Поведение Firewall и взаимодействие с пользователями, страница 6

Все входящие Ping и Tracert сообщения (из Интернета) по умолчанию блокируются. Данные сообщения разрешены для доверительной зоны (например, администратор может тестировать доступность компьютера командой Ping).

Исходящие Ping и Tracert сообщения разрешены для обеих зон. Данная методика, обычно, используются для проверки функциональности сетевого соединения или доступности удалённого компьютера.

Other ICMP packets Правила для других ICMP сообщений (т.е. переадресация, адресат не доступен и т.д.).

Dynamic Host Configuration Protocol DHCP используется для автоматического определения TCP/IP параметров (IP адрес, сетевая маска, шлюз по умолчанию и т.д.).

Предупреждение: запрещение DHCP может привести к тому, что сетевое соединение Вашего компьютера может не работать, если TCP/IP параметры определены через этот протокол.

Domain Name System DNS используется для перевода компьютерных имён в IP адреса. По крайней мере, одно соединение к DNS серверу должно быть разрешено для разрешения определения через DNS имена.

Virtual Private Network Virtual Private Network (VPN) - это безопасное соединение двух локальных сетей (или соединение удалённого клиента к локальной сети) через Интернет, используя зашифрованный канал (так называемый туннель). Virtual Private Network правило контролирует установку VPN через PPTP и IPSec протоколы.

Broadcasts Правила для пакетов с общими адресами. В Интернете данное правило применяется для пакетов с мультикастинговыми адресами.

Сетевая безопасность

4. Определение доверительной зоны

Для правил приложений Kerio Personal Firewall определены два типа IP групп: доверительная зона и Интернет. Для каждой зоны можно определить разные действия для входящего и исходящего трафика. Доверительная зона - это определяемая пользователем IP группа. Адрес, не определённый как доверительный, будет автоматически добавлен в Интернет зону.

Для определения доверительной зоны откройте вкладку Trusted area секции Network Security.

Доверительная зона может включать в себя любое количество IP адресов, диапазоны IP адресов, подсети или сети, подключённые к индивидуальному интерфейсу (детали читайте ниже). Можно определить интерфейс, где будет разрешён индивидуальный IP адрес для каждого элемента (защита от ложного IP адреса).

Доверительная зона включает в себя предопределённый элемент Loopback. Данный элемент не может быть удалён. Это локальный адрес обратной связи и он всегда рассматривается как доверительный.

Используйте кнопки Add или Edit для определения элемента доверительной зоны (или щёлкните дважды на выбранном элементе для его редактирования).

Is trusted (Доверительный) Используйте данную опцию для добавления/удаления выбранного элемента в/из доверительной зоны. Если опция Is trusted не отмечена, IP адреса (диапазоны IP адресов, подсеть и т.д.) не входят в доверительную зону (и они автоматически добавляются в Интернет зону).

Опция Is trusted может использоваться, например, для явного задания IP адресов, которые не входят в доверительную зону. Kerio Personal Firewall будет знать о соответствующем интерфейсе и не будет спрашивать пользователя при обнаружении трафика для данного интерфейса (смотрите главу Начальная конфигурация).

Description (Описание) Описание элемента. Исключительно для справки.

Adapter (Адаптер) Выберите адаптер (интерфейс), для которого используются IP адреса. Данная функция защищает пользователя от ложных IP адресов - всякий раз, когда пакет с доверительным адресом получен от адаптера, который не включён в определённую сеть, пакет рассматривается как подозрительный.

Используйте опцию --- Any ---, если Вы хотите, чтобы Kerio Personal Firewall не проверял адаптеры, с которых пакеты с определённым IP адресом были посланы.

Address type (Тип адреса) Тип значения доверительной зоны:

• Computer - специфический IP адрес компьютера (или сетевого устройства)

• IP address / mask - подсеть, определяемая IP адресом и маской сети

• IP address / range - IP диапазон, определяемый первым и последним IP адресом

• All addresses - любой IP адрес