Занятие
2. Создание и модификация фильтров пакетов
(Продолжительность
занятия 15 минут)
При первой установке Proxy
Server создается несколько стандартных фильтров. Вы должны решить, обеспечивают
ли они требуемый уровень безопасности для Вашей сети, и при необходимости откорректировать
их или создать дополнительные фильтры. На этом занятии Вы узнаете, как добавлять
и видоизменять фильтры пакетов.
Изучив материал этого
занятия, Вы сможете:
изменять существующие
фильтры пакетов;
создавать фильтр для
пропуска во внутреннюю сеть пакетов заданного типа, например пакетов SMTP.
Фильтры блокируют пакеты
всех типов, за исключением указанных в списке Exceptions. Отключение
фильтрования пакетов для какого-либо порта означает, что данный порт не прослушивается.
Важно! По умолчанию
фильтрование пакетов включено, о чем свидетельствует установленный флажок Enable
packet filtering on external interface на вкладке Packet Filters диалогового
окна Security службы Proxy Server. Рекомендуется не сбрасывать
его.
Модификация
фильтров
Каждая строка списка
Exceptions, который находится на вкладке Packet Filters, содержит
ряд параметров, определяющих тип данного фильтра пакетов. Параметры, определяющие
типа пакета, включают направление потока данных, используемый транспортный протокол,
номер порта и IP-адрес локальной службы (адресата), номер порта и IP-адрес удаленного
узла (источника).
Список допустимых типов
пакетов применяется ко всем запросам, адресованным данному серверу, независимо
от их источника, будь то Интернет-клиент или клиент в интрасети. Невозможно
организовать индивидуальное фильтрование пакетов конкретного пользователя, хотя
последние могут иметь разные права доступа к протоколам и портам в Вашей сети.
Кроме того, интерфейс ISAPI позволяет при необходимости подключать специальные
средства фильтрования сторонних производителей.
Примечание Для работы
некоторых протоколов, например РРТР, необходимо правильно настроить несколько
фильтров (элементов списка).
>
Модификация списка фильтров пакетов
В окне Internet Service
Manager дважды щелкните имя компьютера рядом с любой службой Proxy Server.
На вкладке Service
диалогового окна Service Properties в поле Shared services щелкните
Security.
В диалоговом окне
Security откройте вкладку Packet Filters.
Чтобы включить фильтрование
пакетов, установите флажок Enable packet filtering on external interface.
В результате блокируются
все пакеты.
Чтобы включить динамическое
фильтрование пакетов по умолчанию, убедитесь, что флажок Enable dynamic
packet filtering of Microsoft Proxy Server packets установлен.
Чтобы отредактировать
какой-либо фильтр, выберите его из списка и щелкните кнопку Edit.
Появится диалоговое окно
Packet Filter Properties.
В диалоговом окне
Packet Filter Properties откорректируйте параметры фильтра, щелкните кнопку
ОК, а затем еще раз — кнопку ОК.
Чтобы удалить какой-либо
фильтр, выберите его из списка и щелкните кнопку Remove, а затем —
кнопку ОК.
Повторяйте действия
б и 7 до тех пор, пока Вы не модифицируете все необходимые фильтры.
Закончив, щелкните кнопку
Apply, а затем — кнопку ОК.
Создание
новых фильтров
Новые пакетные фильтры
обычно требуются в конфигурациях, где вышестоящий представитель или брандмауэр
обменивается пакетами с нижестоящими, или если необходимо обеспечить работу
других служб на сервере-представителе. Таким образом Proxy Server способен защитить
множество серверов независимо от их местонахождения во внутренней сети.
Примечание Proxy Server
поддерживает конфигурацию, при которой одному внешнему сетевому интерфейсу соответствует
несколько IP-адресов.
Чтобы разрешить прохождение
пакетов стандартных типов (например, пакетов SMTP), воспользуйтесь диалоговым
окном Packet Filter Properties. Вот как добавить стандартный фильтр.
>
Создание нового фильтра пакетов на основе стандартного определения протокола
На вкладке Packet
Filters щелкните кнопку Add.
В диалоговом окне
Packet Filter Properties установите переключатель Predefined filter
и выберите из списка требуемый протокол.
В поле Local host
установите соответствующий переключатель, если Вы хотите разрешить обмен пакетами
с конкретным компьютером.
В поле Remote host
задайте конкретный узел или щелкните переключатель Any host, чтобы
применить фильтр ко всем узлам.
Щелкните кнопку
ОК.
Новый фильтр с нестандартными
параметрами протокола создается следующим образом.
>
Создание нового фильтра пакетов на основе нестандартного определенияпротокола
На вкладке Packet
Filters щелкните кнопку Add.
В диалоговом окне
Packet Filter Properties установите переключатель Custom filter.
В списке Protocol
ID выберите протокол, а в списке Direction — направление.
В поле Local port
установите переключатель в положение Dynamic port, чтобы Proxy Server
назначал порт динамически, или выберите Any или Fixed port в
поле Remote port.
В поле Local host
установите соответствующий переключатель и задайте локальный компьютер, который
будет обмениваться пакетами с узлами Интернета.
Если Вы хотите разрешить
обмен пакетами с конкретным узлом Интернета, в поле Remote host установите
переключатель Single host и введите корректный IP-адрес. Чтобы
фильтр применялся при обмене пакетами с любым узлом, установите переключатель
Any host.
Щелкните ОК.
Если Вам понадобится вернуть
все фильтры в исходное положение, воспользуйтесь следующей процедурой.
>
Восстановление стандартных параметров фильтров пакетов
На вкладке Packet
Filters щелкните кнопку Reset Defaults.
Щелкните кнопку ОК.
Резюме
Для обеспечения необходимого
уровня безопасности иногда требуется создать новый фильтр пакетов или модифицировать
существующий. При планировании стратегии использования фильтров помните, что
они работают по принципу исключения — блокируются все типы пакетов за исключением
явно заданных.