Configurarea unui firewall proxy
Principiul de funcționare a firewall proxy este același lucru (adică software-ul). Când configurați un proxy reguli de firewall sunt create în conformitate cu regulile firewall proxy, sau trece pachete în / din rețea sau aruncate înapoi în mare. Considerăm construirea serverului proxy firewall pe exemplul companiei de software Kerio. Democrat suficient de preț, oferind nevoile unei rețele mici. Și chiar dacă nu există nici un ban pe server, pe baza ordinare Pentium4 / 512MB, puteți construi un firewall proxy, care poate face față cu ușurință cu o rețea de până la 100 de mașini. Ei bine, desigur, sistemul de operare este mai bine pentru a pune pe server. Sau, puteți cumpăra întotdeauna proxy advanced.name servicii excepționale
Și încă un lucru - firma Kerio a scris software-ul care se integrează cu Active Directory. Se spune că, dacă setați firewall-ul proxy pe un computer care este un membru de domeniu, atunci când setarea este ușor de a importa baze de date de utilizator. Iar atunci când creați un utilizator în domeniu, acesta va avea automat acces la Internet (când este configurat corect). Cu toate acestea, acest confort controversat. De exemplu, prefer să controleze pe deplin toate procesele din rețea, așa că acum începem să instalați firewall proxy pe un computer care nu este nu numai un membru de domeniu, dar este un grup complet diferit. În această formulare, întrebarea la care trebuie să înceapă toți utilizatorii mâinile pe server proxy firewall. În principiu, ne-ar trebui totuși să înceapă un utilizator separat pe firewall proxy, ca produs al companiei Kerio nu este prietenos cu alfabetul chirilic, iar toți utilizatorii din Active Directory instituit naernyaka în structura rusă. Începem.
Descrierea instalării sistemului de operare, cred că, pot fi omise. Să ne dea numele calculatorului și grupul de lucru, pe care o vom numi un server proxy firewall, aceeași - PRFW. Deoarece computerul ascuti un server proxy firewall, opriți toate serviciile care nu sunt necesare și să efectueze instalarea la un nivel minim. Nimic în plus, nu avem nevoie.
Vom începe instalarea. Ca de obicei, am fost în grabă la ajutorul unui asistent built-in. Clic lung pe butonul „Next“, până când ajunge la ecranul de selectare de setare. Aici, desigur, pentru a alege tipul de instalare „personalizat“.
Acum suntem în așteptare pentru o anumită sumă de minute înainte de a fi instalat. Apoi, reporniți computerul și să vedem ce sa întâmplat. După repornire, executați de administrare oferta serverul proxy consola firewall Kerio. Run.
Apoi, introduceți numele de utilizator și parola. Din nou, programatorii atent au făcut tot ce nu am avut mult peretrudilis, încreți creierul meu - noi oferim din nou asistent pentru a configura firewall-ul proxy. Aici, să ne pentru un moment. Ca de obicei, există două opțiuni: mers pe jos, sub direcția de asistent și de a fi gata pentru a ieși un firewall proxy funcțional, care apoi poate fi corectată, dacă este necesar, toate regulile sau de a întrerupe Asistentul de service și începe să facă mânere. Noi nu căutăm modalități simple și va face totul cu mâna. Anulează Asistentul de locuri de muncă. Acum, când porniți consola administrativă, trebuie să ne fie înregistrați copia dvs. (numai în cazul în Internet), sau de a folosi versiunea demo (cu Internet), sau pentru a instala o cheie de licență existentă. Setați cheia, el e cu noi. Cu inregistrare completat. Acum, uite ce avem. Și avem o regulă (poate nici nu elimina nici o schimbare), care închide complet toate porturile.
Acum e timpul ajutor. Pe pagina „Politica de trafic“ în partea de jos este un buton „Wizard“ și faceți clic pe acesta. Prima pagină ne-a spus despre modul în care asistentul va stabili regulile (numai citire din plictiseală) -> „Next“.
A doua pagină: selectați tipul de conexiune la Internet, dacă nu dual-up, vom lăsa implicit. Pe pagina următoare, selectați interfața care este conectat la Internet (am numit „Internet Connection“). "Next".
Acum ni se oferă porturile care urmează să fie deschise. Vă sugerez să părăsească toate implicit, vom modifica în continuare.
Pe pagina a cincea a regulii referitoare la VPN: în cazul în care semnificatul nu este destinat a fi utilizat, apoi resetați bifă. "Next".
Aici am ajuns la regulile de intrare. În a șasea pagină a asistentului vă solicită să specificați care serviciile sunt utilizate în rețeaua locală ar trebui să fie vizibile de pe Internet (serverul web, serverul de mail, server FTP și așa mai departe). Dacă există ceva pe pagina, și nu adaugă nimic. "Next".
A șaptea pagină folosesc de obicei NAT. Aceasta este o parte importantă - și-a marcat regula. La „Finish“ buton pagina a opta râvnit. Avem un server firewall gata-proxy.
Dacă te uiți atent la regulile care au creat un ajutor, veți vedea că, în principiu, toate de bază și necesare pentru a ieși din LAN la Internet este. Cu toate acestea, înainte de a începe să înceapă un utilizator pe server proxy firewall, aveți nevoie pentru a face unele mai multe setări. Cu această configurație, utilizatorul nu are acces la Internet, deoarece acesta nu are dreptul să-l, dar unele servicii care rulează pe mașina utilizatorului, capabile să ajungă la internet, deoarece există o regulă care permite protocoale (HTTP, de exemplu), du-te on-line. Primul lucru de făcut este de a elimina posibilitatea de a se retrage din LAN la rețea, astfel încât orice. Nici unul din serviciu, nicio cerere nu ar trebui să aibă o astfel de oportunitate. Atâta timp cât noi nu atingem regulile care au creat un ajutor. Vom începe să se bazeze pe propria lor. Creați două reguli la nivel de interfață: unul permite NIC LAN (Local Area Connection) acces complet la firewall-ul proxy, al doilea - interzice accesul la rețea la placa de rețea „Conexiune internet“.
Pe pagina „Politica de trafic“, faceți clic pe „ADD“, și avem o nouă regulă „Regulă nouă“. Editați-l: faceți dublu clic pe pravile-> da un nume „Proxy1„-> schimba culoarea (Fac asta pentru ceea ce ar distinge regulile create de mine, de către asistentul creat reguli) -> în descriere scrie:“Schimbul între interior de rețea și firewall-ul. " Acum, editați sursa: Faceți dublu clic pe regula Proxy1 coloana sursă. În fereastra care se deschide, faceți clic pe Edit Source Add, din meniul listă, selectați Conexiune de rețea pentru a interfață. Ei bine, în lista de interfețe, selectați Local Area Connection. edita De asemenea coloană destinație. Acum selectați numai firewall-gazdă. coloana Serviciul nu atinge: are o rezervă implicită Orice (toate serviciile). Iar în acțiunea coloana trebuie să selectați Permit. Descifra o regulă: am permis schimbul de toate blocurile posibile orice servicii posibile între NIC proxy firewall, caută în rețeaua internă (Local Area Connection), și complex de software proxy firewall. A doua regulă, se interzice orice schimb de date între adaptor de rețea Local Area Connection și placa de rețea conexiune la Internet. Adăugați o regulă, da numele Proxy2, schimba culoarea, da o descriere, sursa selectați Local Area Connection (Sursa), receptorul selectați Conexiune internet (destinație), serviciul părăsește toate (Orice), și în acțiunea coloană selectați Deny. Astfel, nici unul din serviciu, protocolul sau pachetul nu poate trece fără a trece prin firewall din interior spre exterior și vice-versa. Și încă un lucru: citirea regulile firewall proxy din partea de sus în jos. În cazul în care prima regulă permite serviciului de pachete sau de acțiune, pentru pachetul sau serviciul următoarea regulă se aplică, și astfel încât la capătul de jos a listei de reguli. Și dacă nu există reguli interzise activitatea serviciilor de pachete, este descărcat în afara, sau invers, are loc în interiorul rețelei. Punem regula noastră nou creată după regula creat asistent firewall de trafic. Reguli pentru deplasarea în sus sau în jos din dreapta a tabelului de reguli există săgeți.
Nu uitați să faceți clic pe butonul Apply atunci când toate acțiunile corecte, în caz contrar toate lucrările vor fi pierdute atunci când ieșiți din program! Acum este timpul să se ocupe cu alte reguli.
Acum, dezactivați anumite reguli asistent creat și unele corectate. Pentru a dezactiva debifează regula suficient de lângă numele și nu uitați să faceți clic pe Aplicare. Deci, dezactivați următoarele reguli: ISS OrangeWeb Filter (filtru de spam, care după un anumit timp se va cere bani), de obicei NAT (am cerut în schimb propriile sale reguli), de obicei trafic local (în mod similar). Acum vom modifica regula FireWall de trafic. Toate serviciile de rețea pe care doriți sunt adăugate la regula. Vom adăuga încă ICQ, IRC, Ping.
Verificați: urca în politica de trafic, se adaugă regula noastră de serviciu nou creat Firewall de trafic, dublu-clic pe Serviciu, și în lista este serviciul nostru.
Am examinat crearea estimată a normelor de protecție a rețelei și să se asigure că funcționalitatea necesară. Data viitoare vom continua să tune serverul nostru proxy firewall, face cu utilizatorii, cote, și filtre de conținut.