WinRoute je síťový firewall. To znamená, že tvoří bránu mezi dvěma nebo více sítěmi (typicky mezi lokální sítí a Internetem) a obsluhuje komunikaci procházející přes síťová rozhraní (Ethernet, WiFi, vytáčené linky atd.), která jsou do těchto sítí připojena.
WinRoute v principu pracuje jako IP směrovač nad všemi síťovými rozhraními, která jsou v systému instalována.[3] Základem konfigurace firewallu je proto správné nastavení síťových rozhraní.
V administračním programu WinRoute lze rozhraní zobrazit a nastavit v sekci Konfigurace → Rozhraní.
Pro snazší konfiguraci firewallu a lepší přehlednost se síťová rozhraní ve WinRoute řadí do skupin. V komunikačních pravidlech firewallu lze skupiny rozhraní použít v položkách Zdroj a Cíl, stejně jako jednotlivá rozhraní (podrobnosti viz kapitola 7.3 Definice vlastních komunikačních pravidel). Hlavní výhodou skupin rozhraní je fakt, že při změně internetového připojení, přidání nové linky, výměně síťového adaptéru atd. není vůbec nutné zasahovat do komunikačních pravidel — stačí pouze zařadit nové rozhraní do správné skupiny.
Ve WinRoute jsou definovány tyto skupiny rozhraní:
Internetová rozhraní — rozhraní, která jsou nebo mohou být použita pro připojení do Internetu (síťové adaptéry, bezdrátové adaptéry, vytáčené linky atd.),
Důvěryhodná / lokální rozhraní — rozhraní připojená do lokálních privátních sítí, které budou firewallem chráněny (typicky adaptéry Ethernet nebo WiFi),
Rozhraní pro VPN — virtuální síťová rozhraní využívaná proprietárním řešením Kerio VPN (VPN server a vytvořené VPN tunely — podrobnosti viz kapitola 23 Kerio VPN),
Ostatní rozhraní — rozhraní, která logicky nepatří do žádné z výše uvedených skupin (např. síťový adaptér pro DMZ, nevyužitá vytáčená linka atd.).
Skupiny rozhraní nelze vytvářet ani rušit (z hlediska konfigurace firewallu to nemá žádný smysl).
Při vytváření počáteční konfigurace firewallu prostřednictvím Průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly) budou automaticky zařazena do správných skupin rozhraní vybraná pro připojení k Internetu a pro lokální síť. Zařazení rozhraní do skupin lze kdykoliv později upravit dle potřeby (s určitými omezeními — např. VPN server a VPN tunely patří vždy do skupiny Rozhraní pro VPN).
Přesun rozhraní do jiné skupiny se provádí přetažením myší nebo výběrem skupiny ve vlastnostech příslušného rozhraní — viz níže.
Poznámka: Pokud se neprovede počáteční konfigurace firewall pomocí průvodce, pak jsou všechna rozhraní (s výjimkou rozhraní pro VPN) zařazena do skupiny Ostatní rozhraní. Před vytvářením komunikačních pravidel doporučujeme správně definovat rozhraní pro připojení k Internetu a pro lokální síť — tím se značně zjednoduší definice vlastních pravidel.
WinRoute v seznamu rozhraní zobrazuje parametry, které souvisejí s konfigurací a činností firewallu:
Jednoznačný název, který identifikuje rozhraní v rámci WinRoute. Zvolte jej tak, aby bylo zřejmé, o který adaptér se jedná (např. Internet pro rozhraní připojené do Internetu).
Název rozhraní může být kdykoliv později změněn (viz dále), aniž by tím došlo k ovlivnění funkce WinRoute.
Ikona vlevo od názvu zobrazuje typ rozhraní (síťový adaptér, vytáčené připojení, VPN server, VPN tunel).
Poznámka: Nebyl-li dosud název rozhraní zadán ručně, obsahuje tato položka jméno adaptéru z operačního systému (viz položka Jméno adaptéru).
IP adresa a maska subsítě přiřazené tomuto rozhraní.
Pokud má zvolený adaptér nastaveno více IP adres, zobrazuje se zde vždy primární IP adresa. V systému Windows je za primární adresu považována ta, která byla danému adaptéru přiřazena jako první.
Stav rozhraní (připojeno/odpojeno).
Indikace, jakým způsobem je rozhraní použito pro připojení k Internetu (primární/sekundární připojení, využitá šířka pásma při rozložení zátěže).
Identifikační řetězec adaptéru, který vrací příslušný ovladač zařízení.
Pojmenování adaptéru v operačním systému (např. „Připojení k místní síti 2“). Slouží pro snazší orientaci, o který adaptér se jedná.
IP adresa výchozí brány nastavené na příslušném rozhraní.
IP adresa primárního DNS serveru nastaveného na příslušném rozhraní.
Hardwarová (MAC) adresa příslušného síťového adaptéru. U vytáčených linek, rozhraní pro VPN atd. nemá tato položka smysl a je prázdná.
Tlačítka pod seznamem rozhraní umožňují provádět určité akce s vybraným rozhraním. Není-li vybráno žádné rozhraní, nebo vybrané rozhraní danou funkci nepodporuje, jsou příslušná tlačítka neaktivní.
Tímto tlačítkem lze vytvořit nový VPN tunel typu server-to-server. Podrobnosti o proprietárním VPN řešení Kerio VPN viz kapitola 23 Kerio VPN.
Poznámka: Vytáčené linky je třeba definovat standardním způsobem přímo v operačním systému.
Stisknutím tlačítka Změnit lze zobrazit podrobné informace a upravit parametry vybraného rozhraní.
Každému rozhraní lze ve WinRoute přiřadit vlastní jméno (název rozhraní převzatý z operačního systému nemusí být vždy srozumitelný, dokonce ani jednoznačný). Dále lze změnit skupinu, do které je rozhraní zařazeno — podle toho, kam je ve skutečnosti připojeno (Internet, chráněná lokální síť, jiná síť — např. DMZ).
Dále je možné změnit nastavení výchozí brány a DNS serverů. Ve většině případů, pokud je komunikace do příslušné sítě funkční před instalací WinRoute, není třeba nastavení převzaté z operačního systému měnit.
Jedná-li se o vytáčenou linku, umožňuje dialog nastavit také přihlašovací údaje a volby pro vytáčení (viz kapitola 6.2 Připojení jednou vytáčenou linkou — vytáčení na žádost).
V případě rozhraní VPN server a VPN tunelů se zobrazí dialog pro nastavení parametrů VPN serveru (viz kapitola 23.1 Konfigurace VPN serveru), resp. VPN tunelu (viz kapitola 23.3 Propojení dvou privátních sítí přes Internet (VPN tunel)).
Odstranění vybraného rozhraní z WinRoute. Odstranit rozhraní lze pouze za následujících podmínek:
jedná se o neaktivní (zakázaný) VPN tunel,
jedná se o síťový adaptér, který již není v systému fyzicky přítomen nebo není aktivní,
jedná se o vytáčenou linku, která již v systému neexistuje.
Síťový adaptér nebo vytáčenou linku definovanou v operačním systému či navázaný VPN tunel WinRoute nepovolí odebrat.
Poznámka:
Záznam o již neexistujícím síťovém adaptéru nebo odstraněné vytáčené lince nemá žádný vliv na činnost WinRoute — je považován za neaktivní, stejně jako vytáčená linka v zavěšeném stavu.
Při odstranění rozhraní se ve všech komunikačních pravidlech, ve kterých bylo toto rozhraní použito, dosadí do příslušné položky hodnota Nic. Všechna taková pravidla pak budou neaktivní. Tím je zajištěno, že odebrání rozhraní nijak neovlivní smysl komunikačních pravidel (podrobnosti viz kapitola 7.3 Definice vlastních komunikačních pravidel).
Funkce těchto tlačítek závisí na typu vybraného rozhraní:
V případě vytáčené linky jsou tlačítka označena
a a slouží k ručnímu ovládání vybrané linky.Poznámka: Vytáčet a zavěšovat linky lze také pomocí WWW administračního rozhraní (viz kapitola 11 WWW rozhraní).
V případě VPN tunelu jsou tato tlačítka označena 23.3 Propojení dvou privátních sítí přes Internet (VPN tunel)).
a a slouží k aktivaci / deaktivaci vybraného VPN tunelu (podrobnosti viz kapitolaJe-li vybrán síťový adaptér, rozhraní Dial-in nebo VPN server, jsou tato tlačítka neaktivní.
V sekci Rozhraní se zobrazují také tato dvě speciální rozhraní:
Toto rozhraní představuje server služby RAS (telefonického připojení sítě) na počítači s WinRoute. S použitím rozhraní Dial-In lze definovat komunikační pravidla (viz kapitola 7 Komunikační pravidla) pro RAS klienty, kteří se na tento server připojují.
Rozhraní Dial-In je považováno za důvěryhodné (klient připojený přes toto rozhraní má přístup do lokální sítě). Toto rozhraní nelze konfigurovat ani odstranit. Pokud z nějakého důvodu RAS klienty nepovažujeme za součást důvěryhodné lokální sítě, můžeme rozhraní Dial-In přesunout do skupiny Ostatní rozhraní.
Poznámka:
Při použití RAS serveru společně s WinRoute je třeba nastavit RAS server tak, aby přiděloval klientům IP adresy ze subsítě, která není použita v žádném segmentu lokální sítě. WinRoute provádí standardní IP směrování a při nedodržení uvedené podmínky nebude toto směrování fungovat správně.
Pro přidělování IP adres RAS klientům připojujícím se přímo k počítači s WinRoute nelze využít DHCP server ve WinRoute. Podrobnosti viz kapitola 8.2 DHCP server.
Toto rozhraní představuje server pro připojení proprietárního VPN klienta (Kerio VPN Client — zdarma ke stažení na stránce http://www.kerio.cz/kwfdwn). VPN server je vždy zařazen do skupiny Rozhraní pro VPN.
Dvojitým kliknutím na toto rozhraní (případně stisknutím tlačítka Změnit) se otevírá dialog pro nastavení parametrů VPN serveru. Rozhraní VPN server nelze odstranit.
Podrobné informace o proprietárním VPN řešení Kerio VPN naleznete v kapitole 23 Kerio VPN.
[3] Chceme-li docílit toho, aby WinRoute nepracoval s některým rozhraním, je možné ve vlastnostech tohoto rozhraní vypnout komponentu Kerio WinRoute Firewall (nízkoúrovňový ovladač WinRoute). Z důvodu zajištění bezpečnosti a plné kontroly nad síťovou komunikací procházející přes firewall však doporučujeme nevypínat nízkoúrovňový ovladač WinRoute na žádném síťovém rozhraní!