Создание правил фильтрации |
Программное обеспечение ФПСУ-IP/Клиента загружается автоматически, при старте операционной системы Windows (до регистрации и входа пользователя в операционной системе). После регистрации и входа пользователя в области уведомлений на панели задач Windows отображается его значок: . При установке по умолчанию программное обеспечение ФПСУ-IP/Клиента находится в папке «SYSTEMDISK:\Program Files\Amicon\Client FPSU-IP». Возможен старт ПО ФПСУ-IP/Клиент вручную запуском исполняемого файла «ip‑client.exe», находящегося в папке программного обеспечения. Для вызова меню необходимо нажать правой клавишей мыши на значке программы. На экран будет выдано меню ФПСУ-IP/Клиента, содержащее следующие команды:
Следует обратить внимание на то, что первые три команды будут активны только тогда, когда устройство VPN-Key подключено к USB-порту компьютера. В том случае если было выбрано безопасное извлечение устройств и дисков, но устройство VPN-Key по-прежнему подключено к USB-порту компьютера, данные три пункта так же будут неактивны. Локальный межсетевой экран ФПСУ-IP/Клиент анализирует поступающие на интерфейсы исходящие и входящие пакеты данных и проверяет их заголовки на соответствие правилам фильтрации. Пакеты, не прошедшие процедуру фильтрации, сбрасываются. Правила фильтрации локального межсетевого экрана ФПСУ-IP/Клиент не применяются к пакетам, которые направлены в VPN-туннель к ФПСУ-IP. Данные настройки не требуют регистрации пользователя с подключенным VPN-Key и могут быть выполнены любым пользователем ОС. В качестве критериев фильтрации пользователь может задавать: IP-адреса взаимодействующих с ФПСУ-IP/Клиент рабочих станций, используемые IP-протоколы, разрешенное направление передачи данных. Локальный межсетевой экран пользователя работает по принципу «все, что не разрешено - запрещено». Во время работы в межсетевых VPN-туннелях (в момент связи с ФПСУ-IP) локальный межсетевой экран по указанию пользователя может быть отключен. Пользователь может установить пароль на работу с правилами фильтрации, который будет запрашиваться программой при попытке установки или редактирования существующих установок и правил фильтрации. Для того чтобы просмотреть установленные правила фильтрации или настроить локальный межсетевой экран пользователя ФПСУ-IP/Клиент, необходимо открыть меню программы и выбрать строку «Локальные настройки». На экран монитора будет выдано диалоговое окно настроек межсетевого экрана. В верхней части окна отображаются переключатели общих настроек локального межсетевого экрана, а центральная часть окна содержит раскрывающийся список установленных правил фильтрации. Максимальное количество записей в списке - 512. Каждая строка правил описывает взаимодействие рабочей станции пользователя с каким-либо хостом или подсетью или любым неописанным ранее хостом и может содержать краткий комментарий - справочную информацию по текущему правилу. Каждое правило может быть активным (отмеченным флагом в начале строки) или неактивным (это означает, что правило описано, но задействовано). Если соединения с одним и тем же хостом (группой хостов) описываются несколькими правилами фильтрации, работать будет то правило, которое встречается в списке первым. При введении новых правил ФПСУ-IP/Клиент производит их автосортировку: записи для хостов помещаются в начало списка, затем идут записи для подсетей с уменьшением маски, и в конце списка располагается запись типа «любой хост». Правила локального межсетевого экрана могут быть сохранены в отдельный файл правил (кнопка «Сохранить») для последующего восстановления (кнопка «Загрузить») или переноса шаблонных правил на другие рабочие станции с установленным ПО ФПСУ-IP/Клиент. Необходимо убедиться в том, что кнопка в нижнем левом углу окна активна, т.е. называется «Запретить редактирование», в противном случае нужно нажать на нее мышью (если пароль на редактирование устанавливался – ввести его по запросу программы). Командные кнопки «Изменить», «Добавить», «Удалить» используются для создания и управления набором правил фильтрации. Для создания нового правила фильтрации необходимо нажать на кнопку «Добавить». На экран будет выведено диалоговое окно редактирования. Переключатель в поле «Адресный объект» необходимо установить в нужное положение для выбора типа адреса, взаимодействие с которым описывается. Для хоста нужно указать его IP-адрес, для подсети - IP-адрес и маску (число значащих разрядов). Если сетевым службам компьютера доступны какие-либо средства разрешения Интернет-имен, по нажатию кнопки «Найти» можно запросить IP-адрес рабочей станции с известным именем у соответствующего сервера. Запись типа «Любой» создается для регламентации взаимодействия ФПСУ-IP/Клиент с явно не описанными хостами. В группе флагов «Блокировки» нужно указать типы соединений с описываемым адресом, которые будут запрещены при сетевом взаимодействии. В поле «Примечание» можно ввести, если это необходимо, справочную информацию по текущему правилу – она будет отображаться вместе с правилом в окне локальных настроек. Для включения правила необходимо установить флаг «Активировать правило». Если правило необходимо временно отключить - флаг необходимо снять. После нажатия командной кнопки «Сохранить» установленное правило будет отображаться в списке окна локальных настроек. |