Настройка Сетевого экрана возможна только для Samsung-устройств под управлением операционной системы Android версии 5.0 и выше.
Чтобы настроить Сетевой экран на мобильном устройстве, выполните следующие действия:
- Откройте окно настройки параметров политики управления устройствами.
- В окне Свойства: выберите раздел Управление Samsung KNOX → Управление Samsung-устройствами .
- В блоке Сетевой экран нажмите на кнопку Настроить .
Откроется окно Сетевой экран .
Откроется окно Исключение для Сетевого экрана .
Параметры на мобильном устройстве будут настроены после очередной синхронизации устройства с Kaspersky Security Center.
уЕФЕЧПК ЬЛТБО — ЬФП РТПЗТБННБ, ХУФБОПЧМЕООБС ОБ РПМШЪПЧБФЕМШУЛПН ЛПНРШАФЕТЕ Й РТЕДОБЪОБЮЕООБС ДМС ЪБЭЙФЩ ПФ ОЕУБОЛГЙПОЙТПЧБООПЗП ДПУФХРБ Л ЛПНРШАФЕТХ. дТХЗПЕ ТБУРТПУФТБОЕООПЕ ОБЪЧБОЙЕ УЕФЕЧПЗП ЬЛТБОБ — ЖБКТЧПМ ЙМЙ ЖБКЕТЧПМ ПВТБЪПЧБОo ФТБОУМЙФЕТБГЙЕК БОЗМЙКУЛПЗП ФЕТНЙОБ firewall. йОПЗДБ УЕФЕЧПК ЬЛТБО ОБЪЩЧБАФ ЕЭЕ ВТБОДНБХЬТПН (ОЕН. brandmauer) — ЬФП ОЕНЕГЛЙК ЬЛЧЙЧБМЕОФ УМПЧБ firewall. пУОПЧОБС ЪБДБЮБ УЕФЕЧПЗП ЬЛТБОБ — ОЕ РТПРХУЛБФШ (ЖЙМШФТПЧБФШ) РБЛЕФЩ, ОЕ РПДИПДСЭЙЕ РПД ЛТЙФЕТЙЙ, ПРТЕДЕМЈООЩЕ Ч ЛПОЖЙЗХТБГЙЙ УЕФЕЧПЗП ЬЛТБОБ.
ч УППФЧЕФУФЧЙЙ У тЕЗМБНЕОФПН РТЕДПУФБЧМЕОЙС ХУМХЗ бВПОЕОФБН уф "вПФЙЛ" УЕФЕЧПК ЬЛТБО, ХУФБОПЧМЕООЩК ОБ ЛПНРШАФЕТЕ бВПОЕОФБ, ДПМЦЕО ВЩФШ ОБУФТПЕО ФБЛЙН ПВТБЪПН, ЮФПВЩ ТБЪТЕЫБФШ ЙУРПМШЪПЧБОЙЕ РТПЗТБННЩ ping ДМС РТПЧЕТЛЙ УЧСЪЙ У ЛПНРШАФЕТПН бВПОЕОФБ. лТПНЕ ФПЗП, ОЕПВИПДЙНП ЧЩРПМОЙФШ ОБУФТПКЛЙ, ПВЕУРЕЮЙЧБАЭЙЕ ЛПТТЕЛФОХА ТБВПФХ РТПЗТБНН, ЧИПДСЭЙИ Ч УПУФБЧ РБЛЕФБ BotikTools.
ъДЕУШ НЩ ПРЙЫЕН, ЛБЛ ЧЩРПМОЙФШ ФТЕВХЕНЩЕ ОБУФТПКЛЙ ДМС УЕФЕЧЩИ ЬЛТБОПЧ:
еУМЙ ЧЩ ИПФЙФЕ ЙУРПМШЪПЧБФШ ОБ УЧПЕН ЛПНРШАФЕТЕ УЕФЕЧПК ЬЛТБО Microsoft Firewall , ЕЗП ОБДП ЧЛМАЮЙФШ. уЕФЕЧПК ЬЛТБО Microsoft Fire w all ЧЛМАЮБЕФУС УМЕДХАЭЙН ПВТБЪПН. ч ЗМБЧОПН НЕОА Windows ЧЩВТБФШ Settings ==> Control Panel (УН. тЙУ. 1), ЪБФЕН Ч ПФЛТЩЧЫЕНУС ПЛОЕ ОБКФЙ Й ПФЛТЩФШ ПЛОП УЕФЕЧПЗП ЬЛТБОБ ДЧПКОЩН ЭЕМЮЛПН РП ЪОБЮЛХ Windows Firewall (УН. тЙУ. 2).
тЙУ. 1
тЙУ. 2
чП ЧЛМБДЛЕ General ПЛОБ ЧЛМАЮЙФШ ПРГЙА On (recommended) Й, ФБЛЙН ПВТБЪПН, ЧЛМАЮЙФШ ТБВПФХ УЕФЕЧПЗП ЬЛТБОБ Microsoft Fire w all (УН. тЙУ. 3). дБМЕЕ ЧЩРПМОСЕФУС ОБУФТПКЛБ УЕФЕЧПЗП ЬЛТБОБ. юФПВЩ ОБУФТПКЛЙ УППФЧЕФУФЧПЧБМЙ ФТЕВПЧБОЙСН тЕЗМБНЕОФБ, ОБДП ТБЪТЕЫЙФШ УМЕДХАЭЕЕ УЕФЕЧЩЕ ЧЪБЙНПДЕКУФЧЙС:
- ТБЪТЕЫЙФШ ping— ФЕУФЙТПЧБОЙЕ ЧБЫЕЗП ЛПНРШАФЕТБ;
- ТБЪТЕЫЙФШ ДПУФХР Л ЧБЫЕНХ ЛПНРШАФЕТХ РП РТПФПЛПМХ HTTP ДМС РТПЗТБНН РБЛЕФБ BotikTools .
тЙУ. 3
тЙУ. 4
оБУФТПКЛБ ТБЪТЕЫЕОЙС ping-ФЕУФЙТПЧБОЙС
чП ЧЛМБДЛЕ Advanced ПЛОБ (УН. тЙУ. 4) ЭЕМЛОХФШ Settings Ч ТБЪДЕМЕ ICMP (ПФНЕЮЕОП ЛТБУОЩН ОБ тЙУ. 4 ) . ч ПФЛТЩЧЫЕНУС ПЛЕОЕ ХУФБОПЧЙФШ ЖМБЗ Allow incoming echo request (УН. тЙУ. 5) Й ЭЕМЛОХФШ OK . фЕРЕТШ ЧБЫ ЛПНРШАФЕТ ДПУФХРЕО ДМС ping -ФЕУФЙТПЧБОЙС.
тЙУ. 5
тЙУ. 6
оБУФТПКЛБ ТБЪТЕЫЕОЙС ДПУФХРБ РП РТПФПЛПМХ HTTP ДМС РТПЗТБНН РБЛЕФБ BotikTools
уЕФЕЧПК ЬЛТБО ВМПЛЙТХЕФ ЧИПДСЭЙЕ УЕФЕЧЩЕ УПЕДЙОЕОЙС У РТПЗТБННБНЙ, ЛПФПТЩЕ ХУФБОПЧМЕОЩ ОБ ЧБЫЕН ЛПНРШАФЕТЕ. фЕН УБНЩН ПВЕУРЕЮЙЧБЕФУС ЪБЭЙФБ ПФ ОЕУБОЛГЙПОЙТПЧБООПЗП ДПУФХРБ. дМС ЛПТТЕЛФОПК ТБВПФЩ ОЕЛПФПТЩИ РТПЗТБНН (Ч ФПН ЮЙУМЕ РТПЗТБНН РБЛЕФБ BotikTools) ОЕПВИПДЙНП УДЕМБФШ ЙУЛМАЮЕОЙЕ Й ТБЪТЕЫЙФШ ЧПЪНПЦОПУФШ ФБЛЙИ УПЕДЙОЕОЙК. ьФЙ РТПЗТБННЩ РЕТЕЮЙУМЕОЩ ЧП ЧЛМБДЛЕ Exceptions (йУЛМАЮЕОЙС).
ч ПЛОЕ ЧЩВЕТЙФЕ ЧЛМБДЛХ Exceptions (УН. тЙУ. 6). ъДЕУШ РЕТЕЮЙУМЕОЩ РТПЗТБННЩ Й УЕТЧЙУЩ, ЛПФПТЩН ТБЪТЕЫЕОЩ ЧИПДСЭЙЕ УПЕДЙОЕОЙС РП РТПФПЛПМХ HTTP . ч ЮЙУМП ЬФЙИ РТПЗТБНН ОБДП ЧЛМАЮЙФШ РТПЗТБННХ wish.exe , ЛПФПТБС ПВЕУРЕЮЙЧБЕФ УЕФЕЧЩЕ УПЕДЙОЕОЙС ДМС РТПЗТБНН РБЛЕФБ BotikTools . дМС ЬФПЗП ЭЕМЛОЙФЕ Add Program. (ОБ тЙУ. 6 ПФНЕЮЕОП ЛТБУОЩН). ч ПФЛТЩЧЫЕНУС ПЛОЕ ( УН. тЙУ. 7) ЭЕМЛОЙФЕ Browse , ЮФПВЩ ХЛБЪБФШ РХФШ Л РТПЗТБННЕ wish.exe . еУМЙ ЧЩ ХУФБОПЧЙМЙ РТПЗТБННЩ РБЛЕФБ BotikTools Ч РБРЛХ Program Files , ФП РХФШ Л РТПЗТБННЕ wish.exe ВХДЕФ ФБЛЙН, ЛБЛПК РПЛБЪБО ОБ тЙУ. 7.
тЙУ. 7
тЙУ. 8
оБ тЙУ. 8 РПЛБЪБОП УФБОДБТФОПЕ ПЛОП
РБРЛЙ C: Program Files BotikTools bin , Ч ЛПФПТПК ИТБОЙФУС РТПЗТБННБ wish.exe . пФНЕФЙЧ РТПЗТБННХ wish.exe , ЭЕМЛОЙФЕ Open Ч ПЛОЕ
Й, ФБЛЙН ПВТБЪПН, ЧЧЕДЙФЕ РХФШ Л РТПЗТБННЕ wish.exe Ч РПМЕ Path ПЛОБ . ч ПЛОЕ ЭЕМЛОЙФЕ OK , ЮФПВЩ ДПВБЧЙФШ РТПЗТБННХ wish.exe Ч УРЙУПЛ Exceptions . фЕРЕТШ УЕФЕЧПК ЬЛТБО Т БЪТЕЫЙФ ДПУФХР РП РТПФПЛПМХ HTTP РТПЗТБННБН РБЛЕФБ BotikTools .
уЕФЕЧПК ЬЛТБО Microsoft Firewall ОБУФТПЕО Ч УППФЧЕФУФЧЙЙ У ФТЕВПЧБОЙСНЙ тЕЗМБНЕОФБ РТЕДПУФБЧМЕОЙС ХУМХЗ бВПОЕОФБН уф "вПФЙЛ"
рЕТУПОБМШОЩК УЕФЕЧПК ЬЛТБО Outpost Firewall РПЪЧПМСФ УПЪДБЧБФШ ВПМЕЕ РПДТПВОЩЕ ОБУФТПКЛЙ ДМС ПЗТБОЙЮЕОЙС УЕФЕЧПЗП ДПУФХРБ ОБ ХТПЧОЕ РТЙМПЦЕОЙК. ч Outpost Firewall РПМШЪПЧБФЕМШ НПЦЕФ УПЪДБЧБФШ УРЙУЛЙ РТЙМПЦЕОЙК, ЙНЕАЭЙИ УЕФЕЧПК ДПУФХР Й ХЛБЪЩЧБФШ ДЕКУФЧХАЭЙЕ РТПФПЛПМЩ, РПТФЩ, БДТЕУБ ИПУФПЧ Й ОБРТБЧМЕОЙС УЕФЕЧПЗП ФТБЖЙЛБ ДМС ЛБЦДПЗП ЙЪ РТЙМПЦЕОЙК, ФП ЕУФШ УПЪДБЧБФШ ДМС РТЙМПЦЕОЙК РТБЧЙМБ, ТБЪТЕЫБАЭЙЕ ЙМЙ ЪБРТЕЭБАЭЙЕ РТЙМПЦЕОЙСН ФЕ ЙМЙ ЙОЩЕ УЕФЕЧЩЕ ЧЪБЙНПДЕКУФЧЙС. дБМЕЕ ПРЙЫЕН, ЛБЛ РТПЧЕУФЙ ОБУФТПКЛХ ЬФПЗП ВТБОДНБХЬТБ ДМС ЧЕТУЙЙ OutpostPro Firewall 7.1
юФП ОБУФТПЙФШ ?
юФПВЩ ТБЪТЕЫБФШ ЙУРПМШЪПЧБОЙЕ РТПЗТБННЩ ping .exe ДМС РТПЧЕТЛЙ УЧСЪЙ У ЛПНРШАФЕТПН бВПОЕОФБ, Б ФБЛЦЕ ПВЕУРЕЮЙФШ ЛПТТЕЛФОХА ТБВПФХ РТПЗТБНН, ЧИПДСЭЙИ Ч УПУФБЧ РБЛЕФБ BotikTools ( ОБРТЙНЕТ, РТПЗТБННЩ wish.exe ) УЕФЕЧПК ЬТБО Outpost Firewall ДПМЦЕО ВЩФШ ОБУФТПЕО ФБЛ, ЮФПВЩ:
- тБЪТЕЫБФШ ЙУИПДСЭЙЕ TCP-УПЕДЙОЕОЙС ДМС РТЙМПЦЕОЙС wish.exe ОБ УМЕДХАЭЙЕ БДТЕУБ:
- бДТЕУ ДМС РПТФБ 25: mail.botik.ru.
- бДТЕУБ ДМС РПТФБ 53: dns1.botik.ru, dns2.botik.ru.
- бДТЕУ ДМС РПТФБ 80: www.botik.ru.
- бДТЕУБ ДМС РПТФБ 443: nadmin.botik.ru, informer.botik.ru, map.botik.ru.
- дМС РПТФБ 12040 ОХЦОП ТБЪТЕЫЙФШ БДТЕУ ЫМАЪБ (БДТЕУ чБЫЕЗП ЫМАЪБ УН. Ч Nadmin:: бВПОЕОФХ НЕОА нПЙ ХУМХЗЙ = > рПДЛМАЮЕОЙС = > ДБМЕЕ ЭЕМЮЛПН РП ЙНЕОЙ чБЫЕЗП РПДЛМАЮЕОЙС ПФЛТЩЧБЕФЕ УФТБОЙГХ У ДБООЩНЙ РПДЛМАЮЕОЙС, УТЕДЙ ЛПФПТЩИ ХЛБЪБО БДТЕУ ЫМАЪБ).
- бДТЕУБ ДМС РПТФБ 21564: speedtest.botik.ru, speedtest2.botik.ru.
- тБЪТЕЫБФШ ЧУЕ ЙУИПДСЭЙЕ Й ЧИПДСЭЙЕ ICMP ьИП-ЪБРТПУЩ Й ЧУЕ ЙУИПДСЭЙЕ Й ЧИПДСЭЙЕ ICMP ьИП-ПФЧЕФЩ.
- тБЪТЕЫ Б ФШ ЧИПДСЭЙЕ TCP-УПЕДЙОЕОЙС У БДТЕУБ localhost ОБ РПТФ 12040. ьФП ОХЦОП РТПЗТБННЕ BotikKey ДМС РТПЧЕТЛЙ ЕДЙОУФЧЕООПУФЙ ЪБРХЭЕООПЗП РТЙМПЦЕОЙС, Й УЧСЪБОП У ФЕН, ЮФП ОБ ПДОПН ЛПНРШАФЕТЕ ДПМЦОБ ТБВПФБФШ ФПМШЛП ПДОБ ЛПРЙС РТПЗТБННЩ.
- т БЪТЕЫ Б ФШ ЙУИПДСЭЙЕ TCP-УПЕДЙОЕОЙС У БДТЕУБ localhost Л ДПНБЫОЕНХ ТПХФЕТХ ЮЕТЕЪ РПТФ 7737 Ч ФПН УМХЮБЕ, Е УМЙ Х БВПОЕОФБ ЕУФШ ДПНБЫОЙК ТПХФЕТ Й ОБ ОЈН ХУФБОПЧМЕО gBotikKeyd . рТПЗТБННБ BotikKey РПЪЧПМСЕФ ХРТБЧМСФШ ТБВПФПК gBotikKeyd ОБ ТПХФЕТЕ (РЕТЕЛМАЮБФШ ТЕЦЙНЩ ДПУФХРБ, ЪБДБЧБФШ РБТПМШ Й Ф.Д.).
рТЙНЕЮБОЙЕ: ПВТБЭБЕН чБЫЕ ЧОЙНБОЙЕ ОБ ФП, ЮФП Ч УЕФЙ ТЕЗХМСТОП РТПЙУИПДЙФ РЕТЕОХНЕТБГЙС IP-БДТЕУПЧ, РПЬФПНХ РТЙ ОБУФТПКЛЕ УЕФЕЧПЗП ЬЛТБОБ МХЮЫЕ ХЛБЪЩЧБФШ ДПНЕООЩЕ ЙНЕОБ ИПУФПЧ, Б ОЕ ЙИ IP-БДТЕУБ.
лБЛ ОБУФТПЙФШ ?
1. оБУФТПКЛБ ЙУИПДСЭЙИ TCP- УПЕДЙОЕОЙК ДМС РТЙМПЦЕОЙС wish.exe
пРЙЫЕН ДМС РТЙНЕТБ, ЛБЛ УПЪДБФШ РТБЧЙМП ДМС РТЙМПЦЕОЙС wish.exe , ТБЪТЕЫБАЭЕЕ РЕТЕДБЮХ ЙУИПДСЭЙИ TCP- РБЛЕФПЧ ЮЕТЕЪ РПТФ 443 ОБ ИПУФ У БДТЕУПН nadmin.botik.ru . пУФБМШОЩЕ РТБЧЙМБ, ПРЙУБООЩЕ Ч ТБЪДЕМЕ "юФП ОБУФТПЙФШ ? " , НПЗХФ ВЩФШ УПЪДБОЩ БОБМПЗЙЮОП.
1.1. уОБЮБМБ ОБДП ДПВБЧЙФШ РТЙМПЦЕОЙЕ wish.exe Ч УРЙУПЛ РПМШЪПЧБФЕМШУЛЙИ РТЙМПЦЕОЙК, ДМС ЛПФПТЩИ Ч Outpost Firewall НПЦОП УПЪДБЧБФШ РТБЧЙМБ. дМС ЬФПЗП Ч НЕОА "оБУФТПКЛЙ" Р ТПЗТБННЩ Outpost Firewall ОБДП ЧЩВТБФШ РПДНЕОА "рТБЧЙМБ ДМС РТЙМПЦЕОЙК" Й ЭЕМЛОХФШ РП ЛОПРЛЕ дПВБЧЙФШ (УН. тЙУ. 9).
тЙУ. 9
1.2. пФЛТПЕФУС УФБОДБТФОПЕ ПЛОП (УН. тЙУ. 10), Ч ЛПФПТПН ОБДП ПФЛТЩФШ РБРЛХ C:Program FilesBotik Toolsin, ЧЩВТБФШ Ч ОЕК ЖБКМ РТЙМПЦЕОЙС wish.exe Й ЭЕМЛОХФШ пpen.
тЙУ. 10
ч ТЕЪХМШФБФЕ Ч УРЙУПЛ РТЙМПЦЕОЙК Ч ПЛОЕ ВТБОДНБХЬТБ Outpost Firewall ВХДЕФ ДПВБЧМЕОП РТЙМПЦЕОЙЕ wish.exe (УН. тЙУ. 11) . юФПВЩ ОБЮБФШ УПЪДБЧБФШ РТБЧЙМБ ДМС ЬФПЗП РТЙМПЦЕОЙС, ЧЩВЕТЙФЕ ЕЗП Ч УРЙУЛЕ Й ЭЕМЛОЙФЕ РП ЛОПРЛЕ тЕДБЛФЙТПЧБФШ.
тЙУ. 11
1.3. пФЛТПЕФУС ПЛОП ДМС РТЙМПЦЕОЙС wish.exe (УН. тЙУ. 12). ч ЬФПН ПЛОЕ РПЛБ ОЕ УЖПТНХМЙТПЧБОП ОЙ ПДОПЗП РТБЧЙМБ ДМС РТЙМПЦЕОЙС wish.exe. дМС УПЪДБОЙС РТБЧЙМБ ЭЕМЛОЙФЕ ЛОПРЛХ оПЧПЕ.
тЙУ. 12
1.4. пФЛТПЕФУС ПЛОП , Ч ЛПФПТПН НПЦОП ЧЩВТБФШ УПВЩФЙЕ ДМС РТБЧЙМБ Й ЧЩРПМОЙФШ ПРЙУБОЙЕ РТБЧЙМБ. (УН. тЙУ. 13)
оБРПНОЙН ЪДЕУШ, ЮФП НЩ ДБМЕЕ ПРЙЫЕН РТПГЕДХТХ УПЪДБОЙС ФБЛПЗП РТБЧЙМБ ДМС РТЙМПЦЕОЙС wish.exe, ЛПФПТПЕ ВХДЕФ ТБЪТЕЫБФШ РЕТЕДБЮХ ЙУИПДСЭЙИ TCP-РБЛЕФПЧ ЮЕТЕЪ РПТФ 443 ОБ ИПУФ У БДТЕУПН nadmin.botik.ru.
1.4.1. дМС ОБЮБМБ ОЕПВИПДЙНП ХУФБОПЧЙФШ ОБРТБЧМЕОЙЕ РЕТЕДБЮЙ TCP-РБЛЕФПЧ. дМС ЬФПЗП ОБДП Ч РЕТЧПН РПМЕ ЧЧПДБ "1. чЩВЕТЙФЕ УПВЩФЙЕ ДМС РТБЧЙМБ" ХУФБОПЧЙФШ ЖМБЗ "зДЕ ОБРТБЧМЕОЙЕ" (УН. тЙУ. 13). ч РПМЕ ЧЧПДБ "3. тБУЫЙЖТПЧЛБ РТБЧЙМБ" РПСЧЙФУС УФТПЛБ "ОБРТБЧМЕОЙЕ оЕ ПРТЕДЕМЕОП ". эЕМЮЛПН РП УУЩМЛЕ оЕ ПРТЕДЕМЕОП ПФЛТПЕН ПЛОП , Ч ЛПФПТПН ЧЩВЕТЕН РБТБНЕФТ "йУИПДСЭЕЕ" Й ЭЕМЛОЕН РП ЛОПРЛЕ OK.
тЙУ. 13
1.4.2. дБМЕЕ ОЕПВИПДЙНП ХЛБЪБФШ БДТЕУ ИПУФБ, ОБ ЛПФПТЩК ВХДЕН ТБЪТЕЫБФШ РЕТЕДБЮХ ЙУИПДСЭЙИ TCP-РБЛЕФПЧ. дМС ЬФПЗП Ч РПМЕ ЧЧПДБ "1. чЩВЕТЙФЕ УПВЩФЙЕ ДМС РТБЧЙМБ" ХУФБОБЧМЙЧБЕН ЖМБЗ "зДЕ ХДБМЕООЩК БДТЕУ" (УН. тЙУ. 14). ч РПМЕ "3. тБУЫЙЖТПЧЛБ РТБЧЙМБ" РПСЧЙФУС УФПТПЛБ "ХДБМЕООЩК БДТЕУ оЕ ПРТЕДЕМЕОП ". эЕМЮЛПН РП УУЩМЛЕ оЕ ПРТЕДЕМЕОП ПФЛТПЕН ПЛОП . йЪ УРЙУЛБ РТЕДМБЗБЕНЩИ ЧБТЙБОФПЧ ЧЧПДБ БДТЕУБ ЧЩВЕТЙФЕ ЧБТЙБОФ "йНС ДПНЕОБ" Й Ч РПМЕ ЧЧПДБ (ПФНЕЮЕОП ОБ тЙУ. 14 ЛТБУОПК ФПЮЛПК) ЧЧЕДЙФЕ БДТЕУ ИПУФБ: nadmin. botik.ru Й ЭЕМЛОЙФЕ РП ЛОПРЛЕ дПВБЧЙФШ.
тЙУ. 14
1.4.3. й, ОБЛПОЕГ, ЪБЧЕТЫБЕФ УПЪДБОЙЕ РТБЧЙМБ ДМС ИПУФБ У БДТЕУПН nadmin.botik.ru ЧЩВПТ РПТФБ, ЮЕТЕЪ ЛПФПТЩК РТЙМПЦЕОЙА wish.exe ВХДЕФ ТБЪТЕЫЕОБ РЕТЕДБЮБ ЙУИПДСЭЙИ TCP-РБЛЕФПЧ. дМС ЬФПЗП Ч РПМЕ ЧЧПДБ "1. чЩВЕТЙФЕ УПВЩФЙЕ ДМС РТБЧЙМБ" ХУФБОБЧМЙЧБЕН ЖМБЗ "зДЕ ХДБМЕООЩК РПТФ" (УН. тЙУ. 15). ч РПМЕ "3. тБУЫЙЖТПЧЛБ РТБЧЙМБ" РПСЧЙФУС УФПТПЛБ "ХДБМЕООЩК РПТФ оЕ ПРТЕДЕМЕОП ". эЕМЮЛПН РП УУЩМЛЕ оЕ ПРТЕДЕМЕОП ПФЛТПЕН ПЛОП . ъДЕУШ НПЦОП МЙВП ЧЧЕУФЙ Ч РПМЕ ЧЧПДБ, ПФНЕЮЕООПЕ ОБ ТЙУХОЛЕ ЛТБУОПК ФПЮЛПК, ОПНЕТ РПТФБ 443; МЙВП ЧЩВТБФШ РПТФ ЙЪ УРЙУЛБ ЙНЕО РПТФПЧ (ЙНС РПТФБ 443 — HTTPS) Й ЭЕМЛОХФШ РП ЛОПРЛЕ пл.
тЙУ. 15
эЕМЮЛПН РП ЛОПРЛЕ пл УПЪДБЕН РТБЧЙМП У ЙНЕОЕН "тБЪТЕЫБФШ йУИПДСЭЕЕ TCP ОБ HTTPS ДМС WISH.EXE" (УН. тЙУ. 16).
тЙУ. 16
рТБЧЙМБ ДМС ПУФБМШОЩИ БДТЕУПЧ (informer.botik.ru Й map.botik.ru) ДМС РПТФБ 443, Б ФБЛЦЕ ЧУЕ ПУФБМШОЩЕ РТБЧЙМБ ДМС РТЙМПЦЕОЙС wish.exe, РЕТЕЮЙУМЕООЩЕ Ч РХОЛФЕ 1 "юФП ОБУФТПЙФШ?", УПЪДБАФУС БОБМПЗЙЮОП.
2. оБУФТПКЛБ РБТБНЕФТПЧ РТПФПЛПМБ ICMP
дБМЕЕ ОЕПВИПДЙНП ХУФБОПЧЙФШ РБТБНЕФТЩ РТПФПЛПМБ ICMP, ЮФП РПЪЧПМЙФ РТПЧПДЙФШ ping-ФЕУФЙТПЧБОЙЕ ЧБЫЕЗП ЛПНРШАФЕТБ. ч УППФЧЕФУЧЙЙ У РХОЛФПН 2 Ч РЕТЕЮОЕ "юФП ОБУФТПЙФШ", ОБДП УДЕМБФШ УМЕДХАЭЕЕ:
тБЪТЕЫБФШ ЧУЕ ЙУИПДСЭЙЕ Й ЧИПДСЭЙЕ ICMP ьИП-ЪБРТПУЩ Й ЧУЕ ЙУИПДСЭЙЕ Й ЧИПДСЭЙЕ ICMP ьИП-ПФЧЕФЩ.
дМС ЬФПЗП Ч НЕОА "оБУФТПКЛЙ" РТПЗТБННЩ Outpost Firewall ЧЩВТБФШ РПДНЕОА "уЕФЕЧЩЕ РТБЧЙМБ" (УН. тЙУ. 17), Й ЭЕМЛОХФШ РП ЛОПРЛЕ оБУФТПКЛЙ ICMP (ПФНЕЮЕОБ ОБ ТЙУХОЛЕ ЛТБУОПК ФПЮЛПК).
тЙУ. 17
пФЛТПЕФУС ПЛОП (УН. тЙУ. 18), Ч ЛПФПТПН ОХЦОП ДМС ICMP-УППВЭЕОЙК ьИП-ПФЧЕФ Й ьИП-ЪБРТПУ ХУФБОПЧЙФШ ЖМБЦЛЙ чИ Й йУИ ФБЛ, ЛБЛ ЬФП РПЛБЪБОП ОБ тЙУ. 18 Й ЭЕМЛОХФШ OK.
тЙУ. 18
3. оБУФТПКЛБ ЧИПДСЭЙИ TCP-УПЕДЙОЕОЙК У БДТЕУБ localhost ОБ РПТФ 12040
оБУФТПКЛБ ДМС РТЙМПЦЕОЙС wish.exe ЧИПДСЭЙИ TCP-УПЕДЙОЕОЙК У БДТЕУБ localhost ОБ РПТФ 12040 (РХОЛФ 3 Ч "юФП ОБУФТПЙФШ?") ОЕПВИПДЙНБ РТПЗТБННЕ BotikKey ДМС РТПЧЕТЛЙ ЕДЙОУФЧЕООПУФЙ ЪБРХЭЕООПЗП РТЙМПЦЕОЙС, РПУЛПМШЛХ ОБ ПДОПН ЛПНРШАФЕТЕ ДПМЦОБ ТБВПФБФШ ФПМШЛП ПДОБ ЛПРЙС РТПЗТБННЩ.
дМС ОБУФТПКЛЙ ЬФПЗП РТБЧЙМБ ОЕПВИПДЙНП ЧЩРПМОЙФШ ДЕКУФЧЙС, ПРЙУБООЩЕ Ч РР. 1.4.1 — 1.4.3, ХЛБЪЩЧБС УППФЧЕФУФЧХАЭЙЕ ОБРТБЧМЕОЙЕ (чИПДСЭЕЕ), БДТЕУ (localhost) Й РПТФ (12040).
дПРПМОЙФЕМШОП ДМС ЬФПЗП РТБЧЙМБ Ч ПЛОЕ ОБДП ХУФБОПЧЙФШ ЖМБЗ зДЕ МПЛБМШОЩК РПТФ УПЧРБДБЕФ У ХДБМЕООЩН (УН. тЙУ. 19) Й ЭЕМЮЛПН РП ЛОПРЛЕ пл ЪБЧЕТЫЙФШ УПЪДБОЙЕ РТБЧЙМБ У ЙНЕОЕН "тБЪТЕЫБФШ чИПДСЭЕЕ TCP ОБ 12040 ДМС WISH.EXE".
тЙУ. 19
4. дПРПМОЙФЕМШОБС ОБУФТПКЛБ ЙУИПДСЭЙИ TCP-УПЕДЙОЕОЙК ДМС БВПОЕОФПЧ, ЙНЕАЭЙИ ДПНБЫОЙК ТПХФЕТ
еУМЙ Х БВПОЕОФБ ЕУФШ ДПНБЫОЙК ТПХФЕТ Й ОБ ОЈН ХУФБОПЧМЕО gBotikKeyd, ФП, ДПРПМОЙФЕМШОП ЛП ЧУЕНХ ЧЩЫЕУЛБЪБОПНХ, ОХЦОП ТБЪТЕЫЙФШ ДМС РТЙМПЦЕОЙС wish.exe ЙУИПДСЭЙЕ TCP-УПЕДЙОЕОЙС У БДТЕУБ localhost Л ЬФПНХ ТПХФЕТХ ЮЕТЕЪ РПТФ 7737. рТПЗТБННБ BotikKey РПЪЧПМСЕФ ХРТБЧМСФШ ТБВПФПК gBotikKeyd ОБ ТПХФЕТЕ (РЕТЕЛМАЮБФШ ТЕЦЙНЩ ДПУФХРБ, ЪБДБЧБФШ РБТПМШ Й Ф.Д.).
дМС ЬФПК ОБУФТПКЛЙ ОЕПВИПДЙНП ЧЩРПМОЙФШ РР. 1.4.1 — 1.4.3, ХЛБЪЩЧБС УППФЧЕФУФЧХАЭЙЕ ОБРТБЧМЕОЙЕ (йУИПДСЭЕЕ), БДТЕУ (localhost) Й РПТФ (7737) — УН. тЙУ. 20. дБМЕЕ ЭЕМЮЛПН РП ЛОПРЛЕ пл ЪБЧЕТЫЙФШ УПЪДБОЙЕ РТБЧЙМБУ ЙНЕОЕН "тБЪТЕЫБФШ йУИПДСЭЕЕ TCP ОБ 7737 ДМС WISH.EXE".
тЙУ. 20
оБ ЬФПН ОБУФТПКЛХ УЕФЕЧПЗП ЬЛТБОБ Outpost Firewall Ч УППФЧЕФУФЧЙЙ У ФТЕВПЧБОЙСНЙ тЕЗМБНЕОФБ РТЕДПУФБЧМЕОЙС ХУМХЗ бВПОЕОФБН уф "вПФЙЛ" НПЦОП УЮЙФБФШ ЪБЧЕТЫЕООПК.
пФЛТЩФШ ПЛОП нПК ЛПНРШАФЕТ -> бДНЙОЙУФТЙТПЧБОЙЕ Й ДМС ОБУФТПКЛЙ ВТБОДНБХЬТБ ЧЩВТБФШ ТЕЦЙН "вТБОДНБХЬТ Windows Ч ТЕЦЙНЕ РПЧЩЫЕООПК ВЕЪПРБУОПУФЙ" (УН. тЙУ. 21)
тЙУ. 2 1
ч МЕЧПК ЮБУФЙ ПФЛТЩЧЫЕЗПУС ПЛОБ ЧЩВТБФШ "рТБЧЙМБ ДМС ЧИПДСЭЙИ РПЛМАЮЕОЙК" Й ЪБФЕН Ч РТБЧПК ЮБУФЙ ПЛОБ ЧЩВТБФШ ДЕКУФЧЙЕ "уПЪДБФШ РТБЧЙМП" (УН. тЙУ. 22).
тЙУ. 2 2
пФЛТПЕФУС ПЛОП (УН. тЙУ. 23). оБ РЕТЧПН ЫБЗЕ НБУФЕТБ "фЙР РТБЧЙМБ" ОБДП ЧЩВТБФШ ФЙР УПЪДБЧБЕНПЗП РТБЧЙМБ, Ч ОБЫЕН УМХЮБЕ ЬФП ОБУФТБЙЧБЕНПЕ РТБЧЙМП, РПЬФПНХ УМЕДХЕФ ЧЩВТБФШ ЧБТЙБОФ оБУФТБЙЧБЕНЩЕ Й ЭЕМЛОХФШ РП ЛОПРЛЕ дБМЕЕ.
тЙУ. 2 3
оБ ЧФПТПН ЫБЗЕ НБУФЕТБ УПЪДБОЙС РТБЧЙМ "рТПЗТБННБ" УМЕДХЕФ ЧЩВТБФШ ЙНС ЙУРПМОСЕНПЗП ЖБКМБ РТПЗТБННЩ, ДМС ЛПФПТПК УПЪДБЕФУС РТБЧЙМП. ч ОБЫЕН УМХЮБЕ УМЕДХЕФ ЧЩВТБФШ ЧБТЙБОФ чУЕ РТПЗТБННЩ Й ЭЕМЛОХФШ РП ЛОПРЛЕ дБМЕЕ (УН. тЙУ. 24).
тЙУ. 2 4
оБ ФТЕФШЕН ЫБЗЕ НБУФЕТБ УПЪДБОЙС РТБЧЙМ "рТПФПЛПМ Й РПТФЩ" ЧЩВЙТБАФУС РТПФПЛПМЩ, Л ЛПФПТЩН РТЙНЕОСЕФУС УПЪДБЧБЕНПЕ РТБЧЙМП. ъДЕУШ ОБДП Ч ТБУЛТЩЧБАЭЕНУС УРЙУЛЕ фЙР РТПФПЛПМБ ЧЩВТБФШ РТПФПЛПМ ICMPv4 Й ЭЕМЛОХФШ РП ЛОПРЛЕ оБУФТПЙФШ (УН. тЙУ. 25)
тЙУ. 2 5
ч ПФЛТЩЧЫЕНУС ПЛОЕ ОБДП ЧЩВТБФШ ЧБТЙБОФ пРТЕДЕМЕООЩЕ ФЙРЩ ICMP, ХУФБОПЧЙФШ ЖМБЗ ьИП-ЪБРТПУ Й ЭЕМЛОХФШ РП ЛОПРЛЕ пл (УН. тЙУ. 26).
тЙУ. 2 6
дБМЕЕ ДМС РЕТЕИПДБ Л УМЕДХАЭЕНХ ЫБЗХ НБУФЕТБ УПЪДБОЙС РТБЧЙМБ ЭЕМЛОХФШ РП ЛОПРЛЕ дБМЕЕ (УН. тЙУ. 27)
тЙУ. 2 7
оБ ЮЕФЧЕТФПН ЫБЗЕ "пВМБУФШ" ХЛБЪЩЧБАФ IP-БДТЕУБ, Л ЛПФПТЩН РТЙНЕОСЕФУС УПЪДБЧБЕНПЕ РТБЧЙМП. ъДЕУШ ОБДП ЧЩВТБФШ ЧБТЙБОФЩ мАВПК IP-БДТЕУ Й ЭЕМЛОХФШ РП ЛОПРЛЕ дБМЕЕ (УН. тЙУ. 28).
тЙУ. 2 8
оБ РСФПН ЫБЗЕ "дЕКУФЧЙЕ" ХЛБЪЩЧБАФ ДЕКУФЧЙЕ, ЧЩРПМОСЕНПЕ РТЙ УППФЧЕФУФЧЙЙ РПДЛМАЮЕОЙС ХУМПЧЙСН, ЪБДБООЩН Ч ДБООПН РТБЧЙМЕ. ъДЕУШ ОБДП ЧЩВТБФШ ЧБТЙБОФ тБЪТЕЫЙФШ РПДЛМАЮЕОЙЕ Й ЭЕМЛОХФШ РП ЛОПРЛЕ дБМЕЕ (УН. тЙУ. 29).
тЙУ. 29
оБ ЫЕУФПН ЫБЗЕ "рТПЖЙМШ" ХЛБЪЩЧБАФУС РТПЖЙМЙ, Л ЛПФПТЩН РТЙНЕОСЕФУС УПЪДБЧБЕНПЕ РТБЧЙМП. ъДЕУШ ОБДП ПУФБЧЙФШ ХУФБОПЧМЕООЩЕ РП ХНПМЮБОЙА ЖМБЗЙ дПНЕООЩК, юБУФОЩК Й рХВМЙЮОЩК Й ЭЕМЛОХФШ РП ЛОПРЛЕ дБМЕЕ (УН. тЙУ. 30)
тЙУ. 3 0
оБ УЕДШНПН ЫБЗЕ "йНС" ХЛБЪЩЧБАФ ЙНС УПЪДБЧБЕНПЗП РТБЧЙМБ Й ЭЕМЮЛПН РП ЛОПРЛЕ зПФПЧП ЪБЧЕТЫБАФ УПЪДБОЙЕ РТБЧЙМБ ДМС ЬИП-ЪБРТПУПЧ (УН. тЙУ. 31).
тЙУ. 3 1
оБ ЬФПН ОБУФТПКЛХ УЕФЕЧПЗП ЬЛТБОБ Windows 7 Ч УППФЧЕФУФЧЙЙ У ФТЕВПЧБОЙСНЙ тЕЗМБНЕОФБ РТЕДПУФБЧМЕОЙС ХУМХЗ бВПОЕОФБН уф "вПФЙЛ" НПЦОП УЮЙФБФШ ЪБЧЕТЫЕООПК.
Уверен, что у большинства системных администраторов или сетевых инженеров возникал вопрос: "Правильно ли я настроил межсетевой экран и что еще можно сделать для лучшей защиты?". Естественно, в этом вопросе стоит опираться на различные руководства (PCI DSS, ISO, NIST и т.д.) и здравый смысл. Помощь более опытных коллег также приветствуется.
В рамках же данной статьи мы попробуем описать основные рекомендации или лучшие практики (best practices) по настройке межсетевых экранов. Это некий “чек-лист”, следуя которому можно существенно повысить качество защиты сети. Руководство составлено специально для оборудования Check Point, однако оно также может быть использовано, как основа для самостоятельного аудита сети, построенной на оборудовании других вендоров (Cisco, Fortinet, Palo Alto и т.д.). Если вас это заинтересовало, то добро пожаловать под кат…
Compliance Blade
Вообще говоря, в случае с Check Point аудит «правильности» настроек можно выполнять в автоматическом режиме. Осуществляется это с помощью программного блейда Compliance, который активируется на менеджмент сервере:
Данный блейд выполняет следующие функции:
- Мониторинг программных блейдов в режиме 24/7
- Постоянный контроль за тем, чтобы система управления, программные блейды и шлюзы безопасности были настроены оптимально.
- Показывает неправильные настройки конфигурации и уязвимости в защите.
- Предоставляет рекомендации по укреплению безопасности.
- Показывает, как изменение конфигурации повлияет на безопасность.
- Уведомляет об изменениях политик, негативно влияющих на безопасность.
- Обучает пользователей, какими будут последствия желаемых изменений.
- Переводит тысячи требований регуляторов на язык практических рекомендаций.
- Постоянная оценка совместимости с требованиями регуляторов (PCI DSS, ISO, NIST, DSD и так далее).
Все отчеты отображаются в графическом виде:
Оценка соответствия требованиям регуляторов:
Оценка производительности отдельных шлюзов и блейдов:
Блейд Compliance поставляется бесплатно с подпиской на 1 год при покупке сервера управления (будь то физический appliance Smart-1 или виртуальная машина). Этого времени вполне достаточно для комплексной настройки средств защиты с последующей оценкой конфигураций. Таким образом, в первый год вы получаете бесплатный аудит сетевой безопасности (настроек Check Point).
Если вы еще ни разу не активировали данный блейд, то это весьма просто сделать в свойствах сервера управления (Management Server), как это было показано на картинке выше. После этого проинсталлировать политики и подождать некоторое время (в зависимости от размеров сети и количества шлюзов). С результатом оценки конфигураций можно ознакомиться на соответствующей вкладке Compliance в консоли SmartDashboard:
Стоит заметить, что дальнейшее использование блейда Compliance требует продления соответствующей подписки, цена которой не всегда соответствует бюджету малых и средних компаний.
Что же делать после окончания подписки?
Специально для таких случаев мы создали данное руководство, которое позволит в ручном режиме проверить “адекватность” и безопасность текущих настроек в соответствии с рекомендациями Check Point. При этом мы не будем рассматривать стандарты различных регуляторов (PCI DSS, ISO и т.д.), а лишь затронем лучшие практики (Best Practices) по настройке средств сетевой защиты.
Firewall Best Practices
1. Присутствует правило Management (название может отличаться):
Данное правило используется для доступа с сервера управления (Management Server) и компьютера администратора к шлюзу безопасности (Security Gateway). Остальным доступ должен быть запрещен.
2. Присутствует правило Stealth (название может отличаться):
Данное правило используется для блокирования любой попытки доступа к самому шлюзу, что делает его “невидимым” и исключает возможность несанкционированного доступа. Убедитесь, что это правило расположено ниже чем Management.
3. Присутствует правило Clean up rule (название может отличаться):
По умолчанию Check Point блокирует все соединения, которые явно не разрешены. Данное правило используется исключительно для логирования всех пакетов, которые и без этого были бы заблокированы. Правило должно быть самым последним в списке.
4. Присутствует правило Do Not Log (название может отличаться) для которого отключено логирование:
Данное правило используется для фильтрования “паразитного” широковещательного трафика. К такому трафику относятся: udp-high-ports (UDP ports > 1024-65535), domain-udp, bootp, NBT (NetBios), rip (список может отличаться, в зависимости от вашей сети). Логирование отключается намеренно, дабы не перегружать логи межсетевого экрана бесполезной информацией. Правило должно находиться как можно выше в списке (лучше первым).
5. В списках доступа в колонке источник (source) отсутствует значение Any, т.е. любой трафик. Всегда указывайте конкретный источник в правилах, будь то сеть или хост. За исключением правил Stealth, Clean up rule, Do Not Log.
6. Отсутствуют правила разрешающие весь трафик (any any accept).
7. Запрещен входящий Internet трафик для сегментов Бухгалтерии (Finance) и Отдела кадров (HR).
8. Запрещен FTP трафик из сети Internet в DMZ.
9. Отсутствуют неиспользуемые правила. В консоли SmartDashboard можно просматривать счетчик совпадений по каждому списку доступа:
Если счетчик показывает нулевое значение или последнее совпадение (Last hit) было более чем 6 месяцев назад, то рекомендуется удалить данное правило, дабы не перегружать общий список.
10. Для всех правил в поле Track выставлена опция Log. Кроме правила Do Not Log. Так вы сможете логировать все важные события исключая широковещательный трафик.
11. Для всех правил указано “адекватное” имя и присутствует комментарий, поясняющий назначение этого правила.
12. На всех шлюзах включено логирование.
В качестве Лог-сервера может выступать сервер управления (Management Server) либо другое стороннее решение (возможно использование SIEM или Log Management систем).
13. На всех шлюзах настроен резервный Лог-сервер. Это позволит сохранить важные сообщения в случае отказа основного Лог-сервера.
14. На всех шлюзах также включена функция локального хранения логов. Это позволит сохранить информацию о событиях в случае недоступности Лог-сервер.
15. На всех шлюзах настроено создание нового Лог-файла при достижении определенного размера старого.
Это значительно ускорит обработку логов (отображение, поиск). Вернуться к более старым логам можно будет переключив Лог-файл.
16. На всех шлюзах настроены уведомления сигнализирующие о заканчивающемся дисковом пространстве. Уровень срабатывания выбирается в зависимости от общего объема жесткого диска. Как правило порог выставляется в районе 50-100 МБайт.
17. На всех шлюзах настроено удаление старых Лог-файлов при заканчивающемся дисковом пространстве. Уровень срабатывания выбирается в зависимости от общего объема жесткого диска. Как правило порог выставляется в районе 50 МБайт.
18. На всех шлюзах настроены скрипты, которые выполняются перед удалением старых Лог-файлов.
С помощью данной функции можно убедиться, что созданы бэкапы логов.
19. В глобальных настройках включено логирование для “VPN packet handling errors”, “VPN successful key exchange”, “VPN configuration & key exchange errors”, “Administrative notifications”, “Packet is incorrectly tagged” и “Packet tagging brute force attack”:
20. На всех шлюзах включен Anti-Spoofing в режиме prevent (для всех интерфейсов):
21. В глобальных настройках (global properties) проверьте значения временных интервалов по умолчанию для stateful inspection:
В случае необходимости измените в соответствии с требованиями вашей сети.
22. Для полей “Drop out of state TCP packets”, “Drop out of state ICMP packets” и “Drop out of state SCTP packets” включено Log on drop (смотри картинку выше).
23. В свойствах каждого шлюза включен счетчик Hit Count:
Это позволит видеть кол-во совпадений по каждому правилу (списку доступа) и удалять неиспользуемые.
24. В настройках оптимизации шлюза укажите максимальное количество конкурентных сессий.
Этот параметр зависит от модели шлюза и позволяет предотвратить перегрузку.
25. В глобальных настройках (global properties) пароли учетных записей пользователей (User Accounts) и администраторов (Administartor Accounts) истекают не позднее чем через 180 дней.
Также должно быть настроено оповещение об истекающем пароле.
26. При интеграции с Active Directory настроена смена пароля:
27. В глобальных настройках (global properties) активирована блокировка Администраторов. Учетная запись блокируется на 30 минут в случае 3-х неудачных попыток входа.
Также настроено уведомление о блокировке и сброс сессии управления, неактивной в течении 15 минут.
28. В свойствах шлюзов выставлена опция “Rematch connections”.
Это позволит блокировать запрещенные соединения сразу после установки новой политики и не ждать окончания сессии.
29. Настроена синхронизация времени (NTP)
Это позволит видеть актуальную дату и время для всех событий (логов).
Таковы рекомендации Check Point по настройке блейда Firewall. Но думаю многие заметили, что большинство советов применимы и к другим вендорам. Подобные рекомендации есть по всем блейдам (IPS, DLP, Application Control, URL Filtering и т.д.), которые мы возможно рассмотрим в следующих статьях.
Больше информации по Check Point можно найти в нашем корпоративном блоге. А чтобы бесплатно провести настроек безопасности Check Point, нажмите сюда.