Настройка сетевого экрана Traffic Inspector

Компьютеры, подключенные к Интернету, могут подвергнуться несанкционированному доступу со стороны хакеров и прочих недоброжелателей. В Traffic Inspector, проблема несанкционированного доступа решается с помощью сетевого экрана.

Traffic Inspector классифицирует сетевые интерфейсы, с которыми работает, на локальные и внешние. Сетевой экран для локальных интерфейсов называется внутренний сетевой экран, сетевой экран для внешних интерфейсов называется внешний сетевой экран.

Текущий статус сетевого экрана для интерфейсов можно посмотреть на главной странице в [Корень консолиTraffic Inspector []].

_images/status.png

Управление внешним сетевым экраном

По умолчанию, внешний сетевой экран включается сразу после установки Traffic Inspector.

Включить / выключить внешний сетевой экран можно в Мастере расширенной настройки Traffic Inspector.

Мастер доступен в [Корень консоли\Traffic Inspector []\Настройки\Фрейм Настройки Traffic Inspector\Вкладка Действия\Ссылка Мастер расширенной настройки Traffic Inspector].

На вкладке Windows Firewall выберите вариант Отключить.

_images/config_3.png

Примечание

Не рекомендуется одновременное использование сетевого экрана Windows и сетевого экрана Traffic Inspector. Cетевой экран Windows рекомендуется выключить.

На вкладке Опции конфигурации нужно задействовать опцию Включить внешний сетевой экран.

_images/config_51.png

На вкладке Внешний сетевой экран, нужно выбрать внешние интерфейсы, для которых будет включен внешний сетевой экран.

_images/config_91.png

Примечание

Внешний сетевой экран можно выборочно включать/выключать для каждого внешнего интерфейса.

Управление внутренним сетевым экраном

По умолчанию, внутренний сетевой экран выключен.

Включить / выключить внутренний сетевой экран можно установив флаг Включить для локальных сетей в [Корень консоли\Traffic Inspector []\Правила\Правила пользователей\Контекстное меню\Свойства\Вкладка Внутренний сетевой экран.

_images/internal_firewall_onoff.png

Примечание

Внутренний сетевой экран включается / выключается для всех внутренних интерфейсов одновременно.

Правила внешнего сетевого экрана

Логика работы внешнего сетевого экрана следующая. По умолчанию, из внутренней сети разрешен доступ в Интернет. Любой трафик, являющийся ответным на тот, который был выпущен из внутренней сети, также свободно пропускается сетевым экраном в обратном направлении. Любое несанкционированное обращение к шлюзу со стороны WAN-адаптера (т.е. со стороны Интернета) запрещено по умолчанию. Для того, чтобы разрешить обращение к шлюзу и к внутренней сети со стороны Интернета, нужно создавать разрещающие правила во внешнем сетевом экране.

Правила располагаются в виде списка. Если сетевой пакет удовлетворяет критериям правила, то к пакету применяется действие, заданное в правиле. Если к пакету применено правило, то пакет не будет сверяться с оставшимися правилами в списке. Если сетевой пакет не удовлетворяет критериям ни одного правила, то пакет блокируется (отбрасывается без индикации отправляющей стороне).

Продемонстрируем, как можно открыть доступ к шлюзу Traffic Inspector со стороны Интернета с помощью правила внешнего сетевого экрана.

  1. Определите, доступ к какому порту вы хотите открыть.

Перейдем в раздел [Корень консоли\Traffic Inspector []\Настройки\TCP/UDP сокеты].

_images/sockets.png

На нашем шлюзе выполняется веб-сервер, который «слушает» порт 80. Именно этот порт мы откроем во внешнем сетевом экране.


  1. Со стороны Интернета, просканируем порт TCP/80, чтобы убедиться, что порт защищен фаерволом.
_images/scan_1.png

  1. Запустите Мастер создания правила внешнего сетевого экрана.

Пройдите в раздел [Корень консоли\Traffic Inspector []\Правила\Правила внешнего сетевого экрана]. Запустите мастер создания правила внешнего сетевого экрана.

_images/launch_add_rule_wizard.png

  1. На вкладке Наименование задайте название правила.
_images/rulename2.png

  1. На вкладке Тип правила выберите вариант Разрешить трафик.
_images/ruletype.png

  1. На вкладке Условие выберите внешний сетевой интерфейс, на который будут приходит входящие запросы.
_images/condition.png

  1. На вкладке IP протокол задайте настройки в соответствии со скриншотами.
_images/ip_proto.png

_images/ip_proto_2.png

  1. Остальные настройки можно оставить без изменения.

Завершите выполнения Мастера создания правила внешнего сетевого экрана, пройдя все оставшиеся вкладки.


  1. Со стороны Интернета, просканируем порт TCP/80, чтобы убедиться, что сетевой экран стал пропускать обращения на данный порт.
_images/scan_2.png