Налаштування проксі-фаєрвол
Принцип роботи всіх проксі-фаєрвол однаковий (мається на увазі ПО). Під час налаштування проксі-фаєрвол створюються правила, відповідно до правил проксі-фаєрвол або пропускає пакети всередину / назовні мережі, або відкидає. Ми розглянемо побудову проксі-фаєрвол сервера на прикладі ПО фірми Kerio. Досить демократичне за ціною ПО, що забезпечує потреби невеликої мережі. І навіть якщо немає грошей на сервер, то на базі звичайного Pentium4 / 512Mb, можна побудувати проксі-фаєрвол, який легко впорається з мережею до 100 машин. Ну, ОС звичайно краще поставити серверну. Або, завжди можна купити проксі на відмінному сервісі advanced.name
І ще дещо - фірма Kerio написала ПО, яке інтегрується в Active Directory. Це говорить про те, що якщо встановити проксі-фаєрвол на комп'ютер, який є членом домену, то при налаштуванні він легко імпортує базу даних користувачів. І при створенні користувача в домені, він автоматично отримає доступ до мережі Інтернет (при правильному налаштуванні). Однак це зручність спірне. Я, наприклад, вважаю за краще повністю контролювати всі процеси в мережі, і тому ми зараз почнемо встановлювати проксі-фаєрвол на комп'ютер, який не тільки не є членом домену, але і знаходиться в абсолютно іншій групі. При такій постановці питання нам доведеться всіх користувачів заводити руками на проксі-фаєрвол сервері. В принципі, нам все одно довелося б заводити користувачів окремо на проксі-фаєрвол, так як продукт фірми Kerio не дружить з кирилицею, а всі користувачі в Active Directory наерняка заведені в російській розкладці. Починаємо.
Опис установки ОС, я думаю, можна опустити. Дамо ім'я комп'ютера і робочої групи, куди ми призначимо проксі-фаєрвол сервер, однакове - PRFW. Так як комп'ютер заточуємо під проксі-фаєрвол сервер, вимкнемо всі непотрібні сервіси та зробимо установку по мінімуму. Нічого зайвого нам не потрібно.
Починаємо установку. Як завжди, до нас на допомогу поспішає вбудований помічник. Довго тиснемо на кнопку "Next", поки не потрапляємо на екран вибору установки. Тут, звичайно, вибираємо тип установки "Custom".
Тепер чекаємо кілька хвилин, поки йде установка. Далі перенавантажуємо комп'ютер і дивимося, що ж вийшло. Після перезавантаження Kerio запропонує запустити адміністраторську консоль проксі-фаєрвол сервера. Запускаємо.
Далі вводиш логін і пароль. І знову турботливі програмісти зробили все, що б ми сильно не перетрудилися, зморщивши свій мозок, - нам знову пропонують помічника для настройки проксі-фаервола. Тут зупинимося на хвильку. Як зазвичай є два шляхи: пройтися під керівництвом помічника і отримати на виході готовий працездатний проксі-фаєрвол, в якому потім при необхідності можна підправити все правила або відмовитися від послуг помічника і почати все робити ручками. Ми не шукаємо легких шляхів і зробимо все руками. Скасовуємо роботу помічника. Тепер при запуску адміністративної консолі нам необхідно або зареєструвати копію (тільки при наявності інтернету), або використовувати демо-версію (при наявності інтернету), або встановити наявний ліцензійний ключ. Встановлюємо ключ, він адже є у нас. З реєстрацією закінчили. Тепер дивимося, що ми маємо. А маємо ми одне правило (його не можна ні видалити, ні змінити), яке повністю закриває всі порти.
Тепер прийшов час помічника. На сторінці "Traffic Policy" внизу знаходимо кнопку "Wizard" і натискаємо її. Перша сторінка розповіла нам про те, як помічник налаштує правила (читати можна тільки від нудьги) -> "Next".
Друга сторінка: вибираємо тип підключення до Інтернету, якщо не dual-up, то залишаємо за замовчуванням. На наступній сторінці вибираємо інтерфейс, який підключений до Мережі (ми його назвали "Internet Connection"). "Next".
Тепер нам пропонуються порти, які будуть відкриті. Пропоную залишати все за замовчуванням, все одно будемо переробляти.
На п'ятій сторінці правило, що відноситься до VPN: якщо оное не передбачається використовувати, то скидаємо галочку. "Next".
Ось прийшли до вхідних правилам. На шостій сторінці помічник пропонує вказати, які сервіси, що використовуються в локальній мережі, повинні бути видні з Інтернету (твій веб-сервер, поштовий сервер, фтп-сервер і так далі). Якщо нічого такого немає, на сторінці нічого і не додаємо. "Next".
На сьомий сторінці правило використання NAT. Це важлива частина - залишаємо зазначеним дане правило. На восьмий сторінці бажана кнопка "Finish". Ми отримали готовий проксі-фаєрвол сервер.
Якщо ти уважно подивишся на правила, які створив помічник, то побачиш, що, в принципі, все основне і необхідне для виходу з локальної мережі в Інтернет є. Однак перед тим як почнемо заводити користувачів на проксі-фаєрвол сервері, необхідно зробити ще деякі налаштування. При такій настройці користувач не отримає доступ в інтернет, так як не має на це прав, але деякі сервіси, запущені на машині користувача, зможуть достукатися в інтернет, так як існує правило, що дозволяє протоколам (HTTP, наприклад), виходити в інтернет. Перше, що необхідно зробити, це виключити можливість виходу з локальної мережі в Мережу чого б то не було. Жоден сервіс, ні один додаток не повинні мати такої можливості. Поки не чіпаємо правила, які створив помічник. Починаємо дописувати свої. Створимо два правила на рівні інтерфейсів: одне дозволяє мережевої карти локальної мережі (Local Area Connection) повний доступ на проксі-фаєрвол, друге - забороняє локальної мережі доступ на мережеву карту "Internet Connection".
На сторінці "Traffic Policy" натискаємо "ADD", і у нас з'явилося нове правило "New rule". Відредагуємо його: подвійне клацання на правіле-> даємо йому ім'я "Proxy1" -> міняємо колір (я роблю це для того, що б відрізняти правила, створені мною, від правил, створених помічником) -> в Description пишемо: "Обмін між внутрішньою мережею і файрволом ". Тепер редагуємо джерело: подвійне клацання на правилі Proxy1 в стовпці Source. У вікні Edit Source натискаємо Add, і у випадаючому списку вибираємо Network connection to interface. Ну і в списку інтерфейсів вибираємо Local Area Connection. Таким же чином редагуємо стовпець Destination. Тільки тепер вибираємо Firewall host. Колонку Service не чіпаємо: в ній за замовчуванням залишаємо Any (всі сервіси). А в колонці Action необхідно вибрати Permit. Розшифруємо правило: ми дозволили обмін всіма можливими пакетами будь-яких можливих сервісів між мережевою картою проксі-фаервола, яка дивиться у внутрішню мережу (Local Area Connection), і програмним комплексом проксі-фаервола. Другим правилом ми заборонимо обмін будь-якими даними між мережевою картою Local Area Connection і мережевою картою Internet Connection. Додаємо правило, даємо ім'я Proxy2, міняємо колір, даємо опис, джерелом вибираємо Local Area Connection (Source), приймачем вибираємо Internet Connection (Destination), сервіси залишаємо все (Any), а в колонці Action вибираємо Deny. Таким чином, жоден сервіс, протокол або пакет не зможе пройти, минаючи файрвол, з внутрішньої мережі в зовнішню, і навпаки. І ще один нюанс: проксі-фаєрвол Новомосковскет правила зверху вниз. Якщо перше правило дозволяє пакету або сервісу дію, то до цього пакету або сервісу прикладається наступне правило і так до самого низу списку правил. І якщо жодне правило, не заборонило активність пакету-сервісу, то він випускається назовні або, навпаки, проходить всередину мережі. Розмістимо наші новостворені правила після правила, створеного помічником Firewall Traffic. Для переміщення правил вгору або вниз праворуч від таблиці правил існують стрілочки.
Не забуваємо натискати кнопку Apply після всіх правильних дій, інакше всі праці будуть загублені при виході з програми! Ось тепер прийшов час розібратися з іншими правилами.
Тепер відключимо деякі правила, створені помічником, а деякі підправимо. Для відключення правила досить зняти галочку біля імені і не забути натиснути Apply. Отже, відключаємо такі правила: ISS OrangeWeb Filter (спам-фільтр, який через деякий час запросить грошей), правило NAT (ми задали замість нього свої правила), правило Local Traffic (аналогічно). Тепер підправимо правило FireWall Traffic. Всі потрібні тобі мережеві сервіси додавай в це правило. Ми додамо поки ICQ, IRC, Ping.
Перевіряємо: ліземо в Traffic Policy, додаємо наш новостворений сервіс в правило Firewall Traffic, подвійне клацання на Service, і в списку знаходимо наш сервіс.
Ми розглянули зразкову створення правил для захисту мережі та забезпечення необхідної функціональності. У наступному раз ми продовжимо налаштування нашого проксі-фаєрвол сервера, розберемося з користувачами, квотами та тематичної фільтрами.