Nastavení firewallu pro AVG 7.5

Nastavení firewallu pro AVG 7.5

Revize dokumentu 75.2 (8.2.2007) Copyright GRISOFT, s.r.o. Všechna práva vyhrazena. Tento produkt používá RSA Data Security, Inc. MD5 Message-Digest Algorithm, Copyright (C) 1991-2, RSA Data Security, Inc. Created 1991. Tento produkt obsahuje kód knihovny C-SaCzech, Copyright (c) 1996-2001 Jaromír Doleček <[email protected]>. Tento produkt používá kompresní knihovnu zlib Copyright (C) 1995-1998 Jean-loup Gailly and Mark Adler Všechny ostatní obchodní značky jsou majetkem jejich registrovaných vlastníků.

2

Obsah 1. Úvod ...................................................................................................... 3 2. Brána firewall pro Windows XP (Centrum zabezpečení) ........................ 4 3. Kerio Personal Firewall .......................................................................... 8 3. Zone Alarm Pro .................................................................................... 13 4. Microsoft ISA Server ............................................................................ 16 5. Agnitum Outpost Firewall .................................................................... 23 6. Sygate Personal Firewall...................................................................... 26 7. Kerio Winroute Firewall ....................................................................... 30 8. Technická podpora ............................................................................... 31

3

1. Úvod Máte-li na svém počítači nainstalován AVG a současně používáte firewall, mohou nastat problémy při odesílání / přijímání emailů nebo při stahování aktualizací AVG. Tento průvodce popisuje nastavení parametrů firewall požadované pro zpřístupnění všech funkcí AVG. Dokument zahrnuje konfigurační instrukce a doporučení k následujícím typům firewallů: z

Brána firewall pro Windows XP (Centrum zabezpečení)

z

Kerio Personal Firewall

z

Zone Alarm Pro firewall

z

Microsoft ISA Server

z

Agnitum Outpost Firewall

z

Sygate Personal Firewall

z

Kerio Winroute Firewall

4

2. Brána firewall pro Windows XP (Centrum zabezpečení) Za normálních podmínek je výchozí konfigurace Brány firewall pro Windows XP nastavena tak, že nedochází ke kolizi s konfigurací programu AVG. Pravděpodobně se s žádnými problémy nesetkáte. Pokud k tomu však dojde, postupujte následovně: z

Konfigurace Brány firewall pro Windows XP Otevřete dialogové okno konfigurace Windows Firewall: Start / Nastavení / Ovládací panel / Brána Firewall. Na záložce Obecné ověřte, že není vybrána položka Nepovolovat výjimky.

z

Definujte výjimky Přejděte na záložku Výjimky, kde najdete seznam aplikací, které nemají povolen přístup k internetu. Je potřeba povolit přístup k internetu všem aplikacím AVG. Toho dosáhnete označením všech políček vztažených k jednotlivým AVG aplikacím v seznamu programů a služeb (viz následující obrázek).

5

Pro AVG musí být v seznamu povoleny tyto aplikace: o

AVG pro Windows

o

AVG Control Center

o

avgemc.exe (pouze v případě, že je nainstalován obecný e-mail scanner – AVG EMS)

o

avginet.exe

Nejsou-li tyto aplikace v seznamu výjimek uvedeny, je nutné je do něj ručně přidat pomocí tlačítka Přidat program (viz předchozí obrázek). z

Přidání nového programu Nové dialogové okno se otevře s nabídkou seznamu programů, které lze přidat do seznamu výjimek Brány Firewall. Ze seznamu vyberte všechny AVG aplikace a jejich přidání do seznamu výjimek Brány firewall potvrďte tlačítkem OK (viz následující obrázek):

6

Pokud v seznamu programů dialogu Přidat program nenajdete žádné AVG aplikace, je třeba je přidat do seznamu výjimek ručně. Stiskem tlačítka Procházet otevřete dialog se strukturou adresářů lokálního disku a vyhledejte uvedené soubory (avgw.exe, avgcc.exe, avginet.exe a avgemc.exe) v programovém adresáři AVG7 (výchozí nastavení C:\Program Files\Grisoft\AVG7):

Přidání zvolených souborů do seznamu výjimek Brány firewall potvrďte stiskem tlačítka OK v dialogu Přidat program. z

Vzdálená správa AVG Pokud je stanice, na níž nastavujete konfiguraci AVG, součástí Vzdálené správy AVG a zároveň o

je stanice zapojena do Vzdálené správy AVG a připojena k AVG DataCenter;

7

o

je na stanici spuštěn program AVGADMIN a AVG TCP Server;

o

je na stanici spuštěn program AVGADMIN;

je nutné specifikovat, které porty mají být v Bráně firewall pro Windows XP otevřeny. Čísla portů zadejte v dialogu Přidat port, který vyvoláte stiskem tlačítka Přidat port a záložce Výjimky:

Je nutné zadat následující čísla portů: o

4156

o

6051

o

6052

o

6053

o

6150

8

3. Kerio Personal Firewall U Kerio Personal Firewall bude pravděpodobně nutné nastavit konfiguraci tak, aby bylo AVG (a jeho aplikacím) povoleno připojovat se k internetu (odesílat a přijímat data) a spouštět další aplikace (provádět aktualizaci). Při nastavení konfigurace Kerio Personal Firewall postupujte takto: z

Spusťte Kerio Personal Firewall Ve vaší systémové liště by měla být zobrazena ikona Kerio Personal Firewall ve tvaru štítu. Poklepáním na tuto ikonu otevřete konfigurační okno Kerio Personal Firewall. Pokud v systémové liště taková ikona není, je nutné spustit aplikaci Firewall Engine ve složce Všechny programy / Kerio / Personal Firewall X z hlavního menu Windows Start. Číslo X označuje verzi produktu (například 4). Poté již bude ikona Kerio Personal Firewall v systémové liště přítomna.

z

Síťová bezpečnost Volbou položky Síťová bezpečnost (levé menu), záložka Aplikace (horní menu) zobrazíte přehled programů spolu s informací o tom, zda jednotlivé programy mají povoleno připojit se k internetu. V tomto seznamu ověřte, že všechny aplikace AVG jsou označeny povolit ve všech polích (Důvěryhodné Příchozí/Odchozí a Internet Příchozí/Odchozí). Zde je seznam aplikací AVG, pro které je třeba povolit síťovou komunikaci vždy: o

avginet.exe – aplikace, zajišťující aktualizace AVG z internetu (implicitně umístěna v adresáři Program Files/Grisoft/Avg7)

o

avgemc.exe – E-mail Scanner pro antivirovou kontrolu elektronické pošty (implicitně umístěno v adresáři Program Files/Grisoft/Avg7)

Následující dvě aplikace musí mít povolen přístup k síti, pokud je stanice součástí systému Vzdálené správy AVG: o

avgmsvr.exe – komponenta Správce událostí AVG (implicitně umístěna v adresáři Program Files/Grisoft/Avg7)

o

avgcc.exe – aplikace AVG Control Center (implicitně umístěna v adresáři Program Files/Grisoft/Avg7)

Konečně, pokud jsou na stanici instalovány hlavní řídící součásti Vzdálené správy AVG, musí mít síťovou komunikaci povoleny také tyto aplikace: o

avgadmin.exe – program AVGADMIN, hlavní aplikace Vzdálené správy AVG (pokud je produkt nainstalován, nachází se implicitně v adresáři Program Files/Grisoft/AvgAdmin7)

o

avgtcpsv.exe – aplikace AVG TCP Server systému Vzdálené správy AVG (pokud je produkt nainstalován, nachází se implicitně v adresáři Program Files/Grisoft/Avg TCP Server)

o

avginetl.exe – aplikace AVG InetLite (pokud je instalována, nachází se implicitně v adresáři Program Files/Grisoft/Avg TCP Server)

9

Pokud má některá z AVG aplikací zakázáno připojovat se k internetu, je nutné změnit její status. Klikněte na konkrétní položku v seznamu pravým tlačítkem myši a z kontextového menu vyberte možnost Povolit.

Pro uložení změn v nastavení bezpečnostní politiky stiskněte tlačítko Použít v okně Kerio Personal Firewall / Síťová bezpečnost (pokud změny neuložíte ihned, na uložení budete posléze dotázáni). Pokud nějaká aplikace AVG na seznamu chybí, bude přidána, jakmile ji spustíte a/nebo ve chvíli, kdy se pokusí komunikovat po síti. V takovém případě se objeví příslušné varování systému Kerio Personal Firewall, vztahující se k dané aplikaci AVG:

10

Zde klikněte na tlačítko Povolit a pak obnovte seznam aplikací v okně Kerio Personal Firewall / Síťová bezpečnost (pomocí tlačítka Obnovit v pravém dolním rohu). Nyní můžete příslušné aplikaci povolit síťovou komunikaci tak, jak je popsáno na začátku této části. z

Bezpečnost systému Volbou položky Bezpečnost systému (levé menu), záložka Aplikace (horní menu) zobrazíte přehled programů spolu s informací, zda mají jednotlivé programy povoleno spouštět další aplikace (například aktualizace). Ujistěte se, že všechny AVG aplikace mají tuto možnost povolenu – tj. jsou označeny termínem povolit. Pokud má některá z AVG aplikací zakázáno spouštět další aplikace, je nutné změnit její status. Klikněte pravým tlačítkem myši na konkrétní program v seznamu a z kontextového menu zvolte možnost Povolit pro všechna pole (Spouštění, Změna a Spouštění jiných aplikací).

11

Pro uložení změn v nastavení bezpečnostní politiky stiskněte tlačítko Použít v okně Kerio Personal Firewall / Bezpečnost systému (pokud změny neuložíte ihned, na uložení budete posléze dotázáni). Pokud nějaká aplikace AVG na seznamu chybí, bude přidána poté, co se pokusí spustit jinou aplikaci. V takovém případě se objeví příslušné varování systému Kerio Personal Firewall, vztahující se k dané aplikaci AVG:

12

Zde klikněte na tlačítko Povolit a pak obnovte seznam aplikací v okně Kerio Personal Firewall / Bezpečnost systému (pomocí tlačítka Obnovit v pravém dolním rohu). Nyní můžete příslušné aplikaci povolit příslušné akce tak, jak je popsáno na začátku této části.

13

3. Zone Alarm Pro U Zone Alarm Pro bude pravděpodobně potřebné nastavit konfiguraci tak, aby se aplikace AVG mohly připojovat k internetu (posílat a přijímat data) a spouštět další aplikace (provádět aktualizace). Chcete-li konfigurovat Zone Alarm Pro, postupujte následovně: z

Spusťte Zone Alarm Pro Ve vaší systémové liště by měla být přítomna ikona ZoneAlarm Pro. Poklepáním na tuto ikonu otevřete konfigurační okno ZoneAlarm Pro. Pokud v systémové liště taková ikona není, je nutné spustit aplikaci Zone Labs Security ve složce Všechny programy / Zone Labs z hlavního menu Windows Start. Poté již bude ikona ZoneAlarm Pro v systémové liště zobrazena.

z

Okno Program Control Volbou položky Program Control (levé menu), záložka Programs (horní menu) zobrazíte seznam programů spolu s informací o tom, zda mají tyto programy povoleno připojovat se k internetu. V seznamu ověřte, že všechny AVG aplikace jsou označeny jako povolené (zelená značka).

Pokud AVG aplikace nemají přístup i internetu povolen, je třeba změnit jejich status: na požadovanou položku klikněte pravým tlačítkem myši a z kontextového menu vyberte možnost confirmation mark. Zde je seznam aplikací AVG, pro které je třeba povolit síťovou komunikaci vždy:

14

o


o




o


Konečně, pokud jsou na stanici instalovány hlavní řídící součásti Vzdálené správy AVG, musí mít síťovou komunikaci povoleny také tyto aplikace:

z

o


o


o


Přidání programu Pokud kterákoli z potřebných aplikací výše uvedeného seznamu chybí v záložce Program okna ZoneAlarm Pro / Program Control, je nutné ji přidat manuálně. Stiskněte tlačítko Add v pravém dolním rohu tohoto okna:

V následujícím dialogu vyberte všechny potřebné aplikace:

15

Odpovídající soubory jsou implicitně umístěny v programovém adresáři Grisoft (Program Files/Grisoft/AVG7, Program Files/Grisoft/AvgAdmin7 nebo Program Files/Grisoft/Avg TCP Server), jak je popsáno v seznamu v předchozí části tohoto dokumentu. z

Ochrana elektronické pošty V dialogu otevřeném volbou položky E-mail Protection (levé menu), záložka Main (horní menu) deaktivujte ochranu příchozí a odchozí elektronické pošty implementovanou v Zone Alarm Pro. Vypnutím této možnosti ochrany umožníte aktivaci monitorování elektronické pošty komplexním nástrojem kontroly AVG.

16

4. Microsoft ISA Server Veškerý síťový provoz je po instalaci ISA Serveru implicitně blokován. Pokud chcete aplikacím AVG povolit síťovou komunikaci, musíte vytvořit v prostředí ISA Serveru alespoň jedno odpovídající pravidlo. Pro vytvoření pravidla postupujte podle následujících kroků: z

Otevřete hlavní konfigurační okno Microsoft ISA Server

z

Spusťte průvodce New Access Rule Wizard V hlavním navigačním stromě na levé straně okna zvolte položku Microsoft internet Security and Acceleration Server 2004. Zde by mělo být zobrazeno jméno vašeho počítače. Rozbalte tuto větev (například poklepáním na ikonu počítače v navigačním stromě) a zvolte položku Firewall Policy:

Na záložce Tasks v pravé části okna zvolte akci Create New Access Rule. Otevře se okno průvodce. z

Pokračujte v průvodci New Access Rule Wizard Zadejte jméno nového pravidla (např. AVG):

17

V následujícím okně zvolte možnost Allow (účelem pravidla je propouštět síťovou komunikaci aplikací AVG):

V následujícím okně Protocols zvolte možnost Selected protocols v poli This rule applies to:

18

Použijte tlačítko Add k otevření stromové nabídky s protokoly, jež je možné přidat:

Zvolte protokoly HTTP a HTTPS pomocí tlačítka Add v okně Add Protocols.

19

Pokud je stanice součástí systému Vzdálené správy AVG, nebo pokud na stanici běží programy AVGADMIN či AVG TCP Server, je nutné přidat také protokol TCP. Kterákoli stanice může nicméně v určitých případech (např. při provádění aktualizace z lokálního webového serveru) komunikovat pomocí TCP, proto doporučujeme spojení pomocí TCP protokolu přidat vždy! Tento protokol není na seznamu, je tedy nutné vytvořit pro něj nový záznam pomocí tlačítka New v horní oblasti okna Add Protocols. Poté je spuštěn průvodce New Protocol Definition Wizard. Zadejte jméno pro záznam nového protokolu (např. AVGADMIN). Stiskněte tlačítko New. Objeví se okno New/Edit Protocol Connection:

Pro jednotlivá pole v tomto zadejte tyto hodnoty: o

Protocol type – TCP

o

Direction – Outbound

o

Port Range – od 4156 do 4156

Pro potvrzení změn stiskněte tlačítko OK. Poté stejný postup vytvoření nového spojení zopakujte ještě jednou. Všude zadejte stejné hodnoty, ovšem vyjma rozsahu portů – zde je nyní nutné zadat od 6051 do 6053. Okno průvodce New Protocol Definition Wizard by poté mělo vypadat takto:

20

Pro pokračování stiskněte tlačítko Next. V dalším okně s výzvou pro druhotná spojení (secondary connections) zvolte možnost No a pokračujte po stisknutí tlačítka Next. Dokončete průvodce New Protocol Definition Wizard tlačítkem Finish. Nyní můžete nově vytvořené spojení protokolem TCP přidat v okně Add Protocols:

21

Nové spojení je ve stromové nabídce pod složkou User-Defined. K jeho přidání použijte tlačítko Add. Okno Protocols průvodce New Access Rule Wizard by pak mělo vypadat takto:

22

Pokračujte pomocí tlačítka Next. V dalších dvou oknech vyberte zdrojové a cílové oblasti pro vybraná spojení. Pomocí tlačítka Add vyberte ve stromové nabídce External, Localhost a Internal (v případě, že váš ISA Server slouží jako internetová brána pro ostatní počítače ve vaší síti). Obě okna pro zdrojové a cílové oblasti by poté měla vypadat takto:

Pro pokračování stiskněte tlačítko Next a poté dokončete průvodce pomocí tlačítka Finish. Uložte změny v nastavení Firewall policy tlačítkem Apply, které je umístěno nad seznamem pravidel. Microsoft ISA Server by poté měl být korektně nastaven tak, aby umožňoval všem potřebným aplikacím AVG komunikovat po síti.

23

5. Agnitum Outpost Firewall Po instalaci tohoto produktu budete při spouštění některých programů využívajících síťovou komunikaci dotazováni na povolení spojení pro příslušné aplikace. To se může týkat i produktů AVG. Firewall můžete obecně nastavit tak, aby trvale povolil síťovou komunikaci pro všechny aplikace AVG. Nijak tím nesnížíte úroveň ochrany vašeho počítače - naopak umožníte aplikacím AVG plně využívat veškeré funkce určené pro maximalizaci jejich účinnosti. z

Povolení aktivit pro aplikaci Firewall reaguje vždy, když se neznámá aplikace snaží komunikovat po síti. To platí i pro aplikace AVG předtím, než je ve firewallu nakonfigurujete manuálně. Vždy je zobrazeno následující okno (v tomto příkladě jde o aplikaci AVG Control Center):

Zvolte a stiskněte tlačítko OK. To stejné proveďte i v případě ostatních aplikací AVG, je-li to zapotřebí. z

Nastavení firewallu Aplikacím AVG byste nicméně měli trvale povolit síťovou komunikaci obecně již předtím, než se o to pokusí. Chcete-li tak učinit (doporučeno!), otevřete hlavní okno produktu Agnitum Outpost Firewall:

24

Aplikace s povoleným přístupem přidáte po kliknutí pravým tlačítkem myši na položku Plugins v hlavním navigačním stromu okna. Poté v kontextovém menu zvolte položku Options. Otevře se nové okno, v kterém je nutné přejít na záložku Applications:

Pomocí tlačítka Add postupně dle následujícího seznamu přidejte všechny aplikace AVG, které jsou na vašem počítači aktuálně nainstalovány. Zde je seznam aplikací AVG, pro které je třeba povolit síťovou komunikaci vždy:

25

o


o




o




o


o


Potvrďte výběr aplikací tlačítkem OK. Poté by měly být všechny prvky síťové komunikace AVG plně funkční.

26

6. Sygate Personal Firewall Také po instalaci Sygate Personal Firewall budete při spouštění některých programů využívajících síťovou komunikaci dotazováni na povolení spojení pro příslušné aplikace. To se může týkat i produktů AVG. Firewall můžete obecně nastavit tak, aby trvale povolil síťovou komunikaci pro všechny aplikace AVG. Nijak tím nesnížíte úroveň ochrany vašeho počítače - naopak umožníte aplikacím AVG plně využívat veškeré funkce určené pro maximalizaci spolehlivosti vašeho antivirového systému. z

Povolení aktivit pro aplikaci Firewall reaguje vždy, když se neznámá aplikace snaží komunikovat po síti. To platí i pro aplikace AVG předtím, než je ve firewallu nakonfigurujete manuálně. Vždy je zobrazeno následující okno (v tomto příkladě jde o aplikaci AVG Control Center):

Zaškrtněte pole Remember my answer… a stiskněte tlačítko Yes. To stejné proveďte i v případě ostatních aplikací AVG, je-li to zapotřebí. z

Nastavení firewallu Aplikacím AVG byste nicméně měli trvale povolit síťovou komunikaci obecně již předtím, než se o to pokusí. Chcete-li tak učinit (doporučeno!), otevřete hlavní okno produktu Sygate Personall Firewall:

27

Ve složce Tools v hlavním menu zvolte položku Advanced Rules. Objeví se příslušné okno:

Pomocí tlačítka Add vytvoříte nové pravidlo pro aplikace AVG v okně Advanced Rule Settings. Nejprve v tomto okně přejděte na záložku Applications:

28

Zde stiskem tlačítka Browse postupně dle následujícího seznamu přidejte všechny aplikace AVG, které jsou na vašem počítači aktuálně nainstalovány. Zde je seznam aplikací AVG, pro které je třeba povolit síťovou komunikaci vždy: o


o




o




o


o


29

Poté přejděte ve stejném okně na záložku General:

Zde je zapotřebí povolit veškerou síťovou komunikaci pro aplikace AVG pomocí volby Allow this traffic. Ve spodní části okna najdete shrnutí aplikací, kterým jste takto umožnili přistupovat k síťovému připojení. Potvrďte vytvoření pravidla tlačítkem OK. Poté by měly být všechny prvky síťové komunikace AVG plně funkční.

30

7. Kerio Winroute Firewall Stahování aktualizací AVG i antivirová kontrola pošty funguje s výchozím nastavením Kerio Winroute Firewall bez problémů. Pokud je nicméně stanice s AVG zapojena do systému Vzdálené správy AVG a je na ní instalován program AVGADMIN, popřípadě je na této stanici AVGADMIN i s aplikací AVG TCP Server provozován, je nutné vytvořit nové pravidlo:

Pro plnou funkčnost vzdálené správy je nutné povolit libovolný zdroj i cíl pro tyto porty: 4156, 6051, 6052, 6053.

31

8. Technická podpora V případě problémů s AVG se pokuste vyhledat řešení v sekci FAQ na webu společnosti Grisoft na adrese www.grisoft.cz. Pokud na svůj dotaz nenajdete uspokojivou odpověď, obraťte se prosím na oddělení technické podpory společnosti Grisoft na emailové adrese [email protected]. Do textu emailové zprávy uveďte své licenční číslo!

32

Nastavení firewallu pro AVG 7.5

Recommend Documents