Файл: Руководство пользователя ао ИнфоТеКС.pdf

ViPNet Client 4. Руководство пользователя |
193
Создание сетевого фильтра при просмотре журнала IP-пакетов
Если требуется пропускать IP-пакеты в рамках запрещенных соединений либо блокировать
IP-пакеты в рамках разрешенных соединений, вы можете создать сетевой фильтр для таких
IP-пакетов при просмотре соединений в журнале IP-пакетов. Для этого выполните следующие действия:
1 В окне Журнал регистрации IP-пакетов (см.
Просмотр результатов поиска на стр. 188) выберите запись о заблокированном соединении, которое должно быть разрешено, либо разрешенное соединение, которое должно быть заблокировано.
2 Щелкните выбранную запись правой кнопкой мыши и в контекстном меню выберите пункт
Создать фильтр.
В зависимости от типа выбранного соединения появится окно создания: o
Фильтра открытой сети — если в рамках соединения передавались незашифрованные
IP-пакеты. o
Фильтра защищенной сети — если в рамках соединения передавались зашифрованные
IP-пакеты.
3 В разделах окна свойств сетевого фильтра будут автоматически заданы параметры, сформированные из записи выбранного соединения. При необходимости внесите соответствующие изменения (см.
Создание сетевых фильтров на стр. 144).
4 В окне свойства сетевого фильтра нажмите кнопку OK. В результате созданный фильтр появится в списке сетевых фильтров.
Просмотр журнала IP-пакетов другого сетевого узла
При работе в режиме администратора сетевого узла можно запросить журнал IP-пакетов другого сетевого узла ViPNet, с которым у данного узла есть связь. Для этого выполните следующие действия:
1 Выполните вход в программу в режиме администратора (см.
Работа в программе в режиме администратора на стр. 215).
2 В окне программы ViPNet Монитор на панели навигации выберите раздел Журнал IP-пакетов.
3 В списке Журнал сетевого узла выберите сетевой узел, журнал которого требуется просмотреть. Если нужного сетевого узла нет в списке, нажмите кнопку и в окне Выбор
сетевого узла укажите нужный узел.

ViPNet Client 4. Руководство пользователя |
194
4 После выбора сетевого узла, журнал которого требуется просмотреть, с этим узлом будет установлено соединение. В случае успешного соединения имя выбранного узла появится в списке Журнал сетевого узла. Чтобы прервать процесс подключения, нажмите кнопку Отмена.
Примечание. Запрос журнала IP-пакетов возможен только с сетевого узла, на котором установлено ПО ViPNet версии не ниже 3.х.
Следует иметь в виду, что при просмотре журнала IP-пакетов другого сетевого узла параметры поиска соответствуют типу этого узла. То есть если в программе
ViPNet Coordinator запросить журнал IP-пакетов клиента, можно указать только параметры, доступные на клиентах.
5 Задайте параметры поиска (см.
Настройка параметров поиска IP-пакетов на стр. 187) и нажмите кнопку Поиск.
Примечание. Если вы просматриваете журнал координатора, то вместо групп Устройство
<1> и Устройство <2> появятся группы Свой компьютер и Внешнее сетевое устройство, где вы сможете указать сетевые узлы отправителя и получателя сетевых пакетов.
Настройка параметров регистрации IP-пакетов в журнале
Чтобы настроить параметры журнала IP-пакетов:
2>1>

ViPNet Client 4. Руководство пользователя |
195
Рисунок 85. Настройка параметров журнала IP-пакетов
3 Задайте значения следующих параметров: o
В поле Максимальный размер журнала укажите размер журнала в мегабайтах (по умолчанию — 1 Мбайт). Если размер журнала превысит указанное значение, записи в хронологическом порядке будут переноситься в архив.
Чтобы отключить ведение журнала, задайте значение 0. Записи о новых зарегистрированных IP-пакетах не будут добавляться в журнал. Однако записи, созданные до присвоения значения 0, будут сохранены. o
С помощью списка Регистрировать укажите, какие IP-пакеты следует регистрировать в журнале: Все IP-пакеты или Только блокируемые IP-пакеты. o
В поле Регистрировать однотипные IP-пакеты одной записью в интервале укажите интервал времени в минутах. По истечении указанного интервала для IP-пакетов определенного типа будет создаваться новая запись в журнале.
Смысл данного параметра состоит в том, что при регистрации пакета с определенными параметрами (IP-адрес, протокол, порт и так далее) для него создается запись в журнале. В течение указанного интервала времени IP-пакеты, которые имеют те же IP-адрес, протокол, порт и другие параметры, регистрируются, но записи в журнале для них не создаются. Число таких пакетов, зарегистрированных в течение интервала, указано в столбце Количество пакетов в окне Журнал регистрации IP-пакетов.
Когда заданный интервал времени истекает, для следующего IP-пакета создается новая запись в журнале, даже если этот пакет имеет параметры, которые уже зафиксированы в другой записи. Если поступает пакет другого типа, для него также создается новая запись в журнале. После создания новой записи снова начинается отсчет интервала времени для пакетов с одинаковыми параметрами. Данный механизм распространяется на все регистрируемые IP-пакеты.
Начало и конец интервала времени, в течение которого были зарегистрированы
IP-пакеты, объединенные одной записью, указаны в соответствующих столбцах.

ViPNet Client 4. Руководство пользователя |
196
Данный механизм позволяет значительно сократить размер журнала IP-пакетов, сохранив его информативность. Чем больше заданный интервал времени, тем меньше размер журнала. Однако с увеличением интервала регистрации уменьшается точность данных в журнале (невозможно определить время регистрации пакетов).
Если задать нулевое значение интервала регистрации пакетов, для каждого зарегистрированного IP-пакета будет создаваться запись в журнале. Однако размер журнала при этом может сильно увеличиться. Нулевое значение интервала рекомендуется задавать только для тестирования и на короткое время. ViPNet-драйвер может хранить не более 10000 записей журнала. По достижении этого ограничения более старые записи заменяются новыми. Если обмен трафиком достаточно интенсивен, часть информации может быть потеряна. Кроме того, обработка трафика может замедлиться, так как увеличится нагрузка на процессор компьютера. o
Установите флажок Регистрировать широковещательные IP-пакеты, чтобы такие пакеты фиксировались в журнале. o
Убедитесь, что установлен флажок Для TCP-соединений регистрировать только порт
сервера. В этом случае IP-пакеты протокола TCP будут группироваться по порту сервера вне зависимости от порта клиента.
4 Чтобы сохранить настройки, нажмите кнопку Применить.

ViPNet Client 4. Руководство пользователя |
197
Просмотр статистики фильтрации
IP-пакетов
Чтобы просмотреть статистику фильтрации IP-пакетов, в окне программы ViPNet Монитор на панели навигации выберите раздел Статистика и журналы > Статистика.
В разделе Статистика представлены данные о количестве входящих и исходящих IP-пакетов, которые были пропущены или заблокированы в соответствии с заданными фильтрами трафика.
Эта информация может быть полезна при первоначальной настройке программы ViPNet Монитор.
Чтобы обнулить статистику IP-пакетов, нажмите кнопку Очистить.
Рисунок 86. Просмотр статистики IP-пакетов

ViPNet Client 4. Руководство пользователя |
198
Просмотр информации о клиенте
Чтобы получить информацию о сети ViPNet, в которой находится данный узел ViPNet, о пользователе, который произвел вход в программу, сведения о соединениях узла и другую дополнительную информацию, выберите раздел ViPNet Client.
Рисунок 87. Раздел общей информации об узле ViPNet

ViPNet Client 4. Руководство пользователя |
199
Управление конфигурациями программы
Конфигурация — это совокупность всех настроек программы ViPNet. В разделе Конфигурации можно создать несколько дополнительных конфигураций и установить нужную в любой момент.
Использование нескольких конфигураций может быть полезно в следующих случаях.
Предположим, что политика безопасности компании запрещает одновременно работать с локальными ресурсами и ресурсами интернета. Тогда вам следует создать две конфигурации: в одной конфигурации должна быть разрешена работа в интернете и запрещен доступ в локальную сеть, во второй конфигурации должна быть разрешена работа в локальной сети и запрещен доступ в интернет. Либо, например, вам приходится периодически изменять настройки подключения к защищенной сети. Тогда для удобства вы можете создать несколько конфигураций с разными настройками подключения к защищенной сети. В дальнейшем вам не потребуется изменять настройки каждый раз, когда возникнет необходимость. Будет достаточно просто выбрать конфигурацию с нужными настройками.
При первом запуске программы создается Основная конфигурация, которая содержит настройки по умолчанию. Эту конфигурацию нельзя переименовать, удалить или изменить ее параметры.
Также могут по умолчанию присутствовать специальные конфигурации, предназначенные для работы в интернете: «Открытый Интернет», «Внутренняя сеть» и «Интернет». Описание данных конфигураций приведено в разделах ниже.
Чтобы создать конфигурацию:
1 На панели навигации выберите Конфигурации и в контекстном меню выберите пункт Создать
конфигурацию.
Рисунок 88. Создание новой конфигурации
В списке конфигураций появится элемент Новая конфигурация.
Примечание. В режиме администратора можно создать конфигурацию программы для любого пользователя, зарегистрированного на узле. В данном режиме отображаются все конфигурации, созданные в процессе работы с программой, причем они сгруппированы по пользователям, от имени которых были созданы.

ViPNet Client 4. Руководство пользователя |
200
2 Выполните настройку программы, добавьте сетевые фильтры, которые нужно применять в данной конфигурации.
Затем в контекстном меню выберите пункт Сохранить текущую конфигурацию.
3 Чтобы переключать конфигурацию с помощью ярлыка, в контекстном меню выберите пункт
Создать ярлык на рабочем столе.
4 Чтобы сделать активной нужную конфигурацию, выполните одно из действий: o
Щелкните конфигурацию правой кнопкой мыши и в контекстном меню выберите пункт
Применить конфигурацию. o
В меню Файл выберите пункт Конфигурации. o
Щелкните правой кнопкой мыши по значку в области уведомлений и выберите
Конфигурации. o
Дважды щелкните по ярлыку конфигурации на рабочем столе (если ярлык был создан).
В активной конфигурации все изменения программы ViPNet Монитор сохраняются автоматически.
Если в программе создано несколько конфигураций и при этом в настройках установлен флажок
Вызывать окно выбора конфигурации (см.
Настройка параметров запуска программы ViPNet
Client на стр. 226), то при запуске ViPNet Client откроется окно выбора конфигурации.
Рисунок 89. Выбор конфигурации при запуске программы
Для того чтобы загрузить одну из этих конфигураций, выберите ее в списке и нажмите кнопку ОК.
Если в течение 30 секунд с момента появления окна не будет выбрана ни одна конфигурация, программа ViPNet Монитор продолжит работу в основной конфигурации.
Если в программе создано несколько конфигураций, которые используются в определенные периоды времени, настройте расписание автоматической смены конфигураций (см.
Настройка расписания смены конфигураций программы на стр. 202).

ViPNet Client 4. Руководство пользователя |
201
Конфигурация «Открытый интернет»
Примечание. Начиная с версии ПО ViPNet Administrator ЦУС 4.6.3, технология «Открытый
Интернет» называется «Защищенный интернет-шлюз».
Если клиент связан с координатором, для которого в программе ViPNet Центр управления сетью включена функция сервера открытого Интернета, в списке конфигураций программы ViPNet
Монитор присутствует конфигурация «Открытый Интернет».
Внимание! Не используйте перемещаемые профили пользователей Windows совместно с конфигурацией «Открытый интернет». При включении этой конфигурации ресурсы корпоративной сети недоступны, соответственно все настройки пользователя в профиле не могут быть загружены.
Если доступ клиентов в Интернет организован через сервер Открытого Интернета:
 Для работы в защищенной сети установите любую конфигурацию, кроме конфигурации
«Открытый Интернет».
В этом случае соединение с сервером открытого Интернета установить невозможно.
Следовательно, невозможно получить доступ к Интернету.
 Для работы с ресурсами Интернета установите конфигурацию «Открытый Интернет».
При загрузке конфигурации «Открытый Интернет» в раздел Сетевые фильтры будут автоматически добавлены фильтры трафика, запрещающие соединение с какими-либо сетевыми узлами ViPNet, кроме сервера открытого Интернета.
Таким образом, клиент может быть подключен либо только к защищенной сети ViPNet, либо только к Интернету. Это позволяет изолировать компьютер, обменивающийся потенциально опасным трафиком в Интернете, от остальных узлов сети ViPNet.
Конфигурации «Внутренняя сеть» и «интернет»
Если администратор сети ViPNet в программе ViPNet Центр управления сетью установил для пользователей сетевого узла уровень полномочий «h», в программе ViPNet Client автоматически создаются две конфигурации: «Внутренняя сеть» и «Интернет».
Подробная информация об уровнях полномочий пользователя содержится в документе
«Классификация полномочий. Приложение к документации ViPNet».
Конфигурации «Внутренняя сеть» и «Интернет» имеют следующие особенности:
 Конфигурация «Внутренняя сеть» предназначена для работы в защищенной сети ViPNet и запрещает соединения с открытыми узлами.
При загрузке этой конфигурации в разделе Фильтры открытой сети автоматически добавляются фильтры, блокирующие любой открытый IP-трафик, кроме пакетов службы DHCP.

ViPNet Client 4. Руководство пользователя |
202
 Конфигурация «Интернет» предназначена для работы в открытой сети и запрещает соединения с защищенными узлами ViPNet.
При загрузке этой конфигурации в разделе Фильтры защищенной сети автоматически добавляются фильтры, блокирующие любой защищенный IP-трафик.
Настройка расписания смены конфигураций программы
Если используется несколько конфигураций, каждая из которых должна устанавливаться в определенное время, вы можете настроить расписание автоматической смены конфигураций.
Например, автоматическая смена будет удобна в том случае, если вам периодически в заданное время приходится переключаться в конфигурацию для работы в интернете. В остальных случаях, как правило, рекомендуется менять конфигурации вручную.
Настроить расписание смены конфигураций можно только в том случае, если в программе создано более двух конфигураций. Основная конфигурация и специальные конфигурации при этом не учитываются, расписание их установки настроить нельзя. Основная конфигурация автоматически устанавливается и вступает в действие в те промежутки времени, в которые не действуют по расписанию остальные конфигурации. Специальные конфигурации можно установить только вручную.
Внимание! При пересечении расписаний автоматическая смена конфигураций не гарантируется. В процессе составления расписаний рекомендуется следить за тем, чтобы расписания смены конфигураций не пересекались.
Чтобы настроить расписание смены конфигураций:
1 Щелкните правой кнопкой мыши раздел Конфигурации или любую созданную конфигурацию и в контекстном меню выберите пункт Настроить расписание.
2 В окне Настройка расписания смены конфигураций установите флажок Устанавливать
конфигурации в соответствии с расписанием, после чего добавьте в список конфигурации, которые требуется устанавливать автоматически.
3 В окне Параметры расписания укажите дни и время действия.

ViPNet Client 4. Руководство пользователя |
203
Рисунок 90. Настройка расписания смены конфигураций
4 Нажмите кнопку OK.
В результате расписание смены конфигураций будет настроено.
Рисунок 91. Сформированное расписание смены конфигураций
Чтобы отменить расписание, в окне Настройка расписания смены конфигурации снимите соответствующий флажок.
Чтобы перед каждой сменой конфигурации по расписанию производилось оповещение, в настройках программы в разделе Предупреждения установите флажок Выдавать
предупреждение перед сменой конфигурации по расписанию.