<< Click to Display Table of Contents >> Внешний сетевой экран |
|
Внешний сетевой экран (firewall) ̶ это отдельная служба, использующая фильтрацию входящего трафика на внешнем интерфейсе.
Концепция сетевого экрана ̶ по умолчанию разрешить все исходящие запросы и запретить все входящие. Для этого на входящий трафик на внешнем интерфейсе разрешены TCP-пакеты без SYN-флага (для установленных соединений) и отклики по ICMP.
Для того чтобы изнутри прозрачно работали приложения по протоколу UDP, реализована динамическая фильтрация. При появлении исходящих UDP-пакетов на какой-то внешний IP-адрес, на него временно открывается входящие правило, что позволяет принять отклик от удаленного сервера и пропустить его внутрь. Через минуту после прекращения передачи трафика это правило удаляется.
Все вышеперечисленное относится к настройкам по умолчанию. С целью полностью закрыть сервер и все подключенные к нему сети извне сетевой экран достаточно просто включить. Снаружи будет закрыто все, в том числе ICMP. Отфильтрованный трафик учитывается на информационных счетчиках (подробнее см. в п. Информационные счетчики), где его можно оценить количественно и качественно, используя сетевую статистику. Если надо дополнительно разрешить входящие запросы по TCP, UDP, ICMP или другой IP-трафик, то следует добавить правила на разрешение (подробнее о правилах внешнего сетевого экрана см. в п. Правила внешнего сетевого экрана).
В программе имеется механизм классификации типа трафика ̶ контролируемый и неконтролируемый. Это относится только к исходящим TCP- и UDP-пакетам, для другого трафика такое разграничение недоступно. К контролируемому относятся:
В сетевом экране предусмотрены условия фильтрации по этому типу трафика, что позволяет эффективно отсечь нежелательный трафик, например, от служб самого сервера или пользовательских программ, работающих на самом сервере.
Включается внешний сетевой экран в конфигураторе (подробнее см. в п. Настройка служб). Он может быть включен как для всех, так и только для некоторых внешних сетевых интерфейсов.
Настройка внешнего сетевого экрана осуществляется в специальном окне, вызвать которое можно с помощью контекстного меню в разделе Правила -> Правила внешнего сетевого экрана консоли администратора или из блока Правила сетевого экрана, расположенного на главной странице раздела Правила.
Для настройки внешнего сетевого экрана включите или выключите следующие разрешения.
Замечания! Для исходящих UDP и TCP-соединений можно включить разрешение отправки только контролируемого трафика (по умолчанию отключено). Если предполагается ввести ограничения на неконтролируемый трафик, то настройку следует обязательно включить. В этом случае может потребоваться добавить в списки разрешения на необходимый неконтролируемый трафик.
Замечание! Трафик обновлений Panda Gate Antivirus неконтролируемый, но в правила сетевого экрана вставляется временное правило на разрешение обновлений, поэтому обновление будет работать даже при запрете неконтролируемого трафика.
Замечание! Данное разрешение устанавливается автоматически при включении в процессе инсталляции флажка Выполняется удалённая установка (подробнее см. в п. Установка программы).