Руководство Администратора межсетевого экрана Акер 3.01

Редактирование списка правил с использованием GUI


Для получения доступа к окну настройки правил фильтрации вам нужно:

  • Выбрать меню Настройка в главном окне

  • Выбрать опцию Правила фильтрации

    • Окно правил фильтрации

    Окно правил показывает все правила фильтрации, описанные в межсетевом экране Aker. Каждое правило будет показано на отдельной строке, состоящей из нескольких ячеек. При выделении одного из правил оно будет показано окрашенным в другой цвет.

  • Клавиша Да обновляет список правил и делает его сразу активным.

  • Клавиша Отменить  отбрасывает все модификации и окно закрывается.

  • Клавиша Помощь показывает окно помощи с подсказками по данному разделу.

  • Если установлена опция Показать все объекты, будут высвечены все параметры фильтрации. В противном случае будут показаны только два первых.

    • Указание:  если эта опция не установлена, а правило имеет больше двух объектов в полях источника, назначения или сервисах, то в каждом из полей, содержащем больше двух объектов, будет показана направленная вниз стрелка.

  • Полоска прокрутки с правой стороны используется для просмотра правил, которые не помещаются в окне.

  • Если выделить правило, для которого описаны комментарии, то они будут показаны в нижней части окна.

    • Чтобы выполнить любую операцию на конкретном правиле, достаточно нажать правой клавишей мыши по этому правилу. Появится следующее меню: (Это меню будет появляться каждый раз, когда вы нажимаете на правую клавишу мыши, даже если не выделено никаких правил. При этом будут доступны только опции Добавить и Вставить).



  • Добавить: Эта опция позволяет включить в список другое правило. Если выделено какое-либо правило, новое правило вставляется перед выделенным правилом под его номером. В противном случае новое правило включается в конец списка.

  • Удалить:Эта опция удаляет выделенное правило из списка.

  • Редактировать: Эта опция открывает окно редактирования для выделенного правила.

  • Копировать: Эта опция копирует выделенное правило в буфер.

  • Вырезать: Эта опция удаляет выделенное правило из списка и копирует его в буфер.


  • Вставить: Эта опция копирует правило из буфера в список. Если правило выделено, то новое правило будет вставлено на перед выделенным правилом на его позицию. Если правило не выделено, то новое будет скопировано в конец списка.


  • Отменить выделение: Эта опция отменяет выделение ранее выделенного правила и снова показывает меню. Это очень полезно, когда существует большое число правил и нужно включить или вставить правило в конец списка.


    • Указание: все эти опции, за исключением опции отменить выделение, можно выполнять через инструментальное меню, расположенное в верхней части окна. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите нужную опцию.

    При добавлении или редактировании правил будет показано окно свойств:

    Окно свойств одного правила

    Окно свойств используется для настройки всех параметров правила. Оно состоит из следующих полей:

    Объекты источника: Это поле определяет объекты, адреса которых будут сравниваются с адресом источника IP пакетов.

    Объекты назначения: Это поле определяет объекты, адреса которых будут сравниваются с адресом назначения IP пакетов.

    Сервисы: Это поле описывает сервисы, используемые в правиле.

    Интерфейс: Поле определяет разрешенный интерфейс для входящих пакетов. Значение любой отменяет проверку по этому полю. Если интерфейс выбран, то будут приниматься пакеты, приходящие только от этого интерфейса. Для выделения интерфейса нужно только нажать на направленной вниз стрелке сбоку от поля. После этого система покажет список всех сетевых интерфейсов, опознанных межсетевым экраном.

    Статистика: Это поле определяет, какое действие будет выполняться системой, когда пакет удовлетворяет данному правилу. Она состоит из нескольких опций, которые можно выделять независимо. Значения этих опций таковы:

    Статистика: Если эта опция установлена, то все пакеты, удовлетворяющие данному правилу, будут регистрироваться в системном журнале.

    Почта: Если эта опция установлена, то по электронной почте будет посылаться одно сообщение каждый раз, когда пакет удовлетворяет правилу (настройка адреса электронной почты рассматривается в главе 4 Настройка параметров системы).



    Прерывание: Если эта опция установлена, то для каждого пакета, удовлетворяющего данному правилу, будет посылаться SNMP прерывание (настройка параметров прерываний будет рассмотрена в главе 4 Настройка параметров системы).

    Программа: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, будет выполняться описанная администратором программа (настройка имени выполняемой программы будет рассмотрена в главе 4 Настройка параметров системы).

    Тревога: Если эта опция установлена, то каждый раз, когда пакет удовлетворяет данному правилу, межсетевой экран покажет окно предупреждений. Это окно появится на хосте, на котором открыт удаленный графический интерфейс и, если возможно, будет звучать предупреждающий сигнал. Если графический интерфейс пользователя не открыт, то не появится никаких сообщений, а эта опция не будет учитываться.

    Для протоколов, использующих TCP, определенные в правиле действия будут выполняться только при установленном соединении. В случае UDP протокола, действия будут выполняться для всех пакетов, посланных клиентом и удовлетворяющих данному правилу (но не ответные пакеты).

    Дйствие правила:Это поле определяет, какое действие будет выполнено для всех пакетов, удовлетворяющих данному правилу. Оно состоит из следующих опций:

    Пропускать: Эта опция означает, что пакетам, удовлетворяющим правилу, разрешается пройти через межсетевой экран.

    Не пропускать: Эта опция означает, что пакеты, удовлетворяющие правилу, не пройдут через межсетевой экран, причем хосту источника будет посылаться ICMP destination unreachable сообщение (хост назначения недоступен). Эта опция не работает для некоторых типов ICMP сообщений.

    Отбрасывать: Эта опция означает, что пакеты, удовлетворяющие данному правилу, не пройдут через межсетевой экран, при этом не будут посылаться какие-либо пакеты хосту источника.

    Комментарий: Поле комментариев к правилу. Оно может быть полезным для хранения информации об использовании правила.

    Временная таблица: Эта кнопка позволяет получить доступ к окну временной таблицы активного правила . Если нажать эту кнопку, появится следующее окно:

    Эта таблица определяет часы и дни недели, в течение которых применимо правило. Строки представляют дни недели, а колонки - часы. Если правило в данный период времени должно действовать, квадратик в таблице следует заполнить. Для облегченя процесса настройки можно нажать левую клавишу мыши на квадрате и двигать курсор, сохраняя клавишу нажатой. При этом таблица будет модифицироваться в соответствии с перемещением мыши.


    Содержание раздела