Поведение Firewall и взаимодействие с пользователями, страница 10

• Remote - Port: [80] HTTP, Address: 90.80.70.60 (спецификация удалённого сервера)

IP Группы

IP группы облегчают определение правил фильтрации пакета. Данные группы могут быть использованы для спецификации пункта Remote в диалоговом окне определения правила фильтрации пакета (смотрите выше).

IP группы могут быть просмотрены и определены во вкладке IP Group окна Advanced Packet Filter.

Окно состоит из следующих двух столбцов:

• Group name - имя IP группы. Используйте кнопку плюс для просмотра списка значений, включённых в специфическую группу.

• Definition - определение значений специфической группы.

Уберите отметку с элемента для временного запрета правила. Это может быть полезно, например, при тестировании или отладке - нет необходимости удалять значения и определять их заново.

Щёлкните на кнопке Add (или кнопке Edit для редактирования выбранного элемента) для открытия диалогового окна определения IP группы.

Is enabled  Отметьте/не отмечайте данную опцию для разрешения/запрета элемента. Данная опция идентична соответствующему полю, следующему за именем элемента во вкладке IP Groups (смотрите выше). Если Is enabled не отмечено, элемент неактивен. Это означает, что он не включён в группу.

Group name  Имя группы, в которую будет включён элемент. Определите элемент одним из следующих способов:

• выбор имени из меню - элемент будет добавлен в эту группу

• ввод нового имени группы - эта группа будет создана автоматически и элемент будет добавлен в новую группу

Type  Тип нового элемента:

• Host - IP адрес одного компьютера

• Address range - определите Первый адрес и Последний адрес для определения IP диапазона

• Address / mask - определите подсеть, задав IP адрес и маску

• Address group - другая группа IP адресов (IP адреса могут быть вложены друг в друга)

Система Обнаружения Вторжений

1. IDS Установки

Параметры IDS (Системы Обнаружения Вторжений) могут быть установлены в секции Intrusions (Вторжения).

Используйте опцию Enable IDS module для разрешения/запрещения Системы Обнаружения Вторжений.

Kerio Personal Firewall различает три типа вторжений:

• High priority intrusions (Вторжения высокой приоритетности) - критические вторжения, которые могут, например, повредить операционную систему, вызвать утечку данных и т.д.

• Medium priority intrusions (Вторжения средней приоритетности) - вторжения, которые вызывают, например, блокирование определённых сервисов, неисправность сетевого соединения и т.д.

• Low priority intrusions (Вторжения низкой приоритетности) - вторжения низкоуровневой опасности (неясная сетевая активность, ошибки в протоколах, неправильный формат данных и т.д.)

Поведение файрвола для индивидуальных типов задаётся при помощи следующих опций:

• Action (Действие) - реакция файрвола на атаки определённого типа (Permit - Разрешить, Deny - Запретить).

В основном, рекомендуется запрещать вторжения высокого и среднего типов приоритетности - не разрешайте вторжения этих типов, если в этом нет необходимости (например, для тестирования и т.д.). Вторжения низкой приоритетности разрешены по умолчанию - их блокирование может вызвать проблемы в работе определённых сервисов.

• Log to intrusion log (Записать в журнал вторжений) - записывает все обнаруженные вторжения соответствующих типов в Журнал вторжений (смотрите главу Система Обнаружения Вторжений (IDS)).

Используйте кнопку Details, чтобы открыть окно, описывающее вторжения соответствующего типа.

Диалоговое окно информирует об имени или описании атаки (колонка Attack) и классе вторжения (колонка Class). Kerio Personal Firewall использует классификацию Snort IDS - детальную информацию по индивидуальным атакам и типам атак смотрите на сайте http://www.snort.org/.

Так называемое Сканирование Портов (Port Scanning) - специальный тип атаки (определение открытых портов на соответствующем компьютере). Такие атаки не могут быть блокированы, если какие-либо порты пользователя открыты (закрытые порты блокируются автоматически), они могут быть только обнаружены. Используйте опцию Log to instrusions log для разрешения/запрета записи информации по сканированию портов в Журнал вторжений.