Данный документ детально описывает последовательность
1. Введение
Данный документ детально описывает последовательность действий, которую необходимо выполнить для установки WinRoute, на примере модели типичной сети. Данная сеть включает большинство элементов, присутствующих в реальных сетях - Интернет-доступ из локальной сети, защита от атак со стороны Интернета, доступ к отдельным сервисам локальной сети извне, управление доступом пользователей, автоматическая настройка клиентов локальной сети и т.д.
Этот документ также описывает связь сетей головного офиса и филиала посредством зашифрованного канала (VPN), а также защищенный доступ клиентов к ресурсам локальной сети из сети Интернет с использованием инструментов WinRoute.
На схеме приведена рассматриваемая модель сети.
Установка WinRoute
2.2. Установка WinRoute
Запустите файл установки WinRoute и выберите опцию Typical installation.
Отключите сервисы Internet Connection Sharing (Windows Me, 2000, XP) или Internet Connection Firewall (Windows XP), если таковые будут обнаружены инсталлятором, в противном случае WinRoute может работать некорректно.
Базовая настройка политики трафика
2.3. Базовая настройка политики трафика
После перезагрузки запустите консоль управления Kerio Administration Console (Start / Programs / Kerio). Подключитесь к localhost (локальный компьютер), используя имя пользователя и пароль, заданные на этапе установки продукта. После первого входа в систему автоматически запустится мастер настройки сетевых правил Network Rules Wizard. Установите следующие параметры с помощью мастера:
Тип Интернет-подключения (Шаг 2) - тип интерфейса, через который брандмауэр подключен к сети Интернет
Настройка DNS Форвардера
2.5. Настройка DNS Форвардера
Перейдите в меню Configuration / DNS Forwarder для настройки DNS-серверов, на которые будут перенаправляться DNS-запросы. Выберите опцию "Check the Forward DNS queries to the specified DNS servers" и укажите один или несколько серверов в сети Интернет. Обычно лучшим выбором является указание DNS-серверов провайдера. Для получения данных адресов свяжитесь с вашим провайдером.
Внимание: Автоматический выбор DNS-серверов невозможен, т.к. DNS-сервер на сетевой карте, подключенной к локальной сети, использует тот же IP-адрес, что и DNS-сервер на брандмауэре (см. главу Настройка сетевых интерфейсов)— DNS-сервера всегда должны быть указаны в DNS форвардере, в противном случае DNS Форвардер не будет работать правильно.
Создание учетных записей пользователей и групп
2.6. Создание учетных записей пользователей и групп
Перейдите в раздел Users and Groups / Users для создания учетных записей для всех пользователей в локальной сети.
Если сеть построена на базе доменов Windows NT или Windows 2000, то пользователи могут быть импортированы из данных доменов. Имена и пароли пользователей будут использоваться для доступа к любым сетевым ресурсам, в том числе и к сети Интернет.
Адресные группы и временные интервалы
2.7. Адресные группы и временные интервалы
Перейдите в раздел Definitions / Address Groups для создания IP-групп, которые будут использоваться для ограничения доступа к почтовым учетным записям (см. главу Разрешение доступа к службам из сети Интернет). Эта группа будет состоять из адресов 123.23.43.123 и 50.60.70.80, а также из полной сети 195.95.95.128 с маской 255.255.255.248.
Добавляем IP-адрес:
Настройка антивирусного сканирования
2.10. Настройка антивирусного сканирования
Любые поддерживаемые внешние антивирусные приложения, которые Вы намереваетесь использовать, должны быть сначала установлены. Антивирусное приложение McAfee интегрировано в WinRoute, и для дальнейшего его использования Вы должны приобрести специальную лицензию.
Выберите соответствующее антивирусное приложение во вкладке Antivirus в Configuration / Content filtering /Antivirus и выберите протоколы, которые будут сканироваться. Все исполняемые файлы и файлы Microsoft Office сканируются по умолчанию.
Разрешение доступа к службам из сети Интернет
2.11. Разрешение доступа к службам из сети Интернет
Для добавления правила доступа к службам из сети Интернет перейдите во вкладку Configuration / Traffic Policy (Конфигурация/Политика Трафика).
Открыть доступ другим службам почтового сервера – разрешить только от определенных IP адресов.
Защищенный доступ удаленных клиентов к локальной сети
2.12. Защищенный доступ удаленных клиентов к локальной сети
Включите VPN-сервер для обеспечения защищенного доступа удаленных клиентов (VPN-клиентов) к локальной сети на вкладке Interfaces в меню Configuration / Interfaces (см. гл. Настройка головного офиса). Дополнительные настройки не требуются. Передача данных VPN-клиентам уже разрешена политикой трафика, созданной Мастером — см. гл. Базовая настройка политики трафика.
Настройка компьютеров в локальной сети
2.13. Настройка компьютеров в локальной сети
Параметры TCP/IP для машин, используемых в качестве файлового сервера и FTP-сервера должны быть заданы вручную (их IP-адреса не должны изменяться):
IP address — мы будем использовать 192.168.1.2 (см. гл. Настройка DHCP-сервера)
Default gateway, DNS server — используйте адрес соответствующего интерфейса шлюза (192.168.1.1)
Настройка головного офиса
2. Настройка головного офиса
Оглавление
2.1. Настройка сетевых интерфейсов2.2. Установка WinRoute2.3. Базовая настройка политики трафика2.4. Настройка DHCP-сервера2.5. Настройка DNS Форвардера2.6. Создание учетных записей пользователей и групп2.7. Адресные группы и временные интервалы2.8. Определение Web-правил2.9. Настройка политики FTP2.10. Настройка антивирусного сканирования2.11. Разрешение доступа к службам из сети Интернет2.12. Защищенный доступ удаленных клиентов к локальной сети2.13. Настройка компьютеров в локальной сети
Данный раздел посвящен детальному описанию настройки локальной сети и процесса установки WinRoute в головном офисе компании. Та же последовательность действий может быть применена при настройке сети в филиалах (должны отличаться только диапазоны IP-адресов).
Настройка головного офиса
3.1. Настройка головного офиса
Выберите VPN server на вкладке Interfaces раздела Configuration / Interfaces. Двойным кликом (или нажатием на клавишу Edit) откройте диалоговое окно для установки параметров VPN server. Отметьте опцию Enable VPN server на вкладке General.
Настройка филиала
3.2. Настройка филиала
Выберите VPN server на вкладке Interfaces раздела Configuration / Interfaces. Двойным кликом (или нажатием на клавишу Edit) откройте диалоговое окно для установки параметров VPN server. Отметьте опцию Enable VPN server на вкладке General.
Тестирование VPN
3.3. Тестирование VPN
Настройка VPN-туннеля завершена. Необходимо проверить доступность удаленных машин из локальных сетей головного офиса и филиала.
К примеру, для тестирования могут использоваться команды ping или tracert. Рекомендуется проверить доступность машин как по IP-адресу, так и по DNS-именам.
Если удаленная машина недоступна при тестировании по IP-адресу, проверьте конфигурацию правил трафика и/или отсутствие пересечения адресов сетей (например, случай, когда обе связанные сети используют адреса одной и той же IP-подсети).
Если IP-адрес доступен, а ошибка возникает при обращении по DNS-имени, то проверяйте настройку DNS.
Связь головного офиса с филиалом
3. Связь головного офиса с филиалом
Оглавление
3.1. Настройка головного офиса 3.2. Настройка филиала 3.3. Тестирование VPN
Данная глава содержит информацию о настройке соединения серверов головного офиса и филиала с помощью защищенного шифрованного канала (“VPN туннель”). Рассматриваемый пример описывает только базовую конфигурацию VPN-туннеля между двумя сетями. Вопросы, связанные с ограничением доступа или другими специфическими настройками, в рамках данного документа не освещаются. Для более детальной информации по настройке VPN см. инструкцию пользователя по продукту Kerio Winroute Firewall.
Описание примера разделено на две части: в первой приводится инструкция по настройке головного офиса, во второй - по настройке филиала. Предполагается, что обе сети уже предварительно сконфигурированы согласно описанию из главы Настройка головного офиса и соединение с сетью Интернет доступно.
Для более наглядного представления о решаемой задаче ниже приведена графическая схема соединений, включая IP-адреса.
Авторизация пользователей для доступа к веб-сайтам
Авторизация пользователей для доступа к веб-сайтам
Последнее опциональное ограничение - требование авторизации для доступа к веб-сайтам. Активируйте опцию Always require users to be authenticated when accessing web pages на вкладке Authentication Options в разделе Users and groups / Users.
Интернет-интерфейсы
Интернет-интерфейсы
Параметры TCP/IP для интернет-интерфейса должны быть установлены согласно информации, полученной от провайдера. В случае использования модемного коммутируемого подключения (диалап) необходимо создать соответствующее подключение на вкладке "Сетевые подключения" панели управления Windows.
Проверьте соединение (используйте команду ping или откройте любой веб-сайт в вашем браузере).
LAN-интерфейс
LAN-интерфейс
На LAN-интерфейсе должны быть сделаны следующие настройки:
IP address — будет использоваться адрес 192.168.1.1
network mask — 255.255.255.0
default gateway —на данном интерфейсе параметр не должен быть установлен!
DNS server — адрес DNS-сервера должен быть таким же, как и IP-адрес интерфейса, подключенного к локальной сети, чтобы DNS-запросы между головным офисом и филиалами обрабатывались корректно (см. главы Настройка головного офиса и Настройка филиала) а также дозвон по требованию с брандмауэра работал правильно.
Укажите в параметре Preferred DNS server - 192.168.1.1
Настройка кэша HTTP
Настройка кэша HTTP
Кэш ускоряет доступ к повторно открываемым веб-страницам, при этом одновременно уменьшая интернет-трафик. Кэш может быть активирован c помощью опций Enable cache on transparent proxy и Enable cache on proxy server в разделе Configuration / Content Filtering / HTTP Policy. Установите желаемый размер кэш-области с учетом свободного дискового пространства. По умолчанию установлено значение 1 Гб (1024 Мб), максимальное значение - 2 Гб (2048 Мб).
Настройка сервера DHCP
Настройка сервера DHCP
Перейдите в раздел Configuration / DHCP server консоли управления Kerio Administration Console. Откройте вкладку Scopes для создания IP-диапазона для машин, адреса которым будут присваиваться динамически (опция Add / Scope). Для настройки диапазона должны быть указаны следующие параметры:
First Address (Первый адрес) — выберите 192.168.1.10 (адреса с 192.168.1.1. до 192.168.1.9 будут зарезервированы для серверов и принтеров)
Last Address (Последний адрес) — 192.168.1.254 (адрес с самым большим номером, который может использоваться в данной сети)
Network mask (Сетевая маска) — 255.255.255.0
Default gateway (Основной шлюз) — IP-адрес сетевой карты шлюза, подключенной к локальной сети (192.168.1.1).
Подсказка
Подсказка
Не рекомендуется делать ручное резервирование адреса для принтера, если вы точно не знаете его аппаратный адрес. Запустите DHCP-сервер и подключите принтер к сети. Принтеру будет выделен адрес из диапазона, определенного ранее. Найдите этот адрес на вкладке Leases и используйте кнопку Reserve... для того, чтобы открыть диалоговое окно, в котором и будет указан аппаратный адрес. Укажите необходимый IP-адрес (и описание в случае необходимости) и нажмите на кнопку OK. Перезапустите принтер. Требуемый IP-адрес будет назначен принтеру DHCP-сервером.
Подсказка
Также возможно импортировать учетные записи пользователей из домена NT или из Active Directory. Это позволит сэкономить время и упростить задачу администрирования.
Для автоматического импорта учетных записей из Active Directory необходимо указать IP-адрес сервера AD, а также имя пользователя и пароль с соответствующими правами (может быть использона учетная запись любого пользователя домена). Кроме того, можно создать шаблон настроек (группы, права, квоты и т.п.), применяемый автоматически ко всем новым пользователям при их первой авторизации на сервере.
Перейдите в раздел Users and Groups / Groups для создания групп пользователей, которые будут использоваться для управления доступом к интернет-ресурсам. Распределите пользователей по соответствующим группам.
Предопределенные HTTP-правила
Предопределенные HTTP-правила
Следующие HTTP-правила предопределены при установке и доступны на вкладке URL Rules в разделе Configuration / Content Filtering / HTTP Policy:
Предопределенные правила FTP
Предопределенные правила FTP
Перейдите в раздел Configuration / Content Filtering / FTP Policy для настройки ограничений FTP. Следующие правила являются предопределенными и могут быть использованы для всех оговоренных ограничений.
На этом шаге вы можете
Примечание:
На этом шаге вы можете также определить правила маппинга (подстановки портов, трансляции адреса получателя) для других поддерживаемых служб, например, FTP-сервера, с помощью второго метода - определение собственных правил. Более подробно данный вопрос рассмотрен в разделе Разрешение доступа к службам из сети Интернет.
Общий доступ к Интернет-подключению (Шаг 7) — трансляция сетевых адресов (NAT) должна быть разрешена, если в локальной сети используются частные IP-адреса.
Примечание:
IP- адреса могут быть назначены принтерам вручную или с помощью DHCP-сервера. Если используется DHCP-сервер, то принеры настраиваются автоматически и их адреса отображаются в таблице выделенных адресов сервера. В случае ручной настройки принтеры становятся независимыми от доступности DHCP-сервера.
Динамические IP-адреса будут назначены локальным рабочим станциям (тем самым упрощается настройка).
В локальной сети будет использоваться DNS-домен company.com.
Примечание:
Для сети филиала будут использоваться адреса 10.1.1.х, сетевая маска 255.255.255.0 и DNS-домен filial.company.com.
Примечание:
Основной шлюз определяет путь, по которому пакеты из локальной сети будут направлены в сеть Интернет. Направление пакетов через WinRoute позволит создать правила фильтрации трафика, авторизацию пользователей и т.п.
DNS server — IP-адрес сетевой карты шлюза, подключенной к локальной сети (см. главу Настройка DNS Форвардера)
Примечание:
Имя должно быть одинаковым для всех элементов, чтобы все записи были добавлены к одной и той же группе.
В конечном итоге мы должны получить следующее:
Примечание:
Вы можете использовать готовые группировки дней (Weekday или Weekend) для настройки параметра Valid on — при этом нет необходимости индивидуально выделять каждый день.
Имя записей должно быть идентично, чтобы был создан только один временной интервал.
На рисунке приведен итоговый результат определения интервала времени Labor time:
Примечание:
Иногда может так случиться, что страница, на которой нет рекламы, будет заблокирована. В этом случае удалите соответствующую запись из группы Ads/banners или создайте правило-исключение для подобных страниц (мы рекомендуем именно второй метод).
Allow MS Windows automatic updates (Разрешить автоматические обновления Windows)
Правило разрешает автоматические обновления операционной системы Windows с серверов Microsoft.
Deny sites rated in Cobion categories (Запретить сайты по категориям Cobion)
Данное правило запрещает доступ к Web-сайтам, входящим в выбранные категории фильтра Cobion Orange Filter.
Нажмите кнопку Select Rating... для выбора блокируемых категорий. Отметьте соответствующие категории в разделе Pornography для запрета доступа к страницам с эротическим/сексуальным контентом.
Примечание:
Базовая лицензия WinRoute не включает систему Cobion (необходимо приобрести специальную версию лицензии). Однако данная система доступна в триальной версии WinRoute.
Система Cobion, включенная в поставку WinRoute, должна иметь возможность установки соединения с серверами баз данных в сети Интернет. Это означает, что политика трафика должна разрешать доступ к сервису COFS (6000/tcp) со шлюзовой машины. Разрешающее правило создается автоматически мастером настройки политики.
Вы можете создать несколько URL-правил, использующих технологию Cobion Orange Filter. Несколько категорий может быть выбрано для каждого правила.
Мы рекомендуем включить опцию “unlock” в правилах, использующих технологию Cobion Orange Filter, так как отдельные страницы могут быть классифицированы неверно и важная информация в некоторых случаях может блокироваться. Все запросы на разблокировку доступа сохраняются в журнале Filter — это позволяет вам отслеживать, были ли подобные запросы правомерны.
Примечание:
Вы можете указать информацию, которая будет отображена на странице блокировки, на вкладке Advanced (URL Rules) или перенаправить пользователей на другую страницу при попытке доступа к запрещенной странице.
Примечание:
Свободная подсеть и маска проставляются автоматически, и нет причин для их изменения.
Примечание:
рекомендуется впоследствии заменить данный сертификат на официальный, выпущенный публичным центром сертификации.
Выберите опцию пассивной установки VPN-туннеля (сервер филиала использует динамический IP-адрес). Укажите образ сертификата VPN-сервера филиала.
Примечание:
Свободная подсеть и маска проставляются автоматически, и нет причин для их изменения.
Примечание:
рекомендуется впоследствии заменить данный сертификат на официальный, выпущенный публичным центром сертификации.
Выберите опцию активной установки VPN-туннеля (сервер филиала использует динамический IP-адрес). Образ сертификата VPN-сервера может быть установлен с помощью простого нажатия на кнопку Detect remote certificate.
Примечание:
VPN-клиенты, подключающиеся к серверу головного офиса, могут получать доступ к компьютерам головного офиса и филиала (мы не создавали никаких ограничений). Однако рекомендуется все же проверить доступность обеих сетей с компьютера, подключенного в качестве VPN-клиента.
пока вы не определили все
Примечания
Не используйте DHCP-сервер, пока вы не определили все диапазоны и не зарезервировали все необходимые адреса.
Вы также можете использовать другой DHCP-сервер для автоматической настройки сетевого оборудования. Задайте IP-адрес внутреннего интерфейса шлюза в качестве параметра Default gateway и DNS server в настройках DHCP-сервера для выбранного диапазона адресов.
Примечания
Рекомендуется включить опцию " do not require athentication" для данного запрещающего правила, так как в противном случае пользователи будут направлены на страницу авторизации до того, после чего получат информацию о запрете.
В двух вышеописанных правилах должна быть выбрана только категория JobSearch.
Примечания
Это правило разрешает доступ к почтовым службам IMAP и POP 3 в зашифрованном и в незашифрованном виде - клиент может выбрать, какую службу использовать.
В данном примере правило для входящего SMTP-трафика уже было создано Мастером настройки правил (см. главу Базовая настройка политики трафика).
Доступ к SMTP сервису не должен быть ограничен определенными IP адресами, поскольку любой пользователь должен иметь возможность отправить электронную почту локальному домену.
Маппинг (отображение) местного сервера FTP
Примечания
Kerio VPN Client ( клиент Kerio VPN) должен быть установлен на каждой удаленной машине для обеспечения подключения с VPN-серверу WinRoute. Клиенты будут подключаться к серверу головного офиса (например, 63.55.21.12) и авторизоваться с помощью логина и пароля от своих учетных записей WinRoute (см. гл. Создание учетных записей пользователей и групп).
Для более подробной информации см. документ Kerio VPN Client — User Guide.
VPN-клиенты будут подключаться только к серверу головного офиса. Настройки для VPN-клиентов на сервере филиалов не требуется.
Примечания к примеру
Примечания к примеру
Для назначения IP-адресов локальным компьютерам могут быть использованы следующие методы:
Статический адрес 192.168.1.2 будет присвоен файловому/FTP серверу (его адрес не должен изменяться, иначе маппинг не будет работать).
Статический адрес будет присвоен сетевому принтеру с помощью DHCP-сервера. Принетры не могут иметь динамические адреса, т.к. в случае изменения адреса они станут недоступными с клиентских машин.
Шаг 1
Шаг 1
Шаг 1
Введите имя пользователя и пароль, которые будут использоваться в дальнейшем в качестве учетной записи администратора.
Шаг 1
Интернет-интерфейс (Шаг 3) - выберите Интернет-интерфейс или соответствующую запись диалап-соединения ( в этом случае также необходимо указать имя пользователя и пароль).
В случае диалап-соединения WinRoute требует указания соответствующего учетного имени пользователя и пароля. Указание этих данных необязательно в случае, если информация уже сохранена в операционной системе. Если нет (или вы не уверены, сохранена ли действительно данная информация), выберите опцию "Use the following login data" и укажите имя пользователя и пароль для соответствующей записи диалап-соединения.
Шаг 1
Шаг 1
Дополнительные параметры DNS Форвардера:
Рекомендуется включить опцию Enable cache... ( это уменьшит время ответа на повторяющиеся DNS-запросы).
Включите опцию Use custom forwarding для установки параметров, необходимых для корректной пересылки DNS-запросов между сетью головного офиса и сетью филиалов. Более подробно о данных опциях см. главы Настройка головного офиса и Настройка филиала).
Обе опции 'hosts' file и DHCP lease table должны быть включены (DNS Форвардер использует файл hosts и/или таблицу аренды DHCP для поиска имен и IP-адресов локальных машин).
Укажите локальный домен company.com в поле When resolving name... DNS Форвардер при этом сможет правильно отвечать на запросы, ссылающиеся на имена в локальной сети (например, fw) или на полные DNS-имена машин (например, fw.company.com).
Нажмите кнопку Edit file... для редактирования системного файла hosts. В этом диалоговом окне укажите все IP-адреса и имена компьютеров, для которых IP-адреса были назначены вручную (включая и сам брандмауэр).
Шаг 1
Установите права доступа к VPN- серверу для каждого пользователя, которому будет позволено удаленно подключаться к локальной сети (как VPN-клиент — см. главу Защищенный доступ удаленных клиентов к локальной сети).
Шаг 1
Добавляем сеть:
Шаг 1
Данное правило разрешает производить автоматическое обновление WinRoute и антивируса McAfee с сайта Kerio Technologies.
Remove advertisement and banners (Удалять рекламу и баннеры)
Фильтрация рекламы и баннеров. Согласно этому правилу блокируются все объекты, подпадающие под определение группы Ads/banners. Щелкните на данном правиле для его активации.
Шаг 1
This rule denies resuming interrupted data transfer (e.g. caused by a network error). If files transmitted by FTP are scanned, it is recommended to enable this rule (files transmitted “in pieces” cannot be reliably scanned).
Forbid upload
Deny storing data at FTP servers — this rule is already defined and it is satisfactory to switch it on if you intend to use it.
Forbid *.mpg, *.mp3 and *.mpeg files
This option denies transmission of sound files of the listed formats. This rule is already available and it can be enabled easily.
Forbid *.avi files
This rule will deny transmission of video files. Enable this rule, use the Edit button to open the appropriate dialog and define the Labor time time range in the Advanced tab.
Шаг 1
Шаг 1
|
Перезагрузите компьютер после завершения процесса
Шаг 2
Перезагрузите компьютер после завершения процесса установки.
Шаг 2
Правила для исходящего трафика (Шаг 4) - данные правила разрешают доступ к интернет-службам.
Шаг 2
Зарезервируем адрес для сетевого принтера с помощью опции Add / Reservation... Резервируемый адрес не обязательно должен принадлежать диапазону, заданному ранее, однако, он должен находиться в той же сети (в данном примере резервируется адрес 192.168.1.3). Вам необходимо знать аппаратный (MAC) адрес принтера для осуществления данной операции.
Шаг 2
Шаг 2
Если планируется использовать автоматическую авторизацию, то имя домена Windows NT/Windows 2000 должно быть указано в соответствующем поле диалога Advanced Options / User Authentication.
Шаг 2
Шаг 2
Шаг 2
Warning: The FTP policy refers to all FTP traffic that is processed by the FTP protocol inspector.
In the following example, we intend to enable the local FTP server from the Internet. The Forbid upload rule denies even upload to this server which is not always desirable. For this reason we must add a rule that would enable upload to this server before the Forbid upload rule.
Шаг 2
Вкладки HTTP, FTP scanning и Email scanning допускают детализированную конфигурацию сканирования этих протоколов. В большинстве случаев настройки по умолчанию являются оптимальными.
Шаг 2
Шаг 2
Включита автоматическую настройку ( с помощью DHCP) на всех рабочих станциях (она включена по умолчанию в большинстве операционных систем).
Шаг 2
Головной офис использует IP-адреса 192.168.1.x с маской 255.255.255.0 и доменным именем company.com. Филиал использует IP-адреса 10.1.1.x с маской 255.255.255.0 и доменным именем filial.company.com.
Шаг 2
Нажмите кнопку Advanced, затем Change SSL Certificate. Используйте кнопку Generate Certificate для создания сертификата для сервера (ID сервера).
Шаг 2
Нажмите кнопку Advanced, затем Change SSL Certificate. Используйте кнопку Generate Certificate для создания сертификата для сервера (ID сервера).
I want to use Kerio
Шаг 3
Политика VPN-сервера (Шаг 5) — выберите Yes, I want to use Kerio VPN для создания правил, разрешающих подключение мобильных пользователей и удаленных филиалов к головному офису (см. главу Связь головного офиса с филиалом).
Шаг 3
Шаг 3
Шаг 3
Перейдите в раздел Definitions / Time Ranges для создания интервала времени, ограничивающего интернет-доступ в рабочее время (с понедельника по пятницу с 8 часов утра до 17-00, в субботу и воскресенье с 8 до 12 часов).
Определение рабочего времени для будних дней (с понедельника по пятницу):
Шаг 3
Правило, запрещающее доступ всем остальным пользователям к данным страницам, должно быть добавлено после предыдущего правила.
Шаг 3
Notes:
The IP address of the host where the appropriate FTP service is running must be used to define the FTP server's IP address. It is not possible to use only the firewall's external IP address from which the FTP server is mapped (IP translation is performed before content filtering rules are applied)!
The same method can be applied to enable upload to a particular FTP server in the Internet whereas upload to other FTP servers will be forbidden.
Шаг 3
Примечание: Правила политик обрабатываются сверху вниз. Если трафик соответствует определённому правилу, то его дальнейшая обработка последующими правилами фильтра прекращается. Поэтому все разрешающие правила должны быть расположены до запрещающих правил.
Шаг 3
Шаг 3
Шаг 3
Образ созданного ключа (fingerprint) требуется при создании VPN-туннеля в головном офисе.
Правила для входящего трафика
Шаг 4
Правила для входящего трафика (Шаг 6) — например, маппинг почтового SMTP сервера.
Шаг 4
Шаг 4
Определение рабочего времени для выходных дней (суббота и воскресенье):
Шаг 4
Шаг 4
Дополните правило Local Traffic rule (созданное визардом - см. главу Базовая настройка политики трафика) только что созданным VPN-туннелем.
Шаг 4
Дополните правило Local Traffic rule (созданное визардом - см. главу Базовая настройка политики трафика) только что созданным VPN-туннелем.
Шаг 5
Шаг 5
Шаг 5
Шаг 5
Шаг 5
Шаг 5
В конфигурации DNS-форвардера (см. главу Настройка DNS Форвардера) включите опцию Use custom forwarding. Определите правила для домена filial.company.com. Укажите сервер для форвардинга запросов в виде IP-адреса сетевой карты удаленного шлюза, подключенной к локальной сети филиала.
Шаг 5
В конфигурации DNS-форвардера (см. главу Настройка DNS Форвардера) включите опцию Use custom forwarding. Определите правила для домена company.com. Укажите сервер для форвардинга запросов в виде IP-адреса сетевой карты удаленного шлюза, подключенной к локальной сети головного офиса.
Шаг 6
Шаг 6
Шаг 6
Шаг 6
Шаг 6
Шаг 6
Создание собственных URL-правил
Создание собственных URL-правил
Правила, которые будут применяться для отдельных пользователей или групп, могут быть добавлены после правила, требующего авторизацию от всех пользователей.
Вы можете добавить правило, разрешающее пользователям из группы Personal Department, получать доступ к страницам с предложениями работы.
Требования
Требования
Доступ к web-страницам будет ограничен согласно следующим правилам:
на web-страницах фильтруется реклама;
доступ к эротическому/сексуальному контенту запрещен;
доступ к страницам с предложениями работы запрещен (исключение делается только для пользователей из отдела кадров (Personal Department);
для получения доступа к сети Интернет пользователи должны авторизоваться на шлюзе (это позволит проводить мониторинг просмотренных пользователями страниц).
Выбор IP-адресов для локальной сети (LAN)
Выбор IP-адресов для локальной сети (LAN)
Вы можете использовать следующие варианты при выборе адресов для вашей локальной сети:
" публичные IP-адреса. Провайдер выделяет диапазон IP-адресов и устанавливает правила маршрутизации.
" частные IP-адреса и IP-трансляция (NAT). Мы рекомендуем использовать данную опцию, так как это позволяет упростить администрирование и техническую поддержку.
Частные адреса представляют из себя специальные IP-диапазоны, зарезервированные для использования исключительно в локальных сетях (частные сети). Данные адреса не должны существовать в адресном пространстве сети Интернет (Интернет-маршрутизаторы обычно настраиваются на блокировку прохождения всех пакетов, содержащих эти адреса).
Для частных сетей зарезервированы следующие IP-диапазоны:
10.x.x.x, сетевая маска 255.0.0.0
172.16.x.x, сетевая маска 255.240.0.0
192.168.x.x, сетевая маска 255.255.0.0
Предупреждение: Не используйте другие адреса в частной сети, т.к. в этом случае некоторые веб-сайты (работающие на тех же адресах) могут быть недоступны.
В нашем примере для локальной сети используется адрес 192.168.1.0 и сетевая маска 255.255.255.0.
|