Kerio WinRoute Firewall 6.0

         

Антивирусная проверка Email (Email scanning)


Проверка на вирусы протоколов SMTP и POP3 настраивается через эту вкладку. Если проверка включена хотя бы для одного из этих протоколов, все приложенные файлы проверяются для сообщений по умолчанию.

Предупреждение:

Антивирусная программа в WinRoute может обнаружить и заблокировать инфицированные сообщения. Приложенные файлы не могут быть ей вылечены!

Дополнительные настройки и определение действий,принимаемых при обнаружении вируса, могут быть определены во вкладке Email scanning .

В секции Specify an action which will be taken with attachments... section, можно определить следующие действия когда в сообщении обнаружен вирус:

Forward unmodified messages to email address —подозрительные сообщения будут посылаться на определенный адрес email (обычно адрес администратора сети). Администратор может попытаться вылечить инфицированные файлы, и отправить их изначальным адресатам.

Замечаеие:

Для посылки email , сервер SMTP Relay Server  должен быть соответствующе настроен в 

WinRoute

— см. главуSMTP Relay.

Move message to quarantine — подозрительные сообщения помещаются в предопределенную директорию на хостеWinRoute. Администратор

WinRoute

может попытаться вылечить зараженные файлы и позже послать их изначальным адресатам.

Для карантина существует специальная директория  quarantine находящаяся в главной директории

WinRoute.

(по умолчаниюC:\Program Files\Kerio\WinRoute Firewall\quarantine by default). Сообщения с подозрительными приложенными файлами помещаются в эту директорию, им присваиваются автоматически сгенерированные имена. Имя включает в себя информацию о протоколе, дате, времени и номере соединения, используемого для пересылки сообщения.

Замечание:

Вне зависимости от действия которое указано, приложенный файл всегда удаляется и предупреждение присоединяется к сообщению вместо него.

Используйте секцию TLS connections section для настойки файервола в случае когда  клиент и сервер mail  поддерживают протокол TLS-secured SMTP .





HTTPи FTP сканирование на вирусы


Файлы передающиеся как по HTTP так и  FTP сканируются на вирусы. Передаваемые данные кэшируются и проверяются антивирусом. Если вирус найден,

WinRoute

не пересылает последние кэшированные части файла клиенту, и удаляет их. Это означает, что клиент получает поврежденные файла, которые не могут быть запущены и следовательно вирус не может заразить компьютер клиента.

Предупреждение:

Цель антивирусной проверки только обнаружение вируса, но не лечение зараженных файлов!

Если антивирусная проверка выключена в правилах фильтрации (filtering rules) HTTP и FTP , объекты и файлы соответствующие этим правилам не проверяются на вирусы. Подробнее см. URL Rules и FTP Policy.

Для настройки антивирусной проверки в HTTP и  FTP, откройте вкладку "HTTP, FTP scanning"  в Configuration / Content Filtering / Antivirus.

Используйте пункт If a virus is found...  для определения предпринимаемых действий, в случае обнаружения  вируса в передаваемом файле:

Move the file to quarantine — файл будет сохранен в определенной директории, на компьютере где запущен

WinRoute. Администратор

WinRoute

может позже попытаться вылечить файл, используя антивирусную программу и, если файл восстановится , администратор может переслать его пользователю, который пытался его скачать.

Карантинная директория в директории

WinRoute

 используется для карантина 

( по умолчанию используетсяC:\Program Files\Kerio\WinRoute Firewall\quarantine ). Инфицированные файлы (файлы которые могут быть заражены) сохраняются в этой директории со сгенерированными автоматически именами. Имя каждого файла включает, информацию о протоколе, времени и дате передачи, номере соединения использованного для передачи файла.

Предупреждение:  Когда обрабатываете файлы в карантинной директории будьте внимательны, чтобы не активировать вирусы.

Alert the client —

WinRoute


ставит в известность пользователей, кто пытается закачать зараженный файл, по email. Письмо содержит информацию, что данный файл был заражен и загрузка была прервана в целях безопасности.

Предупреждающие сообщения могут быть посланы в том случае если только выполняются условия: пользователь прошел аунтефикацию и присоединен к

WinRoute, его корректный email указан в информации о пользователе (см.User Accounts ) и правильно настроен сервер SMTP для рассылки предупреждений (см.SMTP Relay).

Замечание:

Вне зависимости от того включена ли опция 

Alert the client

, предупреждения могут посылаться на определенный адрес (например адрес сетевого администратора) когда вирус обнаружен. Подробнее смотрите главуAlerts.

Если в передаваемом  файле нельзя осуществить антивирусную проверку (файл сжат, защищен паролем или поврежден) могут быть приняты следующие действия:

Deny transmission of the file —

WinRoute 

 будет счить, что файл заражен и прервет его передачу.

Совет:

Рекомендуется совмещать эту опцию с опцией Move the file to quarantine (переместить файл в карантинную директорию)— чтобы администратор

WinRoute

мог разархивировать файл и проверить на вирусы, в случае если файл необходим пользователю .

Allow the file to be transferred —

WinRoute

считает, что защищенные и архивированные  файлы не заражен.

В целом эта опция не безопасна. Как бы там ни было, она может оказаться полезной, в случае когда пользователь пытается скачать большое количество сжатой, защищенной паролем информации и антивирус установлен на компьютере пользователя.


Как выбрать и установить антивирус


Для выбора антивируса, откройте раздел Antivirus в Configuration / Content Filtering / Antivirus.



Настройки антивируса


Отметьте пункты части Settings раздела Antivirus для возможности проверки антивируса на индивидуальные протоколы.

Параметры для сканирования HTTP и FTP могут быть установлены в HTTP and FTP scanning (смотри главу HTTP and FTP scanning), а для сканирования SMTP и POP3 используется раздел Email scanning (смотри главу Email scanning).



Правила сканирования HTTPи FTP


Эти правила определяют в каких случае проводится антивирусная проверка. По умолчанию сканируются (если нет правил), все файлы, передаваемые по HTTP и FTP.

Замечание:

WinRoute

содержит несколько предопределенных правил для сканирования HTTP и FTP. По умолчанию проверяются все выполняемые файлы и все файлы

Microsoft Office.

 Администратор

WinRoute

может менять эти установки.

Сканирующие правила упорядочены  в списке и применяются сверху вниз. Кнопками справа можно менять порядок правил. Когда правило соответствующее файлу найдено,  выполняется определенное действие и поиск в правилах прекращается.

Новые правила могут быть созданы в диалоге , который открывается при нажатии кнопки Add.


Description

Описание правила (только для администратора

WinRoute)

Condition

Состояние правила

HTTP/FTP filename — эта опция фильтрует файлы с определенными именами (не полными URL),  передаваемых по FTP и HTTP (например   *.exe, *.zip, и т.д.).

Если шаблон *  указан в правиле, оно применяется для любого файла передаваемого по  HTTP или FTP.

Другие две опции которые могут применяться только к HTTP протоколу:

MIME type — MIME тип, может быть определен как для полного выражения  (например image/jpeg )  так и как шаблон( например. application/*).

URL — URL файла (например www.kerio.com/logo.gif ), строка указанная шаблоном (например *.exe ) или имя сервера(например www.kerio.com). Имя сервера представляет собой произвольныый URL, соответствующего сервера (www.kerio.com/*).

Замечание:

Если для MIME типа и для URL указан шаблон  *,  правило применяется к любому файлу HTTP.

Action

Настройки этой секции определяют будет ли файл сканироваться.

Если опция Do not scan alternative включена, антивирусная проверка выполняться не будет.

Новое правило добавляется сразу после выделенного правила. Вы можете использовать кнопки справа, для изменения порядка следования правил в списке.

Каждое правило имеет галочку (Check box) для выключения. Правила могут быть выключены временно, поэтому нет необходимости удалять их, а потом создавать аналогичные.

Замечание:

Если объект не соответствует ни одному из правил, он будет сканирован автоматически. Если сканируется только выделенный тип объектов,  в конце списка  должно быть указано правило, выключающее сканирование произвольных URL и  MIME типов,  (используйте предопределенное правило: Skip all other files rule).



Проверка на вирусы


Содержание

Как выбрать и установить антивирус

Сканирование HTTPи FTP

Сканирование почты

WinRoute обеспечивает проверку на вирусы объектов (файлов) передаваемых по HTTP, FTP, SMTP и POP3 протоколам. В случае  HTTP и FTP протоколов, администратор

WinRoute

может указать какие типы файлов сканировать на вирусы.

Любая поддерживаемая антивирусная программа может быть используема для проверки на вирусы.

WinRoute

поддерживает несколько антивирусных программ разрабатываемых различными компаниями, такими как Eset Software, Grisoft, F-Secure, и т.д.  Антивирусные лицензии должны соответствовать лицензионной политике компании(обычно лицензии ограниченны , тем же количеством пользователей или большим количеством чем позволяет лицензия для 

WinRoute, или лицензия сервера).

Как бы там ни было, версии и лицензии поддерживаемых антивирусов могут меняться. Для наиболее свежей информации обращайтесь по ссылке  (http://www.kerio.com/kwf).

Специальная версия 

WinRoute

распространяется с интегрированным антивирусом

McAfee.  Отдельно антивирус 

McAfee Anti-Virus

не входит в  число поддерживаемых 

WinRoute.



Внешний антивирус


Для использования внешнего антивируса, отметьте опцию Использовать внешний антивирус, раздела Antivirus и выберите антивирус из combo box. Это окно обеспечивает все внешние антивирусные программы, поддерживаемых в WinRoute с помощью специальных plugin.

Предупреждение: Внешние антивирусы должны быть установлены перед их установкой, в противном случае они будут недоступны. Также рекомендуется остановить службу WinRoute Firewall Engine перед установкой антивируса.

Для установки дополнительных параметров выбранного антивируса используйте кнопку Опции. Диалоги между каждым антивирусом различны (некоторые антивирусные программы не требуют дополнительных настроек). Для более подробной информации об установке и конфигурации индивидуальных антивирусных программ, смотри http://www.kerio.com/kwf.

Для проверки выбранного антивируса, щелкните Применить. Если тест прошел успешно, антивирус начнет работать с момента его включения. Если нет, то вы получите сообщение об ошибке, а антивирус не будет установлен. Подробная информация о нарушении будет внесена в журнал регистрации ошибок (смотри главу Error Log).



Встренный McAfee


Для запуска встроенного антивируса McAfee, выберите Use встроенного механизма McAfee в разделе Antivirus. Эта опция доступна до тех пор, пока лицензионный ключ для WinRoute включает в себя лицензию на использование антивируса McAfee, либо в пробной версии. Для более полной информации о лицензии, смотри главуRegistration and Licensing Policy.

Для обновления параметров для McAfee, используйте Integrated antivirus engine в разделе Antivirus. .


Проверка на обновление каждые ... часов

Период времени между проверками на обновление базы данных вирусов и антивирсного механизма (в часах). Если обновления доступны, WinRoute

загрузит их автоматически.

Если произошел сбой попытки обновления (то есть сервер недоступен), то подробная информация об этой попытке будет внесена в журнал регистрации ошибок (смотри главу Error Log).

Каждая загрузка (обновление) устанавливает значение выполнения проверки на последнее обновление на ноль.

Последнее обновление было произведено...

Информация о последнем обновлении.

Примечание: Если значение слишком высоко, то это может означать, что при обновлении базы данных, несколько раз происходил сбой. В таком случае, мы рекомендуем вам произвести обновление вручную, щелкнув кнопку Обновить и проверить журнал регистрации ошибок.

Выполнена проверка последнего обновления

Время, прошедшее с проверки последнего обновления.

Версия базы данных вирусов

Версия используемой базы данных.

Версия механизма сканирования

Версия механизма сканирования McAfee, используемая WinRoute.

Обновить

Нажмите кнопку для немедленного обновления базы данных вирусов и механизма сканирования.

После запуска проверки на обновление нажатием кнопки Обновить, откроется окно, отображающее процесс обновления. Вы можете закрыть его, нажав кнопку OK — нет необходимости ждать до завершения обновления.

При успешном обновлении покажется номер версии новой базы данных вирусов или/и новая версия антивируса, а также информация о возрасте текущей базы данных вирусов. Если произойдет сбой обновления (то есть сервер недоступен), появится отчет об ошибке и подробная информация о попытке обновления будет внесена в журнал регистрации ошибок.

После выполнения проверки на обновление, данные о последней выполненной проверке на обновление сбрасываются.



Dial-up


Все RAS-линии, заданные в WinRoute, перечислены на странице Dial-up (смотри главу  Interfaces). Каждый dial-up обеспечивает следующую информацию:

Статус Dial-up — Разъединенный, Соединение (связь устанавливается), Соединенный, Разъединение (связь прекращается).

Команда — Набор или Отбой (статус линии).

Примечание: Страница Dial-up обновляется автоматически через определенные интервалы времени. Это обеспечивает отображение только текущего статуса dial-up.

Эта страница доступна любому пользователю (регистрация не требуется); однако, при командах Набор или Отбой, требуется аутентификация. Для контроля dial-up, пользователям необходимы специальные права (опция User can dial находится в разделе конфигураций — смотри главу User Accounts).



Языковые предпочтения web интерфейса


Web интерфейс WinRoute's доступен на разных языках. Язык устанавливается автоматически согласно предпочтениям каждого пользователя, указанным в web браузере (эта функция доступна в большинстве браузеров). Если языковые предпочтения недоступны, будет исопльзоваться английский.

Индивидуальные языковые версии сохраняются в файлах определений в субдиректории weblang под директорией WinRoute. Каждый язык представлен двумя следующими файлами: xx.def и xx.res. Строка хх определяет стандартный язык и состоит из двух знаков (т.е. en обозначает английский, и т.д.). Первые ряды xx.def включают соответствующую аббревиатуру языка (эквивалентную аббревиатуре в имени файла). Второй ряд содержит кодировку, используемую для соответствующего языка (т.е. для английского это windows-1251). Эта кодировка должна использоваться для обоих языковых файлов.

Администраторы WinRoute могут легко изменять тексты страниц web интерфейса или создавать новые языковые версии.

Примечание: изменения в файле xx.def file вступят в силу после перезапуска Брандмауэра WinRoute.



Настройка параметров web интерфейса


Чтобы определить параметры web интерфейса WinRoute, нужно перейти к папке Web Интрефейса в Настройках/Продвинутых опциях (Configuration / Advanced Options).


Активизировать web интерфейс (Enable Web Interface (HTTP))

Эта опция активизирует кодированную (HTTP) версиюWeb интерфейса (для этого интерфейса по умолчанию используется порт 4080).

Активизировать web интрефейс через SSL (HTTPS) (Enable Web Interface over SSL (HTTPS))

Эта опция активизирует кодированную (HTTPS) версию Web интерфейса (по умолчанию для этого интерфейса используется порт 4081).

Имя сервера WinRoute (WinRoute server name)

Имя сервера DNS, которое будет использоваться для web интерфейса (например, server.company.com). Имя не обязательно должно быть идентично имени узла, но в DNS должна быть соответствующая запись, позволяющая необходимое разрешение имени.

Примечание: если все клиенты, имеющие доступ к web интерфейсу, используют в качестве DNS сервера DNS Форвардер WinRoute, то добавлять DNS имя сервера не обязательно. Имя будет уже известно и связано с именем локального домена — см. главу DNS Форвардер).

Разрешить доступ только с локальных IP адресов (Allow access only from these IP addresses)

Выделите IP адреса, которым всегда будет разрешена связь с web интерфейсом (обычно это узлы локальной сети). Можно также щелкнуть кнопку Правка (Edit), чтобы редактировать выбранные группы IP адресов или чтобы создать новую IP группу (подробнее см. в главе Группы адресов).

Примечание: ограничения доступа применяются и к кодируемым, и к некодируемым версиям web интерфейса.

В опциях SSL вы можете посмотреть страницы, к которым будут перенаправляться пользователи, если брандмауэр потребует аутентификацию (см. главу  Аутентификация пользователей).

Не использовать SSL-безопасный интерфейс— пользователи будут перенаправляться на некодируемую страницу аутентификации.

Предупреждение: эта опция не слишком безопасна (т.е. пароль пользователя может быть перехвачен). Однако, ее можно совершенно безопасно использовать в локальной сети под защитой брандмауэра. Эту опцию также необходимо использовать, если недоступен действующий SSL сертификат, или при наличии других технических проблем.

ИспользоватьSSL-безопасный интерфейс только для страниц регистрации— пользователи будут автоматически перенаправляться на безопасную страницу аутентификации. Другие страницы web интерфейса (например, отказ информации, предупреждение об ошибке и др.) не будут кодироваться.

Всегда использовать SSL-безопасный web интерфейс— кодированная версия будет использоваться для всех страниц web интерфейса.



Параметры Cache


Щелкните more information link для просмотра таблиц, описывающих следующие возможности:

Количество сохраненных файлов, общего размера всех файлов и среднего размера файла

Таблица распределения размера файлов (по 1 KB)

Количество объектов, найденных или не найденных в cache

Информация о сопровождении cache (количество обслуживаний, время с последнего обслуживания и его продолжительность)



Поиск в cache


Использование URL: текстовое поле с кнопкой Dump для поиска объектов, подходящих соответствующему URL. Найденные объекты отображаются в таблице (до 100 пунктов). Каждый пункт содержит размер объекта, время жизни (TTL) в часах и кнопку Delete, для удаления объектов из cache.

Все объекты, соответствующие определенному URL, могут быть удалены из cache при помощи кнопки Delete all (не только пункты, отображенные в таблице, если более 100 пунктов подходит соответствующему URL).

Совет: Все пункты могут быть удалены из cache вставкой только одной звездочки (*) в URL: текстовое поле и использвание кнопки Delete all.



Предпочтения пользователя


Если пользователь открыл пользовательское меню (отметив опцию на регистрационной странице), то он будет автоматически перенаправлен на страницу меню пользователя. Эта страница имеет (кроме прочего) ссылки на:

ранее просмотренные страницы URL — если регистрационная страница не отображалась автоматически, этот пункт будет пустым.

страница предпочтений пользователя (User Preferences)

страница статистики пользователя (Statistics)


Первая часть страницы позволяет администратору разрешить или запретить определенные черты WWW страниц.


Фильтр контента (Content filter options)

Если этот пункт отмечен, то данная функция будет доступна (не будет блокироваться брандмауэром).

Если в параметрах учетной записи пользователя определенные свойства отключены (см. главу  Учетная запись пользователя), то соответствующий пункт на этой странице будет неактивен (пользователь не сможет изменить настройки этого пункта). Пользователи могут лишь изменять настройки в сторону усиления ограничений. Другими словами, пользователи не могут активизировать пункт HTML, запрещенный для них администратором.

Всплывающие окна - автоматическое открытие новых окон в браузере (обычно это реклама).

Эта опция блокирует window.open() метод в скрипте.

ActiveX — свойство Microsoft ActiveX (эта технология позволяет, например, работу приложений на узле клиента)

Эта опция блокирует HTML теги <object> и <embed>

Java -приложение блокирует HTML тег <applet>

Скрипты — блокирует HTML тег <script> (команды JavaScript, VBScript и др..)

Перекрестные ссылки доменов — блокирует пункты ссылок (Referrer) в заголовках HTTP. Этот пункт включает страницы, просмотренные до текущей страницы. Данная опция блокирует пункт " Referrer", если этот пункт не соответствует требуемому имени домена.

Блокада перекрестных ссылок доменов защищает конфиденциальность пользователя (пункт Referrer можно отслеживать, чтобы определить посещаемые пользователем страницы).

Сохранить настройки (Save settings)

Щелкните на этой кнопке, чтобы сохранить настройки.

Отменить (Undo changes)

Эта кнопка позволяет восстановить предыдущие настройки.

Примечание: изменения настроек фильтра контента в учетной записи пользователя будут действовать при следующей регистрации пользователя.

Пароль пользователя можно изменить в нижней части страницы:

Чтобы изменить пароль, введите текущий пароль, новый пароль и подтвердите новый пароль в соответствующих полях. Сохраните новый пароль, нажав кнопку Изменить пароль (Change password).

Предупреждение: пароль можно изменить, только если пользователь настроен во внутренней базе данных WinRoute (см. главу  Учетные записи пользователя). При использовании другого метода аутентификации, Брандмауэр WinRoute не сможет изменить пароль. Тогда раздел Изменить пароль пользователя (Change user password) не будет отображаться на странице предпочтений пользователя.



Просмотр Web Политики


Щелкните на ссылке Web политики на любой странице Web Интерфейса WinRoute, чтобы увидеть текущие правила и ограничения доступа к Web страницам. Эта политика отностися к соответствующему пользователю и узлу. Если нет соединений ни с каким пользователем, будут отображаться установки ограничений для IP адреса узла, которые используются для связи с Web Интерфейсом.

Чтобы получить более подробную информацию о правилах доступа к Web страницам, обратитесь к главе Правила URL.



Регистрационная страница


Страница аутентификации, через которую пользователи открывают брандмауэр через имя и пароль.

Если пользователь перенаправлен к странице автоматически (после ввода URL страницы, для которой требуется аутентификация), то после успешной регистрации он будет перенаправлен обратно к запрашиваемому им сайту. В противном случае, будет открыта ссылочная страница, с которой пользователь может открывать другие страницы Web-интерфейса (например, избранное, управление соединением, управление кэшем, и т.д.). Для более полной информации, смотри следующие главы.



Сертификат сервера SSL


Принцип кодированного web интерфейса WinRoute базируется на том, что все коммуникации между клиентом и сервером кодируются, чтобы защитить их от перехвата и несанкционированного использования. Протокол SSL сначала использует асимметричную кодировку, чтобы облегчить обмен симметрично кодированного ключа, который будет потом использоваться для кодировки передаваемой информации.

Для асимметричной кодировки используются два ключа - общий для кодировки и частный для расшифровки. Общий (кодирующий) ключ доступен всем пользователям, которые хотят связаться с сервером, а частный (расшифровывающий) ключ доступен только для сервера и должен оберегаться. Клиенту необходимо идентифицировать сервер. Для этого существует так называемый сертификат. Сертификат содержит общий ключ сервера, имя сервера, информацию о достоверности и другие данные. Чтобы проверить достоверность сертификата, последний должен быть удостоверен и подписан третьей стороной -органом управления сертификатами.

Коммуникация между клиентом и сервером происходит следующим образом: клиент генерирует симметричный ключ и кодирует его с помощью общего ключа сервера (получаемого из сертификата сервера). Сервер расшифровывает сообщение с помощью частного ключа. Следовательно, только эти две стороны знают симметричный ключ.



Создание или импорт сертификата


WinRoute предлагает для теста образец сертификата. Его можно найти в файле server.crt в субдиректории sslcert в директории WinRoute. Другой файл (server.key) включает частный ключ сервера. Этот сертификат идентичен во всех приложениях WinRoute. Это значит, что будут работать только кодированные службы, но практически безопасность не гарантируется (частный ключ знают все - поэтому любой пользователь может расшифровать общие коммуникации).

Щелкните Изменить сертификат SSL (Change SSL certificate) (в диалоге продвинутых установок web интерфейса), чтобы увидеть диалог текущего сертификата сервера. Выбрав опцию Поле (Field) (запись сертификата), вы можете просмотреть информацию о том, кто выпустил сертификат (Issuer) или о предмете (Subject), который представляет ваш сервер.

Чтобы получить собственный уникальный сертификат, который будет использоваться для проверки подлинности вашего сервера, можно воспользоваться одним из нижеописанных методов.

Чтобы создать свой собственный (подписанный вами) сертификат, щелкните кнопку Сгенерировать сертификат (Generate certificate) в диалоге текущего сертификата сервера. Введите требуемые данные о сервере и вашей компании. Требется заполнить только поля, отмеченные звездочкой (*).

Щелкните ОК, чтобы увидеть диалог сертификата сервера SSL. Сертификат запустится автоматически (перезагружать компьютер не надо).

Новый (подписанный вами) сертификат будет уникальным. Он создан вашей компанией, адресован вашей компании и базируется на имени вашего сервера. В отличие от тестовой версии, этот сертификат гарантирует безопасность ваших клиентов, т.к. только вам известен личный ключ. Достоверность вашего сервера гарантируется этим сертификатом. Клиенты в своих браузерах увидят, что авторитетность сертификата ненадежна, но они установят его в браузерах, т.к. доверяют владельцу сертификата. Это гарантирует безопасные коммуникации, и больше не будут появляться предупреждения, т.к. сертификат имеет все необходимые характеристики.

Другая возможность -получить подписанный сертификат у авторитетной компании (например, Verisign, Thawte, SecureSign, SecureNet, Microsoft Authenticode и др.). Процесс сертификации очень сложен и требует специальных технических знаний. Для получения подробных инструкций обратитесь в службу технической поддержки Kerio.



Статистика пользователя


На странице статистики пользователя (User statistics page) показывается следующая информация :

Login information — имя пользователя, IP адрес с которого пользователь зашел на сервер, время нахождения пользователя на сервере и способ логина  (SSL — защищенное соединение; Plaintext — незащищенное соединение; NTLM — аунтефикация пользователя операционной системы Windows NT или Windows 2000, Proxy — аунтефикация пользователя  прокси сервером WinRoute);

Traffic Statistics — размер входящего и исходящего траффика (в байтах) и количество HTTP запросов;

Content filter statistics — количество отфильтрованных файлов для каждого типа (см. выше).

Вся информация записывается и измеряется после первого захода пользователя на сервер . Все данные стираются после того как пользователь уходит с сервера  или после того как WinRoute Firewall Engine

перезапускается.



Управление HTTP Cache


Для просмотра и/или удаления объектов, содержащихся в HTTP cache, откройте раздел Cache. Откройте страницу Cache content Web-интерфейса WinRoute для просмотра и/или удаления объектов HTTP cache. Эту страницу могут открывать только пользователи, имеющие права чтения конфигурации WinRoute (либо вводом URL напрямую, либо используя Cache link внизу любой страницы Web-интерфейса) (если пользователь еще не аутентифицирован, будет выполнена автоматическая переадресация на страницу аутентификации). Для удаления объектов из cache, требуются права администратора. Для просмотра подробной информации о правах доступа пользователя, смотри главуUser Accounts.

Примечание: Для информации о задании параметров HTTP, смотри главу HTTP cache.



Web-интерфейс и аутентификация пользователя


Содержание

Конфигурирование параметров Web-интерфейса

Безопасная аутентификация пользователя

Избранное

Данные пользователя

Обзор Web-политики

Соединение

Управление HTTP-кэшем

WinRoute содержит  специальный Web-сервер, который может использоваться для нескольких целей, например, интерфейс пользовательских соединений, контроль dial-up или управление кэшем. Этот Web-сервер доступен при использовании SSL или стандартного HTTP без кодирования (оба варианта содержат одинаковые страницы).

Список индивидуальных страниц URL смотри ниже ('server' ссылается на имя или IP-адрес хоста WinRoute, 4080, представляющего  стандартный HTTP-порт).

главная страница (Index) — включает только links перечисленных ниже страниц

https://server:4080/

аутентификация пользователя брандмауэром (страницы login и logout)

http://server:4080/fw/login

http://server:4080/fw/logout

изменение пользовательской конфигурации (пароль, глобальные ограничения доступа к WWW-страницам, и т.д.)

http://server:4080/fw/pref

обзор пользовательской статистики (то есть IP-адрес, время регистрации, размер переданных данных, количество фильтрованных объектов и т.д.)

http://server:4080/fw/stat

набор и разъединение dial-up

http://server:4080/fw/dial

обзор статистики кэша HTTP с функциями удаления и поиска сохраненных объектов

http://server:4080/fw/cache

обзор правил HTTP (смотри главу URL Rules) не относится к пользователям или хостам, соединяющихся через Web-интерфейс

http://server:4080/fw/http_restr

Для использования кодированной версии, определите HTTPS-протокол и номер порта, использующего кодированный Web-интерфейс (по умолчанию 4081) — например

https://server:4081/fw/login



Web интерфейс: продвинутые опции


Продвинутые параметры web интерфейса можно настроить, щелкнув на кнопке "Продвинутые" (Advanced).


Порты TCP

Этот раздел позволяет определить порты для кодируемой и некодируемой версии web интерфейса (по умолчанию порт для некодируемой версии web интерфейса - 4080, а для кодируемой - 4081).

Подсказка: Если на узле WinRoute не работает никакой WWW сервер, для web интерфейса можно использовать стандартные порты (т.е. 80 для HTTP и 443 для HTTPS). В этом случае в URL для страниц web интерфейса номер порта не требуется.

Предупреждение: если в какой-то записи указан порт, используемый другим сервером или приложением, и если нажать кнопку Применить (Apply) (в Настройках/Продвинутых опциях (Configuration / Advanced Options)), то WinRoute примет этот порт, но web интерфейс на этом порту работать не будет. В результате появится следующая запись об ошибке (см. главу Записи об ошибках):

Socket error: Unable to bind socket for service to port 80.

(5002) Failed to start service "WebAdmin"

bound to address 192.168.1.10.

Если вы не уверены, что указанные порты свободны, то после щелчка на кнопке "Применить" проверьте Записи ошибок (Error log) и посмотрите, не появилась ли соответствующая запись.

Cертификат SSL

В этом разделе дана базовая информация (имя сервера, название организации, выпустившей сертификат) об используемом сертификате SSL. Щелкните кнопку Изменить сертификат SSL (Change SSL certificate), чтобы создать новый сертификат или импортировать сертификат, выпущенный авторитетной фирмой.



Защитная аутентификация пользователя


WinRoute позволяет администраторам контролировать соединения (фильтрация пакетов, соединений, Web-страниц или FTP-объектов и команд), относящиеся к каждому пользователю. Имя пользователя каждого правила фильтрации представляет IP-адрес хоста, через который пользователь соединен.

Вдобавок к аутентификации, основанной на ограничении доступа, login пользователя может быть использован для эффективного контроля активности использования регистрационных данных (смотри главуLogs), статуса (смотри главу Connection Overview) хостов и пользователей (смотри главу Hosts and Users). Если через определенный хост не соединен ни один пользователь, в окне регистраций и статистик будет отображен только IP-адрес хоста.

Пользователь может соединиться:

вручную — пользователь откроет страницу в браузере

http://server:4080/fw/login

(имя сервера и номер порта являются примерами — смотри главу Web Interface and User Authentication)

переадресация — доступом к любому Web-сайту (пока доступ к этой странице разрешен неаутентифицированным пользователям — смотри главу  URL Rules)

используя NTLM— при использовании Microsoft Internet Explorer

или Mozilla

и, если пользователь аутентифицирован в домене Windows NT или Active Directory, то он может быть аутентифицирован автоматически (регистрационная страница не отображается).

Примечание: Для повышения безопасности, браузер Mozilla не отсылает регистрационные данные серверу автоматически.  Вместо этого открывается окно диалога, в котором требуется подтверждение отправки регистрационных данных.

Для более полной информации смотри раздел User Authentication Options.

Регистрация при переадресации выполняется следующим образом: пользователь вводит URL-страницы, которые он/она намеревается открыть в браузере. WinRoute

определяет, аутентифицирован ли пользователь. Если нет, WinRoute перенаправит пользователя к регистрационной странице автоматически. После успешной регистрации, пользователь автоматически перенаправляется к запрошенной странице или к странице с информацией, доступ к которой был запрещен.

Примечание: Если к параметрам Web-интерфейс применена опция Do not use SSL-secured interface, (смотри главу Web Interface Parameters Configuration), пользователи автоматически будут перенаправлены к кодированной регистрационной странице. Если нет, пользователи будут перенаправлены к некодированной регистрационной странице.



Адресные группы


Адресные группы позволяют администратору легко задать ограничение доступа к определенным службам, таким как удаленное управление. При конфигурировании, каждой группе дается имя. Группы могут включать сочетания IP-адресов, IP-диапазонов, IP-подсетей или даже других групп.



Добавление или редактирование адресных групп


Вы можете задать адресные группы в Configuration / Definitions / Address Groups.

Щелкнув кнопку Add, вы можете добавить новую группу или запись к группе. Кнопка Edit открывает диалог редактирования, а Remove - удаляет группу или выбранную запись.

При нажатии кнопки Add, появится диалог добавления новой адресной группы.


Имя

Имя группы. Добавьте новое имя для создания новой группы. Вставьте имя группы для того, чтобы добавить новую запись к существующей группе.

Тип

Тип новой записи:

Хост (IP-адрес или DNS-имя определенного хоста)

Сеть / Маска (подсеть с соответствующей маской)

Сеть / Диапазон (IP-диапазон)

Адресная группа (другая группа IP-адресов — группы могут располагаться последовательно)

IP-адрес и маска

Параметры новой записи (относятся к выбранному типу).

Описание

Описание адресной группы. Комментирии для администратора.

Примечание: Каждая IP-группа должна включать, по крайней мере, одну запись. Группы без записей удаляются автоматически.



Группы URL


Группы URL позволяют администраторам легко создавать правила HTTP (смотри главу URL Rules). Например, для запрещения доступа к определенной группе Web-страниц, вы можете просто зaдать группу URL и назначить допуски для всей URL-группы, а не создавать разрешения для каждого правила URL.

Группы URL могут быть заданы в разделе Configuration / Definitions / URL Groups.

Отметьте или снимите метки с полей согласования каждого URL, для включения или отключения соответствующего URL. Таким способом вы можете дезактивировать URL без надобности их удаления и назначения позже опять.

Примечание:WinRoute

уже включает определенные URL-группы по умолчанию:

Ads/Banners - URL страниц, содержащих рекламу, баннеры и т.д.

Для создания новой группы или добавления нового URL к существующей группе, щелкните кнопку Add.


Группа

Имя группы, к которой будет добавлен URL. Эта опция позволяет администратрам:

выбрать группу, к которой будет добавлен URL.

добавить имя для создания новой группы, в которую будет включен URL.

URL

URL, который будет добавлен к группе.

полный адрес сервера, документ или web-страница без протокола спецификации (http://)

использование подстроки со специальными знаками * и ?. Звездочка означает любое количество цифр,  знак вопроса означает одну цифру.

Примеры:

www.kerio.cz/index.php — частная страница

www.* — все URL-адреса начинаются с www. www.*

www.kerio.com — все URL сервера www.kerio.com (эта строка адекватна строке www.kerio.com/*)

*sex* — все URL-адреса, содержащие строку sex

*sex??.cz* — все URL-адреса, содержащие подобные строки sexxx.cz, sex99.cz, и т.д.

Описание

Описание URL (комментарии и заметки для администратора).



Интервалы времени


Интервалы времени в WinRoute имеют непосредственное отношение к политике трафика (смотри главуTraffic Policy). WinRoute

позволяет администраторам установить периоды времени, в которые будут применяться соответствующие правила. Фактически, они являются группами, состоящими из любого количества различных интервалов и одиночных действий.

При использовании периодов времени, вы можете также установить параметры dial-up — смотри главу Interfaces.

Для их установки откройте Configuration / Definitions / Time Ranges.



Определение интервалов времени


Вы можете создавать, изменять или удалять интервалы в Configurations / Definitions / Time Ranges.

Для открытия диалога установки интервалов, щелкните кнопку Add:


Имя

Наименование (идентификация) интервала. Для создания нового имени просто впишите его. Введите имя существующего интервала, для того чтобы добавить новую запись к нему.

Описание

Описание интервала, только для администратора

Тип интервала

Интервалы могут быть типа: Дневной, Недельный или Абсолютный. Последний тип задается пользователем.

От / До

Эта функция помогает определить время начала и окончания действия интервала. Способ задания величин (часы, дни или даты) зависит от выбранного типа интервала.

Период действия в днях

Определяет период действия интервала. Вы можете выбрать определенные дни недели (Выбранные дни) или использовать одну из установленных опций (Все дни, Рабочие дни — с Понедельника по Пятницу, Выходные — Суббота и Воскресенье).

Примечание:

Каждый интервал должен содержать, по меньшей мере, одну запись. Интервалы без записей удаляются автоматически.

Нельзя включать один интервал в другой.



Определения


Содержание

Адресные группы

Интервалы времени

Службы

Группы URL



Протокол-инспекторы


WinRoute включает специальные плагины, контролирующие весь трафик, используя протоколы HTTP, FTP или другие. Эти модули могут использоваться для изменения (фильтрации) соединения или работать в качестве брандмауэров, в зависимости от типа протоколов. Преимущества протоколов-инспекторов можно понять лучше на просмотре двух следующих примеров:

HTTP протокол-инспектор контролирует трафик между приложениями (браузерами) и Web-серверами. Он может быть использован для блокирования соединений с определенными страницами или загрузкой определенных объектов (например, изображений, pop-ups, и т.д.).

С помощью активного FTP, сервер открывает соединение с приложением. При определенных условиях этот тип соединения не может быть произведен через брандмауэр, поэтому FTP может использоваться только в пассивном режиме. FTP protocol inspector определяет, что FTP активен, открывает соответствующий порт и переадресует соединение соответствующему приложению в локальной сети. Благодаря этому, пользователи локальной сети не ограничены брандмауэром и могут использовать оба режима FTP (активный/пассивный).

 Протокол-инспектор активен, если он включен в службу, использующую правила трафика. Если правило для каждой службы задано, все протокол-инспекторы WinRoute, следующие этим правилам будут активированы автоматически.

Примечания:

Протокол-инспекторы различают протоколы приложений через транспортные протоколы (TCP или UDP) и номер порта, который используется соответствующей службой. Если служба запущена через нестандартный порт (например, HTTP через номер 8080), протокол-инспектор не будет работать. В данном случае, вы можете создать службу для порта 8080, использующую HTTP-протокол-инспектор.

При определенных обстоятельствах, применение протокол-инспектора нежелательно. Поэтому, можно временно отключать соответствующего инспектора. Для более полной информации, смотри главу Partial Retirement of Protocol Inspector.



Службы


Службы WinRoute позволяют администраторам легко задавать правила соединения (разрешением или запрещением доступа к Интеренет из локальной сети, или разрешением доступа к локальной сети из Интеренет). Службы определяются протоколами связи и номерами портов (например, служба HTTP использует протокол TCP с номером порта 80). Также, вы можете согласовать так называемый протокол-инспектор с определенным типом службы (подробности смотри ниже).

Службы могут быть заданы в Configurations / Definitions / Services. Некоторые стандартные службы, такие как HTTP, FTP, DNS и т.д., уже заданы в установке WinRoute по умолчанию.

Нажатие кнопок Add или Edit открываетдиалог задания параметров служб.


Имя

Идентификация службы в WinRoute. Строго рекомендуется использовать короткое имя для работы программы без осложнений.

Протокол

Протокол связи, используемый службой.

Большинство служб используют TCP или UDP-протоколы, или оба, когда они заданы как одна служба с функцией TCP/UDP.

Эта опция позволяет администратору определять протокол, используя номер, содержащийся в заголовке пакета IP. Любой протокол, переносимый в IP (например, GRE — номер протокола 47) может быть задан таким образом.

Протокол-инспектор

Протокол-инспектор WinRoute (смотри ниже), который будет использован для этой службы.

Предупреждение: Каждый инспектор должен использоваться только для соответствующей службы.

Порт отправки и порт назначения

При использовании протоколов связи TCP или UDP, служба определяется ее номером порта. В случае со стандартным типом "клиент-сервер", сервер ожидает соединения с заданным портом (номер относится к службе), тогда как клиент не знает своего порта заранее (порт назначается во время соединения). Это значит, что порт отправления обычно не определен, в то время как порт назначения обычно известен, в случае со стандартными службами.

Примечание: Определение порта отправления может быть важным, например во время создания правил фильтрации соединения. Для более полной информации, смотри главу Definition of Custom Traffic Rules.


Порты отправления и назначения могут быть определены как:



Любой — доступны все порты (1-65535)



Адекватный — определенный порт (например,80)



Больше чем, Меньше чем — определяются порты с номерами, либо больше либо меньше заданных



Кроме — определяются порты с номерами, не равными заданному



В диапазоне — все порты, соответствующие диапазону (включая начальный и конечный)



Список — список портов, разделенный запятыми (например, 80,8000,8080)



Описание

Комментарии к заданным службам. Строго рекомендуется подробно описать каждое определение, особенно нестандартных служб, для того чтобы свести к минимуму возможную путаницу при обращении к службе позже.


Типы интервалов


Для задания периодов могут использоваться три типа интервалов:

Абсолютный

Этот интервал задается сроками начала и окончания, и не повторяется

Недельный

Этот интервал повторяется понедельно (согласно дневному расписанию)

Дневной

Интервал повторяется по дням (согласно часовому расписанию)



Активная Директория


Параметры аутентификации пользователей в Активной Директории (или/и автоматический импорт учетных записей) можно настроить на вкладке Активная Директория/NT домен (Active Directory / NT domain ).


Активизировать аутентификацию в Активной Директории (EnableActive Directory authentication)

Эта опция включает/выключает Активную Директорию. Если эту опцию отключить, то все учетные записи, которые проходят аутентификацию в Активной Директории, будут недоступны (эти пользователи не смогут связаться со своими учетными записями).

Имя домена Активной Директории (Active Directory domain name)

Домен (область Kerberos), в которой пользователи будут проходить аутентификацию. Принимается только полное имя домена (например, company.com, но не просто company).

Импортировать учетные записи пользователей (Import user accounts now)

Эта кнопка открывает диалог немедленного импорта (скачивания) учетных записей из Активной Директории.

Для импорта учетных записей требуется следующая информация:

Имя домена Активной Директории (Active Directory domain name) — имя домена, с которого будут импортироваться учетные записи (например, company.com).

Импортировать с сервера (Import from server) — имя DNS или IP адрес сервера домена Активной Директории (например, server.company.com or 192.168.1.1).

Регистрировать как пользователя, Пароль (Login as user, Password) — имя и пароль пользователя, принадлежащего домену (т.е. кто имеет учетную запись в этом домене). Никаких специальных прав пользователя не требуется.

Если не появилось никаких проблем (т.е. введенная информация корректна, сервер доступен и т.д.), при щелчке ОК появится список учетных записей, готовых к импорту в WinRoute.

Примечание: для всех импортированных учетных записей будет установлен метод аутентификации в домене NT / Kerberos 5.

Автоматически импортировать учетные записи из Активной Директории (Automatically import user accounts from Active Directory)

Эта опция включает автоматический импорт учетных записей из Активной Директории. Как и в случае ручного импорта учетных записей, для аутентификации потребуется имя или IP адрес сервера домена, а также имя и пароль пользователя (подробнее см. выше).

Определить шаблон пользователя (Define user template)

Эта кнопка открывает диалог, позволяющий настроить шаблон для импортируемых учетных записей (специальные параметры для WinRoute).

Этот диалог похож на диалог модификации учетной записи, но имеет только вкладки Группы (Groups), Права (Rights), Квоты (Quota) и Правила Контента (Content rules) (т.к. другие параметры нельзя одновременно устанавливать для нескольких пользователей). Подробнее см. главу  Учетная запись пользователя.



Группы пользователей


Учетные записи пользователей можно распределить в группы. Создание групп пользователей имеет слудующие преимущества:

Для группы пользователей можно определить специальные права доступа. Эти права будут дополнять права каждого пользователя.

При определении правил трафика и доступа можно использовать группу. Это упрощает процесс определения, вам не придется указывать одно и то же правило для каждого пользователя.

Группы пользователей можно определить в меню Пользователь и Группы/Группы (User and Groups / Groups).



NT домен


Параметры для аутентификации на  NT домене можно установить на вкладке Активная Директория/NT домен (Active Directory / NT domain).

Предупреждение: не используйте это метод, если сервер домена работает под OS Windows 2000 Server /Server 2003! В этом случае используйте Активную Директорию.


Активизировать аутентификацию на домене NT (Enable NT domain authentication)

Эта опция включает/выключает аутентификацию на домене NT. Если ее отключить, все учетные записи, которые используют аутентификацию на домене NT, не будут доступны (эти пользователи не смогут связаться со своими учетными записями).

Имя NT домена (NT domain name)

Имя домена, на котором пользователи будут проходить аутентификацию (например, COMPANY).

Примечание: узел, где установлен WinRoute, должен принадлежать этому домену.

Импортировать учетные записи (Import user accounts now)

Эта опция открывает диалог, позволяющий импортировать учетные записи пользователей с домена NT. Укажите имя домена Windows NT.

Если не появилось проблем (т.е. имя домена корректно, сервер доступен и т.д.), после щелчка ОК появится список учетных записей, которые можно импортировать в WinRoute.

Примечание: для всех импортированных учетных записей будет установлен метод аутентификации домен NT / Kerberos 5.



Создание новой группы пользователей


Щелчок на кнопке Добавить (Add) откроет диалог, позволяющий создать новые группы пользователей.

Шаг 1 — имя и описание группы:


Имя (Name)

Имя группы (идентификация группы).

Описание (Description)

Описание группы. Оно носит информативный характер и может содержать любую информацию или оставаться пустым.

Шаг 2 — члены группы

Пользователей можно добавлять или удалять из группы с помощью кнопок Добавить/Удалить (Add/Remove). Если учетные записи пользователей еще не созданы, группу можно оставить пустой. Пользователей можно будет добавить во время определения учетных записей (см. главу Учетные записи пользователей).

Совет: чтобы выбрать сразу нескольких пользователей, удерживайте нажатыми клавиши Ctrl или Shif.

Шаг 3 — права доступа группы

Каждая группа должна иметь права доступа одного из трех типов:

Нет доступа к администрированию (No access to administration)

Пользователи этой группы не будут иметь доступ к администрированию WinRoute.

Доступ к администрированию только для чтения (Read only access to administration)

Пользователи этой группы будут иметь доступ к администрированию WinRoute. Они смогут читать записи и настройки, но не смогут их редактировать.

Полный доступ к администрированию (Full access to administration)

Пользователи этой группы будут иметь полные права доступа к администрированию.

Продвинутые опции:

Пользователи могут переопределять правила WWW контента (Users can override WWW content rules)

Пользователи этой группы могут настраивать личный фильтр web контента, независимо от глобальных настроек (подробнее см. главы  Правила контента и Предпочтения пользователя).

Пользователь может деблокировать правила URL (User can unlock URL rules)

Пользователь сможет деблокировать web страницы с запрещенным содержанием.

Пользователи могут устанавливать RAS соединения (Users can dial RAS connection)

Пользователи этой группы смогут устанавливать и обрывать удаленные соединения, определенные в WinRoute (с Администраторского Терминала или www интерфейса администрирования, см. главы  Web интерфейс и Аутентификация пользователя).

Пользователи могут связываться через VPN (Users can connect using VPN)

Члены этой группы смогут связываться через WinRoute VPN сервер (подробнее см. в главе Конфигурация сервера VPN ).

Пользователи могут использовать сети P2P (Users are allowed to use P2P networks)

Модуль P2P Элиминатор (обнаружение и блокировка сетей Peer-to-Peer — см. главу  P2P Элиминатор) не будет применяться к членам этой группы.

Права доступа группы комбинируются с правами доступа пользователя. Это значит, что текущие права пользователя определяются текущими правами пользователя и правами группы, в которую включен данный пользователь.



Учетные записи и группы пользователей


Содержание

Учетные записи пользователей

Настройки аутентификации пользователя

Внешняя аутентификация и импорт учетных записей пользователей

Группы пользователей



Установки аутентификации пользователя


Параметры аутентификации в брандмауэре устанавливаются на вкладке Опции аутентификации (Authentication Options).


Всегда требовать аутентификацию пользователей ... (Always require users to be authenticated ...)

Активируйте эту опцию, чтобы требовать аутентификацию всегда, когда неудостоверенный пользователь пытается открыть web страницу. При этом неудостоверенный пользователь будет автоматически перенаправляться на страницу аутентификации (см. главу Аутентификация пользователя брандмауэра). Требуемая web страница откроется после успешной регистрации.

Если эту опцию отключить, аутентификация неудостоверенных пользователей будет требоваться только для открытия недоступных web страниц (запрещенных правилами URL) (см. главу Правила URL).

Примечание: аутентификация пользователя используется и для доступа к web страницам (и/или другим сервисам), и для мониторинга активности отдельных пользователей (Интернет не является анонимным).

Активировать автоматическую аутентификацию пользователей... (Enable user authentication automatically ...)

Если используется Microsoft Internet Explorer (версия 5.01 или выше), то пользователь может регистрироваться автоматически (используя NTLM). Для этого метода аутентификации необходимы следующие условия:

Сервер (т.е. узел WinRoute) должен принадлежать соответствующим доменам Windows NT или Kerberos 5 (Windows 2000/2003).

Узел клиента должен принадлежать домену.

Пользователь узла-клиента должен пройти аутентификацию в этом домене (т.е. локальная учетная запись пользователя для этого не годится).

WinRoute Брандмауэр должен работать как сервис или под учетной записью пользователя с правами администратора для узла WinRoute.

NTLM нельзя использовать для аутентификации во внутренней базе данных.

Автоматически прерывать сеансы пользователей, когда они неактивны (Automatically logout users when they are inactive)

Разрешенный интервал времени (в минутах) для бездействия. После этого сеанс пользователя на брандмауэре будет автоматически прерван. По умолчанию тайм-аут составляет 120 минут (2 часа).

Часто бывает ситуация, когда пользователь забывает выйти из брандмауэра. Следовательно, эту опцию не рекомендуется отключать (или устанавливать значение 0), иначе регистрационные данные пользователя, который забыл выйти, могут быть несанкционированно использованы.



Внешняя аутентификация и импорт учетных записей пользователя


WinRoute поддерживает следующие методы сохранения учетных записей и аутентификации пользователей:

Внутренняя база данных пользователей (Internal user database) — учетные записи и пароли пользователей хранятся в WinRoute (см. выше). Во время аутентификации имя пользователя сравнивается с данными внутренней базы данных.

Этот метод сохранения учетных записей и аутентификации особенно подходит для сетей без должного домена, а также для специальной учетной записи администратора (пользователь может проходить аутентификацию локально, даже если сетевые коммуникации не работают).

С другой стороны, для сетей с должными доменами (Windows NT или Активная Директория), локальные учетные записи в WinRoute могут требовать дополнительных усилий по администрированию, т.к. учетные записи и пароли должны поддерживаться в двух местах (в домене и в WinRoute).

Внутренняя база данных пользователя с аутентификацией в домене (Internal user database with authentication at the domain) — хотя учетные записи пользователей хранятся в базе данных WinRoute, пользователи проходят аутентификацию через домен (т.е. пароли не хранятся в соответствующих учетных записях под WinRoute). Очевидно, имена пользователей в WinRoute должны соответствовать именам пользователей в домене.

С точки зрения администрирования этот метод не столь требователен. Когда, например, пользователь хочет изменить пароль, он может это сделать в домене, и изменения автоматически будут добавлены в учетную запись WinRoute. Кроме того, нет необходимости создавать учетные записи пользователей в WinRoute вручную, т.к. их можно импортировать с соответствующего домена.

Учетные записи Активной Директории (автоматический импорт) (Active Directory accounts (automatic import)) — при использовании Активной Директории (Windows 2000 Server /Server 2003) можно установить автоматический импорт учетных записей. Нет необходимости определять учетные записи в WinRoute, и их не надо импортировать, т.к. можно настроить шаблоны, определив специфические параметры (такие как права доступа, правила контента, квоты на передачу данных и др.), которые будут установлены для новых пользователей WinRoute.

Этот метод требует меньше администраторских усилий (все учетные записи пользователей администрируются через Активную Директорию).

Примечание: если все пользователи проходят аутентификацию в домене (последние два описания), рекомендуется создать по меньшей мере одну локальную учетную запись с полными правами администратора WinRoute, чтобы можно было связаться с администрированием WinRoute, даже если домен сети не работает.



Анти-обман


"Обман" (spoofing) - это процесс передачи IP адреса пакета, так что брандмауэр будет считать, что запрос пришел из надежного источника. Хотя пакет невозможно промаршрутизировать обратно до точки отправления, есть возможность бессмысленной перегрузки сети и отказа сервиса. WinRoute может отслеживать трафик и проверять, чтобы адрес источника пакетов, приходящих на интерфейс, не был связан с сетью противоположного интерфейса. Другими словами, такой трафик (хотя и возможный) никогда не оправдан, и его следует блокировать.

Функцию "анти-обман" можно настроить в папке Anti-Spoofing в Настройках/Продвинутых Опциях (Configuration / Advanced Options).

Активизировать анти-обман (Enable Anti-Spoofing)

Эта опция активирует функцию анти-обман.

Журнал (Log)

Если эта опция включена, то все пакеты, которые не прошли правила анти-обмана, будут записаны в Журнал безопасности (Security log) (подробнее см. главу Журнал безопасности).



Автодозвон по требованию


Если WinRoute подключается к Интернету по телефонной линии, то он может автоматически устанавливать соединение когда один из пользователей пытается выйти в Интернет. WinRoute предоставляет следующие опции для управления автоматическим дозвоном и его прекращением:

Дозвон осуществляется в тот момент, когда поступает запрос из внутренней сети. Эта функция называется Дозвон по требованию. См. далее более подробное описание.

Соединение автоматически прекращается если оно простаивает в течение определенного интервала времени. Для получения подробных инстукций, обратитесь к главе Интерфейсы.

Принцип работы дозвона по требованию

Во-первых, фунция автодозвона должна быть активирована у соответствующей линии(либо постоянно, либо в течение определенного интервала времени). Это может быть настроено на вкладке Конфигурация / Интерфейсы(Обратитесь к разделу  Интерфейсы для получения подробной информации).

Во-вторых, в операционной системе не должны быть настроены шлюзы по умолчанию(шлюзы не должны быть настроены для всех имеющихся в системе сетевых интерфейсов).

Если WinRoute получает пакет из локальной сети, он сравнивает его с системной таблицей маршрутизации. Если маршрут по умолчанию недоступен, WinRoute сохраняет пакет в кеше и инициирует автодозвон на соответствующей линии(Если автодозвон на ней разрешен). Этот механизм создает маршрут в таблице маршрутизации, через который данный пакет покидает сеть.

Телефонная линия может быть разъединена либо вручную, либо автоматически в случае превыщения лимита ожидания.

Замечания:

Чтобы быть уверенным, что автодозвон по требованию работает правильно, необходимо удостовиться что в настройках сетевых интерфейсов не указаны шлюзы по умолчанию. Если в настройках хотя-бы одного из интерфейсов указан шлюз по умолчанию, пакеты будут выходить в Интернет через этот интерфейс и WinRoute не будет иницировать автодозвон.

Если в WinRoute настроено несколько линий для выполнения автодозвона, то будет использована первая линия. WinRoute не позволяет автоматически выбирать линию, по которой будет осуществлен дозвон.


Дозвон может быть осуществлен также в том случае, если определен статический маршрут в таблице маршрутизации (См. раздел Таблица маршрутизации). Если определен статический маршрут через диалап соединение, то пакет, который соответствует данному маршруту, инициирует автодозвон данной телефонной линии. Данная линия не будет использоваться в качестве маршрута по умолчанию. Опция Use default gateway on remote network будет проигнорирована.

В зависимости от некоторых факторов, общее время между иницированием запроса и получение ответа может быть достаточно большим. В результате клиент может решить, что запрашиваемый им хост недоступен(если превышается интервал ожидания) до того, как соединение успеет установиться. Однако, WinRoute всегда завершает попытки автодозвона. В данном случае необходимо просто повторить запрос, например, нажав кнопку Обновить в браузере.





Технические особенности и ограничения

Автодозвон по требованию имеет свои особенности и ограничения. Эти ограничения должны быть учтены на этапе планирования и конфигурирования сети, которая будет использовать WinRoute для соединения и диалап соединения, по которому будет осуществляться подключение к Интернет.

Автодозвон по требованию не может быть иницирован непосредственно с той машины, на которой установлен WinRoute, т.к. автодозвон иницируется специальный низкоуровневым драйвером WinRoute. Этот драйвер задерживает прохождение пакета и принимает решение о том, по какой из линий необходимо осуществитьдозвон. Если линия разъединена и пакет отправлен с локального хоста в Интернет, то пакет будет отклонен средствами операционной системы до того, как вступит в работу драйвер WinRoute.

Обычно при обращениях клиентов кИнтернет-серверам, сервер представлен в виде DNS имени. Поэтому, первый пакет, отправляемый клиентом представляет собой DNS запрос, предназначенный для получения по нему IP адреса сервера.

Например, DNS сервером является машина, на которой работает WinRoute (это очень частый случай) и диалап соединение не подключено. Запрос клиента на этот DNS сервер является трафиком внутри локальной сети и поэтому он не будет иницировать автодозвон. Если DNS сервер не имеет подходящей записи в своем кеше, то он должен перенаправить запрос на другой сервер, который находится в Интернет. Этот пакет перенаправляется в Интернет локальным DNS клиентом, который работает на машине, которой установлен WinRoute. Этот пакет не может быть обработан драйвером и, соответственно, этот пакет не может иницировать автодозвон. Поэтому , DNS запрос не может быть обработан и соединение не может быть установлено.



Для этих целей, WinRoute DNS Forwarder позволяет использовать режим автоматического дозвона(Если DNS сервер не может ответить на запрос самостоятельно). Эта функция зависима от автодозвона по умолчанию: если автодозвон по умолчанию запрещен, то DNS Forwarder не будет иницировать дозвон.

Замечание: Если DNS сервер находится на другом компьютере локальной сети или клиенты локальной сети использую внутренний DNS сервер, тогда ограничения не действуют и автодозвон будет доступен. Если пользовательский DNS сервер находится в Интернете, дозвон будет осуществлен даже по DNS запросу пользователя. Если используется локальный DNS сервер, дозвон будет осуществлен на запрос отправленный сервером в Интернет (шлюз по умолчанию того компьютера, на котором работет DNS серве должен быть настроен на IP адрес компьютера WinRoute).



Из последнего пункта несложно понять, что если DNS сервер запущен на машине с работающим WinRoute, он должен быть представлен с помощью DNS Forwarder потому что он может осуществить автодозвон в случае необходимости.

Если в сети существует домен на базе Active Directory, то обязательно должен использовать Microsoft DNS сервер, т.к. коммуникация с Active Directory осущесвтлвяется посредством специальный DNS запросов. Microsoft DNS сервер не поддерживаени автодозвон. Более того, он не может использоваться на том же самом компьютере что и DNS Forwarder из-за коллизии портов.

Как понятно из всего вышеописанного,если интернет-соединение устанавливается через диалап, WinRoute не может быть использован на том же компьютере, на котором работает Windows 2000 серве с развернутой  Active Directory и работающим Microsoft DNS сервером.

Если используется DNS Forwarder, WinRoute может осуществить дозвон как ответ на запрос пользователя в случае выполнения следующих условий:

Сервер назначения должен быть представлен DNS именем так чтобы приложение могло создать  DNS запрос.



В операционной системе в качестве первичного DNS сервера указан IP адрес брандмауэра.





DNS Forwarder должен быть настроен на перенаправление запросов на один из DNS серверов (Опция Forward queries to the specified DNS server(s)). Автоматическое определение DNS серверов не доступно. См. раздел DNS Форваврдер для получения деталей.



Прокси сервер входящий в WinRoute (см. раздел Прокси-сервер) также предоставляет возможность устанавливать прямые диалап соединения. В процессе работы открывается специальная страница, которая отображает текущий статус процесса соединения(процесс обновляется через короткие промежутки времени). При успешной установке соединения, браузер перенаправляется на запрашиваемый веб-сайт.



Настройка правил для автодозвона

Автодозвон иногда может осуществляться неумышленно. В большинстве случаев это происходит из-за DNS запросов, обработанных DNS Forwarder. Возможны следующие причины:



Компьютер пользователя генерирует DNS запрос в его отстуствие. Это может быть попытка показать какой-нибудь баннер на локальной HTML странице или же попытка какого-нибудь приложения осуществить автоматическое обновление.



DNS Forwarder осуществляет дозвон в ответ на запрос имен локальных компьютеров. Необходимо правильно настроить DNS для локального домена (используйте системный файл hosts на компьютере WinRoute: для получения деталей см. раздео DNS Форваврдер).



Замечание: В WinRoute может быть заблокирован нежелательный трафик. Однако, в целях безопасности рекомендуется найти корень проблемы.

На закладке Конфигурация / Автодозвон в Kerio Administration Console, могут быть определены побробные правила дозвона определнных DNS имен.



В этой секции Вы можете создать список правил для DNS имен.

При вводе DNS имени Вы можете использовать шаблоны используя символ(*). Он заменяет любую последовательно символов.

В качестве действия Вы можете использовать или Dial(дозваниваться) или Ignore(игнорировать).

Список правил обрабатывается сверху вниз(Вы можете менять порядок правил с помощью стрелок справа). Когда система находит первое правило, которое удовлетворяет всем требованиями, выполняется соотвествующее действие и поиск останавливается. Все DNS имена, для которых не удалось найти подходящего правила, автоматически иницируют дозвон средствами DNS Forwarder.



Функция Dial может быть использована для создания расширенных и более комплексных правил. Например, может быть разрешен дозвон для одного имени в определенном домене и запрещен для всех остальных имен (см. картинку выше).

Дозвон локальных DNS имен

Локальные DNS имена - это имена хостов, принадлежащих вашей локальной сети.

Пример: Локальный домен назывется company.com. Хост называется pc1. Полное имя хоста - это pc1.company.com, где локальное имя это pc1.

Локальные имена обычно хранятся в базе данных локального DNS сервера(в этом примере, имена сохранены в файле hosts на WinRoute компьютере, который использует DNS Forwarder). Установленный по умолчанию, DNS Forwarder не иницирует дозвон при получения этих имен считая что они не существующие, до тех пор, пока он не сможет найти их в локальной DNS базе данных.

Если первичный сервер локального домена находится вне сети, необходимо чтобы DNS Forwarder также осуществлял дозвон если запрос пришел с указанных имен. Активируйте опцию Enable dialing for local DNS names на закладке Other чтобы разрешить этот механизм(наверху диалогого окна Автодозвон).


Блокировщик P2P сетей (P2P Eliminator)


Peer-to-Peer

(P2P

) сети это широко распространенные распределенные системы, где каждый узел (node) может представлять как сервер так и клиент. Такие сети используются для распространения больших объемов  информации (по большей части распространение незаконно). Очень много схожих сетей, таких как 

DirectConnect,

Kazaa, и т.д.

В дополнении к нелегальному распространению информации, сети

P2P

перегружают линии связи с Internet. Пользователи использующие

P2P

сети, часто ограничивают других пользователей в той же локальной сети и увеличивают стоимость использования линии связи ( например когда траффик для линии ограничен).

WinRoute

поставляется с модулем

P2P Eliminator, который обнаруживает соединения пользователей с сетями

P2P

и принимает соответствующие меры. Т.к. существует большое количество различных сетей

P2P

и параметры узлов сети (сервера, число соединений и т.д.) могут меняться, то сложно обнаружить все соединения с сетями

P2P

. Как бы там ни было, используя различные методы (известные порты, соединенияи и т.д.), модуль

P2P Eliminator  способен определять соединяется ли пользователь с сетями 

P2P.

Замечание:

В соответствии с тестами, модуль  достаточно объективно определяет соединения  P2P

 сетей (вероятность ошибки очень мала).



Дополнительные параметры


Содержание

Настройки удаленного администрирования

Таблица маршрутизации

Demand Dial

Настройки ISS OrangeWeb Filter

Настройки безопасности

Универсальный Plug-and-Play (UPnP)

VPN с использованием протокола IPSec

Проверка обновлений

SMTP релей

P2P разделитель



IPSec клиент в локальной сети


Этот раздел руководства описывает настройку WinRoute для тех случаев, когда IPSec клиент или сервер расположены в локальной сети, и WinRoute обеспечивает перевод IP адреса (NAT - подробнее см. главу  Плитика Трафика).

IPSec клиент на узле WinRoute

В этом случае NAT не оказывает влияния на трафик IPSec (IPSec клиент должен использовать общий IP адрес узла WinRoute). Необходимо только определить правила трафика, разрешающие IPSec коммуникацию между брандмауэром и сервером IPSec.

Колонка Перевод (Translation) должна быть пустой - перевод IP не выполняется. Установки прохода в данном случае не важны (они не могут применяться).

Один IPSec клиент в локальной сети (один туннель)

Если в каждый момент создается только один IPSec туннель от локальной сети в Интернет, то это зависит от типа IPSec клиента:

Если IPSec клиент и IPSec сервер поддерживают функцию NAT Передачи (NAT Traversal) (клиент и сервер могут обнаружить, что IP адрес по пути между ними был транслирован), то IPSec должен быть отключен (иначе может возникнуть конфликт).

NAT Передача поддерживается, например, программным обеспечением Nortel Networks' VPN (http://www.nortelnetworks.com/).

Если IPSec клиент не поддерживает NAT Передачу, необходимо активизировать IPSec проход в WinRoute.

В обоих случаях, коммуникации IPSec между клиентом и IPSec сервером должны быть разрешены правилами трафика. В колонке Передачи (Translation) должен быть указан NAT (так же как для коммуникаций между локальной сетью и Интернет).

Несколько IPSec клиентов в локальной сети (несколько туннелей)

Если предполагается создавать несколько IPSec туннелей от локальной сети в Инетренет, все IPSec клиенты и соответствующие серверы должны поддерживать NAT Передачу (см. выше). Поддержка IPSec в WinRoute должна быть отключена, чтобы не возникало конфликтов.

Снова, трафик между локальной сетью и соответствующими IPSec серверами должен быть разрешен правилами трафика.



IPSec сервер в локальной сети


Сервер IPSec на узле локальной сети или на узле WinRoute должен быть картирован из Интернет. В этом случае трафик между Интернет клиентами и узлом WinRoute должен быть разрешен правилами трафика, и должно быть установлено картирование до соответствующего узла локальной сети.

Предупреждение: с общего IP адреса брандмауэра может быть картирован только один IPSec сервер. Чтобы картировать несколько IPSec серверов, брандмауэр должен использовать несколько общих IP адресов.

Пример: мы хотим установить, чтобы два сервера IPSec были доступны из Интернет — один на узле WinRoute, и другой на узле с IP адерсом 192.168.100.100. Связанный с Интернет интерфейс брандмауэра использует адреса 60.80.100.120 и 60.80.100.121.



Как разрешить удаленное администрирование через Internet


В следующем примере демонстрируется как сделать возможным удаленное администрирование  WinRoute  с определенных IP адресов.

Source — группа  IP адрессов, с которых разрешается удаленное администрирование.

По соображениям безопасности нежелательно разрешать удаленное администрирование с компьютеров с любыми интернет адресами (это означает: не устанавливать Source как Web интерфейс).

Destination — Firewall (хост где  WinRoute

запущен)

Service — KWF Admin (сервис для удаленного администрирования  WinRoute)

Action — Permit (разрешение)

Translation —  т. к.  WinRoute

запущен на файерволе перенаправление пакетов не требуется.

Замечание: Будьте осторожны с использованием правил трафика (traffic rules ), вы можете случайно блокировать удаленное администрирование с компьютера на котором вы работаете.  Если такое случится, соединение между Kerio Administration Console  и WinRoute Firewall Engine прервется (как только нажмете на кнопку Apply в Configuration / Traffic Policy). Локальные соединения  (с хоста, на котором запущен  WinRoute Firewall Engine ) не могут блокироваться никакими правилами.

СОВЕТ: Такой же метод можно использовать для разрешения/запрещения удаленного администрирования  Kerio MailServer  посредством WinRoute (сервис KMS Admin может использоваться для этих целей).



Конфигурация WinRoute's IPSec


Вообще, коммуникации через IPSec должны быть разрешены политикой брандмауэра (подробнее см. в главе Определение пользовательских правил трафика). IPSec протокол использует два канала трафика:

IKE (Internet Key Exchange (Интернет обмен ключами) — обмен кодовыми ключами и другой информацией).

кодированные данные (используется IP протокол номер 50)

Откройте раздел Настройки/Политика трафика (Configuration / Traffic Policy), чтобы установить правила, определяющие коммуникацию между клиентами IPSec (адресная группа VPN описана в примере) и сервером (в примере описан сервер ipsec.server.cz).

Примечание: WinRoute обеспечивает работу установленных сервисов IPSec и IKE.



Настройка модуля P2P Eliminator


Для настройки модуля

P2P Eliminator

, выберите вкладку P2P Eliminator в секции Configuration / Advanced Options .

Блокировка сетей

P2P

 в модуле 

P2P Eliminator.

Как было сказано раньше, не возможно блокировать все соединения с конкретными

P2P

сетями.

P2P Eliminator

блокирует соединения с Internet определенные хосты т.е. блокирует определенных пользователей,  или же  разрешает этим пользователям соединяться только с определенными сервисами.

Нажав кнопку Services , вы откроете диалог для разрешения использования определенных сервисов. Все сервисы указанные в Configuration / Definitions / Services  становятся доступны (см.Сервисы).

Используйте параметр Use the Block traffic for ... minutes  для блокировки траффика в течении определенного времени, для конкретного хоста. Модуль

P2P Eliminator

разблокирует траффик автоматически по истечении данного времени. Время блокировки должно быть достаточно долгим, чтобы пользователь перестал пытаться присоединиться к сетям 

peer-to-peer.

Используйте опцию Check the Inform user если вы хотите, чтобы пользователи знали какие действия были предприняты (блокировка траффика/временные ограничения, период ограничений). Эта опция не применима к неавторизованным пользователям.

Замечание:

Если пользователю разрешено пользоваться сетями

P2P

(см.User Accounts) и он соединен с  firewall, ограничения не применяются.  Ограничения модуля P2P Eliminator всегда применяются к неавторизованным пользователям.

Информацию о сетях P2P и блокировках траффика можно посмотреть в секции Status / Hosts/users (подробнее см.  Hosts and Users).

Если вы хотите оповестить кого-нибудь об обнаружении сетиP2P

(например администратора

WinRoute

), установите оповещение в  секции Configuration / Logs &Alerts  (подробнее см.  Alerts).



Настройки ISS OrangeWeb Filter


Модуль ISS OrangeWeb Filter может быть установлен и сконфигурирован через закладку ISS OrangeWeb Filter в Configuration / Advanced Options.

Замечание: С ISS OrangeWeb Filter связана отдельная лицензия. Пока WinRoute не включает лицензию для ISS OrangeWeb Filter, модуль ведёт себя как пробная версия (это означает, что он перестанет работать через 30 дней с момента инсталляции WinRoute, а также, что не будут доступны опции в закладке ISS OrangeWeb Filter). Для более подробной информации о политике лицензирования обратитесь к главе  .


Сервер

Есть несколько способов задания сервера. Вы можете задать конкретный URL (например, www.google.com/index.php), URL, удовлетворяющий регулярному выражению (например, *.g?ogle.com*) или имя сервера (например, www.google.com). Имя сервера может быть задано посредством любого URL, ссылающегося на него (www.google.com/*).

Описание

Только для справки.

Включить ISS OrangeWeb Filter

используйте эту опцию, чтобы включить/выключить модуль ISS OrangeWeb Filter для классификации web-сайтов.

При выключенном ISS OrangeWeb Filter:

другие опции в закладке ISS OrangeWeb Filter недоступны,

все URL-правила, использующие классификацию ISS OrangeWeb Filter, выключены (подробности можно найти в главе ).

Определение категории страницы независимо от правил HTTP

Включение этой опции позволяет ISS OrangeWeb Filter

распределять по категориям все страницы (включая запрещённые). Это может быть особенно полезно для мониторинга статистики (смотрите главу Пользовательская статистика).



Определения динамических и статических маршрутов


Щелкните на кнопке Добваить (Add) (или Правка (Edit), если выделен отдельный маршрут), чтобы открыть диалог определения маршрута.


Сеть, маска сети (Network, Network Mask)

IP адрес и маска сети назначения.

Интерфейс (Interface)

Выбор интерфейса, через который следует отправить определенный пакет.

Шлюз (Gateway)

IP адерс шлюза (маршрутизатор), который может маршрутизировать до сети назначения. IP адрес шлюза должен быть в той же IP подсети, что и выбраный интерфейс.

Показатель (Metric)

“Дистанция” до сети назначения. Число означает количество маршрутизаторов, через которые должен пройти пакет, чтобы дойти до сети назначения.

Показатель используется для поиска лучшего маршрута до нужной сети. Чем меньше значение показателя, тем "короче" маршрут.

Примечание: показатель в таблице маршрутизации может отличаться от реальной топологии сети. Его можно изменять согласно приоритетности каждой линии и т.д.

Создать статический маршрут (Create astatic route)

Активируйте эту опцию, чтобы сделать данный маршрут статическим. Такой маршрут будет автоматически восстанавливаться WinRoute (см. выше). Можно добавить короткое описание, содержащее различную информацию (зачем сделан маршрут и т.д.).

Если эта функция неактивна, маршрут будет действовать только до перезапуска операционной системы, или пока не будет удален вручную с Администраторского Терминала или командой "route".



Параметры определения сетей P2P


Нажмите Advanced чтобы установить параметры обнаружения сетей

P2P:

P2P network port(s) — список портов (можно указывать диапазон), используемых только сетями

P2P. Эти порты обычно являются, портами контроля для распространения мета информации между узлами сети. 

Вы можете указать порты сети P2P или диапазон портов. Используйте запятые для разделения значений.

Connection count — минимальное число одновременных соединений пользователя для запуска проверки его на соединение с  сетью

P2P

.

Большое число соединений типично для сетей

P2P

(одно соединение на каждый файл).

Оптимальное число зависит от конкретного случая  (работы пользователя, использования сетевых приложений и т.д.) и должно быть протестировано.Если значение слишком низкое, пользователи не использующие сети

P2P

могут быть заподозрены в этом. Если значение слишком большое, надежность обнаружения падает (меньше сетей 

P2Pобнаруживается ).



Предпочтения IPSec


Предпочтения IPSec можно установить в области IPSec Проход на вкладке Установки Безопасности (Security Settings) в разделе Настройки/Продвинутые опции (Configuration / Advanced Options). Более подробная информация по IPSec приведена в главе Конфигурация IPSec WinRoute.

Активировать (Enable)

Эта опция активирует проход IPSec.

Необходимо установить пустой тайм-аут для соединения IPSec (время по умолчанию составляет 3600 секунд, что равно 1 часу). Если за это время не будет передано никакой информации, и соединение не будет закрыто должным образом, то WinRoute будет считать, что соединение закрыто, и при этом будет доступен проход к другому компьютеру (другой IP адрес).

Активировать проходы только для узлов (Enable pass-through only for hosts)

Можно ограничить количество узлов, использующих IPSec проход, определив определенную область IP адресов (обычно это узлы, на которых работают IPSec клиенты). Используйте кнопку Правка (Edit), чтобы редактировать выделенные группы IP, или чтобы добавить новую группу.



Проверка обновлений сервера


WinRoute  способен автоматически совершать проверку обновленний сервера на сайте

Kerio Technologies. Как только новая версия находится,  дистрибутив сгружается и пользователю предлагается ее установка.

Откройте вкладку Update Checking в секции Configuration / Advanced Options, чтобы посмотреть информацию о новой версии сервера и для настройки автоматической проверки обновлений.


Last update check performed ... ago (Последняя проверка обновлений была столько то времени назад)

Информация сколько времени прошло с последней проверки обновлений.

Если последняя проверка была достаточно давно (несколько дней), это может означать, что автоматическая проверка обновлений нарушена по некоторым причинам  (например доступ к серверу обновлений блокирован Правилом траффика (traffic rule ). В этом случае рекомендуется проверить обновления вручную (нажав кнопку "Check now"),  посмотреть результат попытки в Debug log (см. главу Debug Log)  и принять соответствующие меры.

Проверка новых версий.

Используйте эту опцию для  разрещения/запрещения автоматической проверки обновлений. Проверка совершается: 

через 2  минуты после каждого запуска

WinRoute Firewall Engine

каждые 24 часа

Результаты каждой проверки обновлений (удачной или нет ) регистрируется в Debug log (см. главу Debug Log).

Check also for beta versions 

(проверка также бета версий)

Включите эту опцию, если вы хотите чтобы

WinRoute

осуществлял также проверку бета версий продукта.

Если вы хотите принять участие в тестировании бета версий

WinRoute

, включите эту опцию. В случае если вы используете

WinRoute

 в работе вашей компании  (например как Internet-шлюз вашей компании), рекомендуется выключить эту опцию (бета версии не протестированны и могут нарушить функционирование вашей сети, и т.д.).

Check now

Нажмите на эту кнопку, чтобы проверить обновления назамедлительно. Если новая версия не обнаружена , пользователь будет проинформирован об этом.



Счетчик ограничений связи


Эта функция определяет ограничения максимального количества связей на узел. Эту функцию можно включать, выключать и настраивать на вкладке Установки безопасности (Security Settings) в Настройках/Продвинутых опциях (Configuration / Advanced Options).

Эта функция может быть особенно полезной в следующих случаях:

На локальной сети работает какой-нибудь сервис (например, WWW сервер), доступный из Интернет (разрешенный правилами трафика —см. главу  Политика трафика). Счетчик ограничений связи защищает внутренние серверы от переполнения (атаки типа DoS — Denial of Service (отказ сервиса)).

В этом случае ограничения применимы к локальному серверу - сумма соединений всех связанных клиентов не должна превышать установленный лимит.

Компьютер-клиент (рабочая станция) локальной сети атакуется червем или Троянским конем, который пытается установить связь со множеством серверов. Счетчик ограничения связи защитит узел WinRoute от переполнения и поможет уменьшить нежелательную деятельность червей и троянов.

В этом случае ограничения применимы к узлу (рабочей станции) локальной сети - сумма связей, установленных с этого компьютера с индивидуальными серверами Интернет, не должна превышать установленный лимит.



SMTP Транслятор (SMTP Relay)


WinRoute имеет функцию оповещения (alert function) которая может слать сообщения пользователям и/или администраторам по электронной почте. Эти сообщения могут посылаться по различным причинам , например когда обнаружен вирус (см. главу 

HTTP и FTP сканирование), обнаружена Peer-to-Peer

сеть (см. главу P2P Eliminator

), возникают определенные события (см. User Accounts )  или при приеме оповещения (см. Alerts).

Для этих целей

WinRoute

 нужен SMTP Relay Server. Этот сервер нужен для рассылки сообщений на установленные адреса.

Замечание:

WinRoute

не содержит встроенного сервера SMTP.

Для конфигурации сервера SMTP, выберите вкладку SMTP server в Configuration/Advanced Options.


Server

Имя и IP адрес сервера.

Замечание:

  Если есть возможность, мы рекомендуем использовать сервер SMTP внутри локальной сети (сообщения посланные программой

WinRoute

часто адресованы локальным пользователям).

SMTP requires authentication

Включите эту опцию, чтобы пользователю пришел запрос на аунтефикацию при использовании SMTP сервера.

Specify sender email address in “From” header

Включив эту опцию вы сможете задать email адрес отправителя (обычно появляется в поле From) для сообщений посланных программой

WinRoute

(email или  SMS оповещения посылаемых пользователю). Установка поля From   не влияет на сообщениям посылаемым в процессе антивирусной проверки (см. Сканирование почты).

Эта опция должна быть установлена только тогда, когда SMTP сервер проверяет заголовки (например сообщения без заголовков или с неправильными From  полями рассматриваются как спам). Опция может быть использована для того, чтобы почтовый клиент получателя мог послать письмо по указанному в поле адресу, или же для классификации электронной почты. По этим причинам рекомендуется всегда указывать email адрес отправителя в поле From.


Предупреждение:

Если SMTP сервер определен через  DNS имя (например smtp.mail.ru), он не может быть использован до тех пор, пока 

WinRoute

не определит(resolve) IP адрес SMTP сервера  (с помощью  DNS запроса). Предупреждение "The IP address of specified SMTP server cannot be resolved" появится во вкладке SMTP Relay до тех пор, пока IP адрес с соответствующим DNS именем не будет найден.

Если предупреждение продолжает отображаться, значит указано несуществующее DNS имя или DNS сервер не отвечает.  Поэтому рекомендуется указывать SMTP сервер посредством  IP адреса.

Сообщения с  SMTP сервером не должно блокироваться никакими Правилами траффика (traffic rules), в противном случае   при нажатии кнопки Apply появится ошибка "Connection to SMTP server is blocked by traffic rules" .

Для более детальной информации о Правилах траффика (traffic rules), смотрите главу Traffic Policy.


Статические маршруты


WinRoute имеет специальную систему для создания и управления статическими маршрутами в таблице маршрутизации. Все статические маршруты, определенные в WinRoute, сохраняются в файле конфигурации, и при каждом запуске Брандмауэра WinRoute они добавляются к системной таблице маршрутизации. Кроме того, эти маршруты все время отслеживаются и управляются при работе WinRoute. Это значит, что когда какой-нибудь из этих маршрутов удаляется командой "route", он автоматически добавляется снова.

Примечания:

Постоянные маршруты операционной системы не используются для выполнения статических маршрутов (для управления этими маршрутами WinRoute использует специальный метод.

Если статический маршрут использует интерфейс удаленного доступа (коммутируемое соединение), любой пакет, отправленный по этому маршруту, активирует дозвон (подробная информация приведена в главе  Требования дозвона).



Таблица маршрутизации


Используя Администраторский Терминал Kerio, вы можете просматривать и редактировать таблицу маршрутизации узла WinRoute. Это особенно полезно для удаленного решения проблем маршрутизации (нет необходимости использовать приложения для доступа к терминалам, удаленному рабочему столу и т.д.).

Чтобы просмотреть или модифицировать таблицу, нужно открыть Навтройки/Таблица Маршрутизации (Configuration / Routing Table). Этот раздел предлагает современную версию таблицы маршрутизации операционной системы, включая так называемые постоянные маршруты (persistent routes) (маршруты, добавлеяеме командой route -p).

В этом разделе можно добавлять/удалять динамические и статические маршруты. Динамические маршруты действуют только до перезапуска операционной системы, или до того, как будут удалены системной командой "route". Статические маршруты сохраняются в WinRoute и восстанавливаются при каждом перезапуске операционной системы.

Предупреждение: изменения в таблице маршрутизации могут прервать связь между Брандмауэром WinRoute и Администраторским Терминалом. Следовательно, эту функцию должны использовать только опытные пользователи, хорошо знакомые с IP маршрутизацией.



Типы маршрутов


В таблице маршрутизации WinRoute используются следующие типы маршрутов:

Системные маршруты — маршруты, скачиваемые из таблицы маршрутизации операционной системы (включая так называемые постоянные маршруты)— см. раздел "Удаление маршрутов из таблицы маршрутизации").

Статические маршруты — маршруты, определяемые вручную и управляемые WinRoute (см. ниже). Эти маршруты можно добавлять, их можно модифицировать и/или удалять. Чтобы временно отключить маршрут, нужно отметить соответствующий пункт - такие маршруты содержатся в списке неактивных маршрутов.

Маршруты VPN — маршруты к VPN клиентам и к сетям на удаленных концах VPN туннелей (подробнее см. главу Kerio VPN). Эти маршруты создаются и удаляются динамически при соединении и разъединении с VPN клиентами, или при создании и удалении VPN туннелей. Маршруты VPN нельзя содавать, изменять или удалять вручную.

Неактивные маршруты — неактивные в данный момент маршруты показаны в отдельном разделе. Это могут быть временно отключенные статические маршруты, статические маршруты через интерфейсы, разъединенные или удаленные из системы и т.д.



Удаление маршрутов из таблицы маршрутизации


При удалении маршрутов используются следующие правила:

Статическими маршрутами в папке Статические Маршруты (Static Routes) управляет WinRoute. Удаление любого из статических маршрутов немедленно и навсегда удалит маршрут из системной таблицы маршрутизации (после щелчка на кнопке Применить (Apply).

Динамические (системные) маршруты можно удалять, независимо от способа их добавления (было ли это сделано через Администраторский Терминал или с помощью команды "route"). Однако, невозможно удалить маршрут к сети, связанной с интерфейсом.

Постоянный маршрут операционной системы будет удален из таблицы маршрутизации только после перезагрузки операционной системы. При перезапуске операционной системы он будет автоматически восстановлен. Постоянные маршруты можно создавать различными методами. Методы варьируют в зависимости от операционной системы - в некоторых системах можно использовать команду "route -p", и т.д.).



Universal Plug-and-Play (UPnP)


WinRoute поддерживает протокол UPnP (Universal Plug-and-Play). Этот протокол позволяет приложениям клиента (например Microsoft Messenger) обнаружить брандмауэр и сделать запрос для установления связи с соответсвующими портами конкретного удаленного компьютера. Эта связь временная.

Чтобы настроить UPnP зайдите в папку Настройки безопасности в Конфигурация/Дополнительные опции.

Включить UPnP

Эта опция включает UPnP.

Предупреждение: Если WinRoute запучен в операционной системе Windows XP, перед тем, как включить функциюUPnP проверьте, не запущены ли следующие системные службы :

SSDP Discovery Service

Universal Plug and Play Device Host

Если любая из этих служб запущена, закройте её и запретите её автоматический запуск.

В WinRoute эти службы не могут использоваться вместе с UPnP.

Лимит времени связи с портом.

Из соображений безопасности, порты, запрашиваемые приложениями, связаны с ними только на определённый период. Связь автоматически прерывается по требованию приложения или, когда лимит времени(в секундах) превышен.

UPnP также позволяет приложению открывать порты на требуемый период.Здесь параметр Лимит времени связи с портом также представляет максимальный период, на который порт будет доступен для приложения (даже если приложение запрашивает более долгийй период, он автоматически уменьшится до этого значения).

Регистрировать пакеты

Если эта опция включена, все пакеты, проходящие через порт, связанный при помощи UPnP, будут записаны в Журнале безопасности (смотри раздел Журнал безопасности).

Регистрировать соединения

Если эта опция включена, все соединения, проходящие через порты связанные при помощи UPnP,будут записаны в Журнале соединений (смотри раздел Журнал соединений).

Предупреждение: Помипо того, что UPnP это полезное средство, он может поставить под угрозу безопасность сети, особенно в случае сетей с большим количеством пользователей, где брендмауэром не могут управлять слишком много пользователей. Администратору WinRoute следует тчательно обдумывать, предпочесть ли безопасность или работу приложений, которые требуют UPnP.

Используя политику учета трафика (смотри раздел Определение правил контроля трафика), Вы можете ограничить использование UPnP и включать его для определённых IP адресах или только для определённых пользователей .

Пример:

Первое правило разрешает UPnP только для IP из группы UPnP клиентов. Второе правило запрещает UPnP для других удалённых компьютеров (IP адрессов).



Установки безопасности


WinRoute предлагает несколько опций безопасности, которые невозможно определить правилами трафика. Эти опции можно установить на вкладке Безопасность (Security) в разделе Настройка/Продвинутые опции (Configuration / Advanced Options).



Установки удаленного администрирования


Удаленное администрирование может быть как разрешено так и запрещено установкой соответствующего правила трафика (traffic rule).   Обмен пакетов между  WinRoute  и Kerio Administration Console происходит по протоколам TCP и UDP через 44333 порт . Задать правила можно через сервис  KWF Admin.



VPN, использующий протокол IPSec


IPSec (IP Security Protocol, (Протокол Безопасности IP)) - это расширенный IP протокол. Он предлагает службу кодировки. Эта служба обеспечивает аутентификацию, а также доступ и контроль за надежностью. IPSec обеспечивает сервис, сходный с SSL, но работает на уровне сети. Через IPSec вы можете создавать кодированные туннели (VPN) или кодировать трафик между двумя узлами.

WinRoute имеет так называемый IPSec проход. Это значит, что WinRoute не имеет инструментов для установки соединения IPSec (туннеля), но он может обнаружить IPSec протокол и активизировать трафик между локальной сетью и Интернет.

Примечание: Функция IPSec прохода гарантирует полную функциональность существующих IPSec клиентов и работает после запуска WinRoute и Интернет шлюза. Если вы собираетесь разрабатывать и внедрять новые виртуальные частные сети, мы рекомендуем использовать собственное VPN решение WinRoute (см. главуKerio VPN).