рук. 2. ViPNet_Client_4_Руководство_пользователя. Руководство пользователя ао ИнфоТеКС
 Скачать 7.67 Mb.
|
|
Действие фильтра Имя фильтра Источник Назначение Протоколы фильтрации пакетов и их свойства Предустановленные настраиваемые фильтры ViPNet Client 4. Руководство пользователя | 353 Действие фильтра Имя фильтра Источник Назначение Протоколы фильтрации пакетов и их свойства Разрешить DHCP-трафик Все узлы Все узлы DHCP (UDP: c 67 на 68, с 68 на 67) Разрешить NetBIOS- и WINS-трафик Все узлы Все узлы NetBIOS-DGM (UDP: с 138 на 138) NetBIOS-NC (UDP: c 137 на 137) Разрешить Ping Все узлы Все узлы Ping (ICMP8) Разрешить IGMP-трафик Все узлы Все узлы IGMP (IP: 2) Разрешить Исходящий трафик Мой узел Все узлы Все Примечание. Этого фильтра нет при минимальном уровне полномочий пользователя. При смене уровня полномочий с минимального на любой другой, фильтр автоматически не появляется. Его следует создать вручную. Фильтр по умолчанию Блокирова ть Прочий трафик Все узлы Все узлы Все ViPNet Client 4. Руководство пользователя | 354 G Совместная работа ПО ViPNet Client с другими приложениями ViPNet Client 4. Руководство пользователя | 355 Технология Hyper-V Hyper-V — это система виртуализации, реализованная в 64-разрядной версии операционной системы Microsoft Windows Server 2008 R2. Особенностью Hyper-V является то, что для обеспечения доступа виртуальных машин к внешней сети требуется выделить один из физических сетевых интерфейсов компьютера. Этот интерфейс будет подключен к виртуальному коммутатору Hyper-V, а вместо него в хостовой операционной системе будет создан виртуальный интерфейс с такими же настройками. Для правильного подключения виртуальных сетевых интерфейсов (в том числе в хостовой операционной системе) к внешней сети на физическом интерфейсе, который используется для этого подключения, должны быть отключены все службы и протоколы, кроме протокола коммутации виртуальных сетей (Virtual Network Switching Protocol). При установке программы ViPNet Монитор на компьютер с 64-разрядной операционной системой на всех сетевых интерфейсах компьютера включается служба Iplir lightweight Filter (х64 edition), то есть сетевой ViPNet-драйвер (см. Низкоуровневый ViPNet-драйвер сетевой защиты на стр. 15). Этот драйвер осуществляет шифрование, расшифрование и фильтрацию IP-пакетов, проходящих через сетевой интерфейс, и может нарушить работоспособность виртуальной сети Hyper-V. Чтобы обеспечить работу виртуальной сети и программного обеспечения ViPNet в хостовой операционной системе, в настройках физического сетевого интерфейса, подключенного к виртуальной сети Hyper-V, требуется отключить службу Iplir lightweight Filter (х64 edition). Рисунок 177. Настройки физического интерфейса, подключенного к виртуальной сети Hyper-V ViPNet Client 4. Руководство пользователя | 356 Dallas Lock Внимание! Рекомендации, приведенные в данном разделе, относятся к программному обеспечению Dallas Lock версии 8.0. Прежде чем приступать к настройке Dallas Lock 8.0 ознакомьтесь с руководством по эксплуатации программы. Чтобы обеспечить на компьютере совместную работу программы ViPNet Монитор и системы защиты от несанкционированного доступа Dallas Lock, в программе ViPNet Монитор создайте фильтр (см. Создание сетевых фильтров на стр. 144), разрешающий входящие и исходящие соединения с сервером безопасности Dallas Lock по следующим портам TCP: 17490, 17491, 17492. ViPNet Client 4. Руководство пользователя | 357 ESET NOD32 Smart Security При совместной установке на компьютер ПО ViPNet Client и ESET NOD32 Smart Security возможны проблемы с установлением соединения между защищенными узлами и доступом к ресурсам интернета. Чтобы обеспечить на компьютере совместное функционирование программ ViPNet Монитор и ESET NOD32 Smart Security, в программе ESET NOD32 Smart Security создайте правила, разрешающие обмен данными по протоколу 241 (см. Протоколы соединений в защищенной сети на стр. 89) и использование компонента Itcsnatproxy.exe Примечание. Приведенные ниже действия относятся только к ESET NOD32 Smart Security. Программы ESET NOD32 Internet Security и ESET NOD32 Антивирус дополнительно настраивать не требуется. Выполните следующие действия: 1 Откройте главное окно программы ESET NOD32 Smart Security и выберите вкладку Настройка. 2 В правой части окна щелкните ссылку Сеть и в открывшемся окне щелкните ссылку Настроить правила и зоны. 3 В окне Настройка зон и правил нажмите кнопку Создать. 4 В окне Новое правило выберите вкладку Общие и в группе Общая информация об этом правиле укажите название разрешающего правила для протокола 241. ViPNet Client 4. Руководство пользователя | 358 Рисунок 178. Создание правила в ESET NOD32 Smart Security для протокола 241 5 Нажмите кнопку Выбрать протокол и выберите протокол 241. 6 Нажмите кнопку OK, чтобы сохранить правило. 7 В окне Настройка зон и правил нажмите кнопку Создать, чтобы создать правило для компоненты Itcsnatproxy.exe 8 В окне Новое правило на вкладке Общие в группе Общая информация об этом правиле укажите название разрешающего правила. 9 Перейдите на вкладку Локальный и в группе Приложение укажите путь к файлу Itcsnatproxy.exe . Например, C:\Program Files (x86)\InfoTeCS\ViPNet Client\Itcsnatproxy.exe ViPNet Client 4. Руководство пользователя | 359 Рисунок 179. Создание правила в ESET NOD32 Smart Security для компоненты Itcsnatproxy.exe 10 Нажмите кнопку OK, чтобы сохранить правило. 11 В окне Настройка зон и правил нажмите кнопку Применить. Соединение между защищенными узлами и доступ к ресурсам интернета будут восстановлены. ViPNet Client 4. Руководство пользователя | 360 Avast Если на сетевом узле ViPNet включен межсетевой экран Avast, могут возникнуть проблемы с соединением между сетевыми узлами ViPNet. Чтобы обеспечить совместное функционирование программ ViPNet Монитор и Avast, добавьте три правила для межсетевого экрана, разрешающие обмен данными по протоколу 241, а также прохождение входящего и исходящего UDP-трафика через порт 55777 (см. Протоколы соединений в защищенной сети на стр. 89). Для этого выполните следующие действия: 1 В главном окне программы выберите раздел Защита > Брандмауэр (Настройки > Активная защита) и рядом с пунктом Брандмауэр щелкните ссылку Настройки. 2 В открывшемся окне выберите пункт Политики и в группе Предпочтения установите флажок Режим общего доступа к подключению интернета (ICS). 3 Нажмите кнопку Правила работы с пакетами, откроется окно Правила для пакетов. Рисунок 180. Создание правила в программе Avast 4 Нажмите кнопку Добавить, чтобы создать первое из трех новых правил (например, правило для исходящего UDP-трафика), и настройте его в соответствии со значениями параметров, которые представлены в следующей таблице: ViPNet Client 4. Руководство пользователя | 361 Таблица 20. Параметры правил для межсетевого экрана Avast Правило Действие Протокол Направление Адрес Локальный порт Удаленный порт Исходящий UDP-трафик Разрешить UDP Исходящие Друзья 55777 Входящий UDP-трафик Разрешить UDP Входящие Друзья 55777 Протокол 241 Разрешить 241 Входящие/ исходящие Друзья 5 Создайте еще два правила в соответствии со значениями из таблицы и нажмите кнопку OK. 6 Вернитесь в главное окно Avast и выберите раздел Защита > Брандмауэр (Инструменты > Брандмауэр). 7 В нижней части открывшегося окна щелкните ссылку Правила для приложений и в открывшемся окне Правила для приложений прокрутите список приложений вниз, чтобы найти группу «ИнфоТеКС». 8 Чтобы разрешить все соединения для программы ViPNet, выберите программу и в списке Для всех остальных соединений выберите пункт Определять автоматически. Рисунок 181. Настройка разрешения соединения с сетями в программе Avast 9 Повторите шаг 9 для каждой программы в группе «ИнфоТеКС» и затем нажмите кнопку Закрыть, чтобы завершить настройку межсетевого экрана Avast для совместной работы с ПО ViPNet. Если на компьютере установлен антивирус Avast и возникают проблемы в работе электронной почты, воспользуйтесь рекомендациями из раздела Невозможно получить и отправить сообщения электронной почты (на стр. 278). ViPNet Client 4. Руководство пользователя | 362 AVG Internet Security Если на сетевом узле ViPNet включен межсетевой экран AVG Internet Security, могут возникнуть проблемы с соединением между сетевыми узлами ViPNet. Чтобы обеспечить совместную работу программ ViPNet Монитор и AVG Internet Security, вы можете: отключить межсетевой экран AVG Internet Security; добавить три правила для межсетевого экрана AVG Internet Security, разрешающие обмен данными по протоколу 241, а также прохождение входящего и исходящего UDP-трафика через порт 55777 (см. Протоколы соединений в защищенной сети на стр. 89). Чтобы добавить правила, выполните следующие действия: 1 В главном окне AVG Internet Security выберите Меню > Настройки. 2 В открывшемся окне выберите раздел Компоненты и рядом с пунктом Усиленный брандмауэр щелкните ссылку Настройка. 3 В разделе Политики нажмите кнопку Правила работы с пакетами. Примечание. Для создания правил в более ранней версии AVG Internet Security выполните следующие действия: В главном окне программы выберите Firewall > , затем нажмите кнопку Режим для опытных пользователей. В разделе Системные службы нажмите кнопку Управление системными правилами. 4 Нажмите кнопку Добавить, чтобы создать первое из трех новых правил (например, правило для входящего UDP-трафика), и настройте его в соответствии со значениями параметров, которые представлены в следующей таблице: Таблица 21. Параметры правил для межсетевого экрана AVG Internet Security Правило Протокол Направлени е Локальный порт Удаленный порт Удаленный адрес Действие Входящий UDP-трафик UDP Входящее 55777 Все порты Все сети Разрешит ь Исходящий UDP-трафик UDP Исходящее Все порты 55777 Все сети Разрешит ь Протокол 241 241 В обоих направления х Все сети Разрешит ь 5 Создайте еще два правила в соответствии со значениями из таблицы и нажмите кнопку OK, чтобы завершить настройку межсетевого экрана AVG Internet Security. Если на компьютере установлен антивирус AVG Internet Security и возникают проблемы в работе электронной почты, воспользуйтесь рекомендациями из раздела Невозможно получить и отправить сообщения электронной почты (на стр. 278). ViPNet Client 4. Руководство пользователя | 363 Secret Net При совместной установке на компьютер ПО ViPNet Client и Secret Net возможны проблемы при обновлении справочников и ключей сетевого узла ViPNet. Это связано с наличием в ПО Secret Net ограничения доступа пользователей к конфиденциальным данным, в том числе к папкам, в которых ПО ViPNet Client хранит справочники и ключи. Чтобы справочники и ключи обновлялись при любом уровне доступа пользователей ПО Secret Net, необходимо снять конфиденциальность с соответствующих папок. Для этого создайте файл в формате XML, текст которого приведен в разделе Настройка доступа к папкам справочников и ключей (на стр. 364), и выполните приведенные ниже действия. Созданный файл используйте при настройке ПО Secret Net. Внимание! Рекомендации, приведенные в данном разделе, относятся к программному обеспечению Secret Net версий 6.5 и 7.0. Чтобы обеспечить совместную работу ПО ViPNet Client и Secret Net, выполните следующие действия в указанном порядке: 1 Установите на компьютер ПО Secret Net. 2 Установите на компьютер ПО ViPNet Client. После установки не перезагружайте компьютер. Внимание! Если после установки ПО ViPNet Client вы перезагрузите компьютер, то все последующие настройки, производимые в ПО Secret Net, не будут применены. 3 Запустите программу «Настройка подсистемы полномочного управления доступом», входящую в состав ПО Secret Net (далее — «программа настройки»). Для этого в меню Пуск выберите Все программы > Код безопасности > Secret Net > Настройка подсистемы полномочного управления доступом. 4 В окне программы настройки на панели навигации в разделе Вручную выберите подраздел Программы. ViPNet Client 4. Руководство пользователя | 364 Рисунок 182. Настройка подсистемы полномочного управления доступом 5 На панели просмотра нажмите кнопку Добавить программы и в открывшемся окне выберите файл в формате XML, содержащий настройки доступа к папкам справочников и ключей. В списке программ на панели навигации появится программа ViPNet Client. 6 На панели просмотра в списке программ выберите ViPNet Client и нажмите кнопку Настроить. Начнется процесс настройки параметров, по окончании которого появится соответствующее сообщение. В результате в ПО Secret Net будет установлена категория «неконфиденциально» для тех папок, которые ПО ViPNet Client использует при обновлении справочников и ключей. По завершении настройки перезагрузите компьютер и установите справочники и ключи сетевого узла ViPNet. Настройка доступа к папкам справочников и ключей Приведенный ниже текст XML-файла предназначен для установки категории «неконфиденциально» для папок, используемых ПО ViPNet Client при обновлении справочников и ключей. ViPNet Client 4. Руководство пользователя | 365 ViPNet Client 4. Руководство пользователя | 366 Cisco Agent Desktop Если регламент работы контакт-центра требует прослушивания и записи разговоров операторов супервизором и для данных операций используются приложения Cisco Agent Desktop (на узлах операторов) и Cisco Supervisor Desktop (на узле супервизора), то на компьютерах операторов не следует устанавливать ПО ViPNet Client. Защиту трафика, передаваемого между узлами операторов и супервизора, в этом случае можно организовать с помощью туннелированных соединений. При совместном использовании Cisco Agent Desktop и ViPNet Client передача голосового трафика на узел супервизора производится некорректно по следующим причинам. Голосовой трафик операторов зеркалируется драйвером Cisco Agent Desktop на узел супервизора, где прослушивается и записывается супервизором с помощью Cisco Supervisor Desktop. Если на узле оператора установлен ViPNet Client, то весь исходящий трафик передается в обработанном виде (IP-пакеты имеют преобразованный заголовок). Но зеркалируемый голосовой трафик не проходит обработку в ViPNet Client из-за того, что передается приложением Cisco Agent Desktop сразу на узел супервизора. При этом в необработанном виде голосовой трафик не может быть принят на его узле. Данная проблема возникает из-за того, что Intermediate Ndis-драйвер приложения Cisco Agent Desktop, отвечающий за зеркалирование трафика на узел супервизора, и сетевой ViPNet-драйвер, осуществляющий обработку трафика, находятся на разных уровнях стека протокола TCP/IP. ViPNet-драйвер в стеке TCP/IP располагается на сетевом уровне. Драйвер Cisco встраивается в стек ниже — на канальном уровне — и зеркалирует голосовой трафик на узел супервизора напрямую, не передавая его ViPNet-драйверу. Поэтому IP-пакеты отправляются супервизору в необработанном виде. Если на узлах операторов не будет установлено ПО ViPNet, то весь IP-трафик (в том числе голосовой) будет передаваться в открытом виде и сможет быть принят на узле супервизора при наличии соответствующих фильтров открытого трафика. Чтобы IP-трафик через внешние сети передавался в зашифрованном виде, между узлами операторов и супервизора следует организовать туннелируемые соединения. Если функции прослушивания и записи разговоров операторов не осуществляются в контакт-центре, то тогда на узлах операторов вместе с приложением Cisco Agent Desktop можно установить ПО ViPNet Client. ViPNet Client 4. Руководство пользователя | 367 H История версий В данном приложении описаны основные изменения в предыдущих версиях программы ViPNet Client. |