Вкусности управления InJoy Firewall9 января 2006 22:18, комментариев нет

InJoy Firewall

Хочу поделиться своим опытом работы с InJoy Firewall 3.0. В данном файрволе заложено куда больше, чем кажется на первый взгляд. Все задачи, которые мне приходилось решать на сервере-шлюзе оказывались решаемы с помощью InJoy Firewall.

Несколько очередей правил безопасности

InJoy Firewall анонсируется производителем как файрвол нового поколения. Одной из причин такого серьезного заявления, на мой взгляд, является уникальный подход к организации правил безопасности. В обычном файрволе с классическим подходом существует определенный набор правил, которые просматриваются и выполняются сверху вниз. В InJoy Firewall существует несколько очередей правил, которые выполняются с разным приоритетом. InJoy Firewall просматривает сверху вниз сначала очередь правил с наивысшим приоритетом, потом с более низким и так далее. Таким образом, дается дополнительная гибкость в настройке и удобство при большом количестве правил. Порядок просмотра правил такой: Whitelist rules, Blacklist rules, User rules, System rules, Traffic shape.

Установка нескольких экземпляров файрвола

Как я уже писал раньше, драйвер InJoy Firewall жестко привязывается к конкретному интерфейсу. В случае классического использования NAT все просто - указываем при установке внешний интерфейс, перезагружаемся и вуаля - все работает. Но бывают и более сложные ситуации, когда, например, требуется отделить два и более сегмента сети друг от друга или осуществить фильтрацию между подсетями с одновременным выходом в интернет.

Все эти задачи решаются с помощью установки нескольких экземпляров файрвола. Каждый экземпляр привязывается к своему конкретному интерфейсу и осуществляет фильтрацию трафика, проходящего только через этот интерфейс. Процедура установки двух и более экземпляров подробно описана в readme, что живет в корне файрвола - нужно поправить четыре файла: config.sys, protocol.ini, startup.cmd и файл gateway.cnf в папке config каждого экземпляра. Единственным недокументированным нюансом является порядок запуска серверов экземпляров файрвола - запускать нужно в обратном порядке параметру Device-Index, что в файле config/gateway.cnf.

В случае удаленного управления файрволом, нужно помнить, что все его экземпляры по умолчанию настроены на один и тот же порт IP, а это означает, что ни один из них удаленно управляться не будет. Выход прост - надо назначить экземплярам разные порты.

Использование удаленных командных файлов

В меню File файрвола (хоть удаленного, хоть локального) есть два пункта Execute "script1.cmd" и Execute "script2.cmd", которые запускают на выполнение соответственно командные файлы script1.cmd и script2.cmd, что живут в корневой папке файрвола. Для выполнения этих файлов неважно, удаленно вы подключились к файрволу или локально.

Использовать эти файлы (что очень удобно) можно разными способами, например, для удаленного выключения/перезагрузки компьютера или же обработки статистики. При выключении или перезагрузке неплохо бы сначала корректно погасить файрвол командой sync -kill из комплекта поставки файрвола.

Использование системы уведомлений

Правила InJoy Firewall 3.0 имеют очень приятную возможность - уведомления (или алерты, проще говоря). Если переключить любую из очередей правил в расширенный режим (Advanced), то мы увидим, что на каждое правило можно назначить уведомление (узел дерева Alert ветки Rule Processing).

Уведомление работает в двух режимах: Audio и Autostart. Первый - в случае удаленно стоящего сервера - не очень интересен, а вот второй можно использовать на полную катушку. Например, у нас в сети имеется почтовый сервер (за неимением можно за несколько минут поставить и настроить бесплатный по умолчанию сервер Weasel на той же машине, что и файрвол). В этом случае по срабатыванию любого нужного правила можно легко настроить файрвол так, чтобы он отправлял соответствующее уведомление администратору по электронной почте.

Добавьте свой комментарий

К этой статье пока нет комментариев. Но если вам есть, что сказать, вы можете оставить здесь и свой комментарий. Поля имя и почтовый адрес обязательны для заполнения. Адрес на сайте не публикуется.

Цитаты оформляются так: /* Цитируемый текст */.