Правила внешнего сетевого экрана позволяют задавать явные разрешения или запреты на прохождение через него того или иного вида трафика. Они необходимы в тех случаях, когда внешний сетевой экран включен/выключен. Например, при включенном экране правила разрешения необходимы для публикации внутренних сетевых служб в Интернете (подробнее см. в п. Публикация служб). Если подходящие правила не создать, то трафик к этим службам будет заблокирован внешним сетевым экраном.
Список правил внешнего сетевого экрана находится в разделе Правила -> Правила внешнего сетевого экрана консоли администратора. Также на главной странице раздела Правила есть блок Правила сетевого экрана, состоящий из двух вкладок. На вкладке Информация отображается состояние внешнего сетевого экрана и общее количество созданных для него правил, а на вкладке Действия ̶ ссылки на некоторые операции.
В рамках управления правилами внешнего сетевого экрана в Traffic Inspector реализованы следующие операции:
- создание/изменение правила внешнего сетевого экрана;
- удаление правила внешнего сетевого экрана.
Создание/изменение правила внешнего сетевого экрана
Для создания нового или изменения существующего правила внешнего сетевого экрана выполните следующие действия:
- Откройте окно свойств нового или существующего правила внешнего сетевого экрана. Сделать это можно из контекстного меню в разделе Правила -> Правила внешнего сетевого экрана консоли администратора или в блоке Правила сетевого экрана, расположенного на главной странице раздела Правила.
- На вкладке Наименование введите уникальное наименование правила и, при необходимости, произвольный комментарий. Здесь же можно временно отключить правило, не удаляя его совсем.
- На вкладке Тип правила выберите один из возможных типов.
- Разрешить трафик ̶ соответствующий заданным в правилах условиям трафик будет пропущен внешним сетевым экраном.
- Запретить трафик ̶ соответствующий заданным в правилах условиям трафик будет блокирован внешним сетевым экраном. Данные правила срабатывают до правил общих настроек сетевого экрана, поэтому имеют перед ними приоритет.
- На вкладке Условия задайте основные признаки трафика, для которого будет работать данное правило. Для этого выберите направление передачи сетевых пакетов (прием, передача или любое). Здесь же можно указать, для каких внешних интерфейсов будет работать правило ̶ только для какого-то одного или для всех сразу.
- При необходимости на вкладке IP адрес задайте внешние и внутренние адреса, участвующие в передаче трафика, на который будет действовать данное правило. Задать параметры внешней стороны можно вручную или с помощью определенных ранее IP-сетей (подробнее про IP-сети см. в п. IP-сети). В первом случае укажите один конкретный IP-адрес или IP-адреса границ диапазона. Во втором ̶ выберите предварительно созданную IP-сеть. При выборе этого варианта можно непосредственно с данной вкладки перейти к редактированию активной или созданию новой IP-сети. Задать параметры внутренней стороны можно только вручную, введя один конкретный IP-адрес или IP-адреса границ диапазона.
- При необходимсти на вкладке IP протокол настройте протокол и порт трафика, который будет учитываться данным правилом. Сделать это можно с помощью подсказки или вручную. В первом случае выберите шаблон одного из наиболее распространенных типов трафика (например, ICMP, DNS client, HTTP client, FTP client и т.п.). При этом все параметры будут настроены автоматически.
Для ручной настройки самостоятельно выберите нужный протокол. Если был выбран вариант UDP или TCP, то дополнительно укажите сетевой порт. Это может быть один конкретный порт, диапазон номеров сетевых портов или динамический порт.
- При необходимости на вкладке Расписание настройте расписание действия правила (работа на вкладке аналогична работе на одноименной вкладке окна свойств группы, подробнее см. в п. Создание и настройка групп).
- Если правило должно быть временным, то на вкладке Автоудаление укажите дату и время его окончания и выберите, что должна сделать система при его наступлении ̶ удалить правило или заблокировать его, не удаляя.
- Сохраните внесенные изменения.
Удаление правила внешнего сетевого экрана
Удаление правила внешнего сетевого экрана осуществляется с помощью контекстного меню в разделе Правила -> Правила внешнего сетевого экрана консоли администратора.