Создание правил файрвола

При настройке правил файрвола необходимо учитывать следующее:

•Если для некоторого пользователя или группы пользователей одновременно заданы правила, разрешающие и запрещающие определенный протокол, то разрешающие правила имеют приоритет как для входящего, так и для исходящего трафика.

•Разрешения протоколов имеют более высокий приоритет по сравнению с правилами файрвола, за исключением правил с включенным параметром Подавлять разрешения протоколов, блокирующих доступ даже при наличии разрешений.

Внимание: Правила с включенным параметром Подавлять разрешения протоколов не блокируют доступ, разрешенный правилами белого списка для протоколов Любой и/или SSL. Они также не блокируют доступ по протоколам, которые не распознаются в NetworkLock, если доступ разрешен другими правилами файрвола.

•Некоторые приложения (например, стандартные программы Windows, такие как “Удаленный рабочий стол”) передают данные через системные процессы. Чтобы заблокировать такие приложения, создайте и примените правило файрвола к учетной записи, которую использует процесс приложения, передающий данные.

•Когда пользователь пытается установить соединение, которое ему не разрешено, выводится сообщение о блокировании от IP-файрвола, если соответствующий параметр включен настройках сервиса DeviceLock (см. описание параметра Сообщение о блокировании от IP-файрвола.

•Взаимодействие между сервисом DeviceLock и сервером DeviceLock Enterprise Server, а также между сервисом DeviceLock и консолью DeviceLock Management Console всегда разрешено независимо от настроек файрвола.

•Можно включить тревожные оповещения о том, что сработало какое-либо правило файрвола. Такие оповещения включаются при настройке правила.

Тревожные оповещения рассылаются в соответствии с параметрами сервиса DeviceLock, задающими адресата и способ доставки оповещений. Перед включением оповещений необходимо настроить соответствующие параметры сервиса (см. раздел Алерты).

1. Если используется консоль DeviceLock Management Console, выполните следующее:

a) Откройте DeviceLock Management Console и подключитесь к компьютеру, на котором запущен сервис DeviceLock.

Если используется консоль DeviceLock Service Settings Editor, выполните следующее:

Если используется консоль DeviceLock Group Policy Manager, выполните следующее:

b) В дереве консоли раскройте узел Конфигурация компьютера, а затем раскройте узел DeviceLock.

•Щелкните правой кнопкой мыши Базовый IP-файрвол, а затем выберите команду Управление.

•Выберите Базовый IP-файрвол, а затем щелкните значок Управление

на панели инструментов.

4. В левой части диалогового окна Базовый IP-файрвол в области Пользователи нажмите кнопку Добавить.

Появится диалоговое окно Выбор: “"Пользователи" или "Группы"”.

5. В диалоговом окне Выбор: "Пользователи" или "Группы" в поле Введите имена выбираемых объектов введите имена пользователей или групп, для которых требуется задать правило файрвола, и нажмите кнопку OK.

Добавленные пользователи и группы отображаются в области “Пользователи” в левой части диалогового окна “Базовый IP-файрвол”.

Чтобы удалить пользователя или группу, в левой части диалогового окна Базовый IP-файрвол в области Пользователи, выберите пользователя или группу, а затем нажмите кнопку Удалить.

6. В области Пользователи диалогового окна Базовый IP-файрвол выберите пользователя или группу.

Чтобы выбрать одновременно несколько пользователей или групп, используйте клавиши SHIFT или CTRL.

7. В правой части диалогового окна Базовый IP-файрвол в области Правила нажмите кнопку Добавить.

8. В диалоговом окне Добавить правило задайте параметры правила:

•Чтобы блокировать доступ к узлам, указанным в параметре Хосты, установите флажок Override Protocols Permissions. Подробнее см. в описании параметра Подавлять разрешения протоколов.

•Чтобы указать протокол, в разделе Протокол установите флажок рядом с требуемым протоколом. Подробнее см. в описании параметра Протокол.

•Чтобы указать действия, которые файрвол должен выполнять для всех подключений, удовлетворяющих правилу, в области Тип выберите один из следующих вариантов: Разрешение или Запрет. Подробнее см. в описании параметра Тип.

•Чтобы указать направление трафика, к которому применяется правило, в области Направление установите соответствующий флажок. Подробнее см. в описании параметра Направление.

•Чтобы указать дополнительные действия, которые будут выполняться при срабатывании правила, в области Если правило срабатывает установите соответствующий флажок. Подробнее см. в описании параметра Если правило срабатывает.

•Чтобы указать удаленные узлы, к которым применяется правило, в поле Хосты введите имена узлов или их IP-адреса через запятую или точку с запятой. Подробнее см. в описании параметра Хосты.

•Чтобы указать порты удаленных узлов, к которым применяется правило, в поле Порты введите номера портов через запятую или точку с запятой. Подробнее см. в описании параметра Порты.

Созданное правило появится в области “Правила” в правой части диалогового окна “Базовый IP-файрвол”.

Пользователи и группы, для которых заданы правила файрвола, отображаются в дереве консоли в узле “Базовый IP-файрвол”.

Если в дереве консоли выбрать пользователя или группу, для которой задано правило файрвола, на панели сведений отобразится информация о заданном правиле (подробнее см. в разделе Правила файрвола).