Поведение Firewall и взаимодействие с пользователями, страница 9

Любые индивидуальные порты (Add port) или диапазоны (Add port range) могут быть определены. Диалоговое окно такое же, как и для Local - смотрите выше.

Для определения IP адреса используйте следующие методы:

• один IP адрес (Add address)

• диапазон IP адресов (Add address range) - введите начальный и конечный адреса диапазона

 

• подсеть (Add address / mask) - определите адрес подсети и соответствующую маску

 

• группа IP адресов (Add IP group) - используйте опцию Select для выбора из меню IP адресов, определённых через вкладку IP Groups (смотрите ниже)

Индивидуальные методы могут быть объединены.

Direction Направление трафика, для которого будет применяться правило: Both directions (Оба направления), Incoming (Входящее) or Outgoing (Исходящее) соединение.

Направление трафика представлено направлением начального пакета при старте соединения.

Action Действие, которое будет предпринято Kerio Personal Firewall, когда для соединения обнаружено правило:

• Permit - разрешает соединение

• Deny - блокирует соединение

Детали правил фильтрации пакетов

Важно знать как отдельные части правила, и его элементы влияют на эффективное определение правила.

• Логическое отношение между Protocol, Local и Remote - "и". Это означает, что только для трафика, которому соответствуют данные условия, выполнится правило.

• Логическое отношение между значениями, включёнными в один элемент (протоколы, IP адреса или порты) - "или".

Пример: элемент Remote состоит из двух диапазонов портов: 80-88 и 8000-8080. Правило выполнится, когда удалённый порт принадлежит одному из этих диапазонов.

• Логическое отношение между элементами "IP address" и "port" в пункте Remote - "и".

Пример: пункт Remote определён IP адресом 65.131.55.1 и номером порта 80. Это условие выполнится для трафика с удалённого компьютера с IP адресом 65.131.55.1 для порта 80.

Примечания к определению фильтра пакетов

Поля Protocol, Local и Remote сильно взаимосвязаны. Для обеспечения надлежащей функциональности правила необходимо придерживаться следующих рекомендаций:

1. Определение порта имеет смысл только для TCP и UDP протоколов (другими протоколами порты игнорируются).

Если правило доступно для любого протокола (значение Protocol не определено), тогда номера портов не применяются, поскольку они используются только для трафика через TCP или UDP протоколы.

2. Служба приложений определяется номерами порта и протоколами. В диалоговом окне правила фильтрации пакетов, служба представлена только портом - протокол должен вводиться вручную.

Пример: Предположим, мы хотим создать правило для входящих HTTP соединений (т.е. разрешить доступ к Web серверу на компьютере, который защищает Kerio Personal Firewall), мы должны выполнить следующие шаги:

• Добавить порт в секцию Local. Выбрать службу HTTP- это автоматически установит значение порта 80.

• В секции Protocol установить TCP, который используется HTTP сервисом.

3. Наиболее общая модель трафика - это связь клиент-сервер. Сервер слушает по определённому порту входящее соединение. Клиент инициирует соединение, требуя от операционной системы свободный локальный порт (неизвестный порт), который будет использоваться для соединения. Это означает, что в отличие от порта сервера (который должен быть всегда известен), любой свободный порт может временно использоваться клиентом.

Данные факты должны учитываться при определении фильтра пакетов. Проблему можно лучше понять при помощи двух примеров:

Пример 1: Мы намереваемся разрешить доступ к Web серверу на локальном компьютере с IP адресом 60.80.100.120. Это достигается путём определения следующего правила:

• Protocol - [6] TCP (HTTP сервис использует TCP протокол)

• Local - Port: [80] HTTP (Web сервер запущен на локальном компьютере)

• Remote - Address: 60.80.100.120 (клиент, представленный Web браузером, будет работать на удалённом хосте; порт ещё неизвестен, поэтому мы определили только IP адрес)

Пример 2: Мы намереваемся блокировать доступ к Web серверу с IP адресом 90.80.70.60. Определим следующее правило:

• Protocol - [6] TCP

• Local - оставляем данный пункт пустым (порт клиента ещё не определён)