Общие настройки фаерволлов
DELETED
Акула пера
2/14/2006, 12:52:11 PM
Winroute 4.2.5
Самый популярный из семейства Winroute прокси + фаерволл+маршрутизатор
Описание: [https://klimon1970.narod.ru/Soft/Winroute/WinRoute.doc
Настройка: https://klimon1970.narod.ru/Soft/Winroute/WinRouteManual.doc
Самый популярный из семейства Winroute прокси + фаерволл+маршрутизатор
Описание: [https://klimon1970.narod.ru/Soft/Winroute/WinRoute.doc
Настройка: https://klimon1970.narod.ru/Soft/Winroute/WinRouteManual.doc
DELETED
Акула пера
2/14/2006, 12:54:39 PM
Настройка Kerio Winroute Firewall 6
Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа.
Базовые Функции:
Network Address Translation (NAT) позволяет соединять локальную сеть с Интернет через один общий IP адрес (статический или динамический).
Интегрированный брандмауэр (файрвол) защищает всю локальную сеть, включая рабочую станцию, на которой он установлен, независимо от того, используется ли функция NAT (передача IP) или WinRoute используется как "нейтральный" маршрутизатор между двумя сетями.
Всеми установками безопасности в WinRoute можно управлять через так называемые правила политики трафика. Это обеспечивает эффективную защиту сети от внешних атак, при этом обеспечивая легкий доступ ко всем службам, работающим на серверах в пределах защищенной локальной сети (например, Web сервер, почтовый сервер, FTP сервер и др.). Правила Коммуникации в политике трафика могут ограничивать доступ локальных пользователей к определенным службам в Интернет.
Вам могут встретиться приложения, которые не поддерживают стандартные связи, которые могут использовать несовместимые протоколы соединений, и т.д. Для решения этой проблемы WinRoute включает так называемые инспекторы протоколов (protocol inspectors), которые определяют необходимый приложению протокол и динамически модифицируют работу брандмауэра, например, обеспечивая временный доступ к определенному порту (при этом будет временно открываться требуемый серверу порт). FTP в активном режиме, Real Audio или PPTP - вот лишь несколько примеров.
Фильтр Контента может отслеживать все коммуникации HTTP и FTP и блокировать объекты, не отвечающие установленным критериям. Установки могут быть глобальными или определяться отдельно для каждого пользователя. Скачанные объекты могут также прозрачно проверяться внешними антивирусными приложениями.
WinRoute имеет встроенный сервер DHCP, который устанавливает параметры TCP/IP для каждой рабочей станции вашей локальной сети.
Модуль DNS Форвардер обеспечивает легкую конфигурацию DNS и ускоряет ответы на запросы DNS. Это простой тип кеширования имени сервера, при котором запросы пересылаются другому серверу DNS. Ответы хранятся в кеш-памяти.
Удаленное Администрирование.
WinRoute может выполнять антивирусную проверку передаваемых файлов. Для этого доступны встроенный антивирус McAfee или внешние антивирусные программы (например, NOD32, AVG и др.). Проверка на вирусы может применяться к протоколам HTTP, FTP, SMTP и POP3.
WinRoute может отправлять пользователям почтовые уведомления, информируя их о различных событиях.
Для каждого пользователя можно установить квоты по передаче данных. Эти ограничения можно устанавливать на количество данных в день/месяц.
Блокировка P2P сетей.
WinRoute позволяет просматривать подробную статистику интерфейса брандмауэра (текущая скорость передачи данных, количество переданной информации за определенный период) и отдельных пользователей (количество переданной информации, используемые службы, категории посещаемых сайтов и др.).
Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа.
Базовые Функции:
Network Address Translation (NAT) позволяет соединять локальную сеть с Интернет через один общий IP адрес (статический или динамический).
Интегрированный брандмауэр (файрвол) защищает всю локальную сеть, включая рабочую станцию, на которой он установлен, независимо от того, используется ли функция NAT (передача IP) или WinRoute используется как "нейтральный" маршрутизатор между двумя сетями.
Всеми установками безопасности в WinRoute можно управлять через так называемые правила политики трафика. Это обеспечивает эффективную защиту сети от внешних атак, при этом обеспечивая легкий доступ ко всем службам, работающим на серверах в пределах защищенной локальной сети (например, Web сервер, почтовый сервер, FTP сервер и др.). Правила Коммуникации в политике трафика могут ограничивать доступ локальных пользователей к определенным службам в Интернет.
Вам могут встретиться приложения, которые не поддерживают стандартные связи, которые могут использовать несовместимые протоколы соединений, и т.д. Для решения этой проблемы WinRoute включает так называемые инспекторы протоколов (protocol inspectors), которые определяют необходимый приложению протокол и динамически модифицируют работу брандмауэра, например, обеспечивая временный доступ к определенному порту (при этом будет временно открываться требуемый серверу порт). FTP в активном режиме, Real Audio или PPTP - вот лишь несколько примеров.
Фильтр Контента может отслеживать все коммуникации HTTP и FTP и блокировать объекты, не отвечающие установленным критериям. Установки могут быть глобальными или определяться отдельно для каждого пользователя. Скачанные объекты могут также прозрачно проверяться внешними антивирусными приложениями.
WinRoute имеет встроенный сервер DHCP, который устанавливает параметры TCP/IP для каждой рабочей станции вашей локальной сети.
Модуль DNS Форвардер обеспечивает легкую конфигурацию DNS и ускоряет ответы на запросы DNS. Это простой тип кеширования имени сервера, при котором запросы пересылаются другому серверу DNS. Ответы хранятся в кеш-памяти.
Удаленное Администрирование.
WinRoute может выполнять антивирусную проверку передаваемых файлов. Для этого доступны встроенный антивирус McAfee или внешние антивирусные программы (например, NOD32, AVG и др.). Проверка на вирусы может применяться к протоколам HTTP, FTP, SMTP и POP3.
WinRoute может отправлять пользователям почтовые уведомления, информируя их о различных событиях.
Для каждого пользователя можно установить квоты по передаче данных. Эти ограничения можно устанавливать на количество данных в день/месяц.
Блокировка P2P сетей.
WinRoute позволяет просматривать подробную статистику интерфейса брандмауэра (текущая скорость передачи данных, количество переданной информации за определенный период) и отдельных пользователей (количество переданной информации, используемые службы, категории посещаемых сайтов и др.).
DELETED
Акула пера
2/14/2006, 12:55:35 PM
WinRoute также решает проблему личного VPN, который можно использовать в режимах сервер-сервер и клиент-сервер. VPN может с обоих сторон использовать NAT (даже множественный). Программа Kerio VPN Client включена в пакет WinRoute и может использоваться для создания клиент-сервер VPN (соединение удаленных клиентов с локальной сетью).
Следует обязательно помнить о том, что на компьютере, где установлен WinRoute, не должно использоваться следующее программное обеспечение, т.к. оно конфликтует с Kerio:
Приложения для Общего Соединения с Интернет — например, Microsoft Internet Connection Sharing, Microsoft Прокси-сервер, Microsoft Proxy Client, и т.д.
Сетевые брандмауэры, такие как Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (компании Ositis), Sygate Office Network and Sygate Home Network, и т.д.
Персональные брандмауэры: Kerio Personal Firewall, Internet Connection Firewall (включенный в Windows XP), Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, и т.д.
Программное обеспечение, разработанное для создания частных виртуальных сетей (VPN): CheckPoint, Cisco Systems, Nortel, и т.д. Примечание: Решение VPN, включенное в операционную систему Windows (основанное на протоколе Microsoft PPTP) поддерживается WinRoute.
Приложения, которые используют те же самые порты что и брандмауэр, нельзя запускать на хосте WinRoute (или конфигурация портов должна быть изменена). Если все службы запущены, WinRoute использует следующие порты:
53/UDP — DNS Форвардер
67/UDP — DHCP Сервер
1900/UDP — SSDP Discovery service
2869/TCP — UPnP Host service
3128/TCP — HTTP Прокси-сервер
44333/TCP+UDP — связь между Администраторский Терминал Kerio и Брандмауэр WinRoute. Эта служба не может быть остановлена.
Следующие службы используют соответствующие порты по умолчанию. Порты для этих служб могут быть изменены.
3128/TCP — HTTP Прокси-сервер
4080/TCP — Администрирование Web Интерфейса
4081/TCP — безопасная (SSL-encrypted) версия Администрирования Web Интерфейса
4090/TCP+UDP — личный VPN сервер
Следует обязательно помнить о том, что на компьютере, где установлен WinRoute, не должно использоваться следующее программное обеспечение, т.к. оно конфликтует с Kerio:
Приложения для Общего Соединения с Интернет — например, Microsoft Internet Connection Sharing, Microsoft Прокси-сервер, Microsoft Proxy Client, и т.д.
Сетевые брандмауэры, такие как Microsoft ISA Server, CheckPoint Firewall-1, WinProxy (компании Ositis), Sygate Office Network and Sygate Home Network, и т.д.
Персональные брандмауэры: Kerio Personal Firewall, Internet Connection Firewall (включенный в Windows XP), Zone Alarm, Sygate Personal Firewall, Norton Personal Firewall, и т.д.
Программное обеспечение, разработанное для создания частных виртуальных сетей (VPN): CheckPoint, Cisco Systems, Nortel, и т.д. Примечание: Решение VPN, включенное в операционную систему Windows (основанное на протоколе Microsoft PPTP) поддерживается WinRoute.
Приложения, которые используют те же самые порты что и брандмауэр, нельзя запускать на хосте WinRoute (или конфигурация портов должна быть изменена). Если все службы запущены, WinRoute использует следующие порты:
53/UDP — DNS Форвардер
67/UDP — DHCP Сервер
1900/UDP — SSDP Discovery service
2869/TCP — UPnP Host service
3128/TCP — HTTP Прокси-сервер
44333/TCP+UDP — связь между Администраторский Терминал Kerio и Брандмауэр WinRoute. Эта служба не может быть остановлена.
Следующие службы используют соответствующие порты по умолчанию. Порты для этих служб могут быть изменены.
3128/TCP — HTTP Прокси-сервер
4080/TCP — Администрирование Web Интерфейса
4081/TCP — безопасная (SSL-encrypted) версия Администрирования Web Интерфейса
4090/TCP+UDP — личный VPN сервер
DELETED
Акула пера
2/14/2006, 1:05:57 PM
Настройка Kerio Winroute Firewall 6.0.11 в сети с доменом
Для более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.
Рис. 1. Схема локальной сети.
Первое что вам нужно сделать - это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.
Открываем пункт меню Interfaces:
Рис. 2. Interfaces.
Поясню назначения интерфейсов:
LAN - сетевая карта, смотрящая в локальную сеть
INTERNET - сетевая карта, смотрящая в интернет и имеющая реальный IP
Переходим к самому главному - пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:
Рис. 3. Traffic policy.
Поясню смысл полей и правил в целом:
поле Source - источник трафика (то есть КТО)
поле Destination - получатель траффика (то есть КУДА)
поле Service - типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
поле Action - запрет или разрешение трафика для созданного правила
поле Translation - тут включается трансляция адреса (NAT) и также делается Port-mapping
поле Valid on - тут можно выбрать в какой интервал времени действует данное правило (интервалы времени можно определить в меню Time Ranges (в данной статье рассматривать не будем)
поле Log - для включения записи в лог результата действия данного правила
Пояснения по правилам, показанным на рисунке 3:
правило 1 разрешает серверу "ходить" в локалку
правило 2 разрешает любой трафик из локалки на сервер
правило 3 разрешает любой трафик от самого сервера в интернет
правило 4 разрешает любой трафик из локалки в интерфейс, подключенный к интернету, то есть в инет, при этом включена трансляция адресов (NAT) и пользователи имеют прозрачный доступ в интернет по любому протоколу
правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер, находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)
Примечание: правила обрабатываются сверху вниз и действуют по принципу "запрещено ВСЁ кроме разрешенного"
Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета) на указанные сервера + возможна настройка файла HOSTS
Рис. 4. DNS Forvarder.
Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие "дружественные" подсети) настраивать жёсткую привязку к определенным ДНС:
Рис. 5. Custom DNS Forvarding
Для более наглядной настройки файрвола составим схему локальной сети, пример которой показан на рисунке 1.
Рис. 1. Схема локальной сети.
Первое что вам нужно сделать - это конечно же установить Kerio Winroute на компьютер, ЖЕЛАТЕЛЬНО не являющийся DC. Перегрузиться, зарегистрировать файрвол и после этого приступить к конфигурации.
Открываем пункт меню Interfaces:
Рис. 2. Interfaces.
Поясню назначения интерфейсов:
LAN - сетевая карта, смотрящая в локальную сеть
INTERNET - сетевая карта, смотрящая в интернет и имеющая реальный IP
Переходим к самому главному - пункту Traffic policy, где будем настраивать (в моём примере ручками) доступ в интернет для локальной сети:
Рис. 3. Traffic policy.
Поясню смысл полей и правил в целом:
поле Source - источник трафика (то есть КТО)
поле Destination - получатель траффика (то есть КУДА)
поле Service - типа трафика (протоколы) которые вы хотите разрешить или запретить создаваемым правилом
поле Action - запрет или разрешение трафика для созданного правила
поле Translation - тут включается трансляция адреса (NAT) и также делается Port-mapping
поле Valid on - тут можно выбрать в какой интервал времени действует данное правило (интервалы времени можно определить в меню Time Ranges (в данной статье рассматривать не будем)
поле Log - для включения записи в лог результата действия данного правила
Пояснения по правилам, показанным на рисунке 3:
правило 1 разрешает серверу "ходить" в локалку
правило 2 разрешает любой трафик из локалки на сервер
правило 3 разрешает любой трафик от самого сервера в интернет
правило 4 разрешает любой трафик из локалки в интерфейс, подключенный к интернету, то есть в инет, при этом включена трансляция адресов (NAT) и пользователи имеют прозрачный доступ в интернет по любому протоколу
правило 5 разрешает доступ из интернета на сервер по HTTP и производит перенаправление пакетов на WEB-сервер, находящийся во внутренней сети (то есть внутренний веб-сервер становится доступен из сети интернет)
Примечание: правила обрабатываются сверху вниз и действуют по принципу "запрещено ВСЁ кроме разрешенного"
Пункт DNS Forvarder служит для включения перенаправления ДНС запросов (для разрешения имён интернета) на указанные сервера + возможна настройка файла HOSTS
Рис. 4. DNS Forvarder.
Можно для определенных доменов и IP-диапазонов (обычно если имеются всякие "дружественные" подсети) настраивать жёсткую привязку к определенным ДНС:
Рис. 5. Custom DNS Forvarding
DELETED
Акула пера
2/14/2006, 1:14:07 PM
Для нормальной работы компьютеров в домене вы должны настроить ваш доменный DNS-сервер для пересылки неразрешенных запросов на адрес машины с КЕРИО:
Рис. 6. Настрока пересылки.
Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.
HTTP Policy:
В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):
Рис. 7. HTTP Policy.
На рисунке 7 создана группа "локал" и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.
На следующей картинке показаны HTTP - правила, с применением групп адресов:
Рис. 8. HTTP Policy.
Авторизации к локальным ресурсам веб (например, если на шлюзе поднят веб-сервер), второе правило разрешает автоматическое обновление антивирусов установленных на шлюзе (где наш Керио) так же без авторизации, третье правило разрешает доступ снаружи к локальному сайту к определенным страницам (не показано), четвертое правило запрещает доступ к остальным страницам (не указаным в группе), последнее правило позволяет прользователю "генка" доступ по HTTP - БЕЗ авторизации.
Контентные правила оставляем по умолчанию:
Рис. 9. Content Rules.
Кеш отключаем:
Рис. 10. Cache.
На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):
Рис. 11. Proxy Server.
Закладку Forbidden words не трогаем.
Рис. 6. Настрока пересылки.
Эти настройки находятся в свойствах ДНС в Win2k(3), при этом сервер не должен быть корневм, т.е., должна быть удалена зона . (точка). На машине с Керио в свою очередь должен быть включен DNS Forwarding.
HTTP Policy:
В URL Groups можно создавать группы, в которые вносить сайты, схожие по содержанию (например банерные сети, порноресурсы) и потом использовать эти группы для ограничения к ним доступа локальных пользователей (будет показано чуть ниже):
Рис. 7. HTTP Policy.
На рисунке 7 создана группа "локал" и она содержит маску внутрисетевых ресурсов, далее мы к ним разрешим доступ БЕЗ авторизации.
На следующей картинке показаны HTTP - правила, с применением групп адресов:
Рис. 8. HTTP Policy.
Авторизации к локальным ресурсам веб (например, если на шлюзе поднят веб-сервер), второе правило разрешает автоматическое обновление антивирусов установленных на шлюзе (где наш Керио) так же без авторизации, третье правило разрешает доступ снаружи к локальному сайту к определенным страницам (не показано), четвертое правило запрещает доступ к остальным страницам (не указаным в группе), последнее правило позволяет прользователю "генка" доступ по HTTP - БЕЗ авторизации.
Контентные правила оставляем по умолчанию:
Рис. 9. Content Rules.
Кеш отключаем:
Рис. 10. Cache.
На закладке Proxy отключаем непрозрачный (non-transparent) прокси, работающий на 3128 порту (для данной конфигурации):
Рис. 11. Proxy Server.
Закладку Forbidden words не трогаем.
DELETED
Акула пера
2/14/2006, 1:28:50 PM
Переходим к пункту Antivirus и отключаем его (грузит машину, из-за него не работает докачка, да ещё непонятно вообще, он работает или нет):
Рис. 12. Antivirus.
Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):
Рис. 13. HTTP, FTP Scanning.
Можно настроить отсылку сообщений на мыло администратора (или, например, начальника) когда антивирус кериовский обнаружит в почтовом трафике (который, в принципе, проходит через ваш шлюз) вирусы + он (Керио) может вставлять в тему письма предупреждающее слово (**VIRUS**):
Рис. 14. Email Scanning.
Пункт меню Address Group служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания "индивидуальных" правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):
Рис. 15. Address Group.
В меню Time Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика для действия правил в указанные часы (интервалы):
Рис. 16. Time Ranges.
Меню Services:
Рис. 17. Services.
Список всевозможных "сервисов", которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного следить за "правильностью" пакетов и отличать настоящий трафик от "ложного".
Ниже приведен пример создания нового "сервиса" для винрута с названием "http (на нестандартном порту)", это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:
Рис. 18. Создание сервиса.
Данная картинка показывает, как сделать "сервис", например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета.
Меню Advanced Options:
Рис. 19. Advanced Options.
Отключаем все галочки.
Рис. 20. Advanced Options.
Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.
Рис. 21. Advanced Options.
В общем, настройки ISS (оранж фильтра) у меня вот такие...
Рис. 22. Advanced Options.
Настроечки для автоматической проверки новых версий.
Рис. 23. Advanced Options.
Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).
Рис. 24. Advanced Options.
Тут включаем пользовательскую статистику.
Настраиваем логи:
Рис. 25. Logs and Alerts.
Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:
Рис. 26. Add Alert.
Рис. 12. Antivirus.
Следующая закладка для настроек того, какое содержимое будет сканировать антивирь (если включён конечно же):
Рис. 13. HTTP, FTP Scanning.
Можно настроить отсылку сообщений на мыло администратора (или, например, начальника) когда антивирус кериовский обнаружит в почтовом трафике (который, в принципе, проходит через ваш шлюз) вирусы + он (Керио) может вставлять в тему письма предупреждающее слово (**VIRUS**):
Рис. 14. Email Scanning.
Пункт меню Address Group служит для составления групп адресов локальных или интернетовских, эти группы адресов можно применять в политиках трафика для создания "индивидуальных" правил (запрещать или разрешать кому либо или всем доступ к этим адресным группам):
Рис. 15. Address Group.
В меню Time Ranges настраиваются временные интервалы, которые потом могут быть указаны в политиках трафика для действия правил в указанные часы (интервалы):
Рис. 16. Time Ranges.
Меню Services:
Рис. 17. Services.
Список всевозможных "сервисов", которые применяются в трафикполисях (собственно говоря, применяются в настройках пакетного фильтра), красным обведено включённое использоватние так называемого "протоколинспектора", призванного следить за "правильностью" пакетов и отличать настоящий трафик от "ложного".
Ниже приведен пример создания нового "сервиса" для винрута с названием "http (на нестандартном порту)", это обычно нужно если требуется выход в интернет некоторым сервисам, работающим на НЕСТАНДАРТНОМ порту:
Рис. 18. Создание сервиса.
Данная картинка показывает, как сделать "сервис", например, для web-сервера, работающего на НЕСТАНДАРТНОМ (отличном от общепринятого) порту, то есть, вместо 80-го на 888. Далее этот сервис можно указывать в политиких трафика для разрешения или явного запрета.
Меню Advanced Options:
Рис. 19. Advanced Options.
Отключаем все галочки.
Рис. 20. Advanced Options.
Включаем встроенный web-интерфейс, через который будет происходить авторизация пользователей.
Рис. 21. Advanced Options.
В общем, настройки ISS (оранж фильтра) у меня вот такие...
Рис. 22. Advanced Options.
Настроечки для автоматической проверки новых версий.
Рис. 23. Advanced Options.
Тут настраиваем через какой почтовый сервер винроут сможет отправлять письма (предупреждения о найденых вирусах в почтовом трафике + всевозможные алерты).
Рис. 24. Advanced Options.
Тут включаем пользовательскую статистику.
Настраиваем логи:
Рис. 25. Logs and Alerts.
Ниже показано как сделать Алерт (который пошлётся по емайлу), сообщающий о начале сканирования портов:
Рис. 26. Add Alert.
DELETED
Акула пера
2/14/2006, 1:32:05 PM
Меню Users и Group - там вы создаете пользователей и группы и размещаете пользователей по группам. Это сделано для того, что бы можно было делать разные трафик полиси для пользователей\групп, а так же применять HTTP-правила доступа для юзеров\групп индивидуально.
Рис. 27. Users.
На картинке так же показано как "привязать" пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику.
В общем, тут всё понятно.
Включаем обязательную авторизацию (работает только для HTTP ):
Рис. 28. Users.
Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.
Рис. 29. Users.
Можно идентифицировать доменных пользователей.
Последнее, что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет.
Приведен скриншот настройки одного из пользовательских компьютеров:
Рис. 30. Настройка компьютера пользователя.
В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен).
P.S. Данные настройки приведены в самом простом виде, думать практически не надо. Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.
Рис. 27. Users.
На картинке так же показано как "привязать" пользователя к определенному IP (или имени компа), в этом случае будет происходить АВТОМАТИЧЕСКАЯ АВТОРИЗАЦИЯ и весь трафик от указанного IP (компа) будет ассоциироваться с данным пользователем и начисляться в его (пользовательскую) статистику.
В общем, тут всё понятно.
Включаем обязательную авторизацию (работает только для HTTP ):
Рис. 28. Users.
Ставим галочку для того, чтобы всегда запрашивалась авторизация перед посещением страниц интернета.
Рис. 29. Users.
Можно идентифицировать доменных пользователей.
Последнее, что нам остается сделать - настроить компьютеры локальной сети для того что бы они ходили в инет через наш УЖЕ настроенный Kerio Winroute Firewall, являющимся роутером + NAT в интернет.
Приведен скриншот настройки одного из пользовательских компьютеров:
Рис. 30. Настройка компьютера пользователя.
В качестве основного шлюза указываете адрес вашего Керио-маршрутизатора, а в качестве предпочитаемого DNS-сервера следует указывать адрес локального DNS (во избежание долгого входа в домен).
P.S. Данные настройки приведены в самом простом виде, думать практически не надо. Для более тщательной настройки защищенности сервера от локальной сети и от интернета ВЫ САМИ в силах придумать и создать правила, ведь конфигурации сетей у всех разные и требования у всех разные.
DELETED
Акула пера
2/14/2006, 4:08:28 PM
Zone Alarm Pro 4.5.594.000
Руководство пользователя(англ.):
https://download.zonelabs.com/bin/media/pdf...User_Manual.pdf
Скомпилированный файл справки(русс.)
https://klimon1970.narod.ru/Soft/ZoneAlarm/ZAProHelprus.rar
Дополнительная информация по работе с Windows XP SP2 (англ.)
https://www.zonelabs.com/store/content/comp...lid=ts_xpsp2faq
Версия 5.1 не намного отличается от данной...К тому русификатор для нее не такой обстоятельный как этот...Версии выше v5.1.033 при подключении к сети вызывают перезагрузку компа в 7 из 10 случев после первоначальной установки. Вот такая - "засада" с обновлениями...
Руководство пользователя(англ.):
https://download.zonelabs.com/bin/media/pdf...User_Manual.pdf
Скомпилированный файл справки(русс.)
https://klimon1970.narod.ru/Soft/ZoneAlarm/ZAProHelprus.rar
Дополнительная информация по работе с Windows XP SP2 (англ.)
https://www.zonelabs.com/store/content/comp...lid=ts_xpsp2faq
Версия 5.1 не намного отличается от данной...К тому русификатор для нее не такой обстоятельный как этот...Версии выше v5.1.033 при подключении к сети вызывают перезагрузку компа в 7 из 10 случев после первоначальной установки. Вот такая - "засада" с обновлениями...
dog12
Профессионал
8/23/2006, 7:51:01 AM
А про Outpost Firewall Pro v3.5 рассказать можешь?
inti
Новичок
8/28/2006, 1:52:25 AM
С удовольствием почитал бы про настройку ISA 2004.
Нужные правила и прочие нюансы..
Нужные правила и прочие нюансы..
caindeep
Мастер
10/17/2006, 4:01:10 PM
(inti @ 27.08.2006 - время: 21:52) С удовольствием почитал бы про настройку ISA 2004.
Нужные правила и прочие нюансы..
Книжку скачай. Рассказывать долго будет.
Нужные правила и прочие нюансы..
Книжку скачай. Рассказывать долго будет.
malef
Интересующийся
10/18/2006, 1:51:25 AM
Ух мусчина , и правда посмешили , если по ИСЕ будут вопросы - задавай , а полную настройку приводить и правдо муторно , хотя и нет там ничего сложного