WinRoute je síťový firewall. To znamená, že tvoří bránu mezi dvěma nebo více sítěmi (typicky mezi lokální sítí a Internetem) a obsluhuje komunikaci procházející přes síťová rozhraní (Ethernet, WiFi, vytáčené linky atd.), která jsou do těchto sítí připojena.
WinRoute v principu pracuje jako IP směrovač nad všemi síťovými rozhraními, která jsou v systému instalována.[3] Základem konfigurace firewallu je proto správné nastavení síťových rozhraní.
Síťová rozhraní firewallu lze rozhraní zobrazit a konfigurovat v programu Administration Console nebo v rozhraní Web Administration v sekci Konfigurace → Rozhraní.
Pro snazší konfiguraci firewallu a lepší přehlednost se síťová rozhraní ve WinRoute řadí do skupin. V komunikačních pravidlech firewallu lze skupiny rozhraní použít v položkách Zdroj a Cíl, stejně jako jednotlivá rozhraní (podrobnosti viz kapitola 7.3 Definice vlastních komunikačních pravidel). Hlavní výhodou skupin rozhraní je fakt, že při změně internetového připojení, přidání nové linky, výměně síťového adaptéru atd. není vůbec nutné zasahovat do komunikačních pravidel — stačí pouze zařadit nové rozhraní do správné skupiny.
Ve WinRoute jsou definovány tyto skupiny rozhraní:
Internetová rozhraní — rozhraní, která jsou nebo mohou být použita pro připojení k Internetu (síťové adaptéry, bezdrátové adaptéry, vytáčené linky atd.),
Důvěryhodná / lokální rozhraní — rozhraní připojená k lokálním privátním sítím, které budou firewallem chráněny (typicky adaptéry Ethernet nebo WiFi),
Rozhraní pro VPN — virtuální síťová rozhraní využívaná proprietárním řešením Kerio VPN (VPN server a vytvořené VPN tunely — podrobnosti viz kapitola 23 Kerio VPN),
Ostatní rozhraní — rozhraní, která logicky nepatří do žádné z výše uvedených skupin (např. síťový adaptér pro DMZ, nevyužitá vytáčená linka atd.).
Skupiny rozhraní nelze vytvářet ani rušit (z hlediska konfigurace firewallu to nemá žádný smysl).
Při vytváření počáteční konfigurace firewallu prostřednictvím Průvodce komunikačními pravidly (viz kapitola 7.1 Průvodce komunikačními pravidly) budou automaticky zařazena do správných skupin rozhraní vybraná pro připojení k Internetu a pro lokální síť. Zařazení rozhraní do skupin lze kdykoliv později upravit dle potřeby (s určitými omezeními — např. VPN server a VPN tunely patří vždy do skupiny Rozhraní pro VPN).
Přesun rozhraní do jiné skupiny se provádí přetažením myší nebo výběrem skupiny ve vlastnostech příslušného rozhraní — viz níže.
Poznámka: Pokud se neprovede počáteční konfigurace firewall pomocí průvodce, pak jsou všechna rozhraní (s výjimkou rozhraní pro VPN) zařazena do skupiny Ostatní rozhraní. Před vytvářením komunikačních pravidel doporučujeme správně definovat rozhraní pro připojení k Internetu a pro lokální síť — tím se značně zjednoduší definice vlastních pravidel.
V sekci Rozhraní se zobrazují také tato dvě speciální rozhraní:
Toto rozhraní představuje server pro připojení proprietárního VPN klienta (Kerio VPN Client — zdarma ke stažení na stránce http://www.kerio.cz/cz/firewall/download). VPN server je vždy zařazen do skupiny Rozhraní pro VPN.
Dvojitým kliknutím na toto rozhraní (případně stisknutím tlačítka Změnit) se otevírá dialog pro nastavení parametrů VPN serveru. Rozhraní VPN server nelze odstranit.
Podrobné informace o proprietárním VPN řešení Kerio VPN naleznete v kapitole 23 Kerio VPN.
Toto rozhraní představuje server služby RAS (telefonického připojení sítě) na počítači s WinRoute. S použitím rozhraní Dial-In lze definovat komunikační pravidla (viz kapitola 7 Komunikační pravidla) pro RAS klienty, kteří se na tento server připojují.
Rozhraní Dial-In je považováno za důvěryhodné (klient připojený přes toto rozhraní má přístup do lokální sítě). Toto rozhraní nelze konfigurovat ani odstranit. Pokud z nějakého důvodu RAS klienty nepovažujeme za součást důvěryhodné lokální sítě, můžeme rozhraní Dial-In přesunout do skupiny Ostatní rozhraní.
Poznámka:
Při použití RAS serveru společně s WinRoute je třeba nastavit RAS server tak, aby přiděloval klientům IP adresy ze subsítě, která není použita v žádném segmentu lokální sítě. WinRoute provádí standardní IP směrování a při nedodržení uvedené podmínky nebude toto směrování fungovat správně.
Pro přidělování IP adres RAS klientům připojujícím se přímo k počítači s WinRoute nelze využít DHCP server ve WinRoute. Podrobnosti viz kapitola 8.2 DHCP server.
WinRoute v seznamu rozhraní zobrazuje parametry, které souvisejí s konfigurací a činností firewallu:
Jednoznačný název, který identifikuje rozhraní v rámci WinRoute. Zvolte jej tak, aby bylo zřejmé, o který adaptér se jedná (např. Internet pro rozhraní připojené k Internetu).
Název rozhraní může být kdykoliv později změněn (viz dále), aniž by tím došlo k ovlivnění funkce WinRoute.
Ikona vlevo od názvu zobrazuje typ rozhraní (síťový adaptér, vytáčené připojení, VPN server, VPN tunel).
Poznámka: Nebyl-li dosud název rozhraní zadán ručně, obsahuje tato položka jméno adaptéru z operačního systému (viz položka Jméno adaptéru).
IP adresa a maska subsítě přiřazené tomuto rozhraní.
Pokud má zvolený adaptér nastaveno více IP adres, zobrazuje se zde vždy primární IP adresa. V systému Windows je za primární adresu považována ta, která byla danému adaptéru přiřazena jako první.
Stav rozhraní (připojeno/odpojeno).
Indikace, jakým způsobem je rozhraní použito pro připojení k Internetu (primární/sekundární připojení, využitá šířka pásma při rozložení zátěže).
Identifikační řetězec adaptéru, který vrací příslušný ovladač zařízení.
Pojmenování adaptéru v operačním systému (např. „Připojení k místní síti 2“). Slouží pro snazší orientaci, o který adaptér se jedná.
IP adresa výchozí brány nastavené na příslušném rozhraní.
IP adresa primárního DNS serveru nastaveného na příslušném rozhraní.
Hardwarová (MAC) adresa příslušného síťového adaptéru. U vytáčených linek, rozhraní pro VPN atd. nemá tato položka smysl a je prázdná.
Tlačítka pod seznamem rozhraní umožňují provádět určité akce s vybraným rozhraním. Není-li vybráno žádné rozhraní, nebo vybrané rozhraní danou funkci nepodporuje, jsou příslušná tlačítka neaktivní.
Tímto tlačítkem lze vytvořit nový VPN tunel typu server-to-server. Podrobnosti o proprietárním VPN řešení Kerio VPN viz kapitola 23 Kerio VPN.
Poznámka: V Software Appliance / VMware Virtual Appliance je možné také přidávat nová rozhraní (vytáčené připojení, PPTP nebo PPPoE připojení) — viz sekce Přidání nového rozhraní. Je-li WinRoute nainstalován na systému Windows, pak je potřeba definovat nová připojení standardním způsobem přímo v operačním systému.
Stisknutím tlačítka Změnit lze zobrazit podrobné informace a upravit parametry vybraného rozhraní.
Každému rozhraní lze ve WinRoute přiřadit vlastní jméno (název rozhraní převzatý z operačního systému nemusí být vždy srozumitelný, dokonce ani jednoznačný). Dále lze změnit skupinu, do které je rozhraní zařazeno (Internet, chráněná lokální síť, jiná síť — např. DMZ).
Dále je možné změnit nastavení výchozí brány a DNS serverů. V edici Software Appliance / VMware Virtual Appliance je možné v tomto dialogu nastavit všechny parametry síťového rozhraní.
Jedná-li se o vytáčenou linku, umožňuje dialog nastavit také přihlašovací údaje a volby pro vytáčení (viz kapitola 6.2 Připojení jednou vytáčenou linkou - vytáčení na žádost).
V případě rozhraní VPN server a VPN tunelů se zobrazí dialog pro nastavení parametrů VPN serveru (viz kapitola 23.1 Konfigurace VPN serveru), resp. VPN tunelu (viz kapitola 23.3 Propojení dvou privátních sítí přes Internet (VPN tunel)).
Odstranění vybraného rozhraní z WinRoute. Odstranit rozhraní lze pouze za následujících podmínek:
jedná se o neaktivní (zakázaný) VPN tunel,
jedná se o síťový adaptér, který již není v systému fyzicky přítomen nebo není aktivní,
jedná se o vytáčenou linku, která již v systému neexistuje.
Síťový adaptér nebo vytáčenou linku definovanou v operačním systému či navázaný VPN tunel WinRoute nepovolí odebrat.
Poznámka:
Záznam o již neexistujícím síťovém adaptéru nebo odstraněné vytáčené lince nemá žádný vliv na činnost WinRoute — je považován za neaktivní, stejně jako vytáčená linka v zavěšeném stavu.
Při odstranění rozhraní se ve všech komunikačních pravidlech, ve kterých bylo toto rozhraní použito, dosadí do příslušné položky hodnota Nic. Všechna taková pravidla pak budou neaktivní. Tím je zajištěno, že odebrání rozhraní nijak neovlivní smysl komunikačních pravidel (podrobnosti viz kapitola 7.3 Definice vlastních komunikačních pravidel).
Funkce těchto tlačítek závisí na typu vybraného rozhraní:
V případě vytáčené linky, PPTP nebo PPPoE připojení jsou tlačítka označena
a a slouží k ručnímu ovládání vybrané linky.Poznámka: Uživatelé s příslušným právem mohou rovněž ovládat vytáčené linky v uživatelském WWW rozhraní (viz kapitola 15.2 Lokální uživatelské účty a manuál Kerio WinRoute Firewall — Příručka uživatele).
V případě VPN tunelu jsou tato tlačítka označena 23.3 Propojení dvou privátních sítí přes Internet (VPN tunel)).
a a slouží k aktivaci / deaktivaci vybraného VPN tunelu (podrobnosti viz kapitolaV edici Software Appliance / VMware Virtual Appliance lze povolit nebo zakázat také jednotlivé síťové adaptéry.
Je-li vybráno rozhraní Dial-in nebo VPN server, jsou tato tlačítka neaktivní.
WinRoute v edici Software Appliance / VMware Virtual Appliance umožňuje přidávat nová síťová rozhraní (vytáčené linky, PPPoE a PPTP připojení) přímo v administrační konzoli.
Stisknutím tlačítka Přidat se zobrazí nabídka, ze které vybereme požadovaný typ nového rozhraní (vytáčenou linku lze přidat pouze v případě, že je v počítači s firewallem nainstalován analogový nebo ISDN modem).
Novému rozhraní je potřeba přiřadit dostatečně popisné jméno, pod kterým bude rozhraní zobrazováno ve WinRoute, a zařadit jej do některé skupiny rozhraní (skupinu lze samozřejmě kdykoliv později změnit dle potřeby).
Další parametry rozhraní závisejí na zvoleném typu rozhraní. Ve většině případů je potřeba zadat také uživatelské jméno a heslo pro ověření přístupu.
Volitelně lze zadat IP adresu specifického DNS serveru, který bude použit jako primární DNS server při přístupu do Internetu přes toto rozhraní.
Záložka Nastavení vytáčení umožňuje nastavit časové intervaly, ve kterých má být připojení trvale navázáno nebo trvale odpojeno. Mimo tyto intervaly bude připojení navazováno na žádost (tzn. bude automaticky navázáno vždy, pokud WinRoute potřebuje odeslat paket do příslušné sítě). Podrobné informace o linkách vytáčených na žádost naleznete v kapitole 6.2 Připojení jednou vytáčenou linkou - vytáčení na žádost a 25.5 Internetové linky vytáčené na žádost.
[3] Chceme-li docílit toho, aby WinRoute nepracoval s některým rozhraním, je možné ve vlastnostech tohoto rozhraní vypnout komponentu Kerio WinRoute Firewall (nízkoúrovňový ovladač WinRoute). Z důvodu zajištění bezpečnosti a plné kontroly nad síťovou komunikací procházející přes firewall však doporučujeme nevypínat nízkoúrovňový ovladač WinRoute na žádném síťovém rozhraní!