Межсетевой экран Aker

       

Использование графического интерфейса пользователя


Для получения доступа к меню описания трансляции сетевых адресов необходимо выполнить следующие шаги:

  • Выбрать пункт Редактировать в главном меню.
  • Выбрать опцию Трансяция адреса
  • Окно трансляции сетевых адресов

    Окно трансляции сетевых адресов состоит из нескольких полей, которые необходимо заполнить для правильной работы NAT в межсетевом экране Aker. Эти поля имеют вид:

    Общие параметры трансляции:

    Activate the address translation: Эта опция должна быть включена для активизации механизма трансляции адресов. Когда механизм трансляции не активен, конфигурация будет сохраняться, но ее нельзя будет изменить.

    Private network IP: IP адрес внутренней сети.

    Private netmask: Сетевая маска внутренней сети.

    Virtual IP: Это реальный IP адрес, в который будут транслироваться адреса источника всех пакеты от хостов внутренней сети при их соединении в внешними серверами. Этот адрес должен быть одним из адресов сетевого интерфейса межсетевого экрана.

    Maximum number of UDP and TCP connections: Это максимальное число одновременных соединений между внутренней и внешней сетями для UDP и TCP протоколов. Параметр может принимать значение от 0 до 55000 (значение 0 не следует использовать, так как оно деактивирует трансляцию для выделенного протокола; при этом генерируется сообщение об ошибке при каждом обращении клиента к сервису, основанному на этом протоколе).

    Максимальный периоде времени, в течение которого соединение считается активным, даже при отсутствии трафика, можно настраивать с помощью системных параметров. Настройка этого параметра описана в главе Настройка системных параметров.

    ! Трансляция адресов много-в-один работает только для протоколов TCP, UDP и ICMP. Для сервисов, основанных на других протоколах, трансляция производиться не будет, если только хост источника не помещен в таблицу серверной трансляции.



Таблица серверной трансляции:

Таблица серверной трансляции используется для определения отображения один-в-один; серверам присваиваются реальные адреса и внешние хосты получают к ним доступ.


Чтобы получить доступ к окну настройки защищенных каналов, необходимо выполнить следующие действия:

  • Выбрать пункт Edit в главном меню
  • Выбрать опцию Secure Channels
  • Окно настройки защищенных каналов

    Окно содержит параметры конфигурации всех защищенных каналов межсетевого экрана Aker. Каждый канал будет показан на дисплее на отдельной строке, состоящей из нескольких клеток. При выделении одного из каналов строка будет окрашена в другой цвет.

    • Клавиша OK обновляет параметры каналов и немедленно активизирует каналы.
    • Клавиша Cancel отбрасывает все сделанные модификации и окно закрывается.
    • Клавиша Help показывает окно помощи по этому разделу
    • Если установлена опция Show all entities, на строке будут показаны все составляющие в объекте источника и назначения данного канала, в противном случае будут показаны только первые два
    • Указание: Если эта опция не установлена и каналы имеют больше двух объектов в источнике или назначении, в каждом поле, содержащем больше двух объектов, будет показана направленная вниз стрелка.

      • Полоска прокрутки с правой стороны полезна для просмотра каналов, параметры которых не поместились в окне.
      • Если Вы выделите канал, у которого есть записи в поле комментариев, то последние будут показаны в нижней части окна.
      • Для выполнения любого действия с параметрами канала, необходимо нажать на нем правой клавишей мыши. Появится следующее меню (Это меню появляется всегда при нажатии на правую клавишу мыши, даже если канал не выделен. В этом случае будут доступны только опции Add и Paste).

      • Add: Эта опция позволяет включить в список новый канал. Если выделен какой-либо канал, новый канал будет вставлен в позицию выделенного канала. Если же канал не выделен, новый канал будет включаться в конец списка.
      • Delete: Эта опция удаляет выделенный канал из списка.
      • Edit: Эта опция открывает окно редактирования выделенного канала.
      • Copy: Эта опция копирует выделенный канал в буфер.
      • Cut: Эта опция удаляет выделенный канал из списка и копирует его в буфер.
      • Paste: Эта опция копирует канал из буфера в список. Если канал выделен, то новый канал будет помещен в позицию выделенного канала. В противном случае он будет помещен в конец списка.
      • Deselect: Эта опция отменяет выделение канала и снова показывает меню. Это очень полезно при наличии большого числа каналов, и служит для включения или вклейки канала в конец списка.
      • Рекомендация: Все опции, кроме опции "deselect", доступны через инструментальное меню, расположенное в верхней части окна. В этом случае сначала надо выделить канал, нажав на нем левой клавишей мыши, а затем выбрать необходимую опцию. При добавлении или редактировании каналов появится окно свойств, описание которого приведено ниже:




        Для получения доступа к окну просмотра, надо выполнить следующие действия:

        • Выберите пункт Просмотр в главном окне
        • Выберите опцию Статистика
        • Окно фильтрации статистики

          Каждый раз при выборе опции "Статистика", автоматически открывается окно фильтрации статистики. Это окно позволяет определить фильтр для просмотра статистики. Оно имеет следующий формат:

          По умолчанию фильтр настроен таким образом, чтобы показывать все записи текущего дня. Для просмотра записей по другим дням можно настроить поля Initial Date и Final Date, если ввести в них необходимые даты (диапазон фильтрации будет включать записи от начальной до конечной даты, включительно).

          Если нужно просмотреть записи, у которых адреса источника принадлежат определенной группе хостов, для их выделения можно воспользоваться полями Source IP и Source Mask. То же можно сделать и для выделения группы хостов с конкретными адресами назначения, используя поля Destination IP и Destination Mask.

          Чтобы просмотреть конкретный сервис, надо ввести с клавиатуры его номер в поле Destination Port or Type of service. Тогда будут показаны только записи с данным сервисом. Важно не забыть выделить необходимый протокол для данного сервиса.

            ! Для TCP и UDP протоколов, чтобы указать сервис, необходимо в это поле ввести с клавиатуры номер порта, связанный с этим сервисом. В случае ICMP нужно ввести тип сервиса. Для любого другого протокола необходимо ввести его номер.

          Кроме указанных полей существуют другие опции, которые можно комбинировать, чтобы еще больше ограничить объем выводимой на экран информации.

          Действия:

          Описывает действие, проделанное системой над пакетом. Возможны следующие опции:

          Любой

          Показывает все пакеты. Accepted

          Показывает только пропущенные пакеты. Rejected

          Показывает только блокированные пакеты Discarded

          Показывает только отброшенные пакеты. Translated

          Показывает только сообщения, связанные с трансляцией адресов пакетов.

          Priority:

          Различные типы сообщений имеют разные приоритеты.


          Для доступа к окну просмотра событий нужно выполнить следующие действия: Выбрать меню Просмотр в главном окне

        • Выбрать опцию События
        • Окно фильтрации событий

          При выборе опции События автоматически высвечивается окноФильтрация событий window is automatically displayed. Это окно позволяет выбрать используемый для просмотра фильтр. Оно имеет следующий формат:

          По умолчанию фильтр настроен для показа сообщений текущего дня. Чтобы увидеть сообщения за другие дни, необходимо настроить поля Начальная дата и Конечная дата, описав с их помощью интересующий Вас диапазон (он будет содержать сообщения от начальной до конечной даты включительно).

          Кроме этих полей, существуют и другие опции, которые можно применять в разных комбинациях, чтобы еще больше ограничить круг выводимой для просмотра информации:

          Приоритет:

          Различные типы сообщений имеют различные приоритеты. Высший приоритет присваивается наиболее важным из них. В приведенном ниже списке описываются все возможные приоритеты в порядке убывания их важности. (Если межсетевой экран настроен для посылки копии данных регистрации через syslog, то будут генерироваться сообщения с указанными ниже приоритетами.):

            ! При задании конкретного приоритета на экране будут показаны сообщения только с этим приоритетом.

          AnyБудут показаны сообщения с любым приоритетом ErrorСообщения с таким приоритетом содержат информацию о какой-либо ошибке в конфигурации или действиях системы (например, отказ памяти). Сообщения с таким приоритетом достаточно редки и на них следует реагировать как можно быстрее. WarningСообщения с таким приоритетом свидетельствуют о возникновении серьезных нештатных ситуаций (например, во время установления сеанса удаленного администрирования возникла ошибка авторизации пользователя). NoticeЭтот приоритет включает сообщения, в которых содержится информация, важная для системного администратора, но при этом не выходящая за рамки нормального процесса функционирования (например, администратор начал сеанс удаленного администрирования).


          Для получения доступа к окну активных соединений необходимо:

          • Выбрать меню Просмотр в главном окне
          • Выбрать подпункт Соединения
          • Выбрать опцию TCP соединения или UDP соединения
          • Окно активных соединений

            В окне активных соединений можно просматривать все соединения, которые прошли через межсетевой экран в течение определенного времени. Окна для TCP и UDP протоколов идентичны за исключением поля Current State, которое существует только в окне TCP соединений.

            Часто для упрощения понимания термин соединение используется для TCP и UDP протоколов; это не совсем правильно хотя бы из-за того, что UDP протокол не является ориентированным на соединение. Смысл термина "UDP соединение" заключается в том, что оно представляет UDP сессию, в которой имеет место двусторонний трафик. Любой сеанс можно рассматривать как набор запросов и ответов через межсетевой экран к определенному сервису, который обеспечивается одной стороной и доступ к которому пытается получить другая сторона. Окно соединений выглядит следующим образом

            Окно состоит из списка с отдельным элементом для каждого активного соединения. В нижней части окна выводится сообщение о полном числе активных соединений в текущий момент времени.

            • Кнопка OK закрывает окно активных соединений.
            • Кнопка Refresh активизирует (или деактивизирует) автоматическое обновление выводимой на дисплей информации. Нажатие на эту кнопку деактивизирует процесс обновления. Интервал обновления можно задать в поле Automatic refresh.
            • Кнопка Help показывает окно помощи по данному разделу.
            • Кнопка Remove удаляет выделенное соединение. Чтобы это сделать, необходимо сначала выделить удаляемое соединение (кнопка Remove

              недоступна, если соединение не выделено)

            • ! При удалении TCP соединения межсетевой экран посылает пакеты с флагом reset всем хостам, участвующим в соединении, удаляет соединение, а затем удаляет соответствующий элемент из таблицы состояний. В случае UDP соединений межсетевой экран просто удаляет элементы из таблицы состояний.




            Для доступа к окну параметров аутентификации необходимо выполнить следующие действия:

            • Выбрать меню Edit в главном окне
            • Выбрать опцию Authentication parameters
            • Окно параметров аутентификации

            • Кнопка OK закрывает окно параметров аутентификации и сохраняет все изменения.
            • Кнопка Cancel закрывает окно и отбрасывает все сделанные изменения.
            • Кнопка Help показывает окно помощи по данному разделу.
            • Значения параметров

              Consult all authenticators: Этот параметр указывает, должен ли межсетевой экран пытаться проверять подлинность пользователя у следующего аутентификатора по списку, если предыдущий аутентификатор присылает сообщение о неверном пароле.

              Если эта опция установлена, межсетевой экран опрашивает все аутентификаторы по списку, пока он не получит утвердительный ответ или пока не исчерпает весь список. Если нет, поиск закончится на первом же аутентификаторе, который пришлет подтверждение или сообщение о неверном пароле.

              ! Эта опция используется только при ответах о неверном пароле. Если аутентификатор присылает ответ, что пользователь, подлинность которого надо проверить, не зарегистрирован в базе данных этого хоста, межсетевой экран продолжит поиск в следующем аутентификаторе по списку, независимо от значения этой опции.

            User can specify domain: Этот параметр указывает, может ли пользователь при аутентификации сообщить межсетевому экрану, какой аутентификатор он хочет использовать.

            Если эта опция установлена, пользователь может добавить к своему имени суффикс, образованный символом / и именем аутентификатора, тогда его запрос будет посылаться прямо данному аутентификатору. Если эта опция не установлена, аутентификация будет выполняться в порядке перечисления аутентификаторов в списке, заданном администратором.

            ! Использование этой опции не обязывает пользователя сообщать имя аутентификатора, опция только позволяет пользователю сделать это при желании. Если пользователь не задает имя аутентификатора, аутентификация будет продолжена нормальным путем.

          Для иллюстрации доменной спецификации рассмотрим пример системы с двумя аутентификаторами, названными Unix и Windows_NT (окно с этими аутентификаторами показано на рисунке).


          Для доступа к окну конфигурирования SMTP proxy выполните следующие действия:

          • Выберите меню Proxy в главном окне
          • Выберите раздел SMTP
          • Окно контекстов SMTP

            Окно контекстов содержит все SMTP контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.

            • Кнопка OK закрывает окно контекстов
            • Кнопка Help показывает окно помощи по данному разделу.
            • Полоска прокрутки с правой стороны используется для просмотра контекстов, которые не поместились в окне.
            • Для выполнения любого действия с конкретным контекстом нажмите на нем правой клавишей мыши. Откроется следующее меню (Это меню будет появляться всегда, если нажать правую клавишу мыши, даже когда контекст не выделен. В этом случае будут доступны только опции Add и Paste.)

            • Add: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый будет вставлен в позицию выделенного. Во всех других случаях новый контекст добавляется в конец списка.
            • Delete: Эта опция удаляет выделенный контекст из списка.
            • Edit: Эта опция открывает окно свойств для выделенного контекста.
            • Copy: Эта опция копирует выделенный контекст в буфер.
            • Cut: Эта опция удаляет выделенный контекст из списка и копирует его в буфер.
            • Paste: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый копируется в позицию выделенного контекста; если нет, он копируется в конец списка.
            • Указание: Можно получить доступ ко всем этим опциям через инструментальное меню, находящееся в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. При добавлении или редактировании контекстов откроется упомянутое выше окно свойств:

              Окно свойств для SMTP контекстов




              Для доступа к окну настройки Telnet proxy выполните следующие действия:

              • Выберите меню Proxy в главном окне
              • Выберите опцию Telnet
              • Окно контекстов Telnet

                Окно контекстов содержит все Telnet контексты, определенные в межсетевом экране. Оно состоит из списка, в котором каждый контекст показан на отдельной строке.

                • Кнопка OK закрывает окно контекстов.
                • Кнопка Help показывает окно помощи по данному разделу.
                • Полоса прокрутки справа используется для просмотра контекстов, которые не уместились в окне.
                • Для выполнения любого действия на конкретном контексте, нажмите правой клавишей мыши на контексте. Откроется следующее меню (Это меню появляется всегда при нажатии правой клавишей мыши, даже если нет выделенных контекстов. В этом случае будут доступны только опции Add и Paste.)

                • Add: Эта опция позволяет дополнить список новым контекстом. Если выделен какой-либо контекст, новый вставляется на место выделенного контекста. Во всех прочих случаях новый контекст добавляется в конец списка.
                • Delete: Эта опция удаляет выделенный контекст из списка.
                • Edit: Эта опция открывает окно свойств для выделенного контекста.
                • Copy: Эта опция копирует выделенный контекст в буфер.
                • Cut: Эта опция удаляет выделенный контекст из списка и копирует его буфер.
                • Paste: Эта опция копирует контекст из буфера в список. Если контекст выделен, новый будет помещен на место выделенного контекста, если нет, он будет помещен в конец списка.
                • Указание: Ко всем этим опциям можно получить доступ через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите контекст, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. В случае добавления или редактирования контекстов будет открыто описанное ниже окно свойств:

                  Окно свойств контекстов Telnet

                  В окне свойств можно настроить все параметры конкретного контекста. Окно состоит из следующих полей:

                  Name: Имя, которое идентифицирует контекст. Это имя будет показано в списке контекстов и в окне редактирования сервисов при создании сервиса, пакеты которого перенаправляются Telnet proxy.


                  Чтобы добавить новое отображение в список, нужно выполнить следующие действия:



                  • Нажмите на иконку, которая представляет добавление в инструментальном меню.


                  • или:
                  • Нажмите в любом месте списка правую клавишу мыши и выделите опцию Add

                    во всплывающем меню.


                  • Для редактирования элемента списка надо сделать следующее:


                    • Нажать на левую клавишу мыши на редактируемом элементе, а затем на иконке, которая представляет редактирование в инструментальном меню.


                    • или
                    • Нажмите в любом месте списка правую клавишу мыши и выделите опцию Edit

                      во всплывающем меню.


                    • Для удаления отображения из списка необходимо выполнить следующее:


                      • Выделить удаляемый элемент при помощи левой клавиши мыши, а затем нажать иконку, представляющую удаление в инструментальном меню.


                      • или
                      • Выделить удаляемый элемент при помощи правой клавиши мыши и выберите опцию Удалить во всплывающем.


                      • Для опций Добавить или Редактировать появится следующее окно:

                        Real IP: It is the IP address which is defined in the network interface of the internal host.

                        Virtual IP: Это реальный IP адрес, в который будут транслироваться адреса из внутренней сети. Этот адрес нельзя присваивать какому-либо внешнему хосту и он не может являться адресом сетевого интерфейса межсетевого экрана Aker. Важные замечания:


                        • Список серверов не должен содержать повторяющиеся записи.


                        • Реальные адреса должны принадлежать внутренней сети, определенной в полях IP адрес внутренней сети и сетевая маска внутренней сети.


                        • Виртуальный адрес не может принадлежать внутренней сети


                        • Когда хост, описанный в таблице серверной трансляции образует соединение с внешним хостом, его адрес источника будет преобразован в соответствующий виртуальный адрес, кроме протокола FTP. В случае протокола FTP преобразованный адрес будет виртуальным IP адресом глобальной трансляции, независимо от того, описан ли хост в таблице серверной трансляции или нет.




                        • Чем выше приоритет сообщения. тем оно важнее. В приведенном ниже списке указаны все возможные приоритеты в порядке их снижения (если межсетевой экран настроен для отправки копии сообщения в syslog, сообщения будут генерироваться с теми же приоритетами, что приведены в списке).


                            ! Когда задан некоторый приоритет, на экране будут появляться записи только с этим приоритетом. Записи с более высоким или более низким приоритетом не будут выводиться на экран.


                          Any

                          Показывает записи с любым приоритетом. Warning

                          Записи с этим приоритетом обычно свидетельствуют о том, что имела место какого-либо рода атака или же очень серьезная ситуация (например, ошибка в конфигурации защищенного канала). Этим записям всегда предшествует сообщение, содержащее больше информации о происшествии. Notice

                          Как правило, записи с этим приоритетом генерируются пакетами, которые были блокированы или отброшены системой, поскольку они соответствовали правилу, запрещающему доступ или не удовлетворяли ни одному из правил. Иногда им предшествуют более поясняющие суть события сообщения. Information

                          Записи с этим приоритетом добавляют полезную информацию, но не представляют особенной важности для администрирования межсетевого экрана. Они никогда не сопровождаются пояснительными сообщениями. Обычно записи с этим приоритетом генерируются пакетами, пропущенными межсетевым экраном. Debug

                          Записи с этим приоритетом не несут какой-либо реально полезной информации, кроме информации, полезной при настройке системы. С этим приоритетом генерируются записи модуля трансляции сетевых адресов

                          Module:

                          Эта опция позволяет просматривать записи, генерируемые одним из трех основных модулей системы: пакетным фильтром, транслятором сетевых адресов и криптографическим модулем . При выделении одного из этих модулей, будут показаны только генерируемые им записи.

                          Protocol:

                          Это поле описывает протокол для выводимых записей. Допустимы следующие опции:

                          Any

                          Показывает записи с любым протоколом. TCP

                          Показывает только записи, относящиеся к TCP пакетам.TCP/SYN

                          Показывает только записи, относящиеся к установлению TCP соединения ( с флагом SYN). UDP

                          Показывает только записи, относящиеся к UDP пакетам. ICMP

                          Показывает только записи, относящиеся к ICMP пакетам. Others

                          Показывает записи, которые генерируются протоколами, отличными от TCP, UDP и ICMP выше. Более точно определить протокол можно, определив значение в поле Destination Port или Type of Service. Кнопка OK накладывает выбранный фильтр и показывает окно статистики с выбранной информацией.
                          Кнопка Cancel отменяет действие фильтра и параметры в окне статистики возвращаются к прежним значениям. Кнопка Help выводит подсказку по данному разделу



                          InformationСообщения с этим приоритетом содержат полезную информацию, но не столь важную для администрирования межсетевого экрана, как предыдущие (например, закончился сеанс удаленного администрирования). DebugСообщения с этим приоритетом не содержат важной информации, кроме необходимой для аудита. Сюда относятся, например, сообщения, которые генерируются модулем удаленного администрирования при каждой сделанной модификации в конфигурации межсетевого экрана или при его рестарте.

                          Модуль:

                          Эта опция позволяет увидеть сообщения, которые генерируются каким-либо из трех главных модулей системы или любым внешним сервером. При выборе конкретного модуля будут показаны только относящиеся к нему сообщения. Кнопка OK накладывает описанный фильтр и открывает окно событий с выборкой соответствующей фильтру информации.
                          Кнопка Cancel отменяет операцию фильтрации и в полях окна событий появляется предыдущая информация. Кнопка Help выводит окно подсказки по данному разделу.

                          Окно событий

                          Окно событий открывается после наложения нового фильтра. Оно состоит из списка сообщений. Обычно каждая строка списка соответствует отдельному сообщению, но некоторые сообщения могут занимать две строки. Формат сообщений рассмотрен в следующем разделе.

                          Важные замечания:

                        • Одновременно выводится 100 сообщений.


                        • На экран можно вывести только первые 10.000 сообщений, соответствующих данному фильтру. Другие сообщения можно увидеть, записав их в файл или используя другой фильтр для вывода меньшего числа сообщений.


                        • Слева от каждого сообщения показан цветной значок, обозначающий его приоритет. Цвета имеют следующие значения:


                        • Синий

                          Debug
                          Зеленый    

                          Information
                          Желтый  

                          Notice
                          Красный      

                          Warning
                          Черный      Error


                          • Если нажать левую клавишу мыши на сообщении, в нижней части окна появится строка с дополнительной информацией о нем.


                          • Значения кнопок в окне событий

                          • Кнопка OK закрывает окно событий.


                          • Кнопка Refresh активизирует автоматическое обновление выводимой информации.


                            При первом нажатии эта функция активизируется, про следующем она отменяется. Интервал обновления можно настроить в поле Automatic refresh .


                          • Кнопка Filter открывает окно фильтрации событий, описанное выше. Это позволяет организовать новый просмотр.


                          • Кнопка Erase All позволяет удалить все содержимое файла событий. Если нажать эту кнопку, откроется следующее окно:


                          • Нажмите Yes чтобы стереть все события или No для отказа от операции.


                              ! При стирании содержимого файла событий восстановить его можно только с резервной копии.


                          • Кнопка Compact уплотняет файл событий. При этом удаляются все события старше времени жизни статистики (см. главу Настройка параметров системы ), что позволяет реорганизовать файл событий и улучшить время доступа к нему. Этот процесс выполняется в фоновом режиме, поэтому во время его выполнения невозможно просматривать события.


                          • Если нажать эту кнопку, откроется следующее окно:

                          • Кнопка Save сохраняет всю выделенную информацию в ASCII файле. Файл состоит из различных строк с тем же содержанием, что показано в окне.


                          • Эта опция очень полезна для отправки копии событий другому лицу или для сохранения копии некоторых важных данных в текстовом формате. Если нажать эту кнопку, появится следующее окно:

                            Для экспортирования сообщений о событиях, введите имя создаваемого файла и нажмите кнопку Save, для отмены операции нажмите кнопку Cancel.

                            ! Если существует файл с таким же именем, он будет переписан.


                        • Кнопка Next 100>>>> позволяет вывести 100 следующих сообщений. Если они отсутствуют, опция будет недоступна.


                        • Кнопка <<Last 100 позволяет позволяет вывести 100 предыдущих сообщений. Если больше сообщений нет, опция будет недоступна.


                        • Кнопка Help открывает окно помощи по окну просмотра событий.




                        • Кнопка DNS позволяет включить или выключить разрешения имен хостов с помощью системы доменных имен (DNS) для адресов в списке соединений. Обратите внимание на следующее:


                        • Если нажать кнопку DNS, прервется автоматическое обновление. Для его активизации нажмите кнопку Refresh.


                        • После нажатия кнопки DNS показываемая на дисплее информация будет состоять только из имен хостов и портов источника и назначения. Заголовок в верхней части окна будет автоматически изменен, чтобы представлять новую информацию.


                        • Процесс разрешения имен очень часто проходит довольно медленно, из-за чего он выполняется в фоновом режиме.


                        • Часто из-за проблем с настройкой обратных зон ( соответствие IP адресов именам), разрешить некоторые IP адреса в имена невозможно. В этих случаях на экран будут выводиться адреса с указанием факта, что для них не описано обратное разрешение.


                        • Поле Sort позволяет выбрать способ вывода на дисплей списка соединений. Оно содержит опции:


                        • Source IP: Список соединений сортируется по IP адресам источника (этот порядок устанавливается по умолчанию).


                        • Destination IP: Список соединений сортируется по IP адресам назначения


                        • Service: Список соединений сортируется по порту назначения соединения, соответствующему данному сервису.




                        • В такой системе, если пользователь с именем аdministrator хочет пройти аутентификацию на машине Windows_NT, он должен ввести следующий текст при запросе его регистрационного имени: administrator/Windows_NT. Если он не укажет суффикс, межсетевой экран будет пытаться аутентифицировать его на машине Unix, и если не существует пользователя с таким именем или опция Consult all authenticators

                          будет установлена, межсетевой экран будет пытаться аутентифицировать данного пользователя на хосте Windows_NT.


                            ! Имя аутентификатора должно быть в списке опрашиваемых аутентификаторов.


                          Список аутентификаторов

                          В окне присутствуют два списка аутентификаторов: список слева показывает все объекты типа аутентификатор, определенные в системе. Список справа указывает, какие аутентификаторы будут использоваться для аутентификации пользователей и в каком порядке. Чтобы добавить аутентификатор в правый список, надо сделать следующее:


                          1. Выделить добавляемый аутентификатор в левом списке


                          2. Нажать кнопку, изображающую направленную вправо стрелку (только что добавленный аутентификатор будет помечен красным значком V

                            в левом списке, указывая на то, что он добавлен и будет представлен в правом списке).


                          3. Для удаления аутентификатора из списка необходимо:


                            1. Выделить удаляемый аутентификатор в правом списке.


                            2. Нажать кнопку X (удаленный аутентификатор больше не будет помечен значком V в левом списке).


                            3. Для изменения порядка следования аутентификаторов в списке, сделайте следующее:


                              1. Выделите перемещаемый аутентификатор в правом списке.


                              2. Нажмите одну из кнопок справа от списка: кнопка со стрелкой вверх переместит выделенный аутентификатор на одну позицию вверх в списке, а кнопка со стрелкой вниз переместит его на одну позицию вниз.


                              3. ! Опрос аутентификаторов проводится в порядке их следования в правом списке, сверху вниз.


                        Назад | Содержание | Вперед



                        Не может быть двух контекстов с одинаковыми именами. Maximum number of simultaneous sessions: Это поле определяет максимальное число Telnet сессий для данного контекста. Если число открытых сессий достигает этого предела, пользователи, пытающиеся установить новые соединения, будут информированы о том, что достигнут предел и что им следует возобновить попытки позднее. Allowed only with a valid reverse DNS: Если эта опция установлена, будут приниматься соединения только от хостов, для которых описано обратное преобразование в системе доменных имен (DNS). Idle timeout: Этот параметр определяет максимальное время в секундах, в течение которого proxy остаются в активном состоянии при отсутствии передачи через них данных. Это значение должно быть меньше или равно тому значению, которое задается в поле TCP Timeout в глобальных параметрах настройки (смотрите главу Настройка параметров системы ). Default permission: Это поле определяет, какое действие будет применено ко всем тем пользователям, кто не принадлежит к какой-либо из групп из разрешающего доступ списка. Значение accept позволяет установить Telnet соединение, а значение reject нет. Permissions list: В этом списке описывается пользователи или группы пользователей, которым разрешен доступ. Для выполнения действий с пользователем или группой в списке нажмите на соответствующем пользователе (или на группе) правой клавишей мыши. Появится следующее меню (Это меню появляется каждый раз, если нажать правую клавишу мыши, даже когда не выделен пользователь или группа. При этом доступны только опции Add и Paste)
                      • Add: Эта опция позволяет добавить нового пользователя или группу в список. Если выделен какой-либо пользователь (или группа), новый будет вставлен на место выделенного. Во всех прочих случаях новый пользователь (или группа) будут добавлены в конец списка.


                      • Edit: Эта опция позволяет модификацию полномочия на доступ для пользователя (или группы).


                      • Delete: Эта опция удаляет выделенного пользователя (или группу) из списка.




                      • Совет: Ко всем этим опциям можно получить доступ через инструментальную полоску, расположенную справа над списком. В этом случае сначала выделите пользователя (или группу), нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.


                          ! Порядок расположения пользователей и групп в списке полномочий очень важен. При аутентификации пользователя межсетевой экран просматривает список с самого начала в поисках имени пользователя или группы, к которой он принадлежит. Как только оно будет найдено, начинает использоваться связанные с ним полномочия.


                        Для изменения позиции пользователя или группы в списке, сделайте следующее:


                        1. Выберите перемещаемого пользователя или группу.


                        2. Нажмите одну из кнопок в форме стрелки справа от списка. Кнопка со стрелкой вверх переместит выделенного пользователя или группу на одну позицию вверх, а кнопка со стрелкой вниз - на одну позицию вниз.


                        3. При добавлении пользователей или группы откроется следующее окно: Окно добавления пользователя или группы

                          Окно добавления определяет полномочия на доступ для пользователя или группы у конкретного аутентификатора. Для его определения необходимо сделать следующее:


                          1. Выбрать аутентификатор, с которого вы хотите получить список пользователей или групп, нажав левой клавишей мыши на его имени в верхнем списке окна (Если необходимого аутентификатора нет в списке, нужно добавить его в список аутентификаторов. Подробно этот вопрос рассмотрен в главе Настройка параметров аутентификации .)


                          2. Выбрать между списками пользователей и групп, нажав соответствующую кнопку, расположенную между двумя списками


                          3. Нажать левой клавишей мыши на имени добавляемого пользователя или группы в нижнем списке окна.


                          4. Определить права на доступ для пользователя или группы, выбрав между значениями accept (которое позволяет установить соединение) или reject

                            (которое запрещает установление соединения).


                          5. Нажать кнопку OK , которая закрывает окно и добавляет пользователя или группу в список.


                          6. Назад | Содержание | Вперед


                            Содержание раздела