Файл: Методические указания для выполнения практических работ по профессиональному модулю.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 08.11.2023
Просмотров: 186
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
ски и их адреса отображаются в таблице выделенных адресов сервера. В случае ручной настройки принтеры становятся независимыми от доступности DHCP-сервера.
•
Динамические IP-адреса будут назначены локальным рабочим станциям
(тем самым упрощается настройка).
В локальной сети будет использоваться DNS-домен company.com.
Примечание: Для сети филиала будут использоваться адреса 10.1.1.х, сетевая маска
255.255.255.0 и DNS-домен filial.company.com.
Настройка сервера DHCP
Перейдите в раздел Configuration / DHCP server консоли управления Kerio
Administration Console
. Откройте вкладку Scopes для создания IP-диапазона для машин, адреса которым будут присваиваться динамически (опция Add / Scope). Для настройки диапазона должны быть указаны следующие параметры:
•
Fir st Address (Первый адрес) — выберите 192.168.1.10 (адреса с 192.168.1.1. до 192.168.1.9 будут зарезервированы для серверов и принтеров)
•
Last Address (Последний адрес) — 192.168.1.254 (адрес с самым большим номером, который может использоваться в данной сети)
•
Network mask (Сетевая маска) — 255.255.255.0
•
Default gateway (Основной шлюз) — IP-адрес сетевой карты шлюза, под- ключенной к локальной сети (192.168.1.1).
Примечание: Основной шлюз определяет путь, по которому пакеты из локальной сети будут направлены в сеть Интернет. Направление пакетов через WinRoute позволит создать правила фильтрации трафика, авторизацию пользователей и т.п.
•
DNS server — IP- адрес сетевой карты шлюза, подключенной к локальной
•
Динамические IP-адреса будут назначены локальным рабочим станциям
(тем самым упрощается настройка).
В локальной сети будет использоваться DNS-домен company.com.
Примечание: Для сети филиала будут использоваться адреса 10.1.1.х, сетевая маска
255.255.255.0 и DNS-домен filial.company.com.
Настройка сервера DHCP
Перейдите в раздел Configuration / DHCP server консоли управления Kerio
Administration Console
. Откройте вкладку Scopes для создания IP-диапазона для машин, адреса которым будут присваиваться динамически (опция Add / Scope). Для настройки диапазона должны быть указаны следующие параметры:
•
Fir st Address (Первый адрес) — выберите 192.168.1.10 (адреса с 192.168.1.1. до 192.168.1.9 будут зарезервированы для серверов и принтеров)
•
Last Address (Последний адрес) — 192.168.1.254 (адрес с самым большим номером, который может использоваться в данной сети)
•
Network mask (Сетевая маска) — 255.255.255.0
•
Default gateway (Основной шлюз) — IP-адрес сетевой карты шлюза, под- ключенной к локальной сети (192.168.1.1).
Примечание: Основной шлюз определяет путь, по которому пакеты из локальной сети будут направлены в сеть Интернет. Направление пакетов через WinRoute позволит создать правила фильтрации трафика, авторизацию пользователей и т.п.
•
DNS server — IP- адрес сетевой карты шлюза, подключенной к локальной
Зарезервируем адрес для сетевого принтера с помощью опции Add / Reservation...
Резервируемый адрес не обязательно должен принадлежать диапазону, заданному ранее, однако, он должен находиться в той же сети (в данном примере резервируется адрес
192.168.1.3). Вам необходимо знать аппаратный (MAC) адрес принтера для осуществле- ния данной операции.
Подсказка: Не рекомендуется делать ручное резервирование адреса для принтера, если вы точно не знаете его аппаратный адрес. Запустите DHCP-сервер и подключите принтер к сети. Принтеру будет выделен адрес из диапазона, определенного ранее.
Найдите этот адрес на вкладке Leases и используйте кнопку Reserve... для того, чтобы от- крыть диалоговое окно, в котором и будет указан аппаратный адрес. Укажите необходи- мый IP-адрес (и описание в случае необходимости) и нажмите на кнопку OK. Перезапу- стите принтер. Требуемый IP-адрес будет назначен принтеру DHCP-сервером.
Примечания:
1.
Не используйте DHCP-сервер, пока вы не определили все диапазоны и не зарезервировали все необходимые адреса.
2.
Вы также можете использовать другой DHCP-сервер для автоматической настройки сетевого оборудования. Задайте IP-адрес внутреннего интерфейса шлюза в ка- честве параметра Default gateway и DNS server в настройках DHCP-сервера для выбранно- го диапазона адресов.
5.
Настройка DNS Форвардера
Перейдите в меню Configuration / DNS Forwarder для настройки DNS-серверов, на которые будут перенаправляться DNS-запросы. Выберите опцию "Check the Forward DNS queries to the specified DNS servers" и укажите один или несколько серверов в сети Интер- нет. Обычно лучшим выбором является указание DNS-серверов провайдера. Для получе- ния данных адресов свяжитесь с вашим провайдером.
Внимание: Автоматический выбор DNS-серверов невозможен, т.к. DNS-сервер на сетевой карте, подключенной к локальной сети, использует тот же IP-адрес, что и DNS- сервер на брандмауэре— DNS-сервера всегда должны быть указаны в DNS форвардере, в противном случае DNS Форвардер не будет работать правильно.
Дополнительные параметры DNS Форвардера:
•
Рекомендуется включить опцию Enable cache... (это уменьшит время ответа на повторяющиеся DNS-запросы).
•
Включите опцию Use custom forwarding для установки параметров, необхо- димых для корректной пересылки DNS-запросов между сетью головного офиса и сетью филиалов.
•
Обе опции 'hosts' file и DHCP lease table должны быть включены (DNS Фор-
вардер использует файл hosts и/или таблицу аренды DHCP для поиска имен и IP-адресов локальных машин).
Укажите локальный домен company.com в поле When resolving name... DNS Фор-
вардер при этом сможет правильно отвечать на запросы, ссылающиеся на имена в локаль- ной сети (например, fw
) или на полные DNS-имена машин (например, fw.company.com
).
Нажмите кнопку Edit file... для редактирования системного файла hosts. В этом диалоговом окне укажите все IP-адреса и имена компьютеров, для которых IP-адреса бы- ли назначены вручную (включая и сам брандмауэр).
6.
Создание учетных записей пользователей и групп
Перейдите в раздел Users and Groups / Users для создания учетных записей для всех пользователей в локальной сети.
Если сеть построена на базе доменов Windows NT или Windows 2000, то пользова-
тели могут быть импортированы из данных доменов. Имена и пароли пользователей будут использоваться для доступа к любым сетевым ресурсам, в том числе и к сети Интернет.
Установите права доступа к VPN-серверу для каждого пользователя, которому бу- дет позволено удаленно подключаться к локальной сети.
Если планируется использовать автоматическую авторизацию, то имя домена
Windows NT/Windows 2000 должно быть указано в соответствующем поле диалога
Advanced Options / User Authentication.
Подсказка:
Установите права доступа к VPN-серверу для каждого пользователя, которому бу- дет позволено удаленно подключаться к локальной сети.
Если планируется использовать автоматическую авторизацию, то имя домена
Windows NT/Windows 2000 должно быть указано в соответствующем поле диалога
Advanced Options / User Authentication.
Подсказка:
1.
Также возможно импортировать учетные записи пользователей из домена
NT или из Active Directory. Это позволит сэкономить время и упростить задачу админи- стрирования.
2.
Для автоматического импорта учетных записей из Active Directory необхо- димо указать IP-адрес сервера AD, а также имя пользователя и пароль с соответствующи- ми правами (может быть использона учетная запись любого пользователя домена). Кроме того, можно создать шаблон настроек (группы, права, квоты и т.п.), применяемый автома- тически ко всем новым пользователям при их первой авторизации на сервере.
Перейдите в раздел Users and Groups / Groups для создания групп пользователей, которые будут использоваться для управления доступом к интернет-ресурсам. Распреде- лите пользователей по соответствующим группам.
7.
Адресные группы и временные интервалы
Перейдите в раздел Definitions / Address Groups для создания IP-групп, которые бу- дут использоваться для ограничения доступа к почтовым учетным записям. Эта группа будет состоять из адресов 123.23.43.123 и 50.60.70.80, а также из полной сети
195.95.95.128 с маской 255.255.255.248.
Добавляем IP-адрес:
Добавляем сеть:
Примечание: Имя должно быть одинаковым для всех элементов, чтобы все записи были добавлены к одной и той же группе.
В конечном итоге мы должны получить следующее:
Перейдите в раздел Definitions / Time Ranges для создания интервала времени, ограничивающего интернет-доступ в рабочее время (с понедельника по пятницу с 8 часов утра до 17-00, в субботу и воскресенье с 8 до 12 часов).
Определение рабочего времени для будних дней (с понедельника по пятницу):
Определение рабочего времени для выходных дней (суббота и воскресенье):
Примечание:
1.
Вы можете использовать готовые группировки дней (Weekday или Weekend) для настройки параметра Valid on — при этом нет необходимости индивидуально выде- лять каждый день.
2.
Имя записей должно быть идентично, чтобы был создан только один вре- менной интервал.
На рисунке приведен итоговый результат определения интервала времени Labor time:
8.
Определение Web-правил
Требования
Доступ к web-страницам будет ограничен согласно следующим правилам:
• на web-страницах фильтруется реклама;
• доступ к эротическому/сексуальному контенту запрещен;
• доступ к страницам с предложениями работы запрещен (исключение делает- ся только для пользователей из отдела кадров (Personal Department);
• для получения доступа к сети Интернет пользователи должны авторизовать- ся на шлюзе (это позволит проводить мониторинг просмотренных пользователями стра- ниц).
1 2 3 4 5 6 7 8 9
Предопределенные HTTP-правила
Следующие HTTP-правила предопределены при установке и доступны на вкладке
URL Rules в разделе Configuration / Content Filtering / HTTP Policy:
Allow automati updates (Разрешить автоматические обновления)
Данное правило разрешает производить автоматическое обновление WinRoute и ан- тивируса McAfee с сайта Kerio Technologies.
Фильтрация рекламы и баннеров. Согласно этому правилу блокируются все объек- ты, подпадающие под определение группы Ads/banners. Щелкните на данном правиле для его активации.
Примечание: Иногда может так случиться, что страница, на которой нет рекламы, будет заблокирована. В этом случае удалите соответствующую запись из группы
Ads/banners или создайте правило-исключение для подобных страниц (мы рекомендуем именно второй метод).
Allow MS Windows automatic updates (Разрешить автоматические обновления
Windows)
Правило разрешает автоматические обновления операционной системы Windows с серверов Microsoft.
Deny sites rated in Cobion categories (Запретить сайты по категориям Cobion)
Данное правило запрещает доступ к Web-сайтам, входящим в выбранные катего- рии фильтра Cobion Orange Filter.
Нажмите кнопку Select Rating... для выбора блокируемых категорий. Отметьте со- ответствующие категории в разделе Pornography для запрета доступа к страницам с эроти- ческим/сексуальным контентом.
Примечание:
1.
Базовая лицензия WinRoute не включает систему Cobion (необходимо при- обрести специальную версию лицензии). Однако данная система доступна в триальной версии WinRoute.
2.
Система Cobion, включенная в поставку WinRoute, должна иметь возмож- ность установки соединения с серверами баз данных в сети Интернет. Это означает, что политика трафика должна разрешать доступ к сервису COFS (6000/tcp) со шлюзовой ма- шины. Разрешающее правило создается автоматически мастером настройки политики.
3.
Вы можете создать несколько URL-правил, использующих техноло- гию Cobion Orange Filter. Несколько категорий может быть выбрано для каждого правила.
4.
Мы рекомендуем включить опцию “unlock” в правилах, использующих тех- нологию Cobion Orange Filter, так как отдельные страницы могут быть классифицированы неверно и важная информация в некоторых случаях может блокироваться. Все запросы на разблокировку доступа сохраняются в журнале Filter — это позволяет вам отслеживать, были ли подобные запросы правомерны.
Примечание: Вы можете указать информацию, которая будет отображена на стра- нице блокировки, на вкладке Advanced (URL Rules) или перенаправить пользователей на другую страницу при попытке доступа к запрещенной странице.
Создание собственных URL-правил
Правила, которые будут применяться для отдельных пользователей или групп, мо- гут быть добавлены после правила, требующего авторизацию от всех пользователей.
Вы можете добавить правило, разрешающее пользователям из группы Personal
Department, получать доступ к страницам с предложениями работы.
Правило, запрещающее доступ всем остальным пользователям к данным страни- цам, должно быть добавлено после предыдущего правила.
Примечания:
1.
Рекомендуется включить опцию "do not require athentication" для данного за- прещающего правила, так как в противном случае пользователи будут направлены на страницу авторизации до того, после чего получат информацию о запрете.
2.
В двух вышеописанных правилах должна быть выбрана только категория
JobSearch.
Авторизация пользователей для доступа к веб-сайтам
Последнее опциональное ограничение - требование авторизации для доступа к веб- сайтам. Активируйте опцию Always require users to be authenticated when accessing web pages на вкладке Authentication Options в разделе Users and groups / Users.
Настройка кэша HTTP
Кэш ускоряет доступ к повторно открываемым веб-страницам, при этом одновре- менно уменьшая интернет-трафик. Кэш может быть активирован c помощью опций Enable cache on transparent proxy и Enable cache on proxy server в разделе Configuration / Content
Filtering / HTTP Policy.
Установите желаемый размер кэш-области с учетом свободного дискового пространства. По умолчанию установлено значение 1 Гб (1024 Мб), макси- мальное значение - 2 Гб (2048 Мб).
Настройка политики FTP
Требования
Доступ к FTP будет ограничен согласно следующим правилам:
• передача музыкальных файлов в формате MP3 запрещена
• передача видео-файлов (*.avi) запрещена в рабочее время
• загрузки на удаленные FTP-сервера запрещена — защита важной корпора- тивной информации
Предопределенные правила FTP
Перейдите в раздел Configuration / Content Filtering / FTP Policy для настройки ограничений FTP. Следующие правила являются предопределенными и могут быть ис- пользованы для всех оговоренных ограничений.
Forbid resume due antivirus scanning (запрет возобновления из-за антивирусного
сканирования)
Данное правило запрещает восстановление (продление с текущего места) прерван- ных сеансов передачи данных (например, из-за сетевого сбоя). Если файлы, передаваемые по FTP, сканируются на предмет наличия вирусов, то рекомендуется включить данное правило (файлы, передаваемые частями, не могут быть надежно просканированы).
Forbid upload (запрет загрузки на удаленные сервера)
Запрет сохранения данных на FTP-серверах — это правило уже определено и до- статочно просто его включить.
Forbid *.mpg, *.mp3 and *.mpeg files (запрет файлов *.mpg, *.mp3 and *.mpeg)
Данная опция запрещает передачу звуковых файлов перечисленных форматов.
Данное правило также уже существует и достаточно просто его включить.
Forbid *.avi files (запрет файлов *.avi)
Это правило будет запрещать передачу видео-файлов. Включите данное правило, нажмите кнопку Edit для того, чтобы открыть диалоговое окно, и укажите временной ин- тервал Labor time (рабочее время) на вкладке Advanced.
Внимание: Политика FTP распространяется только на FTP-трафик, обрабатывае- мый инспектором протокола FTP.