Установка общих параметров межсетевого экрана

Настроить локальный межсетевой экран вы можете и в программном, и в программно-аппаратном варианте ФПСУ-IP/Клиента.

Локальный межсетевой экран ФПСУ-IP/Клиента анализирует входящие пакеты данных, поступающие на интерфейсы, и исходящие пакеты данных, передаваемые через интерфейсы, а также проверяет их заголовки на соответствие правилам фильтрации. Пакеты, не прошедшие процедуру фильтрации, сбрасываются.

Правила фильтрации локального межсетевого экрана ФПСУ-IP/Клиента не применяются к пакетам, которые направлены в VPN-туннель к ФПСУ-IP.

Настройка локального межсетевого экрана не требует регистрации пользователя и может быть выполнена любым пользователем ОС. В качестве критериев фильтрации пользователь может задавать: IP-адреса взаимодействующих с ФПСУ-IP/Клиентом рабочих станций, используемые IP-протоколы, разрешенное направление передачи данных.

Локальный межсетевой экран пользователя работает по принципу «все, что не разрешено, — запрещено». Во время работы в межсетевых VPN-туннелях (в момент связи с ФПСУ-IP) локальный межсетевой экран по указанию пользователя может быть отключен.

Пользователь может установить пароль на работу с правилами фильтрации, который будет запрашиваться программой при установке или изменении существующих параметров и правил фильтрации.

Максимальное количество правил в списке — 512.

Каждое правило описывает взаимодействие рабочей станции пользователя с хостом (в том числе любым) или подсетью, которые не были описаны ранее, и может содержать краткий комментарий — справочную информацию по текущему правилу. Каждое правило может быть активным (флажок правила установлен) или неактивным (это означает, что правило описано, но не задействовано).

Если соединения с одним и тем же хостом (группой хостов) описываются несколькими правилами фильтрации, работать будет то правило, которое встречается в списке первым. При введении новых правил ФПСУ-IP/Клиент сортирует их: правила для хостов помещаются в начало списка, затем идут правила для подсетей в порядке убывания маски и в конце списка располагается правило «любой хост».

Чтобы установить параметры локального межсетевого экрана ФПСУ-IP/Клиента:

1. Откройте главное меню и выберите пункт Локальные настройки.

Откроется окно настройки межсетевого экрана.

2. Установите необходимые флажки.

3. Нажмите кнопку Сохранить.

Параметры межсетевого экрана

Флажок Блокировать все пакеты, кроме IP-стека протоколов. При приеме и передаче все пакеты, не соответствующие формату пакетов стека TCP/IP, будут сброшены.

Флажок Работа только через ФПСУ-IP, остальные IP-пакеты блокируются. При отсутствии соединения между ФПСУ-IP/Клиентом и ФПСУ-IP рабочая станция с установленным программным обеспечением «ФПСУ-IP/Клиент» будет блокировать передачу в сеть всех IP-пакетов, кроме служебных в адрес ФПCУ-IP. После установления соединения между ФПСУ-IP/Клиентом и ФПСУ-IP блокировка передачи пакетов в сеть не осуществляется.

Флажок Блокировать входящие TCP и ICMP не через ФПСУ-IP. ФПСУ-IP/Клиент после установления соединения с ФПСУ будет блокировать новые входящие TCP- и ICMP-соединения, если они пришли не из туннеля к ФПСУ (исключение: разрешены входящие соединения для передачи файлов по протоколу FTP).

Флажок Не блокировать пакеты L2TP протокола. Добавляет в межсетевом экране приоритетное разрешающее исключение для пакетов протокола L2TP, вне зависимости от всех других блокирующих опций.

Флажок Не блокировать пакеты PPTP протокола. Добавляет в межсетевом экране приоритетное разрешающее исключение для пакетов протокола PPTP, вне зависимости от всех других блокирующих опций.

Флажок Не использовать правила в состоянии связи с ФПСУ-IP. Отключает локальный межсетевой экран (ФПСУ-IP/Клиент игнорирует установленные правила фильтрации) в состоянии связи с ФПСУ-IP.

Флажок Автоматически проверять обновления на ФПСУ-IP. ФПСУ-IP/Клиент проверяет новые версии программного обеспечения (подробнее см. раздел «Обновление ПО ФПСУ-IP/Клиента с ФПСУ-IP»).

Флажок Скрывать диалог соединения. Скрывает всплывающее окно, в котором показывается процесс и ошибки подключения ФПСУ-IP/Клиента к принимающему ФПСУ-IP. Рекомендуется устанавливать на устройствах, дисплей которых может быть доступен для обзора посторонним людям (например, в версиях ФПСУ-IP/Клиента, предназначенных для банкоматов).

Флажок Не уведомлять при окончании срока поддержки (не срока действия) лицензии. Отменяет выдачу информационного оповещения об окончании срока поддержки лицензии.

Поле Пауза между попытками соединения, мс. Предназначено для задания временного интервала, с которым будут повторяться попытки соединения с ФПСУ-IP (подробнее см. раздел «Настройка подключения к ФПСУ-IP»).

Флажок Очистить кеш DNS. Очищает локальный кеш DNS рабочей станции. Функцию рекомендуется включать при проблемах установления соединений с защищенными ФПСУ-IP серверами, доступ к которым организован через систему доменных имен, а не напрямую через IP-адресацию.