рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
133
Сетевые фильтры имеют следующие особенности:
 Для каждого фильтра можно настроить: o
Действие — пропускать ( ) или блокировать ( ) IP-пакеты, соответствующие заданным параметрам. o
Источник и назначение задают отправителя и получателя IP-пакетов. o
Протоколы фильтрации IP-пакетов. o
Расписание действия.
Для задания параметров фильтра могут использоваться группы объектов (см.
Использование групп объектов на стр. 134).
 Фильтры, созданные пользователем, влияют как на новые, так и на уже существующие соединения. Таким образом, если фильтр, блокирующий трафик соединения, добавлен после установления соединения, то оно будет разорвано.
 IP-пакеты проверяются в соответствии с расположением фильтров в списке, по порядку сверху вниз. Когда пакет блокируется или пропускается первым подходящим фильтром, последующие фильтры уже не оказывают никакого влияния на данный пакет.
 В программе ViPNet Client фильтры различных категорий в списках фильтров отображаются в соответствующих группах и располагаются в порядке их приоритета согласно схеме выше.
Порядок фильтров, определенных конфигурацией программы, фильтров, поступивших из
ViPNet Policy Manager, и фильтров по умолчанию изменить нельзя. Порядок предустановленных фильтров и фильтров, заданных в ViPNet Client, вы можете изменять с помощью кнопок и
Фильтры, которые нельзя отредактировать и удалить, отмечены значком
 Чтобы изменить действие фильтра, двойным щелчком откройте свойства фильтра и в разделе
Основные параметры выберите нужное значение. Чтобы включить или отключить фильтр, установите или снимите флажок рядом с именем фильтра.
 При изменении настроек сетевых фильтров или создании новых фильтров в строке состояния появляется сообщение о том, что фильтры были изменены, но не применены. Измененные или новые фильтры не вступят в действие до тех пор, пока вы не нажмете кнопку Применить и в течение 30 секунд не подтвердите сохранение изменений.
Если вам не требуется сохранять новые настройки фильтров, нажмите кнопку Отмена. В этом случае произойдет возврат к тем настройкам фильтров, которые действовали на момент их изменения.
При необходимости вы можете отменить все изменения и восстановить предустановленные фильтры (см.
Восстановление предустановленных фильтров и групп объектов на стр. 151).

ViPNet Client 4. Руководство пользователя |
134
Использование групп объектов
Группы объектов позволяют упростить создание сетевых фильтров. Они объединяют несколько значений одного типа и могут быть заданы при настройке параметров фильтра вместо отдельных объектов.
Группы объектов делятся на несколько видов:
Рисунок 52. Виды групп объектов
Системные группы объектов — встроенные в ПО ViPNet Client объекты с фиксированными именами, которые могут использоваться в создаваемых сетевых фильтрах для задания отправителей и получателей IP-пакетов, а также в других пользовательских группах объектов.
Системные группы объектов не отображаются в списках групп и их нельзя изменить или удалить.
Список системных групп объектов см. в разделе
Системные группы объектов
(на стр. 135).
Группы объектов, создаваемые в ПО ViPNet Policy Manager, — группы, которые рассылаются вместе с политиками безопасности. Они недоступны для редактирования и использования в создаваемых сетевых фильтрах, других пользовательских группах объектов. В программе ViPNet
Client можно только просмотреть состав данных групп.
Пользовательские группы объектов — группы объектов, создаваемые пользователем непосредственно в программе ViPNet Client, а также некоторые группы, настроенные по умолчанию. Подробнее о группах по умолчанию см. в разделе
Пользовательские группы объектов, настроенные по умолчанию
(на стр. 136). У каждой группы объектов есть свой состав, при этом из состава могут быть заданы некоторые исключения. В состав и исключения группы могут быть включены другие группы объектов той же категории или некоторые системные группы объектов.
Работа с такими группами объектов осуществляется в разделе Группы объектов.

ViPNet Client 4. Руководство пользователя |
135
Рисунок 53. Работа с пользовательскими группами объектов
Пользовательские группы объектов делятся на следующие типы:
 Узлы ViPNet — группа узлов защищенной сети. Используется в фильтрах защищенной сети.
 IP-адреса — любая комбинация отдельных IP-адресов и диапазонов IP-адресов или DNS-имен.
Используется в фильтрах открытой сети.
 Протоколы — любая комбинация протоколов и портов. Используется во всех фильтрах.
 Расписания — любая комбинация условий применения сетевых фильтров по времени и дням недели. Используется во всех фильтрах.
Вы можете создать группу объектов любой категории. Имеет смысл создавать группы из часто используемых наборов объектов. Подробнее о создании групп см. в разделе
Создание и изменение групп объектов
(на стр. 137).
Системные группы объектов
В таблице ниже приведен список системных групп объектов и их значений.
Таблица 4. Системные группы объектов
Имя группы объектов
Значение
Все клиенты
Все клиенты из справочников узла
Все координаторы
Все координаторы из справочников узла

ViPNet Client 4. Руководство пользователя |
136
Имя группы объектов
Значение
Все объекты
Совокупность всех объектов в группе конкретного типа.
Задается только в составе группы объектов. Предназначена для создания групп, состоящих из всех объектов, кроме некоторых исключений
Широковещательные адреса
Все широковещательные адреса
Используется при создании фильтров широковещательных пакетов
Мой узел
Свой узел
Можно указать в качестве источника IP-пакетов для исходящих соединений узла или в качестве назначения для входящих соединений
Другие узлы
Другие сетевые узлы (любые узлы, кроме своего)
Можно указать в качестве источника IP-пакетов для входящих соединений узла или в качестве назначения для исходящих соединений
Туннелируемые IP-адреса
Все IP-адреса, туннелируемые координатором
Групповые адреса
Диапазон адресов для групповой рассылки
(224.0.0.0–239.255.255.255)
Можно указать только в качестве назначения для локальных открытых соединений
Пользовательские группы объектов, настроенные по умолчанию
В составе программы ViPNet Client имеется ряд предварительно настроенных групп объектов:
 Две группы IP-адресов по умолчанию: o
Публичные IP-адреса — группа, в составе которой указаны все IP-адреса, за исключением частных IP-адресов. o
Частные IP-адреса — группа, в составе которой указаны IP-адреса локальных сетей:
10.0.0.0; 172.16.0.0; 192.168.0.0.
 Группы протоколов по умолчанию, которые чаще всего используются при создании сетевых фильтров. Например: DHCP, ViPNet базовые службы, ViPNet удаленный просмотр журнала и другие.
 Две группы расписаний по умолчанию: o
Рабочие дни — группа с расписанием, в котором заданы рабочие дни недели
(понедельник — пятница).

ViPNet Client 4. Руководство пользователя |
137 o
Выходные дни — группа с расписанием, в котором заданы выходные дни (суббота и воскресенье).
Создание и изменение групп объектов
Чтобы создать новую группу объектов, выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Группы объектов.
2 На панели просмотра щелкните ссылку с названием типа группы объектов, которую вы хотите создать, или на панели навигации выберите соответствующий подраздел.
3 На панели просмотра нажмите кнопку Создать.
Откроется окно свойств группы объектов, в котором вы можете задать параметры новой группы.
4 В разделе Основные параметры задайте имя группы объектов. Имя группы должно быть уникальным.
5 В разделе Состав определите состав создаваемой группы.
При формировании состава группы типа: o
Узлы ViPNet — укажите защищенные узлы, которые необходимо включить в создаваемую группу. Подробнее см. раздел
Добавление сетевых узлов
(на стр. 140).
В состав группы узлов защищенной сети вы также можете включить системные группы объектов Все координаторы и Все клиенты (см.
Системные группы объектов на стр. 135).
Рисунок 54. Формирование состава группы узлов
o
IP-адреса — задайте отдельные IP-адреса, диапазон адресов или подсеть либо DNS-имена.
Подробнее см. раздел
Добавление IP-адресов и DNS-имен
(на стр. 141).

ViPNet Client 4. Руководство пользователя |
138
Рисунок 55. Формирование состава группы IP-адресов
o
Протоколы — задайте протоколы и при необходимости номера портов. Подробнее см. раздел
Добавление протоколов
(на стр. 142).
Рисунок 56. Формирование состава группы протоколов
o
Расписания — задайте расписание, состоящее из дней недели или временных диапазонов.
Впоследствии такие расписания можно использовать для ограничения времени действия сетевых фильтров. Подробнее см. раздел
Добавление расписаний
(на стр. 143).
Рисунок 57. Формирование состава группы расписаний

ViPNet Client 4. Руководство пользователя |
139
Примечание. В каждую группу объектов могут входить группы объектов этого же типа, то есть можно организовать вложенность однотипных групп.
Кроме этого, в составе любой группы объектов вы можете задать системную группу Все объекты, например при создании группы, состоящей из всех объектов, кроме некоторых исключений.
6 В разделе Исключения задайте исключения из состава группы объектов, то есть те элементы, которые в группу объектов не должны входить. Например, чтобы создать группу защищенных узлов, состоящую из всех координаторов, кроме одного, добавьте в состав системную группу
Все координаторы, а в качестве исключения задайте конкретный сетевой узел — координатор.
В качестве исключения можно задать также другую группу объектов такого же типа.
Формирование исключений осуществляется аналогично формированию состава групп объектов.
Примечание. В разделе Применение ничего задавать не требуется. В нем отображается список фильтров, в которых используется группа объектов. При создании группы объектов данный раздел пустой.
7 По завершении нажмите кнопку ОК.
В результате в списке групп объектов выбранного типа появится новая группа.
Если при создании группы объектов не был определен ее состав, то такая группа будет считаться пустой. Пустые группы не рекомендуется использовать в сетевых фильтрах, поскольку фильтры в этом случае не будут применяться.
Чтобы изменить параметры группы объектов, выберите ее в соответствующем разделе групп объектов, затем дважды щелкните или нажмите кнопку Свойства. После изменения основных параметров группы или ее состава в окне свойств группы нажмите кнопку OK.
Чтобы удалить группу объектов, выберите ее в соответствующем разделе групп объектов и нажмите кнопку Удалить. В появившемся окне подтвердите удаление группы. Если удаляемая группа объектов используется в каких-либо сетевых фильтрах либо входит в другие группы объектов, то появится сообщение об этом и она не будет удалена. В данном случае с помощью кнопки Показать подробности в окне сообщения просмотрите, в каких элементах используется данная группа, и повторите удаление, предварительно исключив группу из состава данных элементов.

ViPNet Client 4. Руководство пользователя |
140
Рисунок 58. Невозможность удаления группы объектов
Чтобы изменения вступили в действие, в разделе групп объектов нажмите кнопку Применить и в течение 30 секунд подтвердите сохранение изменений. Если вы не хотите сохранять внесенные изменения в группы объектов, нажмите кнопку Отмена.
Добавление сетевых узлов
Сетевые узлы могут быть добавлены в состав и исключения групп узлов, а также выбраны в качестве источника или назначения при создании фильтров защищенной сети следующим образом:
 При создании группы узлов или сетевых фильтров вы можете добавить выбранное множество сетевых узлов. Для этого в окне свойств группы узлов или сетевого фильтра в соответствующем разделе нажмите Добавить и в меню выберите Сетевой узел. После этого в появившемся окне выберите один или несколько узлов из списка и нажмите кнопку OK.
Рисунок 59. Выборочное добавление сетевых узлов
В результате будут добавлены выбранные узлы.

ViPNet Client 4. Руководство пользователя |
141
 При создании группы узлов вы можете добавить множество узлов определенной сети ViPNet.
Для этого в нужных разделах окна свойств группы нажмите кнопку Добавить и в меню выберите Номер защищенной сети. В появившемся окне введите номер нужной сети.
В результате будут добавлены все узлы из заданной сети.
 При создании группы узлов вы можете добавить множество узлов, имя которых соответствует заданной маске. Для этого в нужных разделах окна свойств группы нажмите кнопку Добавить и в меню выберите Шаблон имени сетевых узлов. В появившемся окне задайте маску имен узлов. Маска задается стандартным образом с использованием символов «*» и «?».
В результате будут добавлены все узлы, имена которых соответствуют заданной маске.
Добавление IP-адресов и DNS-имен
IP-адреса или DNS-имена могут быть добавлены в состав и исключения групп IP-адресов, а также заданы при определении источника и назначения в локальных фильтрах открытой сети.
Чтобы добавить IP-адреса в одном из указанных случаев:
1 В окне свойств группы IP-адресов или сетевого фильтра в соответствующем разделе нажмите кнопку Добавить и в меню выберите IP-адрес или диапазон адресов.
2 В появившемся окне выполните следующие действия: o
Если требуется добавить один конкретный IP-адрес (в том случае, если он известен), установите переключатель в положение IP-адрес и в поле напротив введите данный
IP-адрес. o
Если требуется задать IP-адреса в рамках некоторой подсети, установите переключатель в положение Подсеть, после чего в соответствующих полях задайте адрес и маску данной подсети. o
Если требуется задать диапазон IP-адресов, установите переключатель в положение
Диапазон IP-адресов, после чего в соответствующих полях задайте начальный и конечный адрес диапазона.
Рисунок 60. Добавление IP-адресов
После ввода необходимых данных нажмите кнопку OK.

ViPNet Client 4. Руководство пользователя |
142
В результате указанный IP-адрес или IP-адреса будут добавлены.
Чтобы добавить DNS-имя, в окне свойств группы IP-адресов или сетевого фильтра в соответствующем разделе нажмите кнопку Добавить и в меню выберите DNS-имя. В появившемся окне задайте DNS-имя и нажмите кнопку OK.
В результате DNS-имя будет добавлено.
Добавление протоколов
Протоколы могут быть добавлены в состав и исключения групп протоколов, а также заданы при создании любых сетевых фильтров.
Чтобы добавить протоколы в одном из указанных случаев, в окне свойств группы протоколов или сетевого фильтра в соответствующем разделе нажмите кнопку Добавить и в меню выберите:
 Протокол TCP/UDP — для добавления TCP- или UDP-протокола с номером порта источника и назначения. В появившемся окне выполните следующие действия: o
В зависимости от того, какой протокол вам требуется добавить, установите переключатель
Протокол в нужное положение. o
Если требуется, задайте номера порта источника. Для этого выберите:

Все порты — для задания всех портов, например если вы не знаете конкретного номера.

Номер порта — для задания номера конкретного порта. В списке напротив выберите нужный номер.

Диапазон — для задания диапазона номеров портов. В полях напротив укажите начальный и конечный адреса диапазона. o
При необходимости аналогичным образом задайте порт назначения.
Рисунок 61. Добавление TCP- или UDP-протокола
По завершении ввода данных нажмите кнопку OK.

ViPNet Client 4. Руководство пользователя |
143
 Сообщение ICMP — для добавления ICMP-протокола. В появившемся окне в соответствующих списках выберите тип и код ICMP-протокола (если требуется) и нажмите кнопку OK.
 IP-протокол — для добавления других протоколов. В появившемся окне в списке выберите нужный протокол либо введите код протокола (если он известен) и нажмите кнопку OK.
Добавление расписаний
Расписания действия сетевых фильтров могут быть добавлены в состав и исключения групп расписаний, а также заданы при создании любых сетевых фильтров (если требуется, чтобы фильтр действовал в конкретное время или в определенные промежутки времени).
Чтобы добавить расписание в одном из указанных случаев, выполните следующие действия:
1 В окне свойств группы расписаний или сетевого фильтра в соответствующем разделе нажмите кнопку Добавить и в меню выберите Временной диапазон.
2 В появившемся окне задайте параметры расписания: o
В группе Время выполнения фильтра укажите временной интервал, в течение которого будет действовать сетевой фильтр. o
Установите переключатель в положение:

Ежедневно, если сетевой фильтр должен действовать каждый день в указанное время. Если требуется, чтобы фильтр действовал в некоторый период времени
(например, в течение двух недель), установите соответствующий флажок и задайте нужный период.

Еженедельно, если сетевой фильтр должен действовать в определенные дни недели.
Установите флажки напротив нужных дней недели.
Рисунок 62. Добавление расписания