![background image](/i/zyxel/144707/zyxel-p-660ht-ee/h/zyxel-p-660ht-ee-155.png)
Руководство
пользователя
P–660HT/HTW EE
Глава
11
Настройка
межсетевого
экрана
154
5
На
каких
компьютерах
в
Интернете
отразится
выполнение
этого
правила
?
Эти
сведения
должны
быть
по
возможности
конкретны
.
Например
,
если
разрешается
пересылка
трафика
из
сети
Интернет
в
локальную
сеть
,
лучше
указать
определенные
серверы
в
Интернете
,
которые
будут
иметь
доступ
к
локальной
сети
.
11.3.2
Правила
с
точки
зрения
безопасности
1
Когда
правило
составлено
,
очень
важно
рассмотреть
те
последствия
,
которые
оно
будет
иметь
для
безопасности
сети
.
2
Не
мешает
ли
данное
правило
пользователям
локальной
сети
иметь
доступ
к
каким
-
либо
важным
ресурсам
Интернета
?
Например
,
если
блокируется
IRC,
есть
ли
пользователи
,
которым
необходима
эта
служба
?
3
Нельзя
ли
видоизменить
правило
так
,
чтобы
оно
стало
более
конкретным
?
Например
,
если
IRC
заблокирован
для
всех
пользователей
,
возможно
,
будет
целесообразнее
задать
правило
,
которое
блокирует
доступ
только
для
определенных
пользователей
.
4
Не
является
ли
правило
,
позволяющее
пользователям
Интернета
иметь
доступ
к
ресурсам
локальной
сети
,
причиной
появления
слабых
мест
в
системе
защиты
?
Например
,
если
соединение
с
локальной
сетью
через
порт
FTP (TCP 20, 21)
возможно
из
Интернета
,
пользователи
Интернета
могут
получить
доступ
к
работающим
FTP-
серверам
.
5
Нет
ли
конфликта
между
данным
правилом
и
другими
имеющимися
правилами
?
6
Если
ответы
на
эти
вопросы
известны
,
то
добавление
правил
сведется
к
простому
внесению
данных
в
нужные
поля
в
окнах
Web-
конфигуратора
.
11.3.3
Основные
поля
для
настройки
правил
11.3.3.1 Action (
Действие
)
Какое
должно
быть
действие
Block
(
блокировать
)
или
Forward
(
пересылать
)? “Block”
означает
,
что
межсетевой
экран
сбрасывает
пакет
без
уведомления
.
11.3.3.2 Service (
Служба
)
Выберите
службу
из
прокручиваемого
окна
списка
Service
(
служба
).
Если
нужной
службы
нет
в
списке
,
необходимо
сначала
ее
определить
.
Для
получения
более
подробной
информации
о
предварительно
заданных
службах
см
11.3.3.3 Source Address (
Адрес
источника
)
Каков
адрес
источника
соединения
:
в
локальной
или
глобальной
сети
?
Это
одиночный
IP-
адрес
,
диапазон
IP-
адресов
или
подсеть
?