Межсетевой экран Aker

Редактирование списка правил с использованием графического интерфейса


Для получения доступа к окну настройки правил фильтрации вам нужно:

  • Выбрать меню Редактирование в главном окне

  • Выбрать опцию Правила фильтрации

    • Окно правил фильтрации

    Окно правил показывает все правила фильтрации, описанные в межсетевом экране Aker. Каждое правило будет показано на отдельной строке, состоящей из нескольких ячеек. При выделении одного из правил оно будет показано окрашенным в другой цвет.

    • Клавиша OK обновляет список правил и делает его сразу активным.

    • Клавиша Cancel  отбрасывает все модификации и окно закрывается.

    • Клавиша Help показывает окно помощи с подсказками по данному разделу.

    • Если установлена опция Show all entities , будут высвечены все параметры фильтрации. В противном случае будут показаны только два первых.

      • Указание:  если эта опция не установлена, а правило имеет больше двух объектов в полях источника, назначения или сервисах, то в каждом из полей, содержащем больше двух объектов, будет показана направленная вниз стрелка.

      • Полоска прокрутки с правой стороны используется для просмотра правил, которые не помещаются в окне.

      • Если выделить правило, для которого описаны комментарии, то они будут показаны в нижней части окна.

        • Чтобы выполнить любую операцию на конкретном правиле, достаточно нажать правой клавишей мыши по этому правилу. Появится следующее меню: (Это меню будет появляться каждый раз, когда вы нажимаете на правую клавишу мыши, даже если не выделено никаких правил. При этом будут доступны только опции Add и Paste).



      • Add: Эта опция позволяет включить в список другое правило. Если выделено какое-либо правило, новое правило вставляется перед выделенным правилом под его номером. В противном случае новое правило включается в конец списка.

      • Delete:Эта опция удаляет выделенное правило из списка.

      • Edit: Эта опция открывает окно редактирования для выделенного правила.

      • Copy: Эта опция копирует выделенное правило в буфер.

      • Cut: Эта опция удаляет выделенное правило из списка и копирует его в буфер.

      • Paste: Эта опция копирует правило из буфера в список.
        Если правило выделено, то новое правило будет вставлено на перед выделенным правилом на его позицию. Если правило не выделено, то новое будет скопировано в конец списка.


        • Deselect: Эта опция отменяет выделение ранее выделенного правила и снова показывает меню. Это очень полезно, когда существует большое число правил и нужно включить или вставить правило в конец списка.


      Указание: все эти опции, за исключением опции deselect, можно выполнять через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите нужную опцию.

      При добавлении или редактировании правил будет показано окно свойств:

      Окно свойств одного правила

      Окно свойств используется для настройки всех параметров правила. Оно состоит из следующих полей:

      Source Entities: Это поле определяет объекты, адреса которых будут сравниваются с адресом источника IP пакетов.

      Destination Entities: Это поле определяет объекты, адреса которых будут сравниваются с адресом назначения IP пакетов.

      Services: Это поле описывает сервисы, используемые в правиле.

      Interface: Поле определяет разрешенный интерфейс для входящих пакетов. Значение any отменяет проверку по этому полю. Если интерфейс выбран, то будут приниматься пакеты, приходящие только от этого интерфейса. Для выделения интерфейса нужно только нажать на направленной вниз стрелке сбоку от поля. После этого система покажет список всех сетевых интерфейсов, опознанных межсетевым экраном.

      Log: Это поле определяет, какое действие будет выполняться системой, когда пакет удовлетворяет данному правилу. Она состоит из нескольких опций, которые можно выделять независимо. Значения этих опций таковы:
       

      Log: Если эта опция установлена, то все пакеты, удовлетворяющие данному правилу, будут регистрироваться в системном журнале.

      Mail: Если эта опция установлена, то по электронной почте будет посылаться одно сообщение каждый раз, когда пакет удовлетворяет правилу (настройка адреса электронной почты рассматривается в главе Настройка реакции системы).



      Trap: Если эта опция установлена, то для каждого пакета, удовлетворяющего данному правилу, будет посылаться SNMP прерывание (настройка параметров прерываний будет рассмотрена в главе Настройка реакции системы).

      Program: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, будет выполняться описанная администратором программа (настройка имени выполняемой программы будет рассмотрена в главе Настройка реакции системы).

      Alert: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, межсетевой экран покажет окно предупреждений. Это окно появится на хосте, на котором открыт удаленный графический интерфейс и, если возможно, будет звучать предупреждающий сигнал. Если графический интерфейс пользователя не открыт, то не появится никаких сообщений, а эта опция не будет учитываться.


        ! Для протоколов, использующих TCP, определенные в правиле действия будут выполняться только при установленном соединении. В случае UDP протокола, действия будут выполняться для всех пакетов, посланных клиентом и удовлетворяющих данному правилу (но не ответные пакеты).


      Action of the rule:Это поле определяет, какое действие будет выполнено для всех пакетов, удовлетворяющих данному правилу. Оно состоит из следующих опций:
       

      Accept: Эта опция означает, что пакетам, удовлетворяющим правилу, разрешается пройти через межсетевой экран.

      Reject: Эта опция означает, что пакеты, удовлетворяющие правилу, не пройдут через межсетевой экран, причем хосту источника будет посылаться ICMP destination unreachable сообщение (хост назначения недоступен). Эта опция не работает для некоторых типов ICMP сообщений.

      Discard: Эта опция означает, что пакеты, удовлетворяющие данному правилу, не пройдут через межсетевой экран, при этом не будут посылаться какие-либо пакеты хосту источника.

      Comment: Поле комментариев к правилу. Оно может быть полезным для хранения информации об использовании правила.

      Timetable: Эта кнопка позволяет получить доступ к окну временной таблицы активного правила .Если нажать эту кнопку, появится следующее окно:

      Эта таблица определяет часы и дни недели, в течение которых применимо правило. Строки представляют дни недели, а колонки - часы. Если правило в данный период времени должно действовать, квадратик в таблице следует заполнить. Для облегчения процесса настройки можно нажать левую клавишу мыши на квадрате и двигать курсор, сохраняя клавишу нажатой. При этом таблица будет модифицироваться в соответствии с перемещением мыши.


      Содержание раздела