Konfigurace krok za krokem

Konfigurace krok za krokem

Kerio Technologies

C 2001-2003 Kerio Technologies. Všechna práva vyhrazena.

Datum vydání: 17. prosince 2003 Tento manuál popisuje postup konfigurace lokální sítˇ e s použitím produktu Kerio WinRoute Firewall ve verzi 5.1.8. Zmˇ eny vyhrazeny. Aktuální verzi produktu a manuálu naleznete na WWW stránkách http://www.kerio.com/kwf.

Obsah

1

Konfigurace WinRoute krok za krokem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.1 Konfigurace sít’ových rozhraní . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.2 Instalace WinRoute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 1.3 Základní nastavení komunikaˇ cních pravidel . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 1.4 Nastavení DHCP serveru . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1.5 Nastavení DNS Forwarderu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.6 Vytvoˇ rení uživatelských úˇ ct˚ u a skupin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.7 Skupiny IP adres a ˇ casové intervaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1.8 Nastavení pravidel pro WWW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.9 Nastavení pravidel pro FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 1.10 Nastavení antivirové kontroly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 1.11 Zpˇ rístupnˇ ení služeb z Internetu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 1.12 Nastavení poˇ cítaˇ cu ˚ v lokální síti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3

4

Kapitola 1

Konfigurace WinRoute krok za krokem

Tato kapitola obsahuje podrobný popis konfiguraˇ cních úkon˚ u, které je tˇ reba provést pˇ ri nasazení aplikace Kerio WinRoute Firewall (dále jen WinRoute) v modelové síti. Uvažovaný model zohledˇ nuje vˇ etšinu požadavk˚ u, které vznikají pˇ ri nasazení WinRoute v reálném prostˇ redí — pˇ rístup z lokální sítˇ e do Internetu, ochrana sítˇ e proti pr˚ uniku zvenˇ cí, zpˇ rístupnˇ ení vybraných služeb z Internetu, ˇ rízení pˇ rístupu uživatel˚ u ke službám v Internetu, automatická konfigurace poˇ cítaˇ cu ˚ v lokální síti atd. Konfiguraci WinRoute popíšeme na modelovém pˇ ríkladu sítˇ e dle následujícího obrázku.

1.1 Konfigurace sít’ových rozhraní Rozhraní pˇ ripojené do Internetu Na rozhraní pˇ ripojeném do Internetu nastavíme parametry TCP/IP dle informací od poskytovatele internetového pˇ ripojení (ISP). Jedná-li se o vytáˇ cenou linku (napˇ r. analogový modem nebo ISDN), vytvoˇ ríme v operaˇ cním systému odpovídající telefonické pˇ ripojení.

5

Kapitola 1 Konfigurace WinRoute krok za krokem

Funkˇ cnost internetového pˇ ripojení provˇ eˇ ríme napˇ r. pˇ ríkazem ping nebo otevˇ rením nˇ ejaké WWW stránky v prohlížeˇ ci.

Volba IP adres pro lokální sít’ Pˇ ri výbˇ eru IP adres pro lokální sít’ máme následující možnosti: • použít veˇ rejné IP adresy. Poskytovatel internetového pˇ ripojení pˇ ridˇ elí požadovaný rozsah adres a nastaví odpovídající smˇ erování. • použít privátní IP adresy a pˇ reklad adres (NAT). Tento zp˚ usob je z hlediska administrativní i technické nároˇ cnosti jednodušší, a proto jej doporuˇ cujeme použít. Privátní adresy jsou speciální rozsahy IP adres vyhrazené pro lokální sítˇ e, které nejsou souˇ cástí Internetu (tzv. privátní sítˇ e). Tyto adresy se nesmˇ ejí vyskytovat nikde v Internetu (internetové smˇ erovaˇ ce jsou zpravidla nastaveny tak, aby všechny pakety s tˇ emito adresami zahazovaly). Pro privátní sítˇ e jsou vyhrazeny tyto rozsahy IP adres: • 10.x.x.x, maska subsítˇ e 255.0.0.0 • 172.16.x.x, maska subsítˇ e 255.240.0.0 • 192.168.x.x, maska subsítˇ e 255.255.0.0 Upozornˇ ení: Použití jiných IP adres (mimo výše uvedené rozsahy) v privátní síti m˚ uže mít za následek nedostupnost urˇ citých ˇ cástí Internetu (tˇ ech subsítí, které mají shodou okolností stejné IP adresy)! V našem pˇ ríkladu použijeme pro lokální sít’ privátní IP adresy 192.168.1.0 s maskou subsítˇ e 255.255.255.0.

Rozhraní pˇ ripojené do lokální sítˇ e Na rozhraní pˇ ripojeném do lokální sítˇ e nastavíme tyto parametry: • IP adresa — zvolíme IP adresu 192.168.1.1 • maska subsítˇ e — 255.255.255.0 • výchozí brána — na tomto rozhraní nesmí být nastavena žádná výchozí brána! • DNS server — je-li pˇ ripojení do Internetu realizováno vytáˇ cenou linkou, musí být DNS server nastaven „sám na sebe“, aby fungovalo vytáˇ cení na žádost i ze samotného firewallu (viz kapitola 1.5) — zadáme IP adresu 192.168.1.1. V pˇ rípadˇ e pevné linky není tˇ reba adresu DNS serveru na tomto rozhraní zadávat.

6

1.2 Instalace WinRoute

1.2 Instalace WinRoute Spustíme instalaˇ cní program WinRoute a zvolíme typickou instalaci (Typical). Pokud instalaˇ cní program detekuje Internet Connection Sharing (Sdílení internetového pˇ ripojení , Windows Me, 2000 nebo XP) a/nebo Internet Connection Firewall (Windows XP), musíme tyto služby vypnout, jinak nebude WinRoute pracovat správnˇ e.

V pr˚ uvodci poˇ cáteˇ cní konfigurací nastavíme uživatelské jméno a heslo pro administrátorský pˇ rístup.

7


Po skonˇ cení instalace je tˇ reba poˇ cítaˇ c restartovat.

1.3 Základní nastavení komunikaˇ cních pravidel Spustíme program Kerio Administration Console a pˇ rihlásíme se (použijeme jméno a heslo zadané pˇ ri instalaci). Po prvním pˇ rihlášení se automaticky spustí Pr˚ uvodce komunikaˇ cními pravidly. V pr˚ uvodci nastavíme: • Typ internetového pˇ ripojení (Krok 2) — zvolíme typ rozhraní, kterým je firewall pˇ ripojen k Internetu.

• Rozhraní pˇ ripojené do Internetu (Krok 3) — vybereme adaptér pˇ ripojený do Internetu nebo požadované telefonické pˇ ripojení. V pˇ rípadˇ e telefonického pˇ ripojení zadáme odpovídající uživatelské jméno a heslo.

8

1.3 Základní nastavení komunikaˇ cních pravidel

• Pravidla pro odchozí komunikaci (Krok 4) — povolíme pˇ rístup z lokální sítˇ e ke všem službám v Internetu.

• Pravidla pro pˇ ríchozí komunikaci (Krok 5) — nastavíme mapování SMTP serveru bˇ ežícího na firewallu.

9


Poznámka: V tomto kroku pr˚ uvodce m˚ užeme také nastavit mapování FTP serveru v lokální síti. Pro vˇ etší názornost však použijeme druhý zp˚ usob — definici vlastního komunikaˇ cního pravidla. Podrobnosti naleznete v kapitole 1.11. • Sdílení internetového pˇ ripojení (Krok 6) — v lokální síti budou použity privátní IP adresy, proto aktivujeme pˇ reklad adres (NAT).

1.4 Nastavení DHCP serveru Informace k pˇ ríkladu Poˇ cítaˇ cu ˚m v lokální síti budou pˇ ridˇ eleny IP adresy následovnˇ e: • Souborový server / FTP server bude mít statickou IP adresu 192.168.1.2 (zejména z d˚ uvodu mapování komunikace z Internetu se jeho IP adresa nesmí mˇ enit). • Sít’ová tiskárna bude mít pevnou IP adresu pˇ ridˇ elovanou protokolem DHCP (rezervace v DHCP serveru). Tiskárna nem˚ uže mít dynamickou IP adresu — kdyby se její adresa zmˇ enila, byla by pro klienty nedostupná. Poznámka: V principu nezáleží na tom, zda je IP adresa tiskárny nastavena ruˇ cnˇ e nebo je jí pˇ ridˇ elována pevná adresa DHCP serverem. Pˇ ri použití DHCP serveru odpadá konfigurace samotné tiskárny a její adresa je vidˇ et v seznamu pˇ ridˇ elených adres DHCP serveru. Naopak pˇ ri ruˇ cní konfiguraci adresy bude tiskárna nezávislá na dostupnosti DHCP serveru. • Pracovním stanicím v lokální síti budou pˇ ridˇ elovány dynamické IP adresy (výraznˇ e jednodušší konfigurace).

Konfigurace DHCP serveru V programu Kerio Administration Console zvolíme sekci Konfigurace / DHCP server. Nejprve v záložce Rozsahy adres vytvoˇ ríme rozsah adres dynamicky pˇ ridˇ elovaných pracov-

10

1.4 Nastavení DHCP serveru

ním stanicím (volba Pˇ ridat / Rozsah adres...). Pˇ ri definici rozsahu je tˇ reba specifikovat tyto parametry: • První adresa — zvolíme 192.168.1.10 (IP adresy 192.168.1.1 - 192.168.1.9 z˚ ustanou vyhrazeny pro servery a tiskárny) • Poslední adresa — 192.168.1.254 (nejvyšší možná pro zvolenou subsít’) • Maska subsítˇ e — 255.255.255.0 • Výchozí brána — IP adresa rozhraní firewallu pˇ ripojeného do lokální sítˇ e (192.168.1.1). Poznámka: Výchozí brána urˇ cuje, kudy budou smˇ erovány pakety z lokální sítˇ e do Internetu. P˚ ujdou-li pˇ res WinRoute, bude možné filtrovat komunikaci, vyžadovat ovˇ eˇ rování uživatel˚ u atd. • DNS server — IP adresa rozhraní firewallu pˇ ripojeného do lokální sítˇ e (viz kapitola 1.5) Dále volbou Pˇ ridat / Rezervaci... vytvoˇ ríme rezervaci pro sít’ovou tiskárnu. Rezervovaná IP adresa nemusí být z výše uvedeného rozsahu, musí ale náležet do zvolené subsítˇ e (v tomto pˇ ríkladu rezervujeme adresu 192.168.1.3). Pro vytvoˇ rení rezervace je tˇ reba znát hardwarovou (MAC) adresu tiskárny.

11


TIP: Neznáte-li hardwarovou adresu tiskárny, nevytváˇ rejte rezervaci ruˇ cnˇ e. Po aktivaci DHCP serveru pˇ ripojte tiskárnu do sítˇ e. Tiskárnˇ e bude pˇ ridˇ elena IP adresa z definovaného rozsahu (viz výše). V záložce Pˇ ridˇ elené IP adresy tuto adresu oznaˇ cte a stisknˇ ete tlaˇ cítko Rezervovat... — zobrazí se dialog pro rezervaci adresy, ve kterém bude již vyplnˇ ena pˇ ríslušná hardwarová adresa. Doplˇ nte požadovanou IP adresu, pˇ rípadnˇ e popis a stisknˇ ete tlaˇ cítko OK. Pak tiskárnu restartujte. Po restartu DHCP server tiskárnˇ e pˇ ridˇ elí správnou IP adresu.

12

1.5 Nastavení DNS Forwarderu

Poznámky: 1.

DHCP server doporuˇ cujeme aktivovat až po definici všech požadovaných rozsah˚ u a rezervací. Výjimkou je pouze pˇ rípad, kdy potˇ rebujeme zjistit MAC adresu klienta (viz výše).

2.

Pro automatickou konfiguraci sít’ových zaˇ rízení lze použít i jiný DHCP server v lokální síti. V parametrech pro pˇ ríslušný rozsah adres na tomto DHCP serveru nastavte jako adresu výchozí brány a DNS serveru IP adresu rozhraní firewallu pˇ ripojeného do lokální sítˇ e.

1.5 Nastavení DNS Forwarderu V sekci Konfigurace / DNS Forwarder nastavíme DNS servery, kterým budou DNS dotazy pˇ redávány. • Je-li na adaptéru pˇ ripojeném do lokální sítˇ e nastaven DNS server „sám na sebe“ (obvykle pˇ ri použití vytáˇ cené linky — viz kapitola 1.1), pak je tˇ reba zvolit Pˇ redávat dotazy tˇ emto DNS server˚ um a uvést IP adresy jednoho nebo více DNS server˚ u v Internetu. Nejvhodnˇ ejší je použít DNS servery poskytovatele internetového pˇ ripojení (jsou nejsnáze dosažitelné). Jejich IP adresy dodá pˇ ríslušný poskytovatel. • V pˇ rípadˇ e pevné linky m˚ užeme ponechat výchozí volbu Pˇ redávat DNS dotazy serveru automaticky vybranému... — WinRoute použije nˇ ekterý z DNS server˚ u nastavených na internetovém rozhraní. Upozornˇ ení: Je-li nastaven DNS server „sám na sebe“, pak nelze použít automatický výbˇ er DNS serveru — DNS Forwarder by nefungoval správnˇ e. Tlaˇ cítkem Editovat... otevˇ reme editor systémového souboru hosts. Zde uvedeme IP adresy a jména všech poˇ cítaˇ cu ˚, kterým byla IP adresa nastavena ruˇ cnˇ e (vˇ cetnˇ e firewallu). Je-li používána lokální DNS doména (napˇ r. firma.cz), uvedeme ji do pole Pˇ ri prohledávání souboru ’hosts’.... DNS Forwarder pak bude správnˇ e zodpovídat dotazy na jména poˇ cítaˇ cu ˚ v lokální síti (napˇ r. fw) i na jejich plná DNS jména (napˇ r. fw.firma.cz).

1.6 Vytvoˇ rení uživatelských úˇ ct˚ u a skupin V sekci Uživatelé a skupiny / Uživatelé vytvoˇ ríme uživatelské úˇ cty pro všechny uživatele v lokální síti. Je-li v lokální síti použita Windows NT nebo Windows 2000 doména, m˚ užeme uživatelské úˇ cty importovat z domény a/nebo nastavit ovˇ eˇ rování v této doménˇ e. Všichni uživatelé tak budou mít jednotné uživatelské jméno a heslo ke všem sít’ovým zdroj˚ um.

13


Jméno Windows NT, resp. Windows 2000 domény musíme zadat do pˇ ríslušné položky v sekci Další Volby / Ovˇ eˇ rování uživatele.

14

1.7 Skupiny IP adres a ˇ casové intervaly

V sekci Uživatelé a skupiny / Skupiny vytvoˇ ríme skupiny uživatel˚ u, které použijeme pˇ ri ˇ rízení pˇ rístupu uživatel˚ u na Internet. Do každé skupiny zaˇ radíme požadované uživatele.

1.7 Skupiny IP adres a ˇ casové intervaly V sekci Definice / Skupiny IP adres vytvoˇ ríme skupinu adres, kterou použijeme pro omezení pˇ rístupu k elektronické poštˇ e (viz kapitola 1.11). Tato skupina bude tvoˇ rena dvˇ ema IP adresami 123.23.32.123, 50.60.70.80 a celou subsítí 195.95.95.128 s maskou 255.255.255.248. Pˇ ridání IP adresy: Pˇ ridání subsítˇ e:

15


Poznámka: Jméno musí být ve všech pˇ rípadech shodné, aby byly všechny položky zaˇ razeny do jedné skupiny. Výsledná skupina IP adres: ˇ V sekci Definice / Casové intervaly vytvoˇ ríme skupinu pro omezení pˇ rístupu v pracovní dobˇ e (pondˇ elí — pátek 8:00 — 16:30 hod., sobota a nedˇ ele 8:00 — 12:00 hod.). Definice pracovní doby ve dnech pondˇ elí — pátek:

16

1.7 Skupiny IP adres a ˇ casové intervaly

Definice pracovní doby o víkendu (sobota a nedˇ ele): Poznámky: 1.

V obou pˇ rípadech m˚ užeme v položce Platnost využít pˇ reddefinované skupiny dn˚ u v týdnu (Pracovní dny a Víkend) — nemusíme zaškrtávat jednotlivé dny.

2.

Položka Jméno musí být v obou pˇ rípadech stejná, aby došlo k vytvoˇ rení jednoho ˇ casového intervalu.

Výsledný ˇ casový interval Pracovní doba:

17


1.8 Nastavení pravidel pro WWW Požadavky Pˇ rístup na WWW stránky má být omezen následujícím zp˚ usobem: • filtrování reklam na WWW stránkách • zákaz pˇ rístupu na stránky s erotickým obsahem

18

1.8 Nastavení pravidel pro WWW

• zákaz pˇ rístupu na stránky z nabídkou pracovních míst, tyto stránky musejí z˚ ustat pˇ rístupné ˇ clen˚ um personálního oddˇ elení • pˇ ri pˇ rístupu na WWW bude vyžadováno ovˇ eˇ rení uživatele (lze tak lépe sledovat, jaké stránky kteˇ rí uživatelé navštˇ evují)

Pˇ reddefinovaná pravidla pro HTTP V sekci Konfigurace / Filtrování obsahu / Pravidla, záložka Pravidla pro URL, jsou již pˇ reddefinována základní pravidla:

Remove advertisment and banners Filtrování reklam a reklamních pruh˚ u. Na základˇ e tohoto pravidla jsou zahazovány všechny objekty, jejichž URL patˇ rí do (rovnˇ ež pˇ reddefinované) skupiny URL Ads/banners. Toto pravidlo staˇ cí pouze aktivovat (zaškrtnout). Poznámka: V urˇ citých pˇ rípadech m˚ uže dojít k zahození stránky, která není reklamou. Pak je tˇ reba ze skupiny Ads/banners vyˇ radit položku, která zp˚ usobuje problémy, nebo pˇ ridat pˇ red toto pravidlo výjimku pro konkrétní stránky (doporuˇ cujeme druhou z uvedených možností). Deny sites rated in Cobion categories Zákaz pˇ rístupu na WWW stránky, které systém Cobion Orange Filter klasifikuje do nˇ ekteré z vybraných kategorií. V definici pravidla musíme (po stisku tlaˇ cítka Vybrat hodnocení...) zvolit kategorie, které chceme blokovat. Pro zákázání pˇ rístupu na stránky s erotickým obsahem zaškrtneme kategorie v sekci Pornography. Poznámky: 1.

Základní licence WinRoute systém Cobion Orange Filter neobsahuje (je tˇ reba zakoupit speciální licenci). Ve zkušební verzi WinRoute je tento systém k dispozici.

2.

Systém Cobion Orange Filter ve WinRoute musí komunikovat s databázovými servery. Komunikaˇ cní pravidla proto musejí povolit pˇ rístup z firewallu ke službˇ e

19


COFS (6000/tcp). Komunikaˇ cní pravidla vytvoˇ rená pr˚ uvodcem povolují všechnu komunikaci z firewallu do Internetu — v tomto pˇ rípadˇ e není tˇ reba definovat další pravidlo. 3.

Pravidel pro URL využívajících systém Cobion Orange Filter m˚ uže být definováno více. V každém pravidle m˚ uže být nastaveno více kategorií.

4.

V pravidlech využívajících systém Cobion Orange Filter je vhodné povolit „odemknutí“. Za urˇ citých okolností m˚ uže dojít k nesprávné klasifikaci stránky a tím k zamezení pˇ rístupu k užiteˇ cným informacím. Všechny požadavky na odemknutí pravidel se zaznamenávají do záznamu Filter — zde m˚ užeme zkontrolovat, zda byl požadavek uživatele oprávnˇ ený ˇ ci nikoliv.

Authenticate all users Vyžadovat pˇ rihlášení všech uživatel˚ u pˇ ri pˇ rístupu na WWW stránky (a povolit pˇ rístup ovˇ eˇ reným uživatel˚ um). Je-li povolen pˇ rístup pouze ovˇ eˇ reným uživatel˚ um, není Internet využíván anonymnˇ e a m˚ užeme detailnˇ e sledovat ˇ cinnost jednotlivých uživatel˚ u (záznam Web, resp. HTTP). Poznámka: V definici pravidla pro URL lze v záložce Upˇ resnˇ ení zadat text, který se uživateli zobrazí pˇ ri pokusu o pˇ rístup na zakázanou stránku.

20

1.8 Nastavení pravidel pro WWW

Definice vlastních pravidel pro URL Za pravidlo vyžadující ovˇ eˇ rení všech uživatel˚ u m˚ užeme pˇ ridávat pravidla vztahující se na konkrétní uživatele nebo skupiny uživatel˚ u. Pˇ ridáme pravidlo povolující pˇ rístup na stránky s nabídkou pracovních míst skupinˇ e uživatel˚ u Personální oddˇ elení .

Za toto pravidlo pˇ ridáme pravidlo zakazující pˇ rístup na stránky s nabídkou pracovních míst všem uživatel˚ um.

21


Poznámka: V obou pravidlech je vybrána jediná kategorie JobSearch.

Nastavení HTTP cache Cache slouží ke zrychlení pˇ rístupu na opakovanˇ e navštˇ evované WWW stránky a snížení zatížení internetového pˇ ripojení (v pˇ rípadˇ e mˇ eˇ rené linky se také sníží objem pˇ renesených dat), proto ji doporuˇ cujeme použít. V sekci Konfigurace / Filtrování obsahu / Pravidla pro HTTP, záložka Cache zapneme volby Povolit cache pro transparentní proxy a Povolit cache pro proxy server (nezáleží na tom, zda jsou využity oba typy pˇ rístupu nebo pouze nˇ ekterý z nich). V položce Velikost cache nastavíme velikost cache dle potˇ reby a s ohledem na velikost dostupného místa na disku. Výchozí hodnota je 1 GB (1024 MB), maximum je 2 GB (2048 MB).

22

1.9 Nastavení pravidel pro FTP

1.9 Nastavení pravidel pro FTP Požadavky Používání FTP bude omezeno následujícím zp˚ usobem: • zákaz pˇ renosu hudebních soubor˚ u formátu MP3 • zákaz pˇ renosu videa (*.avi) v pracovní dobˇ e • zákaz uploadu (ukládání soubor˚ u na FTP servery) — zabránˇ ení úniku informací z firmy

Pˇ reddefinovaná pravidla pro FTP Omezení FTP nastavíme v sekci Konfigurace / Filtrování obsahu / Pravidla pro FTP. Pro všechna požadovaná omezení m˚ užeme využít pˇ reddefinovaných pravidel.

23


Forbid *.mpg, *.mp3 and *.mpeg files Zákaz pˇ renosu zvukových soubor˚ u uvedených formát˚ u. Toto pravidlo staˇ cí pouze zapnout. Forbid *.avi files Zákaz pˇ renosu videa. Zapneme toto pravidlo, tlaˇ cítkem Zmˇ enit jej otevˇ reme a v záložce Upˇ resnˇ ení nastavíme ˇ casový interval Pracovní doba.

Forbid upload Zákaz ukládání dat na FTP server — staˇ cí pouze zapnout.

24

1.9 Nastavení pravidel pro FTP

Upozornˇ ení FTP pravidla se vztahují na všechnu komunikaci protokolem FTP, která je obsluhována inspekˇ cním modulem FTP. V našem pˇ ríkladu chceme zpˇ rístupnit z Internetu FTP server v lokální síti. Pravidlo Forbid upload zakazuje upload také na tento server, což není žádoucí. Proto musíme pˇ red pravidlo Forbid upload pˇ ridat pravidlo, které povoluje upload na tento FTP server.

Poznámky: 1.

Jako IP adresa FTP serveru musí být uvedena adresa poˇ cítaˇ ce v lokální síti, na kterém FTP server skuteˇ cnˇ e bˇ eží. Nelze uvést vnˇ ejší IP adresu firewallu, z níž je FTP server mapován (pˇ reklad adres se provádí pˇ red zpracováním pravidel pro filtrování obsahu)!

2.

Obdobným zp˚ usobem lze povolit i upload na konkrétní FTP server v Internetu, zatímco na všechny ostatní FTP servery bude zakázán.

25


1.10 Nastavení antivirové kontroly Chceme-li použít nˇ ektrý z podporovaných externích antivir˚ u, nainstalujeme jej. Antivirus McAfee je souˇ cástí WinRoute a pro jeho ˇ cinnost je tˇ reba pouze speciální licence. V sekci Konfigurace / Filtrování obsahu / Antivirus vybereme požadovaný antivirový program a nastavíme typy soubor˚ u, které mají být antivirem kontrolovány. Ve výchozím nastavení jsou kontrolovány všechny spustitelné soubory a soubory aplikací sady Microsoft Office — toto nastavení je zpravidla postaˇ cující.

1.11 Zpˇ rístupnˇ ení služeb z Internetu V sekci Konfigurace / Komunikaˇ cní pravidla pˇ ridáme pravidla pro služby, které mají být pˇ rístupné z Internetu. • pˇ rístup ke službám poštovního serveru (kromˇ e SMTP) — povolíme pouze z požadovaných IP adres.

26

1.12 Nastavení poˇ cítaˇ cu ˚ v lokální síti

Poznámky: 1.

Toto pravidlo povoluje pˇ rístup ke službám IMAP i POP3 v zabezpeˇ cené i nezabezpeˇ cené verzi — klienti si mohou vybrat, jakou službu budou využívat.

2.

Služba SMTP byla mapována pomocí pr˚ uvodce komunikaˇ cními pravidly (viz kapitola 1.3) — pˇ ríslušné pravidlo v tomto okamžiku již existuje.

3.

Poslat e-mail do lokální domény smí kdokoliv, proto nelze ke službˇ e SMTP omezovat pˇ rístup pouze z urˇ citých IP adres.

• zpˇ rístupnˇ ení (mapování) lokálního FTP serveru

Poznámka: Všechna povolující pravidla musí být umístˇ ena nad zakazujícími pravidly.

1.12 Nastavení poˇ cítaˇ cu ˚ v lokální síti Na poˇ cítaˇ ci, který slouží jako souborový server a FTP server, nastavíme parametry TCP/IP ruˇ cnˇ e (jeho IP adresa se nesmí mˇ enit): • IP adresa — zadáme adresu 192.168.1.2 (viz kapitola 1.4) • výchozí brána, DNS server — zadáme IP adresu pˇ ríslušného rozhraní firewallu, tj. 192.168.1.1 Na pracovních stanicích nastavíme automatickou konfiguraci pomocí DHCP (ve vˇ etšinˇ e operaˇ cních systém˚ u výchozí nastavení po instalaci).

27


28

1.12 Nastavení poˇ cítaˇ cu ˚ v lokální síti

29

Konfigurace krok za krokem

Recommend Documents