недоступны, будет исопльзоваться английский.
Индивидуальные
языковые
версии
сохраняются
в
файлах
определений
в
субдиректории weblang под директорией WinRoute. Каждый язык представлен двумя
следующими файлами: xx.def и xx.res. Строка хх определяет стандартный язык и
состоит из двух знаков (т.е. en обозначает английский, и т.д.). Первые ряды xx.def
включают соответствующую аббревиатуру языка (эквивалентную аббревиатуре в имени
файла). Второй ряд содержит кодировку, используемую для соответствующего языка
(т.е. для английского это windows-1251). Эта кодировка должна использоваться для
обоих языковых файлов.
Администраторы WinRoute могут легко изменять тексты страниц web интерфейса или
создавать новые языковые версии.
Примечание: изменения в файле xx.def file вступят в силу после перезапуска
Брандмауэра WinRoute.
Защитная аутентификация пользователя
WinRoute позволяет администраторам контролировать соединения (фильтрация
пакетов, соединений, Web-страниц или FTP-объектов и команд), относящиеся к
каждому пользователю. Имя пользователя каждого правила фильтрации представляет
IP-адрес хоста, через который пользователь соединен.
Вдобавок к аутентификации, основанной на ограничении доступа, login пользователя
может быть использован для эффективного контроля активности использования
регистрационных данных (смотри главу Logs), статуса (смотри главу Connection
Overview) хостов и пользователей (смотри главу Hosts and Users). Если через
определенный хост не соединен ни один пользователь, в окне регистраций и статистик
будет отображен только IP-адрес хоста.
Пользователь может соединиться:
вручную — пользователь откроет страницу в браузере
http://server:4080/fw/login
(имя сервера и номер порта являются примерами — смотри главу Web Interface
and User Authentication)
переадресация — доступом к любому Web-сайту (пока доступ к этой странице
разрешен неаутентифицированным пользователям — смотри главу URL Rules)
используя NTLM— при использовании Microsoft Internet Explorer или Mozilla и,
если пользователь аутентифицирован в домене Windows NT или Active Directory,
то он может быть аутентифицирован автоматически (регистрационная страница
не отображается).
Примечание: Для повышения безопасности, браузер Mozilla не отсылает
регистрационные данные серверу автоматически. Вместо этого открывается
окно диалога, в котором требуется подтверждение отправки регистрационных
данных.
Для более полной информации смотри раздел User Authentication Options.
Регистрация при переадресации выполняется следующим образом: пользователь
вводит URL-страницы, которые он/она намеревается открыть в браузере. WinRoute
определяет, аутентифицирован ли пользователь. Если нет, WinRoute перенаправит
пользователя
к
регистрационной
странице
автоматически.
После успешной
регистрации, пользователь автоматически перенаправляется к запрошенной странице
или к странице с информацией, доступ к которой был запрещен.
Примечание: Если к параметрам Web-интерфейс применена опция Do not use SSLsecured interface, (смотри главу Web Interface Parameters Configuration), пользователи
автоматически будут перенаправлены к кодированной регистрационной странице. Если
нет, пользователи будут перенаправлены к некодированной регистрационной странице.
Регистрационная страница
Страница аутентификации, через которую пользователи открывают брандмауэр через
имя и пароль.
Если пользователь перенаправлен к странице автоматически (после ввода URL
страницы, для которой требуется аутентификация), то после успешной регистрации он
будет перенаправлен обратно к запрашиваемому им сайту. В противном случае, будет
открыта ссылочная страница, с которой пользователь может открывать другие
страницы
Web-интерфейса
(например,
избранное,
управление
соединением,
управление кэшем, и т.д.). Для более полной информации, смотри следующие главы.
Предпочтения пользователя
Если пользователь открыл пользовательское меню (отметив опцию на регистрационной
странице), то он будет автоматически перенаправлен на страницу меню пользователя.
Эта страница имеет (кроме прочего) ссылки на:
ранее просмотренные страницы URL — если регистрационная страница не
отображалась автоматически, этот пункт будет пустым.
страница предпочтений пользователя (User Preferences)
страница статистики пользователя (Statistics)
Предпочтения пользователя
Первая часть страницы позволяет
определенные черты WWW страниц.
администратору
разрешить
или
запретить
Фильтр контента (Content filter options)
Если этот пункт отмечен, то данная функция будет доступна (не будет блокироваться
брандмауэром).
Если в параметрах учетной записи пользователя определенные свойства отключены
(см. главу Учетная запись пользователя), то соответствующий пункт на этой странице
будет неактивен (пользователь не сможет изменить настройки этого пункта).
Пользователи могут лишь изменять настройки в сторону усиления ограничений.
Другими словами, пользователи не могут активизировать пункт HTML, запрещенный для
них администратором.
Всплывающие окна - автоматическое открытие новых окон в браузере (обычно
это реклама).
Эта опция блокирует window.open() метод в скрипте.
ActiveX — свойство Microsoft ActiveX (эта технология позволяет, например,
работу приложений на узле клиента)
Эта опция блокирует HTML теги <object> и <embed>
Java -приложение блокирует HTML тег <applet>
Скрипты — блокирует HTML тег <script> (команды JavaScript, VBScript и др..)
Перекрестные ссылки доменов — блокирует пункты ссылок (Referrer) в
заголовках HTTP. Этот пункт включает страницы, просмотренные до текущей
страницы. Данная опция блокирует пункт " Referrer", если этот пункт не
соответствует требуемому имени домена.
Блокада перекрестных ссылок доменов защищает конфиденциальность
пользователя (пункт Referrer можно отслеживать, чтобы определить
посещаемые пользователем страницы).
Сохранить настройки (Save settings)
Щелкните на этой кнопке, чтобы сохранить настройки.
Отменить (Undo changes)
Эта кнопка позволяет восстановить предыдущие настройки.
Примечание: изменения настроек фильтра контента в учетной записи пользователя
будут действовать при следующей регистрации пользователя.
Пароль пользователя можно изменить в нижней части страницы:
Чтобы изменить пароль, введите текущий пароль, новый пароль и подтвердите новый
пароль в соответствующих полях. Сохраните новый пароль, нажав кнопку Изменить
пароль (Change password).
Предупреждение: пароль можно изменить, только если пользователь настроен во
внутренней базе данных WinRoute (см. главу Учетные записи пользователя). При
использовании другого метода аутентификации, Брандмауэр WinRoute не сможет
изменить пароль. Тогда раздел Изменить пароль пользователя (Change user password)
не будет отображаться на странице предпочтений пользователя.
Статистика пользователя
На странице статистики пользователя (User statistics page) показывается следующая
информация :
Login information - имя пользователя, IP адрес с которого пользователь зашел на
сервер, время нахождения пользователя на сервере и способ логина (SSL защищенное соединение; Plaintext - незащищенное соединение; NTLM -
аунтефикация пользователя операционной системы Windows NT или Windows
2000, Proxy - аунтефикация пользователя прокси сервером WinRoute);
Traffic Statistics - размер входящего и исходящего траффика (в байтах) и
количество HTTP запросов;
Content filter statistics - количество отфильтрованных файлов для каждого типа
(см. выше).
Вся информация записывается и измеряется после первого захода пользователя на
сервер . Все данные стираются после того как пользователь уходит с сервера или
после того как WinRoute Firewall Engine перезапускается.
Просмотр Web Политики
Щелкните на ссылке Web политики на любой странице Web Интерфейса WinRoute,
чтобы увидеть текущие правила и ограничения доступа к Web страницам. Эта политика
отностися к соответствующему пользователю и узлу. Если нет соединений ни с каким
пользователем, будут отображаться установки ограничений для IP адреса узла,
которые используются для связи с Web Интерфейсом.
Чтобы получить более подробную информацию о правилах доступа к Web страницам,
обратитесь к главе Правила URL.
Dial-up
Все RAS-линии, заданные в WinRoute, перечислены на странице Dial-up (смотри главу
Interfaces). Каждый dial-up обеспечивает следующую информацию:
Статус Dial-up — Разъединенный, Соединение
Соединенный, Разъединение (связь прекращается).
Команда — Набор или Отбой (статус линии).
(связь
устанавливается),
Примечание: Страница Dial-up обновляется автоматически через определенные
интервалы времени. Это обеспечивает отображение только текущего статуса dial-up.
Эта страница доступна любому пользователю (регистрация не требуется); однако, при
командах Набор или Отбой, требуется аутентификация. Для контроля dial-up,
пользователям необходимы специальные права (опция User can dial находится в
разделе конфигураций — смотри главу User Accounts).
Управление HTTP Cache
Для просмотра и/или удаления объектов, содержащихся в HTTP cache, откройте раздел
Cache. Откройте страницу Cache content Web-интерфейса WinRoute для просмотра
и/или удаления объектов HTTP cache. Эту страницу могут открывать только
пользователи, имеющие права чтения конфигурации WinRoute (либо вводом URL
напрямую, либо используя Cache link внизу любой страницы Web-интерфейса) (если
пользователь
еще
не
аутентифицирован,
будет
выполнена
автоматическая
переадресация на страницу аутентификации). Для удаления объектов из cache,
требуются права администратора. Для просмотра подробной информации о правах
доступа пользователя, смотри главу User Accounts.
Примечание: Для информации о задании параметров HTTP, смотри главу HTTP cache.
Параметры Cache
Щелкните more information link для просмотра таблиц, описывающих следующие
возможности:
Количество сохраненных файлов, общего размера всех файлов и среднего
размера файла
Таблица распределения размера файлов (по 1 KB)
Количество объектов, найденных или не найденных в cache
Информация о сопровождении cache (количество обслуживаний, время с
последнего обслуживания и его продолжительность)
Поиск в cache
Использование URL: текстовое поле с кнопкой Dump для поиска объектов, подходящих
соответствующему URL. Найденные объекты отображаются в таблице (до 100 пунктов).
Каждый пункт содержит размер объекта, время жизни (TTL) в часах и кнопку Delete,
для удаления объектов из cache.
Все объекты, соответствующие определенному URL, могут быть удалены из cache при
помощи кнопки Delete all (не только пункты, отображенные в таблице, если более 100
пунктов подходит соответствующему URL).
Совет: Все пункты могут быть удалены из cache вставкой только одной звездочки (*) в
URL: текстовое поле и использвание кнопки Delete all.
Определения
Содержание
Адресные группы
Интервалы времени
Службы
Группы URL
Адресные группы
Адресные группы позволяют администратору легко задать ограничение доступа к
определенным службам, таким как удаленное управление. При конфигурировании,
каждой группе дается имя. Группы могут включать сочетания IP-адресов, IPдиапазонов, IP-подсетей или даже других групп.
Добавление или редактирование адресных групп
Вы можете задать адресные группы в Configuration / Definitions / Address Groups.
Щелкнув кнопку Add, вы можете добавить новую группу или запись к группе. Кнопка
Edit открывает диалог редактирования, а Remove - удаляет группу или выбранную
запись.
При нажатии кнопки Add, появится диалог добавления новой адресной группы.
Имя
Имя группы. Добавьте новое имя для создания новой группы. Вставьте имя группы для
того, чтобы добавить новую запись к существующей группе.
Тип
Тип новой записи:
Хост (IP-адрес или DNS-имя определенного хоста)
Сеть / Маска (подсеть с соответствующей маской)
Сеть / Диапазон (IP-диапазон)
Адресная группа (другая группа IP-адресов — группы могут располагаться
последовательно)
IP-адрес и маска
Параметры новой записи (относятся к выбранному типу).
Описание
Описание адресной группы. Комментирии для администратора.
Примечание: Каждая IP-группа должна включать, по крайней мере, одну запись.
Группы без записей удаляются автоматически.
Интервалы времени
Интервалы времени в WinRoute имеют непосредственное отношение к политике
трафика
(смотри
главу Traffic
Policy).
WinRoute
позволяет
администраторам
установить периоды времени, в которые будут применяться соответствующие правила.
Фактически, они являются группами, состоящими из любого количества различных
интервалов и одиночных действий.
При использовании периодов времени, вы можете также установить параметры dial-up
— смотри главу Interfaces.
Для их установки откройте Configuration / Definitions / Time Ranges.
Типы интервалов
Для задания периодов могут использоваться три типа интервалов:
Абсолютный
Этот интервал задается сроками начала и окончания, и не повторяется
Недельный
Этот интервал повторяется понедельно (согласно дневному расписанию)
Дневной
Интервал повторяется по дням (согласно часовому расписанию)
Определение интервалов времени
Вы можете создавать, изменять или удалять интервалы в Configurations / Definitions /
Time Ranges.
Для открытия диалога установки интервалов, щелкните кнопку Add:
Имя
Наименование (идентификация) интервала. Для создания нового имени просто впишите
его. Введите имя существующего интервала, для того чтобы добавить новую запись к
нему.
Описание
Описание интервала, только для администратора
Тип интервала
Интервалы могут быть типа: Дневной, Недельный или Абсолютный. Последний тип
задается пользователем.
От / До
Эта функция помогает определить время начала и окончания действия интервала.
Способ задания величин (часы, дни или даты) зависит от выбранного типа интервала.
Период действия в днях
Определяет период действия интервала. Вы можете выбрать определенные дни недели
(Выбранные дни) или использовать одну из установленных опций (Все дни, Рабочие
дни — с Понедельника по Пятницу, Выходные — Суббота и Воскресенье).
Примечание:
1. Каждый интервал должен содержать, по меньшей мере, одну запись. Интервалы
без записей удаляются автоматически.
2. Нельзя включать один интервал в другой.
Службы
Службы WinRoute позволяют администраторам легко задавать правила соединения
(разрешением или запрещением доступа к Интеренет из локальной сети, или
разрешением доступа к локальной сети из Интеренет). Службы определяются
протоколами связи и номерами портов (например, служба HTTP использует протокол
TCP с номером порта 80). Также, вы можете согласовать так называемый протоколинспектор с определенным типом службы (подробности смотри ниже).
Службы могут быть заданы в Configurations / Definitions / Services. Некоторые
стандартные службы, такие как HTTP, FTP, DNS и т.д., уже заданы в установке
WinRoute по умолчанию.
Нажатие кнопок Add или Edit открывает диалог задания параметров служб.
Имя
Идентификация службы в WinRoute. Строго рекомендуется использовать короткое имя
для работы программы без осложнений.
Протокол
Протокол связи, используемый службой.
Большинство служб используют TCP или UDP-протоколы, или оба, когда они заданы как
одна служба с функцией TCP/UDP.
Эта опция позволяет администратору определять протокол, используя номер,
содержащийся в заголовке пакета IP. Любой протокол, переносимый в IP (например,
GRE — номер протокола 47) может быть задан таким образом.
Протокол-инспектор
Протокол-инспектор WinRoute (смотри ниже), который будет использован для этой
службы.
Предупреждение:
Каждый
соответствующей службы.
инспектор
должен
использоваться
только
для
Порт отправки и порт назначения
При использовании протоколов связи TCP или UDP, служба определяется ее номером
порта. В случае со стандартным типом "клиент-сервер", сервер ожидает соединения с
заданным портом (номер относится к службе), тогда как клиент не знает своего порта
заранее (порт назначается во время соединения). Это значит, что порт отправления
обычно не определен, в то время как порт назначения обычно известен, в случае со
стандартными службами.
Примечание: Определение порта отправления может быть важным, например во время
создания правил фильтрации соединения. Для более полной информации, смотри
главу Definition of Custom Traffic Rules.
Порты отправления и назначения могут быть определены как:
Любой — доступны все порты (1-65535)
Адекватный — определенный порт (например,80)
Больше чем, Меньше чем — определяются порты с номерами, либо больше либо
меньше заданных
Кроме — определяются порты с номерами, не равными заданному
В диапазоне — все порты, соответствующие диапазону (включая начальный и
конечный)
Список — список портов, разделенный запятыми (например, 80,8000,8080)
Описание
Комментарии к заданным службам. Строго рекомендуется подробно описать каждое
определение, особенно нестандартных служб, для того чтобы свести к минимуму
возможную путаницу при обращении к службе позже.
Протокол-инспекторы
WinRoute включает специальные плагины, контролирующие весь трафик, используя
протоколы HTTP, FTP или другие. Эти модули могут использоваться для изменения
(фильтрации) соединения или работать в качестве брандмауэров, в зависимости от
типа протоколов. Преимущества протоколов-инспекторов можно понять лучше на
просмотре двух следующих примеров:
1. HTTP
протокол-инспектор
контролирует
трафик
между
приложениями
(браузерами) и Web-серверами. Он может быть использован для блокирования
соединений с определенными страницами или загрузкой определенных объектов
(например, изображений, pop-ups, и т.д.).
2. С помощью активного FTP, сервер открывает соединение с приложением. При
определенных условиях этот тип соединения не может быть произведен через
брандмауэр, поэтому FTP может использоваться только в пассивном режиме. FTP
protocol inspector определяет, что FTP активен, открывает соответствующий порт
и переадресует соединение соответствующему приложению в локальной сети.
Благодаря этому, пользователи локальной сети не ограничены брандмауэром и
могут использовать оба режима FTP (активный/пассивный).
Протокол-инспектор активен, если он включен в службу, использующую правила
трафика. Если правило для каждой службы задано, все протокол-инспекторы WinRoute,
следующие этим правилам будут активированы автоматически.
Примечания:
1. Протокол-инспекторы различают протоколы приложений через транспортные
протоколы (TCP или UDP) и номер порта, который используется соответствующей
службой. Если служба запущена через нестандартный порт (например, HTTP
через номер 8080), протокол-инспектор не будет работать. В данном случае, вы
можете создать службу для порта 8080, использующую HTTP-протоколинспектор.
2. При
определенных
обстоятельствах,
применение
протокол-инспектора
нежелательно.
Поэтому,
можно временно
отключать соответствующего
инспектора. Для более полной информации, смотри главу Partial Retirement of
Protocol Inspector.
Группы URL
Группы URL позволяют администраторам легко создавать правила HTTP (смотри
главу URL Rules). Например, для запрещения доступа к определенной группе Webстраниц, вы можете просто зaдать группу URL и назначить допуски для всей URLгруппы, а не создавать разрешения для каждого правила URL.
Группы URL могут быть заданы в разделе Configuration / Definitions / URL Groups.
Отметьте или снимите метки с полей согласования каждого URL, для включения или
отключения соответствующего URL. Таким способом вы можете дезактивировать URL
без надобности их удаления и назначения позже опять.
Примечание:WinRoute уже включает определенные URL-группы по умолчанию:
Ads/Banners - URL страниц, содержащих рекламу, баннеры и т.д.
Для создания новой группы или добавления нового URL к существующей группе,
щелкните кнопку Add.
Группа
Имя группы, к которой будет добавлен URL. Эта опция позволяет администратрам:
выбрать группу, к которой будет добавлен URL.
добавить имя для создания новой группы, в которую будет включен URL.
URL
URL, который будет добавлен к группе.
полный адрес сервера, документ или web-страница без протокола спецификации
(http://)
использование подстроки со специальными знаками * и ?. Звездочка означает
любое количество цифр, знак вопроса означает одну цифру.
Примеры:
www.kerio.cz/index.php — частная страница
www.* — все URL-адреса начинаются с www. www.*
www.kerio.com — все URL сервера www.kerio.com (эта строка адекватна строке
www.kerio.com/*)
*sex* — все URL-адреса, содержащие строку sex
*sex??.cz* — все URL-адреса, содержащие подобные строки sexxx.cz,
sex99.cz, и т.д.
Описание
Описание URL (комментарии и заметки для администратора).
Учетные записи и группы пользователей
Содержание
Учетные записи пользователей
Настройки аутентификации пользователя
Внешняя аутентификация и импорт учетных записей пользователей
Группы пользователей
Учетные записи пользователей
Учетные записи в WinRoute облегчают контроль доступа пользователей локальной сети
в Интернет. Учетные записи пользователей можно также использовать для доступа к
администрированию WinRoute через Администраторский Терминал. Базовая учетная
запись администратора создается в процессе инсталляции WinRoute. Эта запись имеет
полные права администрирования WinRoute. Эту запись можно удалить, если
существует еще хоть одна запись с полными правами администратора.
Примечание: если вы утратили доступ к администрированию WinRoute, свяжитесь со
службой технической поддержки Kerio.
1.
2.
Создание новой учетной записи пользователя
Новую учетную запись пользователя можно создать на вкладке Учетные Записи
Пользователей (User Accounts) в меню Пользователи (Users) и Группы/Пользователи
(Groups / Users).
Чтобы открыть диалог, позволяющий определить новую учетную запись, используйте
кнопку Добавить (Add).
Шаг 1 — базовая информация:
Имя (Name)
Имя пользователя, используемое для входа в программу. Имя пользователя не
учитывает регистр.
Предупреждение: мы не рекомендуем использовать специальные знаки (не-английский
язык), т.к. это может вызвать проблемы с аутентификацией через web интерфейс.
Полное имя (Full name)
Полное имя пользователя (обычно имя и фамилия пользователя)
Описание (Description)
Дополнительная информация о пользователе (например, чин, должность в компании и
др.)
Пункты "Полное имя" и "Описание" носят информативный характер. Они могут
включать любую информацию, или их можно оставить пустыми.
Электронный адрес (Email address)
Email пользователя, куда будут направляться
предупреждения (см. главу
Предупреждения) и другая информация (например, сообщения о превышении
ограничений по передаче данных и др.). Для каждого пользователя необходимо ввести
действующий электронный адрес, иначе некоторые функции WinRoute не будут
эффективно использоваться.
Примечание: для каждого пользователя в WinRoute необходимо установить сервер
пересылки, иначе направление предупреждений пользователям работать не будет.
Подробную информацию читайте в главе SMTP Пересылка.
Аутентификация (Authentication)
Аутентификация пользователя (см. ниже).
Учетная запись отключена (Account is disabled)
Отключение учетной записи пользователя без ее удаления.
Примечание: эта опция может применяться, например, чтобы создать учетную запись
для пользователя, которая не будет использоваться сразу (например, для нового
сотрудника, который еще не приступил к работе).
Опции аутентификации:
Внутренняя база данных пользователей
Информация по учетным записям пользователей хранится локально в WinRoute. Пароли
можно потом редактировать, используя web интерфейс — см. главу Web интерфейс и
Аутентификация пользователя). Для этого метода аутентификация NTLM применяться
не может.
Предупреждение: пароли могут включать только печатные знаки (буквы, цифры и
знаки препинания), и они чувствительны к регистру. Мы не рекомендуем использовать
специальные знаки (не английский язык), т.к. это может вызвать проблемы с
аутентификацией через web интерфейс.
Windows NT домен
Пользователи проходят аутентификацию в Windows NT домене.
Этот метод аутентификации можно использовать, только если WinRoute работает под
операционной системой Windows NT 4.0 / 2000 / XP.
NT домен / Kerberos 5
Пользователи проходят аутентификацию через Windows NT домен (Windows NT 4.0) или
через Активную Директорию (Windows 2000/2003).
Чтобы установить параметры для аутентификации пользователя, откройте вкладку
Активная Директория / NT домен (Active Directory / NT domain).
Шаг 2 — группы:
Кнопки Добавить (Add) и Удалить (Remove) в этом диалоге позволяют добавлять или
удалять группы, в которые включены пользователи. Чтобы создать новые группы,
откройте Польователи и Группы/Группы (User and Groups / Groups) - см. главу Группы
пользователей). При определении групп сходным образом можно добавлять
пользователей в группы.
Совет: при добавлении новых групп, можно отметить сразу несколько групп, удерживая
клавишу Ctrl или Shift.
Шаг 3 — права доступа:
Каждый пользователь должен иметь определенный тип прав доступа (всего их три).
Нет доступа к администрированию (No access to administration)
Пользователь не имеет права доступа к администрированию WinRoute. Эти установки
использоуются для большинства пользователей.
Доступ к администрированию
administration)
только
для
чтения
(Read
only
access
to
Пользователь имеет доступ к WinRoute. Он или она может читать настройки и
регистрационные журналы, но не может их редактировать.
Полный доступ к администрированию (Full access to administration)
Пользователь может читать и редактировать все записи и установки, права
пользователя эквивалентны правам администратора (admin). Если есть хоть один
пользователь с полным доступом к администрированию, учетную запись admin,
создаваемую по умолчанию, можно удалить.
Продвинутые опции:
Пользователь может переопределить правила Интернет контента (User can override
WWW content rules)
Пользователь может настроить собственный фильтр web контента, независимо от
глобальной конфигурации (подробнее см. Шаг 4).
Пользователь может деблокировать правила URL (User can unlock URL rules)
Эта опция позволяет пользователю деблокировать web страницы с запрещенным
содержанием (на запрещенных страницах пользователю будет доступна кнопка
Деблокировать (Unlock) - подробнее см. в главе Правила URL).
Пользователь может установить соединение RAS (User can dial RAS connection)
Пользователь может установить RAS соединение в web интерфейсе (см. главу Дозвон)
или в Администраторском Терминале (в том случае, если пользователь имеет по
крайней мере права чтения - подробнее см. в главе Интерфейсы).
Примечание: если у пользователя нет таких прав, он/она не сможет контролировать
RAS линии.
Пользователь может соединяться через VPN (User can connect using VPN)
Пользователь может соединяться через WinRoute VPN сервер (используя Kerio VPN
Клиент). Подробнее читайте в главе Kerio VPN.
Пользователь может использовать сети P2P (User is allowed to use P2P networks)
При обнаружении сетей P2P (Peer-to-Peer), трафик
блокироваться. Подробнее читайте в главе P2P Элиминатор.
пользователя
не
будет
Шаг 4 — квоты на передачу данных
Здесь можно установить дневной и месячный лимит на объем переданной
пользователем информации, а также действия, которые воспоследуют при превышении
квот.
Квоты на передачу данных
Установки ограничений
Активизировать дневные ограничения (Enable daily limit) — параметры дневных
ограничений.
Используйте поле Направление (Direction), чтобы выбрать направление
контролируемого трафика (скачивание (download) - входящая информация,
загрузка (upload) - исходящая информация, весь трафик (all traffic) - и
входящая, и исходящая информация).
Ограничения нужно выставить в поле "Квота" (Quota) в Мб или Гб.
Активизировать месячные ограничения (Enable monthly limit) — параметры
месячных ограничений. Эти квоты устанавливаются так же, как дневные
ограничения.
Действия при превышении квот
Установите, какие действия будут предприниматься при превышении квот:
Только отправить предупреждение (Generate alert message only) — к
пользователю не будут применены ограничения. Эту опцию можно
комбинировать с опцией "При превышении квот уведомить пользователя по
email " (Notify user by email when quota is exceeded). При этом пользователя
просто уведомят о превышении квот.
Не позволять пользователю открывать новые соединения (Do not allow the user
to open new connections) — пользователь сможет продолжать работать с
открытым соединением, но не сможет установить новое соединение (т.е.
соединиться с другим сервером, скачать файл через FTP и т.д.).
Немедленно оборвать все соединения пользователя (Kill all the user's connections
immediately) — весь трафик пользователя будет немедленно заблокирован.
Примечания:
1. Примечание: если квота превышена, и трафик блокируется, ограничения будут
действовать до конца периода действия квоты (день или месяц). Чтобы отозвать
эти ограничения раньше, нужно сделать следующее:
временно отключите соответствующие ограничения, поднимите введенное
значение или включите режим "Ничего не блокировать" (Do not block
anything)
сбросьте
статистику
соответствующего
пользователя
(см.
главу Статистика пользоваетля).
2. Мониторинг квот (выполнение действий при превышении квот) может быть
нежелательным, если пользователь прошел аутентификацию на брандмауэре. В
таком случае весь трафик брандмауэра и все пользователи брандмауэра будут
заблокированы.
На вкладке Квота/Статистика (Quota / Statistics) под Настройка/Продвинутые
опции (Configuration / Advanced options) доступна опция "Исключить брандмауэр
при действиях по квотам" (Exclude firewall for quota actions). При этом если квоты
превысит пользователь, прошедший аутентификацию на брандмауэре, никаких
действий предприниматься не будет. По умолчанию эта опция активна. См.
также главу Предпочтения.
Чтобы включить отправку пользователю предупреждений о превышении квот, отметьте
опцию "При превышении квот уведомить пользователя по email" (Notify user by email
when quota is exceeded). Для пользователя должен быть указан действующий
электронный адрес (см. Шаг 1). В WinRoute необходимо настроить SMTP пересылку (см.
главу SMTP Пересылка).
Совет: если вы хотите, чтобы администратора WinRoute всегда уведомляли о случаях,
когда квоты почти превышены, определите параметры уведомления в меню
Настройки/Регистрационные журналы и Предупреждения (Configuration / Logs and
Alerts). Подробнее читайте в главе Предупреждения.
Шаг 5 — правила контента
На этом шаге можно определить специальные правила фильтра контента для
определенного пользователя. По умолчанию (при определении новой учетной записи
пользователя) используются глобальные правила (определенные на вкладке Правила
Контента (Content Rules) в резделе Настройки/Фильтр Контента/Политика HTTP
(Content Rules tab in the Configuration / Content Filtering / HTTP Policy)). Подробнее
читайте в главе Правила Контента).
Примечание: эти установки доступны для пользователя, и их можно изменять на
соответствующей странице web интерфейса WinRoute (см. главу Предпочтения
пользователя). Пользователи, которые могут "переопределять правила контента", могут
изменить свои установки. Пользователи, которые не могут переопределять правила,
могут вкючить и/или выключить только те свойства, которые для них доступны
(установленные в их личной конфигурации).
Шаг 6 — IP адрес пользователя
Если пользователь работает на зарезервированной рабочей станции (т.е. этот
компьютер не используется другими пользователями) с фиксированным IP адресом
(статический или резервированный сервер DHCP), то он может автоматически
регистрироваться с определенного IP адреса. Это значит, что при попытке соединения с
этого IP адреса, WinRoute будет считать, что связь устанавливается определенным
пользователем, и не будет требовать аутентификацию. Пользователь будет
автоматически регистрироваться, при этом будут доступны все функции, как и при
обычном входе с указанием имени и пароля.
Автоматически
пользователь.
автоматически
автоматической
регистрироваться с определенного IP адреса может только один
После создания учетной записи пользователя, WinRoute будет
определять,
используется
ли
определенный
IP
адрес
для
регистрации.
Автоматическая регистрация может быть установлена для брандмауэра (т.е. для узла
WinRoute) или/и для любого другого узла (узлов) (т.е. когда пользователь соединяется
и с дополнительной рабочей станции, такой как ноутбук, и т.д.). Для определения
множественных узлов можно использовать группу IP адресов (см. главу Группы
адресов).
Предупреждение: автоматическая регистрация снижает безопасность пользователя.
Если на узле, для которого установлена автоматическая регистрация, работает
несанкционированный пользователь, то он/она будет автоматически использовать
удостоверение пользователя узла. Следовательно, автоматическую регистрацию нужно
сочетать с другими свойствами безопасности, такими как регистрация пользователя в
операционной системе.
IP адрес, который будет всегда назначаться VPN клиентам определенного
пользователя, можно установить в адресах VPN клиента. С помощью этого метода
пользователю, связывающемуся с локальной сетью через Kerio VPN Клиент, можно
назначить фиксированный IP адрес.Этот IP можно добавить в список IP адресов, с
которых пользователь будет автоматически регистрироваться.
Детальную информацию относительно свойств Kerio Technologies' VPN можно получить
в главе Kerio VPN.
Редактирование учетной записи пользователя и просмотр
статистики
Кнопка "Правка" (Edit) открывает диалог, позволяющий редактировать параметры
учетной записи пользователя. Этот диалог имеет все свойства описанного выше
диалогового окна "Добавить пользователя" (Add User). Все установочные опции
включены только в одно окно.
Установки аутентификации пользователя
Параметры аутентификации в брандмауэре
аутентификации (Authentication Options).
устанавливаются
на
вкладке
Опции
Всегда требовать аутентификацию пользователей ... (Always require users to be
authenticated ...)
Активируйте
эту
опцию,
чтобы
требовать
аутентификацию
всегда,
когда
неудостоверенный пользователь пытается открыть web страницу. При этом
неудостоверенный пользователь будет автоматически перенаправляться на страницу
аутентификации (см. главу Аутентификация пользователя брандмауэра). Требуемая
web страница откроется после успешной регистрации.
Если эту опцию отключить, аутентификация неудостоверенных пользователей будет
требоваться только для открытия недоступных web страниц (запрещенных правилами
URL) (см. главу Правила URL).
Примечание: аутентификация пользователя используется и для доступа к web
страницам (и/или другим сервисам), и для мониторинга активности отдельных
пользователей (Интернет не является анонимным).
Активировать автоматическую аутентификацию пользователей... (Enable user
authentication automatically ...)
Если используется Microsoft Internet Explorer (версия 5.01 или выше), то пользователь
может регистрироваться автоматически (используя NTLM). Для этого метода
аутентификации необходимы следующие условия:
1. Сервер (т.е. узел WinRoute) должен принадлежать соответствующим доменам
Windows NT или Kerberos 5 (Windows 2000/2003).
2. Узел клиента должен принадлежать домену.
3. Пользователь узла-клиента должен пройти аутентификацию в этом домене (т.е.
локальная учетная запись пользователя для этого не годится).
4. WinRoute Брандмауэр должен работать как сервис или под учетной записью
пользователя с правами администратора для узла WinRoute.
5. NTLM нельзя использовать для аутентификации во внутренней базе данных.
Автоматически прерывать сеансы пользователей,
(Automatically logout users when they are inactive)
когда
они
неактивны
Разрешенный интервал времени (в минутах) для бездействия. После этого сеанс
пользователя на брандмауэре будет автоматически прерван. По умолчанию тайм-аут
составляет 120 минут (2 часа).
Часто бывает ситуация, когда пользователь забывает выйти из брандмауэра.
Следовательно, эту опцию не рекомендуется отключать (или устанавливать значение
0), иначе регистрационные данные пользователя, который забыл выйти, могут быть
несанкционированно использованы.
Внешняя аутентификация и импорт учетных записей пользователя
WinRoute поддерживает следующие
аутентификации пользователей:
методы
сохранения
учетных
записей
и
Внутренняя база данных пользователей (Internal user database) — учетные
записи и пароли пользователей хранятся в WinRoute (см. выше). Во время
аутентификации имя пользователя сравнивается с данными внутренней базы
данных.
Этот метод сохранения учетных записей и аутентификации особенно подходит
для сетей без должного домена, а также для специальной учетной записи
администратора (пользователь может проходить аутентификацию локально,
даже если сетевые коммуникации не работают).
С другой стороны, для сетей с должными доменами (Windows NT или Активная
Директория), локальные учетные записи в WinRoute могут требовать
дополнительных усилий по администрированию, т.к. учетные записи и пароли
должны поддерживаться в двух местах (в домене и в WinRoute).
Внутренняя база данных пользователя с аутентификацией в домене (Internal
user database with authentication at the domain) — хотя учетные записи
пользователей хранятся в базе данных WinRoute, пользователи проходят
аутентификацию через домен (т.е. пароли не хранятся в соответствующих
учетных записях под WinRoute). Очевидно, имена пользователей в WinRoute
должны соответствовать именам пользователей в домене.
С точки зрения администрирования этот метод не столь требователен. Когда,
например, пользователь хочет изменить пароль, он может это сделать в домене,
и изменения автоматически будут добавлены в учетную запись WinRoute. Кроме
того, нет необходимости создавать учетные записи пользователей в WinRoute
вручную, т.к. их можно импортировать с соответствующего домена.
Учетные записи Активной Директории (автоматический импорт) (Active Directory
accounts (automatic import)) — при использовании Активной Директории
(Windows 2000 Server /Server 2003) можно установить автоматический импорт
учетных записей. Нет необходимости определять учетные записи в WinRoute, и
их не надо импортировать, т.к. можно настроить шаблоны, определив
специфические параметры (такие как права доступа, правила контента, квоты
на передачу данных и
пользователей WinRoute.
др.),
которые
будут
установлены
для
новых
Этот метод требует меньше администраторских усилий (все учетные записи
пользователей администрируются через Активную Директорию).
Примечание: если все пользователи проходят аутентификацию в домене (последние
два описания), рекомендуется создать по меньшей мере одну локальную учетную
запись с полными правами администратора WinRoute, чтобы можно было связаться с
администрированием WinRoute, даже если домен сети не работает.
Активная Директория
Параметры
аутентификации
пользователей
в
Активной
Директории
(или/и
автоматический импорт учетных записей) можно настроить на вкладке Активная
Директория/NT домен (Active Directory / NT domain ).
Активизировать
authentication)
аутентификацию
в
Активной
Директории
(Enable Active
Directory
Эта опция включает/выключает Активную Директорию. Если эту опцию отключить, то
все учетные записи, которые проходят аутентификацию в Активной Директории, будут
недоступны (эти пользователи не смогут связаться со своими учетными записями).
Имя домена Активной Директории (Active Directory domain name)
Домен (область Kerberos), в которой пользователи будут проходить аутентификацию.
Принимается только полное имя домена (например, company.com, но не просто
company).
Импортировать учетные записи пользователей (Import user accounts now)
Эта кнопка открывает диалог немедленного импорта (скачивания) учетных записей из
Активной Директории.
Для импорта учетных записей требуется следующая информация:
Имя домена Активной Директории (Active Directory domain name) — имя домена,
с которого будут импортироваться учетные записи (например, company.com).
Импортировать с сервера (Import from server) — имя DNS или IP адрес сервера
домена Активной Директории (например, server.company.com or 192.168.1.1).
Регистрировать как пользователя, Пароль (Login as user, Password) — имя и
пароль пользователя, принадлежащего домену (т.е. кто имеет учетную запись в
этом домене). Никаких специальных прав пользователя не требуется.
Если не появилось никаких проблем (т.е. введенная информация корректна, сервер
доступен и т.д.), при щелчке ОК появится список учетных записей, готовых к импорту в
WinRoute.
Примечание: для всех импортированных учетных записей будет установлен метод
аутентификации в домене NT / Kerberos 5.
Автоматически импортировать учетные записи из Активной
(Automatically import user accounts from Active Directory)
Директории
Эта опция включает автоматический импорт учетных записей из Активной Директории.
Как и в случае ручного импорта учетных записей, для аутентификации потребуется имя
или IP адрес сервера домена, а также имя и пароль пользователя (подробнее см.
выше).
Определить шаблон пользователя (Define user template)
Эта кнопка открывает диалог, позволяющий настроить шаблон для импортируемых
учетных записей (специальные параметры для WinRoute).
Этот диалог похож на диалог модификации учетной записи, но имеет только вкладки
Группы (Groups), Права (Rights), Квоты (Quota) и Правила Контента (Content rules) (т.к.
другие параметры нельзя одновременно устанавливать для нескольких пользователей).
Подробнее см. главу Учетная запись пользователя.
NT домен
Параметры для аутентификации на NT домене можно установить на вкладке Активная
Директория/NT домен (Active Directory / NT domain).
Предупреждение: не используйте это метод, если сервер домена работает под OS
Windows 2000 Server /Server 2003! В этом случае используйте Активную Директорию.
Активизировать аутентификацию на домене NT (Enable NT domain authentication)
Эта опция включает/выключает аутентификацию на домене NT. Если ее отключить, все
учетные записи, которые используют аутентификацию на домене NT, не будут
доступны (эти пользователи не смогут связаться со своими учетными записями).
Имя NT домена (NT domain name)
Имя домена, на котором пользователи будут проходить аутентификацию (например,
COMPANY).
Примечание: узел, где установлен WinRoute, должен принадлежать этому домену.
Импортировать учетные записи (Import user accounts now)
Эта опция открывает диалог, позволяющий импортировать
пользователей с домена NT. Укажите имя домена Windows NT.
учетные
записи
Если не появилось проблем (т.е. имя домена корректно, сервер доступен и т.д.), после
щелчка ОК появится список учетных записей, которые можно импортировать в
WinRoute.
Примечание: для всех импортированных учетных записей будет установлен метод
аутентификации домен NT / Kerberos 5.
Группы пользователей
Учетные записи пользователей можно распределить
пользователей имеет слудующие преимущества:
в
группы.
Создание
групп
Для группы пользователей можно определить специальные права доступа. Эти
права будут дополнять права каждого пользователя.
При определении правил трафика и доступа можно использовать группу. Это
упрощает процесс определения, вам не придется указывать одно и то же
правило для каждого пользователя.
Группы пользователей можно определить в меню Пользователь и Группы/Группы (User
and Groups / Groups).
Создание новой группы пользователей
Щелчок на кнопке Добавить (Add) откроет диалог, позволяющий создать новые группы
пользователей.
Шаг 1 — имя и описание группы:
Имя (Name)
Имя группы (идентификация группы).
Описание (Description)
Описание группы. Оно носит информативный характер и может содержать любую
информацию или оставаться пустым.
Шаг 2 — члены группы
Пользователей можно добавлять или удалять из группы с помощью кнопок
Добавить/Удалить (Add/Remove). Если учетные записи пользователей еще не созданы,
группу можно оставить пустой. Пользователей можно будет добавить во время
определения учетных записей (см. главу Учетные записи пользователей).
Совет: чтобы выбрать
клавиши Ctrl или Shif.
сразу нескольких пользователей, удерживайте нажатыми
Шаг 3 — права доступа группы
Каждая группа должна иметь права доступа одного из трех типов:
Нет доступа к администрированию (No access to administration)
Пользователи этой группы не будут иметь доступ к администрированию WinRoute.
Доступ к администрированию
administration)
только
для
чтения
(Read
only
access
to
Пользователи этой группы будут иметь доступ к администрированию WinRoute. Они
смогут читать записи и настройки, но не смогут их редактировать.
Полный доступ к администрированию (Full access to administration)
Пользователи этой группы будут иметь полные права доступа к администрированию.
Продвинутые опции:
Пользователи могут переопределять
override WWW content rules)
правила WWW контента (Users can
Пользователи этой группы могут настраивать личный фильтр web контента, независимо
от глобальных настроек (подробнее см. главы Правила контента и Предпочтения
пользователя).
Пользователь может деблокировать правила URL (User can unlock URL rules)
Пользователь сможет деблокировать web страницы с запрещенным содержанием.
Пользователи могут устанавливать RAS соединения (Users can dial RAS
connection)
Пользователи этой группы смогут устанавливать и обрывать удаленные соединения,
определенные в WinRoute (с Администраторского Терминала или www интерфейса
администрирования, см. главы Web интерфейс и Аутентификация пользователя).
Пользователи могут связываться через VPN (Users can connect using VPN)
Члены этой группы смогут связываться через WinRoute VPN сервер (подробнее см. в
главе Конфигурация сервера VPN ).
Пользователи могут использовать сети P2P (Users are allowed to use P2P
networks)
Модуль P2P Элиминатор (обнаружение и блокировка сетей Peer-to-Peer — см. главу
P2P Элиминатор) не будет применяться к членам этой группы.
Права доступа группы комбинируются с правами доступа пользователя. Это значит, что
текущие права пользователя определяются текущими правами пользователя и правами
группы, в которую включен данный пользователь.
Дополнительные параметры
Содержание
Настройки удаленного администрирования
Таблица маршрутизации
Demand Dial
Настройки ISS OrangeWeb Filter
Настройки безопасности
Универсальный Plug-and-Play (UPnP)
VPN с использованием протокола IPSec
Проверка обновлений
SMTP релей
P2P разделитель
Установки удаленного администрирования
Удаленное администрирование может быть как разрешено так и запрещено установкой
соответствующего правила трафика (traffic rule). Обмен пакетов между WinRoute и
Kerio Administration Console происходит по протоколам TCP и UDP через 44333 порт
. Задать правила можно через сервис KWF Admin.
Как разрешить удаленное администрирование через Internet
В
следующем
примере
демонстрируется
как сделать возможным
администрирование WinRoute с определенных IP адресов.
Source
- группа
IP
администрирование.
адрессов,
с
которых
разрешается
удаленное
удаленное
По
соображениям
безопасности
нежелательно разрешать
удаленное
администрирование
с компьютеров
с любыми
интернет
адресами (это
означает: не устанавливать Source как Web интерфейс).
Destination - Firewall (хост где WinRoute запущен)
Service - KWF Admin (сервис для удаленного администрирования WinRoute)
Action - Permit (разрешение)
Translation - т. к. WinRoute запущен на файерволе перенаправление пакетов не
требуется.
Замечание: Будьте осторожны с использованием правил трафика (traffic rules ), вы
можете случайно блокировать удаленное администрирование с компьютера на котором
вы работаете. Если такое случится, соединение между Kerio Administration Console и
WinRoute Firewall Engine прервется (как только нажмете на кнопку Apply в Configuration
/ Traffic Policy). Локальные соединения (с хоста, на котором запущен WinRoute Firewall
Engine ) не могут блокироваться никакими правилами.
СОВЕТ: Такой же метод можно использовать для разрешения/запрещения удаленного
администрирования Kerio MailServer посредством WinRoute (сервис KMS Admin может
использоваться для этих целей).
Таблица маршрутизации
Используя Администраторский Терминал Kerio, вы можете просматривать и
редактировать таблицу маршрутизации узла WinRoute. Это особенно полезно для
удаленного решения проблем маршрутизации (нет необходимости использовать
приложения для доступа к терминалам, удаленному рабочему столу и т.д.).
Чтобы просмотреть или модифицировать таблицу, нужно открыть Навтройки/Таблица
Маршрутизации (Configuration / Routing Table). Этот раздел предлагает современную
версию таблицы маршрутизации операционной системы, включая так называемые
постоянные маршруты (persistent routes) (маршруты, добавлеяеме командой route -p).
В этом разделе можно добавлять/удалять динамические и статические маршруты.
Динамические маршруты действуют только до перезапуска операционной системы, или
до того, как будут удалены системной командой "route". Статические маршруты
сохраняются в WinRoute и восстанавливаются при каждом перезапуске операционной
системы.
Предупреждение: изменения в таблице маршрутизации могут прервать связь между
Брандмауэром WinRoute и Администраторским Терминалом. Следовательно, эту
функцию должны использовать только опытные пользователи, хорошо знакомые с IP
маршрутизацией.
Типы маршрутов
В таблице маршрутизации WinRoute используются следующие типы маршрутов:
Системные маршруты — маршруты, скачиваемые из таблицы маршрутизации
операционной системы (включая так называемые постоянные маршруты)— см.
раздел "Удаление маршрутов из таблицы маршрутизации").
Статические маршруты — маршруты, определяемые вручную и управляемые
WinRoute (см. ниже). Эти маршруты можно добавлять, их можно модифицировать
и/или удалять. Чтобы временно отключить маршрут, нужно отметить
соответствующий пункт - такие маршруты содержатся в списке неактивных
маршрутов.
Маршруты VPN — маршруты к VPN клиентам и к сетям на удаленных концах VPN
туннелей (подробнее см. главу Kerio VPN). Эти маршруты создаются и
удаляются динамически при соединении и разъединении с VPN клиентами, или
при создании и удалении VPN туннелей. Маршруты VPN нельзя содавать,
изменять или удалять вручную.
Неактивные маршруты — неактивные в данный момент маршруты показаны в
отдельном разделе. Это могут быть временно отключенные статические
маршруты, статические маршруты через интерфейсы, разъединенные или
удаленные из системы и т.д.
Статические маршруты
WinRoute имеет специальную систему для создания и управления статическими
маршрутами в таблице маршрутизации. Все статические маршруты, определенные в
WinRoute, сохраняются в файле конфигурации, и при каждом запуске Брандмауэра
WinRoute они добавляются к системной таблице маршрутизации. Кроме того, эти
маршруты все время отслеживаются и управляются при работе WinRoute. Это значит,
что когда какой-нибудь из этих маршрутов удаляется командой "route", он
автоматически добавляется снова.
Примечания:
1. Постоянные маршруты операционной системы не используются для выполнения
статических маршрутов (для управления этими маршрутами WinRoute использует
специальный метод.
2. Если статический маршрут использует интерфейс удаленного доступа
(коммутируемое соединение), любой пакет, отправленный по этому маршруту,
активирует дозвон (подробная информация приведена в главе Требования
дозвона).
Определения динамических и статических маршрутов
Щелкните на кнопке Добваить (Add) (или Правка (Edit), если выделен отдельный
маршрут), чтобы открыть диалог определения маршрута.
Сеть, маска сети (Network, Network Mask)
IP адрес и маска сети назначения.
Интерфейс (Interface)
Выбор интерфейса, через который следует отправить определенный пакет.
Шлюз (Gateway)
IP адерс шлюза (маршрутизатор), который может маршрутизировать до сети
назначения. IP адрес шлюза должен быть в той же IP подсети, что и выбраный
интерфейс.
Показатель (Metric)
“Дистанция” до сети назначения. Число означает количество маршрутизаторов, через
которые должен пройти пакет, чтобы дойти до сети назначения.
Показатель используется для поиска лучшего маршрута до нужной сети. Чем меньше
значение показателя, тем "короче" маршрут.
Примечание: показатель в таблице маршрутизации может отличаться от реальной
топологии сети. Его можно изменять согласно приоритетности каждой линии и т.д.
Создать статический маршрут (Create a static route)
Активируйте эту опцию, чтобы сделать данный маршрут статическим. Такой маршрут
будет автоматически восстанавливаться WinRoute (см. выше). Можно добавить
короткое описание, содержащее различную информацию (зачем сделан маршрут и
т.д.).
Если эта функция неактивна, маршрут будет действовать только до перезапуска
операционной системы, или пока не будет удален вручную с Администраторского
Терминала или командой "route".
Удаление маршрутов из таблицы маршрутизации
При удалении маршрутов используются следующие правила:
Статическими маршрутами в папке Статические Маршруты (Static Routes)
управляет WinRoute. Удаление любого из статических маршрутов немедленно и
навсегда удалит маршрут из системной таблицы маршрутизации (после щелчка
на кнопке Применить (Apply).
Динамические (системные) маршруты можно удалять, независимо от способа их
добавления (было ли это сделано через Администраторский Терминал или с
помощью команды "route"). Однако, невозможно удалить маршрут к сети,
связанной с интерфейсом.
Постоянный маршрут операционной системы будет удален из таблицы
маршрутизации только после перезагрузки операционной системы. При
перезапуске операционной системы он будет автоматически восстановлен.
Постоянные маршруты можно создавать различными методами. Методы
варьируют в зависимости от операционной системы - в некоторых системах
можно использовать команду "route -p", и т.д.).
Автодозвон по требованию
Если WinRoute подключается к Интернету по телефонной линии, то он может
автоматически устанавливать соединение когда один из пользователей пытается выйти
в Интернет. WinRoute предоставляет следующие опции для управления автоматическим
дозвоном и его прекращением:
Дозвон осуществляется в тот момент, когда поступает запрос из внутренней
сети. Эта функция называется Дозвон по требованию. См. далее более
подробное описание.
Соединение автоматически прекращается если оно простаивает в течение
определенного интервала времени. Для получения подробных инстукций,
обратитесь к главе Интерфейсы.
Принцип работы дозвона по требованию
Во-первых, фунция автодозвона должна быть активирована у соответствующей
линии(либо постоянно, либо в течение определенного интервала времени). Это может
быть настроено на вкладке Конфигурация / Интерфейсы(Обратитесь к разделу
Интерфейсы для получения подробной информации).
Во-вторых, в операционной системе не должны быть настроены шлюзы по
умолчанию(шлюзы не должны быть настроены для всех имеющихся в системе сетевых
интерфейсов).
Если WinRoute получает пакет из локальной сети, он сравнивает его с системной
таблицей маршрутизации. Если маршрут по умолчанию недоступен, WinRoute сохраняет
пакет в кеше и инициирует автодозвон на соответствующей линии(Если автодозвон на
ней разрешен). Этот механизм создает маршрут в таблице маршрутизации, через
который данный пакет покидает сеть.
Телефонная линия может быть разъединена либо вручную, либо автоматически в
случае превыщения лимита ожидания.
Замечания:
1. Чтобы быть уверенным, что автодозвон по требованию работает правильно,
необходимо удостовиться что в настройках сетевых интерфейсов не указаны
шлюзы по умолчанию. Если в настройках хотя-бы одного из интерфейсов указан
шлюз по умолчанию, пакеты будут выходить в Интернет через этот интерфейс и
WinRoute не будет иницировать автодозвон.
2. Если в WinRoute настроено несколько линий для выполнения автодозвона, то
будет использована первая линия. WinRoute не позволяет автоматически
выбирать линию, по которой будет осуществлен дозвон.
3. Дозвон может быть осуществлен также в том случае, если определен
статический маршрут в таблице маршрутизации (См. раздел Таблица
маршрутизации). Если определен статический маршрут через диалап
соединение, то пакет, который соответствует данному маршруту, инициирует
автодозвон данной телефонной линии. Данная линия не будет использоваться в
качестве маршрута по умолчанию. Опция Use default gateway on remote network
будет проигнорирована.
4. В зависимости от некоторых факторов, общее время между иницированием
запроса и получение ответа может быть достаточно большим. В результате
клиент может решить, что запрашиваемый им хост недоступен(если
превышается интервал ожидания) до того, как соединение успеет установиться.
Однако, WinRoute всегда завершает попытки автодозвона. В данном случае
необходимо просто повторить запрос, например, нажав кнопку Обновить в
браузере.
Технические особенности и ограничения
Автодозвон по требованию имеет свои особенности и ограничения. Эти ограничения
должны быть учтены на этапе планирования и конфигурирования сети, которая будет
использовать WinRoute для соединения и диалап соединения, по которому будет
осуществляться подключение к Интернет.
1. Автодозвон по требованию не может быть иницирован непосредственно с той
машины, на которой установлен WinRoute, т.к. автодозвон иницируется
специальный низкоуровневым драйвером WinRoute. Этот драйвер задерживает
прохождение пакета и принимает решение о том, по какой из линий необходимо
осуществитьдозвон. Если линия разъединена и пакет отправлен с локального
хоста в Интернет, то пакет будет отклонен средствами операционной системы до
того, как вступит в работу драйвер WinRoute.
2. Обычно при обращениях клиентов кИнтернет-серверам, сервер представлен в
виде DNS имени. Поэтому, первый пакет, отправляемый клиентом представляет
собой DNS запрос, предназначенный для получения по нему IP адреса сервера.
Например, DNS сервером является машина, на которой работает WinRoute (это
очень частый случай) и диалап соединение не подключено. Запрос клиента на
этот DNS сервер является трафиком внутри локальной сети и поэтому он не
будет иницировать автодозвон. Если DNS сервер не имеет подходящей записи в
своем кеше, то он должен перенаправить запрос на другой сервер, который
находится в Интернет. Этот пакет перенаправляется в Интернет локальным DNS
клиентом, который работает на машине, которой установлен WinRoute. Этот
пакет не может быть обработан драйвером и, соответственно, этот пакет не
может иницировать автодозвон. Поэтому , DNS запрос не может быть обработан
и соединение не может быть установлено.
Для этих целей, WinRoute DNS Forwarder позволяет использовать режим
автоматического дозвона(Если DNS сервер не может ответить на запрос
самостоятельно). Эта функция зависима от автодозвона по умолчанию: если
автодозвон по умолчанию запрещен, то DNS Forwarder не будет иницировать
дозвон.
Замечание: Если DNS сервер находится на другом компьютере локальной сети
или клиенты локальной сети использую внутренний DNS сервер, тогда
ограничения не действуют и автодозвон будет доступен. Если пользовательский
DNS сервер находится в Интернете, дозвон будет осуществлен даже по DNS
запросу пользователя. Если используется локальный DNS сервер, дозвон будет
осуществлен на запрос отправленный сервером в Интернет (шлюз по умолчанию
того компьютера, на котором работет DNS серве должен быть настроен на IP
адрес компьютера WinRoute).
3. Из последнего пункта несложно понять, что если DNS сервер запущен на
машине с работающим WinRoute, он должен быть представлен с помощью DNS
Forwarder потому что он может осуществить автодозвон в случае необходимости.
Если в сети существует домен на базе Active Directory, то обязательно должен
использовать Microsoft DNS сервер, т.к. коммуникация с Active Directory
осущесвтлвяется посредством специальный DNS запросов. Microsoft DNS сервер
не поддерживаени автодозвон. Более того, он не может использоваться на том
же самом компьютере что и DNS Forwarder из-за коллизии портов.
Как
понятно
из
всего
вышеописанного,если
интернет-соединение
устанавливается через диалап, WinRoute не может быть использован на том же
компьютере, на котором работает Windows 2000 серве с развернутой Active
Directory и работающим Microsoft DNS сервером.
4. Если используется DNS Forwarder, WinRoute может осуществить дозвон как ответ
на запрос пользователя в случае выполнения следующих условий:
Сервер назначения должен быть представлен DNS именем так чтобы
приложение могло создать DNS запрос.
В операционной системе в качестве первичного DNS сервера указан IP
адрес брандмауэра.
DNS Forwarder должен быть настроен на перенаправление запросов на
один из DNS серверов (Опция Forward queries to the specified DNS
server(s)). Автоматическое определение DNS серверов не доступно. См.
раздел DNS Форваврдер для получения деталей.
5. Прокси сервер входящий в WinRoute (см. раздел Прокси-сервер) также
предоставляет возможность устанавливать прямые диалап соединения. В
процессе работы открывается специальная страница, которая отображает
текущий статус процесса соединения(процесс обновляется через короткие
промежутки времени). При успешной установке соединения, браузер
перенаправляется на запрашиваемый веб-сайт.
Настройка правил для автодозвона
Автодозвон иногда может осуществляться неумышленно. В большинстве случаев это
происходит из-за DNS запросов, обработанных DNS Forwarder. Возможны следующие
причины:
Компьютер пользователя генерирует DNS запрос в его отстуствие. Это может
быть попытка показать какой-нибудь баннер на локальной HTML странице или
же
попытка
какого-нибудь
приложения
осуществить
автоматическое
обновление.
DNS Forwarder осуществляет дозвон в ответ на запрос имен локальных
компьютеров. Необходимо правильно настроить DNS для локального домена
(используйте системный файл hosts на компьютере WinRoute: для получения
деталей см. раздео DNS Форваврдер).
Замечание: В WinRoute может быть заблокирован нежелательный трафик. Однако, в
целях безопасности рекомендуется найти корень проблемы.
На закладке Конфигурация / Автодозвон в Kerio Administration Console, могут быть
определены побробные правила дозвона определнных DNS имен.
В этой секции Вы можете создать список правил для DNS имен.
При вводе DNS имени Вы можете использовать шаблоны используя символ(*). Он
заменяет любую последовательно символов.
В качестве действия
Ignore(игнорировать).
Вы
можете
использовать
или
Dial(дозваниваться)
или
Список правил обрабатывается сверху вниз(Вы можете менять порядок правил с
помощью стрелок справа). Когда система находит первое правило, которое
удовлетворяет всем требованиями, выполняется соотвествующее действие и поиск
останавливается. Все DNS имена, для которых не удалось найти подходящего правила,
автоматически иницируют дозвон средствами DNS Forwarder.
Функция Dial может быть использована для создания расширенных и более
комплексных правил. Например, может быть разрешен дозвон для одного имени в
определенном домене и запрещен для всех остальных имен (см. картинку выше).
Дозвон локальных DNS имен
Локальные DNS имена - это имена хостов, принадлежащих вашей локальной сети.
Пример: Локальный домен назывется company.com. Хост называется pc1. Полное имя
хоста - это pc1.company.com, где локальное имя это pc1.
Локальные имена обычно хранятся в базе данных локального DNS сервера(в этом
примере, имена сохранены в файле hosts на WinRoute компьютере, который
использует DNS Forwarder). Установленный по умолчанию, DNS Forwarder не иницирует
дозвон при получения этих имен считая что они не существующие, до тех пор, пока он
не сможет найти их в локальной DNS базе данных.
Если первичный сервер локального домена находится вне сети, необходимо чтобы DNS
Forwarder также осуществлял дозвон если запрос пришел с указанных имен.
Активируйте опцию Enable dialing for local DNS names на закладке Other чтобы
разрешить этот механизм(наверху диалогого окна Автодозвон).
Настройки ISS OrangeWeb Filter
Модуль ISS OrangeWeb Filter может быть установлен и сконфигурирован через закладку
ISS OrangeWeb Filter в Configuration / Advanced Options.
Замечание: С ISS OrangeWeb Filter связана отдельная лицензия. Пока WinRoute не
включает лицензию для ISS OrangeWeb Filter, модуль ведёт себя как пробная версия
(это означает, что он перестанет работать через 30 дней с момента инсталляции
WinRoute, а также, что не будут доступны опции в закладке ISS OrangeWeb Filter). Для
более подробной информации о политике лицензирования обратитесь к главе
Регистрация и политика лицензирования.
Сервер
Есть несколько способов задания сервера. Вы можете задать конкретный URL
(например,
www.google.com/index.php),
URL,
удовлетворяющий
регулярному
выражению (например, *.g?ogle.com*) или имя сервера (например, www.google.com).
Имя сервера может быть задано посредством любого URL, ссылающегося на него
(www.google.com/*).
Описание
Только для справки.
Включить ISS OrangeWeb Filter
используйте эту опцию, чтобы включить/выключить модуль ISS OrangeWeb Filter для
классификации web-сайтов.
При выключенном ISS OrangeWeb Filter:
другие опции в закладке ISS OrangeWeb Filter недоступны,
все URL-правила, использующие классификацию ISS OrangeWeb Filter,
выключены (подробности можно найти в главе Система классификации
содержимого (ISS OrangeWeb Filter) ).
Определение категории страницы независимо от правил HTTP
Включение этой опции позволяет ISS OrangeWeb Filter распределять по категориям все
страницы (включая запрещённые). Это может быть особенно полезно для мониторинга
статистики (смотрите главу Пользовательская статистика).
Установки безопасности
WinRoute предлагает несколько опций безопасности, которые невозможно определить
правилами трафика. Эти опции можно установить на вкладке Безопасность (Security) в
разделе Настройка/Продвинутые опции (Configuration / Advanced Options).
Анти-обман
"Обман" (spoofing) - это процесс передачи IP адреса пакета, так что брандмауэр будет
считать, что запрос пришел из надежного источника. Хотя пакет невозможно
промаршрутизировать обратно до точки отправления, есть возможность бессмысленной
перегрузки сети и отказа сервиса. WinRoute может отслеживать трафик и проверять,
чтобы адрес источника пакетов, приходящих на интерфейс, не был связан с сетью
противоположного интерфейса. Другими словами, такой трафик (хотя и возможный)
никогда не оправдан, и его следует блокировать.
Функцию
"анти-обман"
можно
настроить
в
папке
Anti-Spoofing
Настройках/Продвинутых Опциях (Configuration / Advanced Options).
в
Активизировать анти-обман (Enable Anti-Spoofing)
Эта опция активирует функцию анти-обман.
Журнал (Log)
Если эта опция включена, то все пакеты, которые не прошли правила анти-обмана,
будут записаны в Журнал безопасности (Security log) (подробнее см. главу Журнал
безопасности).
Счетчик ограничений связи
Эта функция определяет ограничения максимального количества связей на узел. Эту
функцию можно включать, выключать и настраивать на вкладке Установки
безопасности (Security Settings) в Настройках/Продвинутых опциях (Configuration /
Advanced Options).
Эта функция может быть особенно полезной в следующих случаях:
На локальной сети работает какой-нибудь сервис (например, WWW сервер),
доступный из Интернет (разрешенный правилами трафика —см. главу Политика
трафика). Счетчик ограничений связи защищает внутренние серверы от
переполнения (атаки типа DoS — Denial of Service (отказ сервиса)).
В этом случае ограничения применимы к локальному серверу - сумма
соединений всех связанных клиентов не должна превышать установленный
лимит.
Компьютер-клиент (рабочая станция) локальной сети атакуется червем или
Троянским конем, который пытается установить связь со множеством серверов.
Счетчик ограничения связи защитит узел WinRoute от переполнения и поможет
уменьшить нежелательную деятельность червей и троянов.
В этом случае ограничения применимы к узлу (рабочей станции) локальной сети
- сумма связей, установленных с этого компьютера с индивидуальными
серверами Интернет, не должна превышать установленный лимит.
Universal Plug-and-Play (UPnP)
WinRoute поддерживает протокол UPnP (Universal Plug-and-Play). Этот протокол
позволяет приложениям клиента (например Microsoft Messenger) обнаружить
брандмауэр и сделать запрос для установления связи с соответсвующими портами
конкретного удаленного компьютера. Эта связь временная.
Чтобы
настроить
UPnP
зайдите
Конфигурация/Дополнительные опции.
в
папку
Настройки
безопасности
в
Включить UPnP
Эта опция включает UPnP.
Предупреждение: Если WinRoute запучен в операционной системе Windows XP, перед
тем, как включить функциюUPnP проверьте, не запущены ли следующие системные
службы :
SSDP Discovery Service
Universal Plug and Play Device Host
Если любая из этих служб запущена, закройте её и запретите её автоматический
запуск.
В WinRoute эти службы не могут использоваться вместе с UPnP.
Лимит времени связи с портом.
Из соображений безопасности, порты, запрашиваемые приложениями, связаны с ними
только на определённый период. Связь автоматически прерывается по требованию
приложения или, когда лимит времени(в секундах) превышен.
UPnP также позволяет приложению открывать порты на требуемый период.Здесь
параметр Лимит времени связи с портом также представляет максимальный период, на
который порт будет доступен для приложения (даже если приложение запрашивает
более долгийй период, он автоматически уменьшится до этого значения).
Регистрировать пакеты
Если эта опция включена, все пакеты, проходящие через порт, связанный при помощи
UPnP, будут записаны в Журнале безопасности (смотри раздел Журнал безопасности).
Регистрировать соединения
Если эта опция включена, все соединения, проходящие через порты связанные при
помощи UPnP,будут записаны в Журнале соединений (смотри раздел Журнал
соединений).
Предупреждение: Помипо того, что UPnP это полезное средство, он может поставить
под угрозу безопасность сети, особенно в случае сетей с большим количеством
пользователей, где брендмауэром не могут управлять слишком много пользователей.
Администратору WinRoute следует тчательно обдумывать, предпочесть ли безопасность
или работу приложений, которые требуют UPnP.
Используя политику учета трафика (смотри раздел Определение правил контроля
трафика), Вы можете ограничить использование UPnP и включать его для
определённых IP адресах или только для определённых пользователей .
Пример:
Первое правило разрешает UPnP только для IP из группы UPnP клиентов. Второе
правило запрещает UPnP для других удалённых компьютеров (IP адрессов).
VPN, использующий протокол IPSec
IPSec (IP Security Protocol, (Протокол Безопасности IP)) - это расширенный IP протокол.
Он предлагает службу кодировки. Эта служба обеспечивает аутентификацию, а также
доступ и контроль за надежностью. IPSec обеспечивает сервис, сходный с SSL, но
работает на уровне сети. Через IPSec вы можете создавать кодированные туннели
(VPN) или кодировать трафик между двумя узлами.
WinRoute имеет так называемый IPSec проход. Это значит, что WinRoute не имеет
инструментов для установки соединения IPSec (туннеля), но он может обнаружить
IPSec протокол и активизировать трафик между локальной сетью и Интернет.
Примечание: Функция IPSec прохода гарантирует полную функциональность
существующих IPSec клиентов и работает после запуска WinRoute и Интернет шлюза.
Если вы собираетесь разрабатывать и внедрять новые виртуальные частные сети, мы
рекомендуем использовать собственное VPN решение WinRoute (см. главу Kerio VPN).
Предпочтения IPSec
Предпочтения IPSec можно установить в области IPSec Проход на вкладке Установки
Безопасности (Security Settings) в разделе Настройки/Продвинутые опции (Configuration
/ Advanced Options). Более подробная информация по IPSec приведена в главе
Конфигурация IPSec WinRoute.
Активировать (Enable)
Эта опция активирует проход IPSec.
Необходимо установить пустой тайм-аут для соединения IPSec (время по умолчанию
составляет 3600 секунд, что равно 1 часу). Если за это время не будет передано
никакой информации, и соединение не будет закрыто должным образом, то WinRoute
будет считать, что соединение закрыто, и при этом будет доступен проход к другому
компьютеру (другой IP адрес).
Активировать проходы только для узлов (Enable pass-through only for hosts)
Можно ограничить количество узлов, использующих IPSec проход, определив
определенную область IP адресов (обычно это узлы, на которых работают IPSec
клиенты). Используйте кнопку Правка (Edit), чтобы редактировать выделенные группы
IP, или чтобы добавить новую группу.
Конфигурация WinRoute's IPSec
Вообще, коммуникации через IPSec должны быть разрешены политикой брандмауэра
(подробнее см. в главе Определение пользовательских правил трафика). IPSec
протокол использует два канала трафика:
IKE (Internet Key Exchange (Интернет обмен ключами) — обмен кодовыми
ключами и другой информацией).
кодированные данные (используется IP протокол номер 50)
Откройте раздел Настройки/Политика трафика (Configuration / Traffic Policy), чтобы
установить правила, определяющие коммуникацию между клиентами IPSec (адресная
группа VPN описана в примере) и сервером (в примере описан сервер
ipsec.server.cz).
Примечание: WinRoute обеспечивает работу установленных сервисов IPSec и IKE.
IPSec клиент в локальной сети
Этот раздел руководства описывает настройку WinRoute для тех случаев, когда IPSec
клиент или сервер расположены в локальной сети, и WinRoute обеспечивает перевод IP
адреса (NAT - подробнее см. главу Плитика Трафика).
1. IPSec клиент на узле WinRoute
В этом случае NAT не оказывает влияния на трафик IPSec (IPSec клиент должен
использовать общий IP адрес узла WinRoute). Необходимо только определить
правила трафика, разрешающие IPSec коммуникацию между брандмауэром и
сервером IPSec.
Колонка Перевод (Translation) должна быть пустой - перевод IP не выполняется.
Установки прохода в данном случае не важны (они не могут применяться).
2. Один IPSec клиент в локальной сети (один туннель)
Если в каждый момент создается только один IPSec туннель от локальной сети в
Интернет, то это зависит от типа IPSec клиента:
Если IPSec клиент и IPSec сервер поддерживают функцию NAT Передачи
(NAT Traversal) (клиент и сервер могут обнаружить, что IP адрес по пути
между ними был транслирован), то IPSec должен быть отключен (иначе
может возникнуть конфликт).
NAT Передача поддерживается, например, программным обеспечением
Nortel Networks' VPN (http://www.nortelnetworks.com/).
Если IPSec клиент не поддерживает
активизировать IPSec проход в WinRoute.
NAT
Передачу,
необходимо
В обоих случаях, коммуникации IPSec между клиентом и IPSec сервером должны
быть разрешены правилами трафика. В колонке Передачи (Translation) должен
быть указан NAT (так же как для коммуникаций между локальной сетью и
Интернет).
3. Несколько IPSec клиентов в локальной сети (несколько туннелей)
Если предполагается создавать несколько IPSec туннелей от локальной сети в
Инетренет, все IPSec клиенты и соответствующие серверы должны поддерживать
NAT Передачу (см. выше). Поддержка IPSec в WinRoute должна быть отключена,
чтобы не возникало конфликтов.
Снова, трафик между локальной сетью и соответствующими IPSec серверами
должен быть разрешен правилами трафика.
IPSec сервер в локальной сети
Сервер IPSec на узле локальной сети или на узле WinRoute должен быть картирован из
Интернет. В этом случае трафик между Интернет клиентами и узлом WinRoute должен
быть разрешен правилами трафика, и должно быть установлено картирование до
соответствующего узла локальной сети.
Предупреждение: с общего IP адреса брандмауэра может быть картирован только один
IPSec сервер. Чтобы картировать несколько IPSec серверов, брандмауэр должен
использовать несколько общих IP адресов.
Пример: мы хотим установить, чтобы два сервера IPSec были доступны из Интернет —
один на узле WinRoute, и другой на узле с IP адерсом 192.168.100.100. Связанный с
Интернет интерфейс брандмауэра использует адреса 60.80.100.120 и 60.80.100.121.
Проверка обновлений сервера
WinRoute способен автоматически совершать проверку обновленний сервера на сайте
Kerio Technologies. Как только новая версия находится, дистрибутив сгружается и
пользователю предлагается ее установка.
Откройте вкладку Update Checking в секции Configuration / Advanced Options, чтобы
посмотреть информацию о новой версии сервера и для настройки автоматической
проверки обновлений.
Last update check performed ... ago (Последняя проверка обновлений была столько то
времени назад)
Информация сколько времени прошло с последней проверки обновлений.
Если последняя проверка была достаточно давно (несколько дней), это может означать,
что автоматическая проверка обновлений нарушена по некоторым причинам
(например доступ к серверу обновлений блокирован Правилом траффика (traffic
rule ). В этом случае рекомендуется проверить обновления вручную (нажав кнопку
"Check now"), посмотреть результат попытки в Debug log (см. главу Debug Log) и
принять соответствующие меры.
Проверка новых версий.
Используйте эту опцию для разрещения/запрещения
обновлений. Проверка совершается:
автоматической
проверки
через 2 минуты после каждого запуска WinRoute Firewall Engine
каждые 24 часа
Результаты каждой проверки обновлений (удачной или нет ) регистрируется в Debug
log (см. главу Debug Log).
Check also for beta versions (проверка также бета версий)
Включите эту опцию, если вы хотите чтобы WinRoute осуществлял также проверку бета
версий продукта.
Если вы хотите принять участие в тестировании бета версий WinRoute , включите эту
опцию. В случае если вы используете WinRoute в работе вашей компании (например
как Internet-шлюз вашей компании), рекомендуется выключить эту опцию (бета версии
не протестированны и могут нарушить функционирование вашей сети, и т.д.).
Check now
Нажмите на эту кнопку, чтобы проверить обновления назамедлительно. Если новая
версия не обнаружена , пользователь будет проинформирован об этом.
SMTP Транслятор (SMTP Relay)
WinRoute имеет
функцию
оповещения
(alert
function) которая
может слать сообщения пользователям
и/или
администраторам по электронной
почте. Эти сообщения могут посылаться по различным причинам , например
когда обнаружен вирус (см. главу HTTP и FTP сканирование), обнаружена Peer-to-Peer
сеть (см. главу P2P Eliminator ), возникают определенные события (см. User Accounts )
или при приеме оповещения (см. Alerts).
Для этих целей
WinRoute нужен SMTP Relay Server. Этот сервер нужен для рассылки сообщений на
установленные адреса.
Замечание: WinRoute не содержит встроенного сервера SMTP.
Для
конфигурации
сервера
Configuration/Advanced Options.
SMTP, выберите вкладку
SMTP
server в
Server
Имя и IP адрес сервера.
Замечание:
Если
есть
возможность,
мы
рекомендуем
использовать сервер SMTP внутри локальной сети (сообщения посланные программой
WinRoute часто адресованы локальным пользователям).
SMTP requires authentication
Включите эту опцию, чтобы пользователю пришел запрос на аунтефикацию при
использовании SMTP сервера.
Specify sender email address in "From" header
Включив эту опцию вы сможете задать email адрес отправителя (обычно появляется в
поле From) для сообщений посланных программой WinRoute (email или
SMS
оповещения посылаемых пользователю). Установка поля From
не влияет на
сообщениям посылаемым в процессе антивирусной проверки (см. Сканирование
почты).
Эта опция должна быть установлена только тогда, когда SMTP сервер проверяет
заголовки
(например
сообщения
без
заголовков
или
с
неправильными
From полями рассматриваются как спам). Опция может быть использована для того,
чтобы почтовый клиент получателя мог послать письмо по указанному в поле адресу,
или же для классификации электронной почты. По этим причинам рекомендуется
всегда указывать email адрес отправителя в поле From.
Предупреждение:
1. Если SMTP сервер определен через DNS имя (например smtp.mail.ru), он не
может
быть
использован
до
тех
пор,
пока
WinRoute
не
определит(resolve) IP адрес SMTP сервера
(с помощью
DNS запроса).
Предупреждение "The IP address of specified SMTP server cannot be resolved"
появится во вкладке SMTP Relay до тех пор, пока IP адрес с соответствующим
DNS именем не будет найден.
Если
предупреждение
продолжает
отображаться,
значит
указано
несуществующее DNS имя или DNS сервер не отвечает. Поэтому рекомендуется
указывать SMTP сервер посредством IP адреса.
2. Сообщения с SMTP сервером не должно блокироваться никакими Правилами
траффика (traffic rules), в противном случае
при нажатии кнопки Apply
появится ошибка "Connection to SMTP server is blocked by traffic rules" .
Для более детальной информации о Правилах траффика (traffic rules), смотрите
главу Traffic Policy.
Блокировщик P2P сетей (P2P Eliminator)
Peer-to-Peer (P2P ) сети это широко распространенные распределенные системы, где
каждый узел (node) может представлять как сервер так и клиент. Такие сети
используются для распространения больших объемов информации (по большей части
распространение незаконно). Очень много схожих сетей, таких как DirectConnect,
Kazaa, и т.д.
В дополнении к нелегальному распространению информации, сети P2P перегружают
линии связи с Internet. Пользователи использующие P2P сети, часто ограничивают
других пользователей в той же локальной сети и увеличивают стоимость использования
линии связи ( например когда траффик для линии ограничен).
WinRoute поставляется с модулем P2P Eliminator, который обнаруживает соединения
пользователей с сетями P2P и принимает соответствующие меры. Т.к. существует
большое количество различных сетей P2P и параметры узлов сети (сервера, число
соединений и т.д.) могут меняться, то сложно обнаружить все соединения с сетями P2P
. Как бы там ни было, используя различные методы (известные порты, соединенияи и
т.д.), модуль P2P Eliminator способен определять соединяется ли пользователь с
сетями P2P.
Замечание: В соответствии с тестами, модуль достаточно объективно определяет
соединения P2P сетей (вероятность ошибки очень мала).
Настройка модуля P2P Eliminator
Для настройки модуля P2P Eliminator , выберите вкладку P2P Eliminator в секции
Configuration / Advanced Options .
Блокировка сетей P2P в модуле P2P Eliminator.
Как было сказано раньше, не возможно блокировать все соединения с конкретными P2P
сетями. P2P Eliminator блокирует соединения с Internet определенные хосты т.е.
блокирует определенных пользователей, или же разрешает этим пользователям
соединяться только с определенными сервисами.
Нажав кнопку Services , вы откроете диалог для разрешения использования
определенных сервисов. Все сервисы указанные в Configuration / Definitions / Services
становятся доступны (см.Сервисы).
Используйте параметр Use the Block traffic for ... minutes для блокировки траффика в
течении определенного времени, для конкретного хоста. Модуль P2P Eliminator
разблокирует траффик автоматически по истечении данного времени. Время
блокировки должно быть достаточно долгим, чтобы пользователь перестал пытаться
присоединиться к сетям peer-to-peer.
Используйте опцию Check the Inform user если вы хотите, чтобы пользователи знали
какие действия были предприняты (блокировка траффика/временные ограничения,
период ограничений). Эта опция не применима к неавторизованным пользователям.
Замечание:
1. Если пользователю разрешено пользоваться сетями P2P (см.User Accounts) и он
соединен с firewall, ограничения не применяются. Ограничения модуля P2P
Eliminator всегда применяются к неавторизованным пользователям.
2. Информацию о сетях P2P и блокировках траффика можно посмотреть в секции
Status / Hosts/users (подробнее см. Hosts and Users).
3. Если вы хотите оповестить кого-нибудь об обнаружении сетиP2P (например
администратора WinRoute ), установите оповещение в секции Configuration /
Logs &Alerts (подробнее см. Alerts).
Параметры определения сетей P2P
Нажмите Advanced чтобы установить параметры обнаружения сетей P2P:
P2P network port(s) - список портов (можно указывать диапазон), используемых
только сетями P2P. Эти порты обычно являются, портами контроля
для распространения мета информации между узлами сети.
Вы можете указать порты сети P2P или диапазон портов. Используйте запятые
для разделения значений.
Connection count - минимальное число одновременных соединений пользователя
для запуска проверки его на соединение с сетью P2P .
Большое число соединений типично для сетей P2P (одно соединение на каждый
файл).
Оптимальное число зависит от конкретного случая (работы пользователя,
использования сетевых приложений и т.д.) и должно быть протестировано.Если
значение слишком низкое, пользователи не использующие сети P2P могут быть
заподозрены в этом. Если значение слишком большое, надежность обнаружения
падает (меньше сетей P2Pобнаруживается ).
Kerio VPN
Содержание
Настройка сервера VPN
Настройка клиента VPN
Обмен маршрутной информацией
Соединение двух частных сетей через Internet (VPN tunnel)
Пример настройки туннеля VPN
WinRoute
позволяет
создавать
защищенные
внешние
соединения
удаленных локальных сетей, а также обеспечивает клиентам безопасный доступ к их
локальной сети через Internet, используя кодированное тунеллирование (tunneling) .
Такой метод соединения сетей (и доступ удаленных клиентов к локальной сети)
называется virtual private network (VPN ). WinRoute включает в себя соответствующую
реализацию VPN, называемую Kerio VPN.
Kerio VPN может быть использован совместно с firewall и с NAT (даже в случае с
многочисленными перенаправлениями пакетов). Создание защищенного туннеля
(tunnel) между сетями и обеспечение Internet доступа клиентов к локальной сети
очень просто.
Kerio VPN позволяет создавать любое количиство защищиенных server-toserver соединений (например туннелей к локальным сетям). Туннели создаются между
двумя серверами WinRoute (которые обычно являются Internet-шлюзами для
соответствующих
сетей).
Сервера идентифицируют
друг
друга,
используя
SSL сертификаты - это дает уверенность что туннель создастся между доверяющими
друг другу серверами.
Отдельные хосты также могут присоединяться к VPN серверу вWinRoute (защищенное
client-to-server соединение). Аунтефикация пользователей проходит через запрос их
имени и пароля по защищенному соединению,поэтому не аунтефицированные
пользователи не могут иметь доступ к локальным сетям.
Удаленные соединения пользователей происходят через программу Kerio VPN Client,
включаемую в WinRoute (для более детального описания смотрите, руководство
пользователя (User Guide) программыKerio VPN Client.
Замечание:
При установке Kerio VPN, предполагается что WinRoute уже установлен
на хост, который используется как Internet- шлюз. Если это не так, тогда Kerio VPN
также можно использовать, но его настройка может быть достаточно сложной.
Преимущества Kerio VPN
По сравнению с другими продуктами, обеспечивающих безопасные соединения к
локальным сетям через Internet, Kerio VPN обеспечивает несколько преимуществ и
дополнительных удобных инструментов.
Легкая настройка (всего несколько основных параметров требуется для
создания туннеля и настройки сервера к которому клиенты будут коннектиться).
Не требуется дополнительного программного обеспечения (Kerio VPN Client
должен быть установлен на удаленных клиентов - дистрибутив занимает около
3М).
Не возникает конфликтных ситуаций, когда защищенные каналы создаются
через firewall. Предполагается, что один или несколько firewalls (с или безNAT)
используются между сетями (или между клиентом и локальными сетями).
Не требуется специальных пользовательских аккаунтов для клиентов VPN.Для
аунтефикации используются пользовательские аккаунты в WinRoute или
доменные аккаунты в Active Directory (см. главу Firewall User Authentication ) .
Данные о туннелях VPN и клиентах VPN можно просмотреть в WinRoute (см.
главу Interface statistics).
Конфигурация сервера VPN
Сервер VPN используется для связи удаленых концов VPN туннелей и удаленных
клиентов с использованием Kerio VPN Клиента.
Примечание: соединение сервера VPN через Интернет должно быть разрешено
правилами трафика. Подробная информация приведена в главах Настройка VPN
клиентов и Взаимодействие двух частных сетей через Интернет (VPN туннель).
VPN
сервер
доступен
на
вкладке
Интерфейсы
(Interfaces)
в
Настройки/Интерфейсы (Configuration / Interfaces) как отдельный интерфейс.
разделе
Двойной щелчок на интерфейсе сервера VPN открывает диалог, позволяющий
установить параметры сервера VPN (можно также выделить интерфейс и нажать Правка
(Edit) или выбрать Правка (Edit) из контекстного меню).
Общее
Активизировать сервер VPN (Enable VPN server)
Эта функция позволяет включить/отключить сервер VPN. Сервер VPN использует
протоколы TCP или UDP, по умолчанию используется порт 4090 (в продвинутые опциях
порт можно изменить , но обычно в этом нет необходимости). Если сервер VPN не
используется, его рекомендуется отключить.
Действие будет выполнено при щелчке на кнопке Применить (Apply) на вкладке
Интерфейсы (Interfaces).
Назначение IP адреса (IP address assignment)
Спецификация подсети (т.е. IP адрес и соответствующая маска сети), откуда будут
назначаться IP адреса VPN клиентам и удаленным концам VPN туннелей, связанным с
сервером (все клиенты будут соединяться через эту подсеть).
По умолчанию (при первом запуске после инсталляции) WinRoute автоматически
выбирает свободную подсеть, которая будет использоваться для VPN. При обычных
условиях изменять установленную по умолчанию сеть нет необходимости.
Предупреждение: убедитесь, что подсеть VPN клиентов не конфликтует с локальной
подсетью!
WinRoute может определять конфликты подсети VPN с локальными подсетями.
Конфликт может возникнуть в том случае, если конфигурация локальной сети изменена
(смена IP адреса, добавление новой подсети и т.д.), или если подсеть для VPN выбрана
невнимательно. Если подсеть VPN конфликтует с локальной сетью, при сохранении
настроек появится предупреждение (при щелчке на Применить (Apply) на вкладке
Интерфейсы (Interfaces). В таком случае нужно переопределить подсеть VPN.
После каждого изменения конфигурации локальной сети и/или VPN рекомендуется
проверять, не появилось ли сообщение о конфликтах IP.
Примечания:
1. В определенных условиях конфликты с локальной сетью могут появиться, когда
подсеть
VPN
устанавливается
автоматически
(если
позже
изменили
конфигурацию локальной сети).
2. В случае двух VPN туннелей при установлении соединения проверяется, не
конфликтует ли подсеть VPN с IP диапазоном другого конца туннеля (удаленной
точки).
Если при изменении конфигурации VPN сервера появляется сообщение о
конфликте с IP диапазоном (при щелчке на кнопке Применить на вкладке
Интерфейсы), подсеть VPN нужно определить вручную. Выберите сеть, не
используемую локальными сетями, участвующими в соединении. Подсети VPN с
разных концов туннеля не должны быть идентичными (нужно выбрать две
свободные подсети).
3. VPN клиентам можно назначить IP адреса, чтобы регистрировать
пользователя. Подробнее см. в главе Учетные записи пользователей.
имя
SSL сертификат
Информация о текущем сертификате VPN сервера. Этот сертификат используется для
удостоверения подлинности сервера при создании VPN туннеля (подробнее см. главу
Взаимодействие двух частных сетей через Интернет (VPN туннель)). Сервер VPN в
WinRoute использует стандартный сертификат SSL.
Для определения VPN туннелей требуются "отпечати пальцев"
Взаимодействие двух частных сетей через Интернет (VPN туннель)).
(см.
главу
Совет: "отпечатки пальцев" сертификата можно скопировать в буфер обмена и вставить
в текстовый файл, почтовое сообщение и т.д.
Щелкните Изменить Сертификат SSL (Change SSL Certificate), чтобы установить
параметры для сертификата или VPN сервера. Для VPN сервера можно создать
пользовательский (самоподписанный) сертификат или импортировать сертификат,
созданный авторитетной компанией. Методы, используемые для создания и импорта
сертификатов SSL, описаны в главе Настройки параметров Web интерфейса.
Примечание: если у вас уже есть сертификат, созданный авторитетной компанией
специально для вашего сервера (для безопасного web интерфейса), его можно
использовать и для сервера VPN - необязательно просить новый сертификат.
DNS
Определение сервера DNS, который будет использоваться для VPN клиентов:
Использовать WinRoute как сервер DNS (Use WinRoute as DNS server) — IP адрес
соответствующего интерфейса узла WinRoute будет использоваться как сервер
DNS для VPN клиентов (VPN клиенты будут использовать DNS Форвардер).
Если DNS Форвардер уже используется как сервер DNS для локальных узлов,
рекомендуется его использовать и для VPN клиентов. DNS Форвардер
обеспечивает самые быстрые ответы на DNS запросы клиентов, это также
позволит избежать возможных конфликтов (несовместимости) записей DNS.
Примечание: если DNS Форвардер отключен (см. главу DNS Форвардер), эта
опция будет недоступна.
Использовать специальные серверы DNS (Use specific DNS servers) — эта опция
позволяет указать основной и вторичный DNS серверы для VPN клиентов.
Если в локальной сети используется не DNS Форвардер, а другой DNS сервер, то
используйте эту опцию.
Продвинутые настройки
Слушать порт (Listen on port)
Порт, на котором VPN сервер принимает входящие соединения (используются
протоколы TCP, и UDP). По умолчанию установлен порт 4090 (в обычных условиях
изменять порт нет необходимости).
Примечания:
1. Если VPN сервер уже работает, во время смены порта связь со всеми VPN
клиентами будет автоматически разрываться.
2. Если сервер VPN не может работать на указанном порту (порт используется
другой службой), при щелчке на кнопке Применить (Apply) в журнале ошибок
(Error log) (см. главу Журнал ошибок) появится следующее сообщение об
ошибке:
(4103:10048) Socket error: Unable to bind socket
for service to port 4090.
(5002) Failed to start service "VPN"
bound to address 192.168.1.1.
Чтобы убедиться, что указанный порт действительно свободен, просмотрите
Журнал ошибок на предмет появления подобных записей.
Пользовательские маршруты (Custom Routes)
В этом разделе можно определить другие сети, к которым будут установлены маршруты
через VPN туннель. По умолчанию определены маршруты ко всем локальным подсетям
со стороны сервера VPN - см. главу Обмен информацией маршрутизации).
чтобы определить маршрут к
определенному узлу. Это может помочь, например, при добавлении маршрута к узлу в
демилитаризованной зоне со стороны VPN сервера.
Совет: используйте сетевую маску 255.255.255.255,
Настройки VPN клиентов
Чтобы позволить соединение удаленных клиентов с локальной
кодированные каналы, нужно соблюсти следующие условия:
сетью
через
У удаленных клиентов должен быть установлен Kerio VPN Клиент (детальное
описание дано в отдельном документе, Kerio VPN Клиент - Руководство
Пользователя (Kerio VPN Client — User Guide))
Пользователи, чьи учетные записи используются для аутентификации в Kerio
VPN Клиент, должны обладать правами, позволяющими им связаться с сервером
VPN WinRoute (см. главу Учетные Записи Пользователей).
Правила трафика должны разрешать соединение с сервером VPN из Интернет, а
также коммуникацию между VPN клиентами.
Примечание: удаленные VPN клиенты, связывающиеся с WinRoute, включены в список
лиц, пользующихся лицензией (см. главы Регистрация и Лицензия и Счетчик
Пользователя). Учтите это при выборе типа приобретаемой лицензии (или решая,
купить ли обновление для большего количества пользователей).
Базовые настройки правил трафика для VPN клиентов.
Первое правило позволяет соединение с сервером VPN WinRoute из Интернет.
Чтобы ограничить количество IP адресов, с которых будет
соединение с сервером VPN, редактируйте поле Источник (Source).
разрешено
По умолчанию сервис Kerio VPN определен для протоколов TCP и UDP, порт
4090. Если сервер VPN работает на другом порту, этот сервис должен быть
переопределен.
Второе правило позволяет коммуникации между брандмауэром, локальной сетью
и VPN клиентами.
Если правила установлены таким образом, то все VPN клиенты получат доступ к
локальной сети и наоборот (все локальные узлы смогут связываться со всеми VPN
клиентами). Чтобы ограничить тип сети, доступной для VPN клиентов, нужно
установить специальные правила. Примеры правил трафика приведены в главе Пример
Конфигурации VPN Туннеля.
Примечания:
1. Если для создания правил трафика используется Мастер Сетевых Правил
(Network Rules Wizard), описанные правила могут создаваться автоматически
(включая сопоставление VPN клиентов с Источником (Source) и Местом
назначения (Destination)). Чтобы сгенерировать правила автоматически,
выберите на шаге 5 "Да, я хочу использовать Kerio VPN" (Yes, I want to use Kerio
VPN). Более подробно читайте в главе Мастер Сетевых Правил.
2. Для доступа в Интернет VNP клиенты используют свое текущее Интернет
соединение. VPN клиентам не разрешается связываться с Интернет через
WinRoute (настройки шлюза по умолчанию для клиентов установить
невозможно).
3. Детальное описание того, как определить правила трафика, даны в главе
Политика Трафика.
Обмен информацией маршрутизации
Автоматический обмен информацией маршрутизации (т.е. данными о трактах до
локальных подсетей) производится между конечными точками любого VPN туннеля
(или между VPN сервером и VPN клиентом). Это подразумевает, что таблицы
маршрутизации с обоих сторон всегда обновлены (даже когда производятся какие-то
изменения конфигураций с какой-либо стороны туннеля). В ручной маршрутизации нет
необходимости, если обе стороны (сети) используют в качестве шлюза по умолчанию
WinRoute.
Примечание: что касается VPN клиентов, информация маршрутизации отправляется
только с сервера соответствующему клиенту.
Обмениваемые тракты
При обмене информацией маршрутизации используются следующие правила:
тракты по умолчанию, а также тракты к сетям со шлюзом по умолчанию не
обмениваются (шлюз по умолчанию не может обмениваться с удаленными
клиентами и/или с удаленными конечными точками туннеля);
тракты к подсетям, которые идентичны с обоих сторон туннеля, не обмениваются
(маршрутизация локальной и удаленной сетей с идентичными диапазономи IP не
разрешается);
другие тракты (т.е. тракты к локальным подсетям на удаленных концах VPN
туннелей кроме вышеописанных случаев, все другие VPN и все VPN клиенты) обмениваются.
Обновление таблиц маршрутизации
Информация маршрутизации обменивается:
при соединении с VPN туннелем, или когда VPN клиент соединяется с сервером,
при изменении информации в таблице маршрутизации с какой-либо стороны
туннеля,
периодически, раз в 30 секунд (VPN туннель) или раз в 1 минуту (VPN сервер).
Тайм-аут запускается при каждом обновлении (не зависимо от причин
обновления).
Взваимодействие двух частных сетей через Интернет (VPN туннель)
Чтобы было возможным создание кодированных туннелей между локальной и
удаленной сетями через Интернет (VPN туннель), в обоих сетях должен быть
установлен WinRoute (версия 6.0.0 или выше), включая поддержку VPN (поддержка
VPN включена в типовую установку - см. главу Установка).
Примечание: каждая установка WinRoute требует отдельной лицензии (см. главу
Регистрация и лицензионная политика).
Установка серверов VPN
Во-первых, сервер VPN должен быть разрешен политикой трафика, и активирован с
обоих концов туннеля. Детальное описание конфигурации VPN сервера дано в главе
Настройки VPN сервера.
Определение туннеля до удаленного сервера
С обоих концовVPN туннеля должен быть определен туннель до сервера с другой
стороны. Чтобы создать новый туннель, используйте опции Создать/VPN туннель (Add /
VPN tunnel) в разделе Интерфейсы (Interfaces).
Название туннеля (Name of the tunnel)
Каждый VPN туннель должен иметь уникальное имя. Это имя будет использоваться в
таблице интерфейсов, в правилах трафика (см. главу Определение пользовательских
правил трафика) и в статистике интерфейса (подробнее в главе Статистика
интерфейса).
Конфигурация (Configuration)
Выбор режима локального конца туннеля:
Активный— эта сторона туннеля будет автоматически пытаться установить и
поддерживать соединение с удаленным VPN сервером.
Спецификация удаленного сервера VPN должна быть установлена через Имя
удаленного сервера (Remote host name) или IP адрес. Если удаленный сервер
VPN не использует порт 4090, нужно указать соответствующий номер порта,
разделенный
двоеточием
(например,
server.company.com:4100
или
10.10.100.20:9000).
Этот режим доступен, если известен IP адрес или DNS имя другой стороны
туннеля, и удаленная сторона может принимать входящие соединения (т.е.
коммуникация не блокируется брандмауэром на удаленной стороне туннеля).
Пассивный — этот конец туннеля будет только слушать входящие соединения с
другой (активной) стороны.
Пассивный режим полезен лишь в том случае, когда локальный конец туннеля
имеет фиксированный IP адрес, и когда он может принимать входящие
соединения.
По крайней мере один конец каждого VPN туннеля должен быть переключен на
активный режим (пассивные серверы не могут инициировать соединение).
Конфигурация удаленного конца туннеля.
При создании VPN туннеля, идентификационная информация удаленного конца
аутентифицируется методом "отпечатков пальцев" или через сертификат SSL. Если
"отпечатки пальцев" не совпадают с установленными в настройках туннеля, соединение
будет блокироваться.
"Отпечатки пальцев" локального сертификата и информация для спецификации
удаленных "отпечатков пальцев" даны в разделе Установки для удаленнго конца
(Settings for remote endpoint). Укажите "отпечатки пальцев" для сертификата
удаленного VPN сервера, и наоборот - укажите "отпечатки пальцев" локального
сервера в настройках удаленного сервера.
Если локальная сторона переключена на активный режим, сертификат удаленной
стороны и ее "отпечатки пальцев" можно скачать, щелкнув Определить удаленный
сертификат (Detect remote certificate).
Если локальный VPN сервер настроен на пассивный прием, то получить удаленные
"отпечатки пальцев" автоматически невозможно. Их можно получить с удаленного VPN
сервера вручную. Пассивные концы туннеля невозможно обнаружить какими-либо
удаленными сертификатами.
Однако, этот метод установки "отпечатков пальцев" не является безопасным возможно использовать поддельный сертификат. Если для настроек VPN туннеля
используются "отпечатки пальцев" поддельного сертификата, можно создать туннель
для ложной удаленной точки (для атак). Более того, действующий сертификат не будет
приниматься другой стороной. Следовательно, ради безопасности, рекомендуется
устанавливать "отпечатки пальцев" вручную.
Установки DNS
С обоих сторон туннеля необходимо должным образом настроить DNS, чтобы можно
было соединяться с узлами удаленной сети, используя DNS имена. Одним из способов
является добавть с каждой стороны туннеля записи DNS узлов (host файлу). Онако,
этот метод очень сложен и негибок.
При использовании с обоих концов туннеля в качестве DNS сервера DNS Форвардера,
запросы DNS (правила DNS описаны в главе DNS Форвардер) могут пересылаться
именам узлов в соответствующем домене DNS форвардера с другого конца туннеля.
Подробное руководство для настройки DNS дано в главе Пример настройки VPN
туннеля.
Установление соединения
Активная сторона автоматически пытается восстановить соединение, если обнаружено,
что
связь
с
соответствующим
туннелем
разорвалась
(первое
соединение
устанавливается сразу после определения туннеля при щелчке на кнопке Применить
(Apply) в разделе Настройка/Интерфейсы (Configuration / Interfaces)).
VPN туннели можно отключить, нажав на кнопку Отключить (Disable). Оба конца
выделенного туннеля должны автоматически отключиться (независимо от того, активны
они или пассивны).
Примечание: VPN туннели поддерживают соединение (регулярно посылая специальные
пакеты), даже если не передается никакой информации. Это защищает туннели от
обрыва связи между ними другими брандмауэрами или сетевыми устройствами между
концами туннеля.
Установки политики трафика для VPN
При создании VPN туннеля (см. главу Взаимодействие между двумя частными сетями
через Интернет (VPN туннель), коммуникации между локальной сетью и сетью,
связанной через этот туннель, должно быть разрешено правилами трафика. Если с
помощью Мастера уже установлены базовые правила трафика (см. главу Настройка
VPN клиентов), просто добавьте соответствующий VPN туннель в правило локального
трафика (Local Traffic).
Примечание: правила трафика, установленные этим методом, позволяют полные IP
коммуникации между локальной сетью, удаленной сетью и всеми VPN клиентами. Чтобы
ограничить доступ, определите соответствующие правила трафика (для локального
трафика, VPN клиентов, VPN туннеля и т.д.). Пример можно найти в главе Пример
конфигурации VPN туннеля.
Пример конфигурации VPN туннеля
Данная глава представляет подробное описание того, каким образом можно создать
защищенный туннель, соединяющий две приватные подсети с помощью Kerio VPN. Этот
пример с легкостью может быть оптимизирован в соотвествии с Вашей ситуацией.
Замечение: Этот пример описывает более сложныей пример VPN с ограниением прав
доступа для индивидуальных локальных сетей и VPN клиентов. Пример базового
конфигурирования VPN описан в документе Kerio WinRoute Firewall — Step By Step
Configuration.
Спецификация
Предположим, что компания имеет головной офис в Москве и одно отделение в СанктПетербурге. Нам необходимо объединить эти две локальные сети посредством VPN
туннеля используя Kerio VPN. VPN клиенты будут иметь возможность подключаться к
локальной сети головного офиса.
Сервер (шлюз по умолчанию) головного офиса имеет публичный IP адрес 63.55.21.12
(DNS имя - moscow.company.com), сервер отделения компании имеет динамический IP
адрес, назначаемый DHCP.
Локальная сеть головного офиса состоит из двух подсетей:LAN 1 и LAN 2. Головной
офис использует домен company.com.
Локальная сеть отделения состоит из одной подесети: LAN. Доменное имя филиала
filial.company.com.
Следующие картинки показывают схему функционирования всей системы в целом,
включая IP адреса и VPN туннели, которые будут организованы.
Предположим что обе сети уже настроены согласно картинки и у каждой сети
настроено интернет-соединение.
Трафик между сетью головного офиса, сетью отделения и VPN клиентами будет
ограничиваться согласно следующим правилам:
1. VPN клиенты могут подключаться к LAN 1 и к сети филиала.
2. Подключение к VPN клиентам запрещено для всех сетей.
3. Из сети филиала доступна толлько сеть LAN 1. В дополнение к этому, должны
быть доступны только WWW, FTP и Microsoft SQL службы.
4. На соединения, которые иницируются из головного офиса в сторону филиала не
накладываются никакие ограничения.
5. LAN 2 не доступна ни для филиала, ни для VPN клиентов.
Конфигурирование головного офиса
1. Установите WinRoute (версия 6.0.0 или старше) на шлюзовую машину головного
офиса (“server”).
2. Используйте Network Rules Wizard (см. раздел Мастер правил сети) для того
чтобы настроить основные правила трафика WinRoute. На шаге 5, выберите Yes,
I want to use Kerio VPN.
Этот шаг создаст правила, необходимые для подключения VPN клиентов к
серверу локальной сети.
Когда VPN туннель будет создан, настройте эти правила так, чтобы они
соответствовали необходимым ограничениям (Шаг 6).
3. Настройте DNS как описано ниже:
При конфигурировании DNS Forwarder в WinRoute, укажите DNS сервер,
на который будут перенаправляться DNS запросы, которые адресованы не
домену company.com(Обычно это первичный и вторичный DNS сервера
ISP).
Разрешите опцию Use custom forwarding и определите правила для
поддомена filial.company.com. Для указания перенаправляющего DNS
сервера, используйте IP адрес интерфейса, через который удаленный
WinRoute хост подключается к локальной сети.
Установите IP адрес этого интерфейса (10.1.1.1) в качестве первичного
DNS сервера в настройках интерфейса хоста WinRoute, подключенного к
локальной сети.
Установить IP адрес 10.1.1.1 в качестве первичного DNS сервера для
всех остальных хостов.
Замечание: Для правильной работы DNS, база данных DNS должна включать
информацию о хостах, работающих во всех подсетях. Чтобы добиться этого,
сохраните DNS имена и IP адреса локальных хостов в файле hosts(Если они
используют статичные IP адреса) или разрешите совместную работу DNS
Forwarder и DHCP сервера (в случае если IP адреса этим хостам назначены
динамически). Для получения деталей, обратитесь к главе DNS Форвардер.
4. Разрешите VPN сервер и сконфигурируйте его SSL сертификат (если у Вас нет
сертификата, подтвержденного специальной организацией, то просто создайте
сертификат и подпишите его самостоятельно).
Для получения подробных инструкций по конфигурированию VPN сервера,
обратитесь к главе Конфигурация сервера VPN.
5. Создайте
пассивный
конец
VPN
туннеля(сервер
филиала
использует
динамический IP адрес). Используйте "отпечаток пальца" VPN сервера филиала
в качестве спецификации "отпечатка пальца" удаленного SSL сертификата.
6. Настройте правила трафика в соответствии с необходимыми ограничениями.
В правиле Local Traffic удалите все элементы кроме тех, которые
принадлежат к локальной сети головного офиса, т.е. исключая брандауэр,
LAN 1 и LAN 2.
Определите(добавьте) правила для VPN клиентов, которые разрешают
VPN клиентам подключаться к LAN 1 и локальной сети филиала(через VPN
туннель).
Создайте правило Branch office, которое будет разрешать подключение к
сервисам LAN 1.
Добавьте правило Company headquarters, которое позволяет подключения
с обеих подсетей головного офиса к сети филиала.
Правила, определенные таким образом удовлетворяют всем необходимым
требованиям. Трафик, который не удовлетворяет ни одному из правил, будет
заблокирован правилом по умолчанию(смотри раздел Определение собственных
правил управления трафиком).
Конфигурирование филиала
1. Установите WinRoute (версию 6.0.0 или позднее) на шлюзе филиала.
2. Используя
Network
Rules
Wizard
(см.
раздел Мастер
правил
сети)
сконфигурируйте базовые правила трафика в WinRoute. В шаге 5, выберите Yes,
I want to use Kerio VPN.
Этот шаг создаст правила, необходимые для подключения VPN клиентов к
серверу локальной сети.
Когда VPN туннель будет создан, настройке эти правила так, чтобы они
соответствовали необходимым ограничениям (Шаг 6).
3. Настройте DNS как описано ниже:
При конфигурировании DNS Forwarder в WinRoute, укажите DNS сервер,
на который будут перенаправляться DNS запросы, которые адресованы не
домену
company.com(первичный
и
вторичный
DNS
сервера
ISP).
Разрешите опцию Use custom forwarding и определите правила для
поддомена filial.company.com. Для указания перенаправляющего DNS
сервера, используйте IP адрес интерфейса, через который удаленный
WinRoute хост подключается к локальной сети.
Установите IP адрес этого интерфейса(192.168.1.1) в качестве DNS
сервера в настройках интерфейса хоста WinRoute, подключенного к
локальной сети.
Установите IP адрес 192.168.1.1 в качестве первичного DNS сервера для
остальных хостов.
Замечание: Для правильной работы DNS, база данных DNS должна включать
информацию о хостах, работающих во всех подсетях. Чтобы добиться этого,
сохраните DNS имена и IP адреса локальных хостов в файле hosts(Если они
используют статичные IP адреса) или разрешите совместную работу DNS
Forwarder и DHCP сервера (в случае если IP адреса этим хостам назначены
динамически). Для получения деталей, обратитесь к главе DNS Форваврдер.
4. Разрешите VPN сервер и сконфигурируйте его SSL сертификат (если у Вас нет
сертификата, подтвержденного специальной организацией, то просто создайте
сертификат
и
подпишите
его
самостоятельно).
Для получения подробных инструкций по конфигурированию VPN сервера,
обратитесь к главе Конфигурация сервера VPN.
5. Создайте астивный конец VPN туннеля, который будет подключаться к серверу
головного офиса(newyork.company.com). Используйте "отпечаток пальца" VPN
сервера головного офиса в качестве спецификации "отпечатка пальца"
удаленного SSL сертификата.
С этого момента соединение уже может быть установлено (т.е. туннель должен
быть создан). Если соединение успешно установлено, то в колонке Adapter info
для обоих концов туннеля будет обозначен статус Connected. Если соединение
не удастся установить, то мы рекомендуем Вам еще раз проверить правильность
созданных правил трафика и протестировать доступность удаленного сервера
посредством команды ping: ping newyork.company.com.
Замечение: Если в процессе настройки туннеля возникает коллизия VPN сети и
удаленной сети, то выберите любую свободную подсеть и укажите ее параметры
в настройках VPN сервера (см. Шаг 4).
Для получения детальной информации о том, как создать VPN туннел, см.
раздел Взваимодействие двух частных сетей через Интернет (VPN туннель).
6. Добавьте новый VPN туннель в правило Local Traffic. Также Вы можете удалить
Dial-In интерфейс и группу VPN клиентов из этого правила(VPN клиентам
запрещено подключаться к локальной сети филиала).
Замечание: Нет необходимости осуществлять другие настройки правил трафика.
Требуемые ограничения также должны быть учтены в правилах трафика на
сервере головного офиса.
Тестирование VPN
Теперь конфигурирование VPN туннеля завершено. Далее желательно проверить
доступность удаленных хостов со всех концов туннеля(из обеих локальных сетей).
Например, запустите компанду ping или/и tracert для осуществления тестирования.
Рекомендуется при тестирование проверить доступность сервера как через IP адрес,
так и через DNS имя.
Если удаленный сервер проверяется через IP адрес и он не отвечает, то проверьте
конфигурацию правил трафика и убедитесь, что адреса подсетей не пересекаются.
Если при тестирование по IP адресу все проходит нормально, а при тестировании по
DNS имени возникают ошибки, то проверьте конфигурацию DNS.
Правила регистрации и лицензирования WinRoute
Оглавление
Виды лицензии
Просмотр информации о лицензии и использование лицензионного ключа
Подписка / Окончание срока обновления
Счетчик пользователей
После покупки WinRoute, вы должны зарегистрировать данный продукт на сайте Kerio
Technologies (http://www.kerio.com/). Как только вы зарегистрируете программу, то
получите лицензионный ключ (зашифрованный файл license.key) , который нужно
импортировать в программу. Если ключ не будет введен в программу, то WinRoute
будет работать как показательная версия и по истечении определенного интервала
времени работа программы будет заблокирована.
Единственное отличие показательной от полной версии WinRoute заключается в
наличии или отсутствия импортированного в программу лицензионного ключа. Каждому
заказчику дается возможность тестировать и использовать программу в течении 30дневного
периода.
После
регистрации
не
нужно
переустанавливать
или
перенастраивать
программу
WinRoute
,
необходимо
только
импортировать
лицензионный ключ в показательную версию программы.
По истечении испытательного срока, весь сетевой трафик данного хоста будет
заблокирован. Вы сможете обратиться только к Kerio Administration Console для
импортирования лицензионного ключа. Полные функциональные возможности
программы WinRoute будут доступны только после импортирования лицензионного
ключа.
Типы Лицензии
По желанию пользователя WinRoute может включать следующие компоненты:
антивирус McAfee (см. главу Проверка на вирусы). Эти компоненты имеют
индивидуальную лицензию. Лицензионный ключ содержит следующую информацию:
Лицензия WinRoute
Базовая лицензия WinRoute. Ее достоверность определяется следующими факторами:
срок действия права на обновление - определяет дату, до которой
WinRoute может быть бесплатно обновлен. По истечению этого срока
WinRoute будет продолжать работать, но обновлен быть не может. Можно
увеличить срок действия права на обновление, купив подписку.
срок действия продукта - определяет дату, после которой WinRoute
перестанет работать и заблокирует весь трафик TCP/IP на узле, где он
установлен.
В
этом
случае
необходимо
импортировать
новый
действующий лицензионный ключ или переустановить WinRoute.
Лицензия McAfee
Эта лицензия определяется двумя следующими датами:
срок действия права на бесплатное обновление (независимо от WinRoute) - по
истечению этого срока антивирус продолжит работать, но ни база данных
антивируса, ни сам антивирус обновлены быть не могут.
Предупреждение: учитывая постоянное появление все новых вирусов, мы
рекомендуем всегда использовать наиболее свежую версию антивируса.
срок действия модуля - определяет дату, после которой антивирус перестанет
работать и более использован быть не может.
Лицензия ISS OrangeWeb Filter
Модуль ISS OrangeWeb Filter предлагается как сервисная программа. Лицензия
определяется только сроком действия моодуля, после чего модуль будет блокирован.
Примечание: чтобы получить свежую информацию об индивидуальных лицензиях,
продлении подписки и т.д., обратитесь на web сайт Kerio Technologies
(http://www.kerio.com/).
Просмотр лицензионной информации и импорт лицензионного ключа
Лицензионная информация может быть отображена, если выбрать Kerio WinRoute
Брандмауэр (первый пункт дерева в левой части диалогового окна Администраторского
Терминала - этот раздел отображается автоматически при входе в администрирование
WinRoute).
Продукт
название продукта (WinRoute)
Авторские права
Информация об авторских правах
Домашняя страница
Ссылка на домашнюю страницу Kerio WinRoute Firewall (информация о ценах, новые
версии и др.). Щелкните на ссылке, чтобы открыть домашнюю страницу в вашем
браузере.
Операционная система
Название операционной системы, под которой работает сервис WinRoute Брандмауэр.
ID Лицензии
Номер лицензии или специальное имя лицензии.
Подписка на срок действия
Дата, до которой продукт может быть бесплатно обновлен.
Срок действия продукта
Дата, после наступления которой продукт перестанет работать (только для пробных
версий или специальных лицензий).
Количество пользователей
Максимальное количество узлов (отдельных IP адресов), которые могут одновременно
связываться с Интернет через WinRoute. Узел WinRoute сюда не включен.
Компания
название компании/человека, зарегистрировавшего продукт
Установить Лицензионный... ссылка откроет стандартный диалог для открытия файла с
лицензионным ключом. После успешного завершения процесса импорта, будет
отображена лицензионная информация.
Истечение Лицензии/Прав на обновление (Subscription / Update
Expiration)
Пользователи периодически информируются о истечении срока действия лицензии или
обновления от WinRoute Engine Monitor. Предупреждения начинаются когда
лицензии или права на обновление WinRoute, антивируса McAfee или фильтра ISS
OrangeWeb Filter подходят к концу.
Первое предупреждение посылается за семь дней перед окончанием лицензии, далее
посылается несколько раз в день, до тех пор, пока WinRoute или один из его
компонентов автоматически не выключатся, или права на обновление WinRoute's or
McAfee's не истекут.
Замечание: Предупреждений не будет, пока не запущена программа WinRoute Engine
Monitor, как бы там ни было, администратор WinRoute может настроить автоматическое
информирование через email или SMS.
Счетчик пользователя
В этой главе представлено описание того, как WinRoute проверяет, не превышено ли
количество пользователей лицензии. Эта информация может иметь ключевое значение
для принятия решения о том, какой тип лицензии приобрести (сколько пользователей).
Для этого учитывается количество отдельных IP адресов узлов (клиентов),
защищенных брандмауэром. Каждый отдельный IP адрес представляет одного
пользователя (т.е. одну лицензию). IP адрес Брандмауэра не считается.
Примечание: лицензия WinRoute не ограничивает количество учетных записей
пользователя. Количество учетных записей пользователя не влияет на количество
лицензированных пользователей.
Счетчик лицензий работает следующим образом:
Запуск WinRoute
При запуске WinRoute таблица клиентов включает только брандмауэр. Количество
используемых лицензий равно нулю.
Примечание: таблица клиентов отображается в разделе Узлы/Пользователи
(Hosts/Users) на Администраторском Терминале - см. главу Узлы и Пользователи
Счетчик лицензий
При обнаружении коммуникации любого клиента WinRoute, с помощью IP адреса
проверяется, существует ли уже соответствующая запись в таблице клиентов. Если нет,
в таблицу добавляется новая запись, включающая IP адрес, и количество лицензий
увеличивается на 1.
Клиентами считаются следующие элементы:
1. Все узлы, с которых пользователи связываются с брандмауэром
2. Все клиенты прокси сервера WinRoute (см. главу Прокси сервер)
3. Все локальные узлы, чьи коммуникации маршрутизируются между интерфейсами
Интернет и локальными интерфейсами WinRoute. В эту группу входят:
Каждый узел, связанный с Интернет, когда ни один пользователь с
данного узла не аутентифицирован,
Все локальные серверы, картированные из Интернет,
Все VPN клиенты, связанные с локальной сетью из Интернет.
Примечание: интерфейсы Интернет - это все интерфейсы брандмауэра, которые
используются как Интернет шлюзы (например, основное и вторичное Интернет
соединение). Другие интерфейсы брандмауэра считаются локальными.
Сброс лицензии
Для каждой записи таблицы клиентов отслеживается время бездействия (т.е. время, в
течение которого не было обнаружено ни одного пакета с соответствующим IP адресом,
отвечающего всем условиям). Если время бездействия клиента достигает 15 минут,
соответствующая запись удаляется из таблицы, и количество лицензий сокращается на
1.
Не учитывающиеся пункты
Следующие пункты не учитываются как используемые лицензии:
запросы DNS, управляемые DNS Форвардером (Предупреждение: если клиенты
используют сервер DNS, расположенный вне локальной сети, то такие
коммуникации будут учитываться как коммуникации с Интернет),
трафик DHCP (при использовании или DHCP сервера WinRoute, или другого DHCP
сервера, установленного на узле WinRoute),
Локальные коммуникации между брандмауэром (например, доступ к общим
дискам) и узлами, с которых ни один пользователь не связывается с
брандмауэром.
Решение о количестве пользователей (лицензий)
Как явствует из вышесказанного, количество лицензий WinRoute должно быть таким же
или выше, чем сумма всех:
локальных узлов (рабочих станций), связанных с Интернет,
локальных серверов, доступных из Интернет,
одновременно соединяющися VPN клиентов.
Информация о Статусе
Содержание
Узлы и Пользователи
Соединение - Обзор
Предупреждения
Администратор (или другой пользователь с соответствующими правами) может легко
контролировать работу WinRoute. Существует три типа информации - мониторинг
статуса, статистика и журнал регистрации.
Примечание: можно просматривать только трафик, разрешенный правилами трафика
(см. главу Политика Трафика). Если определяется попытка запрещенного трафика, то
это указывает, что правила определены неверно.
Можно отслеживать коммуникации каждого компьютера, связь с пользователями
или все связи, осуществляемые через WinRoute.
Примечание: можно просматривать только трафик, разрешенный правилами
трафика (см. главу Политика Трафика). Если определяется попытка
запрещенного трафика, то это указывает, что правила определены неверно.
Статистика содержит информацию относительно пользователей и сетевого
трафика за определенный период времени. Статистику можно смотреть в виде
графиков или таблиц. Более подробно см. главу Статистика.
Журнал регистрации - это файлы, где записана информация об определенном
действии (например, предупреждение об ошибке, информация об отладке и др.).
Каждый пункт записан в одну линию и имеет временные отметки (дата и время
выполнения действия). Во всех языковых версиях WinRoute эти записи доступны
только на Английском, они генерируются WinRoute Брандмауэром. Более
подробно см. в главе Регистрационный Журнал.
Хосты и пользователи
На закладке Status / Hosts / Users, отображаются компьютеры локальной сети и
активные пользователи, которые используют WinRoute для выхода в Интернет.
Замечание: Для получения подробной информации об аутентификации пользователей,
см. раздел Защитная аутентификация пользователя.
Посмотрите на верхнее окно, для того, чтобы получить информацию об
индивидуальных хостах, подключенных пользователях, объему трафика и скорости.
В окне отображается следующая информация:
Host name
DNS имя хоста. Если не найдено DNS имя хоста, то вместо него будет проставлен его IP
адрес.
User
Имя пользователя, который подключен с указанного хоста.
Currently Rx, Currently Tx
Показывает текущую скорость обмена(Кб в секунду) в обоих направлениях(Rx скорость входящего потока данных, Tx - скорость исходящего потока данных)
Следующие колонки по умолчанию скрыты. Чтобы увидеть их, выберите пункт Modify
columns из контекстного меню(см ниже).
IP Address
IP адрес хоста, с которого подключился пользователь
Login time
Дата и время последного входа пользователя в систему
Login duration
Показывает продолжительность соединения.
Inactivity time
Продолжительность времени, в течение которого наблюдался нулевой трафик. Вы
можете настроить систему таким образом, чтобы она автоматически отключала
пользователя в случае превышение порогового значения неактивности пользователя
(Подробности см. в разделе Настройка параметров web интерфейса)
Start time
Дата и время момента, когда хост впервые был распознан WinRoute. Эта информация
хранится в операционной системе до тех пор, пока WinRoute Firewall Engine не
отключится.
Total received, Total transmitted
Общий размер данных (в килобайтах) полученных и отправленных начиная с момента
Start time
Connections
Общее число подключений к и от хоста. Детали можно просмотреть в контекстном
меню(см. ниже)
Authentication method
Метод аутентификации,
пользователя:
который
применялся
для
последеного
подключения
plaintext
пользователь
подключен
через
незащищенный
сервер
аутентификации
SSL - пользователь подключен через сервер аутентификации, защищенный SSL
proxy - для аутентификации и для доступа к сайтам использовался прокси
сервер WinRoute
NTLM - пользователь аутентифицировался с помощью NTLM в домене NT
(стандартный механизм аутентификации для браузеров Microsoft Internet
Explorer 5.5 или более поздний или Mozilla 1.4)
VPN client - пользователь подключился к локальной сети используя Kerio VPN
Client (см. раздел Kerio VPN).
Замечание: Для VPN клиентов не показывается количество соединений и не
мониторится объем трафика.
Для получения дополнительной информации о подключении и
пользователей см раздел Защитная аутентификация пользователя.
аутентификации
Информация, показываемая в окне Hosts / Users может быть обновлена путем нажатия
кнопки Refresh.
Вы можете использовать команду Show / Hide details для того чтобы открыть нижнее
дополнительное окно, предоставляющее дополнительную информацию о пользователе,
хосте и текущих соединениях.
Опции диалога Hosts / Users
Нажимая на правую клавишу мыши в окне Hosts / Users (или на выбранной записи) Вы
можете увидеть контекстное меню, которое предоставляет следующие опции:
User statistics
Используйте эту опцию чтобы иметь возможность включать/отключать закладку User
statistics в окне Status / Statistics, на которой Вы сможете видеть детальную статистику
по пользователю.
Эта опция доступна только для тех хостов, с которых пользователь подключен в
данный момент.
Refresh
Эта опция обновляет информацию, отображаемую в окне Hosts / Users.
Auto refresh
Эта опция позволяет настроить автоматическое обновление информации в окне Hosts /
Users. Информация может обновляться через определенные интервалы(от 5 секунд до 1
минуты).
Logout user
Осуществляется моментальное отключение(Logout) пользователя.
Logout all users
Осуществляется моментальное отключение(Logout) всех пользователей.
Manage Columns
Выбирая данную опцию Вы получаете возможность настроить набор колонок, которые
будут отображаться в диалоге Hosts / Users (см раздел Views Setup).
Детальная информация по выбранному хосту и пользователю
Детальная информация по выбранному хосту
показывается в нижнем окне секции Hosts / Users.
и
подключенному
пользователю
Откройте закладку General чтобы увидеть информацию о пользовательском логине,
размере/скорости передаваемых данных и информацию о его активности.
Login information
Информация о пользователе, вошедшем в систему:
User - имя пользователя, DNS имя(если доступно) и IP адрес хоста, с которого
пользователь подключился
Login time - дата и время момента подключения пользователя, метод
аутентификации и время бездействия.
Если ни один из пользователей не подключен с выбранного хоста, то вместо
информации по пользователю будет предоставлена детальная информация по самому
хосту.
Host — DNS имя (если доступно) и IP адрес хоста
Idle time — время бездействия выбранного хоста
Traffic information
Информация о размере полученного и отправленного выбранным пользователем
трафика в обоих направлениях.
Информация о текущих подключениях пользователя показывается в главной секции
окна:
Activity Time
Время (в минутах и секундах) когда впервые была замечена активность.
Activity Event
Тип активности(сетевое подключение). WinRoute выбирает среди следующих
возможных вариантов: SMTP, POP3, WWW (HTTP traffic), FTP, Streams (передача поток
аудио и видев в реальном режиме времени) и P2P (использование Peer-to-Peer сетей).
Замечание: WinRoute не может определить какой конкретно тип P2P используется. По
результатам некоторых тестов он может лишь предположить, что возможно клиент
подключен к одной из таких сетей. Для получения подробностей обратитесь к разделу
Блокировщик P2P сетей (P2P Eliminator).
Activity Description
Подробная информация по выбранной активности:
WWW — заголовок Web страницы, на которой пользователь находится в данный
момент(Если заголовок отсутствует, то вместо него будет показан URL
страницы). Заголовок страницы является ссылкой— Нажмите на ней и откроется
браузер с указанной ссылкой.
SMTP, POP3 — DNS имя или IP адрес сервера, размер полученного и
отправленого трафика.
FTP — DNS имя или IP адрес сервера, размер полученного и отправленного
трафика, информация о текущем получаемом или отправляемом файле.
Multimedia (real time transmission of video and audio data) — DNS имя или IP
адрес сервера, тип используемого протокола(MMS, RTSP, RealAudio, и т.д.) и
размер скачиваемых данных.
P2P — информация о том, что возможно клиент использует Peer-To-Peer сеть.
Соединения
Закладка Connections предоставляет
осуществляемых с и на выбранный хост.
детальную
информацию
о
соединениях
Информация о соединениях:
Traffic rule
Имя правила трафика WinRoute(см. раздел
данное соединение.
Политика трафика), которое разрешило
Service
Имя службы. Для нестандартных служб здесь показываются номер порта и протоколы.
Source, Destination
IP адреса источника и назначения(или имена хостов в том случае если разрешена
опция Show DNS names. См. ниже).
Следующие колонки по умолчанию скрыты. Чтобы увидеть их, выберите пункт Modify
columns из контекстного меню.
Source port, Destination port
Порты источника и назначения(только для TCP и UDP протоколов).
Protocol
Протокол, используемый для передачи данных(TCP, UDP, и т.д.).
Timeout
Время, оставшееся до того момента когда WinRoute удалит соединение из таблицы
соединений.
Каждый новый пакет, проходящий в рамках данного подключения устанавливает
значение таймаута в первоначальное значение. Если в течение таймаута через
указанное подключение ни прошло ни одного пакета, то WinRoute удаляет данное
подключение из таблицы - соединение закрывается и ни один пакет не может быть
передан через него.
Rx, Tx
Размер входящего(Rx) и исходящего(Tx) трафика переданного в рамках данного
соединения(в KB).
Info
Дополнительная информация(например, метод и URL в случае HTTP протокола).
Используйте опцию Show DNS names для включения/отключения возможности показа
DNS имен вместо IP адресов в колонка Source и Destination. Если DNS имя для IP
адреса не может быть распознано, то вместо этого будет показан IP адрес.
Вы можете нажать на кнопку Colors и открыть диалог, в котором Вы сможете выбрать
цвета, которые будут использоваться в таблице.
Замечание: Выделив соединение и вызвав контекстное меню, Вы можете увидеть в нем
пункт Kill connection. Эта опция позволяет моментально завершить данное соединение.
Соединение - Обзор
В Статус/Соединения (Status / Connections), все соединения сети, которые может
обнаружить WinRoute, включают следующее:
соединения клиента с Интернет через WinRoute
соединения, установленные с узла, на котором установлен WinRoute
соединения, установленные с других узлов со службами на узле WinRoute
соединения, производимые клиентами Интернет, которые картированы
службам локальной сети.
к
Примечания:
1. соединения между локльными клиентами не определяются и не отображаются
WinRoute.
2. протокол UDP также называется протоколом без организации соединения. Этот
протокол не производит никаких соединений. Коммуникации выполняются через
индивидуальные сообщения (так называемые дейтаграммы). В этом случае
отслеживаются периодические обмены информацией.
Администраторы WinRoute могут закрывать любые активные соединения.
Одной строкой в этом окне представлено одно соединение. Это соединения сети, а не
пользователей (каждая программа-клиент может в любой момент занимать более
одного соединения). В колонках представлена следующая информация:
Правила трафика (Traffic rule)
Название правил трафика WinRoute (см. главу Политика трафика), разрешающих
соединение.
Служба (Service)
Название передаваемой службы (если такая служба определена в WinRoute - см. главу
Службы). Если служба в WinRoute не определена, вместо нее будет отображаться
соответствующий номер порта и протокол (например, 5004/UDP).
Источник и пункт назначения (Source and Destination)
IP адрес источника (инициатор соединения) и пункта назначения. Если в DNS есть
подходящая обратная запись, вместо IP адреса будет дано имя DNS.
Следующие колонки по умолчанию скрыты. Их можно активировать через диалог
Модификации колонок (Modify column), который открывается из контекстного меню
(подробнее см. главу Посмотреть Установки).
Порт источника и Порт назначения (Source Port and Destination Port)
Порты, используемые для данного соединения.
Протокол (Protocol)
Протоколы коммуникации (TCP или UDP)
Тайм-аут (Timeout)
Время, оставшееся до автоматического разъединения связи. Обратный отсчет
начинается при остановке трафика. Каждый новый пакет данных переводит счетчик на
нуль.
Rx и Tx
Полный размер полученных (Rx) или переданных (Tx) данных за время соединения (в
килобайтах). Полученные данные - это данные, переданные из Источника в Пункт
назначения, переданные данные - наоборот.
Инфо (Info)
Информационный текст, описывающий соединение (например, инспектор протокола,
применяемый к соединению).
Информация
в
Соединениях
обновляется
автоматически
через
интервалы,
установленные пользователем. Это можно сделать принудительно, нажав кнопку
Обновить (Refresh).
Опции диалога соединений
Под списком соединений находятся следующие доступные опции:
Скрыть локальные соединения (Hide local connections) — соединения,
установленные с узла WinRoute, не будут отображаться в окне Соединений.
Эта опция позволяет лучше организовать список и отделить соединения других
узлов локальной сети от соединений узла WinRoute.
Показать DNS имена (Show DNS names) — эта опция вместо IP адресов
отображает имена DNS. Если для определенного соединения имя DNS не
известно, будет отображаться IP адрес.
Щелчок правой кнопкой мыши в окне Соединений (на выделенном соединении)
открывает контекстное меню со следующими опциями:
Разорвать соединение (Kill connection)
Используйте эту опцию, чтобы немедленно закрыть выделенное соединение (в случае
UDP соединений все следующие дейтаграммы будут сброшены).
Примечание: эта опция активна, только если при открытии контекстного меню
указатель мыши указывал на определенное соединение. Если щелчок был произведен в
окне Соединений (когда не было выделенных соединений), эта опция будет
неактивной.
Обновить (Refresh)
Эта опция немедленно обновляет информацию в окне Соединения. Эта функция
эквивалентна кнопке Обновить (Refresh) в нижней части окна.
Авто обновление (Auto refresh)
Установки автоматического обновления информации в окне Соединений. Информация
может обновляться с интервалами от 5 секунд до 1 минуты, или функцию
автоматического обновления можно отключить (No refresh - Не обновлять).
Управление колонками (Manage columns)
Эта опция позволяет выбрать, какие колонки будут отображаться в окне Соединений
(см. главу Посмотреть установки).
Установки цвета
Щелчок на кнопке Цвета (Colors) открывает диалог настроек цвета, позволяющий
определить цвет для каждого соединения:
Для каждого компонента можно выбрать опцию цвета или оставить установки по
умолчанию (Default). Цвета по умолчанию устанавливаются в операционной системе
(обычными установками по умолчанию являются черные буквы по на белом фоне).
Цвет шрифта (Font Color)
Активные соединения (Active connections) — соединения с активным в данный
момент трафиком.
Неактивные соединения (Inactive connections)- соединения TCP, которые были
закрыты, но через 2 минуты после закрытия они все еще активны - чтобы
избежать зацикливания пакетов.
Цвет фона (Background Color)
Локальные соединения (Local connections) — соединения, в которых IP адрес
узла WinRoute является или источником, или пунктом назначения.
Прибывающие соединения (Inbound connections) —соединения из Интернет с
локальной сетью (разрешенные брандмауэром).
Выходящие соединения (Outbound connections) — соединения из локальной сети
в Интернет.
Примечание: входящие и выходящие соединения различаются по определению
направления IP адресов - "наружу" (SNAT) или "внутрь" (DNAT). Подробнее читайте в
главе Политика трафика.
Предупреждения
WinRoute позволяет автоматически отправлять сообщения, информируя администратора
о важных событиях. Администрирование WinRoute комфортно, т.к. нет необходимости
часто связываться с брандмауэром через Администраторский Терминал, чтобы увидеть
информацию о статусе и просмотреть журналы (однако, иногда это все же следует
делать).
WinRoute генерирует предупредительные сообщения при обнаружении любых
специфических случаев, для которых существуют предустановки предупреждений. Все
предупредительные сообщения фиксируются в Журнале предупреждений (Alert log)
(см. главу Журнал предупреждений). Администратор WinRoute может указать, какие
предупреждения кому посылать, а также определить формат предупреждений.
Отправленные предупреждения можно просмотреть в Статус/Предупреждения (Status /
Alerts).
Примечание: в WinRoute должна быть установлена SMTP пересылка (см. главу SMTP
пересылка), иначе предупреждения не будут работать.
Установки предупреждений
Установки предупреждений можно настроить на вкладке Установки предупреждений
(Alerts settings) в разделе Настройки/Журналы и Предупреждения (Configuration / Logs
& Alerts).
На этой вкладке представлен список "правил" для отправки предупреждений. Чтобы
включить отдельное правило, нужно отметить соответствующий пункт.
Используйте кнопки Добавить (Add) или Правка (Edit), чтобы (пере)определить
правило предупреждений.
Предупрждение (Alert)
Тип происшествия, при котором будет отправлено предупреждение:
Обнаружение вируса (Virus detected) — антивирусная программа обнаружила
вирус в файле, передаваемом через HTTP, FTP, SMTP или POP3 (см.
главу Проверка на вирусы).
Обнаружено сканирование порта (Portscan detected) — WinRoute обнаружил
атаку сканирование порта (атака, проходящая через узел WinRoute, или
направленная на него).
Достигнут лимит соединений узла (Host connection limit reached) — узел
локальной сети достиг лимита соединений (см. главу Установки Безопасности).
Это может указывать на работу нежелательных сетевых приложений (таких как
Троянский конь или программы-шпионы) на соответствующем узле.
Мало свободного места на диске (Low free disc space warning) — это
предупреждение информирует администратора, что на узле WinRoute осталось
мало свободного места (меньше 11% от емкости диска).
WinRoute нуждается в достаточно большом дисковом пространстве для
сохранения журналов, статистики, установок конфигурации, временных файлов
(например, инсталляционного архива новой версии или файла, сканируемого
антивирусным приложением) и другой информации. При получении подобного
предупреждения, администратор должен сразу предпринимать адекватные
действия.
Появление новой версии (New version available) — при проверки доступных
обновлений на сайте Kerio Technologies обнаружена новая версия WinRoute.
Администратор может скачать новую версию с сервера http://www.kerio.com/ и
инсталлировать ее, используя Администраторский Терминал (см. главу Проверка
обновлений).
Превышение пользовательских квот (User transfer quota exceeded) —
пользователь достиг дневных или месячных квот на передачу данных, и
WinRoute предпринял соответствующие действия. Подробнее читайте в главе
Учетные записи пользователей.
Исправление соединений (Connection failover event) — связь с Интернет
оборвалась, и система переключилась на альтернативную линию, или наоборот
(переключилась обратно на основную линию). Подробная информация
приведена в главе Исправление соединений.
Истечение срока лицензии (License expiration) — скоро закончится действие
лицензии/подписки WinRoute (или лицензии модулей, интегрированных в
WinRoute, таких как ISS OrangeWeb Filter, антивирус McAfee и др.)
Администратор должен проверить сроки действия и продлить соответствующую
лицензию или подписку (подробнее см. в главе Регистрация и Лицензионная
политика).
Дозвон/обрыв RAS линии (Dial/Hang-up of RAS line) — дозвон или обрыв RAS
линии (см. главу Интерфейсы). Предупреждение будет содержать детальную
информацию об этом событии: имя линии, причина дозвона, имя пользователя и
IP адрес узла, с которого был послан запрос.
Действие (Action)
Метод оповещения пользователя:
Отправить сообщение (Send email) — информация будет отправлена по email.
Отправить SMS (короткий email) (Send SMS (shortened email)) — на телефонную
ячейку пользователя будет отправлено короткое текстовое сообщение.
Примечание: SMS тоже отправляются по email. Пользователь должен
использовать
соответствующий
электронный
адрес
(например,
number@provider.com). Отправка SMS на телефонный номер (например, через
шлюз GSM, связанный с узлом WinRoute) не поддерживается.
Куда (To)
Электронный адрес получателя или его/ее телефонная ячейка (согласно установкам
Действия (Action)).
Реципиентов можно выбрать из списка пользователей (электронных адресов),
используемых для других предупреждений, или можно вручную добавить новый
электронный адрес.
Интервалы времени (Valid at time interval)
Выберите интервалы времени, через которые будут отправляться предупреждения.
Щелчок на кнопке Правка (Edit) позволяет редактировать интервал или создать новый
(подробнее в главе Временные диапазоны).
Шаблоны предупреждений
Форматы предупреждений (email и/или SMS) задаются шаблонами. Отдельные форматы
можно увидеть в разделе Статус/Предупреждение (Status / Alerts) Администраторского
Терминала. Шаблоны представляют собой предустановки сообщений, включающие
определенную информацию (например, имя пользователя, IP адрес, номер соединения,
инфицирование вирусами и т.д.). Эта информация выражена специальными
переменными. WinRoute автоматически заменяет переменные соответствующими
значениями. Администратор может редактировать эти шаблоны.
Шаблоны хранятся в субдиректории templates в установочной директории WinRoute
(по умолчанию C:\Program Files\Kerio\WinRoute Firewall\templates):
субдиректория console — сообщения, которые отображаются в верхней части
раздела Статус/Предупреждения (Status / Alerts) (обзор),
субдиректория console\details — сообщения, которые отображаются в нижней
части раздела Статус/Предупреждения (Status / Alerts) (детали),
субдиректория email — сообщения, посланные по email (каждый шаблон
содержит сообщение в текстовом или HTML формате),
субдиректория sms — SMS сообщения, отправленные на телефонную ячейку.
Примечание: в последней версии WinRoute доступны предупреждения только на
английском языке (шаблоны на других языках в субдиректориях email и sms появятся в
следующих версиях).
Предупреждения - обзор
Обзор отправленных предупреждений (определенных в разделе Настройка/Журналы и
Предупреждения
(Configuration
/
Logs
&
Alerts))
находится
в
разделе
Статус/Предупреждения (Status / Alerts). Используется язык, установленный в
Администраторском Терминале (если шаблон на соответствующем языке не доступен,
предупреждение отображается на английском).
В верхнем разделе этого окна представлен обзор всех отправленных предупреждений
(отсортированных по дате и времени).
В каждой строчке содержится информация по одному прежупреждению:
Дата (Date) — дата и время происшествия.
Предупреждение (Alert) — тип происшествия
Детали (Details) — базовая информация по происшествию (IP адрес, имя
пользователя и т.д.).
Щелчок на событии позволяет в нижней части окна увидеть подробную информацию о
событии, включая текстовое описание (определенное шаблоном в console\details см. выше).
Примечание: щелчок на кнопке Скрыть/Показать (Hide/Show) позволяет скрыть или
показать детали (по умолчанию детали отображаются).
Статистика
Содержание
Настройки
Первые в рейтинге 20 пользователей (top 20 users)
Статистика пользователя
Статистика интерфейсов (Interface statistics)
Статистику пользователя (объем переданных данных,использованные сервисы,
классификация страниц Web просмотренных им), а также информацию о сетевых
интерфейсах сервера WinRoute (объем переданных данных, загрузка отдельной линии
связи и т.д.), можно посмотреть в консоли администратора в секции Status / Statistics.
Предпочтения
В определенных ситуациях (слишком много пользователей на связи, большой объем
передаваемой информации, низкие способности узла WinRoute и др.), просмотр
статистики может снизить скорость передачи данных (через Интернет соединение)
WinRoute. Учтите это при открытии статистики. При необходимости можно смотреть
статистику только определенных узлов.
Статистику и ее параметры можно установить на вкладке Квота/Статистика (Quota /
Statistics) в опциях Настройка/Продвинутые опции (Configuration / Advanced Options).
Активизировать статистику отдельных пользователей (Enable per user statistics)
Используйте эту опцию, чтобы включить/отключить статистику для каждого локального
пользователя (информация содержится на вкладках "Верхние 20 Пользователей" (Top
20 users) и "Статистика пользователя" (User statistics), см. главы Верхние 20
пользователей и Статистика пользователя).
Можно исключить группы IP адресов, используя функцию Исключить IP адреса (Exclude
IP addresses) (например, серверы, тестирующие подсети и др.). Соединения с этими IP
адресами не будут включены в статистику.
Примечание: если пользователь связывается с брандмауэром и с контролируемого, и с
исключенного узлов, статистика покажет только информацию о деятельности
пользователя на неисключенных узлах.
Активизировать статистику отдельных интерфейсов (Enable per interface statistics)
Эта опция включает/выключает статистику для отдельных сетевых интерфейсов узла
WinRoute, т.е. информацию, содержащуюся на вкладке Статистика интерфейса
(Interface statistics) (см. главу Статистика интерфейса).
Квота на объем передаваемых данных
Объем данных, передаваемых отдельными пользователями, можно определить на
вкладке Квота/Статистика (Quota / Statistics).
Контроль за квотами (т.е. принятие каких-либо действий при превышении квоты)
может быть нежелательным, если пользователь прошел аутентификацию в
брандмауэре. Это заблокирует весь трафик брандмауэра и всех локальных
пользователей.
Для таких случаев доступна функция Исключить брандмауэр для квот (Exclude firewall
for quota). Если эта функция активна, при превышении квоты не будет
предприниматься
никаких
действий,
если
данный
пользователь
прошел
аутентификацию на брандмауэре.
Примечание: подробная информация о пользовательских квотах приведена в главе
Квоты Пользователя.
20 самых активных пользователей
Вкладка "20 самых активных пользователей" в Статус/Статистика (Status /
Statistics) показывает статистику 20 пользователей, которые передали самый большой
объем данных за выбранный период времени.
Этот период (Сегодня (Today), На этой неделе (This week), В этом месяце (This month),
Всего (Total)) можно выбрать в поле "Интервал времени" (Time interval). Интервал
времени всегда относится ко всему интервалу (т.е. интервал "На этой неделе" тянется с
0:00 ч. первого дня недели до 24.00 ч. последнего дня недели и т.д. - первый и
последний дни недели зависят от настроек операционной системы).
Круговая диаграмма показывает участие пяти верхних пользователей в общем объеме
переданной информации за выбранный период времени. Серое поле представляет
участие других пользователей (включая тех, кто не прошел аутентификацию).
Таблица под графиком представляет список 20 пользователей, которые переслали
самый большой объем данных за данный период. Пользователи перечислены в порядке
убывания активности. Цвета, используемые в графике, приведены около имен верхних
пяти пользователей.
Для каждого пользователя приводится следующая информация:
объем входящих данных (скачиваемых из Интернет),
объем исходящих данных (загружаемых в Интернет),
общий объем переданной информации (сумма скачиваемых и загружаемых
данных),
пропорциональное участие в общем объеме переданной информации за
выбранный отрезок времени.
Используйте кнопку Обновить (Refresh), чтобы обновить данные в таблице и графике.
Статистика пользователя
Статистика пользователя доступна во вкладке User statistics в Status / Statistics.
Столбцы таблицы вверху окна показывают подробную статистику о размере
переданных данных, для каждого конкретного пользователя в течении различных
периодов времени (за сегодняшний день, за неделю, за этот месяц , за все время).
Столбец ограничений показывает
использованный лимит траффика конкретным
пользователем в процентах (см. главу User Accounts). Цвет используются для лучшего
восприятия
зеленый - 0%-74% лимита использовано
желтый - 75%-99% лимита использовано
красный - 100% лимит израсходован
Замечание: Пользовательский лимит (User quota) состоит из двух частей: дневной и
месячной. Часть которая ближе к завершению и показывается в столбце ограничений.
Существует пункт для всех пользователей, показывающий общий траффик всех
пользователей (даже неавторизованных).Для всех неавторизованных пользователей,
статистика траффика выносится в отдельный пункт.
Замечание:
1. Дополнительные информационные столбцы могут быть добавлены через
контекстное
меню,
которые могут показывать величину
траффика,
входящий(IN) и исходящий(OUT) траффик, для различных периодов времени.
2. Пользовательская статистика сохраняется в файле users.stat в папке
WinRoute . Это означает, что данные сохраняются между запусками сервера
WinRoute Firewall Engine.
Нажав правую клавишу мыши на таблице (или на записи конкретного пользователя),
вы откроете контекстное меню со следующими опциями:
Reset user statistics - эта опция сбрасывает все значения пользовательской
статистики. Опция доступна только если указатель мыши находится над
пользователем, в момент когда контекстное меню открыто.
Замечание: Сбрасывание статистики разблокирует траффик пользователя , если
он был заблокирован по причине расхода лимита (см. главу User Accounts), т.к.
статистика используется для проверки расхода траффика.
Внимание:
Имейте
ввиду,
что
сброс
пользователей, сбрасывает
также статистику
пользователей!
статистики
для
всех
для
неавторизованных
Refresh - используйте эту опцию для обновления информации во вкладке User
statistics (тоже, что и кнопка Refresh внизу окна).
Auto refresh - установки для автоматического обновления данных, показываемых
во вкладке User statistics.Можно указывать интервал от 5 секунд до 1 минуты.
Автоматическое обновление может быть просто выключено.
Modify columns - используйте эту опцию для выбора пунктов (столбцов) ,
которые будут отображаться в таблице(см. главу Views Setup).
Другая секция вкладки User statistics показывает подробную информацию для
выбранного пользователя (эта секция делится на следующие три вкладки: Protocols ,
Histogram и ISS OrangeWeb Filter ). Эта секция может быть показана/скрыта
нажатием клавиш Show details / Hide details ( по умолчанию показывается).
Сервисы
Вкладка Protocols показывает информацию о сервисах, используемых пользователем в
указанный период.
Используйте выпадающий список Time period для выбора периода времени, которое
отобразится в статистике (см. главуTop 20 users).
Таблица показывает список наиболее распространенных сервисов, размер переданных
данных по каждому протоколу, их пропорциональное соотношение ко всему траффику
пользователя. Пропорцииональные соотношения траффиков показаны на круговом
графике(pie chart).
Статистика пишется для следующих сервисов:
Streams - передача аудио и видео файлов(например протоколы RTSP, MMS,
RealAudio, MPEG Shoutcast, и т.д.)
Mail - почтовые сервисы (SMTP, IMAP , и POP3 - как защищенный так и не
защищенный (encrypted,unencrypted) )
FTP - незащищенный сервис FTP (unencrypted) . Защищенный FTP (FTPS) не
мониторится.
P2P - peer-to-peer сети мониторятся WinRoute (см. главуP2P Eliminator)
Proxy - соединения с Internet через прокси сервер WinRoute (см. главу Прокси
сервер)
WWW - соединения со страницами Web (по протоколам HTTP и HTTPS ), кроме
соединений через прокси сервера.
Other - другие сервисы.
Замечание: Измерение траффика определенного сервиса происходит только
тогда,когда сервис использует инспектор протокола(protocol inspector). Другие сервисы
(Other services) включаются в Other group.
Загрузка линии (Line load)
Вкладка гистограмма (Histogram ) показывает временной график (timeline) траффика
пользователя, траффика всех пользователей или авторизованных пользователей в
выбранный период .
Замечание:
В данном случае термин "line" представляет собой траффик,
который проходит через WinRoute. Соединение между хостами в локальной сети не
учитываются.
Выберите пункт из выпадающего меню Time interval для указания временного периода,
по которому график будет строится (подробнее см. Interface statistics). Ось x
представляет время, ось y представляет собой скорость передачи данных. Ось x
представляет время в указанный период времени,пока измерение оси у зависит от
максимального значения временного интервала и устанавливается автоматически (байт
в секунду - основная единица измерения- B/s).
Выберите опцию Picture size, для установки фиксированного формата графика или для
того, чтобы он вместился в экран консоли Administration Console.
Классификация Web страниц (Classification of Web pages)
Во вкладке ISS OrangeWeb Filter находится круговой график (pie chart) и таблица
статистики
для
классифицированных
Web
страниц,
открытых определенным
пользователем в указанный временной интервал.
Выберите пункт из выпадающего меню Time interval для указания временного
периода, по которому будет строиться статистика (см. главу Top 20 users).
Круговой график показывает пропорциональные части по траффику пяти верхних
категорий Web ( в соответствии с числом запросов) в указанный период времени .
Категории отображены в графике, включая соответствующее число запросов. Другие
категории отображены в пункте Other item.
Таблица ниже графика показывает список всех категорий ISS OrangeWeb Filter
(используйте
[+] или [-] для просмотра/скрытия подкатегорий). Для каждой
подкатегории показывается следующая информация :
число запросов в этой категории, классифицированных модулем
ISS
OrangeWeb Filter,
процентное соотношение количества запросов в этой категории к общему
количеству запросов.
Статистика интерфейса
Вкладка "Статистика интерфейса" (Interface statistics) в Статус/Интерфейс (Status /
Statistics) предлагает детальную информацию об объеме информации, переданной в
обоих направлениях через отдельные интерфейсы узла WinRoute за выбранный
интервал времени (сегодня (today), на этой неделе (this week), за этот месяц (this
month), всего (total)).
Примечание: интерфейсы могут быть представлены адаптерами, удаленным доступом
или VPN туннелями. Сервер VPN является специальным интерфейсом - коммуникации
всех клиентов VPN представлены в этом пункте в Статистике интерфейса.
Контекстное меню позовляет добавлять колонки, демонстирующие объем данных,
переданных через соответствующий интерфейс: входящих (IN) и/или выходящих (OUT)
за разные отрезки времени.
Пример: узел WinRoute соединяется с Интернет через Общий интерфейс, а локальная
сеть соединяется через интерфейс LAN. Локальный пользователь скачивает из
Интернет 10 Мб информации. Эта информация будет учитываться следующим образом:
входящие данные через Общий интерфейс считаются как пункт IN (данные из
Интернет, полученные через этот интерфейс),
через интерфейс LAN - как OUT (данные, отправленные в локальную сеть через
этот интерфейс).
Примечание: статистика интерфейса хранится в файле interfaces.stat в директории
WinRoute. Это значит, что эти данные не сбрасываются при выключении WinRoute
Брандмауэра.
Контекстное меню, появляющееся при щелчке правой кнопкой мыши где-нибудь в
таблице (или на отдельном интерфейсе), предлагает следующие опции:
Сброс статистики интерфейса (Reset interface statistics) - эти опция позволяет
сбросить всю статистику интерфейса. Эта опция доступна, только если при
открытии контекстного меню указатель мыши был направлен на интерфейс.
Обновить (Refresh) - используйте эту опцию, чтобы обновить информацию на
вкладке Статистика интерфейса (эта опция идентична кнопке Обновить в
нижней части окна).
Автоматическое обновление (Auto refresh) - установки автоматического
обновления данных, приводимых на вкладке Статистика интерфейса. Можно
использовать интервал от 5 секунд до 1 минуты. Автоматическое обновление
страницы можно отключить с помощью опции "Не обновлять" (No refresh).
Изменить колонки (Modify columns) - используйте эту опцию, чтобы выбрать
пункты (колонки), которые будут отображаться в таблице (см. главу Посмотреть
настройки).
Убрать статистику интерфейса (Remove interface statistics) - позволяет убрать
выбранный интерфейс из обзора статистики. Можно убрать только неактивные
интерфейсы (т.е. отключенные от сетевых адаптеров, отключенный удаленный
доступ, отключенные VPN туннели или VPN серверы, с которыми в данный
момент не связан ни один клиент).
Графический просмотр нагрузки интерфейса
Трафик для выбранного интерфейса (скорость передачи в байт/сек) и заданный период
времени можно посмотреть в виде графика в нижнем окне на вкладке Статистика
интерфейса. Используйте кнопку Показать детали/Скрыть детали (Show details / Hide
details), чтобы показать или скрыть этот график (по умолчанию график отображается).
Период (2 часа, 1 день, 1 неделя, 1 месяц) можно выбрать в области "Интервал
времени" (Time interval). Текущее время и дата считается конечной точкой каждого
периода (т.е. 2 часа означает 2 последних часа).
По оси "х" графика отложено время, а по оси "y" - скорость трафика. Ось "х"
измеряется соответственно выбранному интервалу времени, а шкала оси "у" зависит от
максимального значения интервала времени и устанавливается автоматически (базовая
единица измерения - байт в секунду, B/s).
Ключ с правой стороны графика показывает интервал, используемый для отдельных
временных отметок.
Пример: предположим, выбран интервал 1 день. Тогда, отметки будут соответствовать
5 минутам. Это значит, что каждые 5 минут на графике отмечается средняя скорость
трафика за последние 5 минут.
Выберите опцию Размер картинки (Picture size), чтобы установить фиксированный
формат графика или чтобы подогнать его во весь экран Администраторского терминала.
Регистрационные журналы
Содержание
Настройка журналов
Контекстное меню журналов
Журнал предупреждений
Журнал настроек
Журнал связей
Журнал отладки
Журнал дозвона
Журнал ошибок
Журнал фильтров
Журнал HTTP
Журнал безопасности
Журнал предостережений
Журнал Web
Журналы - это файлы, где записывается и хранится история об определенных
эпизодах, выполняемых или обнаруживаемых WinRoute.
Каждый журнал отображается в окне в резделе Журналы (Logs). Каждое событие
представлено одной строкой. В строках в скобках содержится информация о времени
(дата и время события), за которой следует информация о событии согласно типу
журнала.
События отдельных журналов можно сохранять в файлы на локальном диске и/или на
сервере Syslog.
Локально журналы хранятся в файлах в субдиректории logs в директории WinRoute.
Имена файлов имеют следующий формат:
file_name.log
(например, debug.log). Каждый журнал включает файл с расширением .idx. Это
индексный файл, упрощающий доступ к журналу с Администраторского терминала.
Отдельные журналы можно сменять. Через какой-то период времени, или когда размер
файла достигает порога, файлы журнала сохраняются, и новые события будут
записываться в новый (пустой) файл.
Хранение журналов в файлах позволяет всегда иметь резервные копии журналов
(копируя их в другую директорию). Журналы можно анализировать с использованием
различных инструментов.
Настройки журнала регистрации
Параметры журнала регистрации (имена файлов, чередование, отправка к Syslogсерверу) могут быть установлены в разделе Configuration / Log Settings. В этом разделе
приведен обзор всех регистраций, используемых WinRoute.
Дважды щелкните по выбранному логу (или выберите лог, и щелкните кнопку Edit), для
того чтобы открыть диалог, в котором устанавливаются параметры лога.
Регистрация файла
Используйте раздел File Logging для задания имени файла и параметров чередования.
Разрешить регистрацию файла
Используйте эту опцию для включения/выключения регистрации файла по вводу имени
файла (расширение .log добавится автоматически).
При отключенной этой опции, никакие из следующих параметров и настроек не будут
доступны.
Чередовать регулярно
Установите интервалы, в которые логи будут регулярно чередоваться. Файл будет
сохраняться, а новый лог будет запускаться через выбранные интервалы.
Чередовать если файл превысит размер
Установить максимальный размер для каждого файла. Когда порг будет достигнут,
файл будет чередоваться. Максимальный размер определяется в килобайтах (KБ).
Примечание: Если включены обе
соблюдении любого из условий.
опции,
то
будет
выполняться
действие
при
Максимальное число логов
Максимальное количество логов для хранения. При достижении порога, самые старые
файлы удаляются.
Syslog Logging
Параметры регистрации в Syslog могут быть заданы в разделе External Logging.
Включить Syslog logging
Включить/выключить logging в Syslog сервер.
Если эта опция выключена, следующие данные могут быть недоступны.
Syslog сервер
IP-адрес Syslog сервера.
Возможности
Возможности, которые будут использованы для определенного лога WinRoute (в
зависимости от Syslog сервера).
Точность
Точность регистрации событий (зависит от Syslog сервера).
Контекстное меню лога
Щелкните правой кнопкой в любом месте окна лога, для того чтобы открыть
контекстное меню. Здесь вы можете выбрать различные функции и редактировать
параметры лога.
Найти
Используйте эту опцию для поиска строки в логе. Регистрации можно просматривать с
текущей позиции либо вверх (старые события), либо Вниз (новые события).
Копировать
Эта функция позволяет копировать выбранный текст в буфер обмена. Можно
использовать горячие клавиши операционной системы (например, Ctrl+C or Ctrl+Insert
в Windows).
Нстройки лога
Диалог, в котором устанавливаются такие параметры, как имя регистрационного
файла, чередование и Syslog. Также, эти параметры могут быть настроены в разделе
Log settings в Configuration / Logs and Alerts. Для более подробной информации, смотри
главу Log Settings.
Шрифт
С помощью этого диалога вы можете выбрать шрифт выведенных данных. Доступны все
шрифты, установленные в хост с помощью Kerio Administration Console.
Кодировка
Кодировка, которая может быть использована при выводе информации в Kerio
Administration Console может быть выбрана в этом разделе. UTF-8 используется по
умолчанию.
Совет: Выберите другую кодировку,
некорректно в неанглоязычных версиях.
Удалить лог
если
специальные
знаки
отображаются
Удаляет регистрационные данные. Может быть удален файл (не только информация,
сохраненная в выбранном окне).
Предупреждение: Удаленные данные не могут быть возвращены.
Следующие опции возможны только в Debug:
IP-трафик
Эта функция позволяет контролировать пакеты согласно определенным пользователем
выражением.
Это выражение может быть определено специальными символами. Вы можете
ознакомиться с кратким описанием возможных условий и примеров их использования,
нажав кнопку Help.
Сообщения
Данная опция позволяет администратору задавать дополнительные настройки для
контроля:
WAN / Dial-up-сообщения — информация о коммутируемых линиях (запросы
соединения, автоматические разъединения) и внешних соединениях
Службы WinRoute — протоколы, поддерживаемые службами (DHCP, DNS, VPN)
Декодированные протоколы — показывает сообщение, содержащее все
выбранные протоколы, которые используют модули WinRoute (HTTP и DNS)
Разное — различная информация, такая как данные об удаленных пакетах,
пакетах с ошибками, HTTP-кэш, аутентификация пользователя и т.д.
Регистрация разработчиков — детальная регистрация отладки (может быть
использована, например, при решении проблем с помощью технической
поддержки)
Примечание: Если пользователь обладающий только правами чтения соединен с
WinRoute Firewall Engine (смотри главу User Accounts), то опции Настройки лога, Чистка
лога, IP-трафик и Сообщения контекстного меню Debug, ему не будут доступны. Доступ
к этим функциям имеют только пользователи с полными правами.
Журнал предупреждений
Журнал предупреждений содержит полную историю предупреждений, генерируемых
WinRoute (например, предупреждения об обнаружении вирусов, о наборе номера и
обрыве связи, о превышении квот, обнаружении сетей P2P и др.).
Каждый случай в Журнале предупреждений включает отметку времени (дата и время,
когда данный случай был зарегистрирован) и информацию о типе предупреждения
(прописными буквами).
Совет: Email и SMS предупреждения можно настроить в меню Настройки/Журналы и
Предупреждения (Configuration / Logs & Alerts). Все посланные предупреждения можно
увидеть в разделе Статус/Предупреждения (Status / Alert messages) (подробнее см. в
главе Предупреждения).
Конфигурация лога
Конфигурация лога хранит полную историю соединений между Kerio Administration
Console и WinRoute Firewall Engine — лог позволяет вам определить какие
административные действия были выполнены каким пользователем и когда.
Существует три типа записей, которые вносятся в Config log:
1. Информация о входах/выходах пользователя в/из администрирование WinRoute
Пример:
[18/Apr/2003 10:25:02] james - открыт сеанс
для хоста 192.168.32.100
[18/Apr/2003 10:32:56] james - закрыт сеанс
для хоста 192.168.32.100
[18/Apr/2003 10:25:02] — дата и время, когда запись была внесена в
журнал
jsmith — регистрационное имя пользователя
открыт сеанс для хоста 192.168.32.100 — информация о начале
соединения и IP-адрес компьютера, с которым пользователь соединен
закрыт сеанс для хоста 192.168.32.100 — информация об окончании
соединения с определенным компьютером (пользователь завершил сеанс
или Kerio Administration Console закрыта)
2. Изменения базы данных конфигурации
Этот тип записей информирует вас об изменениях,
произведенных
пользователем в Kerio Administration Console. При связи с этой базой данных,
используется упрощенный язык SQL.
Пример:
[18/Apr/2003 10:27:46] jsmith - insert StaticRoutes
set Enabled='1', Description='VPN',
Net='192.168.76.0', Mask='255.255.255.0',
Gateway='192.168.1.16', Interface='LAN', Metric='1'
[18/Apr/2003 10:27:46] — дата и время записи
jsmith — регистрационное имя пользователя
insert StaticRoutes ... — определенная команда, использующаяся для
изменения конфигурации базы данных WinRoute (в данном случае,
статический маршрут был добавлен к таблице маршрутизации)
3. Другие изменения конфигурации
Типичным примером этого типа записи является изменение правил трафика.
Полный список текущих правил трафика, записанных в Config log будет доступен
при нажатии на Apply в Configuration / Traffic policy.
Пример:
[18/Apr/2003 12:06:03] Admin - New traffic policy set:
[18/Apr/2003 12:06:03] Admin - 1: name=(ICMP Traffic)
src=(any) dst=(any) service=("Ping")
snat=(any) dnat=(any) action=(Permit),
time_range=(always) inspector=(default)
[18/Apr/2003 12:06:03] — дата и время изменений
Admin — регистрационное имя пользователя, произведшего изменения
1: — номер правила трафика (праила нумеруются сверху вниз, согласно
их позиции в таблице, нумерация начинается с 1)
name=(ICMP Traffic) ... — описание правила трафика (имя, источник,
положение, служба и т.д.)
Примечание: Правило по умолчанию (последнее в таблице правил) помечено
вместо номера default:.
Регистрация соединений
Регистрация соединений для правил трафика, которые конфигурируются для
регистрации с помощью опции Log matching connections (смотри главу Traffic Policy).
Как читать регистрацию соединений?
[18/Apr/2003 10:22:47] [ID] 613181 [Rule] NAT
[Service] HTTP [User] james
[Connection] TCP 192.168.1.140:1193 -> hit.top.com:80
[Duration] 121 sec [Bytes] 1575/1290/2865 [Packets] 5/9/14
[18/Apr/2003 10:22:47] — дата и время, когда событие было зарегистрировано
(Примечание: Регистрация соединений сохраняется сразу после разъединения)
[ID] 613181 — идентификационный номер соединения WinRoute
[Rule] NAT — имя использовавшегося трафика (правило, по которому трафик
принимается или отклоняется).
[Service]
HTTP — имя соответствующей службы уровня приложений
(определенная портом назначения).
Если соответствующая служба не определена в WinRoute (смотри главу Services),
значит пункт [Service] отсутствует в логе.
[User] james имя пользователя, соединенного с брандмауэром через хост,
определяемый в трафике (если ни один пользователь не соединен с этого хоста,
регистрируется нулевое <null> значение).
Если с соответствующего хоста не соединен ни один пользователь, то пункт
[User] отсутствует в логе.
[Connection] TCP 192.168.1.140:1193 -> hit.top.com:80 — протокол, IPадрес и порт источника, IP-адрес и порт назначения. Если соответствующий лог
найден в кэше DNS Forwarder (смотри главу DNS Forwarder ), то вместо IPадреса отображается имя хоста DNS. Если лог не найден в кэш, имя не
обнаруживается (подобные DNS-запросы будут замедлять работу WinRoute).
[Duration] 121 sec — продолжительность соединения (в секундах)
[Bytes] 1575/1290/2865 — количество байт, переданное во время соединения
(передано/принято/всего)
[Packets] 5/9/14 — количество пакетов, переданное во время соединения
(передано/принято/всего)
Регистрационный журнал отладки
Отладка (информация отладки) - это специальный журнал, который можно
использовать для отслеживания определенной информации, что особенно полезно для
решения
проблем.
Слишком
большой
объем
информации,
представляемой
одновременно, может вызвать путаницу, это непрактично. Обычно к делу относится
лишь часть информации или функций. Кроме того, отображение слишком большого
количества информации замедляет работу WinRoute. Следовательно, настоятельно
рекомендуется отслеживать лишь важную часть информации и, по-возможности, за
короткий период.
Регистрация набора
Данные о наборе и разъединении коммутаторных линий, и времени on-line.
В Dial log отображаются следующие события:
1. Ручное соединение (из Administration Console — смотри главу Interfaces,
используя Web-интерфейс — смотри главу Dial-up либо прямо из операционной
системы).
[15/Mar/2004 15:09:27] Line "Connection" dialing,
console 127.0.0.1 - Admin
[15/Mar/2004 15:09:39] Line "Connection" successfully connected
Первый пункт сообщает об инициализации набора. Данный лог всегда включает
имя WinRoute набираемой линии (смотри главу Interfaces). Если линия
набирается
из
Administration
Console
или
Web-интерфейса,
запись
сопровождается дополнительной информацией:
откуда было произведено соединение (console — Administration Console,
webadmin — Web-интерфейс,
IP-адрес пользователя (например, IP-адрес Administration Console или
Web-интерфейса),
регистрационное имя пользователя, который затребовал соединение.
А также другая информация об успешном соединении (например, время набора
линии, аутентификация на удаленном сервере и т.д.).
2. Разъединение линии (ручное
определенного периода простоя)
или
автоматическое,
выполненное
после
[15/Mar/2004 15:29:18] Line "Connection" hang-up,
console 127.0.0.1 - Admin
[15/Mar/2004 15:29:20] Line "Connection" disconnected,
connection time 00:15:53, 1142391 bytes received,
250404 bytes transmitted
Первая запись показывает получения запроса на разъединение. Запись
отображает информацию об имени интерфейса, типе пользователя, IP-адресе и
имени пользователя.
Вторая запись показывает об успешном разъединении, а также об имени
интерфейса, времени соединения (connection time), объеме принятой и
отправленной информации в байтах (bytes received и bytes transmitted).
3. Разъединение вызвано ошибкой (сбой соединения)
[15/Mar/2004 15:42:51] Line "Connection" dropped,
connection time 00:17:07, 1519 bytes received,
2504 bytes transmitted
Вторая запись показывает об успешном разъединении, а также об имени
интерфейса, времени соединения (disconnection time), объеме принятой и
отправленной информации в байтах (bytes received и bytes transmitted).
4. Запрошенное соединение (ответ на DNS-запрос)
[15/Mar/2004 15:51:27] DNS query for "www.microcom.com"
(packet UDP 192.168.1.2:4567 -> 195.146.100.100:53)
initiated dialing of line "Connection"
[15/Mar/2004 15:51:38] Line "Connection" successfully connected
Первая запись сообщает о получении DNS-запроса (DNS forwarder не нашел
запрошенную DNS-запись в кэш). Лог показывает:
имя DNS, от которого поступил IP-адрес,
описание пакета с соответствующим DNS-запросом (протокол, IP-адрес
источника, порт источника, IP-адрес назначения, порт назначения),
имя линии для набора.
Вторая запись сообщает об успешном соединении (например, время набора
линии, аутентификация на удаленном сервере и т.д.).
5. Установка связи по требованию (ответ на пакет, отправленный из локальной
сети)
[15/Mar/2004 15:53:42] Packet
TCP 192.168.1.3:8580 -> 212.20.100.40:80
initiated dialing of line "Connection"
[15/Mar/2004 15:53:53] Line "Connection" successfully connected
Первая запись создается когда WinRoute находит, что маршрут пакета не
существует
в
таблице
маршрутизации.
Запись
сообщает
следующую
информацию:
описание пакета (протокол, IP-адрес источника, порт источника, IP-адрес
назначения, порт назначения),
имя линии для соединения.
Вторая запись сообщает об успешном соединении (например, время набора
линии, аутентификация на удаленном сервере и т.д.).
6. Ошибка соединения (например, ошибка при обнаружении модема, разъединение
dial-up и т.д.)
[15/Mar/2004 15:59:08] DNS query for "www.microsoft.com"
(packet UDP 192.168.1.2:4579 -> 195.146.100.100:53)
initiated dialing of line "Connection"
[15/Mar/2004 15:59:12] Line "Connection" disconnected
Первая запись показывает запись DNS, отправленную из локальной сети, откуда
была установлена связь (смотри выше).
Второй пункт (сразу после первого) информирует, что произошел сбой. В
отличие от записи обычного соединения, время соединения и объем переданных
данных не отображается (потому что линия не была соединена).
Журнал ошибок
В журнале ошибок отображается информация о серьезных проблемах, которые могут
повлиять на функционирование всего брэндмауэра. Администратор WinRoute должен
регулярно наблюдать за журналом и устранять обнаруженные ошибки как можно
быстрее, иначе некоторые (или даже все) сервисы брэндмауэра могут стать
недоступными для пользователей и/или могут возникнуть проблемы с безопасностью.
Типичным сообщением об ошибке в журнале ошибок может быть: проблема при
запуске сервиса (обычно конфликт портов), проблемы с записью на диск или запуском
анти-вируса и т. д.
Каждая запись в журнале ошибок содержит код и под-код ошибки, заключенные в
круглые скобки (x y). Код ошибки может относиться к одной из следующих категорий:
1-999 — проблемы с системными ресурсами (недостаточно памяти, ошибка
распределения памяти и т. д.)
1000-1999
—
внутренние
ошибки
(невозможно
прочитать
таблицу
маршрутизации или IP-адрес интерфейса и т. д.)
2000-2999 — проблемы с лицензией (истек срок лицензии, число пользователей
превысшает ограниченное лицензией, неудаётся найти лицензионный файл и
т. д.)
3000-3999 — ошибки конфигурации (неудаётся прочитать файл конфигурации,
обнаружено обращение к конфигурации DNS Forwarder или Proxy server и т. д.)
4000-4999 — ошибка сети (сокетов)
5000-5999 — ошибки во время запуска или остановки WinRoute Firewall Engine
(проблемы с низкоуровневым драйвером, проблемы при инициализации
системных библиотек, сервисов, конфигурационных баз данных и т. д.)
6000-6999
—
ошибки
файловой
системы
(невозможно
открыть/сохранить/удалить файл)
7000-7999 — ошибки SSL (проблемы, связанные с ключами и сертификатами, и
т. д.)
8000-8099 — ошибки кэша HTTP (ошибки при чтении/записи файлов кэша,
недостаточно места на диске для кэша и т. д.)
8100-8199 — ошибки модуля ISS OrangeWeb Filter
8200-8299 — ошибки подсистемы аутентификации
8300-8399 — ошибки антивирусного модуля (антивирус не прошёл тест,
проблемы при сохранением временных файлов и т. д.)
8400-8499 — ошибки дозвона (неудаётся прочитать из заданного соединения,
ошибка в конфигурации линии связи и т. д.)
8500-8599 — ошибки LDAP (не найден сервер, не удался вход в систему и т. д.)
Замечание: Если вам не удается исправить ошибку (или выяснить причину ее
возникновения), сообщения о которой постоянно появляются в журнале ошибок, не
колеблясь, обращайтесь в нашу службу технической поддержки. Более подробную
информацию можно найти в главе Техническая поддержка или на сайте
http://www.kerio.com/.
Лог-файл фильтра
Данный лог-файл содержит информацию о ресурсах и объектах, которые были
заблокированы HTTP и FTP фильтрами (см. главу URL Rules и FTP Policy). А также
информацию о пакетах, которые были блокированы правилами трафика, если
активирован packet logging для данного правила (см. главу Traffic Policy). Каждая
строка лог-файла содержит следующую информацию в зависимости от объекта, на
основе работы которого сгенерирован лог:
При использовании HTTP или FTP правила, в лог-файл входит следующая
информация: имя правила, имя пользователя, IP адрес хоста с которого был
послан запрос, URL объекты
При использовании правила трафика, в лог-файл входит следующая
информация: подробные данные о пакете, который соответствует данному
правилу (имя правила, адрес отправителя и получателя, порты, размер и т.д.)
Пример лог-файла URL правила:
[18/Apr/2003 13:39:45] ALLOW URL 'McAfee update'
192.168.64.142 james HTTP GET
http://update.kerio.com/nai-antivirus/datfiles/4.x/dat-4258.zip
[18/Apr/2003 13:39:45] — дата и время события
ALLOW — выполненное действие (ALLOW = доступ разрешен, DENY = доступ
запрещен)
URL — тип правила (для URL или FTP)
'McAfee update' — название правила
192.168.64.142 — IP адрес клиента
jsmith — имя пользователя, идентифицированного посредством брэндмауера
(ни одно имя не будет отражаться, до тех пор, пока хоть один пользователь не
вошел в систему с отдельного хоста)
HTTP GET — HTTP метод, который использовался в запросе
http:// ... — запрашиваемый URL адрес
Пример лог-файла для правила трафика:
[16/Apr/2003 10:51:00] PERMIT 'Local traffic' packet to LAN,
proto:TCP, len:47, ip/port:195.39.55.4:41272 ->
192.168.1.11:3663, flags: ACK PSH , seq:1099972190
ack:3795090926, win:64036, tcplen:7
[16/Apr/2003 10:51:00] — дата и время события
PERMIT — действие, совершенное с пакетом (PERMIT, DENY или DROP)
Local traffic — название правила
packet to — направление пакета (или to (к) или from (от) определенного
интерфейса)
LAN — название интерфейса (см. главу Interfaces)
proto: — тип транспортного протокола (TCP, UDP и т.д.)
len: — размер пакета в байтах (включая заголовки)
ip/port: — IP адрес и порт отправителя, IP адрес и порт получателя
flags: — TCP флаги
seq: — порядковый номер пакета (только TCP)
ack: — порядковый номер подтверждения (только TCP)
win: — размер полученного окна в байтах (это нужно для потокового
управления данными — только TCP)
tcplen: — размер важной информации в TCP
информационной части пакета в байтах — только TCP)
пакете
(т.е.
размер
HTTP лог-файлы
Данный лог-файл содержит всю информацию о HTTP запросах, которые были переданы
через HTTP inspection module (модуль инспекции HTTP) (см. раздел Services) или
встроенным прокси-сервером (см. раздел Proxy server). Лог-файл имеет стандартный
формат любого Apache WWW сервера (см. http://www.apache.org/) или Squid проксисервера (см. http://www.squid-cache.org/). Для включения или отключения HTTP логфайлов и выбора их формата, зайдите на панель Configuration/ContentFiltering/HTTP
Policy (см. раздел URL Rules).
Замечания:
1. В HTTP лог-файл записываются только обращения к разрешенным страницам.
Заблокированные запросы записываются в лог-файл фильтра, если конечно
активировано соответствующее правило (см. раздел URL Rules).
2. HTTP лог-файл предназначен для обработки внешними аналитическими
инструментами. Web лог-файл (см. ниже) лучше подходит для просмотра
Администратором WinRoute.
Вот пример HTTP лог-файла, записанного в соответствии с требованиями формата
Apache:
[18/Apr/2003 15:07:17] 192.168.64.64 - rgabriel
[18/Apr/2003:15:07:17 +0200]
"GET http://www.kerio.com/ HTTP/1.1" 304 0 +4
[18/Apr/2003 15:07:17] — дата и время события
192.168.64.64 — IP адрес клиента
rgabriel — имя пользователя, идентифицированного посредством брэндмауера
(если ни один пользователь не был аутентифицирован через клиента, то будет
показан знак тире)
[18/Apr/2003:15:07:17 +0200] — дата и время получения HTTP запроса. +0200
означает разницу во времени от стандарта UTC (+2 часа в данном примере —
CET).
GET — HTTP метод, который использовался в запросе
http://www.kerio.com — запрашиваемый URL адрес
HTTP/1.1 — версия HTTP протокола
304 — возвращаемый код HTTP протокола
0 — размер отправленного объекта(файла) в байтах
+4 — число HTTP запросов, отправленных в течение данного соединения
Пример HTTP лог-файла, записанного в соответствии с требованиями формата Squid:
1058444114.733 0 192.168.64.64 TCP_MISS/304 0
GET http://www.squid-cache.org/ - DIRECT/206.168.0.9
1058444114.733 — время (в секундах), прошедшее с 1 января 1970
(используется в *nix системах)
0 — продолжительность загрузки (не измеряется в WinRoute, т.е. всегда
установлено в 0)
192.168.64.64 — IP адрес клиента
TCP_MISS — это понятие используется в TCP протоколе и обозначает отсутствие
предполагаемого объекта в кэше (“missed”). WinRoute всегда использует данное
значение в этом поле.
304 — возвращаемый код HTTP протокола
0 — размер переданных данных в байтах (размер объекта HTTP)
GET http://www.squid-cache.org/ — HTTP запрос (метод HTTP и URL объект)
DIRECT — метод доступа к WWW серверу (WinRoute всегда использует данный
вид доступа)
206.168.0.9 — IP адрес WWW сервера
Лог-файл системы безопасности
Данный лог-файл предназначен для записи всех сообщений, связанных
безопасностью системы. Сведения cледующих видов могут находиться в лог-файле:
с
1. Запись лог-файлов при помощи Anti-spoofing
Сообщения о пакетах "перехваченных" модулем Anti-spoofing (пакетов
недопустимыми исходными IP адресами— см. раздел Security Settings)
с
Примеры:
[17/Jul/2003 11:46:38] Anti-Spoofing:
Packet from LAN, proto:TCP, len:48,
ip/port:61.173.81.166:1864 -> 195.39.55.10:445,
flags: SYN , seq:3819654104 ack:0, win:16384, tcplen:0
packet from — направление пакета (следующего от интерфейса или к
интерфейсу)
LAN — имя интерфейса, где был зарегистрирован пакет (см. раздел
Interfaces)
proto: — протокол передачи (TCP, UDP и т.д.)
len: — размер пакета в байтах (включая заголовки)
ip/port: — IP адрес и порт отправителя и получателя
flags: — TCP флаги (только TCP)
seq: — порядковый номер (только ТCР)
ack: — порядковый номер подтверждения (только TCP)
win: — размер полученного окна (только TCP)
tcplen: — размер важной информации в байтах
2. Запись лог-файлов при помощи FTP protocol parser
Пример 1:
[17/Jul/2003 11:55:14] FTP: Попытка атаки была отражена:
Клиент: 1.2.3.4, Сервер: 5.6.7.8,
Команда: PORT 10,11,12,13,14,15
(определена попытка атаки — несоответствующий IP адрес в команде PORT)
Пример 2:
[17/Jul/2003 11:56:27] FTP:Ответ серверу, от которого исходила угроза:
Клиент: 1.2.3.4, сервер: 5.6.7.8,
Ответ: 227 Вход в пассивный режим (10,11,12,13,14,15)
(подозрительный ответ сервера с несоответствующим IP адресом)
3. Неправильная пользовательская идентификация также записывается в логфайле
Формат сообщения:
Идентификация: <Служба>: Клиент: <IP адрес: <Причина>
<Служба> — Служба WinRoute, к которой пользователь пытался получить
доступ (Admin = администратор, использующий Kerio Administration
Console, WebAdmin = интерфейс сетевого администратора , WebAdmin SSL
= безопасный интерфейс администратора сети, Proxy = прокси-сервер
пользовательской идентификации)
<IP адрес> — IP адрес компьютера, с которого пытались выполнить
идентификацию.
<причина>
—
причина
отказа
при
процедуре
идентификации
(несуществующий пользователь /неправильный пароль)
Обратите внимание: Для более конкретной информации о пользовательской
идентификации см. раздел User Accounts и Firewall User Authentication .
4. Информация о запуске и остановке движка WinRoute Firewall
a) Запуск движка:
[17/Jul/2003 12:11:33] Engine: Startup.
b) Остановка движка:
[17/Jul/2003 12:22:43] Engine: Shutdown.
Журнал предупреждений (Warning Log)
Предупредительный сообщения записываются в журнал предупреждений ( Warning
log). Записи свидетельствуют о серьезных ошибках. Запись может свидетельствовать
о неправильном пользовательской аунтефикации на сервере (invalid username or
password), ошибке соедининия между сервером и интерфейсом Web ,и т.д..
События которые служат причиной записи в этот журнал не могут сильно повлиять на
работу WinRoute. Как бы там ни было они могут указывать на серьезные проблемы в
системе . Этот журнал используется скажем тогда , когда пользователь имеет проблемы
с некоторыми сервисами.
Каждае запись имеет уникальный числовой номер (xxx:). Определены следующие
категории записей:
1000-1999 - системное предупреждение ( например найдено конфликтующее
приложение)
2000-2999 - проблемы конфигурации WinRoute (например правила HTTP
требуют аунтефикацию пользователя , но интерфейс WWW не доступен)
3000-3999 - предупреждения от определенных модулей WinRoute (например
сервер DHCP , антивирусная проверка и т.д.)
4000-4999 - лицензионные предупреждения (истекания даты подписки,
окончание лицензии сервера WinRoute, лицензии ISS OrangeWeb Filter , или
лицензии антвируса McAfee )
Замечание: Окончание лицензии рассматривается
записывается в журнал ошибок ( Error log).
как
ошибка
и
это
Пример Журнала предупреждений (Warning logs):
[15/Apr/2003 15:00:51] (3004) Authentication subsystem warning: Kerberos 5
auth:
user james@company.com not authenticated
(проблема аунтефикации, пользователь james@company.com не аунтефицированн)
[15/Apr/2003 15:00:51]
password for user admin
(3004)
Authentication
subsystem
warning:
Invalid
[16/Apr/2003 10:53:20] (3004) Authentication subsystem warning: User johnblue
doesn't exist
Первая запись свидетельствует, что пользователь jsmith не смог пройти
аунтефикацию в системе Kerberos на домене company.com
Вторая
запись
есть
предупреждение
подсистемы
аунтефикации,что
пользователь admin ввел неверный пароль.
Третья
запись
есть
предупреждение
подсистемы
аунтефикации,что пользователь johnblue не существует.
Замечание: Что касается вышеприведенных предупреждений,
записаны в журнал безопасности ( Security log).
они
также будут
Журнал событий Web (Web Log)
В этот журнал записывается информация о запросах HTTP обработанных HTTP
инспекторами протоколов (protocol inspectors) (см. главу Services) или обработанные
встроенным прокси сервером (см. главу Proxy server ). В отличие от журнала HTTP
,в журнал Web записывается тользо титул страницы, пользователь WinRouteили адрес
IP, с которого просматривалась страница.
Для администраторов журнал Web легок для понимания, в нем можно узнать на какие
сайты заходил каждый пользователь.
Как читать журнал Web Log?
[24/Apr/2003 10:29:51] 192.168.44.128 james
"Kerio Technologies | No Pasaran!" http://www.kerio.com/
[24/Apr/2003 10:29:51] - время и дата когда была сделана запись
192.168.44.128 - адрес IP клиетского хоста
james - имя аунтефицированного пользователя (если
аунтефицирован , имя заменяется на тире)
"Kerio Technologies | No Pasaran!" - титул страницы
пользователь
не
(содержание тэга HTML <title> )
Замечание : Если титул страницы не может быть получен (например содержание
сжато), тогда вместо титула появится надпись "Encoded content"
http://www.kerio.com/ - адрес страницыURL
Диагностика и исправление неисправностей
Содержание
Резервные копии и импорт настроек
Частичное отключение Инспектора протокола
В этой главе содержится несколько полезных советов по решению проблем, которые
могут возникнуть при работе с WinRoute.
Резервное копирование и импорт конфигурации(Backup and Import of
Configuration)
Все настройки
WinRoute
установлен WinRoute:
хранятся в файлах конфигурации, в директории где
winroute.cfg
Главный конфигурационный файл
users.cfg
Информация о пользователях и группах.
logs.cfg
Настройки журнала (Log)
host.cfg
Настройки для резервного копирования конфигурации, (настроек пользователей, баз
данных сервера DHCP и т.д.)
ids.cfg
Для будущего использования.
Эти файлы находятся в XML формате, и могут быть легко изменены пользователем, или
же могут быть созданы автоматически в каком нибудь приложении. Резервное
копирование производится обыкновенным копированием этих файлов (см. ниже).
Предупреждение
Остановите WinRoute Firewall Engine перед изменением конфигурационных файлов ,
т.к. информация из них читается только при старте сервера WinRoute Firewall Engine .
Конфигурационные файлы перезаписываются после любой модификации настроек
сервера и после его остановки. Все изменения ,сделанные при запущенном Engine,
будут перезаписаны настройками из памяти, после остановки Engine .
Восстановление конфигурации из резервной копии
(Configuration Recovery Performed Through Back-Up)
Используйте следующие шаги, чтобы восстановить конфигурацию сервера из
резервной копии (обычно это нужно когда сервер WinRoute устанавливается на новый
компьютер
и
нужно
сохранить
настройки
старого
сервера,
или
когда
переустанавливается операционная система):
1. Установите WinRoute на нужной машине(см. главуInstallation).
2. Остановите WinRoute Firewall Engine.
3. Скопируйте резервные копии конфигурационных файлов host.cfg, logs.cfg,
users.cfg и winroute.cfg в директорию установки WinRoute.
(обычно C:\Program Files\Kerio\WinRoute Firewall).
4. Запустите WinRoute Firewall Engine.
WinRoute сам обнаружит нужные файлы. В данном процессе ,в системе будут
обнаружены неизвестные сетевые интерфейсы (которые не определены в файле
winroute.cfg ) .Каждый сетевой интерфейс включает в себя уникальный
идентификатор
(случайно
сгенерированный)
в
операционной
системе.
Практически не возможно чтобы два идентификатора совпадали.
Для избежания настройки новых интерфейсов и изменений правил траффика
(traffic rules), вы можете присвоить идентификатор нового интерфейса, старому
интерфейсу в файле winroute.cfg.
5. Остановите WinRoute Firewall Engine.
6. Используйте простой текстовый редактор (например Notepad ) чтобы открыть
winroute.cfg. Найдите кусок текста:
<list name="Interfaces">
Посмотрите содержимое этой секции (между открывающим и закрывающими
тэгами), и
найдите секции
старого
и
нового
интерфейсов,
замените
идентификатор старого интерфейса идентификатором нового.Удалите секцию
нового нового интерфейса.
Пример: Название интерфейса локальной сети LAN. Это сетевое соединение
обозначается как Local area connection в новой операционной системе.
присутствуют оба интерфейса, задача подменить идентификатор старого
интерфйса новым, чтобы использовались настройки старого:
<listitem>
<variable name="Id">\DEVICE\
{7AC918EE-3B85-5A0E-8819-CBA57D4E11C7}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">Local Area Connection</variable>
...
</listitem>
Скопируйте идентификатор интерфейса Local Area Connection в интерфейс LAN
. Удалите информацию о интерфейс Local Area Connection (соответствующий
элемент listitem).
Когда все изменения будут совершены, файл конфигурации будет выглядеть вот
так:
<listitem>
<variable name="Id">\DEVICE\
{6BF377FB-3B85-4180-95E1-EAD57D5A60A1}</variable>
<variable name="Name">LAN</variable>
...
</listitem>
7. Сохраните winroute.cfg и запустите WinRoute Firewall Engine.
После такой процедуры настройки WinRoute идентичны настройкам исходного
сервера WinRoute, в предыдущей операционной системе.
Отключение Инспектора Протокола в определенных ситуациях (Partial
Retirement of Protocol Inspector)
В определенных обстоятельствах, применение инспектора протокола (protocol
inspector) к определенным соединениям может быть нежелательным. Для выключения
проверки инспектором протокола (protocol inspection), укажите IP адреса отправителей
и получателей, а также правило траффика(traffic rule) для определенного сервиса.
Пример:
Банковский
клиент
соединяется
с
банковским
сервером
через
соответствующий протокол, поверх протокола TCP через порт 2000. Этот порт
используется протоколом Cisco SCCP .Если инспектор протокола (protocol inspector)
применяется к несовместимому протоколу , соединение не работает.
Предположим клиент банка запущен на хосте с адресом IP 192.168.1.15 и соединен с
сервером server.bank.com.
По умолчанию порт 2000 используется Cisco SCCP. Инспектор протокола SCCP будет
применятся к траффику банковского клиента в обычных условиях. Как бы там ни
было, это может повлиять на приложение и подвергнуть опасности защиту.
Следующее правило траффика будет определено для всего траффика банковского
приложения:
1. В секции Configuration / Definitions / Services , определите сервис с именем
Internet Banking: этот сервис будет использовать протокол TCP с портом 2000 и
инспектор протокола не будет использоваться для соединений с таким сервисом.
2. В секции Configuration / Traffic Policy , создайте правило, которое
разрешит траффик для этого сервиса между локальной сеткой и сервером банка.
Укажите, что инспектор протокола выключен для этого случая.
Замечание: По умолчанию в конфигурации секции Traffic rules , колонка
инспектора протокола не показывается. Чтобы показать ее, измените установки
в диалоге Modify columns (см. главу Views Setup).
Предупреждение: Для выключения инспектора протокола, не достаточно определить
сервис который не использует инспектор! Инспекторы проверяют весь траффик в
соответствующих протоколах по умолчанию. Для выключения инспектора протокола
,специальное правило траффика должно быть указано.
Техническая поддержка
Содержание
Важная информация
Контакты
Для Kerio WinRoute Firewall обеспечивается бесплатная техническая поддержка по
телефону и электронной почте. Контактная информация приведена в последнем
разделе этой главы. При возникновении любой проблемы, технические сотрудники
Kerio Technologies готовы вам помочь.
Прежде чем обратиться в нашу службу технической поддержки, пожалуйста, сделайте
следующее:
Изучите данное руководство - возможно, вы найдете ответ на свой вопрос.
Отедльные главы подробно описывают свойства и параметры компонентов
WinRoute.
Если вы не нашли ответ в руководстве, попробуйте его найти на web сайте Kerio
Technologies в разделе Technical Support.
Если вы не нашли ответы на все свои вопросы, и все же хотите обратиться в службу
технической поддержки, прочтите следующий раздел, в котором содержатся некоторые
инструкции.
Важная информация
Чтобы техническая поддержка могла помочь решить вашу проблему наиболее лучшим и
быстрым путем требуется ваши конфигурационные данные и наиболее ясная
информация о проблеме. Следующая информация должна присутствовать в вашем
сообщении:
Описание
Ясно объясните вашу проблему. Опишите проблему как можно подробнее(например
проблема возникла когда вы установили новую версию приложения или после апгрейда
и т.д.).
Файл с информацией (Informational File)
Вы может использовать Kerio Administration Console для создания тексового файла
содержащего конфигурацию WinRoute. Выполните следующие действия для создания
файла:
Запустите WinRoute Firewall Engine и присоединитесь к нему с помощью Kerio
Administration Console.
Если вы используете dial-up,соединяйтесь через Internet.
В среде Kerio Administration Console используйте комбинацию клавиш Ctrl+S .
Текстовый файл будет создан в домашней директории пользователя (например в
C:\Documents and Settings\Administrator) и будет назван kerio_support_info.txt.
Замечание: Файл kerio_support_info.txt создан
Kerio Administration Console. Это
означает что в случае если вы администрируете удаленно , файл будет сохранен на
локальном компьютере (не на сервере где запущен сервер WinRoute Firewall Engine).
Файлы журнала ошибок (Error Log Files)
Папка logs существует в директории куда установлен сервер WinRoute (обычно в
C:\Program Files\Kerio\WinRoute Firewall). Эта директория включает в себя файлы
error.log и warning.log. Присоедините эти файлы к сообщению посылаемому
технической поддержке.
Contacts
USA
Kerio Technologies Inc.
2041 Mission College Blvd., Suite 100
Santa Clara, CA 95054
Tel.: +1 408 496 4500
E-mail: <support@kerio.com>
http://www.kerio.com/
United Kingdom
Kerio Technologies UK Ltd.
Sheraton House
Castle Park
Cambridge, CB3 0AX
Tel.: +44 1223 370 136, +44 8707 442 205
E-mail: <support@kerio.co.uk>
http://www.kerio.co.uk/
Czech Republic
Kerio Technologies s.r.o.
Anglicke nabrezi 1/2434
301 49 PLZEN
Tel.: +420 377 338 902
E-mail: <support@kerio.cz>
http://www.kerio.cz/
Глоссарий
ActiveX
This Microsoft's proprietary technology is used for creation of dynamic objects for Web
pages. This technology provides a wide range of features, such as saving to disk and
running commands at the client (i.e. at the computer where the Web page is opened). Using
ActiveX, virus and worms can for example modify telephone number of the dial-up.
ActiveX is supported only by Microsoft Internet Explorer.
DHCP
DHCP (Dynamic Host Configuration Protocol) Serves automatic IP configuration of
computers in the network. IP addresses are assigned from a scope. Parameters include a
gateway or router, DNS servers, local domain etc.
DirecWay
This technology enables wideband bidirectional satellite connection to the Internet. For
detailed information, follow the link http://www.direcway.com/.
DNS
DNS (Domain Name System) A worldwide distributed database of Internet hostnames and
their associated IP address. Computers use Domain Name Servers to resolve host names to
IP addresses. DNS allows internet servers to be more easily recognized (i.e. www.kerio.com
is easier to remember than 207.235.5.183.
Firewall
Software application or hardware component used to protect hosts or networks from
intrusion attempts (usually from the Internet).
In this guide, the word firewall represents the WinRoute host.
IMAP
Internet Message Access Protocol (IMAP) enables clients to manage messages stored on
a mail server without downloading them to a local computer. This architecture allows the
user to access his/her mail from multiple locations (messages downloaded to a local host
disc would not be available from other locations).
IP address
Number consisting of 32 bits that is used to identify the host within the Internet. Each
packet contains information about where it was sent from (source IP address) and to which
address it is to be delivered (destination IP address).
IPSec
IPsec (IP Security Protocol) is an extended IP protocol which enables secure data transfer.
It provides services similar to SSL/TLS, however, these services are provided on a network
layer. IPSec can be used for creation of encrypted tunnels between networks (VPN) — so
called tunnel mode, or for encryption of traffic between two hosts— so called transport
mode.
Kerberos
It is a standard protocol used for user authentication within Windows 2000/2003. Users
connect to central servers ( Key Distribution Center — KDC) and the servers send them
encrypted keys for connection to other servers within the network. In case of the Windows
2000/2003 domains, function of KDC is provided by the particular domain server.
LDAP
LDAP (Lightweight Directory Access Protocol) is an Internet protocol used to access
directory services. Information about user accounts and user rights, about hosts included in
the network, etc. are stored in the directories. Typically LDAP is used by email applications
to search for email addresses and to delivery management (Microsoft Active Directory).
NAT
NAT (Network Address Translation ) stands for substitution of IP addresses in packets
passing through the firewall:
source address translation (Source NAT, SNAT) — in packets going from local
networks to the Internet source (private) IP addresses are substituted with the
external (public) firewall address. Each packet sent from the local network is
recorded in the NAT table. If any packet incoming from the Internet matches with
a record included in this table, its destination IP address will be substituted by the IP
address of the appropriate host within the local network and the packet will be
redirected to this host. Packets that do not match with any record in the NAT table
will be dropped.
destination address translation (Destination NAT, DNAT, it is also called port
mapping) — is used to enable services in the local network from the Internet. If any
packet incoming from the Internet meets certain requirements, its IP address will be
substituted by the IP address of the local host where the service is running and the
packet is sent to this host.
The NAT technology enables connection from local networks to the Internet using a single IP
address. All hosts within the local network can access the Internet directly as if they were
on a public network (certain limitations are applied). Services running on local hosts can be
mapped to the public IP address.
Network mask
Network masks divide IP addresses into two parts (network address and address of
a particular host within the network). Mask have the same form as IP addresses (i.e.
255.255.255.0), however, its value is needed to be understood as a 32-bit number with
certain number of ones on the left end and zeros as the rest. The mask cannot have an
arbitrary value. The primary function of a subnet mask is to define the number of IP hosts
that participate in an IP subnet. Computers in the same IP subnet should not require a
router for network communication.
Network adapter
The equipment that connects hosts to a traffic medium. It can be represented by an
Ethernet adapter, TokenRing adapter, by a modem, etc. Network adapters are used by
hosts to send and receive packets. They are also referred to throughout this document as a
network interface.
P2P network
Peer-to-Peer (P2P) networks are worldwide distributd systems where each node can be used
both as a client and a server. These networks are used for sharing of big volumes of data
(this sharing is mostly illegal). DirectConnect and Kazaa are the most popular ones.
Packet
Basic data unit transmitted via computer networks. Packets consist of a header which
include essential data (i.e. source and destination IP address, protocol type, etc.) and of the
data body,. Data transmitted via networks is divided into small segments, or packets. If an
error is detected in any packet or a packet is lost, it is not necessary to repeat the entire
transmission process, only the particular packet will be re-sent.
POP3
Post Office Protocol is a protocol that enables users to download messages from a server to
their local computer. It is suitable for clients who don't have a permanent connection to the
Internet. Contrary to IMAP protocol, POP3 does not allow users to manage email from
multiple locations because all operations to messages have to be made on a client's
computer. POP3 enables access only to the INBOX folder and it does not support public and
shared folders.
Port
16-bit number (1—65535) used by TCP and UDP protocols to identify applications (services)
at the host. More than one application can be run at a host simultaneously (i.e. WWW
server, mail client, FTP client, etc.) Each application is identified by a port number. Ports
from 1 to 1023 are determined and they are used by standard (e.g. system) services (i.e.
80 = WWW). Ports greater than 1024 are free for use by any application (usually by clients
as source ports or by nonstandard server applications).
PPTP
Microsoft's proprietary protocol used for design of virtual private networks (see chapters
concerning VPN).
Private IP addresses
Local networks which do not belong to the Internet (private networks) use reserved ranges
of IP addresses (private addresses). These addresses cannot be used in the Internet. This
implies that IP ranges for local networks cannot collide with IP addresses used in the
Internet.
The following IP ranges are reserved for private networks:
10.0.0.0/255.0.0.0
172.16.0.0/255.240.0.0
192.168.0.0/255.255.0.0
Protocol inspector
WinRoute's plug-in (partial program), which is able to monitor communication using
application protocols (e.g. HTTP, FTP, MMS, etc.). Protocol inspection is used to check
proper syntax of corresponding protocols (mistakes might indicate an intrusion attempt), to
ensure its proper functionality while passing through the firewall (e.g. FTP in the active
mode, when data connection to a client is established by a server) and to filter traffic by the
corresponding protocol (e.g. limited access to Web pages classified by URLs, anti-virus
check of downloaded objects, etc.).
Unless traffic rules are set to follow a different policy, each protocol inspector is
automatically applied to all connections of the relevant protocol that are processed through
WinRoute.
Proxy server
Common Internet connection type. Proxy servers connect clients and destination servers.
A proxy server works as an application and it is adapted for several application protocols
(i.e. HTTP, FTP, Gopher, etc.). It is primarily used to facilitate Internet communication for
private networks and to monitor and control Web traffic.
Routing table
The information used by routers when making packet forwarding decisions. Packets are
routed according to the packet's destination IP address. The routing table can be viewed in
Windows operating systems using the route print command.
Script
A code that is run on the Web page by a client (Web browser). Scripts are used for
generating of dynamic elements on Web pages. However, they can be misused for ads,
exploiting of user information, etc. Modern Web browsers usually support several script
languages, such as JavaScript and Visual Basic Script (VBScript).
SPAM
Unwanted, usually advertisement email.
SMTP
Simple Mail Transfer Protocol is used for sending email between mail servers. The SMTP
envelope identifies the sender/recipient of an email.
Spoofing
Spoofing is a technique where source IP address in a packet is faked to make recipients
suppose that packets are coming from trustworthy IP addresses.
SSL
SSL is a protocol used to secure and encrypt network communication. SSL was originally
designed by Netscape in order to ensure secure transfer of Web pages over HTTP protocol.
Nowadays, it is used by most standard Internet protocols (SMTP, POP3, IMAP, LDAP, etc.).
Communication between the client and server operates as follows: the client generates
a symmetric key and encrypts it with the public server key (obtained from the server
certificate). The server decrypts it with its private key (kept solely by the server). Thus the
symmetric key is known only to the server and client.
TCP
Transmission Control Protocol is a transmission protocol which ensures reliable and
sequentional data delivery. It establishes so called virtual connections and provides tools for
error correction and data stream control. It is used by most of applications protocols which
require reliable transmission of all data, such as HTTP, FTP, SMTP, IMAP, etc.
TCP protocol uses the folowing special control information — so called flags:
SYN (Synchronize) — connection initiation (first packet in each connection)
ACK (Acknowledgement) — acknowledgement of received data
RST (Reset) — request on termination of a current connection and on initiation of
a new one
URG (Urgent) — urgent packet
PSH (Push) — request on immediate transmission of the data to upper TCP/IP layers
FIN (Finalize) — connection finalization
TCP/IP
Name used for all traffic protocols used in the Internet (i.e. for IP, ICMP, TCP, UDP, etc.).
TCP/IP does not stand for any particular protocol!
TLS
Transport Layer Security. New version of SSL protocol. TLS is standardized by IETF and
accepted by all significant software providers (i.e. Microsoft Corporation).
UDP
User Datagram Protokol is a transmission protocol which transfers data through individual
messages (so called datagrams). It does not establish new connections nor it provides
reliable and sequentional data delivery, nor it enables error correction or data stream
control. It is used for transfer of small-sized data (i.e. DNS queries) or for transmissions
where speed is preferred from reliability (i.e. realtime audio and video files transmission).
VPN
Virtual Private Network, VPN represents secure interconnection of private networks (i.e. of
individual offices of an organization) via the Internet. Traffic between both networks (so
called tunnel) is encrypted. This protects networks from tapping. VPN incorporates special
tunneling protocols, such as Microsoft's IPSec and PPTP (Point-to-Point Tunnelling Protocol).
WinRoute contains a proprietary VPN implemetation called Kerio VPN.