Средство межсетевого экранирования ViPNet Office Firewall. Установка и настройка


ViPNet Office Firewall


Программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментами локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.


Сценарии использования:


Управление доступом к интернет-ресурсам из локальной сети.

Помимо защиты компьютеров локальной сети от НСД по сетевому соединению, ViPNet Office Firewall позволяет запретить работу с Интернетом для определенных компьютеров локальной сети, пользователям которых такой доступ для служебных нужд не требуется, или разрешить отдельным компьютерам работать в сети только с определенными сервисами, например, почтовыми серверами. В этом случае достаточно задать фильтры для IP-адресов компьютеров или диапазонов адресов и указать, что трафик с данных адресов должен быть заблокирован или разрешен.

Защита нескольких локальных сетей и ДМЗ.

ViPNet Office Firewall обеспечивает работу с несколькими сетевыми интерфейсами, позволяя объединять сегменты подсетей и для каждого сетевого адаптера можно задать свой режим работы и свои фильтры. Также имеется возможность организации так называемой «демилитаризованной зоны» (ДМЗ), в которой можно разместить серверы, открытые для доступа из Интернета. При этом исходящий трафик из ДМЗ в локальные сети, подключенные к другим внутренним адаптерам, можно полностью заблокировать.


Установка ViPNet Office Firewall


Перед установкой программы ViPNet Office Firewall необходимо убедитесь, что на компьютере выполнены стандартные сетевые настройки, а также правильно заданы часовой пояс, дата и время. Для установки необходимы права администратора. Перед установкой ViPNet Office Firewall убедитесь, что на компьютере не установлены никакие другие сетевые экраны. Если такие программы установлены, перед установкой ViPNet Office Firewall их требуется удалить и перезагрузить компьютер. Использование ViPNet Office Firewall одновременно с другими сетевыми экранами может привести к конфликту программ и вызвать проблемы с доступом в сеть.

Чтобы установить программу ViPNet Office Firewall, выполните следующие действия:

1) Запустите установочный файл, входящий в комплект поставки.Дождитесь завершения подготовки к установке ViPNet Office Firewall.

2. Ознакомьтесь с условиями лицензионного соглашения. В случае согласия установите соответствующий флажок. Затем нажмите кнопку «Продолжить».



3. Если вы хотите настроить параметры установки, нажмите кнопку Настроить и укажите:

компоненты ViPNet Office Firewall, которые необходимо установить;

путь к папке установки компонентов ViPNet Office Firewall на компьютере;

имя пользователя и название организации;

название папки для программы ViPNet Office Firewall в меню Пуск.



4. Чтобы начать установку ViPNet Office Firewall, нажмите кнопку Установить сейчас.

5. Если после завершения установки возникает сообщение о необходимости перезагрузить компьютер, выполните перезагрузку.


Запуск программы


Запуск программы ViPNet Office Firewall может осуществляться пользователем самостоятельно или автоматически при загрузке операционной системы Windows (по умолчанию установлен автоматический запуск программы).

Если программа не зарегистрирована, откроется окно с предложением зарегистрировать ViPNet Office Firewall. Вы можете перейти к регистрации программы либо запустить незарегистрированную версию.



3. Откроется окно авторизации пользователя. Введите пароль пользователя и нажмите кнопку OK.



При первом запуске программы ViPNet Office Firewall в окне авторизации пользователя будет автоматически введен пароль по умолчанию. После входа в программу вы можете сменить пароль.

После выполнения входа в программу будут запущены компоненты ViPNet Монитор и ViPNet Контроль приложений и откроется главное окно ViPNet Office Firewall (ViPNet Монитор).



Слева представлена панель навигации. Справа находится панель просмотра разделов. Внизу строка состояния, содержащая следующие сведения: IP-адреса узла и текущая конфигурация программы.

Панель навигации содержит перечень разделов, предназначенных для настройки различных параметров ViPNet Office Firewall:

сетевые фильтры — содержит подразделы с фильтрами IP-трафика:

транзитные фильтры — предназначен для настройки фильтров транзитного трафика;

локальные фильтры — предназначен для настройки фильтров локального трафика;

трансляция адресов — предназначен для задания правил трансляции IP-адресов узлов.

группы объектов — содержит списки объектов, которые могут быть использованы при создании сетевых фильтров: группы IP-адресов, группы протоколов и так далее;

сетевые интерфейсы – содержит сетевые интерфейсы, установленные на компьютере;

статистика и журналы;

конфигурации — предназначен для управления конфигурациями программы ViPNet Office Firewall;

администратор — отображается только после входа в программу в режиме администратора и служит для настройки дополнительных параметров программы.

Панель просмотра разделов предназначена для отображения раздела, выбранного на панели навигации.


Настройка межсетевого экрана ViPNet Office Firewall


В программе ViPNet Office Firewall фильтрации подвергается весь трафик, который проходит через сетевой узел.

Трафик может быть локальным или широковещательным. Под локальным трафиком понимается входящий или исходящий трафик конкретного узла (то есть когда сетевой узел является отправителем или получателем IP-пакетов). Под широковещательным трафиком имеется в виду передача узлом IP-пакетов, у которых IP-адрес или MAC-адрес назначения является широковещательным адресом (то есть передача пакетов всем узлам определенного сегмента сети).

Кроме этого, через межсетевой экран может проходить транзитный трафик. Межсетевой экран не является ни отправителем, ни получателем транзитных IP-пакетов, которые следует через него на другие узлы.



Наибольшую опасность может представлять трафик из Интернета, где при умелом действии атакующего источник атаки очень сложно обнаружить. Для того чтобы правильно настроить сетевые фильтры, необходимо понимать основные принципы фильтрации трафика.

Все входящие и исходящие IP-пакеты проходят комплексную проверку в соответствии с сетевыми фильтрами. Если IP-пакет имеет адрес, разрешенный правилом антиспуфинга, пакет пропускается. В противном сручае – блокируется. Проверка в соответствии с сетевыми фильтрамию Если ip-пакет соответствует параметрам одного из имеющихся сетевых фильтров, то он пропускается или блокируется в соответствии с этим фильтром. Если пакет не соответствует ни одному из заданных фильтров, то он блокируется.



Такой принцип фильтрации обеспечивает высокий уровень безопасности, разрешая соединения только с нужными узлами по заданным протоколам и портам. IP-пакет последовательно проходит ряд фильтров в соответствии с их приоритетом, пока не будет пропущен или заблокирован одним из них. Как только пакет пропускается или блокируется, все последующие фильтры уже не действуют. Если пакет не был обработан ни одним фильтром, то он блокируется.


Общие сведения о сетевых фильтрах


Все сетевые фильтры (см. «Сетевой фильтр» на стр. 131) делятся на следующие категории:

Предустановленные фильтры и фильтры, заданные пользователем — доступны для редактирования пользователем;

Фильтры по умолчанию — недоступны для редактирования.

Предустановленные фильтры и фильтры по умолчанию создаются программой ViPNet Office Firewall автоматически во время установки.Предустановленные фильтры и фильтры, заданные пользователем в программе ViPNet Office Firewall, имеют более высокий приоритет, чем фильтры по умолчанию. Их всегда можно изменить или удалить. Фильтры по умолчанию представлены одним сетевым фильтром, блокирующим IP-трафик, который не соответствует ни одному из сетевых фильтров из первой категории.



Список сетевых фильтров представлен на панели просмотра в окне программы ViPNet Office Firewall в разделе Сетевые фильтры.



Сетевые фильтры имеют следующие особенности:

Фильтры включают в себя следующие параметры:

- Действие, применяемое к IP-пакетам. Фильтры могут пропускать или блокировать IP-пакеты, соответствующие заданным параметрам;

- Источник и назначение IP-пакетов, на которые распространяется действие фильтра;

- Протоколы фильтрации IP-пакетов;

- Расписание действия.

Для задания параметров фильтра могут использоваться группы объектов.

Чтобы изменить действие фильтра, двойным щелчком откройте свойства фильтра и в разделе Основные параметры выберите требуемое значение. Чтобы включить или отключить фильтр, установите или снимите флажок рядом с именем фильтра.

IP-пакеты проверяются в соответствии с расположением фильтров в списке, по порядку сверху вниз. Когда пакет блокируется или пропускается первым подходящим фильтром, последующие фильтры уже не оказывают никакого влияния на данный пакет.

В программе ViPNet Office Firewall фильтры различных категорий в списках фильтров отображаются в соответствующих группах и располагаются в порядке их приоритета согласно схеме выше. Порядок фильтров по умолчанию изменить нельзя. Порядок предустановленных фильтров и фильтров, заданных в ViPNet Office Firewall, вы можете изменять.

Фильтры, заданные пользователем, влияют как на новые, так и на уже существующие соединения. Таким образом, если фильтр, блокирующий трафик соединения, добавлен после установления соединения, то оно будет разорвано.


Проверка запрета


По умолчанию ViPnet настроен на то, чтобы запрещать все, кроме разрешенного. Команда ping проводится с помощью протокола icmp.

1) Открываем Пуск на wkstnn, нажимаем выполнить и пишем cmd.

2) Открывается командная строка. Вводим туда команду ping 192.168.0.1.



3) Таким образом ping показал, что узел недоступен.

4) Просканируем порты с помощью программы Nmap.



5) Результатом сканирования становится вывод о том, что nmap не может определить порты.


Создание сетевых фильтров (для пропуска ICMP пакетов)


В программе ViPNet Office Firewall предусмотрена возможность создания сетевых фильтров.

Для создания сетевого фильтра выполните следующие действия:

1) В окне программы ViPNet Office Firewall на панели навигации выберите раздел того типа фильтров, который вы хотите создать.

2) На панели просмотра нажмите кнопку Создать. Откроется окно свойств сетевого фильтра, в котором вы можете задать параметры нового фильтра.

3) В разделе Основные параметры выполните следующие действия:

Введите имя фильтра в соответствующем поле (имя – фильтр2);

Укажите действие нового фильтра, установив переключатель в положение пропускать.



4) В разделе Источники задайте отправителя IP-пакетов, на которые будет

распространяться действие фильтра Для этого добавьте:

IP-адрес (192.168.0.2) или DNS-имя отправителя либо диапазон адресов, если их несколько;

Группы IP-адресов отправителей, если такие созданы;

Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла.

Системную группу объектов Другие узлы. В этом случае фильтр будет

действовать для входящих открытых соединений вашего узла.

Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми узлами, и вашим узлом в том числе.



5) В разделе Назначения задайте получателя IP-пакетов, на которые будет распространяться действие фильтра. Для этого добавьте системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла;

Если вы не укажете получателя, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой узел.



6) В разделе Протоколы укажите протокол для фильтрации ICMP. Фильтром в данном случае будут обрабатываться только ICMP-пакеты, переданные с помощью указанного протокола. Нажимаем применить.



Проверка ICMP пакетов


1) Открываем командную строку на wkstnn и вводим команду ping 192.168.0.1.



2)Мы ввидим беспрепятственной прохождение ICMP пакетов.


Создание сетевых фильтров (для сканирования портов)


Для создания сетевого фильтра выполните следующие действия:

1) В окне программы ViPNet Office Firewall на панели навигации выберите раздел того типа фильтров, который вы хотите создать.

2) На панели просмотра нажмите кнопку Создать. Откроется окно свойств сетевого фильтра, в котором вы можете задать параметры нового фильтра.

3) В разделе Основные параметры выполните следующие действия:

Введите имя фильтра в соответствующем поле (имя – фильтр3);

Укажите действие нового фильтра, установив переключатель в положение пропускать.



4) В разделе Источники задайте отправителя IP-пакетов, на которые будет

распространяться действие фильтра Для этого добавьте:

IP-адрес (192.168.0.2) или DNS-имя отправителя либо диапазон адресов, если их несколько;

Группы IP-адресов отправителей, если такие созданы;

Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла.

Системную группу объектов Другие узлы. В этом случае фильтр будет

действовать для входящих открытых соединений вашего узла.

Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми узлами, и вашим узлом в том числе.



5) В разделе Назначения задайте получателя IP-пакетов, на которые будет распространяться действие фильтра. Для этого добавьте системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла;

Если вы не укажете получателя, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой узел.



6) В разделе Протоколы укажите протокол для фильтрации TCP. Фильтром в данном случае будут обрабатываться только TCP-пакеты, переданные с помощью указанного протокола. Нажимаем применить.


Проверка ICMP пакетов


1) Открываем Nmap на PC1 и вводим команду nmap 192.168.0.2.



2) Результатом становится список отрытых портов с запущенными на них службами.