Nat это и есть firewall

Обновлено: 04.07.2024

При соединении локальной сети с Интернет, необходимо надежно защитить локальную сеть и сервер. Обеспечить защиту сетей может, так называемый, межсетевой экран - firewall | брандмауэр. Из-за несовершенства защиты firewall для Windows, сеть без брандмауэра становится открыта для несанкционированного доступа извне. Firewall, установленный на шлюзе, защищает всю сеть сразу, заметно облегчая работу администратора.

Что такое брандмауэр

Брандмауэр (межсетевой экран | фаервол | firewall) - это специализированное программное средство, которое осуществляет контроль и фильтрацию сетевых пакетов на основе набора правил. Правила могут задавать критерии фильтрации на различных уровнях модели OSI , чаще всего - это сетевой и/или прикладной уровни.

Брандмауэр предназначен для защиты отдельных компьютеров и целых локальных сетей от несанкционированного доступа злоумышленников, а также для фильтрации доступа к определенным ресурсам в сетях (например, Интернет).

Сетевой Firewall

Сетевой Firewall (межсетевой экран) устанавливается на шлюзе, соединяющем несколько подсетей, и выполняет фильтрацию потока данных на сетевом уровне. Сетевой Firewall зачастую обладает функцией трансляции адресов (NAT ), позволяющей вести работу подсетей от одного внешнего адреса шлюза.

Firewall уровня приложений

Технология NAT

Подключение локальной сети к Интернет с помощью технологии NAT

Обычно для подключения локальной сети к Интернету через Интернет шлюз используется один или несколько внешних IP-адресов, а компьютерам локальной сети присваиваются внутренние IP-адреса.

Существует несколько причин такого способа подключения:

• Ограниченное количество реальных IP-адресов. За каждый IP-адрес необходимо оплачивать аренду у провайдера;
• Нет проблем при расширении локальной сети. С появлением необходимости присвоить новым компьютерам IP-адреса, нет надобности обращаться за выделением дополнительных внешних IP-адресов;
• Надежная защита компьютеров в локальной сети от внешних атак. Компьютеры с внутренними IP-адресами недоступны напрямую из внешней сети.

Для подключения локальной сети к Интернет существует несколько способов. Самые популярные из которых - использование в качестве Интернет шлюза proxy сервера и NAT сервера. Proxy сервер работает на уровне приложений, а драйвер NAT - на уровне стека протоколов TCP/IP.

Главные минусы использования proxy сервера - необходимость настройки каждого клиентского приложения, несовместимость некоторых приложений с работой через proxy сервер (например, банковские программы, игры), очень низкая производительность и высокое потребление системных ресурсов Интернет сервера.

Использование NAT обеспечивает прозрачность для приложений - их не нужно настраивать, с NAT работают практически все протоколы и приложения. Поскольку NAT представляет собой низкоуровневый сетевой драйвер, то его производительность по сравнению с proxy серверами выше в несколько раз. Соотвтетственно выше скорость работы Интернет сервера.

В отличие от множества других программных решений, использующих встроенный в Windows драйвер NAT, в Lan2net NAT Firewall используется более производительный драйвер NAT собственной разработки.

Для построения локальных сетей необходимо использовать специально определенные в RFC 1918 группы приватных IP-адресов:

• Для сетей класса А: 10.0.0.0-10.255.255.255
• Для сетей класса B: 172.16.0.0-172.31.255.255
• Для сетей класса С: 192.168.0.0-192.168.255.255

Иногда диапазоны этих IP-адресов также называют частные или серые IP-адреса. Внешние реальные адреса имеют название белые IP-адреса. Таким образом, компьютерам локальной сети могут назначаться IP-адреса из указанных диапазонов. Однако, непосредственный доступ в Интернет из таких сетей невозможен.

Для подключения всей локальной сети достаточно иметь единственный узел с доступом в Интернет, имеющий уникальный белый IP-адрес. Такой узел называется Интернет шлюзом или Интернет сервером. Интернет шлюз должен иметь, как минимум, два сетевых адаптера. Один из которых обеспечивает доступ в Интернет. Этому внешнему адаптеру присвоен белый IP-адрес. Внутренним адаптерам могут быть присвоены как белые, так и серые IP-адреса.

При прохождении сетевых пакетов через Интернет сервер, с внутреннего адаптера на внешний и обратно, происходит трансляция сетевых адресов (NAT). Такой механизм обеспечивает прозрачный доступ в Интернет для узлов с серыми IP-адресами. Кроме того, все соединения после шлюза выглядят так, как если бы они были установлены с единственного белого IP-адреса. Тем самым обеспечивается сокрытие конфиденциальной информации о локальной сети.

В программном комплексе Lan2net NAT Firewall трансляция сетевых адресов выполняется для протоколов: TCP , UDP и ICMP .

Принцип работы NAT

Трансляция сетевых адресов выполняется в процессе контроля транзитных соединений на Интернет сервере. Когда пакет IP-соединения с серым IP-адресом источника передается драйвером внутреннего сетевого адаптера к драйверу стека TCP/IP, сетевой драйвер Lan2net NAT Firewall перехватывает пакет, изменяя в нем IP-адрес источника и номер порта источника для протоколов UDP и TCP . Для пакетов протокола ICMP модифицируется идентификатор запроса. После модификации пакета он передается драйверу внешнего сетевого адаптера Интернет шлюза и далее отсылается необходимому узлу в Интернет.

При передаче в сеть Интернет пакет выглядит так, как будто, он отправлен с белого внешнего IP-адреса. Тем самым обеспечивается уникальность IP-адреса источника соединения в рамках всей сети Интернет.

Получив ответные пакеты, драйвер внешнего сетевого адаптера передает их драйверу стека TCP/IP. В этот момент пакеты перехватываются драйвером Lan2net NAT Firewall. Сетевой драйвер Lan2net NAT Firewall определяет принадлежность пакетов исходному IP-соединению. Так как при модификации номеров TCP -, UDP -портов или идентификатора ICMP -запроса в исходящих пакетах им были присвоены уникальные значения, то теперь на основе этих значений драйвер может восстановить оригинальный, серый IP-адрес источника запроса.

Замечу, что под термином "виртуальная машина" здесь не подразумевается Java Virtual Machine (JVM). Фактически я применяю этот термин в его традиционном значении. Несколько десятилетий назад, когда Java значило лишь темный, горячий напиток, IBM ввела в оборот словосочетание "виртуальная машина" ("virtual machine"). Этим странным словосочетанием была обозначена абстракция высокоуровневой ОС, внутри которой могли функционировать в полностью инкапсулированной среде другие ОС. Говоря о CLR как о виртуальной машине, я имею в виду то, что код, выполняемый в инкапсулированной и управляемой среде, отделен от других процессов на этой машине.

Windows DMA и. NET

Common Language Runtime

С CLR связана важная концепция управляемого кода (managed code) — кода, выполняемого только в среде CLR и управляемого ею. Напомню, что во время исполнения в нынешних ОС Microsoft Windows мы имеем дело с разнородными независимыми друг от друга процессами. Единственное требование, которому должны отвечать приложения в среде

Windows, состоит в том, чтобы они правильно работали. Эти приложения создаются совершенно разными компиляторами. Иначе говоря, приложения должны подчиняться только наиболее общим правилам работы под Windows.

int main(int argc, char* argv[])

public static void Main()

Итак, что дает этот стандартный набор библиотек классов и чем он хорош? Это зависит от точки зрения. Благодаря такому набору все языки в идеале располагают одними и теми же функциональными возможностями, поскольку все они могут что-то делать (если речь идет не только об объявлении переменных) только с помощью этих библиотек.

Кто-то на дискуссионной страничке в Интернете недоумевал: "Зачем нам столько языков, если у них одинаковые функциональные возможности?" Как человек, поработавший в нескольких многоязыковых средах, заявляю, что это очень здорово, когда не надо помнить, какой язык, что и как может делать с системой. В конце концов мы, как разработчики, должны написать код, не мучая себя вопросом, есть ли у нашего любимого языка то или иное преимущество.

Microsoft Intermediate Language и компиляторы JITter

Унифицированная система типов

Метаданные и отражение

Как уже говорилось в разделе "Microsoft Intermediate Language и компиляторы JITter", CLS-совместимые компиляторы создают из вашего исходного кода MSIL-код, подлежащий компиляции (с помощью ЛТ-ком-пиляторов) перед своим выполнением. Помимо перевода исходного кода в MSIL-последовательность, CLS-совместимые компиляторы выполняют и другую столь же важную задачу: внедрение метаданных в выходной ЕХЕ-файл.

На втором плане — главное окно IL Disassembler. Если дважды щелкнуть метод Main в иерархическом дереве, на переднем плане появится окно, отображающее подробности метода Main.

Взаимодействие с неуправляемым кодом

Человеку, впервые подключающемуся к Всемирной паутине, может показаться простым просмотр веб-страниц, а доступ к Интернету связан со сложностями и сложностями, названия которых могут показаться бессмысленным для неосведомленного непрофессионала.

Проще говоря, доступ к Интернету зависит от сложной взаимосвязи между защищенной локальной сетью (локальной сетью), которая может быть чем угодно, начиная с настройки Wi-Fi в офисе и гораздо менее защищенного Интернета.

Подключение маршрутизатора к Интернету подвержено множеству уязвимостей, и для обеспечения безопасного просмотра необходима линия защиты. Брандмауэр – это линия безопасности, которая работает, охраняя и отслеживая обмен данными между локальной сетью и Интернетом.

Брандмауэр NAT является в основном модифицированной версией стандартного брандмауэра и усиливает безопасность пользователя при просмотре метки. Чтобы помочь нашим читателям понять, как работает брандмауэр NAT, мы составили статью, в которой рассказывается обо всем, что вы, возможно, захотите узнать, в том числе о том, почему без него может быть глупым решение.

Что такое NAT Firewall?

Прежде чем мы перейдем к тому, что такое брандмауэр NAT и как он работает, может быть важно понять, что такое брандмауэр. Проще говоря, брандмауэр – это инструмент сетевой безопасности, который отслеживает и отслеживает входящие и исходящие пакеты данных на основе некоторых ранее определенных правил.

Основываясь на этих заранее определенных правилах безопасности, межсетевой экран выбирает блокировку и разрешает определенные пакеты данных, поступающие из внешнего источника, такого как Интернет. Брандмауэр может быть аппаратным сетевым устройством или программным обеспечением, которое часто называют «персональным брандмауэром». В большинстве операционных систем в наши дни встроен персональный брандмауэр.

Брандмауэр NAT, с другой стороны, работает путем изменения информации IP, чтобы пакеты данных могли достигать своего требуемого места назначения. Чтобы лучше понять различия между стандартным межсетевым экраном и межсетевым экраном NAT, давайте посмотрим, как работает межсетевой экран NAT.

Как работает NAT Firewall?

Как указано выше, основной принцип брандмауэра NAT заключается в изменении существующей информации IP в пакетах данных, отправляемых с устройства. Брандмауэр NAT, также известный как «Трансляция сетевых адресов», обеспечивает сетевой метод, посредством которого несколько устройств в одной сети имеют доступ к сети через общий шлюз.

Устройства под межсетевым экраном NAT совместно используют один и тот же общедоступный IP-адрес, в то время как все устройства имеют выделенный частный IP-адрес, который уникален для каждого из устройств.

До этого момента мы довольно часто упоминали фразу «пакеты данных», и если вы новичок в сфере информационных технологий, последствия могут быть расплывчатыми. Ну, вы можете думать об этих пакетах данных как о валюте, через которую происходят все транзакции в Интернете.

Всякий раз, когда вы вводите имя веб-сайта или делаете простой поиск в Google, вы запрашиваете отправку информации, отправляя бесчисленное количество этих пакетов данных. Чтобы получить точную информацию, которую вы запрашивали, эти пакеты данных должны быть помечены IP-адресом.

Каждому устройству, которое подключается к Интернету, присваивается уникальный IP-адрес, который позволяет интернет-провайдерам (провайдеру интернет-услуг) знать о конкретной информации, которая должна быть отправлена на каждое устройство. Поскольку в большинстве сетей имеется арсенал устройств, подключенных к одной локальной сети, маршрутизатор просматривает пакеты данных и сортирует их соответствующим образом.

На протяжении всего процесса сортировки маршрутизатор создает внутренний IP-адрес для каждого устройства в сети, в отличие от одного общего IP-адреса, назначенного провайдером. Внутренний IP-адрес, назначенный маршрутизатором, помогает маршрутизатору доставлять точную информацию устройству, которое запросило ее, организованным способом.

Что касается брандмауэров, маршрутизатор использует брандмауэр NAT для изменения информации об IP-адресе, отмеченном в пакетах данных. Последующим результатом всей этой сортировки является то, что все нераспознанные пакеты данных выбрасываются из микса, а брандмауэр NAT гарантирует, что только трафик, запрошенный пользователями, может достичь своего конечного пункта назначения.

Использование брандмауэра NAT делает невозможным вставку в вашу сеть через устройство большинства угроз, таких как вредоносные и шпионские программы, поскольку он не позволяет хакерам и другим киберпреступникам выйти из сети и разрешает вход только запрошенному трафику.

Как вы можете быть уверены, что на вашем маршрутизаторе включена NAT?

На большинстве маршрутизаторов Wi-Fi уже включен брандмауэр NAT, но если вы сомневаетесь в том, включен ли NAT на вашем маршрутизаторе, у нас есть простое решение.

Во-первых, убедитесь, что у вас есть как минимум два устройства в одной сети Wi-Fi. После подключения обоих устройств выполните поиск в Google на обоих устройствах и задайте вопрос «Какой у меня IP-адрес?»

Если результаты поиска показывают одинаковые результаты для обоих устройств, возможно, ваш маршрутизатор имеет включенный межсетевой экран NAT. Причина того, что оба устройства имеют одинаковый IP-адрес, состоит в том, что они имеют общий публичный IP-адрес, но имеют уникальный частный IP-адрес.

Однако, прежде чем выполнять поиск в Google, убедитесь, что у вас отключено программное обеспечение VPN. Поскольку VPN работает в первую очередь, скрывая ваш фактический IP-адрес с IP-адресом одного из его серверов, однако после некоторого интенсивного поиска вы можете найти свой реальный IP-адрес в записях вашего провайдера VPN. Но если у них строгая политика отсутствия регистрации, к сожалению, вам может не повезти.

Какие типы брандмауэров NAT?

Использование брандмауэра NAT зависит от потребностей компании или отдельного лица, поэтому существует три типа брандмауэров NAT:

Этот тип сервера NAT используется там, где необходимо постоянно использовать брандмауэр для одного IP-адреса. Следовательно, имя «Статический NAT» используется в методе NATTING.

Благодаря статическому NAT устройству назначен арсенал общедоступных IP-адресов. Затем частные IP-адреса прикрепляются к любому из доступных общедоступных адресов.

Кроме того, каждому серверу назначен один и тот же общедоступный IP-адрес, что позволяет отличить сервер B от сервера B, поскольку оба они имеют разные IP-адреса.

При использовании динамического межсетевого экрана NAT аналогичный пул общедоступных IP-адресов доступен для выбора устройства. Единственная разница заключается в том, что в этом методе NATTING устройство заимствует IP-адрес и возвращает его после использования.

Чтобы объяснить это, давайте рассмотрим устройство X. Если устройству X нужен публичный IP-адрес, оно заимствует один из арсенала общедоступных IP-адресов, а затем возвращает его после использования. В следующий раз устройству X понадобится публичный IP-адрес; ему будет назначен один, отличный от того, который они использовали ранее.

Причина, по которой устройству X назначен другой IP-адрес, заключается в том, что ранее выделенный IP-адрес уже будет использоваться каким-либо другим устройством, где и возникает имя «Динамический».

№ 3 – ПАТ:

Проще говоря, PAT или преобразование адресов портов – это расширенная версия брандмауэра NAT. PAT выполняет функции, назначая один публичный IP-адрес группе устройств, подключенных к одной сети LAN.

В отличие от типов NAT, упомянутых выше, PAT работает для сохранения IP-адресов. В основном используемые в небольших установках, таких как дома и офисы, интернет-провайдеры назначают один IP-адрес используемому маршрутизатору. Позже, маршрутизатор работает, распределяя IP-адрес дальше вместе с сетью.

Соединение между межсетевым экраном NAT и VPN?

Как упомянуто выше, функциональность VPN зависит от того, маскирует ли он IP-адрес своих пользователей. Несмотря на это, большинство провайдеров VPN указывают на наличие межсетевого экрана NAT и используют его для рекламы своих VPN.

Виртуальная частная сеть, сокращенно VPN, шифрует всю онлайн-связь, то есть интернет-трафик устройства, и вместо отправки ее через маршрутизатор по умолчанию использует промежуточный сервер в местоположении, выбранном пользователем.

Когда включена VPN, весь трафик, проходящий через сеть, подвергается шифрованию, что не позволяет брандмауэру NAT различать запрашиваемую информацию, поскольку все выглядит одинаково. Процесс шифрования, столь критичный для функционирования VPN, делает межсетевой экран NAT бесполезным, поскольку он не может отделить нежелательный трафик от запрошенных данных.

По этой причине многие VPN включают в себя межсетевые экраны NAT. Вместо того, чтобы маршрутизатор Wi-Fi по умолчанию выполнял сортировку данных, как правило, с помощью межсетевого экрана NAT, сервер VPN отфильтровывает неоправданный трафик. В большинстве случаев брандмауэры NAT встроены в VPN по умолчанию, в других случаях они предлагаются в качестве бонуса.

Дополнительные преимущества использования NAT Firewall:

Помимо того, что NAT является важной частью линии защиты, которую предлагает большинство операционных систем, NAT предлагает и другие преимущества:

• Брандмауэр NAT помогает сохранить IP-адреса.
• Делает сети более переносимыми, так как будет переадресован только маршрутизатор вместо всех устройств в сети.
• Протокол IPv4 работает в тандеме с устройствами, поддерживающими NAT, и является причиной, по которой Интернет работает и работает, так как без протокола мы бы забивали глобальное воздушное пространство.

Итак, что вы делаете здесь?

В конце статьи мы можем только надеяться, что утолили жажду знания брандмауэров NAT и того, как они работают.

При этом мы можем только напомнить вам в самом конце, чтобы убедиться, что используемый маршрутизатор поддерживает NAT, поскольку брандмауэр играет решающую роль в вашей безопасности в Интернете. Если вы планируете инвестировать в VPN в ближайшее время, убедитесь, что вы выбрали один с брандмауэром NAT, чтобы защитить вредоносные программы от повреждения ваших устройств.

Зачастую в сетевом подключении между клиентом и сервером отсутствует прямой и открытый путь для взаимодействия. Пакеты фильтруются, перенаправляются, анализируются и преобразуются как на конечных, так и на промежуточных компьютерах в сети. Типичными примерами промежуточных приложений, участвующих в сетевом взаимодействии, служат средства преобразования сетевых адресов (NAT) и брандмауэры.

Влияние преобразования сетевых адресов на обмен данными

Преобразование сетевых адресов позволяет нескольким компьютерам использовать один внешний IP-адрес. При преобразовании сетевых адресов с сопоставлением портов внутреннему IP-адресу и порту подключения сопоставляется внешний IP-адрес с новым номером порта. Новый номер порта позволяет сопоставлять возвращаемый трафик с исходной передачей данных. В настоящее время многие домашние пользователи имеют один личный маршрутизируемый IP-адрес и используют преобразование сетевых адресов для глобальной маршрутизации пакетов.

Преобразование сетевых адресов не обеспечивает периметр безопасности. Однако в распространенных конфигурациях NAT прямая адресация внутренних компьютеров не поддерживается. Это, с одной стороны, позволяет защитить внутренние компьютеры от некоторых нежелательных подключений, а, с другой стороны, затрудняет создание серверных приложений, которым требуется асинхронно отправлять данные назад клиенту. Средство NAT переписывает адреса в пакетах таким образом, чтобы они напоминали подключения, исходящие от компьютера NAT. Это приводит к сбою сервера при попытке открытия обратного подключения к клиенту. Если сервер использует полученный адрес клиента, происходит сбой, поскольку отсутствует возможность открытой маршрутизации на адрес клиента. Если сервер использует адрес NAT, происходит сбой из-за отсутствия прослушивающего приложения на этом компьютере.

Некоторые средства NAT поддерживают настройку правил переадресации, чтобы разрешить внешним компьютерам подключаться к определенному внутреннему компьютеру. Инструкции по настройке правил переадресации различаются в разных системах NAT, поэтому в большинстве случаев не рекомендуется обращаться к конечным пользователям с просьбой изменить конфигурацию NAT. Кроме того, многие конечные пользователи не смогут или не захотят изменять конфигурацию NAT ради одного приложения.

Влияние брандмауэров на обмен данными

Брандмауэр — это программное или аппаратное устройство, которое применяет правила к трафику, проходящему через, чтобы решить, следует ли разрешить или запретить передачу данных. Брандмауэры можно настроить для проверки входящего или исходящего трафика. Брандмауэр создает в сети периметр безопасности либо на границе сети, либо на узле конечной точки. Корпоративные пользователи традиционно размещали свои серверы за брандмауэром для предотвращения вредоносных атак. с момента появления персонального брандмауэра в Windows XP с пакетом обновления 2 (SP2) также значительно увеличилось число домашних пользователей за брандмауэром. Скорее всего, одна или обе конечных точки подключения снабжены брандмауэром, проверяющим пакеты.

Брандмауэры очень сильно различаются по своей сложности и возможностям проверки пакетов. Простые брандмауэры применяют правила на основании исходного и конечного адресов и портов, указанных в пакетах. Более сложные брандмауэры также проверяют содержимое пакетов. Такие брандмауэры поставляются в различных конфигурациях и часто используются для специализированных приложений.

Использование Teredo

Teredo является технологией перехода на IPv6, позволяющей напрямую обращаться к адресам компьютеров, находящихся за устройством преобразования сетевых адресов (NAT). Teredo опирается на использование сервера, который может публично и глобально маршрутизироваться для объявления возможных подключений. Сервер Teredo служит общей точкой пересечения для клиента и сервера приложения, с помощью которой они могут обмениваться информацией о подключении. Затем компьютеры запрашивают временный адрес Teredo, а пакеты туннелируются по существующей сети. Для поддержки Teredo в WCF требуется включить поддержку IPv6 и Teredo в операционной системе. Windows Операционная система XP и более поздних версий поддерживает Teredo. Windows Операционные системы Vista и более поздних версий поддерживают IPv6 по умолчанию, и пользователю требуется только включить Teredo. Windows для установки XP SP2 и Windows Server 2003 требуется, чтобы пользователь включил протоколы IPv6 и Teredo. Дополнительные сведения см. в обзоре Teredo.

Анализ возможности адресации компьютеров конечной точки. В большинстве случаев для корпоративных серверов доступна прямая адресация, а возможность адресации конечных пользователей блокируется средствами NAT. Если обе конечные точки защищены средствами NAT, например в одноранговых сценариях взаимодействия между конечными пользователями, для обеспечения возможности адресации может потребоваться использование такой технологии, как Teredo.

Не используйте двусторонние транспорты. Двусторонний транспорт открывает больше подключений, что снижает вероятность успешного установления подключения.

Поддержка установления обратных каналов в исходном подключении. При использовании обратных каналов, например дуплексного TCP, открывается меньшее количество подключений, что повышает вероятность успешного установления подключения.

Использование доступной службы либо для регистрации конечных точек, либо для перенаправления трафика. Использование глобально доступной службы подключения, например сервера Teredo, существенно повышает вероятность успешного подключения в случае неизвестной топологии сети или топологии сети с ограничениями.

В данной статье будет рассказано о том, какие правила существуют в межсетевом экране и для чего они необходимы.

Межсетевой экран - это комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Также наш межсетевой экран позволяет осуществлять трансляцию адресов — динамическую замену локальных адресов или портов на внешние, используемые за пределами локальной сети.

Все правила межсетевого экрана делятся на 4 типа:

1. NAT

Скорость нашего NAT составляет порядка 92 Mбит/сек.

Особенности создания и работы правил NAT:

1. Любое правило NAT должно иметь в качестве источника - один из локальных интерфейсов, в качестве назначения - один из внешних интерфейсов, которые определены во вкладке Интерфейсы консоли администратора. Правило будет транслировать только те сервисы, которые вы явно укажите в правиле. Вы можете выбрать их из готового списка либо создать собственные сервисы. Также вы можете задать их списком из единичных, либо воспользоваться сервисами типа ANY:FULL (все протоколы и порты), ANY:TCP (все порты протокола TCP) ANY:UDP (все порты протокола UDP) ANY:ICMP (ICMP-запрос). В дальнейшем про сервисы будет только упоминание, что их требуется поставить.
2. Самое важное! Правило NAT должно быть применено к пользователю или группе пользователей. Правило будет работать только у тех, у кого оно явно задано. Таким образом можно разграничивать доступ по NAT для различных пользователей или групп пользователей. В дальнейшем про пользователей также будет только упоминание.
3. У любого правила NAT есть опциональный параметр "Не считать трафик", который позволяет не записывать в статистику трафик, который был транслирован данным правилом. Галочка доступна в 4-ой вкладке при создании правила.

Примеры правил NAT:

1.1. Рассмотрим самое простое правило транслирования. Имеются один WAN- и один или несколько LAN-интерфейсов. Тогда правило будет выглядеть так:

Источник: LAN. Выбрать необходимо тот, к которому "закреплен" необходимый пользователь или группа пользователей.

Пользователи или группы.

1.2 Следующий пример для тех, у кого два и более внешних интерфейсов с целью разгрузить основной канал. Имеются несколько WAN- и один или несколько LAN-интерфейсов. Тогда требуется создать точно такие же правила, как и в примере выше, с одной лишь разницей, что надо обозначить необходимый WAN-интерфейс и выбрать необходимую группу пользователей, кого куда захотите пустить.

1.3 Если у вас Dial-up или PPP соединение вместо или поверх соединения Ethernet, и у вашего соединения установлен статический IP-адрес, тогда правило будет выглядеть так:

Назначение: Dial-Up или PPP.

Пользователи или группы.

1.4 В случае, если адрес Dial-up или PPP соединения не статический или вы настраиваете резервный канал, тогда требуется использовать в качестве назначения маскарадинг, т.е. любой внешний интерфейс, который доступен:

Пользователи или группы.

2. Firewall

Тип правил Firewall - это такой тип правил, который предназначен для явного запрещения пакетов по определенным портам и протоколам, если изначально разрешено все; либо для явного разрешения пакетов по определенным портам и протоколам, если изначально все запрещено. Внимание! Не стоит путать данные правила с правилами типа NAT, правила Firewall осуществляют проверку, пропустить ли пакет или отбросить, а не осуществляют трансляцию, как правила NAT.

В программе предусмотрено правило по умолчанию с названием NONUSER с действием Разрешить. Данное правило необходимо для того, чтобы выбрать политику - Разрешить все или Запретить все, что зависит от действия правила. В режиме Разрешить оно не будет блокировать пакеты, а в режиме Запретить данное правило будет отбрасывать все пакеты, которые не будут явно разрешены. Исходя из того, как у вас подходит Интернет к машине с UG зависит и приоритетное использование данного правила. К примеру, если кабель от провайдера напрямую воткнут в машину, то мы настоятельно рекомендуем использовать данное правило в режиме Запретить. Если же перед машиной стоит роутер, то можно настроить блокировку на нем, а правило оставить в режиме Разрешить. Однако мы рекомендуем использовать данное правило в режиме Запретить в любом случае, т.к. это более безопасно. Единственный недостаток использование правила в этом режиме - это требует некоторых знаний и вызывает сложности в настройке необходимых правил Firewall. Все основные правила, которые необходимо создать, описаны в данной статье.

Особенности создания и работы правил Firewall:

1. Данный тип правил не ограничивает конкретных пользователей, они глобальны и срабатывают при совпадении адреса источника или адреса назначения для указанных сервисов.
2. Для данных правил действует приоритет, определяемый их порядком в консоли (или параметром priority в конфигурационном файле). Порядок считается сверху вниз (в файле чем больше число, тем раньше правило действует). Таким образом можно разрешить все TCP порты с помощью NAT, но запретить один или два, выставив необходимое правило FW выше по списку. Приоритет есть и у правил NAT, поэтому если они стоят выше по списку, то первыми срабатывать соответственно будут они. Как только правило NAT сработает, дальше будет работать оно, пакет не будет отброшен несмотря на то, что у вас может существовать правило с запрещающим действием для какого-то протокола, но расположенное ниже по списку правил. Таким образом не имеет большого смысла ставить правила NAT перед правилами Firewall, только если вы решаете специфические задачи и знаете как этим грамотно воспользоваться. Правила Firewall односторонние, это означает, что при NONUSER в режиме Запретить недостаточно создать одно правило разрешающее трафик (например, с локального интерфейса до всех хостов в локальной сети), т.к. когда пакет будет возвращаться, то не попадет под действие разрешающего правила по той причине, что его источником уже значится не локальный интерфейс, а конкретный хост, поэтому требуется создавать разрешающее правило, действующее в обратную сторону. Точно также это касается и внешнего интерфейса. Разрешив снаружи подключаться до вашего сервера удаленно, это не разрешит подключаться удаленно на тот же хост, необходимо дгруое правило.
3. Можно включить логирование любого правила типа Firewall, в том числе и NONUSER, для того чтобы иметь возможность посмотреть какие пакеты с какого адреса и с какого порта отбрасываются и каким правилом. Галочка доступна в 4 вкладке при создании правила. Просмотреть логи можно нажав правой кнопкой по агенту в трее, Логи --> Файрвол.
4. На данный момент программа не поддерживает работу правил Firewall с Dial-Up или PPP-интерфейсами.

Примеры правил Firewall:

Начнем с запрещающих правил.

2.1. Запрещать можно все адреса с одного направления (Любой), конкретный адрес (Хост) или диапазон адресов (Хост, галочка Диапазон). Можно запрещать как на внешний так и на локальный адрес, на любой внешний интерфейс (назначение - Маскарад) и с любого внешнего (источник - Маскарад).

2.1.1 Допустим, вы хотите запретить удаленное подключение к серверу UserGate со всех внешних адресов, и у вас WAN-интерфейс, тогда правило будет выглядеть следующим образом:

2.1.2 Либо вы хотите запретить определенному пользователю пользоваться почтой, тогда правило будет выглядеть так:

Источник: Хост, например, 192.168.0.2

Назначение: LAN (потому что пакет изначально придет на данный интерфейс)

Сервисы: SMTP, POP3, IMAP

2.2. Рассмотрим базовые правила, которые необходимы для работы с NONUSER в режиме Запретить. Их три, однако в зависимости от политики вашей компании их может быть два. Это по той причине, которая описана в пункте 3 особенностей работы.

2.2.1 Правило, которое разрешает весь трафик на локальный интерфейс из локальной сети:

Сервисы: ANY:FULL (хотя тут возможны вариации, что хотите, то и разрешаете)

2.2.2 Правило, которое разрешает весь трафик от локального интерфейса в локальную сеть:

Сервисы: ANY:FULL (хотя тут возможны вариации, что хотите, то и разрешаете)

2.2.3 Правило, разрешающее выходить во внешнюю сеть серверу UserGate:

Сервисы: ANY:FULL (хотя тут возможны вариации, что хотите, то и разрешаете)

Комментарий: а) данное правило не обязательно, если вы не используете машину ни для чего, кроме как шлюзом для обеспечения доступа наружу; б) данное правило не открывает порты для подключения наружу по тому же самому пункту 3.

2.2.4 Так как правилами выше вы разрешили трафик из допустимых 4 сторон в три из них, то остаются правила, разрешающие извне подключение к серверу. Остановимся на том же удаленном подключении:

2.3 Последний вариант - это смешанные политики, например, вы воспользовались NONUSER - Запретить, сделали разрешающие правила, но хотите запретить конкретному хосту определенные сервисы, тогда вам нужно использовать правило 2.1.2 и расположить данное правило выше по списку, чем разрешающее правило 2.2.1.

3. Routing

Маршрутизация - это такое правило, которое необходимо для связи двух и более локальных сетей. На самом деле UserGate поддерживает маршрутизацию Windows, поэтому какого-то особого смысла в данном правиле нету, без него также будет работать доступ (если вы его явно не запретили через Firewall), однако если вы не хотите, чтобы данный трафик учитывался в статистике, то без этого правила вам не обойтись.

Не считать трафик, ОК.

4. DNAT

Публикация портов - это тип правил, который работает как NAT, только в обратную сторону - предоставляет доступ до некоторых ресурсов в вашей локальной сети снаружи. С его помощью решаются такие задачи, как предоставление удаленного доступа с домашней машины до сервера внутри сети. Данное правило с использованием одного порта эквивалентно работе правила Назначения портов, только работает с помощью драйвера.

Особенности создания и работы правил DNAT:

1. Данный тип правил не умеет работать с Dial-Up или PPP-соединением подобно Firewall. (ТОЛЬКО В ВЕРСИИ МЛАДШЕ 6.3)
2. Трансляция может производится как по 1 порту, тогда порт источника и порт назначения можно изменять, так и по нескольким портам одновременно, тогда трансляция идет порт-в-порт.
3. Трансляция может проводиться по различным протоколам одновременно, например, по TCP:1723, UDP:1723 и GRE.

Примеры правил DNAT:

4.1 Рассмотрим пример упомянутого ранее подключения по RDP до сервера внутри локальной сети с домашней машины.

Трансляция: Адрес: 192.168.0.3, Порт: 3389.

4.2 А также пример проброса портов MS VPN на внутренний RRAS сервер:

Сервисы: VPN PPtP, GRE.

Трансляция: Адрес: 192.168.0.4.

В статье про ошибки правил межсетевого экрана можно найти возможные решения либо рекомендации к сбору логов для решения соответствующей проблемы.

Читайте также:

  
• Как установить нитро сенс на любой ноутбук
  
• Eset отключить проверку https
  
• Где находится password на компьютере учетной записи
  
• Libcairo 2 dll что это
  
• Когда компьютеры станут умнее людей