Поведение Firewall и взаимодействие с пользователями, страница 7

Примечание: опция All addresses используется только с определённым адаптером ("сеть подсоединена к данному интерфейсу"). Если было бы возможно совместить данную опцию с опцией ---Any--- элемента Adapter, все IP адреса принадлежали бы доверительной зоне. Это было бы неприемлемо, и такие установки не допускаются Kerio Personal Firewall (кнопка OK неактивна).

Сетевая безопасность

5. Расширенный фильтр пакетов

Фильтр пакетов позволяет определить дополнительные правила для специфических соединений. Кроме выбора локального приложения и направления трафика, протокола, удалённого IP адреса, удалённых и локальных портов, могут быть определены и другие параметры.

Правила фильтра пакетов определяются следующим образом:

• Вручную - нажмите на кнопку Packet Filter... вкладки Applications секции Network Security для открытия диалогового окна Advanced Packet Filter, где можно просмотреть, отредактировать и удалить правила фильтрации пакетов (детали смотрите ниже).

• Автоматически - открывается диалоговое окно Connection Alert, когда соединение не удовлетворяет ни одному из правил (смотрите главу Предупреждение Соединения (обнаружен неизвестный трафик)); если отметить опцию Create an advanced filter rule, будет создано правило фильтрации пакетов вместо стандартного правила.

Примечание: Расширенный фильтр пакетов не делает различий между доверительной зоной и Интернетом (IP адрес, подсеть, IP группа и т.д. всегда указываются в правиле).

Правила фильтрации пакетов

Правила для расширенного фильтра пакетов могут быть увидены во вкладке Filter Rules диалогового окна Advanced Packet Filter.

Правила упорядочены в списке. В любое время, когда обнаруживается сетевое соединение, тестируется список сверху вниз правило за правилом, и первое правило, которому соответствует трафик, выполняется. Используйте кнопки Up (Вверх) и Down (Вниз) или комбинации клавиш Ctrl + стрелка вверх и Ctrl + стрелка вниз для изменения порядка правил. Благодаря данным возможностям могут быть определены более сложные комбинации правил фильтрации.

Правила фильтрации пакетов могут быть произвольно систематизированы по группам. Наличие правила в группе не влияет на систему обработки правил, так как правила во всех группах всегда проверяются. Имеется в виду, что данные группы используются как ссылки. Группы правил отображаются в левой части вкладки Filter Rules (Правила Фильтрации).

Щёлкните на имени группы для просмотра списка правил, включённых в группу.

Следующие две группы являются предопределёнными и не могут быть удалены:

• All rules (Все правила) ("родительская группа") - включает в себя все правила фильтрации пакетов

• Default (По умолчанию) - включает в себя все правила, не включённые в другую группу

Примечание: Группы правил не могут быть созданы или удалены явно. Новые группы создаются путём ввода имени новой группы при определении правила. Группы удаляются автоматически, когда последние правило удалено.

Используйте следующие кнопки, находящиеся ниже списка групп, для управления правилами фильтрации пакетов:

• Edit - открывает диалоговое окно для модификации выбранного правила (данное окно также можно открыть, если дважды щёлкнуть на выбранном правиле)

• Add - добавляет новое правило в конец списка

• Insert - вставляет выбранное правило на текущую позицию (данное правило будет предшествовать отмеченному правилу)

• Remove - удаляет выбранное правило

Примечание:

1. Если нет выбранного правила, доступна только кнопка Add.

2. Нажмите и удерживайте клавиши Ctrl или Shift для выбора нескольких правил. Группы правил, выбранные таким образом, могут только быть только перемещены или удалены. Используйте кнопку Edit для редактирования первого выбранного правила (наверху). Кнопка Insert вставляет новое правило перед первым правилом группы.

Определение и изменение правила

Нажатие кнопок Add, Insert или Edit открывает диалоговое окно для определения правила фильтрации пакетов. Правило определяется следующими параметрами:

Description Описание/название правила. Рекомендуется коротко описывать правило (назначение, имя приложения и т.д.). Данное описание используется исключительно для справки. Для автоматически генерируемых правил вписывается имя приложения, участвующего в соединении.