рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС
 Скачать 7.67 Mb.
|
|
1 В в меню Сервис выберите пункт Настройка приложения. 2 На панели навигации окна Настройка выберите раздел Журнал IP-пакетов. ViPNet Client 4. Руководство пользователя | 195 Рисунок 85. Настройка параметров журнала IP-пакетов 3 Задайте значения следующих параметров: o В поле Максимальный размер журнала укажите размер журнала в мегабайтах (по умолчанию — 1 Мбайт). Если размер журнала превысит указанное значение, записи в хронологическом порядке будут переноситься в архив. Чтобы отключить ведение журнала, задайте значение 0. Записи о новых зарегистрированных IP-пакетах не будут добавляться в журнал. Однако записи, созданные до присвоения значения 0, будут сохранены. o С помощью списка Регистрировать укажите, какие IP-пакеты следует регистрировать в журнале: Все IP-пакеты или Только блокируемые IP-пакеты. o В поле Регистрировать однотипные IP-пакеты одной записью в интервале укажите интервал времени в минутах. По истечении указанного интервала для IP-пакетов определенного типа будет создаваться новая запись в журнале. Смысл данного параметра состоит в том, что при регистрации пакета с определенными параметрами (IP-адрес, протокол, порт и так далее) для него создается запись в журнале. В течение указанного интервала времени IP-пакеты, которые имеют те же IP-адрес, протокол, порт и другие параметры, регистрируются, но записи в журнале для них не создаются. Число таких пакетов, зарегистрированных в течение интервала, указано в столбце Количество пакетов в окне Журнал регистрации IP-пакетов. Когда заданный интервал времени истекает, для следующего IP-пакета создается новая запись в журнале, даже если этот пакет имеет параметры, которые уже зафиксированы в другой записи. Если поступает пакет другого типа, для него также создается новая запись в журнале. После создания новой записи снова начинается отсчет интервала времени для пакетов с одинаковыми параметрами. Данный механизм распространяется на все регистрируемые IP-пакеты. Начало и конец интервала времени, в течение которого были зарегистрированы IP-пакеты, объединенные одной записью, указаны в соответствующих столбцах. ViPNet Client 4. Руководство пользователя | 196 Данный механизм позволяет значительно сократить размер журнала IP-пакетов, сохранив его информативность. Чем больше заданный интервал времени, тем меньше размер журнала. Однако с увеличением интервала регистрации уменьшается точность данных в журнале (невозможно определить время регистрации пакетов). Если задать нулевое значение интервала регистрации пакетов, для каждого зарегистрированного IP-пакета будет создаваться запись в журнале. Однако размер журнала при этом может сильно увеличиться. Нулевое значение интервала рекомендуется задавать только для тестирования и на короткое время. ViPNet-драйвер может хранить не более 10000 записей журнала. По достижении этого ограничения более старые записи заменяются новыми. Если обмен трафиком достаточно интенсивен, часть информации может быть потеряна. Кроме того, обработка трафика может замедлиться, так как увеличится нагрузка на процессор компьютера. o Установите флажок Регистрировать широковещательные IP-пакеты, чтобы такие пакеты фиксировались в журнале. o Убедитесь, что установлен флажок Для TCP-соединений регистрировать только порт сервера. В этом случае IP-пакеты протокола TCP будут группироваться по порту сервера вне зависимости от порта клиента. 4 Чтобы сохранить настройки, нажмите кнопку Применить. ViPNet Client 4. Руководство пользователя | 197 Просмотр статистики фильтрации IP-пакетов Чтобы просмотреть статистику фильтрации IP-пакетов, в окне программы ViPNet Монитор на панели навигации выберите раздел Статистика и журналы > Статистика. В разделе Статистика представлены данные о количестве входящих и исходящих IP-пакетов, которые были пропущены или заблокированы в соответствии с заданными фильтрами трафика. Эта информация может быть полезна при первоначальной настройке программы ViPNet Монитор. Чтобы обнулить статистику IP-пакетов, нажмите кнопку Очистить. Рисунок 86. Просмотр статистики IP-пакетов ViPNet Client 4. Руководство пользователя | 198 Просмотр информации о клиенте Чтобы получить информацию о сети ViPNet, в которой находится данный узел ViPNet, о пользователе, который произвел вход в программу, сведения о соединениях узла и другую дополнительную информацию, выберите раздел ViPNet Client. Рисунок 87. Раздел общей информации об узле ViPNet ViPNet Client 4. Руководство пользователя | 199 Управление конфигурациями программы Конфигурация — это совокупность всех настроек программы ViPNet. В разделе Конфигурации можно создать несколько дополнительных конфигураций и установить нужную в любой момент. Использование нескольких конфигураций может быть полезно в следующих случаях. Предположим, что политика безопасности компании запрещает одновременно работать с локальными ресурсами и ресурсами интернета. Тогда вам следует создать две конфигурации: в одной конфигурации должна быть разрешена работа в интернете и запрещен доступ в локальную сеть, во второй конфигурации должна быть разрешена работа в локальной сети и запрещен доступ в интернет. Либо, например, вам приходится периодически изменять настройки подключения к защищенной сети. Тогда для удобства вы можете создать несколько конфигураций с разными настройками подключения к защищенной сети. В дальнейшем вам не потребуется изменять настройки каждый раз, когда возникнет необходимость. Будет достаточно просто выбрать конфигурацию с нужными настройками. При первом запуске программы создается Основная конфигурация, которая содержит настройки по умолчанию. Эту конфигурацию нельзя переименовать, удалить или изменить ее параметры. Также могут по умолчанию присутствовать специальные конфигурации, предназначенные для работы в интернете: «Открытый Интернет», «Внутренняя сеть» и «Интернет». Описание данных конфигураций приведено в разделах ниже. Чтобы создать конфигурацию: 1 На панели навигации выберите Конфигурации и в контекстном меню выберите пункт Создать конфигурацию. Рисунок 88. Создание новой конфигурации В списке конфигураций появится элемент Новая конфигурация. Примечание. В режиме администратора можно создать конфигурацию программы для любого пользователя, зарегистрированного на узле. В данном режиме отображаются все конфигурации, созданные в процессе работы с программой, причем они сгруппированы по пользователям, от имени которых были созданы. ViPNet Client 4. Руководство пользователя | 200 2 Выполните настройку программы, добавьте сетевые фильтры, которые нужно применять в данной конфигурации. Затем в контекстном меню выберите пункт Сохранить текущую конфигурацию. 3 Чтобы переключать конфигурацию с помощью ярлыка, в контекстном меню выберите пункт Создать ярлык на рабочем столе. 4 Чтобы сделать активной нужную конфигурацию, выполните одно из действий: o Щелкните конфигурацию правой кнопкой мыши и в контекстном меню выберите пункт Применить конфигурацию. o В меню Файл выберите пункт Конфигурации. o Щелкните правой кнопкой мыши по значку в области уведомлений и выберите Конфигурации. o Дважды щелкните по ярлыку конфигурации на рабочем столе (если ярлык был создан). В активной конфигурации все изменения программы ViPNet Монитор сохраняются автоматически. Если в программе создано несколько конфигураций и при этом в настройках установлен флажок Вызывать окно выбора конфигурации (см. Настройка параметров запуска программы ViPNet Client на стр. 226), то при запуске ViPNet Client откроется окно выбора конфигурации. Рисунок 89. Выбор конфигурации при запуске программы Для того чтобы загрузить одну из этих конфигураций, выберите ее в списке и нажмите кнопку ОК. Если в течение 30 секунд с момента появления окна не будет выбрана ни одна конфигурация, программа ViPNet Монитор продолжит работу в основной конфигурации. Если в программе создано несколько конфигураций, которые используются в определенные периоды времени, настройте расписание автоматической смены конфигураций (см. Настройка расписания смены конфигураций программы на стр. 202). ViPNet Client 4. Руководство пользователя | 201 Конфигурация «Открытый интернет» Примечание. Начиная с версии ПО ViPNet Administrator ЦУС 4.6.3, технология «Открытый Интернет» называется «Защищенный интернет-шлюз». Если клиент связан с координатором, для которого в программе ViPNet Центр управления сетью включена функция сервера открытого Интернета, в списке конфигураций программы ViPNet Монитор присутствует конфигурация «Открытый Интернет». Внимание! Не используйте перемещаемые профили пользователей Windows совместно с конфигурацией «Открытый интернет». При включении этой конфигурации ресурсы корпоративной сети недоступны, соответственно все настройки пользователя в профиле не могут быть загружены. Если доступ клиентов в Интернет организован через сервер Открытого Интернета: Для работы в защищенной сети установите любую конфигурацию, кроме конфигурации «Открытый Интернет». В этом случае соединение с сервером открытого Интернета установить невозможно. Следовательно, невозможно получить доступ к Интернету. Для работы с ресурсами Интернета установите конфигурацию «Открытый Интернет». При загрузке конфигурации «Открытый Интернет» в раздел Сетевые фильтры будут автоматически добавлены фильтры трафика, запрещающие соединение с какими-либо сетевыми узлами ViPNet, кроме сервера открытого Интернета. Таким образом, клиент может быть подключен либо только к защищенной сети ViPNet, либо только к Интернету. Это позволяет изолировать компьютер, обменивающийся потенциально опасным трафиком в Интернете, от остальных узлов сети ViPNet. Конфигурации «Внутренняя сеть» и «интернет» Если администратор сети ViPNet в программе ViPNet Центр управления сетью установил для пользователей сетевого узла уровень полномочий «h», в программе ViPNet Client автоматически создаются две конфигурации: «Внутренняя сеть» и «Интернет». Подробная информация об уровнях полномочий пользователя содержится в документе «Классификация полномочий. Приложение к документации ViPNet». Конфигурации «Внутренняя сеть» и «Интернет» имеют следующие особенности: Конфигурация «Внутренняя сеть» предназначена для работы в защищенной сети ViPNet и запрещает соединения с открытыми узлами. При загрузке этой конфигурации в разделе Фильтры открытой сети автоматически добавляются фильтры, блокирующие любой открытый IP-трафик, кроме пакетов службы DHCP. ViPNet Client 4. Руководство пользователя | 202 Конфигурация «Интернет» предназначена для работы в открытой сети и запрещает соединения с защищенными узлами ViPNet. При загрузке этой конфигурации в разделе Фильтры защищенной сети автоматически добавляются фильтры, блокирующие любой защищенный IP-трафик. Настройка расписания смены конфигураций программы Если используется несколько конфигураций, каждая из которых должна устанавливаться в определенное время, вы можете настроить расписание автоматической смены конфигураций. Например, автоматическая смена будет удобна в том случае, если вам периодически в заданное время приходится переключаться в конфигурацию для работы в интернете. В остальных случаях, как правило, рекомендуется менять конфигурации вручную. Настроить расписание смены конфигураций можно только в том случае, если в программе создано более двух конфигураций. Основная конфигурация и специальные конфигурации при этом не учитываются, расписание их установки настроить нельзя. Основная конфигурация автоматически устанавливается и вступает в действие в те промежутки времени, в которые не действуют по расписанию остальные конфигурации. Специальные конфигурации можно установить только вручную. Внимание! При пересечении расписаний автоматическая смена конфигураций не гарантируется. В процессе составления расписаний рекомендуется следить за тем, чтобы расписания смены конфигураций не пересекались. Чтобы настроить расписание смены конфигураций: 1 Щелкните правой кнопкой мыши раздел Конфигурации или любую созданную конфигурацию и в контекстном меню выберите пункт Настроить расписание. 2 В окне Настройка расписания смены конфигураций установите флажок Устанавливать конфигурации в соответствии с расписанием, после чего добавьте в список конфигурации, которые требуется устанавливать автоматически. 3 В окне Параметры расписания укажите дни и время действия. ViPNet Client 4. Руководство пользователя | 203 Рисунок 90. Настройка расписания смены конфигураций 4 Нажмите кнопку OK. В результате расписание смены конфигураций будет настроено. Рисунок 91. Сформированное расписание смены конфигураций Чтобы отменить расписание, в окне Настройка расписания смены конфигурации снимите соответствующий флажок. Чтобы перед каждой сменой конфигурации по расписанию производилось оповещение, в настройках программы в разделе Предупреждения установите флажок Выдавать предупреждение перед сменой конфигурации по расписанию. ViPNet Client 4. Руководство пользователя | 204 Централизованная настройка ViPNet Client через ViPNet Policy Manager Примечание. Приведенная информация предназначена для администратора сети ViPNet. Централизованное уменьшение MSS Иногда требуется уменьшить максимальное значение размера сегмента (MSS) протокола TCP. Например, это может потребоваться для правильной работы IP-телефонии, когда наблюдаются проблемы с разрешением DNS-имен. Эту настройку можно выполнить непосредственно на каждом сетевом узле (см. Настройка подключения к защищенной сети на стр. 96). Если в вашей сети используется ViPNet Policy Manager, то вы можете отправить значение MSS централизованно. Для этого: 1 На компьютере с ViPNet Policy Manager откройте для редактирования файл options.xml (по умолчанию расположен в папке c:\Program Files (x86)\InfoTeCS\ViPNet Policy Manager ). 2 Добавьте новую группу : 3 Сохраните изменения в файле и перезапустите ViPNet Policy Manager. 4 Откройте или создайте новый шаблон политики для клиентов, на которые надо отправить настройку MSS. 5 Откройте окно свойств шаблона и в разделе Опции нажмите кнопку Добавить. В окне Опции безопасности появится новый пункт Уменьшать максимальный размер сегмента (MSS) протокола TCP на, (байт). ViPNet Client 4. Руководство пользователя | 205 Рисунок 92. Настройка опций в ViPNet Policy Manager Подробнее об опциях см. документ «ViPNet Policy Manager. Руководство администратора», раздел «Управление настройками программ ViPNet». 6 Назначьте шаблон политики безопасности с этой опцией нужным сетевым узлам и отправьте политику (см. главу «Рассылка политик безопасности на сетевые узлы»). После применения политики в настройках программы ViPNet Client появится заданный параметр. Рисунок 93. Уменьшение MSS в ViPNet Client Централизованная настройка входа в программу Иногда требуется разрешить пользователям ViPNet с минимальными полномочиями закрыть окно входа в программу ViPNet Client и войти в Windows. Это необходимо в экстренных ситуациях, например, чтобы разблокировать USB-устройство для аутентификации, когда несколько раз введен неправильный пароль. Не следует использовать эту возможность для повседневной работы, поскольку компьютер не будет защищен. Эту настройку можно выполнить непосредственно на каждом сетевом узле (см. Параметры запуска программы при загрузке Windows на стр. 217). Если в вашей сети используется ViPNet Policy Manager, то вы можете отправить настройку централизованно. Для этого: ViPNet Client 4. Руководство пользователя | 206 1 На компьютере с ViPNet Policy Manager откройте для редактирования файл options.xml (по умолчанию расположен в папке c:\Program Files (x86)\InfoTeCS\ViPNet Policy Manager ). 2 Добавьте новую группу : 3 Сохраните изменения в файле и перезапустите ViPNet Policy Manager. 4 Откройте или создайте новый шаблон политики для клиентов, на которые надо отправить эту настройку. 5 Откройте окно свойств шаблона и в разделе Опции нажмите кнопку Добавить. В окне Опции безопасности появится новый пункт Обязательный ввод пароля при входе в операционную систему. Рисунок 94. Настройка опций в ViPNet Policy Manager Подробнее об опциях см. документ «ViPNet Policy Manager. Руководство администратора», раздел «Управление настройками программ ViPNet». 6 Назначьте шаблон политики безопасности с этой опцией нужным сетевым узлам и отправьте политику (см. главу «Рассылка политик безопасности на сетевые узлы»). После применения политики в программе ViPNet Client в разделе Администратор будет отображена эта настройка. |