Настройка сетевого экрана Traffic Inspector
Компьютеры, подключенные к Интернету, могут подвергнуться несанкционированному доступу со стороны хакеров и прочих недоброжелателей. В Traffic Inspector, проблема несанкционированного доступа решается с помощью сетевого экрана.
Traffic Inspector классифицирует сетевые интерфейсы, с которыми работает, на локальные и внешние. Сетевой экран для локальных интерфейсов называется внутренний сетевой экран, сетевой экран для внешних интерфейсов называется внешний сетевой экран.
Текущий статус сетевого экрана для интерфейсов можно посмотреть на главной странице в [Корень консолиTraffic Inspector []].
![_images/status.png](_images/status.png)
Управление внешним сетевым экраном
По умолчанию, внешний сетевой экран включается сразу после установки Traffic Inspector.
Включить / выключить внешний сетевой экран можно в Мастере расширенной настройки Traffic Inspector.
Мастер доступен в [Корень консоли\Traffic Inspector []\Настройки\Фрейм Настройки Traffic Inspector\Вкладка Действия\Ссылка Мастер расширенной настройки Traffic Inspector].
На вкладке Windows Firewall выберите вариант Отключить.
![_images/config_3.png](_images/config_3.png)
Примечание
Не рекомендуется одновременное использование сетевого экрана Windows и сетевого экрана Traffic Inspector. Cетевой экран Windows рекомендуется выключить.
На вкладке Опции конфигурации нужно задействовать опцию Включить внешний сетевой экран.
![_images/config_51.png](_images/config_51.png)
На вкладке Внешний сетевой экран, нужно выбрать внешние интерфейсы, для которых будет включен внешний сетевой экран.
![_images/config_91.png](_images/config_91.png)
Примечание
Внешний сетевой экран можно выборочно включать/выключать для каждого внешнего интерфейса.
Управление внутренним сетевым экраном
По умолчанию, внутренний сетевой экран выключен.
Включить / выключить внутренний сетевой экран можно установив флаг Включить для локальных сетей в [Корень консоли\Traffic Inspector []\Правила\Правила пользователей\Контекстное меню\Свойства\Вкладка Внутренний сетевой экран.
![_images/internal_firewall_onoff.png](_images/internal_firewall_onoff.png)
Примечание
Внутренний сетевой экран включается / выключается для всех внутренних интерфейсов одновременно.
Правила внешнего сетевого экрана
Логика работы внешнего сетевого экрана следующая. По умолчанию, из внутренней сети разрешен доступ в Интернет. Любой трафик, являющийся ответным на тот, который был выпущен из внутренней сети, также свободно пропускается сетевым экраном в обратном направлении. Любое несанкционированное обращение к шлюзу со стороны WAN-адаптера (т.е. со стороны Интернета) запрещено по умолчанию. Для того, чтобы разрешить обращение к шлюзу и к внутренней сети со стороны Интернета, нужно создавать разрещающие правила во внешнем сетевом экране.
Правила располагаются в виде списка. Если сетевой пакет удовлетворяет критериям правила, то к пакету применяется действие, заданное в правиле. Если к пакету применено правило, то пакет не будет сверяться с оставшимися правилами в списке. Если сетевой пакет не удовлетворяет критериям ни одного правила, то пакет блокируется (отбрасывается без индикации отправляющей стороне).
Продемонстрируем, как можно открыть доступ к шлюзу Traffic Inspector со стороны Интернета с помощью правила внешнего сетевого экрана.
- Определите, доступ к какому порту вы хотите открыть.
Перейдем в раздел [Корень консоли\Traffic Inspector []\Настройки\TCP/UDP сокеты].
![_images/sockets.png](_images/sockets.png)
На нашем шлюзе выполняется веб-сервер, который «слушает» порт 80. Именно этот порт мы откроем во внешнем сетевом экране.
- Со стороны Интернета, просканируем порт TCP/80, чтобы убедиться, что порт защищен фаерволом.
![_images/scan_1.png](_images/scan_1.png)
- Запустите Мастер создания правила внешнего сетевого экрана.
Пройдите в раздел [Корень консоли\Traffic Inspector []\Правила\Правила внешнего сетевого экрана]. Запустите мастер создания правила внешнего сетевого экрана.
![_images/launch_add_rule_wizard.png](_images/launch_add_rule_wizard.png)
- На вкладке Наименование задайте название правила.
![_images/rulename2.png](_images/rulename2.png)
- На вкладке Тип правила выберите вариант Разрешить трафик.
![_images/ruletype.png](_images/ruletype.png)
- На вкладке Условие выберите внешний сетевой интерфейс, на который будут приходит входящие запросы.
![_images/condition.png](_images/condition.png)
- На вкладке IP протокол задайте настройки в соответствии со скриншотами.
![_images/ip_proto.png](_images/ip_proto.png)
![_images/ip_proto_2.png](_images/ip_proto_2.png)
- Остальные настройки можно оставить без изменения.
Завершите выполнения Мастера создания правила внешнего сетевого экрана, пройдя все оставшиеся вкладки.
- Со стороны Интернета, просканируем порт TCP/80, чтобы убедиться, что сетевой экран стал пропускать обращения на данный порт.
![_images/scan_2.png](_images/scan_2.png)