рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС

ViPNet Client 4. Руководство пользователя |
144
Создание сетевых фильтров
В программе ViPNet Client предусмотрена возможность создания следующих фильтров:
 фильтров для защищенной сети,
 фильтров для открытой сети,
 фильтров прикладного уровня (доступно, если установлен модуль расширенной фильтрации).
Для создания любого из перечисленных фильтров выполните следующие действия:
Примечание. Для фильтров прикладного уровня доступны не все из описанных ниже параметров.
1 В окне программы ViPNet Монитор на панели навигации выберите раздел того типа фильтров, который вы хотите создать.
2 На панели просмотра нажмите кнопку Создать. Откроется окно свойств сетевого фильтра, в котором вы можете задать параметры нового фильтра.
3 В разделе Основные параметры выполните следующие действия: o
Введите имя фильтра в соответствующем поле. o
Укажите действие нового фильтра (блокировать или пропускать трафик), установив переключатель Действие в нужное положение. По умолчанию выбрано действие
Блокировать трафик.
Рисунок 63. Задание основных параметров фильтра
4 В разделе Источники задайте отправителя IP-пакетов, на которые будет распространяться действие фильтра.
5 В разделе Назначения задайте получателя IP-пакетов, на которые будет распространяться действие фильтра.
6 В разделе Протоколы укажите протокол для фильтрации. Фильтром в данном случае будут обрабатываться только IP-пакеты, переданные с помощью указанного протокола. Вы можете

ViPNet Client 4. Руководство пользователя |
145 добавить нужный протокол (см.
Добавление протоколов на стр. 142) или сразу группу протоколов.
7 В разделе Расписания укажите расписание действия фильтра, если требуется. Вы можете добавить новое расписание (см.
Добавление расписаний на стр. 143) или группу расписаний.
Рисунок 64. Добавление расписания при создании фильтра
8 Для сохранения параметров нового фильтра нажмите кнопку OK. В результате в списке на панели просмотра появится новый фильтр.
Созданный фильтр будет включен, если при задании его основных параметров не был снят соответствующий флажок. Если потребуется отключить фильтр, снимите флажок слева от его имени.
9 Задайте приоритет созданного фильтра, установив его положение в списке с помощью кнопок и
10 Чтобы созданный фильтр вступил в действие, по завершении всех операций с ним нажмите кнопку Применить и в появившемся окне в течение 30 секунд подтвердите сохранение изменений.
Подробнее о создании каждого типа фильтров см. соответствующие разделы ниже.
Создание фильтров для защищенной сети
Чтобы создать фильтр для защищенного трафика (см.
Общие сведения о сетевых фильтрах на стр. 131), выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые фильтры >
Фильтры защищенной сети.
2 На панели просмотра нажмите кнопку Создать, после чего в появившемся окне задайте параметры нового фильтра защищенного трафика.
3 В разделе Основные параметры укажите имя фильтра и его действие: блокировать или пропускать трафик
(см. рисунок на стр. 144).

ViPNet Client 4. Руководство пользователя |
146
4 В разделе Источники задайте отправителя защищенных IP-пакетов. Для этого добавьте: o
Один или несколько узлов защищенной сети (см.
Добавление сетевых узлов на стр. 140). o
Одну или несколько групп узлов сети ViPNet, если такие созданы (см.
Создание и изменение групп объектов на стр. 137). o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих соединений вашего сетевого узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для входящих соединений вашего сетевого узла. o
Системные группы объектов Все координаторы и Все клиенты (см.
Системные группы объектов на стр. 135).
Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми защищенными узлами, и вашим в том числе.
Рисунок 65. Задание отправителя защищенных IP-пакетов
5 В разделе Назначения задайте получателя защищенных IP-пакетов. Для этого добавьте: o
Один или несколько узлов защищенной сети (см.
Добавление сетевых узлов на стр. 140). o
Одну или несколько групп узлов сети ViPNet, если такие созданы (см.
Создание и изменение групп объектов на стр. 137). o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих соединений вашего сетевого узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для исходящих соединений вашего сетевого узла. o
Системные группы объектов Все координаторы и Все клиенты (см.
Системные группы объектов на стр. 135). o
Системную группу объектов Широковещательные адреса. В этом случае действие фильтра будет распространяться на широковещательные пакеты.
Если в качестве получателя указать Широковещательные адреса, в качестве отправителя
— Мой узел или Другие узлы (см. пункт выше), то будут созданы фильтры для исходящих или входящих широковещательных IP-пакетов соответственно.

ViPNet Client 4. Руководство пользователя |
147
Если вы не укажете узел назначения, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой узел сети, и ваш узел в том числе.
Рисунок 66. Задание получателя защищенных IP-пакетов
6 В разделе Протоколы укажите протокол для фильтрации.
7 В разделе Расписания укажите время действия фильтра.
8 Нажмите кнопку OK. В результате в списке на панели просмотра появится новый фильтр.
Создание фильтров для открытой сети
Чтобы создать фильтр для локального открытого трафика (см.
Общие сведения о сетевых фильтрах на стр. 131), выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые фильтры >
Фильтры открытой сети.
2 На панели просмотра нажмите кнопку Создать, после чего в появившемся окне задайте параметры нового фильтра открытого трафика.
3 В разделе Основные параметры укажите имя фильтра и его действие: блокировать или пропускать трафик
(см. рисунок на стр. 144).
4 В разделе Источники задайте отправителя открытых IP-пакетов. Для этого добавьте: o
IP-адрес или DNS-имя отправителя либо диапазон адресов, если их несколько
(см.
Добавление IP-адресов и DNS-имен на стр. 141). o
Группы IP-адресов отправителей, если такие созданы (см.
Создание и изменение групп объектов на стр. 137). o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла.
Если вы не укажете отправителя, то действие фильтра будет распространяться на IP-пакеты, отправленные любыми открытыми узлами, и вашим узлом в том числе.

ViPNet Client 4. Руководство пользователя |
148
Рисунок 67. Указание источника отправки IP-пакетов в открытой сети
5 В разделе Назначения задайте получателя открытых IP-пакетов. Для этого добавьте: o
IP-адрес или DNS-имя получателя либо диапазон адресов, если их несколько. o
Группы IP-адресов получателей, если такие созданы. o
Системную группу объектов Мой узел. В этом случае фильтр будет действовать для входящих открытых соединений вашего узла. o
Системную группу объектов Другие узлы. В этом случае фильтр будет действовать для исходящих открытых соединений вашего узла. o
Широковещательные адреса, выбрав системную группу объектов Широковещательные
адреса. В этом случае действие фильтра будет распространяться на широковещательные пакеты. o
Системную группу объектов Групповые адреса. В этом случае действие фильтра будет распространяться на пакеты, отправленные по групповой рассылке.
Если вы не укажете получателя, то действие фильтра будет распространяться на IP-пакеты, отправленные на любой открытый узел.
Рисунок 68. Указание получателя IP-пакетов в открытой сети
6 В разделе Протоколы укажите протокол для фильтрации.
7 В разделе Расписания укажите время действия фильтра.
8 Нажмите кнопку OK. В результате в списке на панели просмотра появится новый фильтр.

ViPNet Client 4. Руководство пользователя |
149
Создание фильтров прикладного уровня
Примечание. Фильтры прикладного уровня не предназначены для фильтрации трафика на веб-сервере.
Если настройка фильтров заблокирована, установите модуль расширенной фильтрации:
1
В меню Пуск выберите ViPNet > Настройка компонентов ViPNet Client.
2 Выберите Изменить состав и нажмите кнопку Далее.
3 Установите флажок компонента ViPNet IDS HS Agent.
Анализ трафика фильтрами открытой сети происходит на уровне заголовка IP-пакета. Это позволяет провести быстрый отсев нежелательного трафика по выбранным адресам, протоколам и портам. Фильтры прикладного уровня открытой сети анализируют тело IP-пакета. Это позволяет блокировать трафик на более высоком уровне, в зависимости от его содержания. При этом быстродействие фильтров прикладного уровня ниже, чем фильтров открытой сети. Включенные фильтры прикладного уровня могут замедлить работу в интернете.
Для эффективной обработки трафика рекомендуется создавать фильтры прикладного уровня только в том случае, когда нужно фильтровать содержимое IP-пакетов. Например, запретить запуск динамических веб-сценариев или открытие файлов определенного типа. Если требуется провести фильтрацию трафика только по прикладному протоколу, следует пользоваться фильтрами открытой сети (см.
Создание фильтров для открытой сети на стр. 147).
Чтобы создать фильтр прикладного уровня:
1 Выберите раздел Сетевые фильтры > Фильтры прикладного уровня открытой сети.
2 На панели просмотра нажмите кнопку Создать и укажите параметры нового фильтра.
Рисунок 69. Задание параметров фильтрации прикладного уровня

ViPNet Client 4. Руководство пользователя |
150
3 В разделе Основные параметры укажите имя фильтра.
4 В разделе Протоколы укажите порт и протокол для фильтрации.
5 В разделе Прикладной уровень укажите команду или тип содержимого, который необходимо блокировать. В одном фильтре вы можете задать только один параметр для фильтрации.
6 Нажмите кнопку OK. В списке на панели просмотра появится новый фильтр.
Рекомендации по созданию сетевых фильтров
Чтобы обеспечить стабильную работу ПО ViPNet, необходимо контролировать число создаваемых фильтров, потому что оно зависит от количества узлов, на которые будет распространяться действие каждого из фильтров. Мы рекомендуем придерживаться следующих ограничений:
 Если действие каждого из создаваемых фильтров распространяется на один сетевой узел или
IP-адрес, общее количество фильтров не должно превышать 3000.
 Если действие каждого из создаваемых фильтров распространяется на два или большее количество сетевых узлов или IP-адресов, общее количество сетевых узлов или IP-адресов, на которые будут распространяться действия всех созданных фильтров, не должно превышать
700. При этом действие одного фильтра не должно распространяться более чем на 500 сетевых узлов или IP-адресов.

ViPNet Client 4. Руководство пользователя |
151
Восстановление предустановленных фильтров и групп объектов
Если вы создали неудачный список сетевых фильтров, то вы можете восстановить предустановленные фильтры. В этом случае списки настроенных фильтров всех типов будут заменены на предустановленные. Вместе с фильтрами также будут восстановлены предустановленные группы объектов.
Для восстановления предустановленных фильтров и групп объектов выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые фильтры.
2 На панели просмотра нажмите кнопку Восстановить фильтры по умолчанию.
3 В появившемся окне Сброс фильтров нажмите кнопку Да.
В результате во всех разделах сетевых фильтров в группе Настраиваемые фильтры будут присутствовать только предустановленные фильтры, в разделе Группы объектов — только предустановленные группы.

ViPNet Client 4. Руководство пользователя |
152
Практический пример использования групп объектов и сетевых фильтров
Рассмотрим следующий пример использования групп объектов и сетевых фильтров. Допустим, в организации развернут почтовый сервер, на котором установлена программа ViPNet Client. Этот защищенный почтовый сервер выполняет следующие функции:
 Обмен сообщениями электронной почты с внешними почтовыми серверами;
 Передача сообщений электронной почты, отправленных удаленными сотрудниками или адресованных им.
Отправка сообщений на почтовый сервер внешними почтовыми серверами и пользователями осуществляется по протоколу SMTP. Передача сообщений электронной почты пользователям производится по протоколам POP3 и IMAP.
Чтобы организовать обмен сообщениями с внешними почтовыми серверами и пользователями и доступ пользователей к электронной почте из Интернета, на защищенном почтовом сервере необходимо создать сетевой фильтр, разрешающий прием и передачу IP-пакетов по 25-му порту протокола TCP (стандартный порт для протокола SMTP), а также по 110-му и 143-му порту (для протоколов POP3 и IMAP соответственно).
Вы можете создать группу протоколов, в которую будут входить все указанные выше протоколы.
Данную группу вы сможете использовать при создании сетевого фильтра. Кроме этого, вы сможете использовать ее повторно в дополнительных фильтрах для почтового сервера, если такие в дальнейшем потребуется создать.
Чтобы создать группу протоколов, выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Группы объектов >
Протоколы.
2 На панели просмотра нажмите кнопку Создать и в окне свойств создаваемой группы в разделе
Состав добавьте все нужные протоколы.
3 Для добавления протокола SMTP в меню кнопки Добавить выберите пункт Протокол
TCP/UDP, после чего в появившемся окне укажите: o в качестве протокола — TCP; o в качестве порта источника — Все порты; o в качестве порта назначения — номер порта 25-smtp.

ViPNet Client 4. Руководство пользователя |
153
Рисунок 70. Пример добавления протокола SMTP в группу
4 Аналогичным образом добавьте протоколы POP3 и IMAP, указав вместо порта назначения номер порта 110 и 143 соответственно.
5 По завершении добавления протоколов в окне свойств группы нажмите кнопку ОК.
В результате будет создана группа протоколов. Используйте данную группу при создании фильтра.
Рисунок 71. Результат создания группы протоколов для почтового сервера
Чтобы создать сетевой фильтр для обмена почтовыми сообщениями с внешними серверами и пользователями, на защищенном почтовом сервере выполните следующие действия:
1 В окне программы ViPNet Монитор на панели навигации выберите раздел Сетевые фильтры >
Фильтры открытой сети.
2 В разделе Фильтры открытой сети создайте сетевой фильтр для всех IP-адресов, так как
IP-адреса внешних почтовых серверов заранее неизвестны и создаваемый фильтр должен распространяться на IP-адреса всех пользователей. Для этого на панели просмотра нажмите кнопку Создать и в появившемся окне свойств создаваемого фильтра задайте его параметры.
3 В разделе Основные параметры установите переключатель Действие в положение
Пропускать трафик.

ViPNet Client 4. Руководство пользователя |
154
4 Чтобы действие фильтра распространялось на все IP-адреса, в разделах Источники и
Назначения не задавайте отправителей и получателей соответственно.
5 В разделе Протоколы в меню кнопки Добавить выберите пункт Группа протоколов, после чего в появившемся окне выберите группу протоколов, которая была создана предварительно.
6 Расписание для данного фильтра формировать не следует.
7 Нажмите кнопку OK.
В результате будет создан сетевой фильтр.
Таким образом, на защищенном почтовом сервере будет разрешен обмен сообщениями с внешними серверами и сотрудниками организации и доступ сотрудников к электронной почте.
Рисунок 72. Результат создания разрешающего фильтра для протоколов SMTP, POP3, IMAP

ViPNet Client 4. Руководство пользователя |
155
Блокировка IP-трафика
С помощью программы ViPNet Монитор вы можете заблокировать весь IP-трафик компьютера. В этом случае любые соединения с защищенными и открытыми узлами будут запрещены.
Чтобы заблокировать IP-трафик, выполните следующие действия:
1 В программе ViPNet Монитор включите блокировку одним из следующих способов: o
В меню Файл выберите пункт Конфигурации > Блокировать IP-трафик. o
На панели задач щелкните правой кнопкой мыши значок программы и в меню выберите пункт Блокировать IP-трафик.
2 Если вы хотите, чтобы после блокировки трафика при определенных условиях трафик был автоматически разблокирован, в окне Блокирование IP-трафика: o
Установите флажок