Ръководство WinRoute

WinRoute предоставя следните методи за манипулиране на пакети (в модела OSI на мрежови протоколи):

  • На портове (Port картографиране)

  • Филтриране на пакети (Packet филтриране)

    Определяне на пристанища осигурява достъп до избрани услуги, защитени от NAT.

    За да се постигне по-високо ниво на сигурност, WinRoute включва т.нар инспекция модул. Това е специален драйвер, който комуникира между линията и мрежов протокол на модела OSI, и използва специална технология, осигурява WinRout'om пакети директно от драйвера на мрежовата карта, преди пакетът ще бъде на разположение за всяка операционна система компонент.

    Позицията на WinRoute на инспекция модул (проверка на съдържанието на пакета) в мрежата на архитектурата на Windows е показано на фигурата по-долу: Местоположението на инспекция модул на WinRoute (която проверява съдържанието на пакета) в мрежата архитектура на операционните системи Windows е показана на долната фигура.

    терминология

    В края на основния текст използва някои термини, свързани с мрежовите технологии. Предлагаме ви да се запознаете с тези условия, това ще бъде особено полезно, ако имате намерение да конфигурирате филтриране на пакети, тъй като това ще ви позволи да се знае стойността на информацията, съдържаща се в пакетните глави.

    TCP / IP протоколи
    WinRoute работи с TCP / IP мрежи. TCP / IP протоколи са предназначени за използване в нивата. При споменаването на TCP / IP се отнася до: IP, TCP, UDP, ICMP, и др.

    мрежов интерфейс
    Мрежов интерфейс е устройство, което служи за установяване на връзка между компютри и трансфер на данни между тях. Мрежови интерфейси могат да бъдат мрежова карта, модем, ISDN и т.н. Компютърът изпраща и получава пакети от данни през мрежовия интерфейс.

    пакети
    Пакет - основен информационен блок се използва за прехвърляне на данни между компютри. Всеки пакет съдържа определено количество данни. Максималната дължина на пакета зависи от мрежовата среда. Така например, Ethernet максимален пакет дължина 1500 байта. Всяка мрежа слой, може да се раздели съдържанието на опаковката на две части - глава и данни. Заглавната съдържа контролна информация, съответстваща на мрежовия слой, данните съответстват на по-висок слой мрежа. За повече информация относно структурата на пакета може да се намери по-долу в раздела за филтриране на пакети.

    Как NAT Works

    Ние можем да се демонстрира NAT следния пример:

    Забележка:
    Портовете в пакети, които се изпращат чрез WinRoute трябва да бъдат променени, защото ако две или повече станции в защитена локална мрежа започват да се предават данни с използване на същите номера на портове, има нужда да се идентифицират с това, което е пакетът пристигна на гарата. NAT модул задава номера на портове в диапазона от 61 000 до 61600. Всяка транзакция се получава уникален порт.

    Критични моменти от NAT

    Заявленията работят с NAT, без никакъв проблем, ако сделката е инициирана от защитения LAN (в повечето случаи такъв, какъвто е). Все пак, има приложения, развитието на които се правят грешки, и които не са в пълно съответствие с "клиент-сървър" модел. Тези приложения не могат да работят с NAT, или някои функции може да не са налични. Причината може да бъде използването на такива приложения в продължение на една връзка и допълнителна връзка по инициатива на сървъра (намира някъде в интернет). NAT, съвсем естествено, като блокира сделка.

    NAT Setup

    Основна настройка

    В WinRoute NAT просто се включва / изключва опция в настройките на панела за мрежов интерфейс. Разбира се, имаме предвид интерфейс, чрез който LAN достъп до Интернет. (Ела-изгаряния, или за ръчно писане направил за маниак, или за добавяне на едно и също :)

    NAT е конфигуриран в следното меню:

    Настройки => интерфейс Таблица => NAT

    Тази опция дава възможност на NAT. NAT ще се справят с всички пакети, преминаващи през интерфейса.

  • "Изключване на този компютър от NAT"
  • "Изключване на този компютър от NAT"

    Разширени настройки

    За да използвате разширените NAT настройките, ви е необходима, за да се даде възможност за интерфейса. Това означава, че за първи път се създаде NAT за интерфейса, а след това, в разширените настройки, се определи къде NAT няма да се прилагат.

    Разширени настройки за NAT са изработени от менюто:

    Настройки => Advanced => NAT тампон => Добавяне / Редактиране на бутон
    • "Пакет Описание"
    • "Packet Description"

    Ако пакетът се използва обикновено, информацията за пакет е писано. Вход е особено полезно в случай на проверка конфигурация или откриване на проблеми с него.

    • Пример допълнителни настройки на NAT

    За да конфигурирате NAT в тази ситуация, ние първо да активирате NAT за интерфейса, предоставяне на достъп до Интернет (линия 0). След това, в разширените настройки (Разширени настройки), деактивираме NAT за третия сегмент LAN. Разширени настройки са показани на следната фигура:

    Определяне на пристанища

    WinRoute използва NAT, което прави защитена локална мрежа за достъп до външната затворена. Използването на заданието на порта може да създаде канали за комуникация, чрез които могат да бъдат организирани с достъпа до услуги в рамките на локална мрежа. По този начин е възможно да се създаде обществена услуга, като например WWW-сървър или FTP-сървър и т.н.

    Как назначението на порта

    Създаване порта на получателя

    Порт назначение се прави в менюто:

    Настройки => Advanced => Port Mapping => Добавяне / Редактиране на бутон
    • "Протокол"

    Протоколът, използван за предаване през определен порт.

    Задава брой пристанище или пристанищно диапазон, за които са разрешени сделки.

    Стая порт на компютъра, към който се изпраща на пакетите. В повечето случаи, еквивалентен на Чуйте Port.

    Някои полезни конфигурация портове са показани в допълнението.

    филтриране на пакети

    Как пакета

    За да конфигурирате филтриране на пакети, важно е да се разбере как манипулирането на пакети в / IP ниво мрежа TCP.

    В kazhdoma съдържанието на опаковката ниво е разделен на две части: глава и данни. Заглавната съдържа контролни данни на мрежовия слой. Данните се отнасят за по-високите слоеве на мрежата. Всяка мрежа слой добавя своя глава, така че полученият пакет е както следва:

    Следната информация се използва за конфигуриране на правила за филтриране за съответната заглавието протокол (мрежови слоеве):

    IP (Internet Protocol) (Internet Ниво)

    IP - основният протокол за пренос на данни най-високо ниво.

    Протокол ICMP (Internet Ниво)

    Интернет протокол за контрол на съобщенията (Internet Control Message Protocol) се използва за прехвърляне между компютри съобщения за грешки и контролни съобщения.

    Следната информация може да се използва за филтриране:
    • тип ICMP съобщение
    ICMP формат на пакета е показано по-долу. Сивият цвят показва областите, които се използват за филтриране на пакети.

    TCP (транспорт слой)

    Предаване контрол протокол (Протокол за управление на предаването) се използва за надеждно пренасяне на данни между два компютъра. Компютри общуват с помощта на "Connect". Изграждане на връзка за пренос на данни, и прекратяване връзка се контролира от специален влага в заглавната част на TCP-пакет. А флаг, който контролира отварянето на връзката е много важна за филтриране на пакети, тъй като данните могат да се прехвърлят само след връзката (да това, което казвате).

    Следната информация се използва за филтриране:
    • изходен порт
    • приемник порт
    • знамена
    TCP пакети формат е показано по-долу. Сивият цвят показва областите, които се използват за филтриране на пакети.

    UDP протокол (транспорт слой)

    Следната информация може да се използва за филтриране:
    • изходен порт
    • приемник порт
    TCP пакети формат е показано по-долу. Сивият цвят показва областите, които се използват за филтриране на пакети.

    Какво порт номера се използва от приложения

    В интернет има два основни типа приложения: сървър и клиент. WWW-браузър - пример за приложение на клиент, а WWW-сървър - естествено - (. Трябва да е същото) сървър приложение. За трансфер на данни на клиента установява връзка със сървъра. Сървърни приложения очакват връзка на предварително определени номера на портове. Обикновено този номер е по-малко от 1024. От друга страна, не съществува строга дефиниция на номерата на портове за клиентски приложения, така че те порт (и) се определя динамично (прилагането пита операционната система на разположение номер на порт). Номерата на портовете, използвани за динамично прехвърляне, обикновено над 1024.

    Един пример за комуникация между браузъра и WWW-сървър е показан по-долу:

    политика за сигурност

    Изборът на правила за филтриране зависи от това, Интернет услуги, които искат да направят достъпни за потребителите си в локалната мрежа. Също така, това зависи от това кои услуги на вашата локална мрежа, която искате да направите достъпен в Интернет.

    Прилагането на по-строги правила може да направи недостъпни за потребителите на вашите някои интернет услуги LAN. Например, такъв е случаят, когато се изпълнява приложението, което е необходимо да се създаде допълнителна връзка към Интернет, или прилагането на базата на UDP. От друга страна, използването на по-свободни правила увеличава броя на заявленията и намалява сигурността LAN.

    Основният принцип на настройките за филтриране - за блокиране на достъпа от Интернет към локалната мрежа, както и пълен достъп до обратната посока (от локалната мрежа към Интернет). След това, в зависимост от това какви услуги искате да предоставите достъп до външната страна, можете да направите на правилата на настройката.

    Най-важният въпрос е да бъдат защитени жизненоважни услуги вашата LAN Тези услуги (файлови сървъри, интранет сървъри, SQL сървърите) обикновено се наблюдава връзки на порт под 1024. услугите, които използват номера на портове, по-малко от 1024, може да се извършва не само на сървъри дори и потребителски машини могат да ги изпълняват, например в случай на разделяне на достъп до файлове (споделяне). От друга страна, клиентски приложения да използват номера на портове, по-големи от 1024, така че този брой е много важно, за да изберете правилата за сигурност.

    Разумна политика е блокиране на интернет портове за достъп, които наброяват по-малко от 1024, за TCP, така и UDP протоколи. След това, можете да конфигурирате услугата да бъде на разположение на Министерството на здравеопазването Web. Например, за WWW ви позволи достъп до порт 80 (по принцип).

    По-строга политика също така забранява на всички входящи UDP-пакети и TCP-пакети, които се опитват да установят връзка от интернет до пристанища, чиито брой надхвърля 1024. По този начин, това правило забранява във връзка с инсталирането на Интернет сигурно LAN, но позволява на всички soedineniniya инициирана от локалната мрежа. При прилагането на тези политики, някои приложения може да спрат да функционират (частично или изцяло - зависи от приложението). Могат да възникнат проблеми с приложения, които са в очакване на отговор от другата страна на пристанището, чийто брой надхвърля 1024. Той също така няма да работи приложения, които използват UDP.

    Когато настроите правила за филтриране е важно да запомните, че правилата ще се търси в таблицата в реда, в който са изброени там, и търсенето на подходящ правило спира след неговото местоположение (невероятно.).

    Следващите примери показват повече или по-малко строги правила, които можете да използвате, когато се установят правила:

    По-малко строги правила:
    За входящите пакети от интернет, ние да направите следното:
    • индивидуално позволи предаването на пакетите от / до номера на порта 1024 за услуги, предоставени за външен достъп
    • позволи преминаването на UDP-пакети от DNS сървъри, номера на порта, за които (лит. / изх.) е равен на 53
    • забранява преминаването на TCP-пакети с дестинация порт 1024
    • забранява преминаването на UDP-пакети с дестинация порт 1024
    Фигурата показва политиката за конфигурация на пакетния филтър:
    По-строга политика:

    Фигурата по-долу показва конфигурация на политиката на пакетния филтър:

    Предотвратяване на достъпа на потребителите до определени услуги в Интернет

    Например, за да откаже достъп до FTP (File Transfer протокол), направете следното:

    Ако използвате прокси сървър, който филтрира на URL адреса и искате да направите вашите потребители да използват LAN прокси вместо директно достъп до интернет, да се използва следното:

    филтър конфигурация пакет

    Правила за безопасност се изпълняват, като се използват следните методи:
    Търсене за правото да се произвежда в реда, в който са показани в диалоговия прозорец на настройките. Когато получите или да изпратите пакет, най-вече търси правилата за интерфейса, от които е получил пакета. за правилата, които са общи за всички интерфейси След това погледнете. След намирането на подходящ правило, търсенето ще спре и да предприеме съответните действия: или пакетът се предава или блокирани. По желание, информацията за пакет се записва във файл или прозорец WinRoute.

    Филтрирането на пакетите може да се зададе в следното меню:

    Настройки => Advanced => Packet Filter => Add / Edit
    • "Протокол"

    Мрежа протокол. Възможни стойности: IP, TCP, UDP, ICMP, PPTP.

  • "Източник" (източник), "Destination" (приемник)

    Можете също да укажете Рин. / Реф. портове за TCP и UDP протоколи.

  • "Тип ICMP" (тип ICMP (само ICMP))

    Използва се за определяне на специален тип съобщение ICMP.

  • "TCP флагове" (TCP флагове (само TCP))

    Не може да има следния текст:

    "Само установени TCP връзки" ( "Само установена връзка TCP"): по правило се прилага, ако опаковката не се създаде нова TCP връзка, т.е. Това не е настроен SYN флаг.

    "Създаване Само TCP връзки" ( "Само при свързване TCP"): правило се прилага, когато се опитват да се създаде пакет от връзката за TCP, т.е. тя е настроена SYN флаг.

    Ако това правило се прилага към пакета, се извършват следните действия:

    Разрешение (разрешение) - пакет се предава в защитена локална мрежа
    Drop (капка) - пакет е отменен
    Deny (отрече) - пакет поток е блокиран

    Ако пакетът е отказано, то се изпраща до източника на уведомлението (съобщение "TCP нулиране" или "ICMP порт недостижим")

  • "Вход Packet" "пакет за запис Дневник"

    Когато използвате това правило е написано на този пакет. Записването се извършва или в прозореца на WinRoute, или във файл.

  • "Важи при" "позволено да. Да."

    Той определя периода от време, през който правилото работи. Можете да активирате прилагането на правилата на времето.

    проверка

    Създаване проверка

    Проверката може да се зададе в следното меню:

    Настройки => Advanced => Anti-Измама => бутона Edit
    • "Всяко" ( "Всички")
  • "От мрежата свързана с този интерфейс" ( "От мрежата свързано с интерфейса")

    Пакети право да премине само директно свързан подмрежа. Тази опция обикновено се използва за LAN интерфейси.

  • "Само тези, които не са разрешени за други интерфейси" ( "Само за да не допуска в други интерфейси")

  • "Или допълнително от." ( "Или по-далеч.")

  • "Вход Packet" ( "Запис на дневник за пакет")

    На всеки опит за нарушаване на правото да прави запис в прозореца WinRoute или във файл.

    • конфигурация проверка Пример

    Следният пример показва трима потребители:
    1. 192.168.1.0, маска 255.255.255.0
    2. 192.168.2.0, маска 255.255.255.0
    3. 194.196.16.0, маска 255.255.255.0

    Проверка е конфигуриран както е показано по-долу:

    Диалог настройки Box:

    Времевите интервали

    могат да се използват интервали от време, например, прилагане на правило мрежа филтриране на определен период от време. име обхват се използва за обозначаване на него.

    Времевите интервали са дадени в следната меню:

    Настройки => интервали Advanced => Час
      може да се създаде брой записи с едно и също име, което позволява много гъвкави време конфигурация.