Подключенгие NW-клиента. ВЫСОКАЯ ТЕОРИЯ.
Добавлено: 28 фев 2013, 16:25Уважаемые коллеги!
Прошу тех, кто использует файервол КОМОД, помочь с правилами для NW-клиента.
Дело в том, что недавно пришлось настраивать удалённого клиента для работы в нашей ЛВС. Доступ извне для него организован по VPN-тоннелю на базе прибора ZyWALL-300 (комплексное пограничное решение для среднего бизнеса) и программки VPN-клиента из комплекта этого прибора.
Клиент находится в агрессивной среде, его машина несёт важные данные, поэтому его файер изначально настроен очень жёстко, по принципу "всё запрещено, явно разрешены конкретными значениями только совершенно необходимые протоколы, порты, адреса" .
Поставил КОМОД в режим обучения, выяснил, что настраивать правила, помимо модулей NW-клиента, надо и для компоненты, которая в КОМОДЕ именуется SYSTEM.
(Как я понимаю, это многострадальный svchost вкупе с lsass, winlogon и прочими)
Открыл на эту компоненту все "наши": TCP/UDP 524, 427, 123, мультикаст SLP... Но этого оказалось недостаточно и подключений клиента не было.
Экспериментально удалось установить, что подключение NW-клиента к ЛВС устойчиво и быстро, только если прописано правило для SYSTEM
Разрешено__IP:входящий__адрес:любой__протокол:любой
Но заказчика это не устраивает, что справедливо в его положении... Пока приняли компромис:
Разрешено__IP:входящий__с-серверов-ЛВС__протокол:любой
Но заказчиком поставлена задача максимально конкретизировать порты-протоколы и т.о. ужесточить правило.
ВОПРОС: что конкретно надо указать в этом правиле? может быть, вместо абстрактного SYSTEM, надо указать конкретный модуль/модули и тогда станет проще?
В общем - помогите сделать заказчику красиво и безопасно!
Спасибо
Прошу тех, кто использует файервол КОМОД, помочь с правилами для NW-клиента.
Дело в том, что недавно пришлось настраивать удалённого клиента для работы в нашей ЛВС. Доступ извне для него организован по VPN-тоннелю на базе прибора ZyWALL-300 (комплексное пограничное решение для среднего бизнеса) и программки VPN-клиента из комплекта этого прибора.
Клиент находится в агрессивной среде, его машина несёт важные данные, поэтому его файер изначально настроен очень жёстко, по принципу "всё запрещено, явно разрешены конкретными значениями только совершенно необходимые протоколы, порты, адреса" .
Поставил КОМОД в режим обучения, выяснил, что настраивать правила, помимо модулей NW-клиента, надо и для компоненты, которая в КОМОДЕ именуется SYSTEM.
(Как я понимаю, это многострадальный svchost вкупе с lsass, winlogon и прочими)
Открыл на эту компоненту все "наши": TCP/UDP 524, 427, 123, мультикаст SLP... Но этого оказалось недостаточно и подключений клиента не было.
Экспериментально удалось установить, что подключение NW-клиента к ЛВС устойчиво и быстро, только если прописано правило для SYSTEM
Разрешено__IP:входящий__адрес:любой__протокол:любой
Но заказчика это не устраивает, что справедливо в его положении... Пока приняли компромис:
Разрешено__IP:входящий__с-серверов-ЛВС__протокол:любой
Но заказчиком поставлена задача максимально конкретизировать порты-протоколы и т.о. ужесточить правило.
ВОПРОС: что конкретно надо указать в этом правиле? может быть, вместо абстрактного SYSTEM, надо указать конкретный модуль/модули и тогда станет проще?
В общем - помогите сделать заказчику красиво и безопасно!
Спасибо
