Быстрая Установка
В этом разделе представлено руководство по быстрой установке Kerio WinRoute Firewall (далее сокращенно WinRoute). Брандмауэр будет доступен сразу после установки, он сможет разделять ваше Интернет соединение и защищать локальную сеть. Для получения более подробных инструкций, обращайтесь к руководству WinRoute - Пошаговые Инструкции для Настройки (WinRoute — Step-by-Step Configuration).
Если вы не уверены, как установить какую-то функцию WinRoute Firewall, обратитесь к соответствующему разделу данного руководства. Для получения информации относительно вашего Интернет соединения (IP адрес, шлюз по умолчанию, сервер DNS и др.) обратитесь к вашему ISP.
Примечание: в данном руководстве выражение брандмауэр означает узел, где установлен (или будет установлен) WinRoute.
Брандмауэр должен включать по меньшей мере два интерфейса - один для соединения с локальной сетью (т.е. Ethernet или Token Ring сетевой адаптер), а другой для соединения с Интернет (т.е. аналоговый модем, адаптер ISDN, сетевой адаптер или адаптер USB Satellite). Параметры TCP/IP должны быть установлены должным образом на обоих/всех интерфейсах.
Прежде чем запускать установку WinRoute, протестируйте работу Интернет соединения и трафик между узлами локальной сети. Это позволит уменьшить возможные проблемы с отладкой и определением ошибок.
Запустите установку WinRoute. Укажите имя пользователя и пароль для доступа администратора из мастера настроек (configuration wizard) (за более подробной информацией обращайтесь к разделам Установка и Мастер Настроек.
Установите базовые правила для информационного потока с помощью Мастера Сетевых Правил (Network Rules Wizard) (см. главу Мастер Сетевых Правил)
Запустите сервер DHCP и установите требуемый диапазон IP и их параметры (маска подсети, шлюз по умолчанию, адрес сервера DNS/имя домена). Более подробно читайте в главе Сервер DHCP.
Проверьте конфигурацию DNS Форвардера (DNS Forwarder). Определите локальный домен DNS, если вы собираетесь сканировать файлы этого узла и/или рабочий стол DHCP сервера. За более подробной информацией обращайтесь к главе DNS Форвардер.
Создайте или импортируйте учетные записи пользователей и групп пользователей. Установите права доступа и распределите учетные записи в группы. Более подробно читайте в главах Учетные Записи Пользователей и Группы Пользователей.
Определите группы IP (глава Адресные Группы), диапазон времени (глава Диапазоны Времени) и группы URL (глава Группы URL), которые будут использоваться для определения правил (см. главу Диапазоны Времени).
Создайте правила URL (см. главу Правила URL) и установите модуль ISS OrangeWeb Filter (глава Система Ранжирования Контента (ISS OrangeWeb Filter). Установите кэширование HTTP и автоматическую настройку браузеров (глава кэширование HTTP). Определите правила FTP (глава Политика FTP).
Выберите антивирус и определите тип объектов, которые будут сканироваться. Если вы выберите интегрированное антивирусное приложение McAfee, отметьте пункты автоматического обновления и при необходимости их редактируйте.
С помощью одного из нижеперечисленный методов установите параметры TCP/IP для сетевого адаптера отдельных клиентов локальной сети:
Автоматическая конфигурация - активируйте опцию Получать IP адрес автоматически (Obtain an IP address automatically ). Другие параметры не устанавливайте.
Конфигурирование вручную - укажите IP адрес, маску подсети, адрес шлюза по умолчанию, адрес сервера DNS и имя локального домена.
С помощью одного из следующих методов настройте Web браузеры на каждой рабочей станции:
Прозрачная конфигурация - по умолчанию WinRoute будет фильтровать весь выходящий HTTP трафик через инспектор HTTP протокола. Это не требует настроек Web браузеров рабочих станций.
Автоматическая конфигурация - активируйте опцию Определять установки автоматически (Automatically detect settings) (для Microsoft Internet Explorer) или укажите URL для автоматической конфигурации (для других браузеров). За подробной информацией обращайтесь к главе кэширование HTTP.
Ручная конфигурация - выберите тип соединения через локальную сеть или укажите IP адрес и соответствующий порт прокси сервера (см. главу Прокси сервер).
это комплексный инструмент для соединения
Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа. Он разработан для операционных систем Windows NT 4.0, 2000 и XP.
Базовые Свойства
Прозрачный доступ в Интернет
Технология Передачи Сетевого Адреса (Network Address Translation (NAT))позволяет соединять локальную сеть с Интернет через один общий IP адрес (статический или динамический). В отличие от прокси серверов, технология NAT делает доступным все Интернет службы с любой рабочей станции. При этом можно использовать стандартные сетевые приложения, как если бы все компьютеры локальной сети имели собственные соединения с Интернет.
Безопасность
Интегрированный брандмауэр защищает всю локальную сеть, включая рабочую станцию, на которой он установлен, независимо от того, используется ли функция NAT (передача IP) или WinRoute используется как "нейтральный" маршрутизатор между двумя сетями. Kerio WinRoute Firewall предлагает такой же стандарт безопасности, как и гораздо более дорогие программные продукты.
Контроль Доступа
Всеми установками безопасности в WinRoute можно управлять через так называемые правила политики трафика. Это обеспечивает эффективную защиту сети от внешних атак, при этом обеспечивая легкий доступ ко всем службам, работающим на серверах в пределах защищенной локальной сети (например, Web сервер, почтовый сервер, FTP сервер и др.). Правила Коммуникации в политике трафика могут ограничивать доступ локальных пользователей к определенным службам в Интернет.
Поддержание Протоколов (Инспекторы Протоколов)
Вам могут встретиться приложения, которые не поддерживают стандартные связи, которые могут использовать несовместимые протоколы соединений, и т.д. Для решения этой проблемы WinRoute включает так называемые инспекторы протоколов (protocol inspectors), которые определяют необходимый приложению протокол и динамически модифицируют работу брандмауэра, например, обеспечивая временный доступ к определенному порту (при этом будет временно открываться требуемый серверу порт). FTP в активном режиме, Real Audio или PPTP - вот лишь несколько примеров.
Конфигурация Сети
WinRout имеет встроенный сервер DHCP, который устанавливает параметры TCP/IP для каждой рабочей станции вашей локальной сети. Параметры для каждой рабочей станции могут устанавливаться централизованно из одного места. Это уменьшает затраты времени, необходимые для конфигурации сети и минимизирует возможность ошибки.
Модуль DNS форвардер обеспечивает легкую конфигурацию DNS и ускоряет ответы на запросы DNS. Это простой тип кэширования имени сервера, при котором запросы пересылаются другому серверу DNS. Ответы хранятся в кэш-памяти. Это значительно повышает скорость ответов на частые запросы. В комбинации с сервером DHCP и системными файлами узлов, DNS форвардер может использоваться как динамический DNS сервер для локального домена.
Удаленное Администрирование
Все настройки выполняются в Администраторском Терминале (Kerio Administration Console), это независимый администраторский терминал, используемый для управлением всеми функциями сервера Kerio. Он может работать и на рабочей станции с WinRoute, и на другом узле в пределах локальной сети или Интернет. Связь между WinRoute и администраторским терминалом кодируется и защищена от перехвата или несанкционированного использования.
Различные Операционные Системы в Пределах Локальной Сети
WinRoute работает со стандартным протоколом TCP/IP. С точки зрения рабочих станций локальной сети, он действует как стандартный маршрутизатор, при этом не требуется никаких специальных приложений для клиентов. Следовательно, в локальной сети может работать любая операционная система с TCP/IP, например, Windows, Unix/Linux, Mac OS и др.
Примечание: WinRoute может работать только с установками протокола TCP/IP. Он не влияет на работу других протоколов (т.е. IPX/SPX, NetBEUI, AppleTalk и др.).
Дополнительные Свойства
Фильтр Контента
WinRoute может отслеживать все коммуникации HTTP и FTP и блокировать объекты, не отвечающие установленным критериям. Установки могут быть глобальными или определяться отдельно для каждого пользователя. Скаченные объекты могут также прозрачно проверяться внешними антивирусными приложениями.
Антивирусная проверка
WinRoute может выполнять антивирусную проверку передаваемых файлов. Для этого доступны встроенный антивирус McAfee или внешние антивирусные программы (например, NOD32, AVG и др.). Проверка на вирусы может применяться к протоколам HTTP, FTP, SMTP и POP3.
Почтовые уведомления
WinRoute может отправлять пользователям почтовые уведомления, информируя их о различных событиях. Эта функция облегчает работу администратора, т.к. не приходится часто соединяться с WinRoute и полностью его проверять. Все отправленные уведомления сохраняются в регистрационный файл.
Пользовательские квоты
Для каждого пользователя можно установить ограничения по передаче данных. Эти ограничения можно устанавливать на количество скачиваемых/выгружаемых данных в день/месяц. Эти ограничения называются квотами. Если квота превышена, то для соответствующего пользователя будет блокироваться соединение с Интернет. Пользователю может быть отправлено почтовое уведомление.
Блокировка сетей P2P
WinRoute может определять и блокировать так называемые "равноправные" сети (Peer-to-Peer networks) (это сети, применяемые для общего использования файлов, например, Kazaa, DirectConnect и др.)
Статистика
WinRoute позволяет просматривать подробную статистику интерфейса брандмауэра (текущая скорость передачи данных, количество переданной информации за определенный период) и отдельных пользователей (количество переданной информации, используемые службы, категории посещаемых сайтов и др.).
Личный VPN сервер и клиент
WinRoute также решает проблему личного VPN, который можно использовать в режимах сервер-сервер и клиент-сервер. VPN может с обоих сторон использовать NAT (даже множественный). Программа Kerio VPN Client включена в пакет WinRoute и может использоваться для создания клиент-сервер VPN (соединение удаленных клиентов с локальной сетью).
Компоненты WinRoute
Kerio WinRoute состоит из трех следующих компонентов:
WinRoute Брандмауэр
Ядро программы, которое выполняет все службы и функции. Оно работает как сервисная программа операционной системы (сервис называется Kerio WinRoute; по умолчанию он автоматически работает в системе).
Монитор WinRoute
Это приложение позволяет отслеживать работу приложений WinRoute. Вы можете включать и выключать сервис, редактировать предпочтения запуска или открыть администраторский терминал. Более подробную информацию см. в главе Монитор WinRoute.
Примечание: WinRoute Брандмауэр не зависит от Монитора WinRoute. Это значит, Брандмауэр может работать, даже если иконка не отображается на панели инструментов.
Администраторский терминал Kerio.
Это универсальный терминал для локального или удаленного администрирования нескольких серверных продуктов Kerio. Для успешного соединения с приложением необходим модуль с соответствующим интерфейсом. При установке WinRoute администраторский терминал Kerio устанавливается совместно с необходимым модулем. Чтобы узнать, как использовать Администраторский Терминал для администрирования, обращайтесь к документу Администраторский Терминал Kerio - Помощь.
Конфликтующие Программы
Узел WinRoute можно использовать как рабочую станцию, хотя это не рекомендуется, т.к. работа пользователя может негативно повлиять на функциональность операционной системы и на работу WinRoute.
WinRoute может работать с большинством распространенных приложений. Однако, есть определенные приложения, которые не следует использовать на том же узле, что и WinRoute, т.к. это может привести к конфликтам.
Коллизии низкоуровневых драйверов
WinRoute может конфликтовать с приложениями, использующими низкоуровневые драйверы таким же или сходным способом. Типичными являются следующие приложения:
Приложения для разделения Интернет соединения - например, Microsoft Internet Connection Sharing, Microsoft Proxy Server, Microsoft Proxy Client и др.
Сетевые брандмауэры - т.е. Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (by Ositis), Sygate Office Network и Sygate Home Network и др.
Персональные брандмауэры - т.е. Kerio Personal Firewall, Internet Connection Firewall (included in Windows XP), Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall и др.
Программы для создания частных виртуальных сетей (VPN) - т.е. приложения, разработанные следующими компаниями: CheckPoint, Cisco Systems, Nortel и др. Существует много подобных приложений, и их свойства различаются у разных производителей.
В надлежащих условиях рекомендуется использовать VPN, включенный в WinRoute (подробную информацию см. в главе Kerio VPN). Иначе мы рекомендуем протестировать конкретный сервер VPN или VPN клиент на совместимость с пробной версией WinRoute или связаться с нашей службой технической поддержки (http://www.kerio.com/).
Примечание: WinRoute поддерживает использование VPN, включенного в операционную систему Windows (на базе протокола Microsoft PPTP).
Конфликты порта
Приложения, использующие те же порты, что и брандмауэр, не могут работать на одном узле с WinRoute (или нужно изменить конфигурацию портов). При задействовании всех служб, WinRoute использует следующие порты:
53/UDP — DNS Форвардер
67/UDP — сервер DHCP
1900/UDP — Служба поиска SSDP
2869/TCP — Служба узла UPnP
Две упомянутые выше службы относятся к поддержке UPnP (см. главу Универсальные модули Plug-and-Play (UPnP))
3128/TCP — HTTP прокси сервер (см. главу Прокси сервер)
44333/TCP+UDP — трафик между Администраторским Терминалом Kerio и Брандмауэром WinRoute. Этот сервис остановить нельзя.
Следующие службы по умолчанию используют указанные порты. Для этих служб порты можно изменять.
3128/TCP — HTTP прокси сервер (см. главу Прокси сервер)
4080/TCP — интерфейс web администрирования (см. главу Web Интерфейс и Аутентификация Пользователя).
4081/TCP — безопасная (SSL-кодированная) версия интерфейса web администрирования (см. главу Web Интерфейс и Аутентификация Пользователя).
4090/TCP+UDP — личный сервер VPN (подробнее см. главу Kerio VPN).
Антивирусные приложения
Если на узле WinRoute работает антивирусное приложение, способное сканировать файлы на диске, следует отменить проверку кэшированных файлов HTTP (см. главу кэширование HTTP, обычно это кэш-субдиректория под директорией, где установлен WinRoute) и субдиректории tmp (используемой для сканирования объектов HTTP и FTP). Если антивирус используется вручную, исключать эти файлы не обязательно, но прежде чем запускать антивирус, нужно выключить Брандмауэр WinRoute (что не всегда желательно).
Примечание: если WinRoute использует антивирус для проверки объектов, загружаемых через протоколы HTTP или FTP (см. главу Проверка на Вирусы), кэш- директорию можно исключить без всяких опасений - файлы в этой директории уже проверялись антивирусом.
Мастер Настроек
С помощью этого Мастера вы можете определить все базовые параметры WinRoute. Он запускается автоматически программой установки.
Примечание: в любой языковой версии Мастер доступен только на английском языке.
Пароль учетной записи администратора
Для безопасности брандмауэра важно определить пароль администратора. Не использоуйте стандартный (пустой) пароль, иначе будет возможен несанкционированный доступ к настройкам WinRoute.
В окне диалога для установки учетной записи администратора определите Пароль (Password )и подтвердите его в поле Подтверждение Пароля (Confirm Password). Имя пользователя администратора (по умолчанию используется имя Admin) можно редактировать в поле Имя пользователя (Username).
Примечание: если WinRoute модернизирован от WinRoute Pro 4.x, пропустите этот шаг и импортируйте учетную запись администратора из WinRoute Pro 4.x (см. ниже).
Удаленный Доступ
Сразу после первого запуска Брандмауэра WinRoute, весь сетевой трафик будет блокирован (нужный трафик должен быть разрешен правилами трафика - см. главу Политика Трафика). Если WinRoute был установлен удаленно (т.е. с использованием терминального доступа), связь с удаленным клиентом тоже будет сразу прервана (WinRoute нужно настроить локально).
На втором шаге в Мастере настроек укажите IP адрес узла, с которого брандмауэр будет удаленно контролироваться (т.е. с использованием терминального сервиса). Это позволит осуществлять удаленное администрирование и удаление WinRoute. После этого WinRoute активизирует весь трафик между брандмауэром и удаленным узлом.
Примечание: если вы устанавливали WinRoute локально, пропустите этот шаг.
Разрешить удаленный доступ.
Эта опция разрешает полный доступ к компьютеру WinRoute с выбранного IP адреса.
Удаленный IP адрес.
IP адрес компьютера, с которого вы будете соединяться (т.е. терминальный сервис клиент). В это поле нужно внести IP адрес. Имя домена не принимается.
Примечание: после удаленной настройки WinRoute правило, позволяющее удаленный доступ, будет удалено.
Перезагрузка операционной системы
После успешного завершения установки, нужно перезагрузить операционную систему, чтобы задействовать низкоуровненвый драйвер WinRoute (wrdrv.sys).
После перезагрузки, сервис WinRoute Брандмауэр и Монитор WinRoute будут запущены автоматически.
После первого запуска Брандмауэра WinRoute (сразу после установки), появится вопрос, нужно ли открыть Администраторский Терминал. Это рекомендуется сделать, т.к. необходимо произвести по крайней мере базовые настройки терминала (см. главу Мастер Сетевых Правил), иначе весь сетевой трафик узла WinRoute будет блокирован.
Монитор WinRoute
Монитор WinRoute (WinRoute Engine Monitor) использоуется для контроля статуса работы WinRoute. Иконка этого компонента отображается в области задач.
Если WinRoute отключен, на иконке появится красный круг, перечеркнутый белой линией. При разных обстоятельствах, чтобы запустить или остановить WinRoute может потребоваться до нескольких секунд. При этом иконка становится серой и неактивной - она не будет реагировать на щелчки мышью.
Двойной щелчок левой кнопкой мыши на иконке откроет Администраторский Терминал Kerio (см. ниже). Щелчок правой кнопкой мыши на иконке откроет меню со следующими функциями:
Предпочтения Запуска
Эти опции позволяют установить автоматический запуск WinRoute Брандмауэра и/или Монитора WinRoute при запуске операционной системы. По умолчанию (после инсталляции) обе функции включены.
Администрирование
Эта опция открывает Администраторский Терминал Kerio. Это приложение можно запустить и двойным щелчком на иконке Монитор WinRoute.
Запустить/Остановить WinRoute
Переключает режимы "Старт" и "Стоп". Текст отображает текущий статус.
Отключение Монитора WinRoute
Эта опция отключает Монитор WinRoute. Это не повлияет на статус Брандмауэра WinRoute (появится соответствующее сообщение).
Обновление и Удаление
В этом разделе приводится описание процедуры обновления WinRoute для версий 5.х и 6.х (т.е. модернизация от версии 5.1.10 до версии 6.0.0 или от версии 6.0.0 до версии 6.0.1). Прямая модернизация от версий 4.х или более ранних до версий 6.х не возможна.
Просто запустите установку новой версии, чтобы обновить WinRoute (т.е. скачайте новый выпуск с web страницы Kerio - http://www.kerio.com/).
Прежде чем начинать установку или удаление программы, нужно закрыть все окна Администраторского Терминала. Все компоненты WinRoute будут закрыты автоматически.
Программа установки определяет директорию предыдущей версии и обновляет ее, автоматически заменяя соответствующие файлы на новые. Все регистрационные записи и данные пользователей будут сохранены.
Предупреждение: мы настоятельно рекомендуем не изменять установочную директорию!
Чтобы удалить WinRoute, остановите работу всех трех компонентов WinRoute. Процесс удаления можно запустить с Панели Управления, опция Установка/Удаление Программ. Будут удалены все файлы под директорией WinRoute (по умолчанию это C:\Program Files\Kerio\WinRoute Firewall).
Модернизация от WinRoute Pro 4.x
Чтобы импортировать конфигурацию, используемую в WinRoute Pro 4.х, в Kerio WinRoute Firewall 6.x, выполните следующие шаги:
Обновите WinRoute Pro 4.x до Kerio WinRoute Firewall 5.x. Версия 5.х включает инструменты для начальной конфигурации, способные прочесть и перевести конфигурацию из WinRoute Pro 4.x.
Обновите версию 5.х до версии 6.х (см. выше).
Примечание: этот метод модернизации не рекомендуется применять. Используйте его только в случае необходимости (т.е. если нужно импортировать большое количество пользователей). Параметры конфигурации WinRoute Pro 4.x критически отличаются, и лишь некоторые параметры можно импортировать. Последующая работа по проверке и исправлению ошибок может перевесить преимущества новой версии.
Поиск Новых Обновлений
WinRoute позволяет автоматически отслеживать появление новых версий продукта на web сайте Kerio Technologies. При обнаружении новой версии, она будет скачена, и будет произведено автоматическое обновление.
Подробную информацию см. в главе Проверка Обновлений.
Установка
Системные Требования
Минимальные требования для узла, на котором может быть установлен WinRoute:
CPU Intel Pentium II или совместимый; 300 МГц
128 Мб RAM
2 сетевых интерфейса
50 Мб свободного пространства на диске для установки
Наличие свободной памяти для регистраций (зависит от трафика и выбранного уровня регистрации)
Продукт поддерживает слудующие операционные системы:
Windows 2000
Windows XP
Windows Server 2003
Примечание: для всех поддерживаемых операционных систем должен быть установлен компонент Клиент Сетей Microsoft, иначе WinRoute не будет доступен как сервис, и аутентификация NTLM не будет работать. Данный компонент устанавливается автоматически для всех поддерживаемых операционных систем.
Что нужно сделать, прежде чем начинать установку
Устанавливайте WinRoute на компьютер, который используется как шлюз, связанный с локальной сетью и Интернет. Этот компьютер должен иметь по меньшей мере один интерфейс для связи с локальной сетью ((Ethernet, TokenRing и др.), и по меньшей мере один интерфейс для связи с Интернет. В качестве интерфейса для связи с Интернет, вы можете использовать сетевой адаптер (Ethernet, WaveLAN, др.) или модем (аналоговый, ISDN и т.д.).
Прежде чем начинать установку WinRoute, мы рекомендуем проверить следующее:
Должно быть верно установлено время в операционной системе (для своевременного выполнения функций, обновлений антивирусных программ и т.д.).
Должно быть установлено последнее доступное обновление Microsoft для повышения безопасности.
Для всех доступных сетевых адаптеров должны быть установлены параметры TCP/IP.
Все сетевые соединения (с локальной сетью и Интернет) должны исправно работать. Для тестирования времени, необходимого для соединения, можно воспользоваться командой ping.
Эти проверки и предустановочные тесты помогают избежать дальнейших трудностей и проблем.
Примечание: базовая установка всех поддерживаемых операционных систем включает все требуемые компоненты для нормальной работы WinRoute.
Установка и Руководство по Базовым Настройкам
После запуска программы установки (т.е. kerio-kwf-mcafee-6.0.0-win.exe), появятся инструкции, помогающие произвести базовые настройки параметров брандмауэра.
Вам придется выбрать тип установки - Полную (Full) или Пользовательскую (Custom). Пользовательская установка позволяет выбрать устанавливаемые компоненты WinRoute (см. главу Компоненты WinRoute).
Брандмауэр WinRoute (WinRoute Firewall Engine) - ядро приложения
Монитор WinRoute (WinRoute Engine Monitor) - инструмент контроля для Брандмауэра WinRoute, позволяющий отслеживать его статус (иконка в области задач).
Поддержка VPN (VPN Support ) - личный VPN, разработанный Kerio Technologies.
Администраторский Терминал Kerio (Kerio Administration Console) - Администраторский Терминал (универсальный терминал для всех приложений Kerio Technologies).
Детальные описания компонентов WinRoute приведены в главе Компоненты WinRoute. Детальное описание личного VPN приведены в главе Kerio VPN.
Примечание: при выборе Пользовательской установки, установка будет осуществляться следующим образом:
все отмеченные компоненты будут установлены или обновлены
все неотмеченные компоненты не будут установлены или будут удалены
При проведении обновления, следует отметить все компоненты, которые должны остаться.
Выполнив эти шаги, можно запускать процесс установки. Все файлы будут копироваться на жесткий диск, и будут произведены все необходимые настройки системы. При первой регистрации будет автоматически запущен Мастер (см. гласу Мастер Настроек).
После завершения установки, перезагрузите компьютер. При этом в ядро операционной системы будет установлен низкоуровневый драйвер WinRoute. После перезагрузки автоматически запустится Брандмауэр WinRoute. Он работает как сервисная программа. Монитор WinRoute будет запущен после регистрации пользователя. Эта программа позволяет отслеживать статус Брандмауэра, и используется для его запуска и отключения. Иконка Монитора WinRoute отображается в области задач.
Конфликтующие Приложения и Системные Сервисные Программы
Программа установки WinRoute определяет приложения и системные сервисные программы, которые могут конфликтовать с Брандмауэром WinRoute.
. Kerio WinRoute Pro и Kerio WinRoute Lite
WinRoute более не совместим с версиями 4.х. Если при установке обнаруживается WinRoute Pro 4.x или WinRoute Lite 4.x, появится следующее сообщение об ошибке:
Щелкните ОК, чтобы отменить установку. Удалите WinRoute Pro/Lite с помощью опции Установка/Удаление Программ на Панели Управления, перезагрузите систему и запустите установку заново.
Примечание: если вы хотите использовать в Kerio WinRoute Firewall 6.x конфигурацию WinRoute Pro (например, если много учетных записей пользователей), проведите обновление брандмауэра до версии 5.х, а затем проведите обновление от Kerio WinRoute Firewall 5.x до Kerio WinRoute Firewall 6.x (более подробно см. в главе Обновление и Удаление).
Разделение Интернет Соединения (Internet Connection Sharing) и Интернет Брандмауэр (Internet Connection Firewall)
Если на каком-либо интерфейсе узла WinRoute работает Разделение Интернет Соединения или Интернет Брандмауэр (Windows XP или 2003 Сервер), появится следующее предупреждение:
Не продолжайте установку, если обе службы не отключены на всех интерфейсах. Иначе WinRoute не будет корректно работать.
Универсальный Plug and Play Device Host и Служба Поиска SSDP
Эти две службы поддерживают протокол UPnP (Universal Plug and Play) в операционных системах Windows XP and 2003 Сервер. Обе эти службы следует отключить, если вы собираетесь использовать UPnP в WinRoute (см. главу Универсальный Plug-and-Play (UPnP))
Если будет обнаружен Universal Plug and Play Device Host, появится следующий диалог:
Щелкните "Да" (Yes), чтобы остановить службу Universal Plug and Play Device Host и отключить автоматический запуск этой службы при загрузке системы. Выбериет "Нет" (No), чтобы сохранить существующий статус и параметры службы.
Если будет обнаружена Служба Поиска SSDP, появится следующий диалог:
Действие кнопок соответствует описанным выше.
Примечание: более подробно о UPnP вы можете прочесть в главе Универсальный Plug-and-Play (UPnP).
Kerio WinRoute Firewall
Содержание
Kerio WinRoute Firewall 6.0
Конфликтующие Программы
Инсталляция
Компоненты WinRoute
Монитор WinRoute
Обновление и Удаление
Мастер Настроек
Администрирование WinRoute
Содержание
Диалоговое Окно Администрирования
Посмотреть Установки
Все продукты Kerio, включая WinRoute, администрируются через Администраторский Терминал Kerio(Kerio Administration Console). Эта программа открывает доступ к Брандмауэру WinRoute локально (с узла WinRoute) или удаленно (с другого узла). Трафик между Администраторским Терминалом и Брандмауэром WinRoute кодируется. Это защищает его от перехвата и несанкционированного использования.
Администраторский Терминал устанавливается вместе с WinRoute (см. главы Установка и Компоненты WinRoute). Чтобы посмотреть, как это работает, обратитесь к документу Администраторский Терминал Kerio - Помощь.
В следующих главах данного руководства описаны отдельные разделы диалогового окна администрирования WinRoute, которое открывается при входе в WinRoute Брандмауэр (WinRoute Firewall Engine).
Примечание: при первом входе в WinRoute после успешной установки программы, запускается Мастер правил трафика, позволяющий произвести начальные настройки WinRoute. Детальные описания этого Мастера даны в главе Мастер Сетевых Правил.
Диалоговое Окно Администрирования
Главное диалоговое окно администрирования WinRoute ("окно администрирования") можно открыть после успешной регистрации в Брандмауэр WinRoute через Администраторский Терминал. Это окно состоит из двух разделов:
В левой колонке представлен структурированный список (дерево) разделов окна администрирования. Отдельные пункты (разделы) и подразделы можно открывать и скрывать щелчком. При закрытии Администраторского терминала текущий статус дерева сохраняется для следующих посещений.
В правой секции главного окна показано содержание разделов, выделенных в левой колонке (список подразделов, содержащихся в выделенном разделе).
Главное меню окна администрирования
Главное меню предлагает следующие опции:
Файл
Повторное соединение (Reconnect) - повторное соединение с Брандмауэром WinRoute после обрыва соединения (вызванного, например, перезапуском Брандмауэра или ошибками в сети). В целях безопасности для повторного соединения требуется ввести имя пользователя и пароль.
Примечание: Администраторский терминал автоматически определяет обрыв соединения. Обрывы обычно обнаруживаются во время загрузки/выгрузки данных с сервера/на сервер (т.е. при нажатии кнопки Применить (Apply), или при переключении между разделами Администраторского терминала). В таких случаях автоматически появится диалог аутентификации и сообщение об ошибке.
Новое соединение (New Connection) - эта опция может быть полезной для администрирования нескольких приложений сервера (например, множественные серверы WinRoute). Опция "Новое соединение" открывает главное диалоговое окно Администраторского терминала. Это окно содержит меню для возможных соединений и опции, позволяющие установить новое соединение (подробнее см. в документе Администраторский Терминал Kerio - Помощь).
Опция "Новое Соединение" открывает тот же диалог, что и Администраторский Терминал из меню Старт.
Выход (Quit) - завершает сеанс (эта опция обеспечивает выход пользователя и закрывает окно администрирования). Сеанс можно закрыть и щелкнув на крестике в верхнем правом углу окна, или нажав Alt+F4.
Помощь
Руководство Администратора (Administrator's Guide) - эта опция открывает руководство администратора в формате HTML Help. Информацию относительно файлов помощи можно получить в документе Администраторский Терминал Kerio - Помощь.
О программе (About) - на этой странице содержится информация о версии текущего приложения (в данном случае модуля администрирования WinRoute), ссылки на сайт нашей компании и др.
Строка состояния
В нижней части окна администрирования находится строка состояния, где отображается следующая информация:
Открытый раздел окна администрирования (выделенный в левой колонке). Это вспомогательная информация, она может быть полезна, если какая-то часть дерева скрыта (напрмер, при низком разрешении экрана).
Имя или IP адрес сервера и порт приложения сервера (WinRoute использует порт 44333).
Имя пользователя, соединение с которым установлено в данное время.
Текущий статус Администраторского Терминала: Готовность (Ready) (ожидание ответа пользователя), Загрузка (Loading) (загрузка данных с сервера) или Сохранение (Saving) (сохранение изменений на сервер).
Посмотреть Настройки
Многие разделы Администраторского Терминала оформлены в виде таблицы, где каждый ряд представляет отдельную запись (например, детальную информацию о пользователе, информацию о интерфейсе и др.), а колонки содержат данные для этих записей (например, имя сервера, адрес MAC, IP адрес и др.).
Администраторы WinRoute могут определять - по желанию - способ отображения информации в разделах. Щелчок правой кнопкой мыши на любом разделе в списке откроет контекстное меню. Оно содержит пункт Изменить Колонки (Modify Columns). Этот пункт открывает диалоговое окно, где пользователь может выбрать, какие колонки будут отображаться, а какие - нет.
Это окно предлагает список всех доступных колонок. Отмечайте пункты слева, чтобы включить/выключить отображение соответствующей колонки. Можно также щелкнуть на кнопке Показать (Show), чтобы отображались все колонки. Щелчок на кнопке Установки по Умолчанию (Default) восстанавливает установки по умолчанию (по умолчанию отображаются только те колонки, где приведена наиболее важная информация).
Кнопки со стрелками позволяют передвинуть выделенную колонку вверх или вниз по списку. Это позволяет определить порядок отображения колонок.
Порядок отображения колонок можно изменять и в окне. Щелкните левой кнопкой мыши на имени колонки и, удерживая кнопку нажатой, перемещайте колонку в нужное положение.
Примечание: ширину отдельных колонок можно изменять, перемещая разделительные линии между названиями колонок.
DHCP-сервер
DHCP-протокол (Dynamic Host Configuration Protocol) применяется для конфигурирования TCP/IP хостов внутри сети. DHCP-сервер выбирает подходящие параметры конфигурирования (IP-адрес с соответствующей маской подсети и другими вспомогательными параметрами, такими, как IP-адрес шлюза по умолчанию, адреса DNS-серверов, имена доменов и т.д.) пользовательских станций.
DHCP-сервер назначает клиентские IP-адреса внутри заданного диапазона на определенный период (lease time). IP-адрес может быть оставлен пользователю, для этого необходимо выполнить запрос на продление периода до срока его истечения. Если пользователь не запросил продления периода, то IP-адрес считается свободным и может быть назначен другому пользователю.
Также, DHCP-серверу должно быть назначено так называемое резервирование — определенные пользователи могут иметь свои IP-адреса в резерве. Адреса могут быть зарезервированы для аппаратного адреса (MAC) или имени хоста. Эти пользователи могут иметь фиксированные IP-адреса. Конфигурация адресов задается автоматически.
Использование DHCP приносит две главные выгоды. Первая: управление этим протоколом намного легче, чем другими, так как все настройки могут быть сделаны на сервере (нет необходимости конфигурирования индивидуальных рабочих станций). Вторая: устранение многих конфликтов сети (то есть один IP-адрес может быть назначен на одну рабочую станцию, и не более).
DNS Форваврдер
В WinRoute можно использовать модуль DNS Форвардер (DNS Forwarder), позволяющий упростить настройки узлов DNS в пределах локальной сети, а также ускоряющий отверы на повторяющиеся DNS запросы. На локальных узлах DNS можно определить следующим образом:
использовать IP адрес главного или вспомогательного сервера DNS. При этом возникает риск медленных ответов DNS.
использовать сервер DNS в пределах локальной сети (при возможности). Сервер DNS должен позволять доступ к Интернет, чтобы иметь возможность отвечать на запросы, поступающие не из локальных доменов.
использовать DNS Форвардер WinRoute. DNS Форвардер можно использовать как базовый сервер DNS для локального домена (см. ниже) или как форвардер для существующего сервера.
В установках по умолчанию в WinRoute DNS Форвардер активизирован и настроен так, что все DNS запросы пересылаются одним из DNS серверов, указанным в операционной системе (обычно это DNS сервер, предлагаемый вашим ISP).
Активизировать пересылку DNS (Enable DNS forwarding)
Эта опция переключает режимы включен/выключен для DNS Форвардера (сервис работает на порту 53 и использует протокол UDP). Если DNS Форвардер не используется в конфигурации сети, его можно отключить. Если вы хотите использовать на том же узле другой DNS сервер, DNS Форвардер должен быть отключен, иначе на порту возникнет конфликт.
Пересылка DNS (DNS forwarding )
DNS Форвардер должен знать по меньшей мере один DNS сервер, куда пересылать запросы. Эта опция определяет, как DNS Форвардер будет идентифицировать IP адерс сервера:
Автоматически пересылать запросы DNS на другой сервер... (Forward DNS queries to the server automatically...) — требуется функциональное Интернет соединение. В конфигурации TCP/IP необходимо указать по меньшей мере один DNS сервер (в Windows DNS серверы определяются для определенных адаптеров, но эти настройки будут использоваться во всей операционной системе).
DNS Форвардер может читать эти настройки и использовать те же серверы DNS. Это имеет следующее преимущество - узлы локальной сети и узел WinRoute будут использовать один и тот же сервер DNS.
Пересылать запросы DNS указанному DNS серверу (серверам) (Forward DNS queries to the specified DNS server(s)) — запросы DNS будут пересылаться указанному DNS серверу/серверам (если указан более чем один сервер, они будут считаться как главный, вторичный и т.д.). Эту опцию следует использовать, когда нужно отслеживать, куда пересылаются DNS запросы, или если нужно создать более сложную конфигурацию.
Позволить кэширование для ускорения ответов на повторяющиеся запросы (Enable cache for faster response of repeated queries)
Если эта опция включена, все ответы будут храниться в локальной кэш-памяти DNS Форвардера. Ответы на повторяющиеся запросы заметно ускорятся (один запрос, посылаемый разными клиентами, тоже считается повторяющимся запросом).
Физически кэш-память DNS хранится в RAM. Однако, все записи DNS также сохраняются в файле DnsCache.cfg (см. главу Резервные Копии и Импорт Конфигурации). Это значит, что записи в кэш-памяти DNS сохраняются даже после отключения Брандмауэра WinRoute или разъединения с ним.
Примечание:
Период времени, в течение которого регистрационные записи DNS хранятся в кэш-памяти, определяется отдельно для каждой записи (обычно это 24 часа).
Использование DNS также ускоряет работу встроенного прокси сервера (см. главу Прокси сервер).
Использовать пользовательскую пересылку (Use custom forwarding)
Эта опция определяет пользовательские установки для пересылки определенных запросов DNS другим серверам DNS. Это может помочь, например, когда нужно использовать локальный сервер DNS для локального домена (другие запросы DNS будут пересылаться прямо в Интернет - это ускорит ответ).
Исползуйте кнопку Определить (Define), чтобы открыть диалог определения пользовательских правил.
DNS сервер можно определить для:
домена - запросы, требующие имя компьютеров, включенных в определенный домен, будут пересылаться на этот DNS сервер (так называемые запросы "А").
подсети - запросы, требующие IP адрес определенного домена, будут пересылаться на сервер DNS (реверсивный домен - запросы PTR).
Щелкните на кнопках Добавить (Add) или Правка (Edit), чтобы открыть диалог для определения пользовательских правил DNS пересылки.
Используйте опцию "Имя DNS запроса" (Name DNS query), чтобы определить правило для DNS запросов на имена компьютеров, включенных в определенный домен (или несколько доменов).
Указание имени домена может содержать * (звездочка - может заменять любое количество знаков) и/или ? (знак вопроса - может заменять отдельный знак). Правило будет применяться ко всем доменам, соответствующим строке.
Пример: Имя домена может быть представлено строкой ?erio.c*. Это правило будет применяться, например, к доменам kerio.com, cerio.cz, aerio.c, etc.
Используйте опцию "Реверсивный DNS запрос" (Reverse DNS query), чтобы установить правило для DNS запросов на IP адреса в определенной подсети. Подсеть определяется сетевым адресом и соответствующей маской (т.е.. 192.168.1.0 / 255.255.255.0).
В поле "Тогда передать запрос DNS Серверу (серверам)" (Then forward query to DNS Server(s)) укажите IP адрес(а) одного или нескольких DNS серверов, куда будут пересылаться запросы. Отдельные записи отделяйте знаком точка с запятой.
Если внесены несколько DNS серверов, они будут считаться как основной, вторичный и т.д. Если не указано ни одного сервера, то запросы DNS, отвечающие правилу, не будут пересылаться ни на какой DNS сервер - WinRoute будет только сканировать локальный host file или таблицы DHCP сервера (см. ниже).
Режим простого DNS (Simple DNS Resolution)
DNS Форвардер может использоваться как простой DNS сервер для одного из локальных доменов. Это может выполняться благодаря следующим функциям:
"host file" (файл узла) — этот файл можно найти в любой операционной системе, поддерживающей TCP/IP. Каждая строчка в этом файле включает IP адрес узла и список соответствующих имен DNS. При получении DNS запроса, в первую очередь проверяется этот файл, чтобы выяснить, содержится ли там нужное имя или IP адрес. Если нет, то запрос пересылается на сервер DNS.
Если эта функция активирована, DNS Форвардер будет следовать тому же правилу. Используйте кнопку "Правка", чтобы открыть специальный редактор, где host file можно редактировать с использованием Администраторского Терминала, даже если последний удаленно связан с WinRoute.
Таблица DHCP — если узлы локальной сети настроены с помощью сервера DHCP в WinRoute (см. главу сервер DHCP ), то сервер DHCP будет знать, какой IP адрес определен для каждого узла. После запуска системы узлы посылают запрос для определения IP адреса, куда входит имя узла.
DNS Форвардер имеет доступ к таблицам DHCP и может выяснить, какой IP адрес был назначен для определенного имени узла. Если потребовать сообщить локальное имя узла, DNS Форвардер всегда будет сообщать текущий IP адрес.
... комбинировать имя... с доменом DNS (... combine the name ... with DNS domain)
Введите в поле имя локального DNS домена.
Если узел посылает запрос на получение IP адреса, он использует только имя (он еще не определил домен). DNS Форвардер должен знать имя локального домена, чтобы отвечать на запросы, сообщая полные имена локального DNS домена (имена, включенные в домен).
Следующий пример поможет лучше понять проблему:
Имя локального домена company. com. Узел, называемый john, настроен таким образом, чтобы получать IP адрес у сервера DHCP. После запуска операционной системы узел посылает на сервер DHCP запрос, содержащий информацию о своем имени (john). Сервер DHCP ответит, сообщив адрес 192.168.1.56, и сохранит информацию о присвоении узлу john IP адреса из таблицы.
Другой узел, который хочет начать коммуникации с данным узлом, посылает запрос на имя john.company.com (узел john в домене company.com). Если имя локального домена не будет известно DNS Форвардеру, то он перешлет запрос серверу DNS, т.к. не распознает, что это имя с локального домена. Однако, т.к. DNS Форвардер знает имя локального домена, имя company.com будет распознано, и узел john с соответствующим IP адерсом будет найден в таблице DHCP.
Примечание: Если в DNS Форвардере указан локальный домен, локальные имена с доменом или без него могут записываться в hosts файле.
Добавление интерфейсов
Для того чтобы добавить новый интерфейс, dial-up или VPN tunnel (то есть сервер-серверVPN-соединение), щелкните кнопку Add.
Следующий текст описывает только новые dial-up соединения. Указания по добавлению VPN tunnel даны в главе Interconnection of two private networks via the Internet (VPN tunnel).
Связь интерфейса...
Выберите Windows RAS-соединение, которое вы используете для соединения с ISP.
Примечания:
WinRoute ищет соединения только в системе “phonebook”. При создании нового соединения WinRoute необходимо установить так, чтобы dial-up соединения были возможны для всех пользователей, в противном случае операционная система сохраняет соответствующее dial-up соединение в профиле создавшего его пользователя и WinRoute не будет способен найти соединение.
Мы рекомендуем протестировать любое создаваемое вами dial-up соединение, перед установкой WinRoute.
Имя интерфейса
Уникальное имя, которое идентифицирует линию связи в WinRoute.
В разделе Dialing Settings, вы можете определить параметры связи. По умолчанию устанавливается ручной набор.
RAS Entry
Ввод Windows Dial-up соединения, которое было выбрано в разделе Interface identification. Имя RAS отображается с информационной целью.
Использование регистрационных данных из RAS Entry
Опция применяется для использования регистрационных данных, сохраненных в соответствующей конфигурации RAS Entry для аутентификации удаленного сервера.
Использование следующих регистрационных данных
Используйте Username и Password для ввода регистрационных данных, которые будут использоваться для аутентификации на удаленном сервере. Эта опция может быть полезна, например, когда по какой-либо причине, нежелательно сохранять регистрационные данные в операционной системе, когда данные могут быть изменены удаленно (через Administration Console) или в случае решения задач.
Соединение
Тип соединения, используемый для связи:
Ручной — связь может быть установлена только вручную, либо с помощью Kerio Administration Console, либо WinRoute Web-интерфейса (смотри главу Web Interface and User Authentication).
По требованию — связь будет устанавливаться всякий раз, когда бы хост сети LAN не пытался связаться с Интернет (входной пакет). Для более полной информации о WinRoute и конфигурирования системы связи по требованию, смотри главу Demand Dial.
Постоянный — связь будет установлена сразу после запуска службы WinRoute Firewall Engine
и будет находиться в активном состоянии (и будет возобновлена в случае сбоя).
Custom — здесь вы можете установить тип соединения: постоянный, по требованию, либо отсутствие соединения вообще.
В окне далога вы можете задать период времени для каждого типа соединения. Щелкните кнопку Edit для того чтобы открыть этот диалог. Для более полной информации о временном диапазоне, смотри главу Time Ranges.
Как работает задаваемый пользователем тип соединения:
Опция Keep the line disconnected выполняется в первую очередь. В течение этого периода соединения не будет (либо оно будет сброшено автоматически).
Опция Keep the line connected работает во вторую очередь. В течение этого времени будет сохраняться соединение.
Опция On demand dial enabled имеет самый низкий приоритет. Если эта опция выбрана, то соединение по требованию будет разрешено всегда, если оно не противоречит временным диапазонам других опций.
Опции
Дополнительные параметры для типов соединения: Ручного, По требованию, и Custom. В случае постоянного соединения эти опции бесполезны (WinRoute держит постоянное соединение).
Разъединение при простое
Определяет период времени в течение которого через интерфейс не поступает никаких данных. При превышении этого диапазона, соединение автоматически будет прервано. С каждым исходящим и входящим пакетом, таймер пассивности устанавливается на ноль.
К сожалению, не существует оптимальной величины периода простоя. Если он очень короткий, соединение устанавливается слишком часто, если слишком длинный, соединение продолжается слишком долго. И то и другое увеличивает расходы на Интернет.
Повторный набор
Если при наборе линия занята, WinRoute будет набирать номер повторно, до тех пор, пока не соединится или не достигнет предела количества попыток, определенного пользователем. Если произойдет сбой при попытке соединения, то требование набора будет игнорировано. Поэтому, попытка соединения больше не будет повторена автоматически.
Повторное соединение при сбое
При обнаружении сбоя на линии, WinRoute
автоматически повторит попытку соединения.
Дополнительные настройки соединения
WinRoute позволяет запускать приложения или команды в следующих случаях: Перед набором, После набора, Перед разъединением и/или После разъединения.
Путь к исполняемым файлам должен быть закрытым. Если путь включает промежутки, они должны быть заключены в кавычки, в противном случае, промежутки могут быть приняты за параметры командного файла. Если путь к файлу ограничен кавычками, то текст, следующий за закрывающими кавычками, также будет приниматься за параметры командного файла.
Внимание: Если WinRoute
запущен в качестве службы операционной системы, то приложение будет исполнено в фоновом режиме.
Примечание: В случае выбора опций Перед набором и Перед разъединением, система не ждет их завершения после запуска программы.
Дополнительные интерфейсы
Вдобавок к сетевым адаптерам, в разделе Интерфейсы вы найдете еще два:
Dial-In
Этот интерфейс представляет сервер службы RAS (dial-up соединение) хоста WinRoute. Интерфейс может использоваться для задания правил трафика (смотри главу Traffic Policy) для RAS-приложений, соединенных с этим сервером.
Интерфейс Dial-In не может быть конфигурирован или удален.
Примечание:
При использовании двух серверов: RAS и WinRoute, RAS-сервер должен быть сконфигурирован так, чтобы он присваивал IP-адреса приложений из подсети, не используемой в каком-либо сегменте локальной сети, в противном случае, стандартная IP-маршрутизация не будет работать соответствующим образом.
WinRoute DHCP-сервер может использоваться для присвоения IP-адресов RAS-приложениям (смотри главу DHCP server).
VPN-сервер
Данный интерфейс представляет сервер, обеспечивающий соединение для собственных VPN-приложений Kerio Technologies. Для редактирования настроек и параметров VPN-сервера, дважды щелкните по интерфейсу или по Edit. VPN-сервер не может быть удален.
Для более полной информации о решениях VPN в WinRoute смотри главу Kerio VPN.
Функции
Остальные параметры DHCP-сервера могут быть установлены в разделе Options.
BOOTP
Если эта функция включена, DHCP-сервер назначит IP-адреса (включая вспомогательные параметры) также пользователям BOOTP-протокола (протокол, использовавшийся до DHCP— он назначает конфигурации только статически, согласно MAC-адресам).
Windows RAS
С помощью этой функции вы можете включить службу DHCP для RAS-приложений (Remote Access Service). Вы, также, можете определить время, в которое служба будет доступна RAS-приложениям (IP-адрес будет назначен), если вас не устраивает время, установленное по умолчанию.
Функции Declined
Эти функции определяют порядок работы с остановленными IP-адресами (отчетDHCPDECLINE). Эти адреса могут рассматриваться как освобожденные, и быть назначенными другому пользователю (функция Offer immediately), либо быть заблокироваными на определенное время, для того чтобы бывший пользователь мог их использовать (Остановленные адреса могут быть предложены после блокировки).
HTTP-кэш
Использование кэш для доступа к часто открываемым Web-страницам сокращает Интернет-трафик. Загруженные файлы сохраняются на жестком диске хоста WinRoute, так что не возникает необходимости загружать их снова с Web-сервера.
Все объекты хранятся в кэш лишь определенное время (Time To Live — TTL). Это время определяет проверки на последние обновление заданных объектов новым запросом страниц. Требуемый объект будет находиться в кэш пока срок TTL не закончится. Когда он закончится, будет выполнена проверка на новое обновление. Этот способ обеспечивает непрерывное обновление объектов, хранимых в кэш.
Кэш может использоваться как для прямого доступа, так и для доступа через прокси-сервер. При прямом доступе, HTTP протокол-инспектор должен быть применен к разрешенному TCP-порту 80 и 443. (смотри главыDefinition of Custom Traffic Rules
и Services).
Для настройки параметров HTTP-кэш, откройте раздел Cache в Configuration / Content Filtering / HTTP Policy.
Включить кэш в прозрачном прокси
Эта опция включает кэш для HTTP-трафика, который использует HTTP протокол-инспектор (прямой доступ к Интернет)
Включить кэш в прокси-сервере
Включает кэш для объектов, загруженных через прокси-сервер WinRoute (смотри главу Proxy server)
HTTP протокол TTL
Время по умолчанию сроков действия объектов в кэш. Это время используется когда:
TTL определенного объекта не задано (для задания TTL используйте кнопку URL specific settings button —смотри ниже)
TTL, заданный Web-сервером не принят (использование сервера, поддерживающего Time-To-Live)
Кэш-директория
Директория, которая будет использоваться для хранения загруженных объектов. По умолчанию, будет использоваться файл cache, директории, где расположен WinRoute.
Предупреждение: Изменения содержимого не будут приняты, пока WinRoute Firewall Engine не будет перезапущен.
Размер кэш
Размер кэш-файла на диске. Максимальный размер этого файла определяется файловой системой: FAT16 — 2ГБ, 4ГБ для других файловых систем.
Примечание: Если кэш заполнен на 98 процентов, то должна быть запущена так называемая очистка — эта функция удалит все объекты с истекшим TTL. Если объекты не удаляются, то никакие объекты больше не смогут сохраняться на диске, пока не появится больше свободного места (произведенного дальнейшей чисткой или ручным удалением).
Размер кэша памяти
Максимальный размер кэша памяти в ОЗУ. Этот кэш используется главным образом, для ускорения записи в кэш диска.
Если это значение слишком высоко, то производительность хоста может заметно снизиться (размер кэш не должен превышать 10 процентов памяти компьютера).
Максимальный размер объекта HTTP
Максимальный размер объекта, который может храниться в кэше.
Что касается статистики, то самое высокое количество запросов для малых объектов (например, HTML-страницы, изображения, и т.д.). Крупные объекты, такие как архивы (которые обычно загружаются за один раз), потребовали бы слишком много памяти в кэш.
Опции кэш
Вспомогательные опции, в которых задается работа кэш.
Продолжить прерванную загрузку — отметьте эту опцию для возможности автоматической загрузки объектов, которая была прервана пользователем (используя кнопку Остановить, на браузере). Пользователи часто прерывают загрузку медленных страниц. Если пользователь попытается открыть ту же страницу опять, страница будет доступна в кэш и загрузка произойдет намного быстрее.
Хранить прервынные файлы в кэш — если включена эта опция, сервер сохранит даже неполные объекты в кэш (незавершенные объекты загрузки). При следующем открытии страницы, загрузка будет выполнена намного быстрее.
Опция Хранить прерванные файлы в кэш будет игнорироваться, если включена опция Продолжить прерванную загрузку.
Кэшировать переадресованный ответ — ответы HTTP, содержащие переадресацию, будут кэшированы.
Использовать сервер, поддерживающий Time-To-Live — объекты будут кэшированы на время, определенное Web-сервером, с которого они были загружены. Есля TTL не задано сервером, то будет использовано TTL по умолчанию (смотри пункт TTL HTTP-протокола).
Игнорировать указания кэш-контроля сервера — WinRoute будет игнорировать директивы для кэш-контроля Web-страниц.
Страницы часто включают директивы, чтобы страницы не сохранялись в кэш. Включение опции Игнорировать указания кэш-контроля сервера позволяет WinRoute принимать только директивы no-store и private.
Примечание: WinRoute
проверяет заголовки директив, а не Web-страницы.
Всегда подтверждать файл в кэш — с каждым запросом WinRoute будет проверять сервер на обновления объектов, хранимых в кэш (несмотря на то, требует ли это клиент или нет).
Примечание: Пользователи могут в любое время требовать от Web-сервера проверки на обновление (несмотря на настройки кэш). Используйте для этого комбинацию клавиш Ctrl-F5, используете ли вы браузер Microsoft Internet Explorer или Netscape/Mozilla. Вы можете настроить браузер так, чтобы он проверял обновления автоматически при открытии определенной страницы (вам нужно будет только обновить эту страницу).
Индивидуальные настройки URL
TTL (Время жизни) объектов по умолчанию не всегда удобно для всех страниц. Вы можете не кэшировать объект или сократить его TTL (например, для страниц с ежедневным доступом).
Щелкните кнопку URL specific settings для открытия диалога, где может быть задан TTL для определенного URL.
Правила для этого диалога приведены в списке, где они расположены друг за другом сверху вниз (для перестройки правил используйте стрелки, расположенные с правой стороны окна).
Описание
Текстовые комментарии (только для информации)
URL
URL, для которого задается TTL. URL может быть следующего вида:
полный URL (например, www.kerio.com/cz/index.php)
подстрока с использованием группового символа (например, *news.com*)
имя сервера (например, www.kerio.com) — представляет любой URL этого сервера (строка может быть подменена на www.kerio.com/* автоматически.
TTL
TTL объектов подходящих определенному URL.
Опция 0 дней, 0 часов означает, что объекты не будут кэшированы.
Интерфейсы
WinRoute работает в качестве маршрутизатора для всех сетевых интерфейсов WinRoute, установленных в системе. Список этих интерфейсов находится в разделе Configuration / Interface
консоли WinRoute Administration Console.
Интерфейс
Это имя, используемое для идентификации интерфейса в WinRoute. Для легкого доступа, желательно, чтобы оно было однозначным, например Интернет для интерфеса соединения с Интернет. Мы не рекомендуем вам использовать одинаковаые имена, так как они могут вызвать проблемы в определении политики трафика или составления таблицы маршрутизации.
Имя может быть отредактировано позднее (смотри ниже), без оказания влияния на функциональные возможности WinRoute.
Иконка, расположенная слева от имени, представляет тип интерфейса (сетевой адаптер, dial-up соединение, спутниковое соединение, VPN-сервер, VPN-tunnel).
Примечание: До тех пор, пока имя не будет введено вручную, она будет отображать имя адаптера, назначенного операционной системой (смотри Ввод имени адаптера).
IP-адрес и маска
IP-адрес и маска подсети этого интерфейса.
Имя адаптера
Имя адаптера (например, “LAN connection2”). Это имя дается для ссылки.
Данные адаптера
Строка идентификатора адаптера, возвращенная драйвером устройств.
ID-идентификатор
Уникальное имя адаптера в операционной системе (смотри, также главу Backup and Import of Configuration).
MAC
Аппаратный (MAC) адрес соответствующего сетевого адаптера.
Для удаления или изменения свойств выбранного интерфейса, используйте кнопки, расположенные внизу интерфейса. Если никакой интерфейс не выбран или выбранный интерфейс не поддерживает определенные функции, то соответствующие кнопки не будут активными.
Добавить
Добавляет новый dial-up интерфейс или VPN-канал (смотри ниже).
При добавлении нового сетевого адаптера, необходимо устанавливать и конфигурировать его в операционной системе первым, для того чтобы WinRoute обнаружил его автоматически.
Редактирование
Отображает подробную информацию и позволяет редактировать параметры интерфейса.
Удаление
Удаляет выбранный интерфейс из WinRoute. Это может быть сделано при следующих условиях:
сбой dial-up
сетевой адаптер не активен, либо не присутствует физически
WinRoute не позволяет удалять активную сеть или dial-up адаптер.
Примечание:
Записи больше не существующих адаптеров (которые были удалены) не влияют на функционирование WinRoute
— подобные адаптеры рассматриваются как неактивные (как в случае со сбоем dial-up).
После удаления адаптера, ко всем соответствующим пунктам правил трафика, где использовался интерфейс, автоматически применяются нулевые значения. Этои правила будут удалены, обеспечив безопасность политики трафика (для более полной информации, смотри главу Definition of Custom Traffic Rules).
Связь и разъединение
Вы можете использовать Web-интерфейс WinRoute (смотри главу Web Interface and User Authentication) для связи или разъединения с линией. При выборе сетевого адаптера, эти кнопки неактивны.
Обновление
С помощью этой кнопки вы можете обновить список интерфейсов.
Примечание: До 128 IP-адресов, может использоваться для любого сетевого интерфейса.
Исправление связи
WinRoute для надежности связи имеет функцию "исправления связи" (установление вторичного соединения). Это альтернативное соединение устанавливается автоматически при обнаружении обрыва основного Интернет соединения. Функционирование основного соединения тестируется отправкой выбранным компьютерам Эхо- Запросов ICMP (PING). Если WinRoute обнаруживает, что основное соединение снова восстановилось, альтернативное соединение отключается, и основное автоматически устанавливается.
В качестве альтернативного соединения может использоваться любой сетевой интерфейс или удаленное соединение, существующее в WinRoute (см. главу Interfaces). Нужно определить Правила трафика или блокировку соответствующих коммуникаций через альтернативное соединение. Это значит, что сеть, соединенную с альтернативным интерфейсом, нужно добавить в раздел "Адрес назначения" в правилах для исходящего Интернет трафика через основное соединение.
Более подробная информация о правилах трафика приведена в главе Определение Пользовательских Правил Трафика.
Пример: основное соединение, используемое для исходящего трафика, реализуется через сетевой адаптер (обозначенный в WinRoute как Интернет). Для альтернативного соединения будет использоваться интерфейс удаленного доступа. Мы хотим заблокировать сервис Telnet в направлении от локальной сети в Интернет.
Для выполнения этих требований, нужно установить следующие правила. Для каждого правила указываются два адреса назначения: сеть, связанная с интерфейсом Интернет (главное соединение) и сеть, связанная с интерфейсом удаленного доступа (альтернативное соединение).
Запретить Telnet (Forbid Telnet) – связь с Telnet в направлении от локальной сети в Интернет будет запрещена.
NAT – передача IP адресов источника будет выполняться для соединений от локальной сети в Интернет (общее Интернет соединение).
Трафик брандмауэра (Firewall traffic) – узлу WinRoute будет разрешено соединение с Интернет (использовать NAT нет необходимости, т.к. узел имеет свой собственный IP адрес).
Примечание:
Правила трафика должны быть установлены к моменту активизации Установок Исправления Соединения (Connection Failover Setup) (см. ниже), иначе соединение не будет корректно работать.
Используйте установленные по умолчанию опции для исходящего интерфейса в правилах NAT, чтобы гарантировать, что IP адрес источника в пакетах, идущих из локальной сети в Интернет, всегда указан корректно (т.е. IP адреса главного или альтернативного интерфейса – в зависимости от того, какой из них используется в данный момент).
Чтобы указать IP адрес для NAT, нужно определить два независимых правила – одно для главного, и другое для альтернативного соединения.
Установки Исправления Соединения
Чтобы определить вторичное соединение, используйте вкладку "Исправление соединения" (Connection failover) в Настройках/Интерфейсах (Configuration / Interfaces).
Активизировать автоматическое исправление соединения (Enable automatic connection failover)
Используйте эту опцию, чтобы активизировать/ отключить функцию исправления соединения.
Текущее соединение (Current connection)
Эта опция информирует пользователя, какое соединение используется в данный момент:
Основное (Primary) – основное соединение (в зеленом поле)
Вторичное (Secondary) – альтернативное (вторичное) соединение (в пурпурном поле)
Примечание: текущее соединение в любой момент может переключиться. Чтобы видеть текущий статус, щелкните кнопку Обновить (Refresh) (в нижней части вкладки Исправление соединения)
Пробные узелы (Probe hosts)
В этом поле нужно указать IP адрес(а) по меньшей мере одного компьютера (или маршрутизатора и т.д.). WinRoute будет тестировать доступность указанного IP адреса (адресов) с регулярными интервалами. Если хоть один из тестируемых девайсов будет доступен, основное соединение будет считаться работающим.
Примечание:
Исправление соединения активизируется, только если указан хоть один пробный узел (WinRoute не может определять обрывы основного соединения, если не указан хоть один пробный узел).
Пробные узлы должны быть представлены постоянно работающими компьютерами или сетевыми девайсами (серверы, маршрутизаторы и др.). Рабочие станции, которые работают лишь несколько часов в день, не могут быть пробными узлами).
Пробные узлы не должны блокироваться Эхо-запросами ICMP (PING), т.к. такие запросы используются для тестирования доступности этих узлов – иначе узлы всегда будут считаться недоступными.
Основное соединение
Параметры основного Интернет соединения. Соединение должно быть определено следующим образом:
сетевой интерфейс со шлюзом по умолчанию
удаленный доступ
Только интерфейсы и удаленный доступ, определенные на вкладке Интерфейсы, доступны для введения в качестве Интерфейсов (см. главу Интерфейсы).
Установки по умолчанию (шлюз по умолчанию и соответствующий интерфейс) определяются операционной системой после установки WinRoute, или при первом включении опции «Активизировать автоматическое исправление соединений» (Enable automatic connection failover). Это можно сделать и нажав кнопку Определить (Detect).
Если в операционной системе не определен никакой шлюз по умолчанию (т.е. когда основное соединение реализуется через удаленный доступ, который в настоящее время отключен), соединение не может быть определено автоматически – основное соединение должно быть определено вручную.
Альтернативное соединение
Используйте этот раздел, чтобы установить параметры для альтернативного Интернет соединения, которое будет установлено при обрыве основного соединения. Альтернативное соединение можно определить как сетевой интерфейс со шлюзом по умолчанию или как удаленный доступ (также как и основное соединение).
Примечание: можно использовать тот же адаптер, который используется для основного соединения, но шлюз по умолчанию должен быть другой. Таким образом можно гарантировать, что при обрыве основного соединения будет использоваться другой маршрутизатор той же сети (подсети).
Использование удаленного доступа
При использовании удаленного доступа в качестве основного и/или альтернативного соединения, следует учитывать следующие моменты:
Исправление соединений уместно использовать только при его реализации через постоянное соединение (используя сетевой адаптер или постоянный удаленный доступ). Если для основного соединения используется удаленный доступ, устанавливаемый по необходимости (или вручную), после завершения каждого сеанса связи будет автоматически устанавливаться альтернативное соединение.
Если удаленный доступ используется для альтернативного соединения, то не важно, постоянный он или нет – WinRoute будет устанавливать и обрывать соединение по необоходимости.
Однако, использование опции Обрывать при бездействии (Hang-up if idle) может вызвать проблемы – когда альтернативное соединение будет автоматически обрываться, WinRoute не будет устанавливать соединение снова (пока основное соединение не восстановится и снова не оборвется).
Поэтому мы рекомендуем установить следующие параметры дозвона:
для основного соединения – постоянное соединение (persistent connection)
для альтернативного соединения – дозвон вручную (manual dialing)
Конфигурация прокси-сервера
Для конфигурирования параметров прокси-сервера, откройте раздел Proxy server в Configuration / Content Filtering / HTTP Policy.
Включить непрозрачный прокси-сервер
Эта опция включает HTTP прокси-сервер WinRoute в порт, находящийся в Port entry (порт 3128 установлен по умолчанию).
Предупреждение: Если вы используете номер порта, уже используемый другой службой или приложением, WinRoute
примет этот порт, однако, прокси-сервер не будет способен работать, и в журнале регистрации ошибок появится следующая надпись (смотри главу Error Log):
failed to bind to port 3128: another application is using this port
Если вы не уверены в том, что порт, который вы намереваетесь использовать, свободен, щелкните кнопку Apply и сразу же проверьте журнал регистрации ошибок (проверьте, появилась регистрация или нет).
Направить к parent proxy server
Отметьте эту опцию для того, чтобы WinRoute отправлял все запросы к parent proxy server, определяемому следующими данными:
Сервер — DNS-имя или IP-адрес parent proxy server и порта, на котором он запущен (по умолчанию используется порт 3128).
Parent proxy server запрашивает аутентификацию — если parent proxy server запрашивает аутентификацию через имя и пароль, включите эту функцию и задайте имя и пароль.
Примечание: Имя и пароль для аутентификации с parent proxy server посылается с каждым HTTP-запросом. Поддерживается только Basic-аутентификация.
Опция Forward to parent proxy server определяет как WinRoute будет соединяться с Интернет (для проверки обновлений, загрузки обновлений McAfee и для соединения с базой данных ISS OrangeWeb Filter).
Установить автоматическую конфигурацию прокси
При использовании прокси-сервера, Web-браузеры клиентских хостов должны быть правильно сконфигурированы. Большинство Web-браузеров (например, Microsoft Internet Explorer, Netscape/Mozilla, Opera, и т.д.) разрешают автоматическую конфигурацию соответствующих параметров, используя скрипты, загруженные из соответствующих Web-сайтов, по заданным URL.
В случае с прокси- сервером WinRoute, скрипт конфигурации сохранен на
http://192.168.1.1:3128/pac/proxy.pac,
где 192.168.1.1 - IP-адрес хоста WinRoute, а номер 3128
представляет порт прокси-сервера (смотри выше).
Опция Позволить браузерам использовать скрипт конфигурации автоматически... настраивает скрипт конфигурации в соответствии с текущей конфигурацией WinRoute и настройками локальной сети:
Прямой доступ — браузеры не используют никаких прокси-серверов
WinRoute прокси-сервер — браузер будет использовать IP-адрес хоста WinRoute и порта, на котором запущен прокси-сервер (смотри выше).
Примечание: Скрипт конфигурации требует, чтобы прокси-сервер был всегда доступен (Даже если используется опция прямого доступа).
Позволить браузерам использовать скрипт конфигурации автоматически...
Браузер Microsoft Internet Explorer может быть сконфигурирован автоматически, если используется DHCP-сервер и если в настройках браузера включена опция Автоматическая настройка.
WinRoute's DHCP-сервер должен быть запущен (смотри главу DHCP server), в противном случае эта функция не будет работать. Параметры TCP/IP хоста должны быть статическими — Microsoft Internet Explorer при запуске посылает специальный DHCP-запрос.
Совет: Таким способом браузер Microsoft Internet Explorer в локальном хосте может быть сконфигурирован одним щелчком.
Конфигурация сервера DHCP
Для задания конфигурации DHCP-сервера в WinRoute, откройте Configuration / DHCP Server. Здесь вы можете задать IP-диапазон, резервирование или вспомогательные параметры, и просмотреть информацию о задействованных IP-адресах или статистиках DHCP-сервера.
DHCP-сервер включается/выключается при помощи опций DHCP Server (расположенных сверху). Конфигурации могут быть изменены даже если DHCP-сервер отключен.
Lease-резервирование
DHCP-сервер позволяет администраторам зарезервировать IP-адрес для любого хоста. Для того, чтобы сделать резервирование, щелкните кнопку Add / Reservations в папке Scopes.
Вы можете зарезервировать любой IP-адрес, включенный в определенную подсеть.
IP-адреса могут быть зарезервированы для:
аппаратного (MAC) адреса хоста — он задается шестнадцатиричными числами, разделенными двоеточием, например
00:bc:a5:f2:1e:50
либо через тире— например:
00-bc-a5-f2-1e-50
MAC-адрес сетевого адаптера может быть обнаружен инструментами операционной системы (например, коммандой ipconfig) или специальным приложением производителя сетевого адаптера.
имени хоста — запросы DHCP большинству DHCP-приложений включают имена хоста (все ОС Windows), или в настройках приложения может быть задана отправка имени хоста (ОС Linux).
Leases
IP-диапазоны можно просмотреть в разделе Leases. Эти диапазоны отображаются в форме древовидных структур. В этих структурах отображены все текущие lease.
Примечание: Статус адреса представлен цветом иконки (смотри ниже). Иконки, обозначенные знаком R представляют резервированные адреса.
Колонки этих секций содержат следующую информацию:
Leased Address — арендованный IP-адрес
Lease Expiration — дата и время периода действия срока аренды
MAC Address — аппаратный адрес хоста, которому назначен IP-адрес (включая имя производителя сетевого адаптера).
Hostname — имя хоста, которому назначен IP-адрес (только если DHCP-приложение этого хоста отправляет его DHCP-серверу)
Status — статус соответствующего IP-адреса; Leased (арендованные адреса), Expired (адреса с истекшим сроком аренды — пользователь еще не подал запрос о продлении), Declined (аренда была остановлена пользователем) или Released (адрес был освобожден пользователем).
Примечания:
Данные об истекших и освобожденных адресах хранятся DHCP-сервером и могут быть использованы позднее, если тот же самый пользователь пошлет запрос обаренде.
Остановленные адреса используются согласно настройкам раздела Options (смотри ниже).
Следующие колонки спрятаны по умолчанию:
Last Request Time — дата и время выполнения последнего запроса аренды или продления
Lease Remaining Time — время, оставшееся до окончания срока действия
Для немедленного освобождения выбранных IP-адресов, независимо от их статуса, используйте кнопку Release. Освобожденные адреса считаются свободными и могут быть сразу же назначены другому пользователю.
Щелкните кнопку Reserve, для резервирования выбранных (динамически назначенных) IP-адресов, основанных на MAC-адресе или имени хоста к которому этот адрес назначен. Раздел Scopes с диалогом, в котором назначаются соответствующие адреса для аренды, будет открыт автоматически. Все значения, кроме пункта Описание будут уже заданы. Введите данные и щелкните кнопку OK для назначения постоянной аренды для IP-адреса хоста которому он буден назначен динамически.
Примечание: MAC-адрес хоста, для которого арендуется данный IP, будет введен в диалог резервирования аренды автоматически. Для резервирования IP-адреса для имени хоста, измените настройки в пунктах Reservation For и Value.
Настройки интерфейсов и сетевых служб
Содержание
Интерфейсы
Исправление связи
DNS Форваврдер
DHCP-сервер
Прокси-сервер
HHTTP-кэш
Прокси-сервер
Даже если NAT-технология, используемая в WinRoute, разрешает прямой доступ к Интернет со всех локальных хостов, он, все равно, имеет стандартный HTTP прокси-сервер. При определенных обстоятельствах прямой доступ не может быть использован, либо он неудобен. Следующий список описывает наиболее общие ситуации:
Для соединения с хостом WinRoute необходимо использовать прокси-сервер вашего ISP. В этом случае, доступ к Интернет не будет прямым.
Прокси-сервер, включенный в WinRoute может передавать все запросы так называемому parent proxy server.
Интернет-соединение выполнено черезdial-up и доступ к определенным страницам блокируется (смотри главу URL Rules). При использовании прямого соединения связь будет установлена перед обнаружением HTTP-запроса (связь установлена по запросу DNS или по запросу пользователя Web-сервера). Если пользователь соединяется с запрещенной Web-страницей, WinRoute устанавливает связь и блокирует доступ к странице — связь установлена, но страница не открывается.
Прокси-сервер может получать и обрабатывать клиентские запросы локально. Если доступ к требуемой странице запрещен, то связь установлена не будет.
WinRoute задействован внутри сети с многими хостами в которых используется прокси-сервер. Было бы слишком трудной задачей и заняло бы много времени переконфигурировать все хосты.
При использовании прокси-сервера сохраняется функционирование Интернет-соединения — нет необходимости в редактировании конфигурации индивидуальных хостов (лишь некоторые хосты нуждаются в переконфигурировании).
WinRoute может фильтровать сайты и объекты прозрачно, однако Web-страница может содержать переадресацию на нестандартный TCP-порт. В этом случае прозрачный HTTP-прокси не будет использован. Если браузер сконфигурирован для использования прокси-сервера, то переадресация будет продолжена через прокси-сервер.
Примечание: Прокси-сервер WinRoute поддерживает только HTTP и HTTPS-протоколы. Используйте прямой доступ для поддержания трафика использующего FTP-протокол, если вы не используете parent proxy server, поддерживающий FTP-протокол (прокси-сервер WinRoute может “получить” FTP через parent proxy server).
Редактирование параметров интерфейса
Для изменения параметров выбранного интерфеса, щелкните кнопку Edit. В случае RAS dial-up, диалог свойств интерфейса будет идентичен диалогу добавления нового RAS dial-up. В случае сетевого адаптера, может быть изменено только имя интерфейса.
Для VPN server и VPN tunnels, диалог настроек VPN server (смотри главу VPN Server Configuration) или VPN tunnel (смотри главу Interconnection of two private networks via the Internet (VPN tunnel)) будет доступен.
Задание диапазона и резервирования
Для задания диапазона, включающего дополнительные параметры, а также резервирования IP-адресов, используйте диалог Scopes. Этот раздел включает две части — одну, для задания диапазона и вторую, для задания резервирования:
Подсети, в которых можно задать диапазоны и IP-адреса вы найдете в колонке Item. Вы можете активировать и дезактивировать IP-подсеть, сделав соответствующие отметки (вы можете временно отключить диапазоны и включить позже). Каждая подсеть также включает список назначенных в ней резервирований и IP-адресов.
В разделе опций Default (первый пункт в таблице) вы можете установить параметры по умолчанию DHCP-сервера.
Lease time
Период времени, в течение которого IP-адреса назначаются пользователям. По истечении этого периода IP-адрес автоматически будет рассматриваться как свободный (может быть назначен другому пользователю) только если он не был продлен пользователем.
DNS-сервер
Вы можете задать любой DNS-сервер (или несколько DNS-серверов, через точку с запятой). Мы рекомендуем использовать DNS Forwarder в качестве основного сервера WinRoute (первого в списке) — IP-адрес хоста WinRoute. DNS Forwarder может работать совместно с DHCP-сервером (смотри главу DNS Forwarder ) так , что он всегда будет использовать правильные IP-адреса для ответов на запросы локального хоста.
WINS-сервер
IP-адрес WINS-сервера.
Домен
Локальный домен. Не устанавливайте этот параметр если локальный домен отсутствует.
Дополнительные
Щелкните кнопку Advanced для того чтобы открыть диалог, включающий список всех дополнительных параметров, поддерживаемых протокол DHCP (включая описанные выше). Вы можете добавлять любые параметры, поддерживаемые DHCP-протоколом и устанавливать их значения.
При заданной конфигурации определенного диапазона (диалог Address Scope/Options), параметры по умолчанию автоматически сопоставляются с адресными диапазонами. То же правило действует и на диапазоны и резервирования (параметры, задаваемые определенным адресным диапазонам используются для других резервирований до тех пор пока действуют параметры для определенных резервирований). Вес индивидуальных параметров соответствует их положению в иерархическом дереве.
Для доступа к диалогу задания адресных диапазонов, выберите опцию Add / Scope.
Примечание: Для каждой сети может быть задан только один диапазон.
Описание
Комментарии к новому адресному диапазону (в качестве информации для администратора WinRoute).
Первый адрес, последний адрес
Первый и последний адрес нового диапазона.
Примечание: Мы рекомендуем вам, по возможности, задавать диапазон больше, чем действительное количество пользователей подсети.
Маска
Маска соответствующей подсети. Назначается пользователям вместе с IP-адресом.
Примечание: Приложение Kerio Administration Console отслеживает, задан ли первый и последний адрес подсети маской. При несоблюдении соответствующих требований, при подтверждении кнопкой OK, вам будет сообщено об ошибке.
Lease time
Период, в который пользователь может использовать IP-адрес. Если, по истечении этого срока, пользователь не запросит продолжения, то IP-адрес будет рассматриваться как свободный и может быть назначен другому пользователю.
Исключения
WinRoute позволяет администраторам задавать только один диапазон в каждой подсети. Для создания дополнительных диапазонов, следуйте этим иструкциям:
задайте адресный диапазон, покрывающий все желаемые диапазоны
задайте так называемые исключения, которые не будут приняты в расчет
Пример: В подсети 192.168.1.0
вы хотите задать два диапазона: от 192.168.1.10 до 192.168.1.49 и от 192.168.1.61 до 192.168.1.100. Адреса с 192.168.1.50 по 192.168.1.60 будут свободными и могут быть использованы для других целей.
Задайте диапазон адресов от 192.168.1.10 по 192.168.1.100 и щелкните кнопку Exclusions, для задания диапазона от 192.168.1.50 по 192.168.1.60. Эти адреса не будут назначены DHCP-сервером.
Параметры
В диалоге Address Scope, могут быть заданы основные DHCP-параметры назначенных адресов:
Шлюз по умолчанию — IP-адрес маршрутизатора, который будет использован в качестве шлюза по умолчанию для подсети, с которой назначаются IP-адреса.
DNS-сервер — любой DNS-сервер (или несколько DNS-серверов, разделенных точкой с запятой). Мы рекомендуем вам использовать в WinRoute
DNS Forwarder в качестве основного DNS-сервера (IP-адрес хоста WinRoute), потому что DNS Forwarder может работать совместно с DHCP-сервером (смотри главу DNS Forwarder ) и будет всегда отвечать на запросы имен локальных хостов с соответствующим IP-адресом.
WINS-сервер — В сетях с многоадресными маршрутизаторами иногда необходимо использовать WINS (Windows Internet Naming Service) для разрешения локальных именNetBIOS.
Домен — локальный домен Интернет. Не задавайте этот параметр, если существует локальный домен.
Дополнительные
Щелкните эту кнопку для открытия диалога с полным списком дополнительных параметров, поддерживаемых DHCP (включая четыре, указанные выше). К списку может быть добавлен любой, поддерживаемый DHCP параметр, также как и его характеристики. Этот диалог является также частью раздела Address Scopes.
В правой колонке раздела Address Scope показаны заданные DHCP-параметры и их характеристики в соответствуюх IP-диапазонах.
Примечание: Простая статистика DHCP-сервера отображается спрва вверху раздела Address Scope. Каждый диапазон описан следующими данными:
общее количество адресов диапазона
количество и процентное соотношения lease time
количество и процентное соотношение свободных адресов
Исключения
Возможно вам понадобится разрешить доступ в Internet только для определенной группе пользователь/IP адрес, тогда как всем остальным пользователям не нужно разрешать доступ.
Вам будет легче разобраться на следующем примере (как разрешить пользовательской использовать службу Telnet для доступа к Internet серверам ). Воспользуйтесь двумя следующими правилами:
Первое правило запретит выбранным пользователям (или группе пользователи/IP адреса и т.д) доступ в Internet.
Второе правило запретит доступ к службе для других пользователей.
Как работают правила управления трафиком
Политика управления трафиком состоит из правил, отсортированных по их приоритету. При применении правил, они просматриваются сверху вних; применяется первое подходящее правило. Порядок правил может быть изменён с помощью двух кнопок справа от окна.
В конце списка находиться правило, запрещающее весь трафик. Это правило не может быть отредактированно или удалено. Если для определённого пакета не найдётся разрешающего правила, он будет отброшен “всё-перехватывающим” запрещающим правилом.
Мастер правил сети
Мастеру правил сети требуются только данные, которые необходимы для создания основного набора правил трафика. Правила созданные этим мастером будут позволять доступ к выбранным службам Интернет из локальной сети, и обеспечивать полную защиту локальной сети (включающую хост WinRoute) от попыток нежелательного доступа через Интеренет. Для обеспечения надежности функционирования WinRoute, после использования мастера удаляются все существующие правила и заменяются на правила, заданные на основе новых данных.
Для запуска мастера правил сети щелкните кнопку Wizard.
Примечание: Существующая политика трафика подменяется новыми правилами на завершающем этапе процесса после подтверждения на последнем этапе. Это означает, что во время процесса работы мастера он может быть остановлен и удален без потерь существующих правил.
Этап 1 — информация
Для успешного запуска, мастеру необходимы следующие параметры хоста WinRoute:
по меньшей мере, один активный адаптер, соединенный с локальной сетью
по меньшей мере один активный адаптер, соединенный с Интернет или один заданный dial-up. Dial-up необязательно должен быть активен для запуска мастера.
Этап 2 — выбор типа соединения с Интернет
Выберите подходящий тип соединения с Интернет — сетевой адаптер (Ethernet, WaveLAN, DSL, и т.д.), коммутируемая линия (аналоговый модем, ISDN, и т.д.) или спутниковая система DirecWay. DirecWay возможна только если сответствующий драйвер устройства взаимодействует с операционной системой.
Этап 3 — выбор сетевого адаптера или dial-up
Если сетевой адаптер используется для соединения хоста с Интернет, он может быть выбран в меню. Для более легкого пользования инструкцией мастера, также отображаются IP-адрес, сетевая маска и MAC-адрес выбранного адаптера.
Примечание: Web-интерфейс со шлюзом по умолчанию приведен в списке первым. Поэтому, в большинстве случаев, соответствующий адаптер уже устанавливается на этом этапе.
В случае с коммутируемой линией, должен быть выбран соответствующий тип соединения (заданный в операционной системе) и должны быть заданы регистрационные данные.
Использование регистрационных данных из RAS — имя и пароль для аутентификации на удаленном сервере будет скопировано из данных RAS Windows. RAS-соединение должно сохраняться в системной “телефонной книге” (соединение должно быть доступно любому пользователю).
Использование следующих регистрационных данных — задайте имя и пароль, которые будут использованы для аутентификации на удаленном сервере. Эта опция может быть полезна, например, когда нежелательно сохранять регистрационные данные в операционной системе или если позже они будут изменены.
Этап 4 — Ограничения доступа к Интернет
Выберите какие службы Интернет будут доступны для пользователей LAN:
Разрешить доступ ко всем службам
Доступ к Интернет не будет ограничен из локальной сети. Пользователи имеют доступ к любой службе Интернет.
Разрешить доступ только к следующим службам
Только выбранные службы будут доступны из локальной сети.
Примечание: В этом диалоге только перечислены основные службы (независимо от служб, заданных в WinRoute — смотри главу Services). Другие службы могут быть разрешены определением индивидуальной политики трафика— смотри ниже.
Этап 5 — задание трафика Kerio VPN
Для использования собственного VPN трафика WinRoute для связи с удаленными пользователями или создания тоннеля между удаленными сетями, выберите Да, я хочу использовать Kerio VPN. Будут добавлены необходимые службы и адресные группы для VPN. Для более полной информации о разработках VPN, встроенных в WinRoute, смотри главу Kerio VPN.
Если вы не хотите использовать это систему, или хотите использовать систему какой-либо третьей стороны, (например, Microsoft PPTP, Nortel IPSec, и т.д.), выберите Нет, я не хочу использовать правила для опции Kerio VPN.
Этап 6 — спецификация серверов, которые будут доступны в локальной сети
Если любая служба (например, WWW-сервер, FTP-сервер, и т.д. доступная через Интернет) запускается на хосте WinRoute
или другом хосте внутри локальной сети, задайте ее в этом диалоге.
Окно диалога, которое откроет новую службу, может быть активировано кнопкой Add.
Служба запущена
Задание параметров хоста, в котором запущена служба:
Брандмауэр — хост, в котором устанавливается WinRoute
IP-адрес — адрес сервера в локальной сети (хост, в котором запущена служба)
Примечание: доступ к Интернет через WinRoute должен быть задан в шлюзе по умолчанию хоста, в противном случае, служба будет недоступна.
Служба
Выбор службы. Служба определяется в Configurations / Definitions / Services (смотри главу Services).
Примечание: Большинство общих служб в WinRoute задано ранее.
Этап 7 — NAT
Если вы используете только общий IP-адрес для связи вашей локальной сети с Интернет, запустите функцию NAT (трансляция IP-адреса). Не запускайте эту службу если WinRoute используется для маршрутизации между двумя общими сетями или двумя локальными сегментами (нейтральный маршрутизатор).
Этап 8 — формирование правил
На последнем этапе, информационное окно предупреждает пользователей о том, что политика трафика будет основана на новых данных и все существующие данные будут удалены и заменены новыми правилами.
Предупреждение: Это последний шанс остановить процесс и оставить существующую политику трафика. Для удаления существующих правил и заменой их на новые, щелкните кнопку Finish.
Множественная адресация
Понятие множественной адресации применяется для ситуаций, когда один сетевой интерфейс соединенный с Internet использует различные и к тому же публичные IP адреса. Обычно различные службы доступны через отдельные IP адреса (т.е. подразумевается взаимная независимость служб).
Например: В локальной сети запущены 2 web сервера - один из них web1 с IP адресом 192.168.1.100 , а другой web2 с IP адресом 192.168.1.200. Интерфейс соединенный с Internet использует 2 публичных IP адреса — 63.157.211.10 и 63.157.211.11. Нам нужно чтобы сервер web1 был доступен из Internet c IP адресом 63.157.211.10, а сервер web2 с адресом 63.157.211.11.
Для достижения указанного результата необходимо определить в WinRoute два правила трафика:
Источник
Интерфейс соединенный с Internet (входящие запросы с Internet клиентов будут проходить через этот интерфейс).
Место назначения
Соответствующий IP адрес вышеуказанного интерфейса (используйте опцию Host для ввода IP адреса).
Служба
Сюда входит служба, которая будет доступна через этот интерфейс ( в случае web сервера — HTTP).
Действие
Отметьте опцию Permit (Разрешить) для разблокировки трафика.
Перевод
Зайдите в раздел Destination NAT (Port Mapping), чтобы отметить опцию Translate to IP address и задать IP адрес соответствующего Web сервера (web1 или web2).
Ограничение доступа в Internet
Доступ к службам Internet может быть ограничен несколькими способами. В нижеприведенных примерах правила ограничения доступа используют перевод IP адреса. Нет необходимости определять другие правила, т.к. весь трафик, который не будет удовлетворять этим требованиям будет заблокирован правилом "catch all (отлавливать все)".
Другие способы ограничения доступа в Internet находятся в разделе Exceptions (см. ниже).
Замечание: Использованные в этих примерах правила могут применяться в случае, если WinRoute работает в качестве нейтрального маршрутизатора (отсутствует перевод адреса) — в записи Translation не будут определяться переводы.
Разрешить доступ только к выбранным службам. Для правила перевода (находится в записи Service) определите только те службы, которые вы собираетесь разрешить.
Ограничения отсортированы по IP адресам. Доступ к определенным службам (или доступ к любой Internet службе) будет разрешен только с выбранных хостов. В записи Source определите группу IP адресов с которых будет возможен выход в Internet. Также данная группа должна быть формально определена в Сonfiguration / Definitions / Address Groups (см. главу User Groups).
Замечание: Этот тип правила следует использовать, если только каждый пользователь имеет свой собственный хост/хосты со статическими IP адресами.
Ограничения отсортированы по пользователям. Если соединение исходит от аутентифицированного хоста, то брандмаур отслеживает ситуацию. В данном случае вы должны определить пользовательские аккаунты в WinRoute и пользователи должны обязательно пройти процедуру аутентификации для получения доступа к определенной службе.
В другом случае вы можете определить правило для разрешения в доступе идентифицированных пользователей к определенным службам. Любой пользователь с действующим аккаунтом в WinRoute получит доступ в Internet после прохождения Аутентификации брэндмауером. Администраторы брэндмауера могут легко отслеживать службы и страницы, которые использовал пользователь в своей работе (это невозможно для анонимно подключенных пользователей).
Замечание: Конкретная информация о пользовательских подключениях к брэндмауеру находятся в главе Firewall User Authentication .
Ниже приводятся правила, которые могут использоваться различными способами (т.е. пользовательская группа может получить доступ только к определенным Internet службам).
Определение правил
Правила управления трафиком показаны в виде таблицы, где каждое правило представлено стокой, а свойства (имя, условие, действие — подробности смотрите дальше) расположены по столбцам. Кликните левой клавишей мыши по выделенному полю таблицы (или правой клавишей по правилу, выбрав Edit (редактировать) в контекстном меню), чтобы открытыть диалог для редактирования выделелнного поля.
Для создания нового правила нажмите кнопку Add (добавить). Переместите новое правило внутрь списка с помощью клавиш стрелок.
Name (имя)
Имя правила. Оно должно быть коротким и уникальным. Более детальную информацию можно поместить в поле Description (описание).
Поля соответствий, расположенные за именами, могут быть помечены для активации или сброшены для отмены правил. Если пометка сброшена, WinRoute
проигнорирует это правило. Это означает, что при решении проблем с каким-либо правилом, нет необходимости его удалять, а затем снова создавать.
Цвет фона каждой строки может быть задан. Для задания цвета фона в списке, кликните правой клавишей по ячейке в столбце Name (имя), относящейся к описываемой строке и выберите Edit (редактировать) для редактирования имени и цвета.
В поле Description (описание) можно заносить любой текст, описывающий соответствующее правило (до 1024 символов). Заносить информацию в это поле необязательно.
Если описание представленно, в поле Name (имя) непосредственно за именем правила будет изображён “куржок”. Чтобы просмотреть описание, расположите кусор мыши над кружком.
Рекомендуется описывать все создаваемые правила для более лёгкого понимания (для правил, создаваемых с помощью мастера, опичания генерируется автоматически).
Замечание: описания и цвета не влияют на функциональность правил.
Source and Destination (источник и получатель)
Источника или получателя, определённые в правиле.
Новые источник или получатель можно задать нажатием кнопки Add (добавить):
Host (хост) — имя или IP-адрес машины (например 192.168.1.1 or www.company.com)
Внимание: Если компьютер-источник или компьютер-получатель заданы посредством DNS-имени, WinRoute
будет пытаться определить их IP- адреса при обработке соответствующего правила.
Если не будет найдено ни одной записи в кэше, DNS forwarder перенаправит запрос в Интернет. Если окажется, что соединение временно “зависло”, запрос будет послан заново после того, как соединение восстановится. Соответствующее правило перестаёт работать до тех пор, пока не будет получен IP-адрес, соответствующий DNS-имени. При определённых обстоятельствах, запрещённый трафик может проходить пока соответствующее запрещающее правило выключено (такие соединения будут немедленно закрыты, когда правло снова включится).
По выше описанной причине мы рекомендуем задавать компьютер-источник и компьютер-получатель посредством IP-адреса в случае, если вы выходите в Интернет через телефонное соединение!
Network (сеть) — подсеть, задаваемая адресом и маской подсети
(например 192.168.1.0/255.255.255.0)
IP range (диапазон IP-адресов) — например 192.168.1.10—192.168.1.20
Subnet with mask (подсеть с заданной маской) — подсеть, задаваемая сетевым адресом и маской подсети (например 192.168.1.0/255.255.255.0)
Network connected to interface (сеть, связанная с интерфейсом) — представляет все IP-адреса, находящиеся по ту сторону интерфейса.
VPN — виртуальная частная сеть (virtual private network) (созданная с помощью WinRoute реализации VPN). Эта опция может использоваться для добавление следующих пункутов:
Входящие VPN-соединения (VPN-клиенты) — все VPN-клиенты присоединённые к WinRoute VPN-серверу через Kerio VPN Client
Входящие VPN-соединения (VPN-туннель) — сеть удалённого сервера, присоединённая к данному серверу через VPN-туннель
Для подробной информации о реализации VPN в WinRoute
обратитесь к главе Kerio VPN.
Users (пользователи) — пользователи или группы, которые могут быть выбраны в специальном диалоге
Правило с опцией Authenticated users (аутентифицированные пользователи) действует для всех пользователей, аутентифицированных брандмауэром. (см. главу Аутентификация пользователей в брандмауэре).
При задании политики управления трафиком, каждый пользователь/группа или хост представляется IP-адресом с которого посылается запрос на соединение (подробности об аутентификации пользователей смотрите в главе Аутентификация пользователей в брандмауэре).
Замечания:
Если вам требуется аутентификация во всех правилах, необходимо убедиться, что правила существуют, чтобы пользователи имели возможность открыть страницу аутентификации брандмауэра. Сервис аутентификации использует порт 4080 для HTTP и 4081 для HTTPS.
Если вы используете HTTP, WinRoute может перенаправлять пользователя на страницу аутентификации автоматически (подробности смотрите в главе Правила URL). Другие сервисы не имеют такой особенности. Пользователи должны быть информированы о том, что их перенаправили на страницу аутентификации перед тем, как им предоставится доступ к запрашиваемым сервисам. (см. главы Web-интерфейс и аутентификация пользователей и Брандмауэр и аутентификация пользователей).
Filewal (брандмауэр) — специальная группа адресов, вклющая все интерфейсы хрста, на которых запущен брэндмауэр. Эту поцию можно использовать для разрешения трафика между локальной сетью и самим машиной с WinRoute.
Используйте кнопку Any (любые) для замены всех заданных пунктов на значение Any (это значение используются также по умолчанию во всех правилах). Поле с таким значением будет автоматически удалено при добавлении по крайней мере одного нового пункта.
Используйте кнопку Remove (удалить) для удаления всех заданных пунктов. (В списке полей будет отображено значение Nothing (никакое)). Как только будет добавлена по крайней мере одна служба, значение Nothing будет автоматически удалено. Если значение Nothing остаётся в поле Source и/или Destination, соответствующее правило выключается.
Значение Nothing важно для удаления сетевых интерфейсов (см. главу Интерфейсы). Значение Nothing ватоматически проставляется во всех полях Source и/или Destination в правилах, где используется интерфейс, который удалили. Таким образом, все такие правила выключены. Вставка значения Nothing вручную не имеет смысла, для этих целей лучше использовать флаг напротив поля Name.
Note: Удалённый интерфейс не может быть заменён значением Any, иначе политика управления трафиком может фундаментально измениться (например, может быть разрешён нежелательный трафик).
Service (сервис)
Сервис, для которого будут применяться правила управления трафиком. Вы можете добвать в список произвольное количество сервисов, определённых в разделай Configuration, Definitions или Services или использующих определённый протокол или порт (или диапазон портов — для задания диапазона используется дефис).
Кликните по кнопке Any, чтобы заменит все пункты на значение Any (это значение также используется по умолчанию при создании нового правила). Как только будет добавлен по крайней мере один сервис, значение Any удалится.
Для удаления всех определённых пунктов нажмите кнопку Remove (значение Nothing будет отображаться в списке). При добавлении по крайней мере одного нового сервиса, значение Nothing удаляется автоматически. Если значение Nothing остаётся в столбце сервиса, правило выключается.
Значение Nothing важно при удаленияя сервисов (см. главу Сервисы). Если севис удалить, в поле Service в определении правила будет автомтически занасено значение Nothing. Таким образом, все такие правила выключаются. Вставка значения Nothing вручную не имеет смысла —a вместо этого может быть использованн флаг в столбце Name.
Замечания:
При удалении сервиса вы не можете заменять его на значение Any, в противном случае может фундаментально измениться политика управления трафиком. (например, может быть разрешён нежелательный трафик).
Если для задания сервиса используется анализатор соответствующего протокола, этот модуль может быть применён к трафику, удовлетворяющему этому правилу. Если правило может быть применено к всем сервисам (кнопка Any), все необходимые анализаторы протоколов будут применены автоматически.
При желании, можно определить правло без использования анализаторов протокола (подробности смотрите в главе Сервисы), чтобы обойти их использование для определённых IP.
Action (действие)
Действие, которые будет выполнено WinRoute, если пакет удовлетворит всем условиям в правиле (условия определяются источником, получателем и сервисом). Допускаются следующие действия:
Permit (разрешить) — трафик будет разрешён брандмауэром
Deny (запретить) — доступ по адресу или порту запрещён. Клиент при этом будет немедленно оповещён, что трафик блокируется брандмауэром.
Drop (отбросить) — все пакеты, удовлетворяющие правилу, будут отброшены. Клиент никак не будет уведомлён и будет воспринимать ситуацию как неполадки в сети. Клиент не будет повторять запрос сражу (он будет ожидать ответа и повторит попытку соединения позже).
Замечание: Для ограничения доступа в Интернет локальным пользователям, рекомендуется использовать действие Deny, а действие Drop — для блокирования доступа из Интернета.
Log (запись в журнал)
Следующие действия могут быть использованы для записи в журнал информации о трафике:
Log matching packets (запись удовлетворяющих пакетов) — запись в журнал фильтра всех пакетов, удовлетворяющих правилу (разрешённых, запрещённых или отбрасываемых, в зависимости от правила).
Log matching connections (запись удовлетворяющих соединений) — запсь в журнал соединений всех соединений, удовлетворяющие правилу (это относится только к разрешающим правилам). Отдельные пакеты, принадлежащие соединению записываться не будут.
Замечание: Соединения, удовлетворяющие Deny- или Drop-правилам, не могут быть записаны в журнал.
Translation (трансляция)
Трансляция IP-адресов источника и получателя.
Трансляцию IP-адреса источника также называют “маскарадом” или разделением Интернет-соединений. Вместо IP-адреса источника (внутреннего адреса) в пакетах, отправляемых из локальной сети в Интернет, подставляется адрес интерфейса, соединённого с Интернетом. Поэтому вся локальная сеть может иметь доступ в Интернет, но внешне выглядит как один хост.
Задаются следующие варианты IP-трансляции:
No Translation (трансляци отсутствует) — адрес источника не изменяется. Эта опция устанавливается по умолчанию и она не отображается внутри правил управления трафиком.
Translate to IP address of outgoing interface (замена на адрес клиентского интерфейса) — WinRoute
будет транслировать адрес источника в исходящих пакетах на адрес сетевого интерфейса, от которого пакет был получен.
Translate to IP address of interface (замена на адрес интерфейса) — выбор интерфейса. Адрес подходящего пакета будет заменён на основной адрес интерфейса. Эта опция нечувствительна, если предпологается, что обратный путь отличается от прямого.
Translate to IP address (замена на IP-адрес) — тот адрес, на который будет заменяться адрес источника (например второй адрес интерфейса, соединённого с Интернетом). Используйте кнопку Resolve (разрешить) только если вы знаете DNS-имя вашего хоста.
Замечание: Интерфейсу (только для TCP/IP стека) хоста, на котором работает WinRoute должен быть присвоен IP-адрес!
Трансляция адресов получателя (также называемая подстановкой портов) используется для разрешения доступа к сервисам, работающим по ту сторону брандмауэра. Все входящие пакеты, удовлетворяющие правилам, перенаправляются на заданный хост (изменяется адрес получателя). С клиентской точки зрения, всё выглядит так, как будто сервис запущен на машине с брэндмауэром.
Опции получателя NAT (подстановка потров):
No Translation (трансляция отсутствует) — адрес получателя не изменяется.
Translate to (изменить на) — IP-адрес, на который будет заменён адрес получателя в пакете. Этот адрес также является адресом хоста, на котором в действительности работает сервис.
Эта опция может быть также задана посредством DNS-имени компьютера получателя. В таких случаях WinRoute найдёт соответствующий IP-адрес через DNS-запрос.
Внимание: Ты не рекомендуем вам использовать имена компьютеров, которые не записаны в локальном DNS-сервере из-за того, что правило не может работать, пока соответствующий адрес не будет найден. Это может стать причиной временного нефункционирования сервиса подстановки портов.
Translate port to (изменить порт на) — в процессе трансляции IP-адресов вы можете также подставлять порты определённых сервисов. Это означает, что сервис в действительности может работать на порту, который отличается от порта, который заменяется.
Замечание: Вы не можете использовать эту опцию, пока ровно один сервис не будет определён в поле сервиса в соответствующем правиле и пока этот сервис не будет использовать только один порт из диапазона.
Следующие столбцы скрыты в установках по уполчанию в диалоге политики управления трафиком:
Valid on (действительно в течении)
Интервал времени, в течении которого правило действительно. По истечении этого интервала WinRoute будет ингорировать это правило.
Специальное значение “всегда” можно использовать для отмены ограничения по времени. (оно не показывается в диалоге политики управления трафиком).
Protocol Inspector (анализатор протокола)
Выбор анализатора протокола, который будет применяться ко всему трафику, удовлетворяющему правилу. Вы можете задать следующие опции:
Default (по умолчанию) — все необходимые анализаторы (или анализаторы сервисов, перечисленных в поле Service) будут применяться к трафику, удовлетворяющему правилу.
None (никакие) — не будут применяться никакие анализаторы (независимо от того, какие сервисы заданы в поле Service).
Other (другие) — задание определённого анализатора, который будет использоваться для трафика, удовлетворяющего правилу (доступны все анализаторы протокола WinRoute's).
Внимание: Не используйте эту опцию, если соответствующие правила задают протокол, не относящийся к анализатору. Использование неподходящего анализатора может повлиять на функциональность сервиса.
Замечание:
Используйте опцию по умолчанию для анализатора протокола, если в определении правила используется специфический сервис (см. пункт Service). (Анализатор протокола включён в определение правила.)
Определение собственных правил управления трафиком
Для того, чтобы управлять настройками WinRoute
было просто, вы можете определять свои собственные правила или редактировать сгенерированные мастером. Опытные администраторы могут создавать все правила в соответствии со своими нуждами без использования мастера.
Замечание: Если вы предпочитаете управлять пользовательскими соединениями к WWW и FTP серверам, воспользуйтесь специальным инструментом, доступным в WinRoute
(см. главуКонтентная фильтрация) вместо правил управления трафиком.
Основные виды правил трафика
В этой главе вы узнаете о том, что некоторые правила могут управлять стандартными настройками. Вы можете воспользоваться нижеприведенными примерами для создания набора правил полезных в настройке вашей сети.
Отображение порта
Отображение порта позволяет службам, которые работают в LAN (чаще всего в частных сетях) стать доступными из Internet. Локальный сервер в таком случае ведет себя как сервер напрямую связанный с Internet. Следовательно правило трафика должно определяться в соответствии с нижеприведенным примером:
Source
Интерфейс соединенный с Internet (запросы из Internet будут приходить на этот интерфейс)
Место назначения
Второе название хоста WinRoute - Firewall (Брэндмаур), что подразумевает все IP адреса связанные с хостом брэндмауера.
Служба
Вы можете выбрать одну из предопределенных служб (см. главу Services) или определить самому нужную службу со своим протоколом и портом.
Любая служба, которая в будущем может быть подвергнута отображению на один из хостов может быть определена в данной статье. Процесс отображения служб для других хостов подразумевает под собой обязательное создание нового правили трафика.
Действие
Выберите опцию Allow (Разрешить), иначе весь трафик будет заблокирован и функционирование port mapping (отображение порта) будет неуместным.
Translation
В разделе Destination NAT (Port Mapping) выберите опцию Translate to IP address (Переводить в IP адрес) и введите IP адрес хоста в LAN, где запущена нужная служба.
Воспользовавшись опцией Translate port to (Переводить порт в ...) вы сможете отображать службу на другом порту. Данный способ позволяет службам быть доступными на нестандартных портах без необходимости в изменение стандартного рабочего порта серверного приложения.
Внимание: В разделе Source NAT необходимо проставить опцию No Translation. Объединенние переведенных IP адресов источника и адресата является уместной операцией только в определенных условиях.
Замечание: Для правильного функционирования port mapping (отображения порта) локальный сервер должен использовать в качестве шлюза брандмаур WinRoute. В противном случае нет необходимости активировать Источник (Source) NAT в дополнение к Адресату (Destination) NAT.
Политика трафика
Содержание
Мастер сетевых правил
Определение пользовательских настроек правил трафика
Типы основных правил трафика
Политика трафика относится к основным конфигурациям WinRoute. Все настройки показаны и могут быть отредактированы в таблице:
безопасность (защита локальной сети, включая хост WinRoute от нежелательного проникновения через Интернет)
трансляция IP-адреса (или NAT, Network Address Translation — технология позволяющая прозрачный доступ целой локальной сети в Интернет только с одним общим IP-адресом)
доступ к серверам (службам), запущенным в локальной сети из Интернет (port mapping)
контролированный доступ локальных пользователей в Интернет
Правила политики трафика могут быть заданы в Configurations / Traffic Policy. Правила, также могут быть заданы вручную (опытными администраторами) или с использованием мастера (рекомендуется).
Правила, созданные мастером
Политику трафика проще понять по правилам, созданным мастером, на предыдущем примере.
ICMP-трафик
Это правило может быть добавлено в любое время, независимо от установок на каждом этапе. Вы можете использовать команду PING, для того чтобы отправить запрос об ответе с хоста WinRoute. Использованием этой команды могут быть решены важные вопросы (например, можно проверить функционирование Интернет).
Примечание: Правило ICMP-трафик
не позволяет пользователям использовать команду PING из локальной сети в Интернет. Если вы намереваетесь использовать команду в любом случае, вы должны добавить возможность Ping в правила NAT (для более полной информации смотри Definition of Custom Traffic Rules).
ISS OrangeWeb Filter
При использовании ISS OrangeWeb Filter (модуль классификации Web-сайтов), это правило разрешает взаимодействие с соответствующей базой данных. Не выключайте этот трафик, в противном случае, ISS OrangeWeb Filter не будет нормально функционировать.
NAT
Если добавлено это правило, то адреса источников (частные) всех пакетов, направленных из локальной сети в Интернет, будут подменены адресами интерфейса, соединенного с Интернет (смотри Мастер, этапы 3 и 6). Однако, будут доступны только службы, заданные на этапе 4.
В колонке Source также включен интерфейс Dial-In. Это означает, что RAS-приложения, соединенные с сервером, могут использовать NAT-технологию для доступа к Интернет.
Локальный трафик
Это правило разрешает весь трафик между локальными хостами и хостом WinRoute. Пункты этого правила Source и Destination включают все интерфейсы хоста WinRoute, кроме интерфейса, соединенного с Интернет (этот интерфейс может быть задан на этапе 3).
Пункты Source и Destination этого правила также затрагивают интерфейсы Dial-In и VPN. Это значит, что правило Локальный трафик также разрешает трафик между локальными хостами и RAS-клиентами/VPN-клиентами, соединенными с сервером.
Примечание: Так как мастер предполагает, что хост WinRoute принадлежит локальной сети, то доступ к нему не ограничен. Ограничения могут быть заданы изменением соответствующего правила или созданием нового. Некорректное правило, ограничивающее доступ к хосту WinRoute, может блокировать удаленное администрирование или стать причиной недоступности служб Интернет (все трафики, направленные к Интернет, передаются через этот хост).
Защитный трафик
Это правило разрешает доступ к определенным службам через хост WinRoute. Оно подобно NAT-правилу, но, в отличие от него, не поддерживает трансляцию IP (этот хост соединяется с Интернет напрямую).
HTTP и HTTPS
Эти правила устанавливают все HTTP и HTTPS-службы, запущенные в хосте с IP-адресом 192.168.1.10 (этап 6). Эти службы будут доступны по IP-адресам внешнего интерфейса (этап 3).
Правило по умолчанию
Это правило запрещает все соединения, не разрешенные другими Правило по умолчанию всегда стоит в конце списка и не может быть удалено.
Правило по умолчанию позволяет администратору выбрать действие, которое лучше всего подойдет для предотвращения нежелательных трафиков (Запрет или Удаление) и разрешения регистрации пакетов.
Примечание: Для получения более полного описания правил трафиков смотри главу Definition of Custom Traffic Rules.
Трансляция IP
Трансляция IP(NAT) - это понятие, которым обозначается процесс изменения частного IP адреса на IP адрес Интернет-интерфейса WinRoute-машины в пакете, проходяшем из локальной сети в Интернет.
В следующем примере показана работа соответствующего правила трафика:
Источник
Интерфейс соединенный с частной LAN.
Если сеть включает в себя более одного сегмента и каждый сегмент соединен с отдельным интерфейсом, то необходимо задавать все интерфейсы в записи Источник.
Нет необходимости определять все интерфейсы, если в сеть входят еще и маршрутизаторы (будет достаточно интрефейса соединенного с сетью через хост WinRoute).
Место назначения
Интерфейс соединенный с Internet.
Служба
Эта запись может быть использована для определения глобальных ограничений в доступе к Internet. Если отдельные службы определены для передачи данных через IP протокол, то только эти службы будут использоваться для данной операции и другие Internet службы будут недоступны из локальной сети.
Действие
Для работоспособности правила необходимо определить 3 действия: Permit (Разрешить), Drop (Оставить), Deny (Запретить).
Передача
В разделе Source NAT выберите опцию Translate to IP address of outgoing interface (Транслировать данные netcard в IP адрес). Это означает, что для NAT будет использоваться основной IP адрес интерфейса, через который будут передоваться пакеты посредством хоста WinRoute
Если вы хотите использовать какой-то другой IP адрес для передачи данных, то воспользуйтесь опцией Translate to IP address и введите нужный адрес. Введенный адрес должен входить в список адресов, которые применяются для интерфейса Internet, иначе нет гарантии в нормальном функционировании данного механизма работы.
Внимание: Только в очень редких ситуациях необходимо определять и источник, и адресат NAT. Например вы предоставляете хостинг для службы в LAN, которая требует port mapping (отображения порта), однако локальный сервер не имеет своего шлюза по умолчанию или он использует шлюз несовпадающий с WinRoute. В данном случае есть возможность использовать источник NAT для прохождения трафика к внутреннему серверу, так чтобы в процессе работы получать ответные данные для брандмаура WinRoute.
Замечание: Предыдущее правило позволяет исходящему трафику проходить от LAN в Internet. Также необходимо определить правило для трафика исходящего от хоста WinRoute (определяется брандмауром). Т.к. хост WinRoute напрямую соединен с Internet, то нет необходимости активировать передачу. Установленное по умолчанию правило "catch all (ловить все)", которое находится внизу списка фильтра (filter list) приведет к stateful packet inspection на хосте WinRoute.
Фильтр содержания
Содержание
Правила URL
Правила для содержимого
Система классификации содержания (ISS OrangeWeb Filter)
Фильтрация по словам
Политика FTP
WinRoute обеспечивает широкий диапазон возможностей фильтрации трафика с использованием протоколов HTTP и FTP.
Здесь изложены основные цели фильтрации содержимого с помощью HTTP и FTP:
блокирование нежелательных Web-сайтов (то есть страниц, не относящихся к работе коллектива)
блокирование определенных типов файлов (то есть запрещенного содержания)
блокирование или ограничение вирусов, червей и троянов
HTTP-протокол
— фильтрация Web-страниц:
ограничение доступа по URL (подстроки, содержащиеся в URL-адресах)
блокирование определенных HTML (то есть скриптов, объектов ActiveX и т.д.)
фильтрация, основанная на классификации модуля ISS OrangeWeb Filter
(всемирная база данных классификации Web-сайтов)
ограничения, основанные на выявлении запрещенных слов (строк)
антивирусный контроль загружаемых объектов
FTP-протокол
— контроль доступа к FTP-серверам:
запрещение доступа к определенным FTP-серверам
ограничения, основанные на именах файлов
передача файлов разрешена только в одном направлении (то есть только получение)
блокирование определенных FTP-команд
антивирусный контроль передаваемых файлов
Требования к фильтрации содержания
Для нормального функционирования фильтра содержания должны быть соблюдены следующие условия:
Трафик должен контролироваться соответствующим инспектором протокола.
Примечание: Соответствующий инспектор протокола активируется правилами трафика автоматически. Для более полной информации, смотри главу Definition of Custom Traffic Rules.
Соединение не должно быть закодировано. SSL-кодированный трафик (HTTPS и FTPS-протоколы) не может быть контролирован. В этом случае, вы можете заблокировать доступ к определенным серверам, используя правила трафика (смотри главу Definition of Custom Traffic Rules).
Примечание: При использовании прокси-сервера (смотри главу Proxy server), можно фильтровать также HTTPS-серверы (например, https://www.kerio.com/). Однако, нельзя фильтровать индивидуальные объекты этих серверов.
FTP-протоколы не могут быть фильтрованы при использовании ими безопасной аутентификации (SASO).
Примечание: WinRoute обеспечивает только средства фильтрации и ограничения доступа. Решения об ограничении Web-сайтов и типов файлов должны приниматься администратором (либо другим уполномоченным лицом).
Фильтрация по словам
WinRoute также может фильтровать Web-страницы, содержащие нежелательные слова. Эта фильтрация применяется глобально на весь HTTP-трафик. Начинает работать после выполнения правил URL (только если доступ к требуемой странице разрешен).
Принцип фильтрации: Запрещенные слова, совпадающие со значениями, называемыми весом (представлеными целым положительным числом). Вес этих слов, содержащихся в требуемой странице, суммируется (вес каждого слова считается только один раз, несмотря на то, сколько раз это слово встречается на странице). Если общий вес превысит определенный лимит, страница будет блокирована.
Слова сортируются по группам. Эта возможность облегчает работу WinRoute. Все группы имеют одинаковый приоритет и постоянно тестируются.
Для задания словесных групп, откройте раздел Word Groups в Configuration / Content Filtering / HTTP Rules.
Слова и группы, включенные в него, представлены в форме дерева. Для включения слов используйте поля соответствия, расположенные за ними. Отмеченные правила будут игнорированы. Благодаря этой функции не возникает необходимости удаления правил и назначения их снова, позже.
Примечания: Следующие группы слов определены при установке WinRoute по умолчанию:
Порнография — Слова, обычно встречающиеся на страницах с эротическим содержанием.
Warez / Cracks — . Слова, обычно встречающиеся на страницах, предлагающих незаконное программное обеспечение, генераторы ключей и т.д.
Все ключевые слова в этих группах блокированы по умолчанию. Администратор WinRoute может изменить вес каждого слова.
Запрет страниц с превышением веса
Верхний предел общего веса страниц (сумма всех запрещенных слов, обнаруженных на странице). Если общий вес протестированной страницы превышает предел, то доступ к ней будет запрещен (каждое слово считается только раз, несмотря на количество этих слов).
Для добавления нового слова в группу или создания новой группы, используйте кнопку Add.
Группа
Выбор группы, к которой будет добавлено слово. Вы, также можете добавить новое имя для создания новой группы.
Ключевое слово
Запрещенное при поиске слово.
Вес
Вес слова (влияет на решение о запрещении страницы)
Описание
Комментарии слова или группы.
Настройка доступак FTP (FTP Policy)
Для настройки доступа к серверу FTP зайдите в секцию Configuration / Content Filtering / FTP Rules.
Там находится список правил. Правила в этом списке применяются сверху вниз (вы можете изменить порядок правил, используя кнопки справа). Поиск правила прекращается, когда первое подходящее найдено. Если подходящее правило не найдено, доступ к серверу FTP будет неявно разрешен .
Замечание:
Конфигурация
WinRoute
по умолчанию, включает в себя предопределенные правила для траффика FTP, которые выключены изначально. Эти правила доступны администратору
WinRoute
.
Правило которое докачивает файл, при прерывании загрузки (называется
resume
function, вызывается коммандой FTP - REST ). Это правило необходимо для надежной проверки на вирусы, для этого файл должен быть просканирован полностью.
Если такое поведение нежелательно, правило может быть выключено. Это не рекомендуестя, так как может уменьшить надежность антивирусной проверки. Как бы там ни было, есть более безопасный метод ограничить действие этого правила: создать правило которое позволяет неограниченные соединения к определенному серверу FTP . Это правило будет действительно, только если его расположить перед правилом
Resume.
Используйте кнопку Add для определения нового правила FTP.
Общие условия и действия ,которые могут предприниматься, можно задать во вкладке General:
Description
Описание правила (информация для администратора).
If user accessing the FTP server is
Накладываемые условия на пользователей, к которым применяется правило:
any user — применяется ко всем пользователям (вне зависимости аунтефицирован пользователь на
WinRoute или нет).
any user authenticated on the firewall — применяется ко всем аунтефицированным пользователям.
selected user(s) — применяется только к выбранным пользователям и/или группам пользователей.
Нажмите на кнопку Set, чтобы указать пользователей или группы (держите нажатыми
Ctrl
или
Shift
для указания более чем одного пользователя /группы за раз).
Замечание:
Первое и второе правило не имеет смысла до тех пор, пока не будут комбинироваться с правилами, которые запрещают доступ для не аунтефицированных пользователей.
And the FTP server is
Накладываемые условия на сервера FTP, к которым применяется правило:
any server —любой сервер FTP
server — адрес IP или DNS имя конкретного сервера FTP .
Если сервер FTP определен через имя DNS,
WinRoute
автоматически попытается получить его IP по имени. IP адрес будет получен сразу после нажатия кнопки OK ( для всех правил где сервер FTP определен через имя DNS).
Предупреждение:
Правила будут выключены до тех пор, пока не будет получен IP адрес!
IP address from group — указание IP адресов, серверов FTP, которые будут разрешены или запрещены.
Нажмите кнопку Edit для редактирования группы IP (подробнее см. главуAddress Groups).
Action
Выберите действие которое будет выполняться при выполнение вышеуказанных условий на пользователей и сервера:
Allow —
WinRoute
позволяет соединения к выбранном серверу FTP (при некоторых условиях накладываемых на правило во вкладке Advanced — см. ниже.)
Deny —
WinRoute запрещает определенные комманды или соединения FTP (при некоторых условиях накладываемых на правило во вкладке Advanced — см. ниже.).
Используйте опцию Log, чтобы регистрировать все попытки доступа к FTP, которые отвечают правилу, в регистр фильтра (Filter log) (см. главу Filter Log).
Выберите вкладку Advanced, для определения дополнительных условий, которым должно отвечать правило и для установки дополнительных опций соединений FTP.
Valid at time interval
Выбор интервала времени в течении которого правило будет работать ( вне этого интервала оно выключено).Используйте кнопку Edit для редактирования интервалов (подробности см. в главе Time Ranges).
Valid for IP address group
Выбор группы клиентских IP адресов, для которых будет работать это правило. Используйте опцию Any, чтобы для применения ко всем клиентским адресам.
Используйте кнопку Edit для редактирования групп IP (подробнее см. главу Address Groups).
Content
Дополнительные условия к передаваемым данным FTP.
Используйте опцию Type для установки методов фильтрации:
Download, Upload, Download / Upload — фильтрация в зависимости от направления траффика.
Если одна из этих опции выбрана, вы можете указывать имена файлов, для которых это правило применяется, используйте поле File name . Шаблоны также могут использоваться для указания имен (например *.exe для выполняемых файлов).
FTP command — определение комманд сервера FTP, к которым применяется это фильтрация.
Any — запрещает весь траффик (любые соединения и комманды)
Scan content for viruses according to scanning rules
Используйте опцию для включения/выключения проверки на вирусы траффика FTP, который отвечает этому правилу.
Эта опция работает только для разрешающих правил — бессмысленно проверять на вирусы запрещенный траффик .
Новое правило добавляется ниже выделенного правила, при нажатии кнопки Add. Используйте кнопки справа, чтобы изменить порядок следования правил.
Используйте поля, следующие за правилами для их выключения. Ticked rules will be ignored. Это требуется, чтобы лишний раз не удалять временно не нужное правило.
Замечание:
Доступ к серверам FTP, который не отвечает ни одному из правил неявно разрешен. Для запрещения доступа ко всем серверам FTP, кроме явно разрешенных, добавьте запрещающее все соединения правило (используя шаблон "*"), в конец списка.
Опции HTTP Inspection Advanced
Нажмите кнопку Advanced на вкладке HTTP Policy, чтобы открыть диалоговое окно, где может быть настроен HTTP inspection module.
Используйте опции Enable HTTP Log и Enable Web Log для включения/отключения записи сведений о HTTP запросах в HTTP log (см. главу HTTP Log) и Web log (см. главу Web Log).
Также вы можете выбрать формат лог-файлов (Apache
лог-файл или Squid лог-файл прокси). Это важно, в случае обработки лог-файла определенным аналитическим способом.
По умолчанию, и HTTP, и Web лог-файлы записываются в формат Apache.
Используйте правила Apply filtering для локального сервера, чтобы определить, будет ли содержание правил фильтрации применяться к локальным WWW серверам, которые доступны из Internet (см. главу Traffic Policy). По умолчанию эта опция отключена — protocol inspector (инспектор протокола) сканирует только синтаксис HTTP протокола и выполняет запись сведений запросов (WWW страниц) в соответствии с настройками.
Определение URL правил
Чтобы создать новое правило, вам нужно выбрать необходимое правило и кликнуть Add для добавления в список нового правила. Потом вы сможете переупорядочить список при помощи управляющих клавиш.
Замечание: Если URL адреса не совпадают не с одним URL правилом, то они доступны для любого идентифицированного пользователя (в том числе и с любым трафиком, который разрешен по умолчанию). Когда вы хотите разрешить доступ к группе определенных web ресурсов и заблокировать доступ к остальным страницам, то правило, которое ограничивает доступ к остальным страницам должно располагаться в конце списка правил (rule list).
Воспользовавшись кнопкой Add, вы сможете открыть диалоговое окно для создания нового правила.
Откройте вкладку General (Основные настройки), чтобы определить главные правила.
Description (Описание)
Сюда входит комментарий на соответствующую функцию правила (информация для Администраторов WinRoute).
Если пользователь попытается получить доступ к определенному URL адресу то эта опция определяет к каким пользователям будет применяться данное правило:
any user (любой пользователь) — для всех пользователей, даже тех, которые не прошли процедуру Аутентификации.
selected user(s) (определенные пользователи) — для определенных пользователей и/или пользовательских групп, которые были аутентифицированы через брандмауер.
Используйте кнопку Set (Установить) , чтобы открыть окна диалога, в котором вы сможете выбрать пользователей или группы ( удерживайте кнопки Ctrl и Shift для выбора нескольких пользователей/групп за раз).
Замечание: Пользователя в системе представляет IP адрес его хоста, через который он соединен с брандмауром в данный момент. (см. главу Firewall User Authentication ).
Критерии совпадения URL адресов
Спецификация URL адреса (или группы URL адресов), к которым можно применить данное правило:
с чего начинается URL адрес — данный пункт может включать любой целый URL адрес
(т.e. www.kerio.com/index.php) или только часть URL адреса, воспользовавшись знаком "*" (полное сопоставление), чтобы заменить любое количество символов (т.e. *.kerio.com*)
адрес находится в URL группе — выбор URL группы, к которой будет принадлежать URL адрес (см. главу URL Groups)
адрес рассмотрен системой ISS OrangeWeb Filter — правило будет применяться ко всем страницам, согласованных с выбранной категорией посредством плагина ISS OrangeWeb Filter (см. главу ).
Кликните на кнопке Select Rating... , чтобы выбрать из ISS OrangeWeb Filter категорий. Читайте больше в этой главе Content Rating System (ISS OrangeWeb Filter) .
----- активировав данную опцию, пользователи не смогут обойти URL фильтры, при соединении с сайтом через IP адрес, а не через доменное имя.
Действие
Действие, которое произойдет при попытке пользователя открыть URL адрес:
Разрешить доступ к Web сайту.
Запретить доступ к Web сайту — запрашиваемая страница будет заблокирована. Пользователь будет проинформирован о том, что доступ к странице запрещен или ему будет показана пустая страница (в соответствии с настройками на вкладке Advanced — см. ниже).
Отметьте опцию Log, для записи данных о всех страницах, которые соответствуют данному правилу в Filter log (см. главу Filter Log).
Зайдите на вкладку Advanced для установки конкретных опций правила и/или настройки действий со страницами, которые были заблокированы.
Временной интервал для правила
Вы можете выбрать временной интервал, в течение которого правило будет действовать (вне пределов этого интервала - правило не работает). Воспользуйтесь кнопкой Edit для открытия окна, где могут быть установлены временные интервалы (см. главу Time Ranges).
Активная группа IP адресов
Выбор группы IP адресов, для которых можно применить правило. Поставьте опцию Any, если вы хотите использовать правило для всех клиентских адресов.
Кликните на кнопку Edit, чтобы открыть диалоговое окно, в котором вы сможете отредактировать IP адреса (см. главу Address Groups).
Активно, если тип MIME ...
Правило можно будет применить только для определенного MIME типа (например, text/html — HTML документы, image/jpeg — изображения в JPEG формате и т.д.).
Вы можете выбрать один из предопределенных MIME типов или создать новый. Знак "*" может заменить любую часть (т.е. image/*). Этот знак "*" может заменить любой MIME тип — действие правила не будет зависеть от этого.
Опции Блокирования
Дополнительные опции для страниц, которые были заблокированы. Всякий раз, при попытке пользователя открыть страницу, запрещенную каким-либо правилом, WinRoute
должен показать:
страницу с сообщением пользователю о том, что запрашиваемая страница недоступна, поскольку заблокирована запросом от брэндмауера. Также на данной странице может находится объяснительная информация о причине блокировки.
На странице с сообщением о блокировке, также должна находится кнопка Unlock, если отмечена опция Users can Unlock для правила. Воспользовавшись данной кнопкой, пользователи могут заставить WinRoute открыть нужную страницу , даже если доступ к этому сайту запрещен URL правилом. Страница будет открыта в течение 10 минут. Каждый пользователь может unlock (разблокировать) ограниченное число запрещенных страниц (до 10 страниц за раз). Все сведения о разблокированных страницах сохраняются в Filter log (см. главу Filter Log).
Замечания:
Только подписанным пользователям разрешается разблокировать правила.
Все разблокированные правила будут немедленно удалены, если произойдут любые изменения в URL правилах.
появление пустой страницы — обозначает, что пользователь не будет проинформирован об отказе в доступе к нужной странице. Вышеуказанное действие будет похоже на случай отсутствия соединения с сервером.
появление другой страницы — это перенаправление пользовательского браузера на другой URL. Данная опция полезна, если вы захотите отправить пользователя на страницу с сообщением об отказе в доступе.
Новые правила будут добавляться ниже того правила в списке, которое было выделено перед добавлением новых правил. Вы можете воспользоваться указательными клавишами, расположенными на правой стороне окна, для определения нового правила в списке.
Также вы можете использовать переключатель, который находится рядом с правилом, для временного отключения работоспособности правила. Это удобнее, чем удалять ненужное в данный момент правило, которое может понадобится впоследствии.
Замечание: Доступ к URL адресам, которые не встречаются не в одном правиле, неявно разрешен. Если вы хотите получить доступ к ограниченной группе URL адресов при отрицании всего остального, вам необходимо создать правило, которое будет запрещать доступ к любому URL адресу (используя '*') в конце списка.
Откройте вкладку Content Rules (в разделе HTTP Rules), чтобы определить конкретную информацию для содержимого правил фильтра.
WWW content scanning options (опции сканирования WWW содержимого)
В данном разделе вы можете определить дополнительные параметры для фильтрации объектов, которые содержатся в Web страницах и в свою очередь встречаются в определенном правиле (см. главу Content Rules). Данные параметры будут применяться только к тем пользователям, которым не разрешается использовать “override Content filter rules”. Пользователям разрешается отменять правила при использовании их настроек.
Может быть установлена одна из двух нижеследующих альтернатив для каждого типа объекта:
Allow (Разрешать) — данные объекты будут отображаться на экране
Deny (Запрещать) — эти объекты будут фильтроваться
Default (По умолчанию) — к таким объектам будут применяться общие правила или определенные правила отдельного пользователя (это подразумевает, что данное правило не будет затрагивать фильтрацию таких объектов)
Deny Web pages containing ...(Блокировать страницы, содержащие ...)
Воспользуйтесь данной опцией, для блокировки страниц, в которых содержатся слова/строки определенные в разделе Configuration/HTTP Policy section (см. главу Filtering by Words).
Scan content for viruses according to scanning rules (Сканировать содержимое страниц на наличие вирусов)
Сканирование Антивирусом, в соответствие с требованиями и настройками, установленными в разделе Configuration / Content Filtering / Antivirus (см. главу Antivirus Check).
Правила для содержимого
С помощью WinRoute вы можете блокировать содержимое HTML-страниц.
Для создания правил фильтрации содержимого, откройте раздел Content Rules в главе Configuration / Content Filtering/ HTTP Policy. В разделе URL Rules могут быть созданы специальные установки для индивидуальных страниц (смотри главу URL Rules).
Эти параметры применяются также к HTTP-трафику компьютеров, с которыми не соедины пользователи. Для пользователей, соединенных через брандмауэр используются специальные установки. (смотри главу User Accounts).
Разрешить HTML ActiveX объекты
Возможности Microsoft ActiveX (дефекты безопасности в течение применения этой технологии, разрешают исполнение приложений на пользовательских хостах, в отличие от других возможностей).
Разрешить HTML Script тэги
HTML <script> тэги — команды языков программирования, таких как JavaScript, VBScript, и т.д.
Разрешить HTML JavaScript pop-up окна
Новые окна открываются автоматически — обычно это коммерческие pop-up окна.
При включеной опции, метод window.open() будет блокирован WinRoute во всех скриптах .
Разрешить HTML Java апплеты
HTML <applet> тэги (Java Applet)
Разрешить inter-domain referrer
Referrer, включеный в заголовок HTTP.
заключает в себе URL предыдущей открытой страницы. Если функция Allow inter-domain referrer отключена, Referrer, включающий имя сервера, отличное от текущего HTTP-запроса, будет блокирован.
Функция Cross-domain referrer обеспечивает конфеденциальность пользователей (Referrer может отображать страницы, открываемые каждым пользователем).
Примечание: Настройки раздела Правил для содержимиого применимы к неаутентифицированным пользователям. Аутентифицированные пользователи могут устанавливать правила фильтрации на странице предпочтений (смотри главу User Preferences). Однако, пользователи, которым не разрешено менять правила WWW content
(смотри главу User Accounts) не смогут пользоваться возможностями HTML, запрещенными глобально.
Система классификации содержания (ISS OrangeWeb Filter)
Модуль ISS OrangeWeb Filter
позволяет WinRoute оценивать содержание Web-страниц. Все страницы сортируются по определенным категориям. Согласно этой классификации, доступ к странице может быть разрешен, либо отклонен.
ISS OrangeWeb Filter
используетвсемирную динамическую базу данных, включающую URL и классификацию Web-страниц. Эта база данных обеспечивается специальными серверами, выполняющими классификацию. При попытке пользователя доступа к Web-странице, WinRoute посылает запрос об этой странице. Согласно классификации страницы, пользователю будет либо разрешен, либо запрещен доступ к ней. Для ускорения оценки URL, данные, которые уже были получены ранее, могут храниться в кэше в течение определенного периода.
Примечание: The Модуль ISS OrangeWeb Filter был разработан и тестирован специально для англоязычных страниц. Эффективность его применения для неанглоязычных страниц ниже (около 70 % от общей).
URL правила
Использование URL правил позволяет Администратору ограничить доступ к некоторым ресурсам, которые не удовлетворяют определенным критериям. С помощью данных правил, вы легко можете принудить пользователя пройти процедуру Аутентификацию, переадресовав его браузер на страницу с Аутентификацией (Authentication page). (см. разделFirewall User Authentication) По умолчанию, страница с Аутентификацией открывается автоматически при попытке пользователя получить доступ к важному ресурсу.
Для настройки правил работы с URL адресами найдете вкладку URL Rules, расположенную в Configuration / Content Filtering / HTTP Policy.
Правила представлены в виде списка и просматривать данный список необходимо сверху вниз. Этот список может быть переупорядочен посредством управляющей клавиши, которая расположена с правой стороны диалогового окна. Если запрашиваемый URL адрес не подпадает под действие ни одного правило, то доступ к этому сайту разрешен. По умолчанию все URL адреса доступны для просмотра (до тех пор, пока их не ограничит URL правило).
На данной вкладке могут быть доступны следующие пункты (столбцы):
Description (Описание) — здесь описывается отдельное правило (только в виде ссылки). Вы можете использовать переключатель для включения/отключения данного правила (например на определенный промежуток времени).
Action (Действие) — действие, которое будет выполнено при осуществлении всех необходимых предпосылок. Permit (Разрешить) — страница доступна для просмотра, Deny (Запретить) — страница недоступна для просмотра и будет показано соответствующее сообщение, Drop (Бросить) — доступ к странице будет закрыт, при этом откроется пустая страница. Redirect (Перенаправить) — браузер пользователя будет перенаправлен на страницу, которая определена в правиле.
Condition (Условие) — условие, которое должно быть выполнено для применения правила (например URL адрес входит в некоторую категорию ISS OrangeWeb Filter БД и т.д.).
Properties (Свойства) — дополнительные опции для правила (например Антивирусная проверка, фильтрация информации и т.д.).
IP Groups (Группа IP адресов) — группа адресов, к которым можно применить данное правило. В группу IP входят адреса клиентов (рабочие станции пользователей, которые выходят в Internet через WinRoute).
Valid Time (Время действия) — это временной интервал, в течение которого может применяться правило.
Users List (Список пользователей) — в эту категорию входят списки отдельных пользователей и групп, к которым можно применить данное правило.
Замечание: Установленная по умолчанию версия WinRoute, сразу же поддерживает несколько правил по работе с URL. По умолчанию правила не действуют. Администраторы WinRoute, по своему желанию, могут активировать или отредактировать их.
Ввод в действие ISS OrangeWeb Filter
Для применения классификации Web-сайтов модулем ISS OrangeWeb Filter, необходимо настроить все соответствующие параметры, и запустить его. Для более детального ознакомления, смотри .
Всякий раз, когда WinRoute выполняет правила URL по классификации страниц, ISS OrangeWeb Filter plug-in оценки содержания активируется. Его использование лучше объяснить на примере, описывающим правило, запрещающее пользователям доступ к страницам, содержащим предложения о работе.
В разделе URL Rules в Configuration / Content Filtering / HTTP Rules должны быть определены следующие параметры:
Система оценки ISS OrangeWeb Filter считается ключевым параметром. URL каждой открытой страницы будет оцениваться модулем ISS OrangeWeb Filter. Доступ к страницам, совпадающим с категорией оценки, включенной в базу данных, будет запрещен.
Для того чтобы открыть диалог, где можно задать оценочные категории ISS OrangeWeb Filter, используйте кнопку Select Rating. Выберите оценочную категорию Job Search (страницы, включающие предложения о работе).
Примечания:
Для того чтобы отметить все пункты выбранной категории, используйте кнопку Check. Вы можете отключить все пункты в категории, отметив Uncheck.
Мы рекомендуем сделать доступной кнопку Unlock для правил системы ISS OrangeWeb Filter
(пользователи могут разблокировать это правило в разделе Advanced). Эта функция позволит пользователям разблокировать некорректно классифицированные страницы.