| Модератор | Дата: Пятница, 19.02.2016, 11:53 | Сообщение # 1 |
|
Генералиссимус
Группа: Администраторы
Сообщений: 8006
Статус: Оффлайн
| 2.9. Настройка политики FTPТребованияДоступ к FTP будет ограничен согласно следующим правилам:- передача музыкальных файлов в формате MP3 запрещена
- передача видео-файлов (*.avi) запрещена в рабочее время
- загрузки на удаленные FTP-сервера запрещена — защита важной корпоративной информации
Предопределенные правила FTPПерейдите в раздел Configuration / Content Filtering / FTP Policy для настройки ограничений FTP. Следующие правила являются предопределенными и могут быть использованы для всех оговоренных ограничений. Forbid resume due antivirus scanning (запрет возобновления из-за антивирусного сканирования)Данное правило запрещает восстановление (продление с текущего места) прерванных сеансов передачи данных (например, из-за сетевого сбоя). Если файлы, передаваемые по FTP, сканируются на предмет наличия вирусов, то рекомендуется включить данное правило (файлы, передаваемые частями, не могут быть надежно просканированы).Forbid upload (запрет загрузки на удаленные сервера)Запрет сохранения данных на FTP-серверах — это правило уже определено и достаточно просто его включить.Forbid *.mpg, *.mp3 and *.mpeg files (запрет файлов *.mpg, *.mp3 and *.mpeg)Данная опция запрещает передачу звуковых файлов перечисленных форматов. Данное правило также уже существует и достаточно просто его включить.Forbid *.avi files (запрет файлов *.avi)Это правило будет запрещать передачу видео-файлов. Включите данное правило, нажмите кнопку Edit для того, чтобы открыть диалоговое окно, и укажите временной интервал Labor time (рабочее время) на вкладке Advanced. Внимание: Политика FTP распространяется только на FTP-трафик, обрабатываемый инспектором протокола FTP.В нашем примере мы планируем разрешить доступ к локальному FTP-серверу из сети Интернет. Правило Forbid upload запрещает также загрузку файлов и на наш сервер, что не всегда желательно. Поэтому мы должны создать разрешающее правило и поместить его выше запрещающего Forbid upload. :Примечания
IP-адрес машины, на которой работает FTP-сервис, должен быть указан в поле адреса сервера. Нельзя в данном правиле задать адрес внешнего интерфейса шлюза, с которого мы настраивали маппинг (трансляция IP-адреса производится ДО применения фильтрующих правил)!
Данный метод может быть использован для разрешения загрузки на любой из FTP-серверов в сети Интернет, при этом оставляя запрет на остальные сервера.
2.10. Настройка антивирусного сканирования
Любые поддерживаемые внешние антивирусные приложения, которые Вы намереваетесь использовать, должны быть сначала установлены. Антивирусное приложение McAfee интегрировано в WinRoute, и для дальнейшего его использования Вы должны приобрести специальную лицензию.
Выберите соответствующее антивирусное приложение во вкладке Antivirus в Configuration / Content filtering /Antivirus и выберите протоколы, которые будут сканироваться. Все исполняемые файлы и файлы Microsoft Office сканируются по умолчанию.
Вкладки HTTP, FTP scanning и Email scanning допускают детализированную конфигурацию сканирования этих протоколов. В большинстве случаев настройки по умолчанию являются оптимальными.
2.11. Разрешение доступа к службам из сети ИнтернетДля добавления правила доступа к службам из сети Интернет перейдите во вкладку Configuration / Traffic Policy (Конфигурация/Политика Трафика).- Открыть доступ другим службам почтового сервера – разрешить только от определенных IP адресов.
 Примечания :
- Это правило разрешает доступ к почтовым службам IMAP и POP 3 в зашифрованном и в незашифрованном виде - клиент может выбрать, какую службу использовать.
- В данном примере правило для входящего SMTP-трафика уже было создано Мастером настройки правил (см. главу Базовая настройка политики трафика).
- Доступ к SMTP сервису не должен быть ограничен определенными IP адресами, поскольку любой пользователь должен иметь возможность отправить электронную почту локальному домену.
- Маппинг (отображение) местного сервера FTP
Примечание: Правила политик обрабатываются сверху вниз. Если трафик соответствует определённому правилу, то его дальнейшая обработка последующими правилами фильтра прекращается. Поэтому все разрешающие правила должны быть расположены до запрещающих правил.
2.12. Защищенный доступ удаленных клиентов к локальной сетиВключите VPN-сервер для обеспечения защищенного доступа удаленных клиентов (VPN-клиентов) к локальной сети на вкладке Interfaces в меню Configuration / Interfaces (см. гл.Настройка головного офиса). Дополнительные настройки не требуются. Передача данных VPN-клиентам уже разрешена политикой трафика, созданной Мастером — см. гл. Базовая настройка политики трафика.Примечания:- Kerio VPN Client (клиент Kerio VPN) должен быть установлен на каждой удаленной машине для обеспечения подключения с VPN-серверу WinRoute. Клиенты будут подключаться к серверу головного офиса (например, 63.55.21.12) и авторизоваться с помощью логина и пароля от своих учетных записей WinRoute (см. гл. Создание учетных записей пользователей и групп).Для более подробной информации см. документ Kerio VPN Client — User Guide.
- VPN-клиенты будут подключаться только к серверу головного офиса. Настройки для VPN-клиентов на сервере филиалов не требуется.
2.13. Настройка компьютеров в локальной сетиПараметры TCP/IP для машин, используемых в качестве файлового сервера и FTP-сервера должны быть заданы вручную (их IP-адреса не должны изменяться):- IP address — мы будем использовать 192.168.1.2 (см. гл. Настройка DHCP-сервера)
- Default gateway, DNS server — используйте адрес соответствующего интерфейса шлюза (192.168.1.1)
 Включита автоматическую настройку (с помощью DHCP) на всех рабочих станциях (она включена по умолчанию в большинстве операционных систем).
3. Связь головного офиса с филиаломОглавлениеДанная глава содержит информацию о настройке соединения серверов головного офиса и филиала с помощью защищенного шифрованного канала (“VPN туннель”). Рассматриваемый пример описывает только базовую конфигурацию VPN-туннеля между двумя сетями. Вопросы, связанные с ограничением доступа или другими специфическими настройками, в рамках данного документа не освещаются. Для более детальной информации по настройке VPN см. инструкцию пользователя по продукту Kerio Winroute Firewall.Описание примера разделено на две части: в первой приводится инструкция по настройке головного офиса, во второй - по настройке филиала. Предполагается, что обе сети уже предварительно сконфигурированы согласно описанию из главы Настройка головного офиса и соединение с сетью Интернет доступно.Для более наглядного представления о решаемой задаче ниже приведена графическая схема соединений, включая IP-адреса. Головной офис использует IP-адреса 192.168.1.x с маской 255.255.255.0 и доменным именем company.com. Филиал использует IP-адреса 10.1.1.x с маской 255.255.255.0 и доменным именем filial.company.com.
3.1. Настройка головного офиса
Выберите VPN server на вкладке Interfaces раздела Configuration / Interfaces. Двойным кликом (или нажатием на клавишу Edit) откройте диалоговое окно для установки параметров VPN server. Отметьте опцию Enable VPN server на вкладке General.Примечание: Свободная подсеть и маска проставляются автоматически, и нет причин для их изменения. Нажмите кнопку Advanced, затем Change SSL Certificate. Используйте кнопку Generate Certificate для создания сертификата для сервера (ID сервера). Примечание: рекомендуется впоследствии заменить данный сертификат на официальный, выпущенный публичным центром сертификации.
Выберите опцию пассивной установки VPN-туннеля (сервер филиала использует динамический IP-адрес). Укажите образ сертификата VPN-сервера филиала.
Дополните правило Local Traffic rule (созданное визардом - см. главу Базовая настройка политики трафика) только что созданным VPN-туннелем.
В конфигурации DNS-форвардера (см. главу Настройка DNS Форвардера) включите опцию Use custom forwarding. Определите правила для домена filial.company.com. Укажите сервер для форвардинга запросов в виде IP-адреса сетевой карты удаленного шлюза, подключенной к локальной сети филиала.
3.2. Настройка филиала
Выберите VPN server на вкладке Interfaces раздела Configuration / Interfaces. Двойным кликом (или нажатием на клавишу Edit) откройте диалоговое окно для установки параметров VPN server. Отметьте опцию Enable VPN server на вкладке General.Примечание: Свободная подсеть и маска проставляются автоматически, и нет причин для их изменения. Нажмите кнопку Advanced, затем Change SSL Certificate. Используйте кнопку Generate Certificate для создания сертификата для сервера (ID сервера). Образ созданного ключа (fingerprint) требуется при создании VPN-туннеля в головном офисе.Примечание: рекомендуется впоследствии заменить данный сертификат на официальный, выпущенный публичным центром сертификации.
Выберите опцию активной установки VPN-туннеля (сервер филиала использует динамический IP-адрес). Образ сертификата VPN-сервера может быть установлен с помощью простого нажатия на кнопку Detect remote certificate.
Дополните правило Local Traffic rule (созданное визардом - см. главу Базовая настройка политики трафика) только что созданным VPN-туннелем.
В конфигурации DNS-форвардера (см. главу Настройка DNS Форвардера) включите опцию Use custom forwarding. Определите правила для домена company.com. Укажите сервер для форвардинга запросов в виде IP-адреса сетевой карты удаленного шлюза, подключенной к локальной сети головного офиса.
3.3. Тестирование VPNНастройка VPN-туннеля завершена. Необходимо проверить доступность удаленных машин из локальных сетей головного офиса и филиала.К примеру, для тестирования могут использоваться команды ping или tracert. Рекомендуется проверить доступность машин как по IP-адресу, так и по DNS-именам.Если удаленная машина недоступна при тестировании по IP-адресу, проверьте конфигурацию правил трафика и/или отсутствие пересечения адресов сетей (например, случай, когда обе связанные сети используют адреса одной и той же IP-подсети).Если IP-адрес доступен, а ошибка возникает при обращении по DNS-имени, то проверяйте настройку DNS.Примечание: VPN-клиенты, подключающиеся к серверу головного офиса, могут получать доступ к компьютерам головного офиса и филиала (мы не создавали никаких ограничений). Однако рекомендуется все же проверить доступность обеих сетей с компьютера, подключенного в качестве VPN-клиента.
|
| |
| |
