Lan2net nat firewall настройка
wgl, Вот, держи:
*** Скрытый Текст ***
Спасибо конечно, но ужо давно юзаю оный.
Всем спасибо, но не сработало:нет
Добавлено через 13 минут 12 секунд
[QUOTE=Evgen_KR]Кто-нибудь тестил Traffic Inspector?
Хотел, но что-то остановило, под мою задачку не подошло, они как то предлагают сначала НАТ на компе с инетом строго на 192.168.0.1 навесить, а мне так нельзя, т.к. этот адрес отдан серваку - домену сети. Не хочу ломать. Хочу отдельный комп в сети (где все адреса статичны) с адресом, а все остальные (не все конечно) ходить через негов инет будут. Пока ЮГ работает, но что-то как-то не всегда хорошо. вот и решил L2N попробовать.
no_name, Юзай поиск. В варезнике точно есть.
искал. нет ее там. Может у кого есть архив с программой и лекарством к ней, желательно последней версии. Хочется поэксперементировать, убить Юзергейт и попробовать эту приблуду.
Anry, странно в этой теме все ссылки рабочие!
Тут только кряки, а самой проги нет. Нужна прога под которую есть кряк :гуляем
Для всех желающих доступна для тестирования бета-версия Lan2net 1.9.
Основные изменения:
1. Добавлен URL фильтр (см. свойства группы).
2. Соединение панели администратора с сервисом осуществляется по TCP, а не с помощью DCOM (в предыдущих версиях).
Как работает URL фильтр.
Log url фильтра ..Lan2net\log\l2nproxy.log
Log DNS форварда ..Lan2net\log\l2ndns.log
Понмю в свое время ломал какую-то версию (1.4 кажется).
Главной ошибкой разработчиков стал переход на аспротект для защиты.
Теперь их гарантировано будут ломать :)
Пока не снес юзергейт, может объясните в чем преимущества лан2нет и есть ли они вообще? Меня например не устраивает реализация фтп в юзергейте (вер. 2.8) она там вообще так таковая отсутствует. Как допустим эта решается в лан2нет? Скажите пожалуйста кто юзал эту проксю.
Я о том, что к ФТП не могу получить полный доступ (только чтение) ФТП в юзергейте шлюзуется через хттп. но при этом получается только чтение. А мне необходимо админить сайт через фтп и ессно нужен полный доступ.
Я о том, что к ФТП не могу получить полный доступ (только чтение) ФТП в юзергейте шлюзуется через хттп. но при этом получается только чтение. А мне необходимо админить сайт через фтп и ессно нужен полный доступ.
Упс, попал не на ту кнопку, но не суть: в общем поставил UG на другую машину: впечатление отличное! множество настоек и т.д. и т.п. - вот только одно расстроило, весь софт у пользователей необходимо настраивать через сервер (т.е. прописывать вручную) в lan2net такого не требуется - указывается всё в настройках lan2net и не надо мучать каждую машину в отдельности, на счет ftp, пользую CuteFTP 8 Professional на локальной машине (не на серваке) вроде всё без ограничений - можно конечно обрезать в настройках lan2net использование данного протокола, дополнительно. Надеюсь ответил на вопрос?
Вот посмотри, может выбирешь у меня работали:
61.246.39.66:80
84.121.75.23:6588
193.188.96.96:80
193.188.96.93:80
61.145.73.211:80
212.215.2.115:8080
65.28.25.202:80
217.167.6.177:80
202.175.234.166:80
216.165.109.82:3128 - Usa
216.165.109.82:3127
216.165.109.81:3128
216.60.21.4:80
216.220.227.202:80
65.26.219.58:8080
63.137.54.3:8080
24.13.177.211:80
64.77.12.11:2904
128.151.65.101:3127
128.31.1.15:3128
213.164.145.154:8080
69.50.65.252:80
212.98.194.197:8080
66.91.135.2:8080
195.205.141.8:80
80.25.198.39:80
203.162.247.52:80
195.146.147.42:80
искал. нет ее там. Может у кого есть архив с программой и лекарством к ней, желательно последней версии. Хочется поэксперементировать, убить Юзергейт и попробовать эту приблуду.
Качнул ЛАн2Нет1,7 с кряком в нете и по завершении 30 дней выбило сервис,и заблокировало некоторые порта.
Приходится сносить винду.
И где скачать кряк то
Народ подскажите! У меня в локалке web сервер но его часто ломают (сканируют порты, шаренные папки и всякое) какой firewall подойдет для закрытия всех ненужных портов протоколов?
Ссылки битые увы:(
/Evangard/
Все ссылки в этом разделе рабочие, если ссылка, с указанием на другой раздел форума привела вас к не рабочей ссылке, то постите там, что ссылка не работает а не тут.
Lever, а можно услышать подробное объяснение того, что нелезет, какие ошибки выдает, какая версия Lan2net, что за кряк. Одним словом поподробнее
Есть такая фенечка, после использования триального периода, даже если ставишь ломалку то прога всё равно не работает - пишет что сервер не обнаружен!
Выход есть:
- установил заново софт (предварительно удалив его и перезагрузив машину)
- исползуешь trashreg - он где-то есть на форуме (вечный триал для lan2net), запускаешь его - у тебя опять рабочий триал!
- перед тем как скопировать ломаные файлы в папку установки софта, заходишь в ДИСПЕЧЕР ЗАДАЧ, закладка процессы, удаляешь процесс l2nserviсе.exe и копируешь исправленные файлики в папку установки софта. Далее из папки установленного софта запускаешь процесс l2nService (просто жми на него) и , о чудо всё работает! Есть вариант что запуститься не сразу - тогда перезагружаешь машину!
Если и это не сработало, тогда - чисти реестр от всех следов использования данного софта и ставь по новой (схема выше)!
Lan2net NAT Firewall v1.9.00.0173 Multilingual
а есть у кого нить проверенный кряк
Добавлено через 1 минуту
:sos: очень нужно.
А где можно более подробно почитать по правилам файервола, просто создано правило(с пом. мастера)"все разрешить", а даже в локалку не пускает?
Lan2net NAT Firewall v1.9.00.0173 Multilingual
а есть у кого нить проверенный кряк
ЗЫ Все что не разрешено — то запрещено!
люди пожалуйста оставьте ссылку на текст батника для lan2net, чтобы останавливал, обнулял и заново запускал сервис, очень нужно, плиз. Ссылка что выложена выше уже не работает:(trashreg (полный боекомплект, рабочий)
люди пожалуйста оставьте ссылку на текст батника для lan2net, чтобы останавливал, обнулял и заново запускал сервис, очень нужно, плиз. Ссылка что выложена выше уже не работает:(trashreg (полный боекомплект, рабочий)
спасибо большое, получил текст батника, а еще вопрос, в какую папку нужно класть прогу TrashReg.exe
не совсем понятно это: "Качаем прогу для очистки реестра от триалов здесь - TrashReg
Если вы используете программу на Windows 2003 server то вам понадобится dllка msvbvm50.dll Её вы можете найти в любой винде..
Я нашел в ХР и положил в папку где лежит TrashReg.exe "
я использую XP+lan2net?, так что нужно найти?
спасибо большое, получил текст батника, а еще вопрос, в какую папку нужно класть прогу TrashReg.exe
не совсем понятно это: "Качаем прогу для очистки реестра от триалов здесь - TrashReg
Если вы используете программу на Windows 2003 server то вам понадобится dllка msvbvm50.dll Её вы можете найти в любой винде..
Я нашел в ХР и положил в папку где лежит TrashReg.exe "
я использую XP+lan2net?, так что нужно найти?
Значит так, в архиве всё есть, Вам необходимо использовать только менеджера для выполнения автоматических задач, либо через панель управления назначить задание исполняемое к примеру 1 раз в неделю, где исполняемый файл с bat расширением, кстати распаковванную папку можно установить куда угодно, главное потом необходимо указать путь до исполняемого bat-файла. Удачи!
Доброго время суток уважаемый читатель!
В сегодняшнем обзоре речь пойдет о программном продукте Lan2Net
(Обзор Lan2net NAT Firewall часть первая).
Итак встречайте Lan2net NAT Firewall.
На официальном сайте http://www.lan2net.ru Lan2net NAT Firewall позиционируеться как популярный программный фаервол для подключения Интернета к локальной сети компании, имеет полная защита сети от атак, точный учет трафика пользователей и гибкую фильтрация сайтов. Ну что же все понятно и логично, только соответствует ли это заявление разработчиков действительности?
Релиз, выложенный на сайте разработчика имеет версию 1.95. Дата релиза 14.05.2007. Предыдущий релиз 1.7. все еще доступен в Интернете и на сайте разработчика, однако качать его и устанавливать, а тем более использовать там, где нет безлимитного Интернета не рекомендуется. Причина довольна проста и четко объяснима на сайте разработчика "Трафик пожирает 53 порт", то есть по 53 порту происходит обмен трафиком с DNS-серверами провайдера, причем трафик "пожирается" в таком количестве, что если это не отследить вовремя, так прийдеться раскошелиться на приличную сумму. Чтоже пишут сами разработчики: "Вызвано это некорректной работой DNS-форвардера в Lan2net NAT Firewall версии до 1.9, если прописано более одного DNS сервера (или одинаковые DNS серверы прописаны для обоих сетевых адаптеров шлюза). Для решения проблемы прописать на клиентах DNS сервер провайдера или установить кэширующий DNS сервер (еще один бесплатный сервер) на компьютере с Lan2net NAT Firewall. DNS форвардер необходимо отключить". Уважаемый читатель спросит, а зачем освещать огрехи старой версии, если есть новая и наверное без ошибок. Вот тут уважаемый читатель вы ошибаетесь. В "новой" версии, если ее можно назвать новой (дату релиза см. выше) есть особенность, которая так или иначе заставит пользователя программы устанавливать старую 1.7 версию продукта. Поясню это на примере, взятом из личного опыта работы программы и освещенном на официальном сайте разработчика.Пользователи пишут "Мы работали с вашей программой, нас устраивают возможности и качество работы, и мы хотим её приобрести, в данный момент у нас истекло время демонстрационного режима и мы не можем её
зарегистрировать". Что же отвечает разработчик: "Это известная проблема, связанная с тем, что в версии 1.95 не учтена возможность завершения демонстрационного срока использования программы. Исправляется данная проблема следующим образом: удаляете текущую версию Lan2Net, затем скачиваете с сайта версию 1.7 , устанавливаете её, вводите ваш регистрационный ключ. Затем вы можете установить версию 1.95". Для качественного программного продукта ответ по исправлению данной проблемной ситуации мягко говоря "любительский". Учесть такую возможность активации регистрационного ключа дело нескольких дней, но никак ни лет. Может быть автор статьи хочет много от разработчика? Да нет, автору статьи хочется работать всего лишь со стабильным и безопасным продуктом, коим Lan2Net NAT Firewall назвать никак не возможно. Почему? Ну во-первых потому, что на Windows Server 2003
St. Edition R2 Lan2Net NAT Firewall работает нестабильно. Заключаеться это в том, что при перезагрузке сервера служба отвечающая за работоспособность Lan2Net NAT Firewall "стопариться", хотя в перечне служб четко указано что она запущена. Такое положение
сохраняться на протяжении от 2 до 25 минут. В итоге служба начинает работать и работает
до следующей перезагрузки сервера, но с одной оговоркой. Оговорка заключается в том, что если интернет "отвалился" то службу необходимо перезапустить вручную, в противном случае Lan2Net NAT Firewall окажется неработоспособным. Служба поддержки за период с сентября по декабрь 2008 года не смогла внятно ответить на вопросы касающиеся стабильности продукта, пояснив, что его необходимо полностью переустановить. Неоднакратная переустановка, в том числе и на другой сервер не дала должных результатов. Других советов по устранению проблемной ситуации автор статьи не получил ввиду полного и иногда "гробового" молчания со стороны службы поддержки. О какой безопасности со стороны внешних угроз можно говорить, если поддержка продукта на нуле. Судя по наполнению сайта разработчика можно сделать заключение о том, что сопровождение программного продукта Lan2Net NAT Firewall не ведется, служба поддержки, если вам повезет связаться с ней по ICQ (а другой способ общения - телефон, является "золотым"), кроме советов по полной переустановке программного продукта какого либо внятного объяснения той или иной ситуации дать не может. Причем за время общения, а это около четырех месяцев сменилось два человека. Создается такое впечателение, что кто-то строит свое материальное благополучие на проблемах пользователей программного продукта. Кроме продаж и разнообразных сомнительных акций сайт не наполняется. Информация, необходимая пользователям, заплатившим, замедте не малые деньги, отсутствует. Ведется торговля, старым, сырым, нестабильным продуктом, не способным не только защитить копоративную сеть предприятия, но и стабильно функционировать. Если уважаемый читатель у вас остались сомнения в правдивости слов автора обзора и вы считаете, что автор предвзято отнесся к разработчику, прошу вас не полиниться и просмотреть сайт разработчика и его форум и вы сами составите свое мнение о компетенции разработчика и качестве программного продукта Lan2Net NAT Firewall.
С уважением MisterXXX
PS Ввиду нестабильности и отвратительной поддержки компания отказалась использовать продукт, потеряв немалые деньги, все претензии канули в небытие, туда же куда и деньги
Cтала доступна для тестирования бета версия Lan2net NAT Firewall 1.99 с обновленным сетевым драйвером.
В новой версии особое внимание было уделено повышению стабильности работы всех систем Lan2net NAT Firewall. Также улучшена обработка сетевого трафика и появился ряд востребованных возможностей, среди которых:
• Установка и удаление программы без перезагрузки компьютера;
• Поддержка операционных систем Windows Vista и Windows Server 2008, а также недавно вышедшей бета версии Windows 7;
• Полная поддержка 64-х разрядных платформ;
• Интеллектуальное сохранение активных соединений при изменении конфигурации. Теперь текущие соединения не разрываются, и работа программы стала абсолютно незаметна для пользователей сети;
• Интеграция сетевого драйвера в систему событий Windows;
• Непрерывная работа при включении/отключении сетевых адаптеров.
Предлагаем вам попробовать в работе новую версию Lan2net NAT Firewall.
Версия является стабильной и может использоваться в рабочей сети. Однако, следует помнить, что это бета версия, и возможны сбои в работе программы.
От себя дабавлю, юзал три дня, как была нестабильной так и осталась. Прежде чем писать, что есть поддержка новых ОС, не лучше бы отладить стабильную работу в старой доброй хрюше с сервис паком №3, а также в windows server 2003 R2
Менеджеры проекта LAN2NET ведут непростую игру с пользователями Lan2net NAT Firewall.
в связи с непростой ситуацией в экономике у нас возникла вынужденная задержка по своевременному выполнению обязательств по выплате вознаграждений и отправке подарков. поэтому выплаты происходят не всем сразу и так растянуты во времени.
к сожалению, часть клиентов ведет себя неадекватно в такой непростой для всех ситуации. мы их прекрасно понимаем и относимся с терпением и уважениям к не совсем цивилизованным способам общения, которые они пытаются применять.
Ситуация интересна еще и тем, что пока еще никому не удалось получить компенсацию.
Извините, немного не понял из статьи сверху, проблема с регулярным отваливанием службы так и не была решена никакими способами? Просто сам использую данный прокси некоторое время и не смог решить эту проблему, думал причина в руках кривых. Если это кто-то смог победить, скажите решение или лучше сразу на другой прокси переходить?
Извините, немного не понял из статьи сверху, проблема с регулярным отваливанием службы так и не была решена никакими способами? Просто сам использую данный прокси некоторое время и не смог решить эту проблему, думал причина в руках кривых. Если это кто-то смог победить, скажите решение или лучше сразу на другой прокси переходить?
1.99 - распределение трафика есть ?
Добавлено через 7 минут
стоит 1,95 - уже больше года , на 2003 сервер оч. нестабильно, но на XP -нормально
Есть рабочий кряк - на 1000000000 пользователей - не вылетает и не требует перегружать сервис.
1.99 - распределение трафика есть ?
Добавлено через 7 минут
стоит 1,95 - уже больше года , на 2003 сервер оч. нестабильно, но на XP -нормально
Есть рабочий кряк - на 1000000000 пользователей - не вылетает и не требует перегружать сервис.
У меня нестабильно работал и на ХП и на 2003, хотя на 2003 чуть более стабильно, если так можно выразиться.
А что ваш рабочий кряк исправляет ошибки разработчиков?
Где его можно скачать?
А что ваш рабочий кряк исправляет ошибки разработчиков?
Где его можно скачать?
насчет ошибок -не знаю, глюки есть. но не так много
где скачать -уже не помню. могу кинуть -скажи куда
Меня волнует проблема переодического пропадания интернета, которое лечится перезапуском службы, она там осталось?
Меня волнует проблема переодического пропадания интернета, которое лечится перезапуском службы, она там осталось?
Осталась - но сбоит от кол-ва юзеров -чем больше -тем чаще, не так и трудно в планировщике заданий перезапускать сервис . 2 раза в сутки.
Осталась - но сбоит от кол-ва юзеров -чем больше -тем чаще, не так и трудно в планировщике заданий перезапускать сервис . 2 раза в сутки.
Перезапускать сервис два раз в день - не проблема, и я был бы рад если бы дело только этим кончилось. Но приходится перезапускать намного чаще, как минимум два-три раза за рабочий день.
Так что, ни у кого нету кряка на новую версию?
народ, поставил эту прогу, а она мне весь инет заблокировала, вроде в правилах все разрешено, но! интернет не работает, сношу эту прогру, инет пашет, я как понимаю там программа ставит свои какой то драйвер. теперь вопрос: как настроит программу так, чтоб она мне ничего не блокировала. Систему такая, по WI-FI сетевухе смотрю в интернет, связан с адсл модемом по этой сетевой, встроенная сетевуха смотрит на локальную сеть.
Подключение к интернету прибавляет забот любому админу. Раздача канала,
обеспечение защиты внутренних ресурсов от внешних угроз, настройка учета
трафика, контроль загрузки канала, блокировка доступа пользователей к
определенным сайтам и сервисам - это только верхушка айсберга. Из великого
многообразия доступных программных продуктов, позволяющих организовать работу
пользователей в глобальной Сети, очень важно выбрать надежное и
полнофункциональное решение.
Lan2net NAT Firewall 1.99
Этот продукт разработан специально для применения в небольших офисах, где
необходимо обеспечить безопасный доступ в интернет без привлечения специалистов.
Для этого есть все необходимое: NAT, перенаправление соединений для доступа к
внутренним сервисам "извне", DNS Forwarder. Защита обеспечивается файрволом
сетевого уровня. Имеется возможность ручного создания белого и черного списка
веб-адресов, куда можно прописывать URL, домен и поддомен, а также расширения
файлов (к счастью, при составлении таких правил разрешается использование
символов подстановки ? и *). Реализована система учета трафика с установлением
индивидуальных квот. При перерасходе возможна блокировка доступа пользователя в
интернет с предоставлением только необходимых для работы ресурсов (почта,
корпоративный веб-сайт). Предусмотрено несколько вариантов аутентификации: NTLM,
Windows, логин/пароль, IP, MAC, IP+MAC, диапазон IP, с помощью клиента Lan2net
Login Client и без аутентификации.
Для удобства управления и создания правил доступа пользователи объединяются в
группы. При этом учетную запись очень просто перенести в другую группу.
Достаточно захватить имя и перетащить мышкой на новое место. Средствами
Lan2net легко создать группы, которым разрешен, например, доступ только к
почте или веб-сервисам.
Инсталляция продукта тривиальна. Сразу после ее окончания будет предложено
войти в консоль; здесь же предлагается сменить пароль администратора (по
умолчанию он пустой). После установки Lan2net находится в режиме настройки, при
котором firewall отключен, и все пакеты проходят без фильтрации. Мастер быстрой
настройки, появляющийся при первом запуске консоли, поможет быстро сформировать
нужные правила. Здесь всего несколько шагов - выбор конфигурации (сервер,
клиентский комп); далее указываем WAN- и LAN-интерфейсы, NAT уже включен. После
завершения работы мастера разрешены любые соединения из LAN, и блокируются все
подключения из внешней сети. Если присутствует несколько LAN-интерфейсов, их
затем следует добавлять в консоли, во вкладке "Интерфейсы".
Следует помнить, что правила firewall разбиты на две группы. Правила,
настраиваемые в разделе "Правила Firewall", имеют более высокий приоритет перед
настройками в правилах пользователей. Поэтому общие блокировки и контроль
определенного типа трафика (веб, почта и т.п.) прописываем в "Правила Firewall",
а персональные – в "Группы и правила пользователей", которые обрабатываются в
том случае, если не сработали первые. Все настройки в Lan2net производятся при
помощи мастеров, поэтому разобраться будет нетрудно.
Вкладка "Мониторинг" позволяет просматривать текущие соединения. Здесь же,
используя контекстное меню, можно на основе определенного события создать
правило firewall. В отдельной вкладке доступен журнал логов, где можно
сформировать отчет по любому событию. Для просмотра статистики (админом и
пользователями) Lan2net имеет встроенный веб-сервер.
Технология NAT
Принцип работы NAT
Трансляция сетевых адресов выполняется в процессе контроля транзитных соединений на Интернет сервере. Когда пакет IP-соединения с серым IP-адресом источника передается драйвером внутреннего сетевого адаптера к драйверу стека TCP/IP, сетевой драйвер Lan2net NAT Firewall перехватывает пакет, изменяя в нем IP-адрес источника и номер порта источника для протоколов UDP и TCP . Для пакетов протокола ICMP модифицируется идентификатор запроса. После модификации пакета он передается драйверу внешнего сетевого адаптера Интернет шлюза и далее отсылается необходимому узлу в Интернет.
При передаче в сеть Интернет пакет выглядит так, как будто, он отправлен с белого внешнего IP-адреса. Тем самым обеспечивается уникальность IP-адреса источника соединения в рамках всей сети Интернет.
Получив ответные пакеты, драйвер внешнего сетевого адаптера передает их драйверу стека TCP/IP. В этот момент пакеты перехватываются драйвером Lan2net NAT Firewall. Сетевой драйвер Lan2net NAT Firewall определяет принадлежность пакетов исходному IP-соединению. Так как при модификации номеров TCP -, UDP -портов или идентификатора ICMP -запроса в исходящих пакетах им были присвоены уникальные значения, то теперь на основе этих значений драйвер может восстановить оригинальный, серый IP-адрес источника запроса.
Замечу, что под термином "виртуальная машина" здесь не подразумевается Java Virtual Machine (JVM). Фактически я применяю этот термин в его традиционном значении. Несколько десятилетий назад, когда Java значило лишь темный, горячий напиток, IBM ввела в оборот словосочетание "виртуальная машина" ("virtual machine"). Этим странным словосочетанием была обозначена абстракция высокоуровневой ОС, внутри которой могли функционировать в полностью инкапсулированной среде другие ОС. Говоря о CLR как о виртуальной машине, я имею в виду то, что код, выполняемый в инкапсулированной и управляемой среде, отделен от других процессов на этой машине.
Windows DMA и. NET
Common Language Runtime
С CLR связана важная концепция управляемого кода (managed code) — кода, выполняемого только в среде CLR и управляемого ею. Напомню, что во время исполнения в нынешних ОС Microsoft Windows мы имеем дело с разнородными независимыми друг от друга процессами. Единственное требование, которому должны отвечать приложения в среде
Windows, состоит в том, чтобы они правильно работали. Эти приложения создаются совершенно разными компиляторами. Иначе говоря, приложения должны подчиняться только наиболее общим правилам работы под Windows.
int main(int argc, char* argv[])
cout " "Hello, World!" " endl;
public static void Main()
Итак, что дает этот стандартный набор библиотек классов и чем он хорош? Это зависит от точки зрения. Благодаря такому набору все языки в идеале располагают одними и теми же функциональными возможностями, поскольку все они могут что-то делать (если речь идет не только об объявлении переменных) только с помощью этих библиотек.
Кто-то на дискуссионной страничке в Интернете недоумевал: "Зачем нам столько языков, если у них одинаковые функциональные возможности?" Как человек, поработавший в нескольких многоязыковых средах, заявляю, что это очень здорово, когда не надо помнить, какой язык, что и как может делать с системой. В конце концов мы, как разработчики, должны написать код, не мучая себя вопросом, есть ли у нашего любимого языка то или иное преимущество.
Еще один частый вопрос: "Если все .NET-языки могут делать одно и то же, зачем нам много таких языков?" Ответ надо искать в том, что программисты — это люди, которые редко отказываются от своих привычек. Microsoft, конечно, стремится выделить из множества языков какой-то один и навязать его миллионам программистов, имеющим многолетний опыт работы с другими языками. Мало того, что разработчику нужно познакомиться с новым API, ему придется еше освоить совершенно другой синтаксис. Пусть уж разработчик продолжает писать на том языке, который лучше всего подходит для его задачи. Как никак, наша главная цель — производительность. А замена того, что не должно меняться, — не то, к чему мы должны стремиться.
Microsoft Intermediate Language и компиляторы JITter
Унифицированная система типов
Метаданные и отражение
Как уже говорилось в разделе "Microsoft Intermediate Language и компиляторы JITter", CLS-совместимые компиляторы создают из вашего исходного кода MSIL-код, подлежащий компиляции (с помощью ЛТ-ком-пиляторов) перед своим выполнением. Помимо перевода исходного кода в MSIL-последовательность, CLS-совместимые компиляторы выполняют и другую столь же важную задачу: внедрение метаданных в выходной ЕХЕ-файл.
На втором плане — главное окно IL Disassembler. Если дважды щелкнуть метод Main в иерархическом дереве, на переднем плане появится окно, отображающее подробности метода Main.
Взаимодействие с неуправляемым кодом
Подключение к интернету прибавляет забот любому админу. Раздача канала, обеспечение защиты внутренних ресурсов от внешних угроз, настройка учета трафика, контроль загрузки канала, блокировка доступа пользователей к определенным сайтам и сервисам - это только верхушка айсберга. Из великого многообразия доступных программных продуктов, позволяющих организовать работу пользователей в глобальной Сети, очень важно выбрать надежное и полнофункциональное решение.
UserGate Proxy & Firewall 5.1
UserGate позволяет гибко управлять трафиком и его учетом (по времени и количеству). Можно задать несколько тарифов и привязать их к пользователям или группам, установить интервалы действия тарифов и трафик, который не должен попадать в статистику.
Установка продукта несложна: несколько раз нажимаем "Далее", при необходимости отбираем отдельные компоненты. Консоль администрирования тоже достаточно проста. Представляя конечный результат, можно разобраться в назначении элементов без подглядываний в прилагаемое руководство (кстати, краткое, но понятное). Все сетевые подключения после установки можно найти в "Сервер UserGate –> Интерфейсы". Так как это основная вкладка, на основе настроек которой будет считаться трафик, резервироваться канал, работать NAT и всевозможные ограничения, то следует сюда зайти и указать тип соединения для каждого адаптера. Внешние сети должны иметь тип WAN, внутренние - LAN. Тип VPN- и PPPoE-соединений изменить нельзя, они всегда установлены в PPP.
Брандмауэр по умолчанию содержит только одно правило, причем разрешающее все соединения. С одной стороны это удобно, так как все работает "из коробки". С другой - администратору придется некоторое время уделить настройке, чтобы защитить сеть. Начать, очевидно, следует с того, чтобы сделать это правило запрещающим, а затем уже разрешать действительно нужные соединения, заглядывая в логи. Правило firewall создается при помощи пошагового мастера. Для этого надо указать название правила, источник и назначение (любой, хост и WAN-интерфейс), сервисы и действие (блокировать, разрешить, NAT). Созданное правило можно редактировать, удалить, переместить, отключить, копировать, чтобы на его основе создать новое. Внутренние ресурсы компании, которые должны быть доступны "извне", необходимо публиковать, создав для них правило доступа.
В настройках отдельного пользователя указываются преобразования NAT, правила управления трафиком, правила приложений, ограничение скорости, номер SIP/H323 телефона.
Перейдя в пункт "Мониторинг", можно просмотреть в реальном времени активные сессии и при необходимости заблокировать некоторые из них. Администратор получит информацию по IP-адресу компьютера, имени пользователя, точному количеству переданного и полученного трафика и по посещенным адресам.
NetworkShield Firewall 2006
NetworkShield Firewall 2006 создан на основе драйвера обработки сетевого трафика, поддерживающего технологию NAT. Помимо обеспечения выхода в интернет через один канал, он позволяет управлять доступом между сетями и контролировать работу пользователей. Есть средства учета трафика. За безопасность отвечает файрвол, умеющий также определять и блокировать некоторые типы атак (SYN flood, IP spoofing). Безопасность соединений гарантирует технология защиты под названием Adaptive Connections Control (Stateful Firewall на основе логических объектов).
Установка продукта очень проста. После выбора русского языка просто жмем "Далее" и соглашаемся со всем, что предлагают. По окончании запустится "Мастер настройки сети". Его задача – произвести первоначальную настройку безопасности. Пока мастер не закончит работу, все исходящие соединения будут разрешены. Вначале вводим пароль админа и указываем интерфейс, к которому подключена локальная сеть, затем диапазон адресов, входящих в LAN. Если LAN-сетей несколько, их настройки указываем позднее, используя панель управления NSF. Затем выбираем WAN-интерфейс, определяем сервисы, к которым разрешен доступ из LAN (все или отдельные). Наконец, определяем, к каким сервисам на сервере NSF разрешен доступ из WAN. Кстати, не факт, что по окончании работы мастера все пользователи сразу получат доступ в Сеть. В этом NSF сильно отличается от UserGate.
Основные установки производятся в панели управления NSF. Она локализована, логична и построена стандартно для такого типа программ. Настроек меньше, чем в UserGate, плюс большая их часть производится при помощи пошаговых мастеров, поэтому конфигурировать NSF довольно легко.
После работы мастера в "Правила firewall" будет записано несколько рулесетов, разделенных на две группы: предопределенные и пользовательские. В предопределенных правилах можно изменять и отключать лишь некоторые параметры. Последним по списку установлено правило, запрещающее все соединения. Его изменить или отключить нельзя.
При создании нового правила помогает пошаговый мастер. Админу предлагается ответить на ряд вопросов: название, тип (доступ или публикация), действие (разрешить, запретить), протокол (все или на выбор), источник и назначение. По окончании создания правила можно его отредактировать. Здесь же можно будет задать расписание.
Для удобства настройки правил firewall и правил учета трафика создаются объекты. Объектами могут быть компьютеры, диапазоны IP, пользователи. Аутентификация пользователей возможна средствами NSF или Windows, в том числе, поддерживается и Active Directory. На клиентских компьютерах дополнительно требуется установить клиент авторизации (скачать его можно с расшаренной папки \\nsf\nsclient). Он позволяет использовать при подключении динамические IP-адреса.
Система квот и учета трафика предоставляет возможность задать лимит трафика (вкладка "Квоты трафика") за определенный период (день, неделя, и т.д.) и действие при его достижении (ничего не делать или заблокировать). После создания квота подключается к объектам в "Правила учета трафика". Вкладка "Мониторинг" позволяет отслеживать в реальном времени активность объектов в сети.
Lan2net NAT Firewall 1.99
Этот продукт разработан специально для применения в небольших офисах, где необходимо обеспечить безопасный доступ в интернет без привлечения специалистов. Для этого есть все необходимое: NAT, перенаправление соединений для доступа к внутренним сервисам "извне", DNS Forwarder. Защита обеспечивается файрволом сетевого уровня. Имеется возможность ручного создания белого и черного списка веб-адресов, куда можно прописывать URL, домен и поддомен, а также расширения файлов (к счастью, при составлении таких правил разрешается использование символов подстановки ? и *). Реализована система учета трафика с установлением индивидуальных квот. При перерасходе возможна блокировка доступа пользователя в интернет с предоставлением только необходимых для работы ресурсов (почта, корпоративный веб-сайт). Предусмотрено несколько вариантов аутентификации: NTLM, Windows, логин/пароль, IP, MAC, IP+MAC, диапазон IP, с помощью клиента Lan2net Login Client и без аутентификации.
Для удобства управления и создания правил доступа пользователи объединяются в группы. При этом учетную запись очень просто перенести в другую группу. Достаточно захватить имя и перетащить мышкой на новое место. Средствами Lan2net легко создать группы, которым разрешен, например, доступ только к почте или веб-сервисам.
Инсталляция продукта тривиальна. Сразу после ее окончания будет предложено войти в консоль; здесь же предлагается сменить пароль администратора (по умолчанию он пустой). После установки Lan2net находится в режиме настройки, при котором firewall отключен, и все пакеты проходят без фильтрации. Мастер быстрой настройки, появляющийся при первом запуске консоли, поможет быстро сформировать нужные правила. Здесь всего несколько шагов - выбор конфигурации (сервер, клиентский комп); далее указываем WAN- и LAN-интерфейсы, NAT уже включен. После завершения работы мастера разрешены любые соединения из LAN, и блокируются все подключения из внешней сети. Если присутствует несколько LAN-интерфейсов, их затем следует добавлять в консоли, во вкладке "Интерфейсы".
Следует помнить, что правила firewall разбиты на две группы. Правила, настраиваемые в разделе "Правила Firewall", имеют более высокий приоритет перед настройками в правилах пользователей. Поэтому общие блокировки и контроль определенного типа трафика (веб, почта и т.п.) прописываем в "Правила Firewall", а персональные – в "Группы и правила пользователей", которые обрабатываются в том случае, если не сработали первые. Все настройки в Lan2net производятся при помощи мастеров, поэтому разобраться будет нетрудно.
Вкладка "Мониторинг" позволяет просматривать текущие соединения. Здесь же, используя контекстное меню, можно на основе определенного события создать правило firewall. В отдельной вкладке доступен журнал логов, где можно сформировать отчет по любому событию. Для просмотра статистики (админом и пользователями) Lan2net имеет встроенный веб-сервер.
ViPNet OFFICE FIREWALL 3.1
Продукт от ИнфоТеКС позиционируется как файрвол, предназначенный для защиты сетей небольших и средних компаний. Подключение клиентов к интернету реализуется путем динамического NAT. Статическая трансляция сетевых адресов позволяет публиковать во внешней сети внутренние сервера. Продукт работает с любым количеством сетевых адаптеров и поддерживает различные методы подключения к Сети. Предусмотрена возможность назначить для каждого сетевого интерфейса диапазон допустимых IP-адресов. Это позволяет блокировать системы с адресами из другой зоны (анти-спуфинг). Учитывая, что никаких других возможностей по аутентификации отдельного пользователя нет, эта функция лишней не будет.
Кроме того, каждый адаптер может устанавливаться в один из пяти режимов безопасности. Так, первый режим блокирует, а пятый разрешает весь IP-трафик. Режим 4 действует на локальные соединения, разрешая весь трафик. Эти режимы не являются рабочими и рекомендуются только на период тестирования. При обычной эксплуатации обычно задействуются второй и третий режим. Режим 2 установлен по умолчанию и блокирует все соединения, кроме явно разрешенных в правилах. В режиме 3 файрвол пропускает исходящие соединения, кроме явно запрещенных, и блокирует входящие соединения. Наиболее оптимальным является установка внешнего адаптера в режим 2 (или 3), внутреннего – в режим 3 (2, иногда 4), а затем донастройка под конкретную задачу, если текущих установок будет недостаточно. Настройки сетевых фильтров можно активировать по расписанию, что, несомненно, упростит жизнь админу (например, можно отключить на ночь все ненужные соединения). Система обнаружения атак (IDS) распознает и блокирует наиболее распространенные сетевые атаки (WinNuke, Land, Teardrop, Ssping, Tear2, NewTear, Bonk, Boink, Dest_Unreach, UDP flood, Ping flood, OOBnuke и т.д.) во входящем и исходящем потоке (активируется дополнительно).
Еще одна особенность - возможность создания нескольких конфигураций и быстрого переключения между ними. Реализована простая статистика по пропущенным и блокированным IP-пакетам и журнал IP-пакетов. Последний позволяет отобрать, основываясь на различных критериях, и просмотреть подробности событий. Результат затем можно экспортировать в HTML или Excel. К сожалению, возможностей по учету трафика нет.
Интерфейс консоли управления интуитивно понятен. Доступны следующие пункты: Сетевые фильтры, Сетевые интерфейсы, Трансляция адресов, Блокированные IP-пакеты, Статистика, Обнаружение атак, Журнал IP-пакетов, Конфигурация.
Заблокированные пакеты отображаются в одноименном окне. Используя эту информацию из контекстного меню, можно создать новое правило доступа или фильтр протоколов. При ручном создании правила в окне "Сетевые фильтры" следует указать IP-адреса и интерфейсы. После создания правила можно добавить к нему фильтр протоколов, указав протокол, направление действия и расписание.
WinProxy 1.5.3
WinProxy поддерживает до 900 пользователей, которые могут входить в 100 групп. Доступ реализован посредством ввода логина и пароля.
Управление настройками производится при помощи браузера, для чего следует подключиться к 3129 порту. В целях безопасности можно указать сетевые адреса, с которых разрешено управление.
Доступные решения очень сильно отличаются функционально (и, конечно, ценой), поэтому следует присмотреться к ним и выбрать наиболее подходящий продукт под конкретные условия и задачи. Среди лидеров можно выделить UserGate - единственный из обзора, умеющий проверять трафик антивирусом, причем сразу двумя. Он будет полезен также в том случае, если понадобится SIP-сервер для внутренних переговоров.
ViPNet OFFICE FIREWALL 3.1
Продукт от ИнфоТеКС позиционируется как файрвол, предназначенный для защиты
сетей небольших и средних компаний. Подключение клиентов к интернету реализуется
путем динамического NAT. Статическая трансляция сетевых адресов позволяет
публиковать во внешней сети внутренние сервера. Продукт работает с любым
количеством сетевых адаптеров и поддерживает различные методы подключения к
Сети. Предусмотрена возможность назначить для каждого сетевого интерфейса
диапазон допустимых IP-адресов. Это позволяет блокировать системы с адресами из
другой зоны (анти-спуфинг). Учитывая, что никаких других возможностей по
аутентификации отдельного пользователя нет, эта функция лишней не будет.
Кроме того, каждый адаптер может устанавливаться в один из пяти режимов
безопасности. Так, первый режим блокирует, а пятый разрешает весь IP-трафик.
Режим 4 действует на локальные соединения, разрешая весь трафик. Эти режимы не
являются рабочими и рекомендуются только на период тестирования. При обычной
эксплуатации обычно задействуются второй и третий режим. Режим 2 установлен по
умолчанию и блокирует все соединения, кроме явно разрешенных в правилах. В
режиме 3 файрвол пропускает исходящие соединения, кроме явно запрещенных, и
блокирует входящие соединения. Наиболее оптимальным является установка внешнего
адаптера в режим 2 (или 3), внутреннего – в режим 3 (2, иногда 4), а затем
донастройка под конкретную задачу, если текущих установок будет недостаточно.
Настройки сетевых фильтров можно активировать по расписанию, что, несомненно,
упростит жизнь админу (например, можно отключить на ночь все ненужные
соединения). Система обнаружения атак (IDS) распознает и блокирует наиболее
распространенные сетевые атаки (WinNuke, Land, Teardrop, Ssping, Tear2, NewTear,
Bonk, Boink, Dest_Unreach, UDP flood, Ping flood, OOBnuke и т.д.) во входящем и
исходящем потоке (активируется дополнительно).
Еще одна особенность - возможность создания нескольких конфигураций и
быстрого переключения между ними. Реализована простая статистика по пропущенным
и блокированным IP-пакетам и журнал IP-пакетов. Последний позволяет отобрать,
основываясь на различных критериях, и просмотреть подробности событий. Результат
затем можно экспортировать в HTML или Excel. К сожалению, возможностей по учету
трафика нет.
Интерфейс консоли управления интуитивно понятен. Доступны следующие пункты:
Сетевые фильтры, Сетевые интерфейсы, Трансляция адресов, Блокированные
IP-пакеты, Статистика, Обнаружение атак, Журнал IP-пакетов, Конфигурация.
Заблокированные пакеты отображаются в одноименном окне. Используя эту
информацию из контекстного меню, можно создать новое правило доступа или фильтр
протоколов. При ручном создании правила в окне "Сетевые фильтры" следует указать
IP-адреса и интерфейсы. После создания правила можно добавить к нему фильтр
протоколов, указав протокол, направление действия и расписание.
UserGate Proxy & Firewall 5.1
UserGate позволяет гибко управлять трафиком и его учетом (по времени и
количеству). Можно задать несколько тарифов и привязать их к пользователям или
группам, установить интервалы действия тарифов и трафик, который не должен
попадать в статистику.
Установка продукта несложна: несколько раз нажимаем "Далее", при
необходимости отбираем отдельные компоненты. Консоль администрирования тоже
достаточно проста. Представляя конечный результат, можно разобраться в
назначении элементов без подглядываний в прилагаемое руководство (кстати,
краткое, но понятное). Все сетевые подключения после установки можно найти в
"Сервер UserGate –> Интерфейсы". Так как это основная вкладка, на основе
настроек которой будет считаться трафик, резервироваться канал, работать NAT и
всевозможные ограничения, то следует сюда зайти и указать тип соединения для
каждого адаптера. Внешние сети должны иметь тип WAN, внутренние - LAN. Тип VPN-
и PPPoE-соединений изменить нельзя, они всегда установлены в PPP.
Брандмауэр по умолчанию содержит только одно правило, причем разрешающее все
соединения. С одной стороны это удобно, так как все работает "из коробки". С
другой - администратору придется некоторое время уделить настройке, чтобы
защитить сеть. Начать, очевидно, следует с того, чтобы сделать это правило
запрещающим, а затем уже разрешать действительно нужные соединения, заглядывая в
логи. Правило firewall создается при помощи пошагового мастера. Для этого надо
указать название правила, источник и назначение (любой, хост и WAN-интерфейс),
сервисы и действие (блокировать, разрешить, NAT). Созданное правило можно
редактировать, удалить, переместить, отключить, копировать, чтобы на его основе
создать новое. Внутренние ресурсы компании, которые должны быть доступны
"извне", необходимо публиковать, создав для них правило доступа.
В настройках отдельного пользователя указываются преобразования NAT, правила
управления трафиком, правила приложений, ограничение скорости, номер SIP/H323
телефона.
Перейдя в пункт "Мониторинг", можно просмотреть в реальном времени активные
сессии и при необходимости заблокировать некоторые из них. Администратор получит
информацию по IP-адресу компьютера, имени пользователя, точному количеству
переданного и полученного трафика и по посещенным адресам.
Сетевой Firewall
Сетевой Firewall (межсетевой экран) устанавливается на шлюзе, соединяющем несколько подсетей, и выполняет фильтрацию потока данных на сетевом уровне. Сетевой Firewall зачастую обладает функцией трансляции адресов (NAT ), позволяющей вести работу подсетей от одного внешнего адреса шлюза.
Что такое брандмауэр
Брандмауэр (межсетевой экран | фаервол | firewall) - это специализированное программное средство, которое осуществляет контроль и фильтрацию сетевых пакетов на основе набора правил. Правила могут задавать критерии фильтрации на различных уровнях модели OSI , чаще всего - это сетевой и/или прикладной уровни.
Брандмауэр предназначен для защиты отдельных компьютеров и целых локальных сетей от несанкционированного доступа злоумышленников, а также для фильтрации доступа к определенным ресурсам в сетях (например, Интернет).
Подключение локальной сети к Интернет с помощью технологии NAT
Обычно для подключения локальной сети к Интернету через Интернет шлюз используется один или несколько внешних IP-адресов, а компьютерам локальной сети присваиваются внутренние IP-адреса.
Существует несколько причин такого способа подключения:
- Ограниченное количество реальных IP-адресов. За каждый IP-адрес необходимо оплачивать аренду у провайдера;
- Нет проблем при расширении локальной сети. С появлением необходимости присвоить новым компьютерам IP-адреса, нет надобности обращаться за выделением дополнительных внешних IP-адресов;
- Надежная защита компьютеров в локальной сети от внешних атак. Компьютеры с внутренними IP-адресами недоступны напрямую из внешней сети.
Для подключения локальной сети к Интернет существует несколько способов. Самые популярные из которых - использование в качестве Интернет шлюза proxy сервера и NAT сервера. Proxy сервер работает на уровне приложений, а драйвер NAT - на уровне стека протоколов TCP/IP.
Главные минусы использования proxy сервера - необходимость настройки каждого клиентского приложения, несовместимость некоторых приложений с работой через proxy сервер (например, банковские программы, игры), очень низкая производительность и высокое потребление системных ресурсов Интернет сервера.
Использование NAT обеспечивает прозрачность для приложений - их не нужно настраивать, с NAT работают практически все протоколы и приложения. Поскольку NAT представляет собой низкоуровневый сетевой драйвер, то его производительность по сравнению с proxy серверами выше в несколько раз. Соотвтетственно выше скорость работы Интернет сервера.
В отличие от множества других программных решений, использующих встроенный в Windows драйвер NAT, в Lan2net NAT Firewall используется более производительный драйвер NAT собственной разработки.
Для построения локальных сетей необходимо использовать специально определенные в RFC 1918 группы приватных IP-адресов:
- Для сетей класса А: 10.0.0.0-10.255.255.255
- Для сетей класса B: 172.16.0.0-172.31.255.255
- Для сетей класса С: 192.168.0.0-192.168.255.255
Иногда диапазоны этих IP-адресов также называют частные или серые IP-адреса. Внешние реальные адреса имеют название белые IP-адреса. Таким образом, компьютерам локальной сети могут назначаться IP-адреса из указанных диапазонов. Однако, непосредственный доступ в Интернет из таких сетей невозможен.
Для подключения всей локальной сети достаточно иметь единственный узел с доступом в Интернет, имеющий уникальный белый IP-адрес. Такой узел называется Интернет шлюзом или Интернет сервером. Интернет шлюз должен иметь, как минимум, два сетевых адаптера. Один из которых обеспечивает доступ в Интернет. Этому внешнему адаптеру присвоен белый IP-адрес. Внутренним адаптерам могут быть присвоены как белые, так и серые IP-адреса.
При прохождении сетевых пакетов через Интернет сервер, с внутреннего адаптера на внешний и обратно, происходит трансляция сетевых адресов (NAT). Такой механизм обеспечивает прозрачный доступ в Интернет для узлов с серыми IP-адресами. Кроме того, все соединения после шлюза выглядят так, как если бы они были установлены с единственного белого IP-адреса. Тем самым обеспечивается сокрытие конфиденциальной информации о локальной сети.
В программном комплексе Lan2net NAT Firewall трансляция сетевых адресов выполняется для протоколов: TCP , UDP и ICMP .
Заключение
Доступные решения очень сильно отличаются функционально (и, конечно, ценой),
поэтому следует присмотреться к ним и выбрать наиболее подходящий продукт под
конкретные условия и задачи. Среди лидеров можно выделить UserGate -
единственный из обзора, умеющий проверять трафик антивирусом, причем сразу
двумя. Он будет полезен также в том случае, если понадобится SIP-сервер для
внутренних переговоров.
О Kerio WinRoute Firewall читай в статье "Марш-бросок
в большую сеть", опубликованной в
сентябрьском номере ][
за 2007 год.
При соединении локальной сети с Интернет, необходимо надежно защитить локальную сеть и сервер. Обеспечить защиту сетей может, так называемый, межсетевой экран - firewall | брандмауэр. Из-за несовершенства защиты firewall для Windows, сеть без брандмауэра становится открыта для несанкционированного доступа извне. Firewall, установленный на шлюзе, защищает всю сеть сразу, заметно облегчая работу администратора.
Firewall уровня приложений
WinProxy 1.5.3
WinProxy поддерживает до 900 пользователей, которые могут входить в 100
групп. Доступ реализован посредством ввода логина и пароля.
Управление настройками производится при помощи браузера, для чего следует
подключиться к 3129 порту. В целях безопасности можно указать сетевые адреса, с
которых разрешено управление.
NetworkShield Firewall 2006
NetworkShield Firewall 2006 создан на основе драйвера обработки
сетевого трафика, поддерживающего технологию NAT. Помимо обеспечения выхода в
интернет через один канал, он позволяет управлять доступом между сетями и
контролировать работу пользователей. Есть средства учета трафика. За
безопасность отвечает файрвол, умеющий также определять и блокировать некоторые
типы атак (SYN flood, IP spoofing). Безопасность соединений гарантирует
технология защиты под названием Adaptive Connections Control (Stateful Firewall
на основе логических объектов).
Установка продукта очень проста. После выбора русского языка просто жмем
"Далее" и соглашаемся со всем, что предлагают. По окончании запустится "Мастер
настройки сети". Его задача – произвести первоначальную настройку безопасности.
Пока мастер не закончит работу, все исходящие соединения будут разрешены.
Вначале вводим пароль админа и указываем интерфейс, к которому подключена
локальная сеть, затем диапазон адресов, входящих в LAN. Если LAN-сетей
несколько, их настройки указываем позднее, используя панель управления NSF.
Затем выбираем WAN-интерфейс, определяем сервисы, к которым разрешен доступ из
LAN (все или отдельные). Наконец, определяем, к каким сервисам на сервере NSF
разрешен доступ из WAN. Кстати, не факт, что по окончании работы мастера все
пользователи сразу получат доступ в Сеть. В этом NSF сильно отличается от
UserGate.
Основные установки производятся в панели управления NSF. Она локализована,
логична и построена стандартно для такого типа программ. Настроек меньше, чем в
UserGate, плюс большая их часть производится при помощи пошаговых мастеров,
поэтому конфигурировать NSF довольно легко.
После работы мастера в "Правила firewall" будет записано несколько рулесетов,
разделенных на две группы: предопределенные и пользовательские. В
предопределенных правилах можно изменять и отключать лишь некоторые параметры.
Последним по списку установлено правило, запрещающее все соединения. Его
изменить или отключить нельзя.
При создании нового правила помогает пошаговый мастер. Админу предлагается
ответить на ряд вопросов: название, тип (доступ или публикация), действие
(разрешить, запретить), протокол (все или на выбор), источник и назначение. По
окончании создания правила можно его отредактировать. Здесь же можно будет
задать расписание.
Для удобства настройки правил firewall и правил учета трафика создаются
объекты. Объектами могут быть компьютеры, диапазоны IP, пользователи.
Аутентификация пользователей возможна средствами NSF или Windows, в том числе,
поддерживается и Active Directory. На клиентских компьютерах дополнительно
требуется установить клиент авторизации (скачать его можно с расшаренной папки
\\nsf\nsclient). Он позволяет использовать при подключении динамические
IP-адреса.
Система квот и учета трафика предоставляет возможность задать лимит трафика
(вкладка "Квоты трафика") за определенный период (день, неделя, и т.д.) и
действие при его достижении (ничего не делать или заблокировать). После создания
квота подключается к объектам в "Правила учета трафика". Вкладка "Мониторинг"
позволяет отслеживать в реальном времени активность объектов в сети.
Читайте также: