<< Click to Display Table of Contents >> Navigation:  Сетевые экраны > Внешний сетевой экран

Внешний сетевой экран (firewall) ̶ это отдельная служба, использующая фильтрацию входящего трафика на внешнем интерфейсе.

Концепция сетевого экрана ̶ по умолчанию разрешить все исходящие запросы и запретить все входящие. Для этого на входящий трафик на внешнем интерфейсе разрешены TCP-пакеты без SYN-флага (для установленных соединений) и отклики по ICMP.

Для того чтобы изнутри прозрачно работали приложения по протоколу UDP, реализована динамическая фильтрация. При появлении исходящих UDP-пакетов на какой-то внешний IP-адрес, на него временно открывается входящие правило, что позволяет принять отклик от удаленного сервера и пропустить его внутрь. Через минуту после прекращения передачи трафика это правило удаляется.

Все вышеперечисленное относится к настройкам по умолчанию. С целью полностью закрыть сервер и все подключенные к нему сети извне сетевой экран достаточно просто включить. Снаружи будет закрыто все, в том числе ICMP. Отфильтрованный трафик учитывается на информационных счетчиках (подробнее см. в п. Информационные счетчики), где его можно оценить количественно и качественно, используя сетевую статистику. Если надо дополнительно разрешить входящие запросы по TCP, UDP, ICMP или другой IP-трафик, то следует добавить правила на разрешение (подробнее о правилах внешнего сетевого экрана см. в п. Правила внешнего сетевого экрана).

В программе имеется механизм классификации типа трафика ̶ контролируемый и неконтролируемый. Это относится только к исходящим  TCP- и UDP-пакетам, для другого трафика такое разграничение недоступно. К контролируемому относятся:

• исходящие пакеты от прокси- и SOCKS-сервера;
• TCP- и UDP-пакеты от авторизованных пользователей, прошедшие через внутренние интерфейсы и далее через роутер операционной системы или NAT.

В сетевом экране предусмотрены условия фильтрации по этому типу трафика, что позволяет эффективно отсечь нежелательный трафик, например, от служб самого сервера или пользовательских программ, работающих на самом сервере.

Включается внешний сетевой экран в конфигураторе (подробнее см. в п. Настройка служб). Он может быть включен как для всех, так и только для некоторых внешних сетевых интерфейсов.

Настройка внешнего сетевого экрана осуществляется в специальном окне, вызвать которое можно с помощью контекстного меню в разделе Правила -> Правила внешнего сетевого экрана консоли администратора или из блока Правила сетевого экрана, расположенного на главной странице раздела Правила.

Для настройки внешнего сетевого экрана включите или выключите следующие разрешения.

• Исходящий ICMP ̶ разрешает отправку ICMP-запроса от сервера и прием всех типов отклика. Тип трафика - любой, контролируемый и неконтролируемый.
• Исходящий UDP ̶ разрешает запрос от сервера и включает динамическую фильтрацию на прием.
• Исходящее TCP-соединение ̶ разрешает отправку любых TCP-пакетов и прием TCP-пакетов без SYN-флага. Входящие TCP-соединения запрещены.

Замечания! Для исходящих UDP и TCP-соединений можно включить разрешение отправки только контролируемого трафика (по умолчанию отключено). Если предполагается ввести ограничения на неконтролируемый трафик, то настройку следует обязательно включить. В этом случае может потребоваться добавить в списки разрешения на необходимый неконтролируемый трафик.

Замечание! Трафик обновлений Panda Gate Antivirus неконтролируемый, но в правила сетевого экрана вставляется временное правило на разрешение обновлений, поэтому обновление будет работать даже при запрете неконтролируемого трафика.

• DNS клиент ̶ разрешает трафик DNS. Тип трафика ̶ любой. По умолчанию включено. Если динамический UDP запрещен или разрешен только для контролируемого трафика, то это правило как раз разрешит нормальную работу DNS-служб сервера. При включении во внешнем сетевом экране задаются следующие разрешения:
• разрешение, исходящий, UDP порт назначения 53;
• разрешение, входящий,UDP порт источника 53;
• разрешение, исходящий, TCP порт назначения 53;
• разрешение, входящий,TCP порт источника 53.
• SNTP клиент ̶ разрешает SNTP-трафик. Тип трафика ̶ любой. По умолчанию включено. Если динамический UDP запрещен или разрешен только для контролируемого трафика, то данное правило разрешит нормальную работу служб синхронизации времени сервера. При включении во внешнем сетевом экране задаются следующие разрешения:
• разрешение, исходящий, UDP порт назначения 123;
• разрешение, входящий, UDP порт источника 123.
• DHCP сервер ̶ разрешает трафик DHCP-сервера. Тип трафика ̶ любой. По умолчанию включено. При включении во внешнем сетевом экране задаются следующие разрешения:
• разрешение, исходящий, UDP порт назначения 67;
• разрешение, входящий, UDP порт источника 67.
• VPN/PPTP/L2TP клиент ̶ разрешает трафик для VPN-, PPTP- и L2TP-клиентов. Тип трафика ̶ любой. При включении во внешнем сетевом экране задаются следующие разрешения:
• разрешение, исходящий, TCP порт назначения 1723;
• разрешение, входящий, TCP порт источника 1723;
• разрешение, исходящий, протокол № 47, порт любой;
• разрешение, входящий, протокол № 47, порт любой.
• IPSec/L2TP клиент ̶ разрешает трафик для клиентов IPSec и L2TP. Тип трафика ̶ любой. Для клиентских VPN-соединений по протоколу L2TP следует включить данное и предыдущее разрешение. При включении во внешнем сетевом экране задаются следующие разрешения:
• разрешение, исходящий, UDP порт назначения 500;
• разрешение, входящий, UDP порт источника 500;
• разрешение, входящий, UDP порт назначения 500;
• разрешение, исходящий, UDP порт источника 500;
• разрешение, исходящий, протокол № 50, порт любой;
• разрешение, входящий, протокол № 50, порт любой;
• разрешение, исходящий, протокол № 51, порт любой;
• разрешение, входящий, протокол № 51, порт любой.
• Remote Desktop Server ̶ разрешает трафик для удаленных рабочих столов. Тип трафика ̶ любой. При включении во внешнем сетевом экране задаются следующие разрешения:
• разрешение, любое направление, порт назначения 3389.

Замечание! Данное разрешение устанавливается автоматически при включении в процессе инсталляции флажка Выполняется удалённая установка (подробнее см. в п. Установка программы).

• FTP server ̶ разрешает трафик по протоколу FTP. FTP-DATA (для пассивного режима) отдельно разрешать не надо ̶ они будут открываться автоматически. Тип трафика ̶ любой. При включении во внешнем сетевом экране задаются следующие разрешения:
• разрешение, исходящий, TCP порт назначения 21;
• разрешение, входящий, TCP порт источника 21.