Kerio Personal Firewall 4.0 - Инструкция пользователя

Kerio Technologies
Copyright © 1997-2004 Kerio Technologies. All rights reserved.
Перевод и создание русской версии: Росинов Александр; Санкт-Петербург, 2004 год
Kerio Personal Firewall на русском: http://www.kerio.net.ru/ ( http://www.home.ru/alros/kpf4.html)
Русскоязычный форум пользователей Kerio: http://www.kerio.net.ru/forum/
Последние новости Вы всегда можете узнать здесь.

Сетевая безопасность
5. Расширенный фильтр пакетов

Фильтр пакетов позволяет определить дополнительные правила для специфических соединений. Кроме выбора локального приложения и направления трафика, протокола, удалённого IP адреса, удалённых и локальных портов, могут быть определены и другие параметры.

Правила фильтра пакетов определяются следующим образом:

∙ Вручную - нажмите на кнопку Packet Filter... вкладки Applications секции Network Security для открытия диалогового окна Advanced Packet Filter, где можно просмотреть, отредактировать и удалить правила фильтрации пакетов (детали смотрите ниже).

∙ Автоматически - открывается диалоговое окно Connection Alert, когда соединение не удовлетворяет ни одному из правил (смотрите главу Предупреждение Соединения (обнаружен неизвестный трафик)); если отметить опцию Create an advanced filter rule, будет создано правило фильтрации пакетов вместо стандартного правила.

Примечание: Расширенный фильтр пакетов не делает различий между доверительной зоной и Интернетом (IP адрес, подсеть, IP группа и т.д. всегда указываются в правиле).

Правила фильтрации пакетов

Правила для расширенного фильтра пакетов могут быть увидены во вкладке Filter Rules диалогового окна Advanced Packet Filter.

Правила упорядочены в списке. В любое время, когда обнаруживается сетевое соединение, тестируется список сверху вниз правило за правилом, и первое правило, которому соответствует трафик, выполняется. Используйте кнопки Up (Вверх) и Down (Вниз) или комбинации клавиш Ctrl + стрелка вверх и Ctrl + стрелка вниз для изменения порядка правил. Благодаря данным возможностям могут быть определены более сложные комбинации правил фильтрации.

Правила фильтрации пакетов могут быть произвольно систематизированы по группам. Наличие правила в группе не влияет на систему обработки правил, так как правила во всех группах всегда проверяются. Имеется в виду, что данные группы используются как ссылки. Группы правил отображаются в левой части вкладки Filter Rules (Правила Фильтрации).

Щёлкните на имени группы для просмотра списка правил, включённых в группу.

Следующие две группы являются предопределёнными и не могут быть удалены:

∙ All rules (Все правила) ("родительская группа") - включает в себя все правила фильтрации пакетов

∙ Default (По умолчанию) - включает в себя все правила, не включённые в другую группу

Примечание: Группы правил не могут быть созданы или удалены явно. Новые группы создаются путём ввода имени новой группы при определении правила. Группы удаляются автоматически, когда последние правило удалено.

Используйте следующие кнопки, находящиеся ниже списка групп, для управления правилами фильтрации пакетов:

∙ Edit - открывает диалоговое окно для модификации выбранного правила (данное окно также можно открыть, если дважды щёлкнуть на выбранном правиле)

∙ Add - добавляет новое правило в конец списка

∙ Insert - вставляет выбранное правило на текущую позицию (данное правило будет предшествовать отмеченному правилу)

∙ Remove - удаляет выбранное правило

Примечание:

1. Если нет выбранного правила, доступна только кнопка Add.

2. Нажмите и удерживайте клавиши Ctrl или Shift для выбора нескольких правил. Группы правил, выбранные таким образом, могут только быть только перемещены или удалены. Используйте кнопку Edit для редактирования первого выбранного правила (наверху). Кнопка Insert вставляет новое правило перед первым правилом группы.

Определение и изменение правила

Нажатие кнопок Add, Insert или Edit открывает диалоговое окно для определения правила фильтрации пакетов. Правило определяется следующими параметрами:

Description Описание/название правила. Рекомендуется коротко описывать правило (назначение, имя приложения и т.д.). Данное описание используется исключительно для справки. Для автоматически генерируемых правил вписывается имя приложения, участвующего в соединении.

Application Локальное приложение, к которому применяется правило. Данное приложение может быть либо внесено вручную (полный путь доступа к соответствующему исполняемому файлу), выбрано из меню (предлагается меню приложений, используемых другими правилами) или найдено на диске (используйте кнопку Browse для открытия стандартного системного диалогового окна, где можно выбрать приложение).

Также Вы можете создать общее фильтрационное правило, которое будет применено для всех приложений. Это можно сделать при помощи опции any или оставить значение Application пустым.

Group Группа правил, в которую будет включено правило. Участие правила в группе не влияет на систему обработки правил - всегда тестируется весь список правил. Это означает, что данные группы используются только для ссылки.

Используйте элемент Group для выбора группы из меню или добавьте группу, введя имя новой группы - правило будет автоматически включено в эту группу. По умолчанию, все правила добавляются в группу Default. Этот же метод применяется к автоматически генерируемым правилам (смотрите выше или обратитесь к главе Предупреждение о соединении (обнаружен неизвестный трафик)).

Log rule to network log Разрешает/запрещает ведение журнала соединений при срабатывании данного правила в Network log (Сетевой журнал) (смотрите главу Сетевой журнал).

Show alert to user Отметьте данную опцию, чтобы разрешить диалоговое окно Alert (Предупреждение) (подробнее в главе Предупреждение о соединении (обнаружен неизвестный трафик)) всякий раз, когда выполняется правило для трафика.

Protocol Установите параметры для протоколов к которым будет применяться правило. Типично, когда для трафика используется один протокол (т.е. TCP или UDP), однако, некоторые приложения используют несколько протоколов одновременно (т.е. TCP или UDP используют одинаковые порты).

Если мы оставим значение Protocol пустым, правило будет применяться к любому протоколу.

Обратите внимание: Если приложение использует TCP и UDP протоколы для разных портов, два разных правила фильтрации пакета должны быть определены.

Щёлкните на кнопке Add или Edit, чтобы открыть диалоговое окно для определения протокола.

Протокол определяется определённым номером в заголовке IP пакета. Этот номер может быть задан напрямую через значение Number. Используйте опцию Name, чтобы выбрать из меню предопределённых протоколов.

Вы можете использовать текстовое поле Description для ввода описания для справки. Только в этом диалоговом окне Вы сможете это увидеть.

Элемент Codes доступен только тогда, когда выбран ICMP. Используйте это поле для определения типа ICMP сообщений, для которых будет применяться правило.

Типы сообщений определяются номером кода (индивидуальные коды разделяются запятыми). Если значение Codes не определено, правило будет применяться ко всем типам ICMP сообщений.

Щёлкните на кнопке Select для открытия диалогового окна определения типов ICMP сообщений. Выберите соответствующие типы ICMP сообщений. Щёлкните на кнопке OK и коды типов, которые Вы определили, будут вставлены в поле Codes автоматически.

Local Определите параметры для локального местонахождения. Kerio Personal Firewall неявно использует все локальные IP адреса, включая loopback IP адреса. По этой причине локальные параметры могут быть определены только портами.

Используйте кнопку Add для добавления одного порта (Add port) или диапазона порта (Add port range). Порты и диапазоны портов могут быть определены многократно - этим способом любая группа портов может быть легко охвачена.

Порт может быть также пределён значением Number (допустимы только значения в пределах 1-65535) или путём выбора значения из предопределённой службы Name. Вы можете использовать поле Description для описания порта или службы (только для справочных целей).

Диалоговое окно для определения диапазона состоит из двух основных полей: First port (начальный порт диапазона) и Last port (конечный порт диапазона).

Remote Определение удалённого подключения. Могут быть определены IP адрес, порт или оба вместе. Правило будет выполнено, если пакет содержит любой из определённых IP адресов или один из определённых портов.

Любые индивидуальные порты (Add port) или диапазоны (Add port range) могут быть определены. Диалоговое окно такое же, как и для Local - смотрите выше.

Для определения IP адреса используйте следующие методы:

∙ один IP адрес (Add address)

∙ диапазон IP адресов (Add address range) - введите начальный и конечный адреса диапазона

∙ подсеть (Add address / mask) - определите адрес подсети и соответствующую маску

∙ группа IP адресов (Add IP group) - используйте опцию Select для выбора из меню IP адресов, определённых через вкладку IP Groups (смотрите ниже)

Индивидуальные методы могут быть объединены.

Direction Направление трафика, для которого будет применяться правило: Both directions (Оба направления), Incoming (Входящее) or Outgoing (Исходящее) соединение.

Направление трафика представлено направлением начального пакета при старте соединения.

Action Действие, которое будет предпринято Kerio Personal Firewall, когда для соединения обнаружено правило:

∙ Permit - разрешает соединение

∙ Deny - блокирует соединение

Детали правил фильтрации пакетов

Важно знать как отдельные части правила, и его элементы влияют на эффективное определение правила.

∙ Логическое отношение между Protocol, Local и Remote - "и". Это означает, что только для трафика, которому соответствуют данные условия, выполнится правило.

∙ Логическое отношение между значениями, включёнными в один элемент (протоколы, IP адреса или порты) - "или".

Пример: элемент Remote состоит из двух диапазонов портов: 80-88 и 8000-8080. Правило выполнится, когда удалённый порт принадлежит одному из этих диапазонов.

∙ Логическое отношение между элементами "IP address" и "port" в пункте Remote - "и".

Пример: пункт Remote определён IP адресом 65.131.55.1 и номером порта 80. Это условие выполнится для трафика с удалённого компьютера с IP адресом 65.131.55.1 для порта 80.

Примечания к определению фильтра пакетов

Поля Protocol, Local и Remote сильно взаимосвязаны. Для обеспечения надлежащей функциональности правила необходимо придерживаться следующих рекомендаций:

1. Определение порта имеет смысл только для TCP и UDP протоколов (другими протоколами порты игнорируются).

Если правило доступно для любого протокола (значение Protocol не определено), тогда номера портов не применяются, поскольку они используются только для трафика через TCP или UDP протоколы.

2. Служба приложений определяется номерами порта и протоколами. В диалоговом окне правила фильтрации пакетов, служба представлена только портом - протокол должен вводиться вручную.

Пример: Предположим, мы хотим создать правило для входящих HTTP соединений (т.е. разрешить доступ к Web серверу на компьютере, который защищает Kerio Personal Firewall), мы должны выполнить следующие шаги:

∙ Добавить порт в секцию Local. Выбрать службу HTTP- это автоматически установит значение порта 80.

∙ В секции Protocol установить TCP, который используется HTTP сервисом.

3. Наиболее общая модель трафика - это связь клиент-сервер. Сервер слушает по определённому порту входящее соединение. Клиент инициирует соединение, требуя от операционной системы свободный локальный порт (неизвестный порт), который будет использоваться для соединения. Это означает, что в отличие от порта сервера (который должен быть всегда известен), любой свободный порт может временно использоваться клиентом.

Данные факты должны учитываться при определении фильтра пакетов. Проблему можно лучше понять при помощи двух примеров:

Пример 1: Мы намереваемся разрешить доступ к Web серверу на локальном компьютере с IP адресом 60.80.100.120. Это достигается путём определения следующего правила:

∙ Protocol - [6] TCP (HTTP сервис использует TCP протокол)

∙ Local - Port: [80] HTTP (Web сервер запущен на локальном компьютере)

∙ Remote - Address: 60.80.100.120 (клиент, представленный Web браузером, будет работать на удалённом хосте; порт ещё неизвестен, поэтому мы определили только IP адрес)

Пример 2: Мы намереваемся блокировать доступ к Web серверу с IP адресом 90.80.70.60. Определим следующее правило:

∙ Protocol - [6] TCP

∙ Local - оставляем данный пункт пустым (порт клиента ещё не определён)

∙ Remote - Port: [80] HTTP, Address: 90.80.70.60 (спецификация удалённого сервера)

IP Группы

IP группы облегчают определение правил фильтрации пакета. Данные группы могут быть использованы для спецификации пункта Remote в диалоговом окне определения правила фильтрации пакета (смотрите выше).

IP группы могут быть просмотрены и определены во вкладке IP Group окна Advanced Packet Filter.

Окно состоит из следующих двух столбцов:

∙ Group name - имя IP группы. Используйте кнопку плюс для просмотра списка значений, включённых в специфическую группу.

∙ Definition - определение значений специфической группы.

Уберите отметку с элемента для временного запрета правила. Это может быть полезно, например, при тестировании или отладке - нет необходимости удалять значения и определять их заново.

Щёлкните на кнопке Add (или кнопке Edit для редактирования выбранного элемента) для открытия диалогового окна определения IP группы.

Is enabled  Отметьте/не отмечайте данную опцию для разрешения/запрета элемента. Данная опция идентична соответствующему полю, следующему за именем элемента во вкладке IP Groups (смотрите выше). Если Is enabled не отмечено, элемент неактивен. Это означает, что он не включён в группу.

Group name  Имя группы, в которую будет включён элемент. Определите элемент одним из следующих способов:

∙ выбор имени из меню - элемент будет добавлен в эту группу

∙ ввод нового имени группы - эта группа будет создана автоматически и элемент будет добавлен в новую группу

Type  Тип нового элемента:

∙ Host - IP адрес одного компьютера

∙ Address range - определите Первый адрес и Последний адрес для определения IP диапазона

∙ Address / mask - определите подсеть, задав IP адрес и маску

∙ Address group - другая группа IP адресов (IP адреса могут быть вложены друг в друга)