![background image](/i/zyxel/148182/zyxel-p660hwp-ee-kit/h/zyxel-p660hwp-ee-kit-184.png)
Глава
11
Настройка
межсетевого
экрана
Руководство
пользователя
P660HWP-Dx
184
"
Вы
можете
неумышленно
подвергнуть
межсетевой
экран
и
защищенную
сеть
риску
,
если
попытаетесь
настроить
правила
,
не
имея
четкого
представления
о
том
,
как
они
работают
.
После
настройки
правила
необходимо
протестировать
.
Например
,
можно
назначить
следующие
правила
:
•
Блокировать
трафик
определенного
типа
,
например
IRC (Internet Relay Chat),
исходящий
из
локальной
сети
в
Интернет
.
•
Разрешить
трафик
определенного
типа
(
например
,
синхронизация
записей
баз
данных
),
поступающий
от
конкретных
узлов
в
Интернете
на
конкретные
серверы
локальной
сети
.
•
Разрешить
доступ
к
web-
серверу
всем
,
кроме
конкурентов
.
•
Разрешить
использование
определенных
протоколов
,
например
Telnet,
лишь
полномочным
пользователям
локальной
сети
.
Эти
определяемые
пользователем
правила
работают
на
основе
принципа
проверки
IP-
адреса
источника
, IP-
адреса
получателя
сетевого
трафика
и
типа
протокола
IP
на
соответствие
правилам
,
установленным
администратором
.
Правила
,
установленные
пользователем
,
имеют
более
высокий
приоритет
по
отношению
к
правилам
по
умолчанию
P660HWP
и
замещают
их
.
11.3
Обзор
логики
правил
"
Прежде
чем
назначать
правила
,
необходимо
тщательно
изучить
данные
указания
.
11.3.1
Список
вопросов
для
составления
правил
Сформулируйте
назначение
правила
.
Например
: «
ограничить
доступ
IRC
из
локальной
сети
в
сеть
Интернет
».
Или
: «
позволить
удаленному
серверу
Lotus Notes
синхронизацию
с
внутренним
сервером
Notes
через
Интернет
».
1
Трафик
должен
пересылаться
или
блокироваться
согласно
правилу
?
2
К
какому
направлению
трафика
применяется
правило
?
3
Какие
службы
IP
попадут
под
действие
правила
?
4
На
каких
компьютерах
локальной
сети
отразится
выполнение
этого
правила
?
5
На
каких
компьютерах
в
Интернете
отразится
выполнение
этого
правила
?
Эти
сведения
должны
быть
по
возможности
конкретны
.
Например
,
если
разрешается
пересылка
трафика
из
сети
Интернет
в
локальную
сеть
,
лучше
указать
определенные
серверы
в
Интернете
,
которые
будут
иметь
доступ
к
локальной
сети
.