Настройки фильтра пакетов

Настройка конфигурации той части межсетевого экрана WinRoute Pro, которая осуществляет фильтрацию пакетов, чрезвычайно проста, однако требует полного понимания логических принципов фильтрации пакетов, реализованных в программном комплексе WinRoute.

Правила настройки по интерфейсам

Пользователь имеет возможность назначить свои правила обеспечения безопасности по каждому из имеющихся в компьютере интерфейсов, что крайне важно при администрировании сетей, состоящих из множества сегментов.

Пример: приведенная ниже иллюстрация отображает настройки сети, в которой:

любой пользователь Интернета обладает правом доступа к внутрисетевому Web-серверу;

доступом к внутрисетевому серверу PPTP (протокол двухточечной связи с туннелированием), который обеспечивает установку связи с узлами внутри сети, обладают лишь определенные пользователи, объединенные в Группу адресов под названием Travellers ("путешествующие").

fw2

Отдельные правила для исходящих и для входящих пакетов

К исходящим и к входящим пакетам в программном комплексе WinRoute применяются отдельные правила. При этом в каждом интерфейсе создается своя таблица, в которую запиаются данные как входящих, так и исходящих пакетов. Иными словами, по каждому пакету создаются две записи: в одной регистрируются исходные данные, в другой - входящие.

Что такое ВХОДЯЩИЙ и ИСХОДЯЩИЙ пакет?

С точки зрения программного комплекса WinRoute, его механизм (engine) является первоосновой всей системы. Это означает, что все пакеты, покидающие механизм WinRoute, рассматриваются как ИСХОДЯЩИЕ независимо от того, направляются ли они в Интернет или в локальную сеть. Аналогичным образом, все пакеты, поступающие В головной компьютер WinRoute, рассматриваются как ВХОДЯЩИЕ независимо от их источника. Это следует обязательно учитывать при формировании правил обеспечения безопасности.

fwinout

ПРИМЕНЕНИЕ ПРАВИЛ:

По принципу "СВЕРХУ ВНИЗ"

Правила применяются по принципу "сверху вниз" в том порядке, в котором они занесены в перечень. Поступивший на интерфейс пакет подвергается проверке по перечню предустановленных критериев: сначала на соответствие правилам, расположенным в верхней его части, затем - всё ниже и ниже, и так вплоть до правила, завершающего перечень. При обнаружении соответствия тому или иному критерию применяется установленное для него правило, прочие же правила опускаются, и проверка на этом прекращается.

Правила могут быть применены:

к отдельным пользователям;

к диапазону IP-адресов;

к сформированной пользователем группе IP-адресов (порядок формирования группы изложен в справочной части данного руководства);

к определенной подсети или к сети в целом.

{The file 'Graphics\fwall3.gif' could not be found.}

Правила могут применяться в пределах определенного временного пояса

Бывает, что в рабочее время необходимо применить одни правила, в другое же время (например, к ночному доступу) - другие. Или же определенным пользователям нужно предоставить доступ в Интернет в рабочие часы, другим - только в обеденный перерыв, при этом ограничив такой доступ только определенными ресурсами.

Пример:

Полный контроль за доступом пользователей в Интернет. Предположим, сетевому администратору требуется предоставить всем пользователям доступ к внутренней сети, однако многие ее узлы пользуются общедоступными Web- или FTP-серверами, которые находятся за пределами системы WinRoute.

В этом случае правила для входящих пакетов могут быть установлены следующим образом:

разрешить прохождение пакетов, направляемых с любого узла на порт 80

разрешить прохождение пакетов, направляемых с любого узла на порт 21

запретить все пакеты

Если входящий пакет отвечает правилу 1 или 2, то он проходит свободно, и правило 3 к нему не применяется. В противном случае пакет подпадает под запрет, установленный правилом 3.

fw1