ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE...

179
Инв. № подл. Подп. и дата Взам. инв. №Инв. № дубл. Подп. и дата УТВЕРЖДЕН RU.86201535.0000202 34 01 ЛУ ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ-ШЛЮЗ IDECO ICS 6» РУКОВОДСТВО АДМИНИСТРАТОРА RU.86201535.0000202 34 01 Листов 179 2015

Transcript of ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE...

Page 1: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

Инв

.№по

дл.

Под

п.и

дата

Вза

м.и

нв.№

Инв

.№ду

бл.

Под

п.и

дата

УТВЕРЖДЕН

RU.86201535.00002−02 34 01 ЛУ

ПРОГРАММНЫЙ КОМПЛЕКС«ИНТЕРНЕТ-ШЛЮЗ IDECO ICS 6»

РУКОВОДСТВО АДМИНИСТРАТОРА

RU.86201535.00002−02 34 01Листов 179

2015

Page 2: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

2

АННОТАЦИЯ

В данном документе приведено руководство администратора программного комплексамежсетевого экрана «Интернет-шлюз Ideco ICS 6», предназначенного для контроля информа-ции и защиты локальной сети от угроз извне средствами сетевого фильтра, который исходя изданных о состоянии соединений и множественных характеристик сетевых протоколов с учетомдополнительной алгоритмической обработки и анализа принимает решение независимо длякаждого сетевого пакета и регистрирует его в специальном системном журнале.

В разделе «Назначение программы» приведено описание назначения программногокомплекса, его возможности, а также основные характеристики и ограничения, накладыва-емые на область применения программного комплекса.

В разделе «Установка и конфигурирование» описывается процесс установки и началь-ного конфигурирования ПК «Интернет-шлюз Ideco ICS 6».

В разделе «Администрирование. Основная функциональность» содержится описаниевеб-интерфейса ПК «Интернет-шлюз Ideco ICS 6», настройка при помощи веб-интерфейсасредств, реализующих контроль над информацией, поступающей в локальную сеть и/или вы-ходящей из локальной сети, и обеспечение защиты локальную сети посредством фильтрацииинформации, т. е. ее анализа по совокупности критериев и принятия решения о ее распростра-нении в (из) локальной сети, процедуры обновления и проверки целостности обновлений.

В разделе «Администрирование. Дополнительная функциональность» содержится опи-сание веб-интерфейса ПК «Интернет-шлюз Ideco ICS 6», настройка при помощи веб-интерфейсаподключения ПК «Интернет-шлюз Ideco ICS 6» к провайдеру, управление пользователями ислужбами ПК «Интернет-шлюз Ideco ICS 6».

Оформление программного документа «Руководство администратора» произведено потребованиям ЕСПД (ГОСТ 19.101-771), ГОСТ 19.103-772), ГОСТ 19.104-783), ГОСТ 19.105-784),ГОСТ 19.106-785), ГОСТ 19.604-786)).

1) ГОСТ 19.101-77 ЕСПД. Виды программ и программных документов2) ГОСТ 19.103-77 ЕСПД. Обозначение программ и программных документов3) ГОСТ 19.104-78 ЕСПД. Основные надписи4) ГОСТ 19.105-78 ЕСПД. Общие требования к программным документам5) ГОСТ 19.106-78 ЕСПД. Общие требования к программным документам, выполненным пе-

чатным способом6) ГОСТ 19.604-78 ЕСПД. Правила внесения изменений в программные документы, выпол-

ненные печатным способом

Page 3: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

3

СОДЕРЖАНИЕ

1 Введение 7

2 Общая информация 82.1 Определения и сокращения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.2 Ключевые возможности ПК «Интернет-шлюз Ideco ICS 6» . . . . . . . . . . . . . 9

2.2.1 Эффективность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.2.2 Безопасность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102.2.3 Надежность . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.3 Архитектура . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.4 Пользователи и группы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.5 Управление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142.6 Учет, тарификация, ограничение доступа . . . . . . . . . . . . . . . . . . . . . . . 14

3 Установка и конфигурирование 163.1 Системные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163.2 Установка ПК «Интернет-шлюз Ideco ICS 6» . . . . . . . . . . . . . . . . . . . . . 173.3 Первоначальная настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

3.3.1 Загрузка ПК «Интернет-шлюз Ideco ICS 6» . . . . . . . . . . . . . . . . . . 173.3.2 Смена пароля локальной консоли управления . . . . . . . . . . . . . . . . . 193.3.3 Подключение к веб-интерфейсу . . . . . . . . . . . . . . . . . . . . . . . . . 203.3.4 Базовая настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213.3.5 Настройка подключения к интернет-провайдеру . . . . . . . . . . . . . . . 223.3.6 Подключение администратора . . . . . . . . . . . . . . . . . . . . . . . . . . 263.3.7 Настройка режима безопасности . . . . . . . . . . . . . . . . . . . . . . . . . 273.3.8 Поиск и подключение компьютеров . . . . . . . . . . . . . . . . . . . . . . . 283.3.9 Дополнительные настройки . . . . . . . . . . . . . . . . . . . . . . . . . . . 293.3.10 Создание учетной записи пользователя . . . . . . . . . . . . . . . . . . . . . 30

3.4 Установка сертифицированного СКЗИ . . . . . . . . . . . . . . . . . . . . . . . . . 333.4.1 Установка ПК «МагПро КриптоСервер» версии 2.1 на ПК «Интернет-

шлюз Ideco ICS 6» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353.4.2 Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте

администратора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383.4.3 Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте

внешнего и внутреннего клиентов . . . . . . . . . . . . . . . . . . . . . . . . 403.4.4 Настройка VPN-соединения по протоколу SSTP через ПК «МагПро Крип-

тоТуннель» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413.5 Требования по безопасной настройке . . . . . . . . . . . . . . . . . . . . . . . . . . 443.6 Активация сервера ПК «Интернет-шлюз Ideco ICS 6» . . . . . . . . . . . . . . . . 46

4 Администрирование. Основная функциональность 494.1 Управление доступом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

Page 4: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

4

4.1.1 Настройка фильтрации на сетевом уровне на основе сетевых адресов от-правителя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

4.1.2 Настройка фильтрации на сетевом уровне на основе сетевых адресов по-лучателя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

4.1.3 Настройка фильтрации пакетов служебных протоколов, служащих длядиагностики сетевых устройств . . . . . . . . . . . . . . . . . . . . . . . . . 52

4.1.4 Настройка фильтрации пакетов служебных протоколов, служащих дляуправления работой сетевых устройств . . . . . . . . . . . . . . . . . . . . . 53

4.1.5 Настройка фильтрации с учетом входного и выходного сетевого интерфейса 544.1.6 Настройка фильтрации с учетом любых значимых полей сетевых пакетов 554.1.7 Настройка фильтрации на транспортном уровне запросов на установление

виртуальных соединений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564.1.8 Настройка фильтрации на прикладном уровне запросов к прикладным

сервисам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574.1.9 Настройка фильтрации с учетом даты/времени . . . . . . . . . . . . . . . . 58

4.2 Идентификация и аутентификация . . . . . . . . . . . . . . . . . . . . . . . . . . . 594.2.1 Аутентификация входящих и исходящих запросов . . . . . . . . . . . . . . 594.2.2 Аутентификация входящих и исходящих запросов методами, устойчивы-

ми к пассивному и/или активному прослушиванию сети . . . . . . . . . . . 604.3 Регистрация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.3.1 Регистрация и учет фильтруемых пакетов . . . . . . . . . . . . . . . . . . . 604.3.2 Локальная сигнализация попыток нарушения правил фильтрации . . . . . 61

4.4 Администрирование: идентификация и аутентификация . . . . . . . . . . . . . . . 614.4.1 Идентификация и аутентификация администратора МЭ при его локаль-

ных запросах на доступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614.4.2 Идентификация и аутентификация администратора МЭ при его удален-

ных запросах на доступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624.5 Администрирование: регистрация . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

4.5.1 Регистрация входа (выхода) администратора МЭ в систему (из системы) . 634.5.2 Регистрация загрузки и инициализации системы и ее программного останова 644.5.3 Регистрация запуска программ и процессов (заданий, задач) . . . . . . . . 644.5.4 Регистрация действий администратора по изменению правил фильтрации 664.5.5 Регистрация действий администратора по редактированию учетных дан-

ных пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674.5.6 Анализ регистрационной информации . . . . . . . . . . . . . . . . . . . . . 68

4.6 Контроль целостности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694.6.1 Контроль целостности программной и информационной части . . . . . . . 694.6.2 Проверка целостности программной и информационной части . . . . . . . 694.6.3 Проверка целостности файлов по контрольным суммам компонент СЗИ . 71

4.7 Восстановление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 724.7.1 Процедура восстановления после сбоев и отказов оборудования . . . . . . . 724.7.2 Процедура восстановления программной части . . . . . . . . . . . . . . . . 73

Page 5: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

5

4.7.3 Процедура восстановления информационной части . . . . . . . . . . . . . . 734.7.4 Процедура обновления и проверки целостности обновлений . . . . . . . . . 74

5 Администрирование. Дополнительная функциональность 755.1 Подключение к провайдеру . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75

5.1.1 Подключение по Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 755.1.2 Подключение по PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765.1.3 Подключение по PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795.1.4 Подключение по L2TP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 825.1.5 Одновременное подключение к нескольким провайдерам . . . . . . . . . . 84

5.2 Управление пользователями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955.2.1 Дерево пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955.2.2 Управление учетными записями пользователей . . . . . . . . . . . . . . . . 975.2.3 Административные учетные записи . . . . . . . . . . . . . . . . . . . . . . . 1005.2.4 Настройка учетных записей пользователей . . . . . . . . . . . . . . . . . . . 1015.2.5 Интеграция с Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . 1075.2.6 Проверка пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

5.3 Типы авторизации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1125.3.1 Авторизация по IP-адресу . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1125.3.2 Авторизация по PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1125.3.3 Авторизация по PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1135.3.4 Авторизация через Ideco Agent . . . . . . . . . . . . . . . . . . . . . . . . . 1145.3.5 Авторизация через web-интерфейс . . . . . . . . . . . . . . . . . . . . . . . 1165.3.6 NTLM-авторизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

5.4 Туннельные соединения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1195.4.1 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1195.4.2 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124

5.5 Службы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275.5.1 Сервер DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1275.5.2 Почтовый сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1285.5.3 Сервер FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1355.5.4 Сервер DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1395.5.5 Сетевой фильтр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1435.5.6 Сервер Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1495.5.7 Контент-фильтр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1515.5.8 Защита от попыток неправомерной передачи защищаемой информации

(DLP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

6 Обслуживание 1606.1 Установка сертифицированного антивируса . . . . . . . . . . . . . . . . . . . . . . 160

6.1.1 Установка сертифицированного антивируса Dr.Web . . . . . . . . . . . . . 1606.2 Резервное копирование и восстановление данных . . . . . . . . . . . . . . . . . . . 162

Page 6: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

6

6.2.1 Резервное копирование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1626.2.2 Резервное копирование на сетевое хранилище по протоколу FTP . . . . . . 1646.2.3 Резервное копирование на сетевое хранилище по протоколу NetBIOS . . . 1656.2.4 Копирование файлов на локальный компьютер . . . . . . . . . . . . . . . . 1666.2.5 Резервное копирование на локальный жесткий диск . . . . . . . . . . . . . 168

6.3 Режим удаленного помощника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1726.3.1 Загрузка сервера в режиме удаленного помощника . . . . . . . . . . . . . . 172

6.4 Работа из консоли сервера от имени пользователя root в режиме удаленного по-мощника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1746.4.1 Работа с сервером удаленно в режиме удаленного помощника . . . . . . . . 1746.4.2 Удаленный доступ к локальному меню сервера . . . . . . . . . . . . . . . . 174

7 Приложения 176

Page 7: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

7

1 ВВЕДЕНИЕ

Программный комплекс «Интернет-шлюз Ideco ICS 6» (далее ПК «Интернет-шлюзIdeco ICS 6») – это универсальный межсетевой экран с функциями учета трафика. ПК «Интер-нет-шлюз Ideco ICS 6» позволяет быстро и легко настроить качественный доступ в Интернетвсем пользователям и сделать работу с Интернет управляемой и безопасной. ИнтегрированныеИнтернет-сервисы позволяют сразу развернуть полноценную почтовую службу, веб-сайт, FTP-сервер.

ПК «Интернет-шлюз Ideco ICS 6»– это высоконадежное и безопасное решение, котороевключает в себя полностью сконфигурированные и готовые к использованию компоненты. ПК«Интернет-шлюз Ideco ICS 6» автоматически устанавливается и управляется через интуитивно-понятный графический интерфейс.

Page 8: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

8

2 ОБЩАЯ ИНФОРМАЦИЯ

2.1 Определения и сокращения

Понятия, которые принадлежат предметной области, ориентированной на информаци-онные системы и технологии:

IP-адресУникальный сетевой адрес узла в компьютерной сети, взаимодействующей по прото-колу IP. При связи через сеть Интернет требуется глобальная уникальность адреса,в случае работы в локальной сети требуется уникальность адреса в пределах сети.

Регулярные выраженияРегулярные выражения (regular expression, regexp) – современная система поискатекстовых фрагментов в электронных документах, основанная на специальной си-стеме записи образцов для поиска. Образец (англ. pattern), задающий правило по-иска, по-русски также иногда называют «шаблоном», «маской», или на английскийманер «паттерном».

Сетевая маскаСетевая маска или маска подсети – битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая – к адресу самого узла в этойсети.

Сокращения, используемые в данном руководстве пользователя:

СКЗИСредство криптографической защиты информации.

ADActive Directory – служба каталогов корпорации Microsoft для операционных системсемейства Windows NT.

GREGeneric Routing Encapsulation – общая инкапсуляция маршрутов. Протокол тунне-лирования сетевых пакетов, разработанный компанией CISCO Systems.

ICMPInternet Control Message Protocol – межсетевой протокол управляющих сообщений.Cетевой протокол, входящий в стек протоколов TCP/IP.

IMAPInternet Message Access Protocol – протокол работы с почтовыми сообщениями. Вотличие от POP3 обработка почты ведется на центральном сервере.

POP3Post Office Protocol Version 3 – протокол работы с почтовыми сообщениями. В отли-чие от IMAP все письма загружаются в почтовую программу, и дальнейшая обра-ботка ведется на рабочей станции.

Page 9: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

9

PPPoEPoint-to-point protocol over Ethernet – сетевой протокол передачи кадров PPP черезEthernet. В основном используется XDSL-сервисами.

PPTPPoint-to-point tunneling protocol – туннельный протокол типа точка-точка, позволяю-щий компьютеру устанавливать защищенное соединение с сервером за счет созданияспециального туннеля в стандартной, незащищенной, сети.

P2PPeer-to-peer – одноранговая, децентрализованная или пиринговая сеть, в которойвсе участники равноправны. В такой сети отсутствуют выделенные серверы, а каж-дый узел (peer) является как клиентом, так и сервером. В отличие от архитектурыклиент-сервера, такая организация позволяет сохранять работоспособность сети прилюбом количестве и любом сочетании доступных узлов.

QoSQuality of Service – механизм управления пропускной способностью сети.

SSHSecure SHell – сетевой протокол прикладного уровня, позволяющий производить уда-ленное управление операционной системой и туннелирование TCP-соединений череззащищенный (зашифрованный) канал.

TCPTransmission Control Protocol – протокол управления передачей. Один из основныхсетевых протоколов интернета, предназначенный для управления передачей данныхв сетях и подсетях TCP/IP.

UDPUser Datagram Protocol – протокол пользовательских датаграмм. Транспортный про-токол для передачи данных в сетях IP без установления соединения.

VLANVirtual Local Area Network – виртуальная локальная компьютерная сеть, представ-ляет собой группу узлов с общим набором требований. Имеет те же свойства, чтои физическая локальная сеть, но позволяет сгруппировать вместе компьютеры, ненаходящиеся в одной физической сети.

2.2 Ключевые возможности ПК «Интернет-шлюз Ideco ICS 6»

Возможности ПК «Интернет-шлюз Ideco ICS 6» обеспечивают решение трех основныхпроблем доступа в интернет, актуальных для любого предприятия малого и среднего бизнеса:

– эффективность;

– безопасность;

– надежность.

Page 10: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

10

2.2.1 Эффективность

Контентная фильтрацияНадежное средство борьбы с непродуктивным использованием доступа в интернет.Социальные сети, сайты знакомств, форумы – доступ к ним может быть ограни-чен в считанные секунды. Поддерживается 18 категорий сайтов, включая ресурсы,распространяющие вредоносное программное обеспечение. Фильтрация может бытьприменена к конкретным пользователям или к группам.

Управление доступомШирокий набор инструментов дает возможность гибкого управления доступом поль-зователей к интернет-ресурсам, включая сети P2P, системы обмена сообщениями,сетевые игры и многое другое.

Развитая система формирования отчетовОбеспечивает возможность контроля над сетевой активностью сотрудников. Ста-тистика посещаемых ресурсов, детализированные отчеты, возможность экспорта идругие инструменты, необходимые для принятия эффективных управленческих ре-шений.

Виртуальные частные сети VPNВысокая мобильность сотрудников, а также возможность объединения удаленныхофисов в единое информационное пространство позволят повысить эффективностьбизнес-процессов для территориально распределенных предприятий.

Простота внедрения и поддержкиУдобный графический интерфейс делает процесс эксплуатации простым и понят-ным, повышает преемственность ИТ-инфраструктуры, позволяя сократить эксплу-атационные расходы и обеспечить непрерывность бизнес-процессов.

Дополнительные службыПК «Интернет-шлюз Ideco ICS 6» включает в себя сервер электронной почты, а так-же множество дополнительных служб (web, FTP). Все возможности, необходимыесовременному бизнесу, доступны в одном решении.

2.2.2 Безопасность

Встроенные средства антивирусной защитыПроверка трафика в режиме реального времени с применением технологий «Лабо-ратории Касперского», гарантирует высокую эффективность обнаружения и блоки-рования вредоносного ПО, проникающего через e-mail или web-ресурсы.

Модуль DLPТехнология предотвращения утечек защитит конфиденциальную информацию пред-приятия от случайного раскрытия, например, отправки по электронной почте.

Page 11: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

11

2.2.3 Надежность

Резервирование интернет-каналовВ ПК «Интернет-шлюз Ideco ICS 6» реализована возможность резервирования ка-налов доступа в интернет. Если один из каналов выйдет из строя, автоматическибудет подключен резервный, что обеспечит непрерывность бизнес-процессов.

Управление шириной каналаАвтоматическое интеллектуальное управление полосой пропускания, в совокупно-сти с возможностью балансировки нагрузки между несколькими каналами доступав интернет, гарантирует высокую эффективность передачи критически важного тра-фика, например, IP-телефонии.

Ядро LinuxВ основе ПК «Интернет-шлюз Ideco ICS 6» лежит ядро Linux, традиционно исполь-зуемое в высоконагруженных системах с повышенными требованиями к безопасно-сти.

Техническая поддержкаТехническая поддержка работает в режиме реального времени и поможет своевре-менно решать возникающие проблемы до того момента, когда они начнут наноситьвред бизнес-процессам.

2.3 Архитектура

ПК «Интернет-шлюз Ideco ICS 6» устанавливается на границе корпоративной сетии сети Интернет, обеспечивая полный контроль над трафиком, как передаваемым интернет-ресурсами в локальную сеть, так и наоборот. Cтандартное размещение интернет-шлюза пред-ставлено на рисунке 1.

Page 12: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

12

Рисунок 1 – архитектура ПК «Интернет-шлюз Ideco ICS 6»

2.4 Пользователи и группы

Основным понятием ПК «Интернет-шлюз Ideco ICS 6» является пользователь. Поль-зователь – регистрационная запись пользователя, получающего доступ в Интернет через ПК«Интернет-шлюз Ideco ICS 6». Пользователем также может быть внутренний сервер предпри-ятия или любое сетевое устройство.

Для удобства управления пользователей объединяют в группы, уровень вложенностикоторых неограничен. Такая древовидная структура позволяет легко отразить реальную струк-туру предприятия.

Page 13: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

13

Рисунок 2 – пользователи и группы

Группой может являться также и стороннее юридическое лицо в случае оказания услугдоступа другим предприятиям. Для этого можно создать группу и передать управление этойгруппой администратору этого предприятия. У таких групп необходимо устанавливать признакфинансовая.

Основные параметры пользователей, такие, как пул IP-адресов, профиль выхода в Ин-тернет, параметры ограничений и разрешений, по умолчанию наследуются от родительскихгрупп.

Каждый пользователь и каждая группа имеют свой лицевой счет, который отражаеттекущий баланс.

Рисунок 3 – баланс пользователя

Система обеспечивает хранение информации об истории баланса, расходов за период,поступлениях за период, остатков на начало расчетных периодов. История отражена в журналеопераций.

Для нефинансовых пользователей устанавливается лимит расхода за период, балансобнуляется в начале периода и отсчет идет заново.

Page 14: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

14

Для финансовых пользователей обнуление баланса не происходит, а оплата произво-дится оператором.

Все настройки пользователей и групп хранятся в базе данных, пароли в целях безопас-ности хранятся в закодированном виде.

2.5 Управление

Управление программным комплексом межсетевым экраном «Интернет-шлюз IdecoICS 6» осуществляется через веб-интерфейс.

Администратор – это пользователь, имеющий права по управлению другими пользо-вателями.

Рисунок 4 – администратор

В системе может быть определено произвольное число администраторов с различнымиполномочиями.

После установки системы в ней зарегистрирован единственный администратор с име-нем «Главный администратор» и логином «Administrator». Главный администратор имеет неогра-ниченные права по управлению ПК «Интернет-шлюз Ideco ICS 6». В дальнейшем могут бытьсозданы дополнительные администраторы.

Администратор может управлять всеми пользователями группы, в которой он нахо-дится сам, а также всеми подгруппами этой группы.

Администратор может любого из пользователей группы назначить администраторомгруппы. Тогда администратор группы сможет управлять пользователями своей группы, приэтом он не сможет просматривать и изменять пользователей в других группах и не можетуправлять правилами фильтрации трафика.

На каждое изменение учетных записей пользователей и групп, правил фильтрации,запуск и остановку сервисов и программ ведется журнал, который записывается в базу данных.В дальнейшем записанный журнал можно просмотреть в веб-интерфейсе.

2.6 Учет, тарификация, ограничение доступа

В системе ведется учет расхода трафика по пользователям, группам пользователей ивсего предприятия в целом.

Тарификация – это списание с лицевого счета пользователя условных единиц в со-ответствии с назначенным профилем выхода в Интернет. Списание происходит в реальномвремени.

Профиль выхода в Интернет определяет стоимость трафика в зависимости от направ-ления. В зависимости от потребностей предприятия может быть определено несколько профи-

Page 15: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

15

лей выхода в Интернет. Поддерживается возможность смены профиля выхода в Интернет какдля отдельных пользователей, так и для групп пользователей.

В зависимости от состояния баланса пользователей или группы может происходитьограничение доступа. Например, если установить у пользователя порог отключения равным«−50», то при достижении балансом этого значения пользователю будет автоматически закрытдоступ в Интернет. Также имеется возможность рассылки предупреждений о скором отклю-чении доступа по электронной почте, winpopup.

Рисунок 5 – настройки баланса пользователя

Page 16: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

16

3 УСТАНОВКА И КОНФИГУРИРОВАНИЕ

3.1 Системные требования

Требования к серверу ПК «Интернет-шлюз Ideco ICS 6»:

Процессор 1)

Процессор Intel с частотой 1,5 ГГц с одним или несколькими ядрами.

Память 1)

2 Гб

Накопитель2)

Жесткий диск с интерфейсом IDE, SCSI, SATA или SAS, либо аппаратный RAIDHP или Intel. Объем не менее 160 Гб.

СетьДве сетевые карты. Рекомендуется карты на чипах 3Com, Intel, Broadcom, Realtek.

ДополнительноСистемная плата на чипсете Intel, CD-ROM или DVD-ROM с интерфейсом IDE илиSATA, монитор, клавиатура.

Примечания:

1. В зависимости от количества пользователей, рекомендуется придерживаться следу-ющего правила: на каждые 250 активных пользователей требуется один гигабайтпамяти и одно ядро процессора. Требования сильно варьируются в зависимости отсетевой нагрузки и используемых сервисов, таких как контентная фильтрация иантивирусы.

2. В зависимости от объема трафика и продолжительности хранения детализирован-ной статистики, может потребоваться увеличение объема накопителя, или установ-ка дополнительного. Для хранения данных встроенных сервисов (FTP, Web-сервер,почтовый сервер, прокси-сервер и др.) также может потребоваться дополнительноеместо.

Для установки и работы ПК «Интернет-шлюз Ideco ICS 6» не требуется предустанов-ленная ОС. ПК «Интернет-шлюз Ideco ICS 6» устанавливается на выделенный сервер с загру-зочного CD. Для функционирования ПК «Интернет-шлюз Ideco ICS 6» должно быть установ-лено сертифицированное ФСБ России СКЗИ «МагПро КриптоПакет» версии 2.1 (сертификатсоответствия ФСБ России № СФ/124−2063 от 05 февраля 2013 г.), входящее в комплект по-ставки на отдельном компакт-диске.

Для настройки ПК «Интернет-шлюз Ideco ICS 6» через веб-интерфейс необходимо обес-печить связь компьютера администратора с ПК «Интернет-шлюз Ideco ICS 6» по протоколуIP.

Page 17: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

17

3.2 Установка ПК «Интернет-шлюз Ideco ICS 6»

ПК «Интернет-шлюз Ideco ICS 6» устанавливается с компакт диска на отдельный ком-пьютер.

Возможна установка ПК «Интернет-шлюз Ideco ICS 6» на виртуальную машину. Под-держивается работа в следующих виртуальных окружениях:

– Linux KVM;

– Microsoft Hyper-V Server 2012;

– Microsoft Hyper-V Server 2008 R2;

– Oracle VirtualBox;

– VMware Player, Server.

При выделении ресурсов для виртуальной машины следует руководствоваться пунктом «3.1.Системные требования».

Важно! Перед установкой все данные будут уничтожены.

ПК «Интернет-шлюз Ideco ICS 6» не поддерживает установку в существующую ОСили соседство с другой ОС.

Установите в BIOS компьютера загрузку с CD-ROM и обязательно установите пра-вильное время.

Вставьте в CD-ROM установочный диск с ПК «Интернет-шлюз Ideco ICS 6».Выполните загрузку с установочного диска.Следуйте инструкциям мастера установки.Перезагрузите сервер.

3.3 Первоначальная настройка

3.3.1 Загрузка ПК «Интернет-шлюз Ideco ICS 6»При запуске системы вы увидите на экране меню загрузчика ПК «Интернет-шлюз Ideco

ICS 6» (рисунок 6). В большинстве случаев достаточно просто подождать несколько секунд, изагрузка системы продолжится автоматически.

Page 18: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

18

Рисунок 6 – меню загрузчика ПК «Интернет-шлюз Ideco ICS 6»

При первом запуске после установки появится сообщение о необходимости настройкисетевой карты для локальной сети (рисунок 7).

Рисунок 7 – Первичная настройка сети

Нажмите «Далее». Откроется диалог настройки Ethernet-интерфейса (рисунок 8).

Page 19: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

19

Рисунок 8 – Параметры Ethernet-интерфейса

Выберите сетевую карту из списка найденных сетевых карт, настройте ее IP-адрес,выберите пункт «Сохранить и применить» и нажмите кнопку «OK».

Сервер перезагрузится и на экран выведется приглашение для ввода пароля (рису-нок 9).

По умолчанию административный пароль для локальной консоли управления: «servi-cemode». После первой загрузки необходимо сменить его на другой, длиной не менее 6 символов(раздел 3.3.2).

Рисунок 9 – приглашение для ввода пароля

3.3.2 Смена пароля локальной консоли управленияДля входа в локальную консоль управления введите текущий пароль (рисунок 9).Выберите пункт «Смена пароля» и нажмите «Enter».Появится окно для ввода нового пароля (рисунок 10):

Page 20: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

20

Рисунок 10 – приглашение для смены пароля

В появившемся окне введите новый пароль длиной не менее 6 символов, нажмите«Enter», повторно введите тот же пароль (это необходимо для контроля правильности ввода)и нажмите «Enter». Если пароль был введен верно, выведется сообщение: «Пароль заменен».В противном случае выведется сообщение об ошибке и пароль не будет изменен.

3.3.3 Подключение к веб-интерфейсуКогда процесс загрузки завершится, запустите на любом компьютере локальной сети

интернет-браузер, например Internet Explorer (версии 10 и новее, рекомендуется использоватьInternet Explorer 11), Mozilla Firefox (версии 35 или новее) или Google Chrome (версии 40 илиновее), и перейдите по тому локальному IP-адресу, который вы указали при установке в на-стройках локального сетевого интерфейса. В соответствующих полях введите логин и парольадминистратора (рисунок 11).

Рисунок 11 – вход в панель управления

В качестве имени пользователя используйте «Administrator», а в качестве пароля –«servicemode».

Page 21: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

21

При первом входе в панель управления запускается мастер настройки ПК «Интернет-шлюз Ideco ICS 6» (рисунок 12).

Рисунок 12 – мастер настройки ПК «Интернет-шлюз Ideco ICS 6»

Первоначальная настройка включает в себя следующие этапы:

1. базовая настройка;

2. настройка подключения к интернет-провайдеру;

3. подключение администратора;

4. настройка режима безопасности;

5. поиск и подключение компьютеров;

6. дополнительные настройки.

Для перехода к первому этапу нажмите кнопку «Далее».

3.3.4 Базовая настройкаНа этом этапе вы должны настроить базовые параметры:

Имя сервераУкажите доменное имя сервера.

Временная зонаВыберите временную зону.

Реквизиты локального сетевого интерфейсаУкажите IP-адрес и маску подсети локального сетевого интерфейса. Локальный ин-терфейс используется для подключения ПК «Интернет-шлюз Ideco ICS 6» к локаль-ной сети предприятия. Также вы можете выбрать сетевой адаптер, который будетопределен как локальный.

Page 22: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

22

Рисунок 13 – базовая настройка

Для перехода к следующему этапу нажмите кнопку «Далее»

3.3.5 Настройка подключения к интернет-провайдеруНа данном этапе вам предстоит определить сетевые реквизиты сетевого адаптера, ис-

пользуемого для подключения к сети вашего интернет-провайдера:

Рисунок 14 – настройка подключения к сети Интернет

При первоначальной настройке вы можете настроить один из следующих типов под-ключения к интернет-провайдеру:

– прямое Ethernet-подключение;

Page 23: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

23

– подключение по протоколу PPPoE;

– подключение с использованием протокола PPTP.

Выпадающее меню с выбором типа подключения к провайдеру показано на рисунке 15. Ввыпадающем меню выберите соответствующий пункт:

Рисунок 15 – тип подключения к провайдеру

3.3.5.1 Прямое Ethernet-подключениеДля прямого Ethernet-подключения необходимо настроить параметры:

Внешний интерфейсВ случае, если в компьютере установлено более двух сетевых адаптеров, необхо-димо указать сетевой адаптер, который будет использоваться для подключения кинтернет-провайдеру. Для идентификации адаптера вы можете ориентироваться нанаименование производителя или MAC-адрес.

IP-адрес и маска внешнего интерфейсаСетевые реквизиты, которые были назначены провайдером внешнему сетевому ин-терфейсу. Укажите IP-адрес и сетевую маску в формате CIDR или четырех октетов.

Шлюз по умолчаниюУкажите IP-адрес шлюза интернет-провайдера, через который будет осуществлять-ся подключение к сети Интернет.

DNS-сервер 1IP-адрес первичного DNS-сервера провайдера.

DNS-сервер 2IP-адрес вторичного DNS-сервера провайдера.

Если провайдер поддерживает автоматическое конфигурирование с помощью протоко-ла DHCP, то отметьте пункт «Получить сетевые реквизиты автоматически с помощью DHCP-сервера провайдера».

3.3.5.2 Подключение по протоколу PPPoE

Page 24: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

24

Рисунок 16 – подключение по протоколу PPPoE

Для подключения по протоколу PPPoE необходимо настроить параметры:

Внешний интерфейсВ случае, если в компьютере установлено более двух сетевых адаптеров, необхо-димо указать сетевой адаптер, который будет использоваться для подключения кинтернет-провайдеру. Для идентификации адаптера вы можете ориентироваться нанаименование производителя или MAC-адрес.

ЛогинИмя учетной записи для подключения к провайдеру.

ПарольПароль учетной записи для подключения к провайдеру.

IP-адрес и маска внешнего интерфейсаСетевые реквизиты, которые будут назначены внешнему сетевому интерфейсу. Ука-жите IP-адрес и сетевую маску в формате CIDR или четырех октетов. (Этот пара-метр не является обязательным для работы PPPoE-соединения).

Шлюз по умолчаниюУкажите IP-адрес шлюза интернет-провайдера, через который будет осуществлять-ся подключение к сети Интернет.

DNS-сервер 1IP-адрес первичного DNS-сервера провайдера.

DNS-сервер 2IP-адрес вторичного DNS-сервера провайдера.

Page 25: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

25

3.3.5.3 Подключение с использованием протокола PPTP

Рисунок 17 – подключение по протоколу PPTP

Для подключения с использованием протокола PPTP необходимо настроить парамет-ры:

Внешний интерфейсВ случае, если в компьютере установлено более двух сетевых адаптеров, необхо-димо указать сетевой адаптер, который будет использоваться для подключения кинтернет-провайдеру. Для идентификации адаптера вы можете ориентироваться нанаименование производителя или MAC-адрес.

ЛогинИмя учетной записи для подключения к провайдеру.

ПарольПароль учетной записи для подключения к провайдеру.

IP-адрес и маска внешнего интерфейсаСетевые реквизиты, которые будут назначены внешнему сетевому интерфейсу. Ука-жите IP-адрес и сетевую маску в формате CIDR или четырех октетов. (Этот пара-метр не является обязательным для работы PPPoE-соединения).

Шлюз по умолчаниюУкажите IP-адрес шлюза интернет-провайдера, через который будет осуществлять-ся подключение к сети Интернет.

Page 26: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

26

VPN-серверАдрес VPN-сервера провайдера.

Применять шифрование MPPEПоддержка шифрования. Устанавливается в том случае, если этого требует провай-дер.

DNS-сервер 1IP-адрес первичного DNS-сервера провайдера.

DNS-сервер 2IP-адрес вторичного DNS-сервера провайдера.

Если провайдер поддерживает автоматическое конфигурирование с помощью протоко-ла DHCP, то отметьте пункт «Получить сетевые реквизиты автоматически с помощью DHCP-сервера провайдера».

3.3.6 Подключение администратораГлавный администратор системы имеет полный набор прав доступа, необходимый для

управления ПК «Интернет-шлюз Ideco ICS 6». Этим обусловлено повышенное внимание к егоавторизации.

Рисунок 18 – учетная запись администратора

E-mail Администратораадрес электронной почты, на который будут отправляться оповещения о различныхсистемных событиях, таких как перезагрузка ПК «Интернет-шлюз Ideco ICS 6»,недостаток свободного места на диске и т.д. Можно указывать несколько e-mail ад-ресов, разделяя их точкой с запятой. Не рекомендуется указывать адрес на внутрен-нем почтовом сервере, так как в случае перехода ПК «Интернет-шлюз Ideco ICS 6»в защищенный режим прием и отправка писем будут невозможны.

Тип подключения администраторатип подключения (авторизации) компьютера Главного Администратора. Авториза-ция по IP работает «прозрачно» и используется по умолчанию. VPN-авторизация

Page 27: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

27

– более защищенный тип подключения к серверу. Авторизация по VPN являетсяпредпочтительной, учитывая что Главному Администратору доступны настройкиПК «Интернет-шлюз Ideco ICS 6».

IP-адрес компьютера администратораIP-адрес компьютера, с которого может осуществляться подключение к панели уп-равления. По умолчанию административный интерфейс доступен с любого IP-адре-са. Если политика безопасности требует, чтобы административная часть была до-ступна только с конкретного IP-адреса, то вы можете указать его здесь.

Пароль Администраторапо умолчанию главному администратору присвоен пароль «servicemode». На этомшаге вы можете его сменить на новый, длиной не менее 6 символов. Попытки сменыпароля на пароль короче 6 символов будут отклонены.

Повторите парольповторить указанный выше пароль.

3.3.7 Настройка режима безопасностиНа этом этапе вы можете осуществить первичную настройку спам-фильтра и антиви-

руса, а также определить параметры сетевой безопасности:

Рисунок 19 – настройки спам-фильтра и антивируса

Антивирус и антиспам:

Включить проверку web-трафика Антивирусом Касперскоговключает возможность антивирусной проверки web-трафика и приведет к автома-тическому запуску прокси-сервера с прозрачным кэшированием трафика (при ак-тивации данной опции в конце настройки будет выполнена полная перезагрузкаинтернет-шлюза).

Включить проверку почты Антивирусом Касперскоговключает возможность антивирусной проверки электронной почты, которая отправ-ляется через встроенный почтовый сервер ПК «Интернет-шлюз Ideco ICS 6».

Включить спам-фильтр Касперскоговключает возможность фильтрации спама в электронной почте, которая отправля-ется через встроенный почтовый сервер ПК «Интернет-шлюз Ideco ICS 6».

Включить спам-фильтр DSPAMвключает спам-фильтр DSPAM.

Page 28: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

28

Рисунок 20 – настройки сетевой безопасности

Разрешить VPN-соединения из интернетглобальный параметр, разрешающий подключение удаленных пользователей и под-разделений по VPN. Если параметр не включен, то пользователи с установленнымпризнаком «разрешить удаленное подключение» не смогут подключиться удаленно.

Блокировать сканеры портовв случае обнаружения попыток сканирования сетевых портов, ПК «Интернет-шлюзIdeco ICS 6» заблокирует IP-адрес сканирующего компьютера на несколько минут.Это позволяет блокировать попытки поиска уязвимостей в локальной сети. Еслипользователи вашей локальной сети активно используют p2p-программы (торрен-ты), то опцию рекомендуется отключить.

Ограничить кол-во TCP и UDP сессий с одного адресакак правило, при работе пользователя в интернете устанавливается не более 150одновременных соединений. Если происходит превышение этого значения, вероят-но, что произошло заражение компьютера пользователя вирусами или adware про-граммами. Включение данной опции заблокирует интенсивный трафик, вызванныйвирусной эпидемией. Опция также ограничивает использование пиринговых сетей,так как поведение клиентов этих сетей не отличается от вирусных эпидемий. Крометого, опция выполняет такую важную функцию как защита от атак типа DDoS.

Макс. количество сессий из интернетмаксимальное количество соединений, которое может быть установлено с одного IP-адреса сети Интернет.

Макс. количество сессий из локальной сетимаксимальное количество соединений, которое можно будет произвести с одного IP-адреса локальной сети (от одного пользователя).

3.3.8 Поиск и подключение компьютеровНа этом этапе можно найти компьютеры в локальной сети и создать для них учетные

записи:

Page 29: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

29

Рисунок 21 – поиск компьютеров в локальной сети

Этот этап не является обязательным и может быть пропущен.Вы можете настроить параметры, которые будут применены для найденных компью-

теров:

Группа для добавления пользователейназвание группы, в которую автоматически будут добавлены учетные записи длянайденных компьютеров. Группа будет создана в корневой группе «Все».

Тип авторизации для группытип авторизации, который будет назначен указанной группе. Подробнее с типамиавторизации вы сможете познакомиться в главе «Типы авторизации».

Ежемесячный лимитежемесячный денежный лимит на каждого пользователя из группы «Моя организа-ция». Эта сумма сразу же будет добавлена пользователям.

3.3.9 Дополнительные настройкиВ дополнительных настройках можно настроить дополнительные службы:

Page 30: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

30

Рисунок 22 – дополнительные настройки

– Сервер DHCP.

– Сервер электронной почты.

– Прокси-сервер.

Для каждой службы предусмотрен мастер, позволяющий осуществить ее настройку.Для запуска мастера нажмите кнопку «Запустить».

Для завершения первоначальной настройки нажмите «Далее». После этого будет пока-зан итоговый отчет о проведенных ранее настройках. Если все верно, нажмите «Применить».Итоговый отчет показан на рисунке 23.

Рисунок 23 – итоговый отчет

После сохранения настроек ПК «Интернет-шлюз Ideco ICS 6» будет перезагружен.

3.3.10 Создание учетной записи пользователяРассмотрим создание учетной записи для пользователя ПК «Интернет-шлюз Ideco

ICS 6». После перезагрузки сервера войдите в административный веб-интерфейс, используялогин «Administrator» и пароль «servicemode».

В разделе «Пользователи» создайте группу «Моя организация», как показано на ри-сунке 24.

Page 31: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

31

Рисунок 24 – создание группы

В дереве пользователей появится созданная вами группа. Чтобы в эту группу доба-вить учетную запись клиента, нажмите значок пользователя справа от имени группы в деревепользователей (рисунок 25).

Рисунок 25 – пользовательская группа

При добавлении нового пользователя заполните обязательные поля: «Пользователь»,«Логин», «Пароль», как показано на рисунке 26. Пароль нового пользователя должен быть некороче 6 символов. Попытки создания нового пользователя с паролем короче 6 символов будутотклонены.

Рисунок 26 – создание пользователя

После этого перейдите к настройкам только что созданной учетной записи пользовате-ля и укажите IP-адрес клиента, с которого предполагается авторизация этой учетной записьюна ПК «Интернет-шлюз Ideco ICS 6». Для авторизации пользователя по его IP-адресу большеникакие параметры указывать не нужно (рисунок 27).

Page 32: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

32

Рисунок 27 – редактирование пользователя

На клиентской рабочей станции должен быть настроен IP-адрес, соответствующий IP-адресу клиента, в качестве шлюза по умолчанию должен быть указан IP-адрес локальногоинтерфейса ПК «Интернет-шлюз Ideco ICS 6» (настроенный в пункте 3.3.1).

После этого пользователь будет авторизован на ПК «Интернет-шлюз Ideco ICS 6» поIP-адресу, о чем указывает зеленый цвет иконки пользователя в дереве пользователей, какпоказано на рисунке 28. На клиентской рабочей станции должен появиться доступ в сеть Ин-тернет.

Рисунок 28 – авторизованный пользователь

Далее необходимо установить сертифицированное ФСБ России СКЗИ «МагПро Крипто-Пакет» версии 2.1 (сертификат соответствия ФСБ России № СФ/124−2063 от 05 февраля2013 г.), входящее в комплект поставки на отдельном компакт-диске (раздел 3.4) и изменитьначальные и тестовые установки, а так же пароль на доступ к функциям ПК «Интернет-шлюзIdeco ICS 6» (раздел 3.5).

На этом первоначальная настройка интернет-шлюза завершена.

Page 33: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

33

3.4 Установка сертифицированного СКЗИ

Для соответствия ПК «Интернет-шлюз Ideco ICS 6» требованиям руководящих до-кументов, указанных в сертификате соответствия на него, необходима установка сертифици-рованного ФСБ России СКЗИ «МагПро КриптоПакет» версии 2.1 (сертификат соответствияФСБ России № СФ/124−2063 от 05 февраля 2013 г.).

Для организации защищенного должно быть установлены следующие компоненты:

– на ПК «Интернет-шлюз Ideco ICS 6»: Программный комплекс «МагПро КриптоСер-вер» версии 2.1;

– на компьютере администратора ПК «Интернет-шлюз Ideco ICS 6», а также на ком-пьютерах внутренних и внешних клентов, для которых требуется защита от пассив-ного и активного перехвата информации: Программный комплекс «МагПро Крип-тоТуннель» версии 2.1 и настроенное VPN-соединение по протоколу SSTP через ПКМагПро КриптоТуннель.

Схема организации подключения представлена на рисунке 29.СКЗИ «МагПро КриптоПакет», ПК «МагПро КриптоТуннель» и «МагПро Крипто-

Сервер» версии 2.1 входят в комплект поставки ПК «Интернет-шлюз Ideco ICS 6» на отдельномкомпакт-диске.

Page 34: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

34

Рисунок 29 – Схема защиты соединения с использованием ПК «МагПро КриптоСервер» и«МагПро КриптоТуннель»

Page 35: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

35

3.4.1 Установка ПК «МагПро КриптоСервер» версии 2.1 на ПК «Интер-нет-шлюз Ideco ICS 6»

Перед установкой сертифицированного СКЗИ сервер необходимо перевести в режимудаленного помощника (раздел 6.3.1), а также разрешить копирование файлов на ПК «Интер-нет-шлюз Ideco ICS 6» (раздел 6.2.4).

После загрузки сервера в режиме удаленного помощника (о чем будет говорить надпись!remotehelp! на локальной консоли (рисунок 30).

Рисунок 30 – Вид локальной консоли в режиме удаленного помощника

необходимо перейти в локальную консоль управления: нажать сочетание клавиш Alt+F7,появится запрос на ввод логина. Ввести в качестве логина «root», на запрос пароля ввести па-роль удаленного помощника. Появится приглашение для ввода команд.

Внимание! Важно все последующие команды вводить в этой консоли. Ввод команд вSSH-сессии не допускается.

– создать временный каталог:

mkdir /tmp/crypto_server

– скопировать файлы:

ccstunnel

gostsum

libcryptocom.so

libcrypto.so.1.0.0

libssl.so.1.0.0

libstunnel.so

mkkey

openssl

skcs

Page 36: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

36

с дистрибутивного носителя во временный каталог /tmp/crypto_server;

– в локальной консоли выполнить команды для установки этих файлов с нужнымиправами в целевой каталог:

cd /tmp/crypto_server

/usr/local/ics/bin/ccstunnel-configure

– скопировать ключ лицензии cryptocom.lic в каталог /var/lib/ccstunnel;

– в локальной консоли выполнить команду для создания сертификатов, выполняя всеэкранные инструкции:

/usr/local/ics/bin/ccstunnel_gen_certs

При выполнении этой команды последовательно создаются корневой сертификат(рисунок 31), сертификат сервера (рисунок 32) и сертификат клиента (рисунок 33).

Рисунок 31 – Создание корневого сертификата

Page 37: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

37

Рисунок 32 – Создание сертификата сервера

Рисунок 33 – Создание сертификата клиента

Если эта команда выполнилась неуспешно или была допущена ошибка, нужно по-вторить этот шаг.

О успешном выполнении этой команды будет сообщено на экране локальной консоли:«Создание сертификатов завершено» (рисунок 34).

Page 38: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

38

Рисунок 34 – Успешный результат создания сертификатов

– перезагрузить ПК «Интернет-шлюз Ideco ICS 6» в штатном режиме;

Далее необходимо установить и настроить ПК «МагПро КриптоТуннель» версии 2.1на рабочем месте администратора (пункт 3.4.2).

Для того, чтобы осуществить взаимодействие по защищенному СКЗИ каналу междувнешним и внутренним клиентами, необходимо установить и настроить ПК «МагПро Крипто-Туннель» версии 2.1 на компьютере каждого клиента (пункт 3.4.3).

3.4.2 Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем ме-сте администратора

Перед установкой и настройкой СКЗИ на рабочем месте администратора необходимовыполнить установку и настройку сертифицированного СКЗИ на ПК «Интернет-шлюз IdecoICS 6» (пункт 3.4.1).

Распаковать полученный дистрибутив «МагПро КриптоТуннель» версии 2.1 в каталогC:\CryptoTunnel:

C:\CryptoTunnel\autorun.inf

C:\CryptoTunnel\calchash.exe

C:\CryptoTunnel\license.txt

C:\CryptoTunnel\msvcr71.dll

C:\CryptoTunnel\starter.exe

C:\CryptoTunnel\stunnel\cryptocom.dll

C:\CryptoTunnel\stunnel\error.png

C:\CryptoTunnel\stunnel\libeay32.dll

C:\CryptoTunnel\stunnel\openssl.cnf

C:\CryptoTunnel\stunnel\ssleay32.dll

C:\CryptoTunnel\stunnel\stunnel.conf

C:\CryptoTunnel\stunnel\stunnel.exe

Page 39: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

39

C:\CryptoTunnel\stunnel\urls

C:\CryptoTunnel\stunnel\USB_Disk_Eject.exe

Скопировать ключ лицензии cryptocom.lic для «МагПро КриптоТуннель» в каталогC:\CryptoTunnel\stunnel.

Подключиться к ПК «Интернет-шлюз Ideco ICS 6» по SSH и скопировать сертификатыca.crt, client.crt, client.key из каталога /var/lib/ccstunnel в каталог C:\CryptoTunnel\crypto.

Создать конфигурационный файл C:\CryptoTunnel\stunnel\stunnel.conf со следу-ющим содержанием:

verify=2

client=yes

CAFile=..\crypto\ca.crt

cert=..\crypto\client.crt

key=..\crypto\client.key

engine=cryptocom

engineCtrl=RNG:PROGRAM

engineCtrl=RNG_PARAMS:seed

error_image=error.png

usb_eject=yes

sslVersion=TLSv1

taskbar=yes

[fstek]

protocol = http

accept = 127.0.0.1:443

; IP локального интерфейса ПК \IdecoICS

connect = 10.0.0.1:10443

ciphers = GOST2001-GOST89-GOST89

TIMEOUTclose = 0

Примечание:

– В строке «connect=» необходимо ввести IP локального интерфейса ПК «Интернет-шлюз Ideco ICS 6», на который осуществляется подключение, через двоеточие – портподключения 10443.

Удалить из конфигурационного файла C:\CryptoTunnel\stunnel\urls все содержи-мое.

Запустить программу C:\CryptoTunnel\starter.exe.Если все сделано правильно, в системном трее появится иконка (рисунок 35) или окно

с информацией о программе (рисунок 36).

Page 40: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

40

Рисунок 35 – МагПро КриптоТуннель

Рисунок 36 – МагПро КриптоТуннель

Дополнительная информация по использованию ПК «МагПро КриптоТуннель» вер-сии 2.1 доступна на сайте производителя по адресу http://cryptocom.ru/docs/tunnel.pdf.

Далее необходимо настроить VPN-соединения по протоколу SSTP через ПК «МагПроКриптоТуннель» (пункт 3.4.4).

3.4.3 Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем ме-сте внешнего и внутреннего клиентов

Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте внутреннихклиентов производится аналогично установке ПК «МагПро КриптоТуннель» версии 2.1 нарабочем месте администратора (пункт 3.4.2).

Установка ПК «МагПро КриптоТуннель» версии 2.1 на рабочем месте внешних клиен-тов производится аналогично установке ПК «МагПро КриптоТуннель» версии 2.1 на рабочемместе администратора (пункт 3.4.2), только в этом случае в конфигурационном файле «Маг-Про КриптоТуннель» C:\CryptoTunnel\stunnel\stunnel.conf указывается внешний IP-адресПК «Интернет-шлюз Ideco ICS 6»:

verify=2

client=yes

CAFile=..\crypto\ca.crt

cert=..\crypto\client.crt

key=..\crypto\client.key

engine=cryptocom

engineCtrl=RNG:PROGRAM

engineCtrl=RNG_PARAMS:seed

error_image=error.png

usb_eject=yes

sslVersion=TLSv1

taskbar=yes

Page 41: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

41

[fstek]

protocol = http

accept = 127.0.0.1:443

; IP внешнего интерфейса ПК \IdecoICS

connect = 192.168.0.1:10443

ciphers = GOST2001-GOST89-GOST89

TIMEOUTclose = 0

Примечание:

– В строке «connect=» необходимо ввести IP внешнего интерфейса ПК «Интернет-шлюз Ideco ICS 6», на который осуществляется подключение, через двоеточие –порт подключения 10443.

Далее необходимо настроить VPN-соединения по протоколу SSTP через ПК «МагПроКриптоТуннель».

3.4.4 Настройка VPN-соединения по протоколу SSTP через ПК «МагПроКриптоТуннель»

VPN-соединение по протоколу SSTP через ПК «МагПро КриптоТуннель» поддержи-вается в операционных системах Windows 7, Windows 8, Windows 2008 R2. Убедитесь, что накомпьютере-клиенте установлена эта версия.

Перед установкой VPN-соединения по протоколу SSTP необходимо импортироватьSSL-сертификат сервера ПК «Интернет-шлюз Ideco ICS 6» на компьютер-клиент.

Для этого cкачайте файл SSL-сертификата с веб-страницы авторизации ПК «Интер-нет-шлюз Ideco ICS 6» (рисунок 37):

Рисунок 37 – SSL-сертификат Ideco ICS

На компьютере-клиенте откройте диспетчер сертификатов. Для этого нажмите кноп-ку «Пуск», введите «mmc» в поле поиска и затем нажмите клавишу «Enter». Если отобра-жается запрос на ввод пароля администратора или его подтверждения, укажите пароль илипредоставьте подтверждение. Откройте меню «Файл» → «Добавить или удалить оснастку...»,

Page 42: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

42

выберите оснастку «Сертификаты», нажмите «Добавить», выберите тип управления оснастки«учетной записи компьютера», нажмите «Далее», выберите «Эта оснастка всегда управляетлокальным компьютером» и нажмите «Готово». Нажмите «ОК».

В корне консоли выберите «Сертификаты (локальный компьютер)» → «Доверенныекорневые центры сертификации» → «Сертификаты», нажмите правую кнопку мыши, выберитепункт «Все задачи» → «Импорт» (рисунок 38.

Рисунок 38 – Импорт сертификата Ideco ICS

В «Мастере выбора сертификатов» в качестве файла укажите скачанный со страницыавторизации ПК «Интернет-шлюз Ideco ICS 6» сертификат root_CA.crt, нажмите «Далее», вы-берите в качестве «Хранилища сертификатов» «Доверенные корневые центры сертификации»,нажмите «Далее» и «Готово». Должно показаться сообщение о успешном импорте сертификатаи в списке сертификатов должен появится импортированный сертификат (рисунок 39 – «IdecoICS 15445»).

Page 43: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

43

Рисунок 39 – Сертификат Ideco ICS

Создайте VPN-соединение по протоколу SSTP. Для этого нажмите кнопку «Пуск»,выберите «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и об-щим доступом» → «Настройка нового подключения или сети» → «Подключение к рабочемуместу» и нажмите «Далее». Выберите «Создать новое подключение», нажмите «Далее», выбе-рите «Использовать мое подключение к Интернету (VPN)». В качестве Интернет-адреса дляподключения выберите адрес «МагПро КриптоТуннель»: 127.0.0.1, введите в «Имя место-назначения»: «SSTP-подключение», поставьте флажок на пункте «Не подключаться сейчас»,нажмите «Далее». Введите имя пользователя и пароль. Для администратора это соотвест-венно «administrator» и пароль администратора. Нажмите кнопку «Создать», после того какподключение будет создано и готово к использованию – нажмите кнопку «Закрыть».

В «Центре управления сетями и общим доступом» выберите пункт «Изменение пара-метров адаптера», сделайте двойной щелчок на значке «SSTP-подключение». В окне «SSTP-подключение» нажмите «Свойства». Перейдите на вкладку «Безопасность», в меню «ТипVPN» выберите «SSTP (Secure Socket Tunneling Protocol)» и нажмите «ОК».

Перед подключением убедитесь, что ПК «МагПро КриптоТуннель» запущен и рабо-тает (рисунок 35).

В окне «Подключение: SSTP-соединение» нажмите «Подключение».Для того чтобы авторизоваться администратору аутентифицироваться в веб-интерфейсе,

необходимо открыть в веб-браузере защищенный адрес (в установке по умолчанию это https:

//10.128.0.0), в этом случае все запросы администратора на доступ будут защищены СКЗИ.Для аутентификации входящих и исходящих запросов методами, устойчивыми к пас-

сивному и/или активному прослушиванию сети нужно аналогичным образом установить VPN-соединение по протоколу SSTP через ПК «МагПро КриптоТуннель» на втором компьютере-клиенте.

Page 44: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

44

3.5 Требования по безопасной настройке

Перед началом эксплуатации ПК «Интернет-шлюз Ideco ICS 6» администратору без-опасности необходимо изменить начальные и тестовые установки, а так же пароль на доступк функциям ПК «Интернет-шлюз Ideco ICS 6»:

– изменить идентификатор главного администратора «Administrator» на уникальныйидентификатор;

– установить для главного администратора трудный для подбора пароль: пароль дол-жен быть длиной не менее 8 символов, состоять из буквенно-цифровой последова-тельности с добавлением специальных символов (#, $, * и т.д.);

– администратору необходимо производить смену пароля не реже одного раза в месяц.

Для исключения администрирования с любого узла сети в административном веб-интерфейсе ПК «Интернет-шлюз Ideco ICS 6» необходимо указать IP-адрес компьютера ад-министратора (рисунок 40).

Для затруднения и исключения использования сканеров с целью сбора информации ипоиска уязвимостей администратору необходимо включить блокировку сканеров портов (ри-сунок 40).

Рисунок 40 – Ограничение доступа

Администратору необходимо добавить правила фильтрации, запрещающие несанкци-онированный доступ из любых сетей к web-интерфейсу управления ПК «Интернет-шлюз IdecoICS 6»: для этого системном фаерволе создать группу правил «security» (раздел 4.1), и в нейсоздать два правила (рисунок 43):

– правило, разрешающее доступ в веб-интерфейс с компьютера администратора (впримере на рис. 41 это компьютер с IP 192.168.1.2);

– правило, запрещающее доступ в веб-интерфейс со всех компьютеров (рис. 42);

– разрешающее правило должно стоять в списке правил перед запрещающим прави-лом (рис. 43).

Page 45: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

45

Рисунок 41

Рисунок 42

Рисунок 43

Администратору необходимо исключить использование потенциально уязвимых серви-сов (HTTP сервера, FTP сервера, DNS сервера, SMTP сервера), для этого:

– отключить встроенный веб-сервер на вкладке «Сервер» → «Web-Сервер»;

– отключить FTP сервер на вкладке «Сервер» → «FTP-сервер»;

– закрыть доступ к DNS-серверу из всех сетей: в системном фаерволе создать группуправил «Запрет DNS», в ней создать правило, запрещающее доступ из любых сетейк DNS-серверу (рисунок 44).

– отключить на вкладке «Сервер» → «Почтовый сервер» встроенную почту POP3,встроенную почту IMAP, доступ к почте из сети Интернет, веб-почту на локальноми внешнем адресе.

Page 46: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

46

– закрыть доступ к SMTP-серверу из всех сетей: в системном фаерволе создать группуправил «Запрет SMTP», в ней создать правило, запрещающее доступ из любых сетейк SMTP-серверу (рисунок 45).

Рисунок 44 – Запрет доступа к DNS-серверу

Рисунок 45 – Запрет доступа к SMTP-серверу

При удаленном администрировании на ПК «Интернет-шлюз Ideco ICS 6» необходимоиспользовать ПК «МагПро КриптоСервер», на компьютере администратора – ПК «МагПроКриптоТуннель» (раздел 3.4).

Администратору необходимо периодически проверять сайт разработчика (https://ideco.ru) и Центр сертифицированных обновлений Производителя ПК «Интернет-шлюз IdecoICS 6» (https://update.prp.su) на наличие сведений об уязвимостях и обновлениях ПК «Ин-тернет-шлюз Ideco ICS 6», закрывающих найденные уязвимости. Установка обновлений сер-тифицированной версии ПК «Интернет-шлюз Ideco ICS 6» допускается только с Центра сер-тифицированных обновлений Производителя (https://update.prp.su) в соответствии с реко-мендациями, приведенными в Формуляре.

3.6 Активация сервера ПК «Интернет-шлюз Ideco ICS 6»

Активация продукта является необходимым шагом для ввода интернет-шлюза ПК«Интернет-шлюз Ideco ICS 6» в эксплуатацию. Если перед приобретением шлюза вы использо-вали его в демонстрационном периоде (30 дней), то все настройки, которые были произведеныв пробной версии, после активации останутся неизменными.

Page 47: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

47

Важная информация Если вы хотите перенести ПК «Интернет-шлюз Ideco ICS 6» на но-вый жесткий диск, то необходимо провести повторную активацию сервера на новомдиске.

Прежде чем активировать продукт, его необходимо зарегистрировать. Для этого пе-рейдите в раздел «О программе», который расположен в левом верхнем углу web-интерфейса,и нажмите кнопку «Регистрация». Перед вами должна появиться форма регистрации, пред-ставленная на рисунке 46. В соответствующие поля введите название организации и регистра-ционный код. Эти данные вы должны были получить при приобретении интернет-шлюза ПК«Интернет-шлюз Ideco ICS 6». Проверьте правильность введенных данных и нажмите кнопку«Ok».

Рисунок 46 – регистрация продукта

Когда система проверит регистрационный номер, она предложит вам пройти процедуруактивации, которая может быть выполнена в двух режимах: автоматическом и ручном. Ручнаяактивация может потребоваться в том случае, если отсутствует доступ к сети Интернет. Еслиже у вас уже настроено подключение к сети, то воспользуйтесь автоматической регистрацией,нажав кнопку «Активировать».

Рисунок 47 – активация продукта

Для осуществления ручной активации необходимо выполнить следующие действия.

Page 48: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

48

1. Позвоните по телефону в компанию «Айдеко» и получите код активации. В пределахРоссийской Федерации действует бесплатная линия 8-800-555-33-40.

2. Введите полученный код в соответствующее поле и нажмите кнопку «OK».

3. Дождитесь появления на экране сообщения «Продукт был успешно активирован»,после чего обязательно выполните полную перезагрузку сервера.

Page 49: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

49

4 АДМИНИСТРИРОВАНИЕ. ОСНОВНАЯ

ФУНКЦИОНАЛЬНОСТЬ

4.1 Управление доступом

Управление доступом осуществляется при помощи сетевого фильтра (фаервола). Дляобеспечения гибкости и эффективности процесса управления трафиком фаервол разделен надве части:

– системный фаервол;

– пользовательский фаервол.

Системный фаервол содержит список глобальных правил, применяемых ко всей сете-вой подсистеме шлюза. Весь трафик, проходящий через шлюз, проверяется на соответствиеэтим правилам.

Пользовательский фаервол содержит правила, которые применяются к управлениютрафиком клиентских устройств в сети. Эти правила действуют только в том случае, еслиони зафиксированы во вкладке «Ограничения» в настройках конкретного пользователя илигруппы пользователей.

Далее для простоты рассматривается управление доступом на уровне системного фа-ервола. Управление доступом на уровне пользовательского фаервола осуществляется анало-гично.

Для управления доступом зайдите в веб-интерфейс под учетной записью администра-тора.

Перейдите на вкладку «Безопасность» → «Системный фаервол» (рисунок 48).

Рисунок 48 – Группы правил системного фаервола

Нажмите на кнопку «Создать группу», в появившемся окне введите название группы,и нажмите кнопку «Сохранить» (рисунок 49).

Page 50: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

50

Рисунок 49 – Создание группы правил

Чтобы отредактировать группу, нажмите на ее название (рисунок 50):

Рисунок 50 – Редактирование группы правил

Для редактирования используются следующие кнопки:

переместить правило или группу правил на уровень вверх по списку;

переместить правило или группу правил на уровень вниз по списку;

включить либо отключить правило либо группу правил, зеленый цвет означает что пра-вило либо группа правил включена;

отредактировать правило либо группу правил;

удалить правило либо группу правил.

Примечание: правила фаервола применяются в порядке очередности, сверху вниз.Чтобы созданные и отредактированные правила вступили в действие, нужно нажать

кнопку «Перезагрузить firewall на сервере».Далее все примеры создания правил фильтрации будут проводиться в созданной группе

правил.

Page 51: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

51

4.1.1 Настройка фильтрации на сетевом уровне на основе сетевых адресовотправителя

Для настройки фильтрации на сетевом уровне на основе сетевого адреса отправителянажмите кнопку «Добавить правило». На вкладке «Базовые настройки» введите IP-адрес имаску сетевых адресов отправителя в поле «Источник» и требуемое действие фильтрации.Например: чтобы запретить прохождение трафика от 192.168.0.2, нужно ввести следующиеданные:

Рисунок 51 – Настройки фильтрации на основе сетевых адресов отправителя

Источник: Адрес/маска IP: 192.168.0.2 Маска: 255.255.255.255 src порт(ы): 0Назначение: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 dst порт(ы): 0Протокол: ALL Путь: FORWARD Действие: Запретить

И нажмите кнопку «Сохранить».Примечание:

1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примересетевой адрес получателя не учитывается.

2. «Протокол: ALL» и «Путь: FORWARD» обозначает все пакеты, проходящие черезсервер.

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.2 Настройка фильтрации на сетевом уровне на основе сетевых адресовполучателя

Для настройки фильтрации на сетевом уровне на основе сетевого адреса получате-ля нажмите кнопку «Добавить правило». На вкладке «Базовые настройки» введите IP-адреси маску сетевых адресов получателя в поле «Источник» и требуемое действие фильтрации.Например: чтобы запретить прохождение трафика к 192.168.0.2, нужно ввести следующиеданные:

Page 52: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

52

Рисунок 52 – Настройки фильтрации на основе сетевых адресов получателя

Источник: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 dst порт(ы): 0Назначение: Адрес/маска IP: 192.168.0.2 Маска: 255.255.255.255 src порт(ы): 0Протокол: ALL Путь: FORWARD Действие: Запретить

И нажмите кнопку «Сохранить».Примечание:

1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примересетевой адрес отправителя не учитывается.

2. «Протокол: ALL» и «Путь: FORWARD» обозначает все пакеты, проходящие черезсервер.

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.3 Настройка фильтрации пакетов служебных протоколов, служащихдля диагностики сетевых устройств

Для настройки фильтрации пакетов служебных протоколов, служащих для диагности-ки сетевых устройств нажмите кнопку «Добавить правило». На вкладке «Базовые настройки»в поле «Протокол» выберите «ICMP», в поле «Type:» выберите необходимый тип служебно-го протокола, служащего для диагностики сетевых устройств, и в поле «Действие:» выберитетребуемое действие фильтрации.

Например: чтобы запретить прохождение всех пакетов служебных протоколов, служа-щих для диагностики сетевых устройств, нужно ввести следующие данные:

Page 53: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

53

Рисунок 53 – Настройки фильтрации пакетов служебных протоколов

Источник: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 Type: ALLНазначение: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0Протокол: ICMP Путь: FORWARD Действие: Запретить

И нажмите кнопку «Сохранить».Примечание:

1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примересетевые адреса отправителя и получателя не учитывается.

2. «Протокол: ICMP», «Type: ALL» и «Путь: FORWARD» обозначает все пакеты всехслужебных протоколов, служащих для диагностики сетевых устройств, проходящиечерез сервер.

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.4 Настройка фильтрации пакетов служебных протоколов, служащихдля управления работой сетевых устройств

Для настройки фильтрации пакетов служебных протоколов, служащих для для управ-ления работой сетевых устройств нажмите кнопку «Добавить правило». На вкладке «Базовыенастройки» в поле «Протокол» выберите «UDP», в поле «dst порт(ы):» введите «161», и в поле«Действие:» выберите требуемое действие фильтрации.

Например: чтобы запретить прохождение всех пакетов служебных протоколов, служа-щих для диагностики сетевых устройств, нужно ввести следующие данные:

Page 54: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

54

Рисунок 54 – Настройки фильтрации пакетов служебных протоколов

Источник: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 src порт(ы): 161Назначение: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 dst порт(ы): 161Протокол: UDP Путь: FORWARD Действие: Запретить

И нажмите кнопку «Сохранить».Примечание:

1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примересетевые адреса отправителя и получателя не учитывается.

2. «Протокол: UDP», «src порт(ы): 161», «dst порт(ы): 161», «Путь: FORWARD» обо-значает, что правило действует на все (исходящие и входящие) пакеты служебногопротокола SNMP (простой протокол управления сетью), проходящие через МЭ.

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.5 Настройка фильтрации с учетом входного и выходного сетевого ин-терфейса

Для того чтобы учитывать в правиле фильтрации входной и выходной сетевой интер-фейс, перейдите на вкладку «Дополнительные настройки», введите в поля «Входящий интер-фейс» или «Исходящий интерфейс» имена интерфейса, которые нужно учитывать в правилефильтрации.

Например: чтобы в предыдущем примере (пункт 4.1.4) запретить прохождение всехпакетов служебных протоколов, приходящих на локальный интерфейс Leth1, нужно дополни-тельно ввести следующие данные:

Page 55: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

55

Рисунок 55 – Настройки фильтрации пакетов служебных протоколов с учетом входногоинтерфейса

И нажмите кнопку «Сохранить».Примечание:

1. Допускается в качестве имени интерфейса использовать маску, например: все внеш-ние сетевые интерфейсы обозначать как «E*», все внутренние сетевые интерфейсыобозначать как «L*».

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.6 Настройка фильтрации с учетом любых значимых полей сетевых па-кетов

КЦ позволяет осуществлять фильтрацию с учетом следующих значимых полей сетевыхпакетов:

– номер порта;

Для настройки фильтрации пакетов с учетом номера порта нажмите кнопку «Добавитьправило». На вкладке «Базовые настройки» в поле «Протокол» выберите «TCP», в поле «srcпорт(ы):» введите номер порта и в поле «Действие:» выберите требуемое действие фильтрации.

Например: чтобы запретить прохождение всех исходящих пакетов с порта 4321, нужноввести следующие данные:

Page 56: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

56

Рисунок 56 – Настройки фильтрации пакетов с учетом порта

Источник: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 src порт(ы): 4321Назначение: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 dst порт(ы): 0Протокол: TCP Путь: FORWARD Действие: Запретить

И нажмите кнопку «Сохранить».Примечание:

1. IP-адрес 0.0.0.0 и маска 0.0.0.0 означает любой адрес, т. е. в данном примересетевые адреса отправителя и получателя не учитывается.

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.7 Настройка фильтрации на транспортном уровне запросов на установ-ление виртуальных соединений

Для настройки фильтрации пакетов на транспортном уровне запросов на установлениевиртуальных соединений нажмите кнопку «Добавить правило».

На вкладке «Базовые настройки» введите IP-адрес и маску сетевых адресов отправи-теля и получателя в поле «Источник», в поле «Протокол» выберите «TCP», в поле «Действие:»выберите требуемое действие фильтрации.

Например, чтобы заблокировать установление виртуальных соединений клиента с IP192.168.0.1 внутренней сети к серверу c IP 10.0.0.2 во внешней сети на порт 4321, введитедва правила:

Page 57: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

57

Рисунок 57 – Блокировка на установление виртуальных соединений

Источник: Адрес/маска IP: 192.168.0.2 Маска: 255.255.255.255 src порт(ы): 0Назначение: Адрес/маска IP: 10.0.0.2 Маска: 255.255.255.255 dst порт(ы): 4321Протокол: TCP Путь: FORWARD Действие: Запретить

И нажмите кнопку «Сохранить».Примечание:

1. 1 правило запрещает входящие запросы на 10.0.0.2 порт 4321 от 192.168.0.2; вто-рое правило запрещает исходящие с 10.0.0.2 порта 4321 запросы на 192.168.0.2.

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.8 Настройка фильтрации на прикладном уровне запросов к приклад-ным сервисам

КЦ позволяет настроить фильтрацию на прикладном уровне к следующим сервисам:

– служебные протоколы;

– службы мгновенных сообщений;

– web-протоколы (http,imap,pop3);

– сетевые игры;

– трафик реального времени;

– SSL-соединения;

– пиринговые сети;

– туннельные соединения.

Для настройки фильтрации на на прикладном уровне запросов к прикладным серви-сам нажмите кнопку «Добавить правило». На вкладке «Базовые настройки» введите IP-адрес

Page 58: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

58

и маску сетевых адресов отправителя в поле «Источник», IP-адрес и маску сетевых адресов по-лучателя в поле «Назначение», выберите в поле «Протокол:» необходимый прикладной сервиси требуемое действие фильтрации.

Например: чтобы запретить прохождение веб-трафика от 10.0.0.2 из внешней сети до192.168.0.2 в локальной сети, нужно ввести следующие данные:

Рисунок 58 – Настройки фильтрации на прикладном уровне запросов к прикладным сервисам

Источник: Адрес/маска IP: 192.168.0.2 Маска: 255.255.255.255 src порт(ы): 0Назначение: Адрес/маска IP: 0.0.0.0 Маска: 0.0.0.0 dst порт(ы): 0Протокол: ALL Путь: FORWARD Действие: Запретить

И нажмите кнопку «Сохранить».Примечание:

1. в поле «Протокол» прикладные сервисы отмечены префиксом «Layer7:».

После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall насервере».

4.1.9 Настройка фильтрации с учетом даты/времениДля того чтобы учитывать в правиле фильтрации время и дату, откройте правило

фильтрации для редактирования, перейдите на вкладку «Дополнительные настройки», и вве-дите в соответствующие поля диапазон времени, внутри которого это правило будет активна:

Page 59: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

59

Рисунок 59 – Настройка фильтрации с учетом даты/времени

Период действия c: – правило фильтрации начнет действовать с данной даты и времени;

Период действия по: – правило фильтрации будет действовать до данной даты и времени;

Время действия: – правило фильтрации будет действовать только в указанный промежутоквремени;

Дни недели: – правило фильтрации будет действовать только в указанные дни недели;

Дни месяца: – правило фильтрации будет действовать только в указанные дни месяца; числамесяца указываются через запятую, например: «1,2,3,28».

Для сохранения настроек нажмите кнопку «Сохранить».После настроек правил фильтрации нужно нажать кнопку «Перезагрузить firewall на

сервере».

4.2 Идентификация и аутентификация

4.2.1 Аутентификация входящих и исходящих запросовАутентификация входящих запросов администратора производится с помощью веб-

интерфейса. При неавторизованом подключении к веб-интерфейсу выводится окно авториза-ции, в которое нужно ввести логин и пароль. При администратор вводит свой идентификаторв поле «Логин» и свой пароль в поле «Пароль». Данная информация передается в ПК «Ин-тернет-шлюз Ideco ICS 6». Эти данные сверяются с содержимым соответствующих полей в БДи проверяется IP адрес с которого происходит запрос. Если все поля совпадают с полями БД,выдается временный сессионный ключ длиной 18 цифр и дальнейшие проверки производятсяна основе этого ключа.

Page 60: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

60

После завершения работы администратор нажимает кнопку «Выход» и сессионныйключ удаляется. Также выход из веб-интерфейса происходит автоматически через 15 минутбездействия.

Описанный режим аутентификации администратора предназначен для работы ПК«Интернет-шлюз Ideco ICS 6» в качестве МЭ 4 класса защищенности в соответствии с тре-бованиями «Руководящий документ. Средства вычислительной техники. Межсетевые экра-ны. Защита от несанкционированного доступа к информации. Показатели защищенности отнесанкционированного доступа к информации» (далее РД МЭ).

Для работы ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 3 класса защищенностисогласно РД МЭ необходимо руководствоваться пунктом 4.2.2.

4.2.2 Аутентификация входящих и исходящих запросов методами, устой-чивыми к пассивному и/или активному прослушиванию сети

При использовании ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 3 класса защи-щенности согласно РД МЭ, необходимо при аутентификации входящих и исходящих запросовиспользовать методы, устойчивыми к пассивному и/или активному прослушиванию сети.

Для реализации таких методов аутентификации используется средство криптографи-ческой защиты информации (СКЗИ).

Поддерживаемые сертифицированные СКЗИ и порядок их установки описан в разде-ле 3.4.

При использовании ПК «МагПро КриптоСервер» и «МагПро КриптоТуннель» адми-нистратору, для того чтобы пройти аутентификацию в веб-интерфейсе, необходимо открыть ввеб-браузере адрес http://127.0.0.1:10443 и в окне авторизации ввести свой идентификаторв поле «Логин» и свой пароль в поле «Пароль». Механизм внутренней авторизации на сервереПК «Интернет-шлюз Ideco ICS 6» аналогичен пункту 4.2.1 с тем отличием, что он проходитвнутри защищенного канала связи.

Примечание: в адресе http://127.0.0.1:10443 нужно указать тот порт, который былуказан в конфигурационном файле «МагПро КриптоТуннель» на этапе установки (пункт 3.4.1).

Дополнительно, организации использующей ПК «Интернет-шлюз Ideco ICS 6» необхо-димо обеспечить организационные меры для контроля доступа к компьютеру администратора.

4.3 Регистрация

4.3.1 Регистрация и учет фильтруемых пакетовДля того, чтобы ПК «Интернет-шлюз Ideco ICS 6» регистрировал и учитывал все филь-

труемые пакеты, в том числе запросы на установление виртуальных соединений, необходимов локальном меню перейти в раздел «Безопасность» и включить пункт меню «Регистрация иучет фильтруемых пакетов» (рисунок 60), После сохранения изменений необходимо сделатьперезагрузку ПК «Интернет-шлюз Ideco ICS 6».

Page 61: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

61

Рисунок 60 – Регистрация и учет фильтруемых пакетов

Адрес, время и результат фильтрации записываются в файлы в каталогах:

– /var/log/firewall/ACCEPT - все пропущенные пакеты;

– /var/log/firewall/DROP - все отфильтрованные пакеты.

Файлы именуются по типу пакетов и названиям цепочек, в которых произошло со-бытие фильтрации, например, в /var/log/firewall/DROP/USER_DROP регистрируются пакеты,задержанные в пользовательском фаерволе, а в /var/log/firewal/ACCEPT/INPUT_ACCEPT ре-гистрируются все разрешенные входящие пакеты.

Эти файлы возможно просмотреть встроенными средствами, либо скопировать с ПК«Интернет-шлюз Ideco ICS 6» для анализа.

4.3.2 Локальная сигнализация попыток нарушения правил фильтрацииВ случае попытки нарушения пользователем правил фильтрации на локальную кон-

соль выведется сообщение (рисунок 61).

Рисунок 61 – Сигнализация попытки нарушения правил фильтрации

4.4 Администрирование: идентификация и аутентификация

4.4.1 Идентификация и аутентификация администратора МЭ при его ло-кальных запросах на доступ

Основная настройка ПК «Интернет-шлюз Ideco ICS 6» осуществляется через веб-интерфейс.Тем не менее, в некоторых случаях, когда веб-интерфейс недоступен, имеется возможностьуправления через локальное меню. Доступ в локальное меню разрешен только главному адми-нистратору.

Page 62: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

62

Для локального администрирования используется только одна учетная запись с огра-ниченными правами, поэтому для входа в локальное меню главный администратор долженввести только свой пароль (рисунок 62).

Рисунок 62 – Приглашение для ввода пароля главного администратора

Если аутентификация главного администратора прошла успешно, появится локальноеменю управления ПК «Интернет-шлюз Ideco ICS 6» (рисунок 63).

Рисунок 63 – Локальное меню

4.4.2 Идентификация и аутентификация администратора МЭ при его уда-ленных запросах на доступ

Идентификация администратора МЭ при его удаленных запросах на доступ осуществ-ляется путем запроса веб-интерфейсом на предъявление личного логина и пароля админи-стратора и сравнением его с ранее зарегистрированным логином и паролем администратора.Дополнительно сравнивается исходящий сетевой адрес, с которого исходит запрос на доступ,с ранее зарегистрированным сетевым адресом администратора.

В случае ввода неверных учетных данных доступ неаутентифицированному админи-стратору не предоставляется и регистрируется попытка выполнения несанкционированныхдействий.

После завершения работы администратор нажимает кнопку выхода, также выход про-исходит автоматически через 15 минут бездействия администратора.

При использовании ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 4 класса защи-щенности по РД МЭ для доступа администратора в веб-интерфейс ему необходимо открыть ввеб-браузере адрес https://ICServer/ и в форме ввести логин и пароль администратора МЭ(рисунок 64).

При использовании ПК «Интернет-шлюз Ideco ICS 6» в качестве МЭ 3 класса защищен-ности по РД МЭ для обеспечения идентификации и аутентификации методами, устойчивыми

Page 63: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

63

к пассивному и/или активному перехвату информации, необходимо использовать сертифици-рованные СКЗИ (пункт 4.2.2). При использовании ПК «МагПро КриптоСервер» и «МагПроКриптоТуннель» версии 2.1 для доступа администратора в веб-интерфейс ему необходимо от-крыть в веб-браузере адрес http://127.0.0.1:10443/ и в форме ввести логин и пароль адми-нистратора МЭ (рисунок 64). Только в этом случае его идентификация и аутентификация будетпроводиться методами, устойчивыми к пассивному и/или активному перехвату информации.

Рисунок 64 – Панель управления

Организации, использующей ПК «Интернет-шлюз Ideco ICS 6», необходимо обеспечитьдополнительные организационные меры для контроля доступа к компьютеру администратора.

4.5 Администрирование: регистрация

4.5.1 Регистрация входа (выхода) администратора МЭ в систему (из си-стемы)

В ПК «Интернет-шлюз Ideco ICS 6» регистрируется каждый вход и выход главногоадминистратора из веб-интерфейса. Для его просмотра необходимо зайти в веб-интерфейс подучетной записью главного администратора, и на вкладке «Монитор» открыть раздел «Аудитсобытий» (рисунок 65).

Далее в поле «Период» выбрать диапазон времени, для которого нужно просмотретьотчет, в поле «Тип» выбрать «Вход/Выход», в поле «Администратор» выбрать пункт «Все» инажать кнопку «Показать» (рисунок 65).

Примечание: При выборе пункта «Все» выведется информация о входе/выходе всехадминистраторов. Если выбрать пункт «Главный администратор», либо любого другого суще-ствующего администратора, выведется информация о входе/выходе только выбранного адми-нистратора.

Page 64: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

64

Рисунок 65 – Регистрация входа/выхода администратора

4.5.2 Регистрация загрузки и инициализации системы и ее программногоостанова

Регистрация выхода из системы не проводится в моменты аппаратурного отключенияМЭ.

В параметрах регистрации указываются: - дата, время и код регистрируемого события;- результат попытки осуществления регистрируемого события - успешная или неуспешная; -идентификатор администратора МЭ, предъявленный при попытке осуществления регистриру-емого события.

4.5.3 Регистрация запуска программ и процессов (заданий, задач)В ПК «Интернет-шлюз Ideco ICS 6» регистрируется любое действие администратора

по запуску программ и процессов (заданий, задач). Для того чтобы просмотреть зарегистриро-ванную информацию, зайдите в веб-интерфейс под учетной записью главного администратораи на вкладке «Монитор» выберите раздел «Аудит событий».

Чтобы посмотреть зарегистрированные события запуска программ и процессов, в по-ле «Период» введите период времени, по которому необходимо сформировать отчет, в поле«Тип» выберите «Системные события», в поле «Администратор» выберите администратора,чьи действия необходимо посмотреть и нажмите кнопку «Показать» (рисунок 66).

Page 65: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

65

Рисунок 66 – Отчет о запуске программ и процессов

Помимо этого, администратор может просмотреть состояние запущенных процессов изадач.

Для того, чтобы посмотреть список запущенных задач, перейдите на вкладку «Мони-тор» и откройте раздел «Монитор служб» (рисунок 67).

Для того, чтобы посмотреть список запущенных процессов, перейдите на вкладку «Мо-нитор» и откройте раздел «Процессы» (рисунок 68).

Рисунок 67 – Службы

Page 66: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

66

Рисунок 68 – Процессы

Примечание:

PID идентификатор процесса;

USER имя пользователя, от которого запущен процесс;

PRI приоритет процесса;

NI приоритет процесса, используемый планировщиком задач;

SIZE размер процесса в памяти

RSS размер резидентной (не кешируемой) памяти процесса;

SHARE количество разделяемой памяти процесса;

STAT состояние, в котором на данный момент находится процесс;

%CPU процент использования процессорного времени;

%MEM процент использования памяти;

TIME время работы прцесса;

CPU команда, запустившая данный процесс.

4.5.4 Регистрация действий администратора по изменению правил филь-трации

В ПК «Интернет-шлюз Ideco ICS 6» регистрируется любое действие администраторапо изменению правил фильтрации.

Для того чтобы просмотреть зарегистрированную информацию, необходимо зайти ввеб-интерфейс под учетной записью главного администратора и на вкладке «Монитор» вы-брать раздел «Аудит событий».

Чтобы посмотреть действия администратора по изменению правил фильтрации, нужнов поле «Период» ввести период времени, по которому необходимо сформировать отчет, в поле«Тип» выбрать «Редактирование Firewall», в поле «Администратор» выбрать администратора,чьи действия необходимо посмотреть и нажать кнопку «Показать» (рисунок 69).

Page 67: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

67

Рисунок 69 – Отчет по действиям администратора по изменению правил фильтрации

4.5.5 Регистрация действий администратора по редактированию учетныхданных пользователей

В ПК «Интернет-шлюз Ideco ICS 6» регистрируется любое действие администраторапо изменению учетных данных пользователей, в том числе:

– смена паролей пользователей;

– заведение и удаление учетных записей пользователей;

– изменение правил разграничения доступа;

– полномочий пользователей.

Действия администратора записываются в журнал событий, хранящийся в базе дан-ных. Для того чтобы просмотреть зарегистрированную информацию, необходимо зайти в веб-интерфейс под учетной записью главного администратора и на вкладке «Монитор» выбратьраздел «Аудит событий».

Чтобы посмотреть действия администратора по изменению учетных данных пользова-телей, нужно в поле «Период» ввести период времени, по которому необходимо сформироватьотчет, в поле «Тип» выбрать тип записи «Редактирование пользователей» в поле «Админи-стратор» выбрать администратора, чьи действия необходимо посмотреть и нажать кнопку«Показать» (рисунок 70).

Page 68: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

68

Рисунок 70 – Журнал редактирования пользователей

4.5.6 Анализ регистрационной информацииДействия администраторов ПК «Интернет-шлюз Ideco ICS 6» фиксируются средства-

ми веб- интерфейса и записываются в базу данных ПК «Интернет-шлюз Ideco ICS 6». Этопозволяет определить администратора и время выполнения того или иного действия.

Просмотреть события можно в подразделе «Аудит событий» раздела «Монитор». Длявывода конкретных типов событий можно использовать фильтр: по дате, по типу, по админи-стратору.

По каждому событию фиксируются следующие параметры:

– Дата – дата и время изменения БД.

Page 69: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

69

– Событие – тип события (код): редактирование пользователя, редактирование про-филей выхода в Интернет и т. д.

– Результат попытки – успешная/не успешная

– Комментарий – пояснение, что было изменено или создано.

– Хозяин – пользователь, который произвел действие (идентификатор).

ПК «Интернет-шлюз Ideco ICS 6» так же средствами системного журнала rsyslog обес-печивает регистрацию и учет фильтруемых пакетов и регистрацию запуска задач. При возник-новении события, связанного с фильтрацией сетевого пакета, rsyslog регистрирует событие иделает запись в системном файле журнале, содержащую адрес, время и результат фильтрации(аналогично для событий по запуску задач, старту и рестарту системы).

4.6 Контроль целостности

4.6.1 Контроль целостности программной и информационной частиПК «Интернет-шлюз Ideco ICS 6» обладает системой проверки целостности программ-

ной и информационной части, основанной на использовании программы FIX-UNIX 1.0.При сборке дистрибутива ПК «Интернет-шлюз Ideco ICS 6» программой ФИКС-Unix 1.0

формируется статический список с контрольными суммами программной части.При загрузке ПК «Интернет-шлюз Ideco ICS 6» программа ФИКС-Unix 1.0 осуществ-

ляет проверку программной части системы по контрольным суммам программной части. Еслинайдено несоответствие, на локальной консоли выведется диагностическое сообщение и даль-нейший процесс загрузки будет приостановлен до дальнейших распоряжений администратора.

Проверка целостности программной части по контрольным суммам осуществляетсяпрограммой ФИКС-Unix 1.0 с использованием алгоритма «Уровень-3», сертифицированногоФСТЭК России.

При загрузке программной части программой ФИКС-Unix 1.0 проверяется целостностьинформационной части. Если обнаружено нарушение целостности информационной части, ПК«Интернет-шлюз Ideco ICS 6» переходит в безопасный режим работы, при котором предотвра-щается дальнейшее нарушение целостности информационной части и возможно восстановлениеинформационной части из резервных копий.

Дополнительно могут использоваться другие методы.

4.6.2 Проверка целостности программной и информационной частиЗайдите в локальную консоль управления сервером. Введите пароль администратора.

В меню перейдите в пункт «Сервис» и выберите пункт меню «Проверить целостность файлов»(рисунок 71).

Page 70: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

70

Рисунок 71 – Проверка целостности файлов

Запустится проверка программой ФИКС-Unix 1.0 целостности программной части насервере, о чем сообщит индикатор занятости в правом верхнем углу (рисунок 74).

Проверка занимает порядка несколько минут, на протяжении которых на экран небудет выводится никакой информации.

Если проверка прошла успешно, то по окончании проверки выведется сообщение «ICHECK:OK!» (рисунок 72):

Рисунок 72 – Проверка целостности файлов не выявила изменений

Если проверка обнаружила изменения, выведется сообщение «ICHECK: FAILED» и

Page 71: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

71

список файлов, в которых обнаружено изменение (рисунок 73):

Рисунок 73 – Проверка целостности файлов выявила изменения в файле web_backend

4.6.3 Проверка целостности файлов по контрольным суммам компонентСЗИ

Для проверки целостности файлов по контрольным суммам компонент СЗИ зайдите ввеб-интерфейс под учетной записью администратора.

В web-интерфейсе перейдите на вкладку «Безопасность» и откройте пункт «Контрольцелостности установки». Нажмите кнопку «Обзор» и выберите prj-файл, содержащий кон-трольные суммы компонент СЗИ.

После загрузки файла контрольных сумм начнется проверка программой ФИКС-Unix 1.0контрольных сумм на сервере, о чем сообщит индикатор занятости в правом верхнем углу (ри-сунок 74).

Рисунок 74 – Проверка целостности файлов

После окончания проверки выведется информация о результате проверки.

Page 72: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

72

Если проверка не выявила изменений, выведется сообщение «ICHECK: OK» (рису-нок 75).

Рисунок 75 – Проверка целостности файлов не выявила изменений

Если проверка выявила несоответствие представленных файлов представленным кон-трольным суммам, выведется сообщение «ICHECK: FAILED!» (рисунок 76) и список скомпро-метированных файлов.

Рисунок 76 – Проверка целостности файлов выявила изменения в файле web_backend

4.7 Восстановление

4.7.1 Процедура восстановления после сбоев и отказов оборудованияВ ПК «Интернет-шлюз Ideco ICS 6» используется журналируемая файловая система и

транзакционный подход при работе с базой данных, что гарантирует свойства восстановленияПК «Интернет-шлюз Ideco ICS 6» после серьезных сбоев, в том числе и аппаратных.

После аппаратного сбоя (например, отключение питания), который привел к выклю-чению ПК «Интернет-шлюз Ideco ICS 6», при последующей загрузке утилита e2fsck выполнитпроверку и восстановление (если требуется) файловой системы по ее журналу.

После этого будет выполнена проверка целостности программной и информационнойчасти ПК «Интернет-шлюз Ideco ICS 6», если целостность не нарушена, то ПК «Интернет-шлюз Ideco ICS 6» полностью восстановит свою работоспособность.

Транзакционный подход при работе с базой данных гарантирует сохранность БД вслучае сбоя: это означает, что при возникновении нештатной ситуации транзакция либо при-меняется полностью, либо откатывается.

Page 73: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

73

Так же в ПК «Интернет-шлюз Ideco ICS 6» есть специальная управляющая программаwatchdog. При помощи нее ПК «Интернет-шлюз Ideco ICS 6» определяет сбои в работе сервисови автоматически перезапустит сервис. В случае критической ситуации watchdog может принятьрешение об автоматической перезагрузке сервера. Если система не может восстановить работо-способность автоматически, то переходит в защищенный режим «SAFEMODE», в этом режимеблокируется прохождение пакетов и функционирует только необходимый минимум программ,в этом случае можно восстановить данные информационной части воспользовавшись резерв-ными копиями, созданными через систему резервного копирования ПК «Интернет-шлюз IdecoICS 6».

4.7.2 Процедура восстановления программной частиВ случае, если ПК «Интернет-шлюз Ideco ICS 6» не может самостоятельно восстано-

вить программную часть, имеется возможность восстановления программной части с инстал-ляционного носителя.

Для это загрузите сервер, подлежащий восстановлению, с инсталляционного носителяПК «Интернет-шлюз Ideco ICS 6». В меню выберите пункт «Восстановление» (рисунок 77) инажмите «OK»:

Рисунок 77 – Восстановление программной части

Начнется процедура восстановления программной части, после которой будет предло-жено перезагрузить сервер.

4.7.3 Процедура восстановления информационной частиДля процедуры восстановления информационной части понадобятся резервные копии

базы данных. Процедура создания резервных копий описана в разделе 6.2.1.Для восстановления базы данных пользователей необходимо загрузить сервер в защи-

щенном режиме («SAFEMODE»).Для этого в локальном меню сервера в разделе «Перезагрузка» выберите пункт «Пе-

рейти в SAFEMODE», показанный на рисунке 78.

Page 74: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

74

Рисунок 78 – перезагрузка сервера

После загрузки сервера в режиме «SAFEMODE», перейдите в раздел хранения резерв-ных копий БД локального меню «Резервное копирование» → «Локальные резервные копииБД». Выберите нужную вам резервную копию базы данных и нажмите кнопку «Загрузить».

После того, как резервная копия базы данных будет успешно восстановлена в системе,перезагрузите сервер в обычном режиме.

Примечание.

Если вы копируете резервные копии на новый жесткий диск, например, при пере-установке сервера, то после восстановления БД и конфигурации из резервной копиивам необходимо заново пройти процесс активации.

4.7.4 Процедура обновления и проверки целостности обновленийДля того чтобы инициировать процесс обновлений, необходимо зайти в локальное ме-

ню, ввести пароль от локального меню, выбрать пункты меню «Сервис» → «Проверить наличиеобновлений и обновить сейчас».

После этого запускается процедура загрузки обновлений, которая делает следующее:

1. Проверяется наличие активной подписки. Если срок подписки истек, выдается со-ответствующее сообщение и процедура обновления прекращается.

2. Запрашивается логин и пароль для доступа к Центру сертифицированных обновле-ний. Логин и пароль для доступа к Центру сертифицированных обновлений указы-ваются в формуляре в разделе «Гарантийные обязательства».

3. Из Центра сертифицированных обновлений загружается пакет обновления.

4. Загруженный пакет обновления проверяется на целостность. В случае если целост-ность нарушена, загруженный пакет удаляется и процедура обновления прекраща-ется.

После успешной загрузки обновления необходимо сделать полную перезагрузку, во время ко-торой система обновится из скачанного пакета обновлений.

Page 75: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

75

5 АДМИНИСТРИРОВАНИЕ. ДОПОЛНИТЕЛЬНАЯ

ФУНКЦИОНАЛЬНОСТЬ

5.1 Подключение к провайдеру

5.1.1 Подключение по EthernetПрямое подключение по Ethernet является наиболее распространенным. Для настройки

подключения в web-интерфейсе необходимо перейти в меню «Сервер» → «Интерфейсы». Выувидите перечень существующих сетевых интерфейсов, представленный на рисунке 79:

Рисунок 79 – Перечень сетевых интерфейсов

Для корректной работы интернет-шлюза необходимо, как минимум, два Ethernet-ин-терфейса. Для подключения к интернет-провайдеру используется внешний интерфейс, в товремя как внутренний необходим для подключения к локальной сети предприятия.

5.1.1.1 Ручная настройкаВыберите в списке (рисунок 80) внешний Ethernet-интерфейс. На экране появятся его

параметры, которые необходимо определить.

Рисунок 80 – Перечень сетевых интерфейсов

Как правило, вся необходимая информация содержится в договоре с вашим интернет-провайдером:

Имя интерфейсаУкажите любое имя, с помощью которого вы будете в дальнейшем идентифициро-вать интерфейс, например ISP.

ВключенОтметьте для того, чтобы активировать интерфейс.

РольВыберите «External».

Page 76: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

76

Сетевая картаВыберите из списка сетевой адаптер, который будет использоваться для подключе-ния к интернет-провайдеру.

IP-адресаВы можете назначить на интерфейс несколько IP-адресов. Для этого укажите IP-адрес, маску сети и нажмите кнопку «Добавить». Как минимум, должен быть указанхотя бы один IP-адрес.

Шлюз по умолчаниюУкажите IP-адрес шлюза по умолчанию.

DNS-сервер 1Укажите IP-адрес первичного DNS-сервера.

DNS-сервер 2Укажите IP-адрес вторичного DNS-сервера.

ОсновнойОтметьте для того, чтобы сделать интерфейс основным.

Примечание.

Интерфейс, помеченный как основной, используется по умолчанию для обработкитрафика пользователей. Это нужно в случае, когда в интернет-шлюзе ПК «Интер-нет-шлюз Ideco ICS 6» создано несколько Ethernet-интерфейсов с ролью External.

5.1.1.2 Автоматическая настройкаЕсли ваш интернет-провайдер поддерживает возможность автоматической настройки

Ethernet-интерфейса с помощью протокола DHCP, то вы можете воспользоваться ей. Для этоговыберите в списке внешний Ethernet-интерфейс, и отметьте пункт «Автоматическая конфигу-рация через DHCP».

После заполнения всех полей еще раз убедитесь в корректности введенных значений.Если вся информация указана верно, нажмите кнопку «Сохранить» для завершения настройкиподключения к интернет-провайдеру.

5.1.2 Подключение по PPPoEПодключение с применением протокола PPPoE традиционно используется провайде-

рами, предлагающими подключение через xDSL. Для настройки такого подключения в web-интерфейсе необходимо перейти в меню «Сервер» → «Интерфейсы». Создайте новый интер-фейс. Для этого в списке сетевых интерфейсов нажмите кнопку «Добавить». В появившемсяменю выберите тип интерфейса «PPPoE – подключение по PPPoE» и нажмите кнопку «Со-здать». Меню выбора подключения по PPPoE представлено на рисунке 81.

Page 77: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

77

Рисунок 81 – выбор подключения по PPPoE

Обратите внимание на то, что в списке интерфейсов появился интерфейс PPPoE, вы-берите его и настройте параметры (рисунок 82).

Рисунок 82 – настройки подключения PPPoE

Перечень параметров при подключении по PPPoE:

Имя интерфейсаУкажите любое имя, с помощью которого вы будете в дальнейшем идентифициро-вать интерфейс, например ISP_PPPoE.

ВключенОтметьте для того, чтобы активировать интерфейс.

РольВыберите «External».

ЛогинУкажите имя пользователя для подключения по PPPoE.

ПарольУкажите пароль.

Page 78: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

78

СервисУкажите идентификатор сервиса. Если вы не знаете, что указывать, оставьте полепустым.

КонцентраторУкажите идентификатор концентратора. Если вы не знаете, что указывать, оставьтеполе пустым.

ОсновнойОтметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когдау вас несколько интерфейсов с ролью «External».

ПереподключениеУкажите часы, в которые необходимо принудительно произвести подключение кинтернет-провайдеру.

Использовать DNS провайдераПри подключении получить адреса DNS сервера, обязательно поставьте эту галочкупри настройке РРРоЕ.

Доменное имяПри заполнении этого поля в HOSTS создается запись, ассоциирующая адрес ин-терфейса с указанным именем.

Проверка связиУкажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.8.8), этот адрес нужно только для настройки резервирования каналов.

Номер резервного интерфейсаВыберите в этом поле интерфейс на который должно произойти переключение приобрыве.

MTUЗадайте размер MTU (по умолчанию этого делать не надо поскольку большинствоподключений проходят при стандартном размере MTU).

Настройки подключения по PPPoE показаны на Рисунке 4.1.5.После заполнения всех полей еще раз убедитесь в корректности введенных значений.

Если вся информация указана правильно, нажмите кнопку «Сохранить». Для завершения на-стройки подключения требуется выполнение мягкой перезагрузки ПК «Интернет-шлюз IdecoICS 6».

Примечания:

1. Внешний интерфейс Ethernet в данной схеме подключения нужен только для управ-ления модемом, поэтому если вы не хотите чтобы веб-интерфейс модема был досту-пен из локальной сети, то отключите Внешний интерфейс Ethernet.

2. Обратите внимание на статью «Особенности подключения через ADSL-модем».

Page 79: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

79

Для отслеживания состояния соединения перейдите в меню «Пользователи». В группе«Все» вы обнаружите, что была создана учетная запись, имя которой совпадает с именемсозданного интерфейса. Также в имени учетной записи указывается состояние подключения:

UP интерфейс подключен.

GOING UP производится подключение.

DOWN подключение отсутствует.

5.1.3 Подключение по PPTPПодключение с применением протокола PPTP иногда используется интернет-провай-

дерами в целях обеспечения более надежной авторизации. Для настройки такого подключенияв web-интерфейсе необходимо перейти в меню «Сервер» → «Интерфейсы».

Создайте новый интерфейс. Для этого в списке сетевых интерфейсов нажмите кнопку«Добавить». В появившемся меню выберите тип интерфейса «PPTP – подключение по VPN» инажмите кнопку «Создать». Меню выбора подключения по PPTP представлено на рисунке 83.

Рисунок 83 – выбор подключения по PPTP

Обратите внимание на то, что в списке интерфейсов появился интерфейс PPTP: выбе-рите его. Теперь настройте все параметры, необходимые для подключения к интернет-провай-деру по протоколу PPTP (рисунок 84).

Page 80: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

80

Рисунок 84 – настройки подключения PPTP

Перечень параметров:

Имя интерфейсаУкажите любое имя, с помощью которого вы будете в дальнейшем идентифициро-вать интерфейс, например ISP_PPTP.

ВключенОтметьте для того, чтобы активировать интерфейс.

РольВыберите «External».

VPN-серверУкажите IP-адрес VPN-сервера.

ЛогинУкажите имя пользователя для подключения по PPTP.

ПарольУкажите пароль.

Шифрование MPPEОтметьте, если интернет-провайдер требует шифровать передаваемый трафик.

ОсновнойОтметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когдау вас несколько интерфейсов с ролью «External».

Page 81: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

81

ПереподключениеУкажите часы, в которые необходимо принудительно произвести подключение кинтернет-провайдеру.

Использовать DNS провайдераПри подключении получить адреса DNS сервера, обязательно поставьте эту галочкупри настройке PPTP.

Доменное имяПри заполнении этого поля в HOSTS создается запись, ассоциирующая адрес ин-терфейса с указанным именем.

Проверка связиУкажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.8.8), этот адрес нужно только для настройки резервирования каналов.

Номер резервного интерфейсаВыберите в этом поле интерфейс на который должно произойти переключение приобрыве.

MTUЗадайте размер MTU (по умолчанию этого делать не надо поскольку большинствоподключений проходят при стандартном размере MTU).

Настройки подключения по PPTP показаны на рисунке 84.После заполнения всех полей еще раз убедитесь в корректности введенных значений.

Если вся информация указана правильно, нажмите кнопку «Сохранить».Если адрес PPTP-сервера не входит в сеть на внешнем интерфейсе, через который

должно идти подключение, то необходимо добавить маршрут. Этим маршрутом мы описываем,что адрес VPN сервера находится за шлюзом на внешнем физическом интерфейсе. Перейдитев меню «Сервер» → «Сетевые параметры» web-интерфейса и выберите вкладку «Маршруты»,далее нажмите кнопку «Добавить» и заполните поля, определяющие назначение маршрута.

Перечень параметров для описания маршрута трафика пользователей в удаленныесети через шифрованные туннели связи:

SRC/маска:портАдрес источника. В данном случае оставьте пустым.

DST/маска:портАдрес назначения. Укажите здесь IP-адрес PPTP-сервера с маской /32 или /255.

255.255.255.

Шлюз, IP/ИнтерфейсУкажите IP-адрес шлюза физического интерфейса, через который должно прохо-дить подключение.

ПротоколОставьте поле пустым.

Page 82: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

82

FORCEОставьте поле пустым.

SNATОставьте поле пустым.

Для завершения настройки подключения выполните мягкую перезагрузку ПК «Ин-тернет-шлюз Ideco ICS 6».

Для отслеживания состояния соединения перейдите в меню «Пользователи». В корне-вой папке вы обнаружите, что была создана учетная запись, имя которой совпадает с именемсозданного интерфейса. Также в имени учетной записи указывается состояние подключения:

UP интерфейс подключен.

GOING UP производится подключение.

DOWN подключение отсутствует.

5.1.4 Подключение по L2TPПодключение с применением протокола L2TP иногда используется интернет-провай-

дерами в целях обеспечения более надежной авторизации. Для настройки такого подключенияв web-интерфейсе перейдите в меню «Сервер» → «Интерфейсы». Создайте новый интерфейс.Для этого в списке сетевых интерфейсов нажмите кнопку «Добавить». В появившемся менювыберите тип интерфейса «L2TP – подключение по L2TР» и нажмите кнопку «Создать». Менювыбора подключения по PPTP представлено на рисунке 85.

Рисунок 85 – выбор подключения по L2TP

Обратите внимание на то, что в списке интерфейсов появился интерфейс L2TP: вы-берите его. Теперь определите все параметры, необходимые для подключения к интернет-провайдеру по протоколу L2TP (рисунок 86).

Page 83: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

83

Рисунок 86 – настройки подключения L2TP

Перечень параметров при подключении по PPTP:

Имя интерфейсаУкажите любое имя, с помощью которого вы будете в дальнейшем идентифициро-вать интерфейс, например ISP_L2TP.

ВключенОтметьте для того, чтобы активировать интерфейс.

L2TP-серверУкажите IP-адрес или доменное имя L2TP-сервера.

Через интерфейсВыберите интерфейс через который должно проходить подключение.

ЛогинУкажите имя пользователя для подключения по L2TP.

ПарольУкажите пароль.

ОсновнойОтметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когдау вас несколько интерфейсов с ролью «External».

ПереподключениеУкажите часы, в которые необходимо принудительно произвести подключение кинтернет-провайдеру.

Доменное имяПри заполнении этого поля в HOSTS создается запись, ассоциирующая адрес ин-терфейса с указанным именем.

Page 84: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

84

Проверка связиУкажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.8.8), этот адрес нужно только для настройки резервирования каналов.

Номер резервного интерфейсаВыберите в этом поле интерфейс на который должно произойти переключение приобрыве.

MTUЗадайте размер MTU (по умолчанию этого делать не надо поскольку большинствоподключений проходят при стандартном размере MTU).

Настройки подключения L2TP показаны на рисунке 86.После заполнения всех полей еще раз убедитесь в корректности введенных значений.

Если вся информация указана правильно, нажмите кнопку «Сохранить». Для завершения на-стройки подключения требуется выполнение мягкой перезагрузки ПК «Интернет-шлюз IdecoICS 6».

Для отслеживания состояния соединения перейдите в меню «Пользователи». В корне-вой папке вы обнаружите, что была создана учетная запись, имя которой совпадает с именемсозданного интерфейса. Также в имени учетной записи указывается состояние подключения:

UP интерфейс подключен.

GOING UP производится подключение.

DOWN подключение отсутствует.

5.1.5 Одновременное подключение к нескольким провайдерамВозникают ситуации, когда требуется наличие нескольких подключений к интернет-

провайдерам. Вот некоторые из них:

– Необходимое настроить резервирование основного канала, чтобы при его отключе-нии весь трафик перекидывался на резервный канал.

– Необходимо снизить нагрузку на основное подключение к интернет-провайдеру засчет распределения трафика между несколькими подключениями. При этом частьпользователей локальной сети будет выходить в сеть Интернет через неосновнойканал связи с провайдером.

– Использование более скоростного и дорогостоящего подключения к интернет-про-вайдеру для доступа в интернет сотрудников, чья трудовая деятельность чувстви-тельна к качеству интернет-соединения, в то время как все остальные сотрудникимогут использовать менее скоростное и более дешевое соединение.

– Необходимо снизить нагрузку на основное подключение к интернет-провайдеру засчет распределения трафика между несколькими подключениями. При этом сессиибудут поочередно перенаправлятся на основной и дополнительный Интернет-каналодновременно от всех пользователей.

Page 85: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

85

5.1.1.3 ПодготовкаСоздайте дополнительное подключение к интернет-провайдеру. Процесс создания под-

ключений описан в разделе «Подключение к провайдеру». Таким образом, у вас на сервередолжно быть минимум два подключения к сети Интернет.

5.1.1.4 Ситуация 1: резервирование каналовНам потребуется пройти несколько шагов:

– настроить резервный профиль выхода в сеть Интернет;

– настроить резервирование между сетевыми интерфейсами.

5.1.1.4.1 Шаг 1. Создание и редактирование профилейНам предстоит создать профиль выхода в сеть Интернет с использованием резервного

подключения. Для этого необходимо в web-интерфейсе перейти в меню «Профили» → «Про-фили выхода в интернет». Для создания профиля нажмите кнопку «Создать профиль». Впоявившемся окне укажите значения следующих параметров.

– Название – укажите название нового профиля, который будет использоваться длявыхода в интернет в случае обрыва на основном канале.

– Интерфейс – выберите резервное подключение к интернет-провайдеру.

– Начальный NAT-адрес – поле заполняется только в том случае, если на сетевом ин-терфейсе дополнительного подключения к интернет-провайдеру назначено несколь-ко IP-адресов. В таком случае необходимо указать тот IP-адрес, который должениспользоваться для исходящего трафика. Если вы желаете использовать для транс-ляции исходящего трафика диапазон IP-адресов сетевого интерфейса, то в качественачального NAT-адреса укажите первый IP-адрес диапазона, а в качестве конечногоNAT-адреса – последний.

– Номер резервного профиля – это ключевые поле; при настройке резервного про-филя тут мы указываем номер основного профиля (мы сейчас говорим про номерпрофиля, а не про номер интерфейса!), а при настройке основного указываем но-мер резервного, таким образом мы задаем условие для переключения NAT в случаеобрыва и при восстановлении связи на основном канале.

Форма создания профиля представлена на рисунке 87.

Page 86: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

86

Рисунок 87 – создание профиля

Нажмите кнопку «Сохранить». Новый профиль будет создан и доступен в списке про-филей. Далее в новом профиле полностью продублируйте правила основного профиля. На этомнастройка профилей закончена, перейдем к настройке сетевых интерфейсов.

5.1.1.4.2 Шаг 2. Настройка резервирования между сетевыми интерфейса-ми

Для переключения между интерфейсами отредактируйте настройки основного и ре-зервного интерфейса, для этого перейдите в раздел web-интерфейса «Сервер» → «Интерфей-сы». Отредактируйте 2 поля:

Проверка связи: укажите адрес публичного ресурса с высоким показателем отказоустойчи-вости (для этих целей хорошо подходит адрес google dns 8.8.8.8, который показанв примере).

Номер резервного интерфейса: выберите номер интерфейса, на который должно произой-ти переключения в случае обрыва и восстановления; в настройках основного интер-фейса мы указываем номер резервного, а настройках резервного номер основного.

Форма редактирования резервного интерфейса показана на рисунке 88.

Page 87: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

87

Рисунок 88 – резервный сетевой интерфейс

После того как оба интерфейса отредактированы сделайте мягкую перезагрузкуПК «Интернет-шлюз Ideco ICS 6».

5.1.1.5 Ситуация 2: распределение нагрузки по нескольким подключениям,статическая балансировка

В описываемой схеме часть пользователей локальной сети будет иметь доступ к сетиИнтернет или другим внешним сетям через дополнительный канал связи. Вам потребуется со-здать отдельный профиль выхода в сеть Интернет для этих пользователей, в соответствии скоторым будет осуществляться трансляция адресов (NAT). Также нужно будет создать марш-рут, согласно которому трафик от пользователей будет направлен в нужный интерфейс. Еслив вашей сети используется прокси-сервер, обратите внимание на расположенный в конце этойглавы раздел, посвященный настройке прокси-сервера для работы с данной схемой.

Для создания маршрута перейдите в раздел web-интерфейса «Сервер» → «Сетевыепараметры» → «Маршруты». Здесь вы можете включить трансляцию адресов для трафикапользователей. Таким образом, выбор профиля в настройках пользователей не будет иметьзначения, так как не будет влиять на прохождение трафика от клиента во внешние сети. Есливы заранее знаете, что в будущем у вас не возникнет необходимости в тонкой настройке про-филя, то можно ограничиться созданием маршрута с указанием флага «SNAT». В этом случаепользователю необходимо назначить стандартный профиль. Тем не менее, рекомендуется на-

Page 88: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

88

страивать полноценную схему с профилем и маршрутом без указания флага «SNAT».Для удобства дальнейшей работы мы рекомендуем создать специальную группу поль-

зователей. Для этой группы будут настроены параметры, определяющие правила выхода в сетьИнтернет с использованием нескольких подключений. Таким образом, при добавлении новыхучетных записей пользователей в группу им будут автоматически присвоены значения данныхпараметров. Этот шаг не является обязательным.

Далее нам потребуется пройти несколько шагов:

– настроить профиль выхода в сеть Интернет;

– создать пул IP-адресов;

– настроить маршрутизацию трафика.

5.1.1.5.1 Шаг 1. Создание профилейНам предстоит создать профиль выхода в сеть Интернет с использованием несколь-

ких подключений. Для этого необходимо в web-интерфейсе перейти в меню «Профили» →«Профили выхода в интернет». Для создания профиля нажмите кнопку «Создать профиль».В появившемся окне укажите значения следующих параметров.

– Название – укажите название нового профиля, который будет использоваться длявыхода в интернет через дополнительное подключение к интернет-провайдеру.

– Интерфейс – выберите дополнительное подключение к интернет-провайдеру.

– Начальный NAT-адрес – поле заполняется только в том случае, если на сетевом ин-терфейсе дополнительного подключения к интернет-провайдеру назначено несколь-ко IP-адресов. В таком случае необходимо указать тот IP-адрес, который должениспользоваться для исходящего трафика. Если вы желаете использовать для транс-ляции исходящего трафика диапазон IP-адресов сетевого интерфейса, то в качественачального NAT-адреса укажите первый IP-адрес диапазона, а в качестве конечногоNAT-адреса – последний.

Форма создания профиля представлена на рисунке 89.

Page 89: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

89

Рисунок 89 – создание профиля

Нажмите кнопку «Сохранить». Новый профиль будет создан и доступен в списке про-филей.

5.1.1.5.2 Шаг 2. Создание пула адресовТеперь, когда мы создали подключение и для него определили профиль выхода в сеть

Интернет, необходимо установить правила, по которым ПК «Интернет-шлюз Ideco ICS 6» бу-дет определять, через какое именно подключение (основное или дополнительное) должен пе-редаваться трафик пользователя. Для решения этой задачи на каждую учетную запись (илигруппу пользователей) назначается пул IP-адресов. Таким образом, выбор подключения будетосуществляться, основываясь на принадлежности учетной записи к той или иной подсети.

Если в вашей сети используется авторизация по протоколам PPTP или PPPoE (Ав-торизация по PPTP, Авторизация по PPPoE), то для этих пользователей потребуется создатьдополнительные пулы IP-адресов. В соответствии с пулами IP-адресов VPN пользователямбудут назначены IP-адреса из определенной IP-сети, соответствующей пулу IP-адресов. Перей-дите в меню web-интерфейса «Профили» → «Пулы IP-адресов» и создайте пул для каждойгруппы пользователей, нажав кнопку «Создать Пул». В появившемся окне введите названиепула и задайте диапазон IP-адресов (рисунок 90).

Важная информация Нужно учесть, что для каждого пула диапазон адресов должен ле-жать в пределах отдельной, уникальной IP-сети, не пересекающейся с другими се-тями.

Page 90: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

90

Рисунок 90 – создание пула IP-адресов

Затем в меню «Пользователи» необходимо каждой учетной записи пользователя по-ставить в соответствие определенный пул IP-адресов (рисунок 91).

Рисунок 91 – назначение пула IP-адресов для пользователя

После этого нажмите кнопку «Получить IP из пула» справа от поля «IP-адрес» (см.рис 92). Теперь при подключении пользователя ему будет присвоен IP-адрес из выбранногопула.

Рисунок 92 – назначение IP-адреса из пула

Назначение IP-адресов может быть произведено вручную. Если для клиентов сети ис-пользуется авторизация по IP-адресу, с использованием Ideco Agent или через web, то на ком-пьютерах пользователей нужно настроить IP-адреса из разных IP-сетей и указать эти IP-адресав настройках пользователей в меню web-интерфейса «Пользователи». Необходимо учесть, чтоIP-сети должны быть уникальными в пределах локальной сети предприятия и не должныпересекаться при этом с другими IP-сетями.

Также назначим пользователям нужный профиль выхода в интернет в соответствии сканалом, через который пользователь должен выходить в сеть Интернет.

5.1.1.5.3 Шаг 3. Создание маршрутаДля маршрутизации трафика пользователей через разные каналы доступа в интернет

на основе их принадлежности к IP-сетям перейдите в меню «Сервер» → «Сетевые параметры»web-интерфейса и выберите вкладку «Маршруты». Создадим маршрут для каждой IP-сетиили пула IP-адресов. Для этого нажмем кнопку «Добавить» и заполним поля, определяющиеназначение маршрута.

Перечень параметров маршрута для каждой IP-сети или пула IP-адресов:

SRC/маска:портСеть источника. Укажите, из какой сети будут осуществляться подключения. Портуказывать не нужно. Можно оставить поле пустым, если нет необходимости строгоограничить область действия маршрута.

Page 91: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

91

DST/маска:портСеть назначения. Укажите, в какую сеть будут осуществляться подключения. Ука-жите 0.0.0.0/0, если необходимо маршрутизировать трафик в любую внешнююсеть. Вы можете указать адрес конкретной сети, если этот канал должен обеспечи-вать доступ к определенным сетям интернет-провайдера или отдельным ресурсамсети Интернет.

Шлюз. IP или интерфейсДля Ethernet интерфейса укажите шлюз провайдера, иначе выберите PPТP илиPPPoE интерфейс. Через этот интерфейс будет направлен целевой трафик.0

ПротоколВозможность ограничения действия маршрута по указанному протоколу: TCP, UDPили ICMP.

%Заполняется в случае настройки балансировки трафика. В данной схеме не исполь-зуется.

FORCEМаршрутизировать независимо от маски интерфейсов (использовать не рекоменду-ется).

SNATПринудительная трансляция адресов от имени интерфейса, шлюз которого указанвыше, независимо от профиля пользователя. Эта опция действительна, если в марш-руте заполняется адрес источника (сеть или адрес хоста). В случае указания флага– правила профиля пользователя не распространяются на трафик от пользователя,удовлетворяющий этому маршруту. Если вы создали и настроили профиль с указа-нием нужного интерфейса для пользователей выше, то указывать флаг не нужно, итрансляция адресов будет осуществляться согласно профилю.

Форма настройки маршрута для каждой IP-сети или пула IP-адресов приведена нарисунке 93.

route-setup-for-ip-pool

Рисунок 93 – Настройка маршрута для каждой IP-сети или пула IP-адресов

Page 92: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

92

5.1.1.6 Если вы используете прокси-серверПо умолчанию прокси-сервер работает с web-трафиком только через основной интер-

фейс, вне зависимости от того, какие дополнительные каналы провайдеров настроены. Длякорректной маршрутизации и учета web-трафика необходимо перенаправить трафик на до-полнительный интернет-канал в настройках прокси-сервера.

Перейдем в меню «Сервер» → «Прокси и контент-фильтр», выберем вкладку «Расши-ренные» и укажем правило маршрутизации в поле «Перенаправлять разных пользователей вразные каналы» для работы с web-трафиком сети внешнего ресурса через IP-адрес интерфейсадополнительного провайдера. Формат правила представлен на рисунке 94.

Рисунок 94 – Правило маршрутизации

Правило маршрутизации, которое вы указываете в настройках прокси-сервера позволя-ет определить подсеть, которой принадлежат пользователи, а также внешний IP-адрес, назна-ченный на дополнительный интернет-канал. Именно через этот канал и будет передаваться тра-фик пользователей из указанной подсети. В примере, представленном на Рисунке 4.1.13, опре-делено правило, согласно которому трафик пользователей из сети 192.168.50.0/24 будет на-правлен в сеть Интернет через дополнительный интернет-канал с IP-адресом 217.24.176.231.

5.1.1.7 Ситуация 3: доступ к разным ресурсам сети Интернет через опре-деленные каналы связи, статическая балансировка

Такая схема подключения к нескольким интернет-провайдерам часто применяется вслучае, когда некоторые ресурсы в сети Интернет тарифицируются дешевле через другогоинтернет-провайдера, или в случае доступа к внутренним сетям дополнительного провайдера,минуя основной канал связи.

Для настройки такой схемы необходимо создать подключения к дополнительным ка-налам интернета. В web-интерфейсе перейдите в меню «Сервер» → «Интерфейсы». Для со-здания подключения к интернет-провайдеру нажмите кнопку «Добавить», выберите нужныйтип подключения и настройте параметры интерфейса в соответствии с реквизитами интернет-провайдера, полученными ранее.

Для маршрутизации трафика пользователей в определенные подсети через дополни-тельные каналы связи перейдите в меню «Сервер» → «Сетевые параметры» web-интерфейса ивыберите вкладку «Маршруты». Создадим маршрут для каждого ресурса внешней сети. Дляэтого необходимо нажать кнопку «Добавить» и заполнить поля, определяющие назначениемаршрута. Перечень параметров, описывающих маршрут, представлен в Таблице 4.1.7.

Перечень параметров для описания маршрута ресурса внешней сети:

SRC/маска:порт

Page 93: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

93

Поле заполняется в том случае, если доступ к ресурсу нужно предоставить опреде-ленной группе пользователей вашей сети, выделенной в отдельную IP-сеть.

DST/маска портУкажите здесь IP-адрес сети ресурса в интернете или сети провайдера, к которомунужно обеспечить доступ.

Шлюз, IP/ИнтерфейсУкажите интерфейс доступа к ресурсу в сети Интернет. Выберите PPTP или PPPoEинтерфейс интернет-провайдера или укажите IP-адрес шлюза интернет-провайдерав случае Ethernet подключения.

ПротоколОставьте поле пустым. В этом случае маршрут будет работать по всем протоколамсвязи.

%Оставьте поле пустым, так как описываемая схема не подразумевает деления кана-лов доступа между пользователями в процентном соотношении.

FORCEМаршрутизировать независимо от маски интерфейсов (использовать не рекоменду-ется).

SNATОтметьте, если требуется трансляция адресов. Эта опция действительна, если вмаршруте заполняется адрес источника (сеть или адрес хоста). В большинстве слу-чаях при данной схеме подключения эта функция необходима.

Форма настройки маршрутизации пользователя в определенные подсети через допол-нительные каналы связи приведена на рисунке 95. route-setup-for-balance

Рисунок 95 – Настройка маршрутизации пользователя

5.1.1.8 Ситуация 4: распределение нагрузки по нескольким подключениям,динамическая балансировка

Page 94: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

94

В описываемой схеме мы будем переадресовывать на дополнительный канал связи неконкретных пользователей, а сетевые сессии от всех пользователей одновременно. Вам потребу-ется создать маршрут, согласно которому трафик от пользователей будет направлен в нужныйинтерфейс в процентном соотношении. Это правило не распространяется на веб-трафик привключенном прокси, поскольку прокси-сервер работает независимо от правил маршрутизации.

Для создания маршрута перейдите в раздел web-интерфейса «Сервер» → «Сетевыепараметры» → «Маршруты».

Перечень параметров для описания маршрута при динамической балансировке:

SRC/маска:портСеть источника. Укажите, из какой сети будут осуществляться подключения. Портуказывать не нужно. Можно оставить поле пустым, если нет необходимости строгоограничить область действия маршрута.

DST/маска:портСеть назначения. Укажите, в какую сеть будут осуществляться подключения. Ука-жите 0.0.0.0/0, если необходимо маршрутизировать трафик в любую внешнююсеть. Вы можете указать адрес конкретной сети, если этот канал должен обеспечи-вать доступ к определенным сетям интернет-провайдера или отдельным ресурсамсети Интернет.

Шлюз, IP/ИнтерфейсДля Ethernet интерфейса укажите шлюз провайдера, иначе выберите PPТP илиPPPoE интерфейс. Через этот интерфейс будет направлен целевой трафик.

ПротоколВозможность ограничения действия маршрута по указанному протоколу: TCP, UDPили ICMP.

%Укажите какой процент сессий должен перенаправляться на дополнительный каналсвязи.

FORCEМаршрутизировать независимо от маски интерфейсов (при динамической баланси-ровке ставится автоматически).

SNATОтметьте, если требуется трансляция адресов. Эта опция действительна, если вмаршруте заполняется адрес источника (сеть или адрес хоста). При динамическойбалансировке эта опция необходима.

Форма настройки маршрута для динамической балансировки приведена на рисунке 96.

Page 95: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

95

Рисунок 96 – Настройка динамической балансировки

5.2 Управление пользователями

5.2.1 Дерево пользователейПользователи в интерфейсе управления ПК «Интернет-шлюз Ideco ICS 6» отобража-

ются в виде дерева. Пользователи могут быть организованы в группы. Уровень вложенностигрупп не ограничен. Дерево учетных записей пользователей доступно в разделе «Пользовате-ли».

Древовидная структура легко отражает реальную структуру предприятия с подразде-лениями, отделами, офисами и позволяет облегчить управление большим количеством пользо-вателей, назначая администраторов для отдельных групп. Такие администраторы групп могутуправлять доступом пользователей в интернет, создавать внутри своих групп других пользо-вателей, группы и администраторов для нижележащих групп.

В ПК «Интернет-шлюз Ideco ICS 6» реализован принцип наследования, что позволя-ет легко задавать и изменять общие для пользователей параметры, определяя их для роди-тельской группы – профиль, пул IP-адресов, параметры ограничений и разрешений. Принципнаследования очень удобен для выполнения операций управления, осуществляемых по отно-шению ко всем пользователями группы.

Дерево пользователей представлено на рис 97.

Page 96: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

96

Рисунок 97 – Дерево пользователей

В зависимости от установленных для пользователей параметров различают несколькотипов пользователей:

Пользователь, успешно прошедший процедуру авторизации.

Пользователь, для которого не установлен признак «NAT». Как правило, это учет-ные записи, созданные для серверов.

Пользователь с установленным признаком «Администратор технический».

Пользователь с установленным признаком «Главный администратор».

Пиктограмма пользователя может быть окрашена в разные цвета, обозначающие со-стояние пользователя:

В данный момент времени пользователь прошел процедуру авторизации, и ему былпредоставлен доступ в интернет.

Проверка учетной записи пользователя завершается с отрицательным результатом(см. подробнее «Проверка пользователя»).

В данный момент времени пользователь не прошел процедуру авторизации, и емуне был предоставлен доступ в интернет.

Учетная запись пользователя отключена.

При удалении пользователя или группы пользователей, удаляемый объект попадает вспециальный контейнер дерева пользователей: «Корзина». Пользователи находящиеся в «Кор-зине» не могут быть авторизованы, но сохраняют все свои свойства. Например, IP адрес уже

Page 97: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

97

назначенный пользователю, находящемуся в «Корзине», не может быть назначен другому поль-зователю. Таким образом объекты находящиеся в Корзине не удалены из ПК «Интернет-шлюзIdeco ICS 6» полностью, их можно восстановить из корзины в любой момент. Для полногоудаления пользователя или группы пользователей из ПК «Интернет-шлюз Ideco ICS 6» нужноудалить их из «Корзины».

Помещенные в «Корзину» пользователи хранятся в ней в соответствии с иерархией вкоторой они находились в дереве пользователей до помещения в «Корзину». Полностью пере-мещенные в корзину группы пользователей со всеми пользователями и подгруппами внутрипомечены значком «Корзины». Такие группы готовы к полному удалению с сервера. Группы,часть пользователей которых находится в «Корзине», а часть по прежнему присутствует вдереве пользователей, не отмечены таким значком.

Рисунок 98 – Типичная структура «Корзины» пользователей

5.2.2 Управление учетными записями пользователейДля управления группами и учетными записями пользователей в дереве пользовате-

лей есть несколько иконок, расположенных над деревом. Каждая из пиктограмм отвечает заопределенное действие.

Элементы управления учетными записями:

Создать учетную запись пользователя.

Создать группу.

Удалить учетную запись пользователя или группу.

5.2.2.1 Создание учетной записи пользователяЧтобы создать учетную запись в определенной группе, выберите эту группу (рису-

нок 99). Вы увидите в заголовке группы несколько элементов управления.

Page 98: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

98

Рисунок 99 – Выбор группы

Создайте учетную запись пользователя в группе, нажав на соответствующую иконку.Перед вами появится окно создания учетной записи пользователя, в котором нужно определитьряд параметров. Параметры для создания учетной записи пользователя:

ПользовательУкажите имя пользователя, для которого создается учетная запись, например, Ива-нов Иван.

ЛогинУкажите логин, который будет применяться пользователем для прохождения про-цедуры авторизации в различных службах ПК «Интернет-шлюз Ideco ICS 6». Ло-гин необходимо вводить латинскими символами с соблюдением регистра, например:«i.ivanov».

ПарольУкажите пароль. Пароль необходимо вводить латинскими символами с соблюдениемрегистра. Пароль нового пользователя должен быть не короче 6 символов. Попыткисоздания нового пользователя с паролем короче 6 символов будут отклонены.

Повторите парольПовторно укажите пароль для проверки.

Окно создания учетной записи пользователя представлено на рисунке 100.

Рисунок 100 – Создание учетной записи пользователя

Логин и пароль используются для авторизации и для подключения к web-интерфейсуПК «Интернет-шлюз Ideco ICS 6», если пользователь является администратором. Для учет-ных записей, импортированных из MS Active Directory (AD), проверка пароля осуществляетсясредствами AD.

Page 99: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

99

Важная информация Посмотреть или восстановить пароль учетной записи пользователянельзя, допускается только его изменение. Также рекомендуется напоминать поль-зователям о том, чтобы они обязательно сразу сменили пароль через web-интерфейс.

Теперь, когда вы определили все параметры, нажмите кнопку «Добавить». Произойдетдобавление учетной записи, у которой автоматически будут установлены значения следующихпараметров:

1. адрес NAT;

2. IP-адрес – автоматически устанавливается из пула, выбирается первый свободныйIP-адрес.

5.2.2.2 Создание группыВыберите ту группу, в которой вы предполагаете создать новую (вы можете создать как

группу в корне дерева, так и дочернюю). Вы увидите в заголовке группы несколько элементовуправления, среди которых необходимо нажать на кнопку добавления группы. Появится окно,в котором вам нужно будет указать название новой группы. Окно добавления группы показанона рисунке 101.

Рисунок 101 – Добавление группы

5.2.2.3 Удаление учетной записи пользователя или группыДля удаления учетной записи пользователя необходимо выбрать ее в дереве пользова-

телей и нажать на кнопку удаления. Появится окно с требованием подтверждения удаления,нажмите кнопку «ОК».

Удаление группы осуществляется аналогичным образом.

Важная информация При удалении учетной записи, она перемещается в папку «Корзина»,из которой может быть впоследствии восстановлена. При удалении группы, в кор-зину перемещается вся группа, включая учетные записи пользователей, входящие внее. Также необходимо учитывать следующие особенности.

1. При проведении операции «Закрытие периода» осуществляется окончательное уда-ление учетной записи, включая статистику из баз данных;

2. У учетной записи, находящейся в корзине, невозможно изменять параметры.

5.2.2.4 Восстановление учетной записи пользователя или группы

Page 100: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

100

Чтобы восстановить учетную запись пользователя из корзины, выберите вкладку «Кор-зина» в корневой папке «Все». В ней выделите нужную для восстановления учетную запись инажмите соответствующую кнопку «Восстановить», расположенную справа от имени учетнойзаписи.

5.2.2.5 Перемещение учетной записи пользователя или группыЧтобы переместить учетную запись пользователя в другую группу, выделите этого

пользователя в веб-интерфейсе, на вкладке «Общие» найдите поле «В группе» и из выпадаю-щего списка выберите группу куда надо переместить пользователя.

5.2.3 Административные учетные записиВ ПК «Интернет-шлюз Ideco ICS 6» существует два типа административных учетных

записей:

Главный администраторУчетная запись с максимальными полномочиями в ПК «Интернет-шлюз Ideco ICS 6».Эта запись присутствует в системе изначально и называется «Главный Администра-тор». Эта учетная запись может существовать только в единственном экземпляре ине может быть удалена.

Технический администраторУчетная запись, имеющая возможность управления учетными записями своей груп-пы и дочерних групп.

Создание Технических администраторов позволяет достичь высокой гибкости управле-ния учетными записями пользователей. Это особенно полезно для крупных предприятий, когдасуществует необходимость в делегировании полномочий по управлению доступом в интернетрабочих групп. В небольших предприятиях обычно достаточно одного администратора.

Главный администратор имеет следующие полномочия, которые не имеет Техническийадминистратор.

1. Редактирование пулов IP-адресов;

2. Редактирование профилей пользователей;

3. Редактирование правил межсетевого экрана;

4. Переопределение вручную следующих параметров учетной записи пользователя: IP-адрес, пул, адрес NAT;

5. Управление службами Интернет-шлюза.

Технические администраторы, находящиеся в корневой группе, в отличие от Техниче-ских администраторов других групп, имеют дополнительные возможности.

1. Смена профиля учетной записи пользователя;

2. В случае необходимости могут вручную исправлять баланс пользователей и групп.

Page 101: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

101

Все Технические администраторы, кроме Главного администратора, имеют следующиеограничения:

1. Не имеют возможности изменять параметры группы, в которой находятся сами;

2. Не имеют возможности изменять учетные записи Технических администраторов од-ного уровня с собой, то есть находящихся непосредственно в этой же группе.

Важная информация В целях обеспечения высокого уровня информационной безопасностивсе действия, выполняемые от административных учетных записей, журналируютсяи доступны в разделе «Меню» → «Аудит событий».

5.2.4 Настройка учетных записей пользователейНастройка пользователей осуществляется в разделе «Пользователи». Чтобы опреде-

лить параметры учетной записи пользователя, выберите ее в дереве пользователей нажатиеммышью. В правой части экрана появятся параметры выделенной учетной записи. В случае,если вы желаете изменить параметры всех пользователей, входящих в группу, вам нужно вы-делить в дереве пользователей соответствующую группу.

Все настраиваемые параметры разделены по нескольким категориям:

ОбщиеОсновные параметры.

ПочтаПараметры, отвечающие за создание почтового ящика, а также управления досту-пом к коммуникационным службам ПК «Интернет-шлюз Ideco ICS 6».

ОграниченияПараметры, отвечающие за управление доступом пользователя к сети Интернет.Здесь определяются параметры сетевого фильтра и контент-фильтра.

СтатистикаСтатистика по потреблению пользователем интернет-трафика.

ФинансыМодуль управления финансами. Используется для установки квот.

5.2.4.1 Общие настройкиРаздел общих настроек включает в себя множество основных параметров, определя-

ющих статус учетной записи пользователя. Общие настройки разделены на базовые (рису-нок 102) и дополнительные (рисунок 103).

Общие настройки, базовые параметры:

ПользовательИмя пользователя, для которого создается учетная запись, например, Иванов Иван.

Page 102: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

102

ЛогинЛогин, который будет применяться пользователем для прохождения процедуры ав-торизации в различных службах ПК «Интернет-шлюз Ideco ICS 6». Логин необхо-димо вводить латинскими символами с соблюдением регистра, например, i.ivanov.

ПарольФункция изменения пароля для учетной записи пользователя.

В группеГруппа, в которую входит данный пользователь.

IP-адресIP-адрес, который закреплен за данной учетной записью.

MAC-адресMAC-адрес сетевого адаптера, которому назначен IP-адрес, закрепленный за учет-ной записью.

АвторизацияТип авторизации. Подробнее см. в разделе «Типы авторизации».

ПрофильПрофиль для учета стоимости трафика пользователя.

NATИспользование технологии NAT для предоставления пользователю доступа в сетьИнтернет.

ПулПул IP-адресов, из которого учетной записи будет присваиваться IP-адрес.

Общие настройки, дополнительные параметры:

Запретить входЗапретить пользователю авторизоваться на интернет-шлюзе ПК «Интернет-шлюзIdeco ICS 6». Это означает, что он не сможет пользоваться ресурсами сети Интернет.

Разрешить VPN из интернетРазрешить подключаться к серверу ПК «Интернет-шлюз Ideco ICS 6» по VPN изинтернета. Подробнее см. в разделе «VPN».

Администратор техническийПрисвоить пользователю статус Администратора технического. Подробнее см. в раз-деле «Административные учетные записи».

Включить контроль утечек информацииВключить защиту от утечек информации с помощью модуля DLP для данной учет-ной записи пользователя. Подробнее см. в разделе 5.5.8.

Постоянно подключенПараметр, который позволяет включить постоянную статическую авторизацию, ра-ботает только в случае авторизации по IP-адресу.

Page 103: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

103

Рисунок 102 – базовые параметры пользователя

Page 104: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

104

Рисунок 103 – дополнительные параметры пользователя

Разрешить переподключениеРазрешить переподключение пользователя с другого сетевого устройства, например,в случае смены рабочего места. Не может быть применено к группе.

Синхронизация с LDAP/ADГрупповой параметр. Позволяет синхронизировать пользователей в группе с ActiveDirectory.

5.2.4.2 ПочтаВ этом разделе находятся параметры, с помощью которых для учетной записи может

быть предоставлен доступ к работе с почтовым сервером.Параметры настройки почты:

Почтовый ящик пользователяЭтот параметр позволяет задать пользователю название почтового ящика, отличноеот его логина.

E-mail для уведомленийАдрес электронной почты, на который будут отправляться уведомления от сервера.

Разрешить почтуАвтоматически создает аккаунт на Почтовом сервере. Подробнее см. в разделе «Поч-товый сервер».

Переадресовать почтуПереадресовать входящую почту на E-mail, указанный для уведомлений.

Доступ к почте из интернетаРазрешить доступ к почтовому ящику из сети Интернет. Подробнее см. в разделе«Почтовый сервер».

Автоответчик для почтыАктивирует автоответчик на почтовом ящике.

ОграниченияРаздел включает в себя различные наборы правил, ограничивающих доступ поль-зователя в сеть Интернет.

Page 105: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

105

5.2.4.3 ОграниченияНастройки ограничений:

Ограничения пользовательского сетевого фильтраНазначение предопределенных групп правил пользовательского сетевого фильтрана учетную запись или группу. Управление правилами пользовательского сетевогофильтра подробно описан в разделе «Сетевой фильтр».

Ограничения контент-фильтраЗапрет доступа к определенным категориям web-ресурсов.

Ограничения сетевого фильтра приложенийНазначение предопределенных правил сетевого фильтра приложений. Управлениеправилами фаерволла приложений подробно описано в разделе «Сетевой фильтр».

Ограничение возможности авторизацииЗапрет (разрешение) авторизации с указанного диапазона IP-адресов (предназначендля всех видов авторизации, кроме авторизации по IP).

Ограничения по времени подключенияУстановление интервалов времени, в которые авторизация разрешена (запрещена).

Меню настроек ограничений доступа пользователя в интернет представлено на рисун-ке 104.

Рисунок 104 – настройки ограничений доступа пользователя в интернет

5.2.4.4 СтатистикаСтрого говоря, этот раздел не предназначен для настройки. Его задача – предостав-

ление статистики потребления трафика по конкретной учетной записи пользователя или погруппе. Вам необходимо определить критерии, которые будут использованы для вывода ста-тистической информации.

Критерии для вывода статистических данных:

Дата отДата начала периода, за который необходимо вывести статистику.

Дата доДата конца периода, за который необходимо вывести статистику.

Page 106: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

106

ГруппировкаКритерий, по которому необходимо группировать выводимые данные.

Отдельно по пользователямРазбить данные о трафике по пользователям, которые его генерировали.

Отдельно по подсетямРазбить данные о трафике по правилам в профилях.

Src-портДиапазон сетевых портов источника трафика.

Dst-портДиапазон сетевых портов назначения трафика.

СтоимостьЭквивалент МБ трафика в усновных единицах.

ОбъемКоличество МБ трафика за указанный период.

ПротоколСетевой протокол.

НаправлениеНаправление трафика, входящий или исходящий.

Тарифный планПрофиль, определяющий стоимость МБ трафика.

ПодсетьКатегория трафика, определенная в профиле.

Меню с настройками вывода статистических данных показано на рисунке 105.

Рисунок 105 – настройки вывода статистических данных

5.2.4.5 ФинансыРаздел «Финансы» предлагает гибкий инструмент, который может быть использован

для решения двух задач. Несмотря на то, что настройки предназначены для предоставления

Page 107: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

107

доступа в интернет на платной основе, основная задача данного раздела – управление персо-нальными и групповыми квотами на потребляемый трафик.

Настройки персональных и групповых квот:

ПериодПериод, на который устанавливается квота.

Выделить на периодКоличество условных единиц трафика, выделяемых пользователю на период.

Предупреждать при остаткеКогда баланс достигнет указанного значения, отправлять пользователю уведомле-ние на почту или на Ideco Agent.

Просмотр ограничений родителяРазрешить пользователю просматривать ближайшее ограничение баланса вышесто-ящих групп.

Администратор финансовыйРазрешить пользователю изменять финансовые параметры пользователей в своейгруппе и подгруппах.

Порог отключенияКогда баланс достигнет указанного значения, пользователю будет заблокирован до-ступ к сетям, отмеченным в профиле флажком «Блокировать при превышении ли-мита».

Абонентская платаАвтоматическое списание суммы со счета пользователя за каждый период, совпада-ющий с периодом автоматического обнуления баланса.

Обнуление баланса, датаПозволяет обнулить баланс пользователя в указанный день, в дальнейшем балансбудет обнуляться с заданной периодичностью. При этом поля «Остаток», «Расход»и «Оплата» тоже обнуляются.

Отключить по датеПосле указанной даты запретить пользователю авторизацию.

5.2.5 Интеграция с Active DirectoryВ ПК «Интернет-шлюз Ideco ICS 6» реализована возможность односторонней синхро-

низации с контроллером домена на базе Microsoft Active Directory. При этом импортируютсятолько учетные записи, исключая пароли. Это означает, что при прохождении пользователемпроцедуры аутентификации, проверка будет осуществляться средствами Active Directory.

5.2.5.1 ПодготовкаВо-первых, чтобы настроить синхронизацию с контроллером домена, вам необходимо

перейти в меню «Сервер» → «Сетевые параметры». В этом разделе вам необходимо активиро-вать следующие пункты, показанные на рисунке 106.

Page 108: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

108

– Включить авторизацию через LDAP/AD;

– Включить авторизацию VPN/PPPoE через домен.

Рисунок 106 – пункты меню «Сетевые параметры», необходимые для работы с ActiveDirectory

Выполните мягкую перезагрузку ПК «Интернет-шлюз Ideco ICS 6».Теперь импортируйте пользователей из Active Directory:

1. Создайте новую группу пользователей;

2. В настройках группы установите признак «Синхронизация с LDAP/AD».

5.2.5.2 Ввод ПК «Интернет-шлюз Ideco ICS 6» в доменПосле этого появится кнопка «Настройки LDAP/AD», нажмите ее.

Рисунок 107 – Мастер ввода ПК «Интернет-шлюз Ideco ICS 6» в домен

Теперь введите ПК «Интернет-шлюз Ideco ICS 6» в домен.Параметры ввода в домен:

IP-адрес сервера ADУкажите IP-адрес, по которому доступен сервер Active Directory.

Имя доменаУкажите имя домена.

Логин администратора доменаУкажите логин администратора домена.

Пароль администратора доменаУкажите пароль от учетной записи администратора домена.

Page 109: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

109

Форма включения сервера ПК «Интернет-шлюз Ideco ICS 6» в домен Windows пред-ставлена на рисунке 108.

Рисунок 108 – Мастер ввода ПК «Интернет-шлюз Ideco ICS 6» в домен

Важная информация В логине и пароле администратора домена не должно быть спец. сим-волов и кириллицы.

После заполнения всех полей нажмите кнопку «Ввести в домен». Далее нужно прове-рить связь с контроллером домена:

Рисунок 109 – проверка связи

Если все было сделано правильно, то нажав «Далее», вы увидите окно импорта поль-зователей.

5.2.5.3 Импорт учетных записейТеперь, когда ПК «Интернет-шлюз Ideco ICS 6» введен в домен, импортируйте учетные

записи пользователей (рисунок 111).В появившемся после ввода в домен окне (рисунок 110) вам необходимо указать сле-

дующие значения (некоторые параметры будет заполняются автоматически):

IP-адрес сервера ADУкажите IP-адрес, по которому доступен сервер Active Directory.

Имя доменаУкажите имя домена.

LDAP группаLDAP группа сервера Active Directory, в которой хранятся учетные записи пользо-вателей.

Логин администратора доменаУкажите логин администратора домена.

Пароль администратора доменаУкажите пароль от учетной записи администратора домена.

Page 110: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

110

Рисунок 110 – Настройки LDAP/AD

Нажмите кнопку «Импортировать пользователей». В появившемся дереве пользова-телей Active Directory (рисунок 111) отметьте те группы и учетные записи пользователей,которые вы желаете импортировать в ПК «Интернет-шлюз Ideco ICS 6».

Рисунок 111 – Настройки LDAP/AD

Завершив выбор, нажмите кнопку «Импортировать».Примечания:

1. Если вы импортируете пользователей из стандартной группы Users, то для успеш-ного импорта надо вручную отредактировать Запрос (basedn) и вместо OU=Users

написать CN=Users.

2. По умолчанию одним запросом с контроллеров домена на базе Windows можно за-брать не более 1000 пользователей; чтобы обойти это ограничение, можно импорти-ровать пользователей частями в разные группы из разных ОU, либо воспользоватьсярекомендациями на сайте компании Microsoft:

http://support.microsoft.com/kb/315071

http://support.microsoft.com/kb/2009267

5.2.6 Проверка пользователяВозможность учетной записи авторизоваться и подключиться к серверу, а также полу-

чить доступ в сеть Интернет зависит от большого количества параметров: как от ее собствен-ных, так и от настроек родительских групп. Не удивительно, что иногда случаются ситуации,

Page 111: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

111

когда, казалось бы, при корректных настройках пользователь все же не может получить доступв сеть.

Для того, чтобы проверить правильность настройки или определить причину, по кото-рой пользователь не может подключиться или выйти в интернет, в ПК «Интернет-шлюз IdecoICS 6» реализована функция «Проверка возможности подключения и работы в интернет».Она позволяет быстро определить причину, избавляя системного администратора от рутиннойработы по проверке всех параметров вручную.

Для проверки учетной записи выберите ее и нажмите на ссылку «Проверить возмож-ность подключения». Перечень возможных действий с учетной записью представлен на рисун-ке 112.

Рисунок 112 – Возможные действия с учетной записью

В результате работы функции проверки будет выдано одно из следующих сообщений:

Пользователь отключенУчетная запись пользователя деактивирована. Вы можете включить ее в разделенастроек учетной записи.

Отключен один из родителейГруппа, которой принадлежит учетная запись пользователя, деактивирована. Выможете включить ее в разделе настроек учетной записи.

В ветке нет финансово-ответственногоПри настроенном контроле финансовых пользователей в каждой ветке должен при-сутствовать пользователь – финансовый администратор, полномочия которого рас-пространяются на все подгруппы. Используется провайдерами, ведущими работу сотчетными документами по предоставлению трафика клиентам. Ошибка возникаетпри наличии группы (ветви) без финансового администратора. Пользователь ветвив таком случае авторизованы не будут.

Параметры указаны верно, превышен лимитВсе параметры учетной записи пользователя указаны корректно. Отсутствие досту-па в интернет вызвано превышением установленного лимита трафика.

Все параметры пользователя указаны верноВсе параметры учетной записи пользователя указаны корректно. Доступен выход всеть Интернет.

Пользователь не существуетУчетная запись пользователя не существует.

Пользователь удаленУчетная запись пользователя была удалена.

Page 112: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

112

Структура пользователей нарушенаНарушены связи в древовидной структуре списка пользователей и групп в базе дан-ных. Как правило, это связано с серьезными нарушениями в структуре БД и требуетвмешательства службы технической поддержки.

Нет профиляПользователю не назначен профиль.

Профиль отключенПрофиль, назначенный на учетную запись пользователя, деактивирован.

Пул IP-адресов отключенПул IP-адресов, назначенный на учетную запись пользователя, деактивирован.

5.3 Типы авторизации

5.3.1 Авторизация по IP-адресуДанный тип авторизации предполагает, что авторизация пользователя будет осуществ-

ляться только по его IP-адресу и/или MAC-адресу.Прежде всего убедитесь в том, что в разделе «Сервер» → «Сетевые параметры» акти-

вирован пункт «Включить авторизацию по IP», показанный на рисунке 113.

Рисунок 113 – Включение авторизации по IP

Чтобы включить авторизацию по IP-адресу, перейдите в общие настройки соответству-ющей учетной записи и включите авторизацию по IP. Также необходимо назначить IP-адресустройству, с которого пользователь будет получать доступ в сеть Интернет. Это можно сде-лать вручную или воспользоваться возможностью автоматического выбора из пула адресов (вслучае, если пул адресов указан), нажав на соответствующую кнопку в web-интерфейсе. Форманазначения IP-адреса устройства представлена на рисунке 114

Рисунок 114 – Назначение IP-адреса устройства

Для включения дополнительной привязки по MAC-адресу его также необходимо ука-зать в соответствующем поле. Вы можете сделать это вручную или автоматически. Учтите,что для автоматического получения MAC-адреса сетевое устройство должно быть включено.

5.3.2 Авторизация по PPPoEАвторизация по протоколу PPPoE предполагает авторизацию по защищенному сете-

вому туннелю между сетевым устройством пользователя и сервером. Аутентификация пользо-вателя осуществляется по связке Логин/Пароль. При данном типе авторизации не требуется

Page 113: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

113

назначение IP-адреса рабочей станции, так как IP-адрес будет автоматически назначен в слу-чае успешной аутентификации и создания защищенного сетевого туннеля.

Прежде всего убедитесь, что в меню «Сервер» → «Сетевые параметры» активированпункт «Включить PPPoE сервер», представленный на рисунке 115.

Рисунок 115 – Включение авторизации по PPPoE

Теперь вы можете настроить авторизацию пользователей по протоколу PPPoE. Перей-дите в общие настройки соответствующей учетной записи и включите пункт «Авторизация поVPN PPTP, PPPoE», показанный на рисунке 116.

Рисунок 116 – Авторизация по VPN PPTP, PPPoE

Также необходимо убедиться в том, что для учетной записи указаны логин и пароль,которые пользователь будет использовать для аутентификации. Форма для логина и пароляприведена на рисунке 117.

Рисунок 117 – Настройка логина и пароля

Дополнительно необходимо указать IP-адрес. Он будет назначаться устройству, с ко-торого осуществляется аутентификация пользователя. Вы можете указать IP-адрес вручнуюили воспользоваться функцией автоматического выбора из пула адресов (в случае если выбранпул), нажав на соответствующую кнопку в web-интерфейсе. Форма для назначения IP-адресаизображена на рисунке 118.

Рисунок 118 – Назначение IP-адреса

5.3.3 Авторизация по PPTPАвторизация по протоколу PPTP предполагает авторизацию по защищенному сетевому

туннелю между сетевым устройством пользователя и сервером. Аутентификация пользователяосуществляется по связке Логин/Пароль. При данном типе авторизации не требуется назна-чение IP-адреса рабочей станции, так как IP-адрес будет автоматически назначен в случаеуспешной аутентификации и создания защищенного сетевого туннеля.

Page 114: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

114

Прежде всего убедитесь, что в меню «Сервер» → «Сетевые параметры» активированпункт «Включить PPPoE сервер», представленный на рисунке 119.

Рисунок 119 – Включение авторизации по PPTP

Теперь вы можете настроить авторизацию пользователей по протоколу PPTP. Перей-дите в общие настройки соответствующей учетной записи и включите пункт «Авторизация поVPN PPTP, PPPoE», показанный на рисунке 120.

Рисунок 120 – Авторизация по VPN PPTP, PPPoE

Также необходимо убедиться в том, что для учетной записи указаны логин и пароль,которые пользователь будет использовать для аутентификации. Форма для логина и пароляприведена на рисунке 121.

Рисунок 121 – Настройка логина и пароля

Дополнительно необходимо указать IP-адрес. Он будет назначаться устройству, с ко-торого осуществляется аутентификация пользователя. Вы можете указать IP-адрес вручнуюили воспользоваться функцией автоматического выбора из пула адресов (в случае если выбранпул), нажав на соответствующую кнопку в web-интерфейсе. Форма для назначения IP-адресаизображена на рисунке 122.

Рисунок 122 – Назначение IP-адреса

5.3.4 Авторизация через Ideco AgentДля управления доступом в интернет пользователей, у которых установлен способ

авторизации «Ideco Agent» либо «Ideco Agent + IP», используется специализированная про-грамма-агент. Доступ будет обеспечен только в то время, когда пользователь авторизован спомощью этой программы. Программа должна быть установлена на рабочей станции поль-зователя или запускаться с удаленного сервера при входе в систему, что возможно в случаеиспользования в сети домена Active Directory.

Программа-агент не влияет на другие механизмы авторизации. В случае примененияпоследних ее можно использовать для просмотра состояния баланса и приема сообщений.

Page 115: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

115

Для авторизации с помощью программы-агента необходимо загрузить программу слокального web-сайта и сохранить ее в произвольный каталог. Для скачивания программы-авторизатора Ideco Agent выберите пункт меню «Авторизация», расположенный справа от настранице авторизации при входе в систему.

Рисунок 123 – Стартовое меню

После нажатия на ссылку (рисунок 124) начнется автоматическое скачивание програм-мы:

Рисунок 124 – Ссылка на скачивание программы-авторизатора IdecoAgent

Необходимым условием успешной авторизации с помощью IdecoAgent является указа-ние в настройках сетевой карты в качестве шлюза и в качестве сервера DNS локального адресаинтернет-шлюза ПК «Интернет-шлюз Ideco ICS 6». При необходимости нужно разрешить вмежсетевом экране подключение на сетевой порт 800/TCP из внутренней сети.

После запуска программы необходимо ввести логин и пароль пользователя. Состояниеавторизации отображается иконкой в системном лотке.

Индикация статуса соединения в Ideco Агент:

Программа не активна

Идет подключение к серверу

Доступ в интернет разрешен

Сработал лимит предупреждения

Сработал лимит отключения

Произошла ошибка. Доступ в интернет запрещен.

В контекстном меню иконки программы доступны пункты:

ПодключитьОтображение диалога подключения.

ОтключитьОтключиться от сервера.

Page 116: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

116

ИнформацияОтобразить информацию о подключении к интернет – баланс, порог отключения ит.д.

Запускаться при входе в системуУстановить автоматический запуск программы при входе в Windows.

О программеВывод информации о программе авторизации.

Примечания:

1. При использовании Ideco Agent в домене AD рекомендуется расположить IdecoAgent.exeна общем сетевом ресурсе и установить в политике входа в домен запуск приложенияIdecoAgent.exe с ключом domain. Таким образом, запуск агента будет централизован,и не потребуется его установка на каждый компьютер.

2. При смене локального адреса ПК «Интернет-шлюз Ideco ICS 6» обязательно нужноповторно скачать Ideco Agent с сайта, поскольку локальный адрес сервера встраи-вается в приложение при скачивании.

3. При использовании VPN-соединения с сервером для авторизации Ideco Agent рабо-тает, но его функциональность ограничена только просмотром статистики и отобра-жением сообщений. Сам Ideco Agent VPN-соединение не устанавливает.

4. Для использования Ideco Agent при других типах авторизации для просмотра балан-са убедитесь, что в профиле, который назначен пользователю, не запрещен трафиклокальной сети при превышении баланса. Для этого в web-интерфейсе сервера пе-рейдите в раздел «Профили» → «Профили выхода в интернет» → «Профиль, ука-занный у пользователя» → «Локальная сеть» → «Редактировать» (пиктограмма«Карандаш», расположенная в пункте «Действия») → «Блокировать при превыше-нии лимита». Убедитесь, что этот пункт не отмечен (рисунок 125).

Рисунок 125 – Разрешение передачи трафика при превышении баланса

5.3.5 Авторизация через web-интерфейсДанный тип авторизации предполагает, что любой запрос неавторизованного пользо-

вателя, сделанный через web-браузер, будет перенаправляться на специальную страницу ав-торизации ПК «Интернет-шлюз Ideco ICS 6». Для этого типа авторизации в качестве шлюзапо умолчанию и DNS-сервера обязательно должен быть указан IP-адрес локального сетевогоинтерфейса ПК «Интернет-шлюз Ideco ICS 6».

Убедитесь в том, что в разделе «Сервер» → «Сетевые параметры» активированыследующие пункты: «Включить другие способы авторизации» и «Авторизация через web-интерфейс», см. рисунок 126.

Page 117: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

117

Рисунок 126 – Включение авторизации через web-интерфейс

Установите для соответствующей учетной записи пользователя тип авторизации «Че-рез web». Теперь при попытке пользователя открыть с помощью web-браузера какой-либо ре-сурс в сети Интернет запрос будет переадресован на страницу авторизации (рисунок 127).

Рисунок 127 – Авторизация

После прохождения пользователем web-авторизации доступ в сеть Интернет будетпредоставлен до тех пор, пока авторизация не будет принудительно отменена. Для этого необ-ходимо открыть в браузере web-интерфейс ПК «Интернет-шлюз Ideco ICS 6» и нажать кнопку«Отключить» (рисунок 128).

Рисунок 128 – Отключение пользователя

Важная информация Одновременная работа авторизации через веб-интерфейс и NTLM-аутентификации невозможна.

5.3.6 NTLM-авторизацияДанный тип авторизации является разновидностью авторизации через web-интерфейс.

Он разработан специально для авторизации учетных записей, которые были импортированыиз Active Directory.

Типы NTLM-авторизации:

ПринудительнаяТребует ручного ввода логина и пароля в специальном окне web-браузера.

Page 118: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

118

ПрозрачнаяЕсли пользователь операционной системы Windows ранее осуществил вход в домен,то в этом случае web-браузер попытается осуществить авторизацию автоматически сиспользованием введенных ранее реквизитов. Этот тип авторизации работает толькос web-браузером Internet Explorer. Большинство других распространенных браузеровне поддерживают технологию NTLM-авторизации, поэтому при их использованиипридется вручную ввести логин и пароль.

5.3.6.1 Принудительная NTLM-авторизацияУбедитесь в том, что в разделе «Сервер» → «Сетевые параметры» активированы сле-

дующие пункты: «Включить другие способы авторизации» и «NTLM-авторизация через ActiveDirectory» (см. рисунок 129.

Рисунок 129 – Настройка принудительной NTLM-авторизации

Теперь необходимо настроить учетную запись пользователя. Перейдите в общие на-стройки соответствующей учетной записи и включите авторизацию типа «Через Web». Те-перь, при попытке пользователя открыть с помощью web-браузера какой-либо ресурс в сетиИнтернет, появится специальное окно для ввода логина и пароля.

5.3.6.2 Прозрачная NTLM-авторизацияДля настройки прозрачной NTLM-авторизации в web-браузере Internet Explorer от-

кройте меню «Свойства обозревателя» → «Безопасность». В появившемся меню выберите зону«Интернет» и нажмите на кнопку «Другой». В появившемся окне найдите параметры «Про-верка подлинности пароля» → «Вход» и выберите «Автоматический вход в сеть с текущимименем пользователя и паролем». Настройка прозрачной NTLM-авторизации приведена нарисунке 130.

Page 119: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

119

Рисунок 130 – Настройка прозрачной NTLM-авторизации

Важная информация Одновременная работа авторизации через веб-интерфейс и NTLMневозможна.

5.4 Туннельные соединения

5.4.1 OpenVPNЭта технология построения защищенных каналов связи часто применяется в корпо-

ративных сетях для связи территориально удаленных офисов предприятия в единую инфор-мационную инфраструктуру, обеспечивая обмен информацией между объединяемыми сетями.Возможна настройка шифрованного туннеля с использованием сертификата сервера и публич-ного ключа для подключения клиентов.

ПК «Интернет-шлюз Ideco ICS 6» может подключаться по открытому ключу, загру-женному на него с другого сервера, или авторизовывать клиентов, используя открытые ключи,созданные им самим. Таким образом, возможна как выдача сервером собственных публичныхключей, так и подключение к удаленным серверам, используя сгенерированный ими публич-ный ключ. В настройке туннеля участвуют два сервера, как правило, являющиеся шлюзамив сеть Интернет из локальной сети предприятия. Инициировать создание туннеля по техно-логии OpenVPN может любая из сторон, аутентификация соединения при этом происходит насервере путем проверки предоставленного клиентом ключа с сертификатом сервера.

Перед настройкой сетевых интерфейсов нужно убедиться в том, что оба сервера имеютпубличный IP-адрес от интернет-провайдера.

Туннель может быть организован как между двумя серверами ПК «Интернет-шлюзIdeco ICS 6», так и между ПК «Интернет-шлюз Ideco ICS 6» и другим сетевым устройством,поддерживающем OpenVPN с аутентификацией по публичным ключам.

Page 120: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

120

5.4.1.1 Организация туннеля между двумя серверами ПК «Интернет-шлюзIdeco ICS 6»

Рассмотрим настройки интерфейса для сервера в центральном офисе, к которому бу-дут подключаться устройства из других офисов. Для настройки туннеля перейдите в меню«Сервер» → «Интерфейсы» и создайте новый интерфейс нажатием на кнопку «Добавить».Выберите тип интерфейса «OpenVPN» (рисунок 131).

Рисунок 131 – Выбор подключения по OpenVPN

После создания интерфейса необходимо настроить все параметры подключении поOpenVPN:

Имя интерфейсаКратко опишите назначение интерфейса в инфраструктуре вашей сети.

ВключенОтметьте для того, чтобы активировать интерфейс.

Внешний IP-адресУкажите внешний публичный адрес этого сервера.

Локальный портУкажите UDP-порт для установления OpenVPN на стороне этого сервера.

Удаленная локальная сетьУкажите адрес локальной сети удаленного сервера. В зависимости от этого адресаавтоматически пропишется маршрут.

Удаленный внешний IP-адресУкажите публичный IP-адрес удаленного сервера, с которым нужно организоватьзащищенный канал связи.

Удаленный портУкажите UDP-порт для установления OpenVPN на стороне удаленного сервера.

Удаленный туннельный IP-адресУкажите защищенный адрес удаленного сервера. По умолчанию это 10.128.0.0, за-щищенный адрес на удаленном ПК «Интернет-шлюз Ideco ICS 6» должен отличатьсяот защищенного адреса на этом сервере.

Сгенерировать ключСгенерируйте публичный ключ, если удаленные сервера должны подключаться кэтому серверу. Как правило, центральный офис предоставляет публичные ключи

Page 121: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

121

для подключения удаленных офисов к нему по этому ключу, а удаленные офисыиспользуют ключ главного сервера для подключения к серверу по этому ключу.

RSA-ключ в текстовой формеПозволяет скопировать содержимое ключа в текстовой форме и отправить его ад-министратору удаленного сервера по ICQ, почте и т.д.

Скачать ключПозволяет сохранить публичный ключ этого сервера на локальной машине для даль-нейшей передачи на удаленный сервер. В дальнейшем удаленный сервер будет под-ключаться к этому серверу по выданному ему ключу. Как правило, используетсяв центральном офисе. Выгрузите ключ для дальнейшей передачи его на сервер вудаленном филиале.

Отправить ключИспользуется для помещения публичного ключа удаленного сервера на этот сервердля дальнейшего подключения к удаленной стороне по этому ключу. Как правило,используется в филиалах. Так как мы настраиваем подключение в головном офисе,то мы не сохраняем на него сторонние ключи, предназначенные для подключенияклиентов.

Форма настройки интерфейса для сервера в центральном офисе приведена на рисун-ке 132.

Page 122: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

122

Рисунок 132 – Настройки интерфейса для сервера в центральном офисе

Сохраняем настройки интерфейса в центральном офисе, нажав кнопку «Сохранить».Настройки интерфейса OpenVPN на сервере в удаленном офисе будут отличаться тем,

что значения параметров локальной сети и параметров удаленной сети нужно будет симмет-рично поменять местами, а также поместить на удаленный сервер публичный ключ, сгене-рированный на сервере головного офиса ранее. Форма настройки интерфейса для сервера вудаленном офисе представлена на рисунке 133.

Page 123: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

123

Рисунок 133 – Настройки интерфейса для сервера в удаленном офисе

После сохранения настроек необходимо сделать мягкую перезагрузку обоих серверов,в результате туннель между ними должен установиться.

Также для корректного функционирования OpenVPN-туннеля необходимо настроитьнекоторые параметры. Для этого в web-интерфейсе перейдите в меню «Безопасность» → «До-полнительные настройки» и выполните следующие действия:

– включите маршрутизацию между локальными интерфейсами;

– отключите проверку обратного пути (RP_FILTER).

Проверить это можно по индикатору состояния OpenVPN интерфейса. Маршруты между ло-кальными сетями настраиваются автоматически если правильно заполнено поле «Удаленнаялокальная сеть» на обоих серверах.

Важная информация Если на одном конце нет внешнего публичного адреса, то подключе-ние возможно, но для его настройки надо:

– на сервере с внешним публичным адресом оставить пустым поле Удален-ный внешний IP-адрес.

Page 124: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

124

– на сервере, где нет внешнего публичного адреса, оставить пустым полеВнешний IP-адрес.

Аналогично настраивается подключение между ПК «Интернет-шлюз Ideco ICS 6» идругим устройством в глобальной сети, поддерживающим создание каналов связи по техноло-гии OpenVPN с использованием сертификата сервера и публичных ключей.

5.4.2 VPNВы можете объединить в единую сеть удаленные офисы и филиалы предприятия. Для

этого в каждом офисе должен быть установлен ПК «Интернет-шлюз Ideco ICS 6», между кото-рыми устанавливаются VPN-соединения с применением протокола PPTP. Процесс настройкивключает в себя два следующих этапа:

– Подготовка интернет-шлюза и конфигурирование локальных сетей;

– Создание VPN-туннелей и настройка маршрутизации.

Подготовка интернет-шлюза и конфигурирование локальных сетейДля объединения локальных сетей офисов вам необходимо обеспечить в них уникаль-

ность пространства IP-адресов. В каждом офисе должна быть своя уникальная сеть. В про-тивном случае, при создании VPN-туннеля вы можете столкнуться с некорректной работойподсистемы маршрутизации.

В нашем примере мы рассмотрим объединение сетей двух офисов. Настройте вашусеть и ПК «Интернет-шлюз Ideco ICS 6» в соответствии со Таблицей 1.

Таблица 1 – Пример данных для настройки сети и ПК «Интернет-шлюз Ideco ICS 6» присоздании VPN-туннеля

Офис №1 Офис №2Пространство IP-адресов

IP-адрес: 192.168.0.0 IP-адрес: 192.168.1.0

Маска сети: 255.255.255.0 Маска сети: 255.255.255.0

Локальный IP-адрес сервера ПК «Интернет-шлюз Ideco ICS 6»IP-адрес: 192.168.0.1 IP-адрес: 192.168.1.1

Маска сети: 255.255.255.0 Маска сети: 255.255.255.0

Защищенный IP-адрес сервера ПК «Интернет-шлюз Ideco ICS 6»IP-адрес: 10.128.0.0 IP-адрес: 10.129.0.0

Также для корректного функционирования VPN-соединения необходимо настроитьнекоторые параметры. Для этого в web-интерфейсе перейдите в меню «Безопасность» → «До-полнительные настройки» и выполните следующие действия:

– включите маршрутизацию между локальными интерфейсами;

– разрешите VPN-соединения из интернета;

– отключите проверку обратного пути (RP_FILTER).

Page 125: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

125

Форма настройки параметров VPN-соединения представлена на рисунке 134.

Рисунок 134 – Настройка параметров VPN-соединения

После настройки нажмите кнопку «Сохранить» и выполните мягкую перезагрузкуинтернет-шлюза.

5.4.2.1 Создание VPN-туннелей и настройка маршрутизации

5.4.2.1.1 Настройка интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6» вофисе №1

Необходимо выполнить следующие действия:

– Создать учетную запись пользователя, например office2, от имени которой серверПК «Интернет-шлюз Ideco ICS 6» в офисе №2 будет осуществлять подключение ксерверу ПК «Интернет-шлюз Ideco ICS 6» в офисе № 1.

– Разрешить созданной учетной записи удаленное подключение из интернета, а такжеубедиться в том, что ей назначен IP-адрес из адресного пространства офиса №1(например, 10.128.0.10).

– Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перей-дите в меню «Сервер» → «Сетевые параметры» → «Маршруты» и нажмите кнопку«Добавить». На экране появится форма добавления маршрута, которая приведенана рисунке 135. Укажите необходимые значения и нажмите кнопку «Сохранить».Нам необходимо добавить следующие маршруты:

192.168.1.0/255.255.255.0 10.128.0.10

10.129.0.0/255.255.0.0 10.128.0.10

Page 126: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

126

Рисунок 135 – Добавление маршрута для сервера ПК «Интернет-шлюз Ideco ICS 6» в офисе№1

5.4.2.1.2 Настройка интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6» вофисе №2

Рисунок 136 – Настройка интернет-шлюза

Необходимо выполнить следующие действия:

– Создать новый интерфейс типа PPTP. В качестве роли используйте Local, а в ка-честве внешнего IP-адреса – внешний адрес интернет-шлюза ПК «Интернет-шлюзIdeco ICS 6» в офисе №1. В качестве логина используйте имя учетной записи, кото-рая была создана на сервере в офисе №1 (в нашем примере – office2). Обязательноустановите галочку «Шифрование MPPE». на рисунке 136 представлены настройкиинтернет-шлюза.

– Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перей-дите в меню «Сервер» → «Сетевые параметры» → «Маршруты» и нажмите кнопку«Добавить». На экране появится форма добавления маршрута, которая показана нарисунке 137. Укажите необходимые значения и нажмите кнопку «Сохранить». Намнеобходимо добавить следующие маршруты:

192.168.0.0/255.255.255.0 4

10.128.0.0/255.255.0.0 4

где 4 – идентификатор созданного PPTP-интерфейса (в вашем случае он может бытьдругим).

Page 127: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

127

Рисунок 137 – Добавление маршрута для сервера ПК «Интернет-шлюз Ideco ICS 6» в офисе№2

После добавления маршрута необходимо выполнить мягкую перезагрузку сервераПК «Интернет-шлюз Ideco ICS 6».

5.5 Службы

5.5.1 Сервер DNSСервер DNS играет одну из важнейших ролей в работе сети Интернет: он преобразует

человеко-читаемые имена серверов в IP-адреса. Для предоставления пользователям доступа винтернет достаточно кэширующего DNS-сервера, который по умолчанию работает в интернет-шлюзеПК «Интернет-шлюз Ideco ICS 6». Но если у вас есть доменное имя, то вам будет уже недоста-точно точно кэширующей функции сервера имен, вам потребуется полноценный DNS-сервер.

Для корректного функционирования системы доменных имен для каждого доменногоимени необходимо иметь первичный сервер DNS (может называться Primary или Master) иодин вторичный сервер DNS (Secondary или Slave). Оба этих сервера можно заказать у вашегоинтернет-провайдера или у регистратора доменных имен. Также в качестве одного из них выможете использовать ПК «Интернет-шлюз Ideco ICS 6».

Сервер DNS, встроенный в ПК «Интернет-шлюз Ideco ICS 6» может быть как первич-ным сервером для доменного имени, так и вторичным. В первом случае он будет являтьсяпервичным источником информации о зоне DNS, описывающей ресурсные записи, относящи-еся в домену. Во втором случае он будет являться вторичным источником и, соответственно,информацию о зоне будет получать от другого, первичного сервера.

5.5.1.1 Настройка первичного DNS-сервераДля настройки DNS сервера в web-интерфейсе необходимо перейти в меню «Сервер»

→ «DNS» → «BIND». Интерфейс настройки DNS-службы «BIND» представлен на рисунке 138.

Page 128: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

128

Рисунок 138 – настройки DNS-сервера

Чтобы создать DNS-зону нажмите на кнопку «Добавить зону». В открывшемся окневведите имя новой зоны. Нажмите кнопку «Сохранить». Форма добавления новой зоны при-ведена на рисунке 139

Рисунок 139 – Добавление зоны

5.5.2 Почтовый серверВ ПК «Интернет-шлюз Ideco ICS 6» встроен полноценный почтовый сервер. При этом

мы постарались предоставить максимальную гибкость в его настройке. В данном разделе при-водится инструкция по настройке почтовой службы, а также по применению дополнительныхвозможностей, таких как web-почта, автоматический ответчик и другие.

Для удобства мы выделим несколько основных этапов настройки и разберем отдельнокаждый из них.

1. Подготовка к настройке.

2. Настройка почтового сервера.

3. Настройка почтовой программы для работы с сервером.

4. Рекомендации по защите сервера.

5. Web-почта.

6. Дополнительные возможности.

5.5.2.1 Подготовка к настройкеДля создания почтового сервера вам потребуется доменное имя. Вы можете зареги-

стрировать его либо у интернет-провайдера, предоставляющего вам услуги доступа в интер-нет, либо напрямую у регистратора, например, в RUcenter. После того, как вы зарегистрируетедоменное имя, вам потребуется внести изменения в описание зоны на DNS-сервере.

Page 129: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

129

1. Нужно добавить ресурсную запись типа MX, указывающую на внешний IP-адресинтернет-шлюза ПК «Интернет-шлюз Ideco ICS 6» (убедитесь, что на внешний ин-терфейс у вас назначен публичный адрес, доступный из сети Интернет). Запись типаMX указывает на сетевой узел, который занимается обработкой почтовых сообще-ний для домена. Она должна ссылаться на доменное имя почтового сервера, а не наIP-адрес.

2. Также обязательно добавьте запись типа PTR. Эта запись должна быть прописа-на в файле обратной зоны. Эти изменения может внести ваш интернет-провайдер.Обратитесь к нему с просьбой прописать ресурсную запись для вашего IP-адреса,которая должна ссылаться на вашу запись типа MX.

5.5.2.2 Настройка почтового сервераДля настройки почтового сервера в web-интерфейсе необходимо перейти в меню «Сер-

вер» → «Почтовый сервер». В этом разделе находятся все ключевые параметры, влияющие нафункционирование почтовой службы.

Все настраиваемые параметры разделены по нескольким категориям:

ОбщиеОсновные параметры.

БезопасностьПараметры, отвечающие за обеспечение безопасности почтового сервера, а такжепозволяющие настроить пересылку писем в службу безопасности компании.

РасширенныеРасширенные параметры, такие как автоматическая очистка корзины или общиеIMAP-папки.

АнтивирусНастройки антивируса для проверки сообщений, обрабатываемых почтовым серве-ром.

АнтиспамНастройки спам-фильтра для проверки сообщений, обрабатываемых почтовым сер-вером.

5.5.2.2.1 Общие настройкиРаздел общих настроек включает в себя следующие параметры:

Включить встроенную почту (POP3)Включает возможность работы с почтовыми ящиками сервера по протоколу POP3из локальной сети.

Разрешить доступ из интернет(POP3s)Включает возможность работы с почтовыми ящиками сервера по защищенному про-токолу POP3S (POP3 с шифрованием), подключаясь из интернета.

Page 130: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

130

Включить встроенную почту (IMAP)Включает возможность работы с почтовыми ящиками сервера по протоколу IMAPиз локальной сети.

Разрешить доступ из интернета (IMAPs)Включает возможность работы с почтовыми ящиками сервера по защищенному про-токолу IMAPS (IMAP с шифрованием), подключаясь из интернета.

Почтовый доменУказывает серверу на его почтовый домен, для которого он должен принимать иобрабатывать письма. Все ящики пользователей будут принадлежать этому домену.От имени этого домена вы будете вести переписку с корреспондентами.

Максимальный размер почтового ящикаОграничение на максимальный размер почтового ящика в байтах.

Максимальный размер письмаОграничение на максимальный размер формируемого сервером письма в байтах.

Включить web-почту на защищенном адресеВключает SSL web-интерфейс почтового клиента для доступа к почте на сервере.Задействует возможность подключения на защищенный адрес сервера для VPN кли-ентов из локальной сети.

Включить web-почту на локальном адресеВключает SSL web-интерфейс почтового клиента для доступа к почте на сервере.Задействует возможность подключения на локальный адрес сервера для клиентов,авторизованных по IP и находящихся в локальной сети.

Включить web-почту на внешнем адресеВключает SSL web-интерфейс почтового клиента для доступа к почте на сервере.Задействует возможность подключения на внешний адрес сервера для подключенияк почтовым ящикам извне.

Форма общих настроек изображена на рисунке 140.

Рисунок 140 – Общие настройки

Page 131: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

131

5.5.2.2.2 БезопасностьНастройки безопасности определяют не только защиту самого почтового сервера, но и

позволяют выполнять некоторые требования внутренней политики безопасности предприятия.Настройки безопасности:

Включить поддержку SASL для аутентификации SMTP-клиентовПодключившись к почтовому ящику из интернета, отправить письмо, используяSMTP сервер ПК «Интернет-шлюз Ideco ICS 6», можно будет только пройдя авто-ризацию по логину и паролю, заданному для этой учетной записи пользователя насервере.

Включить поддержку TLS для SMTPЗадействует возможность защищенной передачи учетных данных для аутентифика-ции почтового клиента на SMTP-сервере.

Принимать почту от клиентов только через TLSПомимо учетных данных (при авторизации) весь дальнейший почтовый трафик,поступающий от клиента также будет передаваться по защищенному соединению сшифрованием данных.

Разрешить аутентификацию только через TLSЗапрещает незащищенную передачу учетных данных клиента при аутентификациина SMTP сервере.

Включить защиту от DOS-атакЗадействует возможность автоматической блокировки агрессивных, нелегитимных иподозрительных пакетов, направленных на почтовый сервер как из локальной сети,так и извне.

Перенаправлять всю входящую почту на СБВся входящая почта будет попадать на указаный почтовый ящик службы безопасно-сти (СБ). Только после проверки письма сотрудником СБ и помещения его в папку«Отправленные» ( или OUTBOX ) письмо будет доставлено оригинальному адреса-ту.

Перенаправлять всю исходящую почту на СБВся исходящая почта будет попадать на указаный почтовый ящик службы безопас-ности. Только после проверки письма сотрудником СБ и помещения его в папку«Отправленные» ( или OUTBOX ) письмо будет доставлено оригинальному адреса-ту.

Перенаправлять всю локальную почту на СБВся переписка, которая ведется только между абонентами вашего почтового домена,будет дублироваться на указанный почтовый ящик СБ.

Белый список доменов и IP-адресовПочта, приходящая с этих хостов и сетей, не будет проверяться предварительнымспам-фильтром.

Page 132: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

132

Relay-доменыПочтовые домены, на которые разрешается пересылка корреспонденции через этотпочтовый сервер.

Доверенные сетиАвторизация на сервере для доступа к почтовому ящику не требуется при попыткедоступа из этих сетей. Указываются IP-сети и хосты в нотации CIDR или с префик-сом сети, например: 10.0.0.5/255.255.255.255 или 192.168.0.0/16.

Форма настроек безопасности представлена на рисунке 141.

Рисунок 141 – Настройки безопасности

5.5.2.2.3 Расширенные настройкиЭлектронная почта является важнейшей составляющей деловых процессов предприя-

тия. Часто случается так, что базовых настроек оказывается недостаточно, и требуется болеетонкая настройка. В этом разделе описываются дополнительные параметры, которые вы мо-жете определить в ПК «Интернет-шлюз Ideco ICS 6».

Расширенные настройки:

Разрешить неправильный HELOПонижает уровень безопасности сервера. Может потребоваться в случае необходи-мости приема почты почтовым сервером ПК «Интернет-шлюз Ideco ICS 6» от другихнеправильно настроенных почтовых серверов или серверов с устаревшими неопти-мальными настройками безопасности.

Не проверять адрес получателяЕсли не включено, письма от пользователей ПК «Интернет-шлюз Ideco ICS 6» на

Page 133: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

133

несуществующие, невалидные почтовые ящики не будут отправляться. Если включе-но, любые письма пользователей ПК «Интернет-шлюз Ideco ICS 6» будут безусловноотправляться указанным адресатам, но в случае невозможности доставки почтовыйсервер направит отправителю письма сообщение о недоставке.

Использовать файл кэша для почтыУскоряет дисковую подсистему сервера при работе с объемными почтовыми ящика-ми пользователей. Ведет к усложнению конфигурации почтовой системы. Не реко-мендуется включать без явной необходимости.

Размер почтового кэшаРазмер файла кэша на диске в байтах.

Внешний SMTP-RelayВся исходящая почта будет отправляться на указанный адрес. Используется, напри-мер, в случае, если почта должна проходить через вышестоящий сервер провайдераперед отправкой в интернет.

Удалять из корзины письма старееУдаляются письма старше указанного количества дней из IMAP папок «Удаленные»и «Спам».

IP-адрес почты для пользователейПредписывает почтовому серверу ПК «Интернет-шлюз Ideco ICS 6» принимать со-единения с IP-адреса, отличного от IP-адреса локального интерфейса. Это можетпотребоваться в том случае, если у вас настроено несколько адресов на локальноминтерфейсе. Позволяет удобно отделять почтовый трафик от остального при тари-фикации и просмотре проходящего трафика.

Копировать всю исходящую с домена почтуВся исходящая почта будет дублироваться на указанный почтовый ящик. Рекомен-дуется включать только при крайней необходимости.

Копировать всю входящую на домен почтуВся входящая почта будет дублироваться на указанный почтовый ящик. Рекомен-дуется включать только при крайней необходимости.

Копировать всю почтуВся почта будет дублироваться на указанный почтовый ящик. Рекомендуется вклю-чать только при крайней необходимости.

Дополнительные почтовые доменыСписок дополнительных доменов, почта которых будет обрабатываться почтовымсервером ПК «Интернет-шлюз Ideco ICS 6».

Загрузка почты с удаленных серверов (fetchmail)Правила сбора почты с внешних ящиков и ее перенаправления на ящики пользова-телей сервера.

Page 134: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

134

Записываются в соответствии с синтаксисом fetchmail, например: pop3.mymail.ru:pop3 user [email protected].

Интервал между проверкой почты (fetchmail)Интервал в минутах между проверкой доступности новых сообщений на внешнихящиках пользователей для сбора почты с них по правилам fetchmail, указаннымвыше.

Общие IMAP папкиУказанные папки будут созданы на сервере и доступны всем пользователям.

Включить возможность автоответаНа каждое входящее сообщение отправляется автоответ. Также необходимо активи-ровать автоответчик у конкретных пользователей во вкладке «Почта».

Форма расширенных настроек представлена на рисунке 142.

Рисунок 142 – Расширенные настройки

Зная назначение каждого параметра, мы можем приступить к непосредственной акти-вации почтового сервера и его последующему конфигурированию. Эти процессы могут бытьосуществлены в двух вариантах: ручном и автоматизированном с помощью мастера.

Page 135: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

135

5.5.2.2.4 Ручная настройкаДля активации почтового сервера выберите в меню те протоколы доступа к почте,

которые вы планируете использовать. Поддерживаются POP3 и IMAP4, а также их версии сприменением шифрования (POP3s, IMAP4s) для защиты трафика от несанкционированногодоступа. Краткое описание каждого из протоколов вы можете получить в разделе «Основныеопределения».

Важная информация Если вы планируете подключаться к почтовому серверу из сети Ин-тернет, то обязательно включите протоколы POP3s и IMAPs. В целях безопасностив ПК «Интернет-шлюз Ideco ICS 6» запрещено подключение из недоверенных сетейбез применения шифрования трафика.

Нажмите кнопку «Сохранить» и перезапустите почтовый сервер.

5.5.2.2.5 Автоматизированная настройкаЗапустите мастер настройки нажатием на соответствующую кнопку в web-интерфейсе

– «Запустить мастер настройки почтового сервера». Мастер включает в себя 7 шагов, вы-полняйте его указания. После завершения работы мастера нажмите кнопку «Сохранить» иперезапустите почтовый сервер.

5.5.2.2.6 Использование почтовых правил для защиты от спамаНа основе почтовых правил можно в почтовом сервере настроить защиту от поступле-

ний по электронной почте незапрашиваемых электронных сообщений (писем, документов), втом числе в приложениях к электронным письмам.

Для этого необходимо зайти в административный веб-интерфейс под учетной записьюадминистратора и перейти на вкладку «Сервер» → «Почтовые правила» → «Правила заданныевручную».

В соответствующих полях можно задать правила фильтрации электронных сообщений:

По отправителю фильтрация на основе информации об отправителе электронного сообще-ния;

По получателю фильтрация на основе информации об получателе электронного сообщения;

По заголовку фильтрация по основе информации в заголовках электронных сообщений;

По тексту фильтрация по содержимому электронных сообщений.

5.5.3 Сервер FTPВ ПК «Интернет-шлюз Ideco ICS 6» есть возможность настройки FTP-сервера в ло-

кальной сети и организации к нему доступа из интернета. Основная задача FTP-службы –решение сервисных задач по обслуживанию самого сервера, автоматическое копирование ре-зервных копий системы и содержимого некоторых системных каталогов для обеспечения досту-па к ним системного администратора. Существует возможность настройки анонимного доступа

Page 136: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

136

к файловому хранилищу, который не требует указания пароля, но в таком случае доступ извнеследует запретить.

Вы можете настроить службу FTP в качестве файлового сервера для пользователейпредприятия, но возможность гибкой настройки структуры каталогов сервера и прав досту-па на них в продукте отсутствует. Вам придется использовать преднастроенную структурукаталогов с ограниченными возможностями по ее изменению.

В этой статье мы рассмотрим несколько типичных ситуаций настройки службы FTP.

5.5.3.1 Настройка службы на анонимный доступ к файлам и каталогам вхранилище

При такой ситуации любой пользователь может подключиться к FTP-серверу, исполь-зуя логин «anonymous» и пустой пароль. При этом у пользователя будут полные права начтение, модифицирование и удаление информации из файлового хранилища в том случае,если файлы не были созданы неанонимным пользователем. На файлы, созданные от именинеанонимных FTP-пользователей, при анонимном доступе существует только право на чте-ние. Чтобы настроить такую схему, необходимо перейти в меню «Сервер» → «FTP-сервер» иактивировать следующие пункты:

– Включить FTP-сервер;

– Разрешить доступ к FTP из локальной сети;

– Разрешить анонимный вход;

– Разрешить запись файлов для анонимных пользователей;

– Разрешить удаление файлов для анонимных пользователей.

Форма настройки FTP-сервера на анонимный доступ к файлам и каталогам в хранилище пред-ставлена на рисунке 143.

Рисунок 143 – Настройки FTP-сервера на анонимный доступ к файлам и каталогам вхранилище

Примечание.

Пункт «Разрешить удаление файлов для анонимных пользователей» можно не вклю-чать, тогда пользователи смогут добавлять контент, но не смогут удалять файлы.

Page 137: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

137

Важная информация Важно понимать, что при настройке анонимного доступа нельзя раз-решать подключения на сервер извне, так как третьи лица могут использовать вашсервер в своих целях.

5.5.3.2 Использование учетных записей пользователей FTP-сервера дляразграничения прав доступа на файлы и каталоги файлового хранилища

Учетные записи пользователей надо создавать отдельно в локальном меню. В web-интерфейсе сервера эта возможность на данный момент не реализована. Эти учетные записиникак не связаны с базой данных пользователей сервера, их настройки хранятся отдельнов конфигурационных файлах службы FTP. В ПК «Интернет-шлюз Ideco ICS 6» права дляпользователей заданы так: каждый пользователь имеет право создавать и удалять файлы идиректории в корневом каталоге FTP-сервера. В созданных им каталогах пользователь имеетполные права на доступ к информации. При этом доступ в каталоги, созданные другими поль-зователями, у него отсутствует. Это поведение строго задано на сервере, и изменить политикупредоставления прав пользователям невозможно. Поэтому, если вы планируете использоватьслужбу FTP как файловый сервер для нужд работы сотрудников предприятия, то вам нужноисходить из этих возможностей.

При создании FTP пользователя в локальном меню вы заполняете такие параметрыкак учетные данные для доступа пользователя к файловому серверу и домашний каталог сполными правами доступа относительно корневого каталога FTP-сервера. При входе на серверпользователь будет помещен в свой домашний каталог и сможет работать только в нем. Доступк соседним каталогам пользователей у него при этом отсутствует. Пользователь будет «заперт»в своем домашнем каталоге без возможности выхода из него.

Если домашним каталогом пользователя назначить корневой каталог службы /var/ftp,то при входе на сетевой экран в хранилище пользователь будет иметь возможность просмат-ривать все каталоги хранилища, в том числе и домашние каталоги других пользователей, носоздавать и изменять файлы сможет только в предварительно созданных каталогах private иpub службы FTP, находящихся в корне файлового хранилища. Таким образом, эти пользова-тели имеют приоритет в доступе к информации на хранилище по сравнению с пользователями,чей домашний каталог указан явно относительно корневого каталога хранилища.

Указание корневого каталога службы в качестве домашнего каталога для несколькихпользователей позволяет организовать простой файловый сервер для обмена информациейв рамках предприятия. Напротив, задание определенного домашнего каталога для каждогопользователя позволит настроить более строгое разделение ресурсов хранилища.

Эта схема предоставления прав доступа к каталогам пользователей, как было отмеченовыше, не подлежит изменению.

Наравне с доступом из локальной сети можно разрешить доступ к файловому храни-лищу из сети Интернет, включив пункт «Разрешить доступ к FTP из интернет». Имейте ввиду,что анонимный доступ при этом нужно отключить.

Важная информация Важно отметить, что передача ключа по протоколу FTP осуществ-ляется в открытом виде.

Page 138: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

138

5.5.3.3 Вариант настройки службы FTP для анонимного доступа из сетиИнтернет

Это может понадобиться для предоставления возможности скачивания файлов с хра-нилища большому количеству людей, не работающих непосредственно в вашем офисе. Чтобынастроить сервер таким образом, включите возможность внешнего доступа к FTP-серверу иразрешите анонимный вход на сервер. При этом нужно обязательно отключить возможностьуправления файлами для анонимных пользователей.

Даже при таких настройках эта схема достаточно опасна и может привести к запол-нению всего доступного места на жестком диске сервера. Следите за ресурсами файловойсистемы, если решили настроить такую схему. Также в случае одновременных подключенийбольшого числа пользователей возможно проведение атак типа DDOS или непланомерное рас-ходование вычислительных ресурсов сервера, приводящие к неработоспособности службы илисильной загруженности всего сервера и его медленной работе. Как правило, такую схему на-страивают в определенных случаях и закрывают доступ всем внешним подсетям, кроме дове-ренных (дом, офис партнеров) через сетевой экран.

5.5.3.4 Доступ к серверуПосле настройки службы FTP на сервере вы можете обратиться к файловому храни-

лищу с помощью браузера или любого FTP-клиента. Поддерживаются как пассивный, так иактивный режим соединения клиента с сервером. Возможность сервера принимать подключе-ния только в классическом активном режиме включается в настройках службы. Как правило,этого делать не нужно, так как все современные FTP-клиенты ориентированы на пассивныйрежим подключения к FTP-серверу. Активный режим сегодня используется, по большей части,для совместимости с некоторыми старыми FTP-клиентами или в случае, когда необходимо за-претить подключение по случайным портам, используемым при активном режиме соединения,и ограничиться портами 20 и 21, например, для более тонкого контроля доступа и фильтрацииFTP трафика.

Введите в адресной строке браузера: ftp://192.168.0.1, где 192.168.0.1 – это ло-кальный адрес сервера. Для доступа извне следует указывать внешний адрес сервера или имядомена, если оно зарегистрировано. Обращение к файловому хранилищу с помощью браузерапоказано на рисунке 144.

Рисунок 144 – Обращение к файловому хранилищу с помощью браузера

Page 139: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

139

5.5.4 Сервер DHCPДля удобства настройки и администрирования сетевых устройств в локальной сети вы

можете использовать DHCP-сервер, встроенный в ПК «Интернет-шлюз Ideco ICS 6». DHCP-сервер используется для автоматического назначения IP-адресов сетевым устройствам в ло-кальной сети. Интерфейс позволяет настроить диапазон IP-адресов для автоматического на-значения устройствам локальной сети, а также сформировать статические привязки IP-адресовк MAC-адресам этих устройств. Сетевые устройства в локальной сети должны быть настроенына автоматическое получение сетевых реквизитов от DHCP-сервера. В таком случае клиентыпосылают широковещательный запрос в сегмент локальной сети, а сервер перехватывает иотправляет на эти запросы ответы, содержащие настройки для клиента.

Интерфейс настройки службы находится в разделе «Сервер» → «DHCP-сервер» ад-министративного web-интерфейса.

5.5.4.1 Настройка сервераКак правило, сервер ПК «Интернет-шлюз Ideco ICS 6» является шлюзом и DNS-

сервером для всех сетевых устройств локальной сети, поэтому в большинстве случаев настрой-ка службы ограничивается определением диапазона IP-адресов. При необходимости можетбыть задан IP-адрес альтернативного шлюза, DNS-сервера и WINS-сервера в локальной сетидля клиентов, которые получают настройки сетевого соединения по протоколу DHCP. Интер-фейс настройки службы также позволяет указывать произвольные маршруты, которые будутприменены на сетевых устройствах в локальной сети в момент получения сетевых настроек поDHCP.

Параметры настройки DHCP-сервера:

Включить DHCPВключение этой опции позволяет автоматически раздавать IP-адреса устройствам,находящимся в одном Ethernet-сегменте с сервером. Если у Вас несколько локальныхинтерфейсов, то DHCP-сервер будет отвечать на запросы только на интерфейсе сномером 1.

Диапазон адресовДиапазон IP-адресов, выдаваемых компьютерам сети. Диапазон должен обязатель-но умещаться в сеть, указанную на локальном интерфейсе. Например, если локаль-ный интерфейс «192.168.0.1/255.255.255.0», то диапазон может быть «192.168.0.2-192.168.0.254». Если DHCP должен работать на дополнительном локальноминтерфейсе, то номер этого интерфейса указывается через вертикальную черту:«3|192.168.1.2-192.168.1.254».

DNS для DHCP-клиентовУкажите адреса DNS-серверов, которые должны быть выданы при автоматическойнастройке компьютеров по протоколу DHCP (если в качестве DNS-сервера будет ис-пользоваться ПК «Интернет-шлюз Ideco ICS 6», то поле заполнять не обязательно).

Фиксированные привязки IP к MAC адресуУкажите привязки IP и MAC-адресов. Этим можно обеспечить гарантию того, что

Page 140: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

140

выбранному компьютеру будет назначен постоянный адрес.

Маршруты для DHCP-клиентовУкажите список маршрутов, которые должны быть установлены на компьютерахпользователей. Из-за ограничений протокола маршруты могут быть только для ад-ресов с маской 32 (указывать маску в конфигурации не нужно).

Шлюз для DHCP клиентовУкажите шлюз по умолчанию для DHCP-клиентов. По умолчанию в качестве шлюзаиспользуется ПК «Интернет-шлюз Ideco ICS 6». Если вы хотите назначить свойшлюз для интернета, необходимо указать в данном поле адрес этого устройства.

WINS для DHCP клиентовЕсли в вашей сети используется сервер WINS или контроллер домена, то укажитеего IP-адрес в этом поле.

Пример базовой конфигурации службы показан на рисунке 145.

Рисунок 145 – Базовые настройки DHCP-сервера

Если вы настраиваете DHCP-сервер на ПК «Интернет-шлюз Ideco ICS 6», то диапа-зон раздаваемых IP-адресов должен быть из одной сети с IP-адресом локального интерфейсасервера.

Важная информация На локальном интерфейсе сервера ПК «Интернет-шлюз Ideco ICS 6»должен быть назначен статический IP-адрес, а не динамический, полученный попротоколу DHCP.

На основе вышесказанного рассмотрим вариант более подробной настройки службы суказанием маршрута и адреса сервера WINS, в качестве которого может выступать контроллер

Page 141: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

141

домена Active Directory. Например, возможно такое построение сети, когда в маршруте указано,что сетевой узел 172.16.0.1 находится за контроллером домена 192.168.0.2, который, в своюочередь, является WINS-сервером. Пример расширенной конфигурации службы показан нарисунке 146.

Рисунок 146 – Расширенные настройки DHCP-сервера

После настройки DHCP-сервера не забудьте сохранить настройки и запустить службу.Сервер начнет отвечать на запросы устройств в локальной сети о получении сетевых реквизи-тов. После чего можно приступить к настройке клиентских устройств.

5.5.4.2 Советы по настройке клиентовНастройки конкретного устройства зависят от предлагаемого операционной системой

интерфейса и возможностей. Как было упомянуто, не все устройства поддерживают работу попротоколу DHCP, а некоторые из них предоставляют MAC-адрес с разделенными с помощьюдефиса октетами. В настройках сервера и в большинстве других устройствах октеты MAC-адреса разделяются двоеточиями. Поэтому будьте внимательны при согласовании настроекклиентских устройств и DHCP-сервера на ПК «Интернет-шлюз Ideco ICS 6».

Перед использованием службы определитесь с адресацией в локальной сети и типомавторизации пользователей перед использованием службы. DHCP-сервер лучше использоватьдля пользователей с типом авторизацией по PPTP или PPPoE. Это можно объяснить следу-ющим образом: независимо от того, какой бы IP-адрес не получило устройство, авторизация

Page 142: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

142

осуществляется по логину и паролю. В создаваемом VPN-туннеле используются свои адре-са, не зависящие от логина пользователя. IP-адрес сетевой карты не играет никакой роли приподключении к интернету. Для авторизации с помощью Ideco Agent и WEB ситуация аналогич-ная: IP-адрес сетевого устройства не влияет на ход авторизации. Для таких типов авторизацииудобно использовать DHCP-сервер для автоматического назначения адресов.

5.5.4.3 Особый случайЕсли вы используете авторизацию по IP или IP + MAC, то при постоянной смене

IP-адресов на устройствах пользователей по причине их случайного распределения службойDHCP одни и те же компьютеры будут время от времени авторизовываться под разными ак-каунтами. Для таких типов авторизации IP-адрес является идентификатором учетной записив базе данных пользователей сервера.

Таким образом, может возникнуть такая ситуация, когда клиенты не смогут авторизо-ваться на сервере. Это может произойти вследствие быстрой смены клиентов в локальной сети.Служба запоминает IP и MAC-адреса всех устройств на некоторое время, тем самым уменьшаядиапазон доступных IP-адресов при возрастающем количестве новых устройств. Если вы хоти-те использовать DHCP при таком типе авторизации, вам необходимо настроить схему работыслужбы DHCP, при которой она будет выдавать только определенные IP-адреса конкретнымустройствам в локальной сети. Для этого выполните следующие действия:

– В настройках службы DHCP укажите диапазон IP-адресов с одинаковым начальными конечным адресом;

– В настройках службы DHCP установите соответствие IP-адресов MAC-адресам, пе-речислив все известные устройства в локальной сети или все возможные IP-адресав диапазоне сети, которой принадлежит локальный адрес сервера;

– В web-интерфейсе в настройках каждой учетной записи пользователя сделайте при-вязку IP-адреса к MAC-адресу его устройства.

на рисунке 147 приведен пример настройки службы DHCP для назначения IP-адресаисключительно по MAC-адресу запрашивающего сетевые реквизиты устройства. Устройствам,чей MAC-адрес не указан в перечне, IP-адрес назначен не будет.

Page 143: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

143

Рисунок 147 – Настройки работы службы DHCP для выдачи IP-адреса по MAC-адресу

5.5.5 Сетевой фильтр

5.5.5.1 Принцип работыОдним из основных средств управления трафиком на сервере является сетевой фильтр

(брандмауэр). С его помощью можно по различным критериям ограничивать трафик пользова-телей, проходящий через сервер из локальной сети во внешние, а также исходящий и входящийтрафик на сам сервер.

Принцип работы фаерволла заключается в анализе заголовков пакетов, проходящихчерез сервер. Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP.Поэтому фаерволл хорошо подходит для определения глобальных правил управления трафи-ком по сетевым протоколам, портам, принадлежности к определенным IP-сетям и другим кри-териям, основанным на значениях полей в заголовках сетевых пакетов.

Сетевой экран не предназначен для решения задач, связанных с контролем доступа кресурсам сети Интернет исходя из адреса URL, доменного имени или ключевых слов, встреча-ющихся на страницах ресурса. Эти задачи более высокого уровня, как правило, касающиесяweb-трафика, нужно решать с помощью модуля контентной фильтрации в компоненте прокси-сервера.

Для обеспечения высокой эффективности процесса управления трафиком фаерволлразделен на два глобальных контейнера правил:

– Системный сетевой фильтр – содержит список глобальных правил, применяемых ковсей сетевой подсистеме шлюза. Весь трафик, проходящий через шлюз, проверяетсяна соответствие этим правилам. Таким образом, правила, созданные в системномбрандмауэре, распространяются как на служебный трафик шлюза, так и на трафик,генерируемый самими клиентами сети.

– Пользовательский сетевой фильтр – содержит правила, касающиеся только трафика

Page 144: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

144

клиентских устройств в сети и не влияющие на глобальные правила фаерволла.Эти правила действуют только в том случае, если они зафиксированы во вкладке«Ограничения» в настройках конкретного пользователя или группы пользователей.

Стоит отметить, что правила пользовательского фаерволла приоритетнее правил си-стемного. Предположим, что у вас в системном фильтре запрещена работа с ICQ (TCP порты5190 и 4000). Вместе с тем в пользовательском брандмауэре существует правило, разрешающеесоединения с использованием этих портов. Таким образом, ICQ будет работать у пользователя,которому назначено это правило.

Сам процесс создания правил и групп правил для обоих брандмауэров одинаков. Всеправила объединяются в группы. Обработка сетевых пакетов с помощью правил также ра-ботает одинаково: сверху вниз от первого правила в первой группе к последнему правилу впоследней группе. Настройка обоих брандмауэров доступна в разделе web-интерфейса «Без-опасность».

5.5.5.2 Создание правил и групп правил

5.5.5.2.1 Создание группы правилДля добавления группы правил необходимо выполнить следующие действия:

1. Нажмите на кнопку «Создать группу» в конце списка существующих групп правил.Форма создания группы правил представлена на рисунке 148.

2. Введите «Название группы правил» и описание, если требуется.

3. Нажмите «Сохранить».

Рисунок 148 – Создание группы правил

После того, как группа создана, в нее можно добавлять правила сетевого фильтра.

5.5.5.3 Создание правила сетевого фильтраДля того, чтобы создать правила в группе, выделите ее и нажмите на кнопку «Доба-

вить правило» на панели инструментов. Далее необходимо ввести критерии правила фаервол-ла:

SRC, maskсеть источника

Page 145: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

145

IP-адрес и маска сети источникаSRC Port

порт источникаПорт источника. Имеет смысл только для TCP и UDP.

DST, mask, сеть назначенияIP-адрес и маска сети назначения.

DST Port, порт назначения Порт назначения. Имеет смысл только для TCP и UDP.

ПротоколПротокол передачи данных.

ПутьНаправление прохождения трафика. Различают входящий, исходящий, транзитный.Весь пользовательский трафик является транзитным.

ДействиеДействие, выполняемое над трафиком после срабатывания правила.

5.5.5.4 Протоколфаерволл определяет популярные сетевые протоколы путем чтения данных из заголов-

ков пакета. Также он может автоматически устанавливать принадлежность трафика к неко-торым менее распространенным протоколам с помощью технологии Layer7.

Layer7 – технология, применяемая для определения типа трафика, не привязанногок портам, например peer-to-peer (p2p). Такой трафик невозможно запретить стандартнымисредствами фаерволла, потому что могут отличаться как порты, так и сами протоколы транс-портного уровня.

Если в перечне протоколов подмножество Layer7 отсутствует, то вам необходимо под-ключить эту технологию. Для этого в web-интерфейсе перейдите в меню «Безопасность» →«Дополнительные настройки» и активируйте пункт «Включить поддержку Layer7».

При выборе протоколов TCP и UDP появляется возможность указания портов дляисточника и назначения. Порты можно выбрать либо из списка, либо ввести вручную. До-пускается ввод нескольких портов через запятую. В этом случае порты будут проверяться попринципу «ИЛИ». Для указания любого порта оставьте 0. Список закрепленных за номерамипортов можно увидеть, нажав на кнопку «+», расположенную справа от списка портов.

Сетевые протоколы:

ICMPВ основном ICMP используется для передачи сообщений об ошибках и других ис-ключительных ситуациях, возникших при передаче данных. Также на ICMP возла-гаются некоторые сервисные функции.

TCPВыполняет функции протокола транспортного уровня модели OSI.

Page 146: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

146

UDPЯвляется одним из самых простых протоколов транспортного уровня модели OSI.Его IP-идентификатор – 0x11. В отличие от TCP, UDP не гарантирует доставку паке-та, поэтому аббревиатуру иногда расшифровывают как Unreliable Datagram Protocol(протокол ненадежных датаграмм). Это позволяет ему гораздо быстрее и эффектив-нее доставлять данные для приложений, которым требуется большая пропускнаяспособность линий связи, либо требуется малое время доставки данных.

GREОсновное назначение протокола – инкапсуляция пакетов сетевого уровня сетевоймодели OSI в IP-пакеты. Номер протокола в IP – 47. В основном используется присоздании VPN (Virtual Private Network).

Layer 7: netsupportСлужебные протоколы. В данный набор входят: DNS, SSH, NTP.

Layer 7: messеngerСлужбы мгновенных сообщений. В данный набор входят следующие службы: AIM(ICQ), Jabber, IRC, MSN, Yahoo Messenger.

Layer 7: consumerНаиболее используемые протоколы – HTTP, IMAP, POP3, SMTP и их шифрованныеаналоги.

Layer 7: gamesСетевые игры – Armagetron, Battlefield1942, Battlefield2142 Counter-Strike Source,Day Of Defeat Source, Doom 3, Guildwars, Liveforspeed, Mohaa, Quake, Half-Life, Quake1, Runesofmagic, Subspace, Teamfortress 2, World Of Warcraft, Half-Life 2, Deathmatch.

Layer 7: realtimeТрафик реального времени. В этот набор входят: RTP, RTSP (потоковое аудио ивидео), SIP (IP-телефония), h323 (IP-телефония), STUN (IP-телефония).

Layer 7: sslSSL соединения.

Layer 7: p2ppeer-to-peer сети – AppleJuice, Gnutella, Edonkey, Bittorrent, Ares, Directconnect,Gnucleuslan, Fasttrack, Hotline, Imesh, Mute, Openft, Poco, Soribada, Soulseek, Tesla,Thecircle, а также любой большой трафик не распознанного.

Layer 7: tunnelТуннельные соединения – SOCKS, VPN, OpenVPN.

5.5.5.5 ПутьКритерий позволяет определить, какое направление прохождения трафиком будет про-

веряться. Для этого необходимо выбрать из списка «Путь» одно из следующих значений:

Page 147: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

147

FORWARD – Пакеты, проходящие через сервер. Это основной трафик пользовате-лей;

INPUT – Входящие пакеты, предназначенные для самого сервера;

OUTPUT – Пакеты, исходящие от самого сервера.

Если вы хотите ограничить доступ к серверу, например, для блокировки серверов «спа-меров», используйте пути INPUT и OUTPUT. Для ограничения доступа пользователя илинескольких пользователей к сайту, используйте путь FORWARD.

Для более удобного ограничения нескольких пользователей одним правилом, назначьтеэтим пользователям IP-адрес из отдельного пула. Тогда в качестве IP-адресов источника илиназначения можно будет указать подсеть, соответствующую этому пулу.

5.5.5.6 ДействиеПеречень значений параметра «Действие»:

ЗапретитьЗапрещает трафик. При этом ICMP-уведомлений осуществляться не будет.

РазрешитьРазрешает трафик.

ШейперОграничивает скорость трафика. С помощью этого правила можно ограничить ско-рость трафика пользователей, серверов или протоколов. При выборе этого действияпоявится параметр «Макс. скорость». Скорость указывается в Кбит/сек. Напри-мер, максимальной скорости в 10 Кбайт/сек соответствует скорость примерно 80Кбит/сек.

QOSНазначает приоритет трафика. Всего есть 8 приоритетов, которые можно назначитьтрафику, отобранному по критериям, указанным в общих правилах фаерволла. Привыборе этого действия появится поле для ввода приоритета. В первую очередь будетобрабатываться (передаваться) трафик с приоритетом 1, а в последнюю очередь –трафик с приоритетом 8.

Portmapper (DNAT)Транслирует адреса назначения, тем самым позволяет перенаправить входящий тра-фик. При выборе этого действия, появятся поля: «Переадресовать на адрес» и«Порт». Здесь необходимо указать адрес и, опционально, порт назначения на це-левом устройстве. Порт имеет смысл указывать, если правило описывает протоколподключения TCP или UDP. С помощью этой возможности можно прозрачно пере-адресовать входящий трафик на другой адрес или порт. Для примера представим,что перед вами стоит задача предоставить доступ из сети Интернет к службе удален-ного рабочего стола и web-серверу, которые находятся в локальной сети предприятияи не имеют публичного IP-адреса. Публичный IP-адрес, по которому возможно осу-ществить подключение, назначен на внешний интерфейс ПК «Интернет-шлюз Ideco

Page 148: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

148

ICS 6». Таким образом, для решения это задачи вам потребуется настроить сетевойфильтр так, чтобы он обеспечивал прозрачное перенаправление входящего трафикав локальную сеть к соответствующим службам. То же самое потребуется сделатьв том случае, если вам потребуется перенаправить все HTTP-запросы, идущие излокальной сети к внешним IP-адресам, на внутренний web-сервер.

SNATТранслирует адреса источника. Аналогично действию «NAT» в профиле (переопре-деляет NAT в профиле).

Разрешить и выйти из FirewallРазрешает прохождение трафика и прекращает дальнейшую проверку. Таким об-разом, те правила, которые находятся после правила с данным действием не будутприменены.

Запретить и разорвать подключениеЗапрещает соединение, не устанавливать TCP-сессию.

ЛогироватьВсе пакеты, попадающее под данное правило, будут записываться в /var/log/kern.log.

Не SNATОтменяет действие «SNAT» (либо в firewall выше по списку, либо в профиле) длятрафика, удовлетворяющего критериям правила.

Не DNATОтменяет действие «DNAT» (либо в firewall выше по списку, либо в профиле) длятрафика, удовлетворяющего критериям правила.

Разрешить без авторизацииРазрешает доступ к ресурсу без авторизации на сервере.

MASQUERADEАналогично действию «SNAT». Применяется, когда адрес у интерфейса, на кото-рый делается переадресация, динамический. Необходимо указать имя интерфейса всоответствующей графе.

Правила с действиями «QOS» и «Шейпер» будут работать только в случае, если вконсоли включен параметр «Включить QOS и Шейпер» в разделе административного web-интерфейса «Сервер» → «Сетевые параметры» → «QOS и Шейпер».

5.5.5.7 Примеры правил и техникРазрешить клиентам только нужные интернет-сервисы. Остальной трафик запретить.Технология используется для разрешения только заранее известных интернет-прото-

колов, которыми пользуются клиенты сети, и запрета всего остального трафика. Она обес-печивает дополнительную защиту вашей локальной сети от нежелательного трафика и угрозизвне. Также это одна из наиболее действенных технологий в борьбе с торрентами и другимраспределенным трафиком пиринговых файлобменных сетей. Принцип действия техники за-ключается в создании группы правил, разрешающих подключение только на порты нужных

Page 149: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

149

для работы пользователей сервисов в сети Интернет. Самым последним создается правило,запрещающее весь трафик. В итоге, если трафик не удовлетворяет ни одному из предыдущихразрешающих правил, то пакеты этого трафика не допускаются к прохождению через шлюз.Пример перечня правил представлен на рисунке 149.

Рисунок 149 – Перечень правил фаерволла

Где «192.168.1.0/255.255.255.0» – локальная сеть пользователей за шлюзом.

Важная информация Для корректной работы с сетью Интернет необходим сервис DNS (53UDP порт) и протокол ICMP. Их нужно обязательно разрешить.

на рисунке 149 показаны отдельные правила для отдельных протоколов сети Интернет.Это может быть удобно для легкого включения/выключения правил. Но вы можете перечис-лить больше портов в одном правиле. Имейте ввиду, что максимальное количество портов,которое фаерволл распознает в пределах одного правила равняется 15.

Важная информация Эта техника не гарантирует однозначной блокировки торрентов ипрочих файлообменных сетей, так как зачастую эти сети работают через портыизвестных служб (80 HTTP) в зашифрованном виде.

5.5.6 Сервер Web

5.5.6.1 Настройка сервераДля того чтобы разместить сайт на шлюзе, который будет доступен на внешнем ин-

терфейсе ПК «Интернет-шлюз Ideco ICS 6» прежде всего нужно убедиться что на внешнеминтерфейсе шлюза настроен статический публичный IP-адрес. Так же доменное имя для сайтадолжно быть ассоциировано с этим IP-адресом у регистратора. В противном случае размеще-ние сайта на шлюзе не имеет смысла так как на него нельзя будет попасть извне. Если этиусловия соблюдены, то можно приступить к настройкам веб-сервера.

Первым делом нужно задействовать внешний веб-сервер. Для этого перейдите в раздел«Сервер» → «Web-сервер» административного веб-интерфейса и включите пункт «Включитьвстроенный веб-сервер». Есть возможность отключать исполнение скриптов в случае размеще-ния статичных html-сайтов и задействовать MySQL-сервер.

Page 150: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

150

Рисунок 150 – Веб-сервер

Теперь надо подготовить сервер к размещению файлов сайта. По умолчанию записьфайлов на сервер запрещена. Чтобы включить возможность записи файлов, перейдите в раздел«Безопасность» → «Дополнительные настройки» и включите пункт «Разрешить управлениефайлами по SSH». После чего сохраните настройки и сделайте полную перезагрузку сервера.

5.5.6.2 Размещение сайта на веб-сервере шлюзаТеперь все готово для размещения сайта на файловой системе шлюза. Копирование

файлов возможно только по протоколу SCP, который является частью протокола SSH. Дляработы с сервером по SCP с Windows скачайте программу WINSCP с официального сайтав Интернете. Установив программу на ваш компьютер вы можете подключиться к серверу,используя логин sysadm и текущий пароль от локального меню (по умолчанию servicemode)(рисунок 151).

Рисунок 151

Программа имеет типичный двухпанельный интерфейс для работы с файлами. Когдаподключение будет установлено, перейдите в каталог WWW на сервере и поместите файлысайта с вашего компьютера на него. Не забудьте проследить за сохранением оригинальных

Page 151: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

151

прав доступа к файлам. Например, файлы исполняемых сценариев должны иметь права навыполнение после их помещения на сервер.

Рисунок 152

Если вы все сделали верно, то теперь размещенный на веб-сервере сайт доступен подоменному имени или по IP-адресу на внешнем интерфейсе шлюза и вы можете приступить кработе с ним.

5.5.7 Контент-фильтрКонтентная фильтрация на нашем сервере реализована на основе данных о веб-трафи-

ке, получаемых от модуля проксирования веб-трафика (прокси-сервера) пользователей. Такимобразом контент-фильтр позволяет эффективно блокировать доступ к различным интернет-ресурсам по веб. Контент-фильтры в ПК «Интернет-шлюз Ideco ICS 6» не занимаются бло-кированием ICQ, mail или torrent трафика и работают только с веб-трафиком от публичныхресурсов в сети Интернет к ПК пользователей в вашей сети. Сам механизм контентной филь-трации заключается в проверке принадлежности адреса запрашиваемого пользователем сайтаили отдельной страницы сайта на наличие его в списках запрещенных ресурсов. Списки в своюочередь поделены на категории для удобства администрирования и категоризации огромногоколичества ресурсов в сети Интернет.

Таким образом вся мощь контент-фильтра ПК «Интернет-шлюз Ideco ICS 6» заклю-чается в полноте списков и гибкости политик, применяемых к пользователям.

5.5.7.1 Глобальная настройка прокси сервера и контент-фильтраПоскольку контент-фильтр работает с веб-трафиком, заостряем ваше внимание на том,

что модуль прокси сервер обязательно должен быть включен. Перейдите, пожалуйста, в раздел«Сервер» → «Прокси-сервер» и убедитесь, что это так. По умолчанию этот модуль включенсразу после установки ПК «Интернет-шлюз Ideco ICS 6». Так же, для того чтобы веб-трафикпользователей заворачивался на прокси-сервер мы должны включить прозрачное кэширова-ние. Скриншот настроек прокси сервера приведен на рисунке 153.

Page 152: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

152

Рисунок 153 – прокси сервер

Итак, рассмотрим подробнее устройство и настройку контент-фильтра. Перейдите враздел административного веб-интерфейса «Сервер» → «Контент-фильтр» → «Параметры» ивключите контент-фильтр кнопками «Включить стандартный тип категорий» либо «Включитьрасширенный тип категорий (Ideco Cloud WebFilter)».

Cтандартные категории содержатся в дистрибутиве и не требуют дополнительнойактивации;

Расширенные категории требуют дополнительной лицензии или специальной акти-вации демо-периода.

Рисунок 154 – расширенный тип категорий контент-фильтра

Перейдем на вкладку Категории и более подробно рассмотрим виды категории контент-фильтра ПК «Интернет-шлюз Ideco ICS 6», они бывают трех видов: собственные, стандартныеи расширенные.

Собственные категории сайтов вы создаете самостоятельно перечислением доменов илиURL сайтов и отдельных страниц в сети Интернет. Все списки Собственных категорий можнопросматривать, дополнять и вносить изменения в любой момент времени.

Page 153: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

153

Рисунок 155 – категории контент-фильтра

Стандартные категории работают точно так же как и в предыдущих версиях ПК «Ин-тернет-шлюз Ideco ICS 6». Это неизменяемые, категоризированные списки Интернет-ресурсов,хранящиеся прямо на вашем сервере и ежедневно обновляемые с наших серверов. Вы не можетепосмотреть содержимое этих списков, дополнить или изменить их. Эти списки присутствуютна сервере с момента установки ПК «Интернет-шлюз Ideco ICS 6» и доступны к назначениюпользователям.

Рисунок 156 – стандартные категории контент-фильтра

Расширенные категории – это более полные, актуальные, качественно-отобранные идетально-категоризированные списки интернет-ресурсов, хранящиеся на специальных серверахс моментальным откликом. Эти списки обновляются постоянно. В стандартной поставке ПК«Интернет-шлюз Ideco ICS 6» эти списки не доступны к использованию и требуют отдельнойактивации: есть бесплатный демо-режим, ограниченный по времени и коммерческая лицензия.

Page 154: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

154

Рисунок 157 – расширенные категории контент-фильтра

На следущем разделе «Исключения» администратору предоставляется возможностьсоздавать свои Белые и Черные списки сайтов. Обратите внимание, что контент-фильтр ра-ботает с любыми URL веб-адресов, поэтому Белые и Черные списки, как и «Категории», ра-ботают и с доменами ресурсов и с адресами конкретных страниц на сайтах. Белые и Черныесписки применяются глобально для всех пользователей сразу и призваны помочь скорректи-ровать поведение контент-фильтра относительно отдельных ресурсов и страниц в сети. Также «Исключения» удобны для быстрого разрешения или запрета ресурсов глобально для всейлокальной сети, обслуживаемой ПК «Интернет-шлюз Ideco ICS 6» независимо от настроекфильтрации в системе.

Рисунок 158 – исключения контент-фильтра

При использовании расширенных категорий очень объединять их в специальные груп-пы, сделать это можно в разделе «Группы категорий»:

Page 155: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

155

Рисунок 159 – группы категорий контент-фильтра

5.5.7.2 Применение категорий на пользователейДля того чтобы доступ пользователя к ресурсам сети интернет контролировался по

настроенным категориям, нужно применить эти категории пользователю или группе пользо-вателей. Без настройки фильтрации на группе или пользователе, доступ разрешен на любыересурсы сети Интернет. Поэтому перейдем к рассмотрению настройки правил фильтрации веб-содержимого глобальной сети для пользователей.

В настройках учетной записи пользователя на вкладке Контент-фильтр прежде все-го выберем политику работы контент-фильтра для этого пользователя или его родительскойгруппы:

Рисунок 160 – настройка контент-фильтра для пользователя

– Разрешить, остальное запретить – ресурсы из примененных к пользователю илигруппе Категорий будут разрешены к доступу, все остальные ресурсы, не указанныев этих категориях будут запрещены к доступу

– Запретить, остальное разрешить – запрещает доступ к ресурсам, перечисленным впримененных категориях, все остальные ресурсы разрешены для этого пользователяили группы

Определив политику фильтрации веб-содержимого глобальной сети, назначьте поль-зователю категории сайтов из числа настроенных ранее Собственных, Стандартных или Рас-ширенных категорий Контент-фильтра. В соответствии с политикой, примененной к пользова-телю, только ресурсы из этих списков или, наоборот, весь веб-контент глобальной сети, кромересурсов из этих списков, будут доступны.

Page 156: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

156

Примечание.

Стандартные и расширенные категории одновременно использоваться не могут.

Если необходимо использовать группы категорий, то поставьте галочку «Использоватьгруппу категорий» и выберите группу. В этом случае выбранные ранее отдельные категорииработать не будут.

Важная информация

– если правила фильтрации применены на группу пользователей, то они ав-томатически наследуются на всех пользователей внутри группы, если жемы хотим на конкретном пользователе хотим их переопределить, то до-статочно в его настройках выбрать нужные категории и группу категорийи они заменят собой наследованные правила фильтрации.

– если же на вышестоящей группе в настройках контент-фильтра стоит га-лочка Использовать эти параметры для всех групп и пользователей в дан-ной группе, то переопределить наследованные категории на конкретномпользователе невозможно.

В настройках каждого пользователя, в отличии от группы, есть очень удобный и быст-рый инструмент проверки сайта или страницы ресурса на возможность доступа для данногопользователя в соответствии со всеми примененными к нему настройками фильтрации. Есливы не уверены в принадлежности ресурса к назначенным на пользователя категориям, то вполе Проверить от имени пользователя вы можете моментально это проверить.

Рисунок 161 – проверка сайта на возможность доступа

5.5.7.3 Настройка контент-фильтра для образовательного учрежденияРассмотрим особый пример настройки системы фильтрации трафика для образова-

тельных учреждений. В нашем примере требуется запретить доступ учащихся к любым ре-сурсам в сети Интернет кроме заранее определенных контролирующими органами. При этомперсонал учреждения не должны иметь каких либо ограничений.

Page 157: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

157

Эта задача реализуется минимальными возможностями контент-фильтра путем созда-ния собственных списков разрешенных сайтов, поэтому переходим в раздел административ-ного интерфейса «Сервер» → «Контент-фильтр» → «Категории» → «Собственные». Именнов создании собсвенных категорий разрешенных к посещению ресурсов сети Интернет состо-ит реализация поставленной задачи. В добавок к стандартной, уже присутствующей в нашемпродукте категории «Школа», создадим свою категорию, куда внесем рекомендованные кон-тролирующими органами ресурсы сети Интернет. Если имеется несколько таких списков, томожно создать несколько собственных категорий. В то же время, если содержимое предопре-деленной категории «Школа» не соответствует вашим задачам, вы можете просто отключитьили удалить эту категорию.

Примечание.

В данном примере достаточно будет активировать контент-фильтр со стандартнымсписком категорий.

Перейдем к настройке пользователей. В нашем случае, исходя из разных политик до-ступа для разных клиентов локальной сети учреждения, разделим их условно на две группы:«Учащиеся» и «Персонал» и создадим для них группы с соответствующими названиями. На-полним эти группы учетными записями пользователей и настроим их. Когда настройка будетзавершена перейдем в вкладку Контент-фильтр группы «Учащиеся». Подробнее о настрой-ке пользователей и авторизации можно почитать в статьях про авторизацию и управлениепользователями. В соответствии с поставленной задачей выберем политику фильтрации длягруппы «Разрешить, остальное запретить». Выберем созданные нами ранее собственные кате-гории контент-фильтра. Флажок «Использовать группу категорий» не включаем. Сохраняемизменения у группы и они моментально вступают в силу.

На группе «Персонал» не настраиваем правила контентной фильтрации. Таким обра-зом пользователи этой группы выходят в Интернет без каких либо ограничений, что являетсяизначальным поведением сервера. Пользователи группы «Учащиеся» при этом выходят толькона заранее указанные сайты в созданных нами списках.

5.5.8 Защита от попыток неправомерной передачи защищаемой информа-ции (DLP)

5.5.8.1 Общие настройкиЗащита от попыток неправомерной передачи защищаемой информации (DLP) работает

совместно с прокси-сервером и почтовым сервером.Модуль DLP-анализа веб-трафика требует для своей работы настроенный и работаю-

щий прокси сервер.Модуль DLP-анализа почтового трафика требует для своей работы настроенный и

работающий почтовый сервер.Модуль DLP-анализа служб мгновенных сообщений для своей работы дополнительных

модулей не требует.Для того чтобы включить защиту от попыток неправомерной передачи защищаемой

информации, необходимо зайти в административный интерфейс под учетной записью главного

Page 158: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

158

администратора, перейти на вкладку «Безопасность» → «Data Leak Prevention» и включитьнеобходимые модули:

– Включить модуль DLP-анализа веб-трафика;

– Включить модуль DLP-анализа почтового трафика;

– Перехватывать переписку по ICQ.

Затем необходимо перейти на страницу «Отпечатки» и загрузить образцы защищаемойинформации (отпечатки). В качестве отпечатков могут выступать файлы документов Word иExcel, обычые текстовые документы, и любые другие файлы.

Требуется некоторое время (не больше 15 минут), для того чтобы модуль DLP-анализапроанализировал содержимое документов и сохранил информацию в базе данных. В базе дан-ных хранится только сигнатурная информация о документе, после анализа исходные доку-менты удаляются. Статус обработки защищаемых документов можно посмотреть на странице«Отпечатки».

5.5.8.2 Настройка пользователейПроверка на попытки неправомерной передачи защищаемой информации осуществля-

ется для каждого пользователя индивидуально.Поэтому чтобы включить проверку на пользователе, нужно перейти на вкладку «Поль-

зователи», выбрать пользователя, трафик которого будет проверяться на попытки неправомер-ной передачи защищаемой информации, нажать на ссылку «Дополнительно», отметить пункт«Включить контроль утечек информации» и нажать кнопку «Сохранить».

В дальнейшем каждая попытка неправомерной передачи информации этим пользова-телем будет пресекаться, пользователю будет отправлено сообщение о блокировании передачи(рисунок 162).

Рисунок 162 – Сообщение о блокировании передачи в письме защищаемой информации

Факты передачи защищаемых материалов записываются в журнал, хранящийся в базеданных. Чтобы просмотреть журнал событий, нужно перейти на вкладку «Безопасность» →«Data Leak Prevention» → «Перехвачено» (рисунок 163.

Page 159: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

159

Рисунок 163 – Отчет о перехвате передачи защищаемой информации

Также можно просмотреть общие отчеты работы модуля DLP на вкладке «Общие от-четы» (рисунок 164).

Рисунок 164 – Отчет о работе модуля DLP

Page 160: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

160

6 ОБСЛУЖИВАНИЕ

6.1 Установка сертифицированного антивируса

6.1.1 Установка сертифицированного антивируса Dr.WebВ ПК «Интернет-шлюз Ideco ICS 6» поддерживается установка сертифицированной

версии Dr.Web для почты и для Интернет.Перед установкой сертифицированного антивируса Dr.Web нужно загрузить ICS в ре-

жиме удалённого помощника (раздел 6.3.1).Затем нужно зайти на сервер по протоколу ssh.В каталоге /tmp создать временный каталог, например /tmp/drweb.Скопировать в созданный временный каталог /tmp/drweb файлы:

drweb-internet-gateways_6.0.2.3-1303201416+fstek~linux_x86.run

drweb-mail-servers-av-as_6.0.2.3-1303212047+fstek~linux_x86.run

Cделать эти файлы исполняемыми:

chmod +x *.run

6.1.1.1 Установка сертифицированного антивируса Dr.Web для ИнтернетЗапустить инсталлятор антивируса для Интернет:

./drweb-internet-gateways_6.0.2.3-1303201416+fstek~linux_x86.run

Выбрать кастомную установку;Выбрать пункты:

[ ] 1 Custom drl for Dr.Web Bases v6.0.2.0 (new)

[ ] 2 Custom drl for Dr.Web ICAP Daemon v6.0.2.0 (new)

[ ] 3 Dr.Web Agent - Additional files to run Dr.Web Agent in central protection mode v6.0.2.3 (new)

[ ] 4 Dr.Web Agent v6.0.2.3 (new)

[X] 5 Dr.Web Bases v6.0.2.0 (new)

[ ] 6 Boost, third party C++ libraries needed for Dr.Web v6.0.2.1 (new)

[X] 7 Dr.Web Common Files v6.0.2.3 (new)

[X] 8 Dr.Web Antivirus Daemon v6.0.2.3 (new)

[ ] 9 Dr.Web EPM - Library for X11 epm gui v6.0.2.1 (new)

[ ] 10 Dr.Web EPM - Dr.Web uninstaller v6.0.2.1 (new)

[X] 11 Dr.Web ICAP DWS v6.0.2.0 (new)

[ ] 12 Dr.Web ICAPd Web Interface v6.0.2.3 (new)

[X] 13 Dr.Web ICAP Daemon v6.0.2.3 (new)

[ ] 14 Dr.Web internet gateways documentation v6.0.2.2 (new)

[X] 15 Essential third party libraries needed for Dr.Web on x86 systems v6.0.2.1

[ ] 16 Dr.Web Monitor v6.0.2.3 (new)

[ ] 17 Dr.Web Antivirus Scanner v6.0.2.3 (new)

[X] 18 Dr.Web Updater v6.0.2.4 (new)

Page 161: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

161

Согласиться с лицензией, установить файлы.Отказаться от автоматической настройки и завершить установку.

6.1.1.2 Установка сертифицированного антивируса Dr.Web для почтыЗапустить инсталлятор антивируса для почты:

./drweb-mail-servers-av-as_6.0.2.3-1303212047+fstek~linux_x86.run

Выбрать кастомную установку;Выбрать следующие пункты:

[ ] 1 Custom drl for Dr.Web Bases v6.0.2.0 (new)

[ ] 2 Dr.Web Agent - Additional files to run Dr.Web Agent in central protection

mode v6.0.2.3 (new)

[X] 3 Dr.Web Agent v6.0.2.3 (new)

[ ] 4 Dr.Web Bases v6.0.2.0 (installed)

[X] 5 Boost, third party C++ libraries needed for Dr.Web v6.0.2.1 (new)

[X] 6 Dr.Web Common Files v6.0.2.3 (installed)

[ ] 7 Dr.Web Antivirus Daemon v6.0.2.3 (installed)

[ ] 8 Dr.Web EPM - Library for X11 epm gui v6.0.2.1 (new)

[ ] 9 Dr.Web EPM - Dr.Web uninstaller v6.0.2.1 (new)

[X] 10 Google performance analysis tools needed for Dr.Web v6.0.2.0 (new)

[X] 11 Essential third party libraries needed for Dr.Web on x86 systems v6.0.2.1

[X] 12 Dr.Web VadeRetro antispam v6.0.2.0 (new)

[ ] 13 Dr.Web mail server and mail gateways documentation v6.0.2.2 (new)

[ ] 14 Dr.Web Mail Daemon - CommuniGate Pro connector v6.0.2.2 (new)

[X] 15 Dr.Web Mail Daemon - common files v6.0.2.2 (new)

[ ] 16 Dr.Web Mail Daemon - Courier Mail Server connector v6.0.2.2 (new)

[ ] 17 Dr.Web Mail Daemon - Exim connector v6.0.2.2 (new)

[X] 18 Dr.Web Mail Daemon - Dr.Web plugin v6.0.2.2 (new)

[ ] 19 Dr.Web Mail Daemon - HeadersFilter plugin v6.0.2.2 (new)

[ ] 20 Dr.Web Mail Daemon - Modifier plugin v6.0.2.2 (new)

[X] 21 Dr.Web Mail Daemon - VadeRetro plugin v6.0.2.2 (new)

[X] 22 Dr.Web Mail Daemon - Postfix connector v6.0.2.2 (new)

[ ] 23 Dr.Web Mail Daemon - qmail connector v6.0.2.2 (new)

[ ] 24 Dr.Web Mail Daemon - Sendmail connector v6.0.2.2 (new)

[ ] 25 Dr.Web Maild Web Interface v6.0.2.2 (new)

[ ] 26 Dr.Web Mail Daemon - ZMailer connector v6.0.2.2 (new)

[X] 27 Dr.Web Mail Daemon v6.0.2.2 (new)

[X] 28 Dr.Web Monitor v6.0.2.3 (new)

[ ] 29 Dr.Web Antivirus Scanner v6.0.2.3 (new)

[X] 30 Dr.Web Updater v6.0.2.4 (installed)

Согласиться с лицензией, установить файлы;

Page 162: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

162

Отказаться от автоматической настройки и завершить установку;Запустить скрипт настройки:

/usr/local/ics/bin/drweb-configure

6.1.1.3 Настройка сертифицированного антивируса Dr.Web для почты иИнтернет

Для настройки, запуска антивируса Dr.Web зайдите в административный веб-интерфейси перейдите на вкладку «Антивирус Dr.Web» (рисунок 165).

Рисунок 165 – Антивирус Dr.Web

Для работы Dr.Web необходимо загрузить ключевой файл. Нажмите кнопку «Выбери-те файл», в открывшемся диалоговом окне выберите ключевой файл. Проверьте, что рядом скнопкой «Выберите файл» отображается имя выбранного файла (например, «enterprize.key»).Нажмите на кнопку «Загрузить ключ».

После успешной загрузки выведется сообщение «Ключ загружен успешно» и выведетсяинформация о введенном ключе (рисунок 165).

После этого, отметив соответствующие пункты, можно:

– Включить Антиспам;

– Включить Антивирус для почты;

– Включить Антивирус для Интернет.

6.2 Резервное копирование и восстановление данных

6.2.1 Резервное копированиеПредоставление пользователям стабильного доступа в сеть Интернет является основ-

ной задачей, решаемой интернет-шлюзом. Но иногда случаются ситуации, которые приводятк сбоям в работе системы и последующему нарушению доступа в интернет. В зависимости отсложности сбоя может потребоваться полная переустановка интернет-шлюза и восстановление

Page 163: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

163

данных из резервных копий. В этом разделе вы найдете описание процесса создания резервныхкопий интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6».

В зависимости от того, где вы собираетесь хранить резервные копии, ПК «Интернет-шлюз Ideco ICS 6» поддерживает следующие типы автоматического резервного копирования:

– на сетевое файловое хранилище по протоколу FTP;

– на сетевое файловое хранилище по протоколу NetBIOS;

– на локальный жесткий диск.

Для настройки автоматического резервного копирования перейдите в следующий раз-дел административного web-интерфейса «Сервер» → «Резервное копирование». В этом разделевы сможете настроить каждый из типов резервирования данных. Интерфейс выбора типа ре-зервного копирования в графической панели управления представлен на рисунке 166.

Рисунок 166 – настройка резервирования данных в web-интерфейсе

Также вы можете настроить резервное копирование с помощью локальной консоли.Для этого необходимо перейти в раздел локального меню «Резервное копирование» → «Ло-кальные резервные копии БД». В этом разделе вы сможете настроить каждый из типов ре-зервирования данных. Интерфейс выбора типа резервного копирования в локальной консолипредставлен на рисунке 167.

Рисунок 167 – настройка резервирования данных в локальной консоли

Для каждого из типов резервирования возможно указание периода создания копий.

– Ежедневно – копии будут создаваться 1 раз в день.

– Еженедельно – копии будут создаваться 1 раз в неделю.

– Ежемесячно – копии будут создаваться 1 раз в месяц.

Page 164: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

164

6.2.2 Резервное копирование на сетевое хранилище по протоколу FTPДанный тип предусматривает запись резервных копий на FTP-сервер.Параметры настройки резервного копирования на FTP-сервер:

IP-адрес FTP-сервераАдрес удаленного FTP-сервера, на котором будут размещаться копии БД.

Имя пользователяЛогин для авторизации на FTP-сервере.

ПарольПароль для авторизации на FTP-сервере.

Каталог на FTP-сервереКаталог, в который будут записываться копии БД.

Ежедневная/Еженедельная/Ежемесячная записьВременные интервалы, через которые будет производиться резервное копированиеБД пользователей. Можно выбрать все 3 пункта одновременно.

Дополнительно сохранять каталогиСодержимое указанных каталогов на сервере будет также копироваться на FTP-сервер (например, /var/log/squid).

Интерфейс управления резервным копированием на FTP-сервер в локальной консолипоказан на рисунке 168.

Рисунок 168 – управление резервным копированием на FTP-сервер в локальной консоли

Интерфейс управления резервным копированием на FTP-сервер в web-интерфейсе по-казан на рисунке 169.

Page 165: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

165

Рисунок 169 – управление резервным копированием на FTP-сервер в web-интерфейсе

6.2.3 Резервное копирование на сетевое хранилище по протоколу NetBIOSДанный тип резервного копирования предусматривает запись копии на сервер по про-

токолу NetBIOS. Ключевые параметры, необходимые для настройки резервного копированияна NetBIOS-сервер:

IP-адрес NetBIOS-сервераАдрес удаленного NetBIOS-сервера, на котором будут размещаться копии БД.

Имя пользователяЛогин для авторизации на сетевом ресурсе Windows.

ПарольПароль для авторизации на сетевом ресурсе Windows.

Общая папка на NetBIOS-сервереКаталог, в который будут записываться копии БД.

Ежедневная/Еженедельная/Ежемесячная записьВременные интервалы, через которые будет производиться резервное копированиеБД пользователей. Можно выбрать все 3 пункта одновременно.

Дополнительно сохранять каталогиСодержимое указанных каталогов на сервере будет также копироваться на NetBIOS-сервер (например, /var/log/squid).

Интерфейс управления резервным копированием на NetBIOS-сервер в локальной кон-соли показан на рисунке 170.

Page 166: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

166

Рисунок 170 – управление резервным копированием на NetBIOS-сервер в локальной консоли

Интерфейс управления резервным копированием на NetBIOS-сервер в web-интерфейсепоказан на рисунке 171.

Рисунок 171 – управление резервным копированием на NetBIOS-сервер в web-интерфейсе

6.2.4 Копирование файлов на локальный компьютерКопирование файлов используется для резервного копирования, восстановления. Для

копирования файлов можно использовать WinSCP, либо другую программу для копированияфайлов по протоколу SSH. Дистрибутив программы WinSCP можно найти в Интернете поадресу: http://winscp.net. Программа распространяется бесплатно.

Для обеспечения копирования файлов между сервером и локальным компьютером вадминистративном web-интерфейсe перейдите в раздел «Безопасность» → «Дополнительныенастройки». Включите пункт «Разрешить полное удаленное управление по SSH», показанный

Page 167: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

167

на рисунке 172. Выполните полную перезагрузку сервера.

Рисунок 172 – разрешение удаленного управления по SSH

После этого можно подключиться к серверу из локальной сети. Доступ из Интернетаотсутствует. Настройки подключения из локальной сети к серверу приведены на рисунке 173.Используйте следующие реквизиты для входа:

«Host name:» адрес шлюза ПК «Интернет-шлюз Ideco ICS 6» в локальной сети;

«Port number:» 22;

«User name:» sysadm;

«Password:» servicemode.

Важная информация Пароль «servicemode» установлен по умолчанию, поэтому ис-пользуйте ваш действующий пароль от локального меню.

Рисунок 173 – настройки подключения к серверу из локальной сети

Если вы все сделали верно, нажмите кнопку «Login». После подключения вы увиди-те окно, похожее на обычный двухпанельный файловый менеджер, представленный на ри-сунке 174. Левая панель отображает содержимое вашего локального компьютера, а правая –файловую систему ПК «Интернет-шлюз Ideco ICS 6». Нас интересует каталог «/var/backup»,находящийся в файловой системе ПК «Интернет-шлюз Ideco ICS 6».

Page 168: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

168

Рисунок 174 – основное окно WinSCP

6.2.5 Резервное копирование на локальный жесткий дискЛокальные резервные копии БД – копии БД пользователей, которые хранятся на ло-

кальном жестком диске интернет-шлюза ПК «Интернет-шлюз Ideco ICS 6». Интерфейс управ-ления резервными копиями в локальной консоли представлен на рисунке 175. С его помощьювы можете выполнять следующие действия над локальными копиями:

– Кнопка «Загрузить» позволяет восстановить выбранную резервную копию и вернутьпредыдущее состояние базы данных.

– Кнопка «Создать» позволяет создать резервную копию БД пользователей. КопииБД создаются автоматически ежедневно.

– Кнопка «Удалить» позволяет удалить выбранную резервную копию БД пользовате-лей.

Перечень локальных резервных копий БД показан на рисунке 175.

Page 169: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

169

Рисунок 175 – управление резервными копиями в локальной консоли

Перед резервным копированием необходимо разрешить копирование файлов по SSH(раздел 6.2.4).

Процесс восстановления данных из резервных копий можно разделить на три этапа:

– копирование данных с сервера на локальный компьютер;

– перенос резервных копий с локального компьютера на новый сервер;

– восстановление БД из резервных копий.

6.2.5.1 Этап 1: Копирование резервных копий с сервераПервым этапом восстановления данных из резервных копий является копирование дан-

ных со старого сервера на локальный компьютер. Для этого разрешите копирование файловпо SSH (раздел 6.2.4).

После этого можно подключаться к серверу из локальной сети. Доступ из интернетаотсутствует. Настройки подключения из локальной сети к серверу приведены на рисунке 176.Используйте следующие реквизиты для входа:

«Host name:» адрес шлюза ПК «Интернет-шлюз Ideco ICS 6» в локальной сети;

«Port number:» 22;

«User name:» sysadm;

«Password:» servicemode.

Важная информация. Пароль «servicemode» установлен по умолчанию, поэтому ис-пользуйте ваш действующий пароль администратора.

Page 170: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

170

Рисунок 176 – настройки подключения к серверу из локальной сети

Если вы все сделали верно, нажмите кнопку «Login». После подключения вы увиди-те окно, похожее на обычный двухпанельный файловый менеджер, представленный на ри-сунке 177. Левая панель отображает содержимое вашего локального компьютера, а правая –файловую систему ПК «Интернет-шлюз Ideco ICS 6». Нас интересует каталог «/var/backup»,находящийся в файловой системе ПК «Интернет-шлюз Ideco ICS 6».

Рисунок 177 – основное окно WinSCP

на рисунке 178 показано, что архивы с резервными копиями БД хранятся в подкаталоге/var/backup/db (файлы с расширением .gbk). Вы можете выборочно скопировать нужные вамфайлы из этой папки или полностью весь каталог «backup» на свой компьютер.

Page 171: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

171

Рисунок 178 – Содержимое каталога «/var/backup»

6.2.5.2 Этап 2: Перенос резервных копий на новый серверНа данном этапе необходимо перенести на новый сервер резервные копии, сохраненные

на локальном компьютере. Для этого выполните следующие действия.

– Для подключения к серверу, настройте локальный интерфейс. Перейдите в раздел«Безопасность» → «Дополнительные настройки» web-интерфейса сервера. Активи-руйте пункт «Разрешить полное удаленное управление по SSH».

– После этого подключитесь к серверу из локальной сети с помощью программыWinSCP по порту 22. Используйте «sysadm» в качестве логина. Адрес сервера ипароль должны соответствовать настройке вашего нового сервера.

– Скопируйте резервные копии БД с компьютера на сервер в подкаталог/var/backup/db.

Если вы все сделали верно, то резервные копии должны появиться в списке раздела локальногоменю «Резервное копирование» → «Локальные резервные копии БД» нового сервера.

6.2.5.3 Этап 3: Восстановление БД из резервных копийДля восстановления базы данных пользователей необходимо загрузить сервер в защи-

щенном режиме («SAFEMODE»). Для этого в локальном меню сервера в разделе «Переза-грузка» выберите пункт «Перейти в SAFEMODE», показанный на рисунке 179.

Page 172: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

172

Рисунок 179 – перезагрузка сервера

После загрузки сервера в режиме «SAFEMODE», перейдите в раздел хранения резерв-ных копий БД локального меню «Резервное копирование» → «Локальные резервные копииБД». Выберите нужную вам копию базы данных и нажмите кнопку «Загрузить».

После того, как резервная копия базы данных будет успешно восстановлена в системе,перезагрузите сервер в обычном режиме.

Примечание.

Если вы копируете резервные копии на новый жесткий диск, например, при пере-установке сервера, то после восстановления БД и конфигурации из резервной копиивам необходимо заново пройти процесс активации.

6.3 Режим удаленного помощника

Чтобы служба технической поддержки могла подключиться к вашему серверу удален-но, его необходимо загрузить в режиме удаленного помощника. Работа сервера в таком режимене влияет на работу пользователей.

Возникают ситуации, когда необходимо воспользоваться правами пользователя root.Режим удаленного помощника позволяет создавать такого пользователя, но он сохраняетсятолько до следующей перезагрузки сервера.

6.3.1 Загрузка сервера в режиме удаленного помощникаЧтобы загрузить сервер в режиме удаленного помощника необходимо выполнить сле-

дующие действия.

1. Вам необходимо вызвать строку с приглашением для ввода команды. Для этого вменю загрузчика сервера (рисунок 180) нажмите клавишу «a».

Page 173: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

173

Рисунок 180 – Загрузчик ПК «Интернет-шлюз Ideco ICS 6»

2. Придумайте временный пароль для удаленного помощника.

3. Введите в строку с приглашением следующую комбинацию: «p=пароль». От осталь-ных параметром «p=пароль» должен отделяться пробелами: например: «p=password»(рисунок 181). После этого нажмите «Enter».

Рисунок 181 – Редактирование команды загрузки

4. Должна начаться обычная загрузка системы, после которой сервер начнет функци-онировать в обычном режиме.

5. Отправьте специалисту технической поддержки внешний IP-адрес и временный па-роль, который вы указали после «p=».

Page 174: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

174

6.4 Работа из консоли сервера от имени пользователя root в режиме

удаленного помощника

Чтобы организовать работу из консоли сервера от пользователя root в режиме удален-ного помощника необходимо выполнить следующие действия:

1. Запустите консоль. Для этого нажмите Alt+F7.

2. В поле «login:» введите root, в появившемся поле «Password:» введите временныйпароль, который вы указали после «p=».

Вы вошли в систему с правами пользователя root. Об этом свидетельствует символ «#» встроке с приглашением.

6.4.1 Работа с сервером удаленно в режиме удаленного помощникаЧтобы организовать работу с локальной консолью сервера удаленно по протоколу SSH

от пользователя root в режиме удаленного помощника необходимо выполнить следующие дей-ствия.

1. Подключитесь к серверу с помощью SSH-клиента putty. Программа бесплатна искачать ее вы можете с web-сайта разработчика или из каталога utils, размещенногона установочном диске ПК «Интернет-шлюз Ideco ICS 6».

2. При подключении из локальной сети используйте адрес, который настроен на ло-кальной сетевой карте ПК «Интернет-шлюз Ideco ICS 6». Введите необходимые па-раметры для подключения:

– порт – 33;

– логин – root;

– временный пароль, который вы указали после «p=».

Символ «#» свидетельствует о том, что вы работаете от имени пользователя root.

6.4.2 Удаленный доступ к локальному меню сервераСуществует несколько способов удаленного доступа к меню сервера:

– подключение из локальной сети;

– подключение из интернета.

6.4.2.1 Подключение из локальной сетиПодключение к локальному меню осуществляется по SSH. Для организации доступа

из локальной сети к меню сервера необходимо выполнить следующие действия.

1. Разрешить управление файлами по SSH. Для этого перейдите в меню «Безопас-ность» → «Дополнительные настройки» и активируйте пункт «Разрешить управле-ние файлами по SSH».

Page 175: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

175

2. Подключиться к серверу с помощью любого SSH-клиента (например, putty), исполь-зуя 22 порт. Необходимо указать логин sysadm и пароль как в локальной консоли(по умолчанию servicemode).

Используйте команду menu для запуска меню, команду mc – для запуска файлового менеджера.

6.4.2.2 Подключение из интернетаВажная информация. Подключение к серверу по SSH из интернета под пользо-

вателем sysadm невозможно. Порт 22 открыт только для доступа из локальной сети. Такиеограничения установлены в целях повышения безопасности.

Для подключения по SSH из интернета к локальному меню сервера необходимо выпол-нить следующие действия.

1. Загрузить сервер в режиме удаленного помощника.

2. Подключиться к серверу с помощью любого SSH-клиента (например, putty), исполь-зуя 33 порт. Необходимо указать логин root и пароль, который был назначен призагрузке в режиме удаленного помощника.

Используйте команду menu для запуска меню, команду mc – для запуска файловогоменеджера.

Примечания:

1. Подключение под пользователем root из локальной сети на локальный адрес сервераосуществляется по порту 33 протокола TCP.

2. При загрузке в режиме удаленного помощника root будет создан только до следую-щей перезагрузки сервера.

Page 176: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

176

7 ПРИЛОЖЕНИЯ

Приложение А

Схема и состав ПК «Интернет-шлюз Ideco ICS 6»

Рисунок 182 – схема ПК «Интернет-шлюз Ideco ICS 6»

ПК «Интернет-шлюз Ideco ICS 6» состоит из СЗИ «Интернет-шлюз Ideco ICS 6» иКоммуникационного центра (КЦ) «Интернет-шлюз Ideco ICS 6». КЦ «Интернет-шлюз IdecoICS 6»– ряд дополнительных сервисов не связанных с защитой информации и функционирущихнепосредственно за межсетевым экраном.

СЗИ ПК «Интернет-шлюз Ideco ICS 6» включает в себя:

– Ядро Linux. С подсистемой фильтрации сетевых пакетов.

– Управляющие программы. Отвечают за загрузку и управление правилами филь-трации, подключение пользователей к серверу, алгоритмы тарификации, контрольдоступа, сбор статистики.

– База Данных. Хранит информацию о пользователях и другие данные, необходимыедля работы ПК «Интернет-шлюз Ideco ICS 6».

– Фильтр сетевых пакетов на базе netfilter (Firewall). Фильтрует трафик по задавае-мым правилам для защиты серверов и пользователей от Интернет-атак, запрещаетзаданные Интернет-ресурсы. Встроенный Firewall может ограничивать скорость со-единений, правильно распределять ширину канала. Кроме того, есть возможностьфильтровать трафик по типу и по содержимому.

– Подсистема регистрации и учета. Системный журнал (rsyslog) обеспечивающий ре-гистрацию и учет для различных подсистем ПК «Интернет-шлюз Ideco ICS 6».

Page 177: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

177

– Веб-интерфейс администратора. Позволяет редактировать свойства пользователей,включать и отключать службы сервера, редактировать профили выхода в Интернет.

– Локальная консоль управления сервером. Используется при установке сервера дляпервоначального конфигурирования. В локальной консоли включаются парамет-ры безопасности, проводится сервисное обслуживание, включаются и выключаютсяслужбы.

Приложение Б

Принцип работы и назначение ПК «Интернет-шлюз Ideco ICS 6»

Основное назначение ПК «Интернет-шлюз Ideco ICS 6»– выполнять контроль над ин-формацией, поступающей в сеть ЭВМ и/или выходящей из сети ЭВМ, и обеспечивать ее защитупосредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятиярешения о ее распространении в/из сети ЭВМ. ПК «Интернет-шлюз Ideco ICS 6» работаетпо следующему принципу: он устанавливается на границе между локальной сетью предприя-тия и внешней сетью ( например Интернет), по умолчанию запрещено любое взаимодействиямежду локальной и внешней сетью, если требуется дать доступ пользователю из локальнойсети ко внешней, то необходимо создать разрешающие правила в ПК «Интернет-шлюз IdecoICS 6». Это позволяет полностью управлять трафиком и обеспечивать защиту локальной се-ти от внешних угроз. Все действия по фильтрации пакетов регистрируются в специальномсистемном журнале.

1. Пакеты принимаются и отправляются встроенными драйверами ядра Linux

2. Непосредственная фильтрация пакетов осуществляется подсистемой netfilter ядраLinux в которую попадают все IP пакеты.

3. Правила фильтрации хранятся в базе данных.

4. Настройка ПК «Интернет-шлюз Ideco ICS 6» и правил фильтрации производитсяадминистратором через веб-интерфейс, настройки сохраняются в базе данных.

5. Правила фильтрации загружаются из БД в ядро linux скриптами: firewall.sh,firewall_custom.sh c использованием программы iptables, а также программой icsdс использованием библиотек iptables. Загрузка правил происходит при старте ПК«Интернет-шлюз Ideco ICS 6» или при нажатии на кнопку перезагрузки правил МЭв веб-интерфейсе.

Page 178: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

178

В сети предприятия рекомендуется использовать локальные IP-адреса, рекомендуют-ся адреса из диапазона 10.0.0.2 – 10.127.255.255 или 192.168.0.0 – 192.168.255.255. Насервере создаются или импортируются пользователи и выбирается способ авторизации. По-сле авторизации предоставляется доступ к Интернет, возможно использование маскировки сиспользованием технологии NAT.

При авторизации по IP или по IP + MAC компьютер с этим IP-адресом всегда имеетдоступ в Интернет. При указании MAC-адреса компьютеры могут получать статические IP-адреса через DHCP.

Во время работы пользователя ведется статистика расхода трафика в соответствие суказанным профилем выхода в Интернет и, если превышен лимит, то происходит отключение.

Приложение В

Контакты

Всю информацию по приобретению продуктов, обновлениям, технической поддержкеможно получить на нашем сайте http://www.ideco.ru. Также вы можете связаться с нами поe-mail [email protected] или телефонам +7 (495) 987-32-70, +7 (343) 345-15-75.

Page 179: ПРОГРАММНЫЙ КОМПЛЕКС «ИНТЕРНЕТ …9 PPPoE Point-to-pointprotocoloverEthernet–сетевойпротоколпередачикадровPPPчерез Ethernet

179

Лист регистрации измененийНомера листов (страниц)

Изм.изме-нен-ных

заме-нен-ных

новых

анну-лиро-ван-ных

Всего листов(страниц) в

докум.

№докум.

Входящий №сопроводи-тельногодокум. и

дата

Подп. Дата