Průvodce (wizard) se uživatele dotáže pouze na nejnutnější informace, na jejichž základě vytvoří sadu komunikačních pravidel. Vytvořená pravidla zajistí přístup z lokální sítě do Internetu ke zvoleným službám, přístup z Internetu k vybraným lokálním serverům a plnou ochranu lokální sítě (včetně počítače s WinRoute) proti neoprávněnému přístupu z Internetu. Aby bylo možné zaručit funkčnost WinRoute po použití průvodce, jsou před dokončením průvodce všechna stávající pravidla smazána a nahrazena pravidly vytvořenými automaticky na základě poskytnutých informací.
Průvodce komunikačními pravidly se spustí stisknutím tlačítka
.Poznámka: Nahrazení stávajících komunikačních pravidel pravidly vytvořenými průvodcem se provádí až po potvrzení posledního kroku. Průvodce tedy můžete v kterémkoliv kroku stornovat beze ztráty stávajících pravidel.
Průvodce předpokládá, že počítač, kde je WinRoute nainstalován, je vybaven:
alespoň jedním aktivním adaptérem pro lokální síť
alespoň jedním aktivním adaptérem připojeným do Internetu nebo je definováno alespoň jedno vytáčené připojení. Toto připojení nemusí být v okamžiku spuštění průvodce vytočeno.
Ve druhém kroku průvodce zvolte požadovaný způsob připojení lokální sítě k Internetu pomocí WinRoute (pevná linka, vytáčené připojení, pevná linka se záložním připojením nebo více linek s rozložením zátěže).
Ve třetím kroku případně nastavte potřebné parametry pro zvolený typ internetového připojení.
Jednotlivé možnosti internetového připojení jsou podrobně popsány v kapitole 6 Internetové připojení.
Poznámka:
Výběr typu internetového připojení neovlivňuje výsledná komunikační pravidla, ale pouze konfiguraci rozhraní a jejich zařazení do skupin (viz kapitoly 5 Síťová rozhraní a 6 Internetové připojení).
Průvodce komunikačními pravidly již neobsahuje volbu pro zapnutí / vypnutí překladu IP adres (NAT), která byla k dispozici ve starších verzích WinRoute. Ve vytvořených komunikačních pravidlech je nyní překlad adres automaticky vždy nastaven. Důvodem je skutečnost, že režimy rozložení zátěže sítě, zálohování připojení a vytáčení na žádost prakticky nelze použít bez překladu adres.
Zvolte, k jakým službám v Internetu budou uživatelé z lokální sítě smět přistupovat:
Přístup z lokální sítě do Internetu nebude nijak omezen. Uživatelé budou smět využívat jakoukoliv službu běžící na serveru v Internetu.
Z lokální sítě bude povolen přístup pouze ke službám, které zde vyberete.
Poznámka:
Nastavená omezení budou aplikována i na samotný firewall.
V tomto dialogu je uveden výčet pouze základních služeb (nezávisle na tom, jaké služby jsou ve WinRoute definovány — viz kapitola 14.3 Služby). Další služby lze povolit úpravou komunikačních pravidel NAT (pro počítače v lokální síti) nebo Komunikace firewallu (pro samotný firewall), případně přidáním vlastních pravidel. Podrobnosti viz kapitola 7.3 Definice vlastních komunikačních pravidel.
Chcete-li použít proprietární VPN řešení ve WinRoute pro připojování vzdálených klientů nebo vytváření tunelů mezi vzdálenými sítěmi, ponechte zapnutou volbu Vytvořit pravidla pro Kerio VPN server. Průvodce přidá do komunikačních pravidel specifické služby a skupiny adres pro Kerio VPN. Podrobné informace o proprietárním VPN řešení naleznete v kapitole 23 Kerio VPN.
Používáte-li (nebo plánujete-li použít) VPN řešení jiného výrobce (např. Microsoft PPTP, Nortel IPSec apod.), vypněte volbu Vytvořit pravidla pro Kerio VPN server.
Chcete-li vzdáleně přistupovat ke sdíleným prostředkům v lokální síti pomocí WWW prohlížeče, ponechte zapnutou volbu Vytvořit pravidla pro Kerio Clientless SSL-VPN. Toto rozhraní je nezávislé na Kerio VPN a může být použito i společně s VPN řešením jiného výrobce. Podrobné informace naleznete v kapitole 24 Kerio Clientless SSL-VPN.
Je-li na počítači s WinRoute či na některém počítači v lokální síti provozována služba (např. WWW server, FTP server apod.), kterou chcete zpřístupnit z Internetu, definujte ji v tomto dialogu.
Poznámka: Pokud bylo v předchozím kroku požadováno vytvoření pravidel pro VPN, budou do seznamu lokálních serverů automaticky přidány služby Kerio VPN a na firewallu. Odstranění nebo změna nastavení těchto služeb způsobí nedostupnost VPN služeb z Internetu!
Tlačítko
otevírá dialog pro zpřístupnění nové služby.Volba počítače, na kterém běží příslušná služba (tzn. na který bude přesměrována příchozí komunikace z Internetu):
Firewall — počítač, na němž je WinRoute nainstalován
Lokální počítač s IP adresou — jiný počítač v lokální síti (lokální server)
Poznámka: Výchozí brána na lokálním serveru musí být nastavena tak, aby přistupoval do Internetu přes WinRoute — jinak nebude zpřístupnění služby fungovat!
Výběr služby, která má být zpřístupněna. Tato služba musí být nejprve definována v sekci Konfigurace → Definice → Služby (viz kapitola 14.3 Služby). Většina běžných služeb je ve WinRoute již předdefinována.
V posledním kroku vás průvodce informuje o tom, že vytvoří komunikační pravidla na základě shromážděných informací. Všechna stávající pravidla budou smazána a nahrazena nově vytvořenými pravidly.
Toto je poslední možnost průvodce stornovat a zachovat stávající komunikační pravidla! Po stisknutí tlačítka
budou smazána a nahrazena novými.Podívejme se podrobněji na komunikační pravidla, která byla vytvořena průvodcem v předchozím příkladu.
Tato pravidla jsou nezávislá na zvoleném způsobu internetového připojení (2. a 3. krok průvodce).
Tato dvě pravidla zpřístupňují (mapují) služby
HTTP a HTTPS běžící na počítači
s IP adresou 192.168.1.10
(krok 6). Tyto služby
budou přístupné na IP adresách „vnějšího“ rozhraní firewallu (tj.
rozhraní připojeného do Internetu — krok 3).
Poznámka: Od verze WinRoute 6.4.0 lze na mapované služby přistupovat také z lokální sítě — není již tedy nutné při přístupu z lokálních klientů používat jinou (privátní) IP adresu. Z tohoto důvodu je v položce Zdroj nastavena hodnota Libovolný. Podrobnosti viz kapitola 7.3 Definice vlastních komunikačních pravidel.
Pravidlo Služba Kerio VPN povoluje připojení k VPN serveru ve WinRoute (navázání řídicího spojení mezi VPN klientem a serverem, resp. vytvoření VPN tunelu — podrobnosti viz kapitola 23 Kerio VPN).
Pravidlo Služba HTTPS povoluje připojení k rozhraní Clientless SSL-VPN (přístup ke sdíleným prostředkům v síti pomocí WWW prohlížeče — podrobnosti viz kapitola 24 Kerio Clientless SSL-VPN).
Každé z těchto pravidel je vytvořeno pouze v případě, pokud bylo v kroku 5 průvodce komunikačními pravidly požadováno povolení přístupu k příslušné službě.
Poznámka: V těchto pravidlech je rovněž v položce Zdroj nastavena hodnota Libovolný. Hlavním důvodem je udržení konzistence s pravidly pro mapované služby (všechna tato pravidla se vytvářejí v 6. kroku průvodce). Přístup z lokální sítě ke službám na firewallu je za normálních okolností povolen pravidlem Komunikace firewallu, ale nemusí tomu tak být vždy.
Je-li použit modul ISS OrangeWeb Filter (systém pro klasifikaci obsahu WWW stránek), pak toto pravidlo povoluje komunikaci s příslušnými databázemi. Bude-li tato komunikace blokována, nebude modul ISS OrangeWeb Filter fungovat správně. Například v případě komunikačních pravidel na obrázku 7.7 Komunikační pravidla vytvořená průvodcem je komunikace firewallu omezena pouze na vybrané služby a bez tohoto pravidla by byla komunikace modulu ISS OrangeWeb Filter blokována.
Toto pravidlo určuje, že ve všech paketech směrovaných z lokální sítě do Internetu bude zdrojová (privátní) IP adresa nahrazována adresou internetového rozhraní, přes které je paket z firewallu odesílán. Přístup do Internetu bude povolen pouze k vybraným službám (4. krok průvodce).
Položka Zdroj tohoto pravidla obsahuje skupinu Důvěryhodná / lokální rozhraní a položka Cíl obsahuje skupinu Internetová rozhraní. Díky tomu je pravidlo zcela univerzální pro libovolnou konfiguraci sítě. Při připojení nového segmentu lokální sítě či změně internetového připojení není nutné toto pravidlo měnit.
Skupina Důvěryhodná / lokální rozhraní standardně obsahuje také adaptér Dial-In, tzn. všichni klienti služby RAS připojující se na tento server budou mít povolen přístup do Internetu pomocí technologie NAT.
Toto pravidlo povoluje veškerou komunikaci počítačů v lokální síti firewallem (tj. s počítačem, na němž je WinRoute nainstalován). Položky Zdroj a Cíl v tomto pravidle zahrnují skupinu Důvěryhodná / lokální rozhraní (viz kapitola 5 Síťová rozhraní) a speciální skupinu Firewall.
Skupina Důvěryhodná / lokální rozhraní standardně obsahuje také adaptér Dial-In. Pravidlo Lokální komunikace tedy povoluje také komunikaci mezi počítači v lokální síti (resp. firewallem) a klienty služby RAS připojujícími se na tento server.
Pokud bylo v průvodci požadováno vytvoření pravidel pro Kerio VPN (5. krok průvodce), pak pravidlo Lokální komunikace obsahuje také speciální skupiny adres Všechny VPN tunely a Všichni VPN klienti. Pravidlo tedy implicitně povoluje komunikaci mezi lokální sítí (firewallem), vzdálenými sítěmi připojenými přes VPN tunely a VPN klienty připojujícími se k VPN serveru ve WinRoute.
Poznámka: Průvodce předpokládá, že počítač s WinRoute logicky patří do lokální sítě, a přístup k němu nijak neomezuje. Omezení přístupu na tento počítač lze provést úpravou pravidla nebo definicí nového. Je nutné si uvědomit, že nevhodné omezení přístupu k počítači s WinRoute může mít za následek zablokování vzdálené správy či nedostupnost služeb v Internetu (veškerá komunikace mezi lokální sítí a Internetem prochází přes tento počítač).
Toto pravidlo povoluje přístup k vybraným službám z počítače, kde je WinRoute nainstalován. Je obdobou pravidla NAT, ale s tím rozdílem, že se zde neprovádí překlad IP adres (tento počítač má přímý přístup do Internetu).
Toto pravidlo zahazuje veškerou komunikaci, která není povolena jinými pravidly. Implicitní pravidlo je vždy na konci seznamu komunikačních pravidel a nelze jej odstranit.
Implicitní pravidlo umožňuje zvolit akci pro nežádoucí komunikaci (Zakázat nebo Zahodit) a zapnout záznam paketů nebo spojení.
Poznámka: Podrobný popis jednotlivých částí komunikačního pravidla najdete v kapitole 7.3 Definice vlastních komunikačních pravidel.