Сетевой экран
Сетевой экран
Сетевой экран
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Small Office Security 2<br />
<strong>Сетевой</strong> <strong>экран</strong>
Kaspersky Small Office Security 2<br />
Содержание<br />
Содержание .................................................................................................................................... 1<br />
<strong>Сетевой</strong> <strong>экран</strong> ................................................................................................................................ 2<br />
Что такое <strong>Сетевой</strong> <strong>экран</strong> ......................................................................................................... 2<br />
Включение/отключение Сетевого <strong>экран</strong>а .............................................................................. 2<br />
Изменение статуса сети .......................................................................................................... 3<br />
Правила Сетевого <strong>экран</strong>а ....................................................................................................... 6<br />
Создание пакетного правила ............................................................................................... 6<br />
Изменение пакетного правила ............................................................................................ 9<br />
Создание правила для программ ...................................................................................... 11<br />
Изменение правила для программы ................................................................................. 12<br />
Настройка сетевого сервиса ............................................................................................. 13<br />
Задание диапазона IP-адресов ......................................................................................... 14<br />
Изменение правила для группы программ ....................................................................... 16<br />
Изменение приоритета правила ....................................................................................... 18<br />
Расширение диапазона IP-адресов...................................................................................... 19<br />
Настройка уведомлений об изменениях параметров сети ................................................. 21<br />
Настройка дополнительных параметров ............................................................................. 22<br />
Особенности работы компонента ......................................................................................... 23<br />
1 | 23
Kaspersky Small Office Security 2<br />
<strong>Сетевой</strong> <strong>экран</strong><br />
Что такое <strong>Сетевой</strong> <strong>экран</strong><br />
При работе в интернете компьютер подвержен не только заражению вирусами, но и<br />
различного рода атакам, использующим уязвимости операционных систем и программного<br />
обеспечения.<br />
Для обеспечения безопасности вашей работы в локальных сетях и интернете предназначен<br />
компонент <strong>Сетевой</strong> <strong>экран</strong> в Центре защиты, входящем в состав KSOS 2. Ко всем сетевым<br />
соединениям <strong>Сетевой</strong> <strong>экран</strong> применяет правила.<br />
Правило — это разрешающее или запрещающее действие Сетевого <strong>экран</strong>а при<br />
обнаружении попытки соединения.<br />
Защита от атак осуществляется на двух уровнях: сетевом и прикладном.<br />
Защита на сетевом уровне обеспечивается за счет использования глобальных правил для<br />
сетевых пакетов, где разрешается или блокируется сетевая активность на основании<br />
анализа следующих параметров:<br />
• направление движения пакета;<br />
• протокол передачи пакета;<br />
• порт назначения или выхода пакета.<br />
<strong>Сетевой</strong> пакет — блок информации, передаваемый по сети. Как правило, пакет состоит из<br />
заголовка (информация о пакете, такая как дата создания, размер, адресат и т. д.), тела<br />
(сама передаваемая информация) и концовки (проверочная информация, гарантирующая,<br />
что пакет не изменялся во время передачи).<br />
Защита на прикладном уровне обеспечивается за счет применения правил использования<br />
сетевых ресурсов к программам, установленным на компьютере. Защита на прикладном<br />
уровне строится на анализе тех же параметров, что и защита на сетевом уровне. Однако на<br />
прикладном уровне учитываются не только характеристики сетевого пакета, но и конкретная<br />
программа, которой адресован данный пакет, либо которая инициировала отправку этого<br />
пакета. Использование правил для программ дает возможность более тонкой настройки<br />
защиты, когда, например, определенный тип соединения запрещен для одних программ, но<br />
разрешен для других.<br />
Включение/отключение Сетевого <strong>экран</strong>а<br />
По умолчанию <strong>Сетевой</strong> <strong>экран</strong> включен. При необходимости вы можете отключить <strong>Сетевой</strong><br />
<strong>экран</strong>.<br />
Чтобы включить или отключить <strong>Сетевой</strong> <strong>экран</strong>, выполните следующие действия:<br />
1. Откройте главное окно программы.<br />
2. В левой части окна перейдите на закладку Центр защиты.<br />
3. В правом верхнем углу окна нажмите ссылку Настройка.<br />
2 | 23
Kaspersky Small Office Security 2<br />
4. В левой части окна Настройка выберите раздел <strong>Сетевой</strong> <strong>экран</strong>.<br />
5. В правой части окна выполните следующие действия:<br />
• Если вы хотите отключить компонент, снимите флажок Включить <strong>Сетевой</strong><br />
<strong>экран</strong>;<br />
• Если вы хотите включить компонент, установите флажок Включить <strong>Сетевой</strong><br />
<strong>экран</strong>.<br />
6. В окне Настройка нажмите на кнопку Применить.<br />
Изменение статуса сети<br />
Для упрощения настройки и применения правил в KSOS 2 существует разделение всего<br />
сетевого пространства на зоны безопасности, зачастую совпадающие с подсетями, в<br />
которые включен компьютер. Каждой из зон вы можете присвоить статус, на основании<br />
3 | 23
Kaspersky Small Office Security 2<br />
которого будет определена политика применения правил и контроля сетевой активности в<br />
данной зоне:<br />
• Публичная сеть (Интернет) — этот статус рекомендуется выбирать для сетей,<br />
не защищенных какими-либо антивирусными программами, сетевыми <strong>экран</strong>ами,<br />
фильтрами (например, для сети интернет-кафе). Для пользователей таких сетей<br />
закрыт доступ к файлам и принтерам, находящимся на вашем компьютере. Даже если<br />
вы создали папку общего доступа, содержащаяся в ней информация не будет<br />
доступна пользователям сети с таким статусом. Если вы разрешили удаленный<br />
доступ к рабочему столу, пользователи этой сети также не смогут его получить.<br />
Фильтрация сетевой активности каждой программы производится в соответствии с<br />
правилами для этой программы. По умолчанию этот статус присвоен сети Интернет;<br />
• Локальная сеть — этот статус рекомендуется применять для сетей,<br />
пользователям которых вы доверяете доступ к файлам и принтерам на вашем<br />
компьютере (например, для внутренней корпоративной сети или для домашней сети);<br />
• Доверенная сеть — этот статус рекомендуется применять только для<br />
абсолютно безопасной, по вашему мнению, сети, при работе в которой компьютер не<br />
подвергается атакам и попыткам несанкционированного доступа к данным. При<br />
выборе такого статуса будет разрешена любая сетевая активность в рамках этой<br />
сети.<br />
Статус нового соединения вы можете установить сами в окне оповещения об обнаружении<br />
нового сетевого соединения.<br />
Чтобы изменить ранее определенный статус сети, выполните следующие действия:<br />
1. Откройте главное окно программы.<br />
2. В левой части окна перейдите на закладку Центр защиты.<br />
3. В правом верхнем углу окна нажмите ссылку Настройка.<br />
4. В левой части окна Настройка выберите раздел <strong>Сетевой</strong> <strong>экран</strong>.<br />
5. В правой части окна Настройка нажмите на кнопку Настройка.<br />
4 | 23
Kaspersky Small Office Security 2<br />
6. В окне <strong>Сетевой</strong> <strong>экран</strong> перейдите на закладку Сети.<br />
7. Нажмите правой кнопкой мыши на необходимое соединение.<br />
8. Выберите из контекстного меню нужный статус сети (Публичная, Локальная или<br />
Доверенная сеть).<br />
9. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
10. В окне Настройка нажмите на кнопку Применить.<br />
5 | 23
Kaspersky Small Office Security 2<br />
Правила Сетевого <strong>экран</strong>а<br />
Для контроля сетевых соединений <strong>Сетевой</strong> <strong>экран</strong> применяет правила двух видов:<br />
• Правила для пакетов. Используются для ввода общих ограничений сетевой<br />
активности независимо от установленных программ. Пример: при создании пакетного<br />
правила, запрещающего входящие соединения на порт 21, ни одна программа,<br />
использующая этот порт (например, ftp-сервер), не будет доступна извне.<br />
• Правила для программ. Используются для ввода ограничений сетевой<br />
активности конкретной программы. Пример: если запрещено соединение по порту 80<br />
для каждой из программ, вы можете создать правило, разрешающее соединения с<br />
использованием этого порта, только для обозревателя Mozilla FireFox.<br />
Пакетные правила имеют более высокий приоритет, чем правила программ. Если для<br />
одного и того же вида сетевой активности заданы и пакетные правила, и правила программ,<br />
то эта сетевая активность будет обрабатываться по пакетным правилам.<br />
Создание пакетного правила<br />
При обнаружении любого сетевого соединения <strong>Сетевой</strong> <strong>экран</strong> определяет, какой статус<br />
был назначен данной сети. Каждому статусу соответствует набор правил, сообразно<br />
которым <strong>Сетевой</strong> <strong>экран</strong> запрещает или разрешает сетевую активность.<br />
Пакетные правила используются для введения ограничений для пакетов и потоков данных<br />
независимо от программ.<br />
При создании пакетного правила вы можете определить действие, которое будет<br />
совершено Сетевым <strong>экран</strong>ом при обнаружении данного вида сетевой активности:<br />
• Разрешить;<br />
• Заблокировать;<br />
• Обработать по правилам программы. В этом случае пакетное правило<br />
перестает действовать и обращается к правилу, заданному для программы.<br />
Разрешающее или запрещающее действие правила может быть отражено в отчете, для<br />
этого необходимо при создании пакетного правила в разделе Действие установить флажок<br />
Записать в отчет.<br />
Чтобы создать пакетное правило, например, для разрешения удаленного доступа к<br />
рабочему столу вашего компьютера, выполните следующие действия:<br />
1. Откройте главное окно программы.<br />
2. В левой части главного окна перейдите на закладку Центр защиты.<br />
3. В правом верхнем углу окна нажмите ссылку Настройка.<br />
6 | 23
Kaspersky Small Office Security 2<br />
4. В левой части окна Настройка выберите раздел <strong>Сетевой</strong> <strong>экран</strong>.<br />
5. В правой части окна Настройка нажмите на кнопку Настройка.<br />
7. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации выберите пункт Пакетные<br />
правила.<br />
8. Нажмите ссылку Добавить в нижней части окна. Откроется окно Сетевое правило, в<br />
котором можно задать параметры создаваемого правила:<br />
7 | 23
Kaspersky Small Office Security 2<br />
9. В окне Сетевое правило в блоке Действие выберите вариант Разрешить.<br />
10. Установите флажок Записать в отчет, если хотите чтобы в отчете отражалось<br />
действие этого правила.<br />
11. В блоке <strong>Сетевой</strong> сервис выберите сервис Remote Desktop.<br />
12. В блоке Адрес выберите вариант Любой адрес.<br />
13. Нажмите на кнопку OK в окне Сетевое правило. На закладке Правила фильтрации<br />
в списке пакетных правил отобразится созданное вами правило.<br />
8 | 23
Kaspersky Small Office Security 2<br />
14. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
15. В окне Настройка нажмите на кнопку Применить.<br />
Теперь удаленный доступ к этому рабочему столу есть у любого пользователя.<br />
Изменение пакетного правила<br />
Все пакетные правила (созданные по умолчанию и созданные пользователем) можно<br />
изменить. Например, если вы хотите заблокировать удаленный доступ к рабочему столу<br />
своего компьютера для пользователей сети Интернет, то измените пакетное правило<br />
Remote Desktop (удаленный доступ к компьютеру пользователя):<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации выберите пункт Пакетные<br />
правила.<br />
3. В списке пакетных правил выберите правило Remote Desktop.<br />
4. Нажмите на ссылку Изменить в нижней части окна. Откроется окно Сетевое<br />
правило, в котором можно изменить параметры выбранного ранее правила.<br />
9 | 23
Kaspersky Small Office Security 2<br />
5. В блоке Действие измените вариант Разрешить на вариант Заблокировать.<br />
6. В блоке Адрес выберите вариант Адреса подсети со статусом и в выпадающем<br />
списке напротив выберите пункт Публичные сети.<br />
7. В окне Сетевое правило нажмите на кнопку OK.<br />
10 | 2 3
Kaspersky Small Office Security 2<br />
8. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации в списке пакетных правил<br />
отобразятся внесенные изменения: для правила Remote Desktop в графе Адрес<br />
будет указано Публичные сети.<br />
9. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
10. В окне Настройка нажмите на кнопку Применить.<br />
Теперь удаленный доступ к рабочему столу вашего компьютера разрешен только<br />
пользователям локальных и доверенных сетей.<br />
Создание правила для программ<br />
Вы можете создавать правила для программ 1<br />
для более тонкой фильтрации сетевой<br />
активности, а также изменять правила как для целой группы программ, так и для конкретной<br />
программы в группе.<br />
Пользовательские правила для конкретных программ имеют более высокий<br />
приоритет, чем правила, наследуемые от группы.<br />
При создании правила для программы вы можете определить действие, которое будет<br />
совершено Сетевым <strong>экран</strong>ом при обнаружении данного вида сетевой активности во время<br />
работы с программой:<br />
• Разрешить;<br />
• Заблокировать.<br />
Разрешающее или запрещающее действие правила может быть отражено в отчете, для<br />
этого необходимо при создании правила в разделе Действие поставить флажок Записать<br />
в отчет.<br />
Чтобы создать правило для конкретной программы, например, правило, запрещающее<br />
интернет-пейджеру QIP любую сетевую активность за пределами ваших локальных и<br />
доверенных сетей, выполните следующие действия:<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации выберите QIP 2010.<br />
3. В нижней части окна нажмите ссылку Добавить. Откроется окно Сетевое правило, в<br />
котором можно задать настройки создаваемого правила.<br />
4. В окне Сетевое правило в блоке Действие выберите действие Заблокировать.<br />
5. Если вы хотите, чтобы в отчете отражалось действие этого правила, установите<br />
флажок Записать в отчет.<br />
6. В блоке <strong>Сетевой</strong> сервис выберите сервис Any network activity.<br />
7. В блоке Адрес выберите опцию Адреса подсети со статусом и в выпадающем<br />
списке выберите пункт Публичные сети.<br />
8. Нажмите на кнопку OK в окне Сетевое правило. На закладке Правила фильтрации<br />
в списке правил для программы QIP 2010 отобразится созданное вам правило.<br />
1 Правила для программ контролируют соединения только по протоколам TCP и UDP.<br />
11 | 2 3
Kaspersky Small Office Security 2<br />
9. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
10. В окне Настройка нажмите на кнопку Применить.<br />
Изменение правила для программы<br />
Для созданных программой по умолчанию сетевых правил можно изменить только<br />
действие. Для этого выполните следующие действия:<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации выберите нужную<br />
программу.<br />
3. В списке правил выбранной программы выберите правило, действие для которого<br />
хотите изменить.<br />
4. В графе Действие для выбранного правила нажмите правой кнопкой мыши на значок<br />
действия.<br />
5. В контекстном меню выберите нужное действие.<br />
6. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
12 | 2 3
Kaspersky Small Office Security 2<br />
7. В окне Настройка нажмите на кнопку Применить.<br />
Для созданного пользователем сетевого правила можно изменить все заданные при<br />
создании настройки. Для этого выполните следующие действия:<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации выберите программу,<br />
правило для которой хотите изменить.<br />
3. В списке правил выберите правило, которое хотите изменить.<br />
4. Нажмите ссылку Изменить в нижней части окна. Откроется окно Сетевое правило,<br />
в котором можно изменить параметры выбранного ранее правила.<br />
5. Измените требуемые параметры.<br />
6. В окне Сетевое правило нажмите на кнопку OK.<br />
7. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
8. В окне Настройка нажмите на кнопку Применить.<br />
Настройка сетевого сервиса<br />
При создании сетевого правила необходимо задать сетевой сервис. <strong>Сетевой</strong> сервис<br />
представляет собой виды сетевой активности, на которые может распространяться сетевое<br />
правило. Вы можете выбрать вид сетевой активности из списка или создать новый.<br />
<strong>Сетевой</strong> сервис имеет следующие параметры:<br />
• Название. Предпочтительно использовать такие названия, которые сразу дают<br />
представление о сути правила. Например, DNS over TCP;<br />
• Протокол. <strong>Сетевой</strong> <strong>экран</strong> контролирует соединения по протоколам TCP, UDP, ICMP,<br />
ICMPv6, IGMP и GRE 2<br />
. Если в качестве протокола был выбран протокол ICMP или<br />
ICMPv6, вы можете задать тип и код ICMP-пакета;<br />
2<br />
TCP, UDP, ICMP, ICMPv6, IGMP, GRE – протоколы (наборы правил) передачи данных по сети.<br />
ICMP-пакет – пакет, содержащий сообщение об ошибке или другой исключительной ситуации, возникшей при<br />
передаче данных. Поля тип и код ICMP-пакета содержат, соответственно, тип и код возникшей ситуации.<br />
13 | 2 3
Kaspersky Small Office Security 2<br />
• Направление. <strong>Сетевой</strong> <strong>экран</strong> контролирует соединения со следующими<br />
направлениями:<br />
Входящее — правило применяется для пакетов данных, принимаемых вашим<br />
компьютером;<br />
Входящее (поток) — правило применяется для сетевого соединения, открытого<br />
удаленным компьютером;<br />
Входящее/Исходящее — правило применяется как к входящему, так и к<br />
исходящему пакету или потоку данных, независимо от того, каким компьютером<br />
(вашим или удаленным) было инициировано сетевое соединение;<br />
Исходящее — правило применяется для пакетов данных, передаваемых с<br />
вашего компьютера;<br />
Исходящее (поток) — правило применяется только для сетевого соединения,<br />
открытого вашим компьютером;<br />
• Удаленные и локальные порты. Для протоколов TCP и UDP вы можете задать<br />
порты вашего и удаленного компьютера, соединение между которыми будет<br />
контролироваться.<br />
Задание диапазона IP-адресов<br />
При формировании условий правила вы можете указать сетевой адрес, к которому это<br />
правило будет применено. В качестве сетевого адреса можно использовать IP-адрес или<br />
указывать статус сети. В последнем случае адреса берутся из всех сетей, подключенных в<br />
данный момент и имеющих указанный статус.<br />
Вы можете выбрать одну из следующих категорий адресов:<br />
• Любой адрес — правило будет применяться к любому IP-адресу;<br />
• Адреса подсети со статусом — правило будет применяться к IP-адресам всех<br />
сетей, подключенных в данный момент и имеющих указанный статус:<br />
Доверенные сети;<br />
Локальные сети;<br />
Публичные сети;<br />
• Адреса из группы — правило будет применяться к IP-адресам, входящим в<br />
заданный диапазон. Выберите одну из существующих групп адресов. Если диапазон<br />
14 | 2 3
Kaspersky Small Office Security 2<br />
адресов ни одной из групп вам не подходит, создайте новую группу. Для этого<br />
выполните следующие действия:<br />
1. Нажмите ссылку Добавить в нижней части блока.<br />
2. В окне Сетевые адреса укажите адреса, входящие в группу.<br />
В KSOS 2 при указании диапазонов IP-адресов вручную возможно использование<br />
бесклассовой адресации 3<br />
.<br />
Беcклассовая адресация основывается на переменной длине маски подсети (Variable<br />
Length Subnet Mask, VLSM), в то время как в классовой адресации длина маски строго<br />
фиксирована 0,1, 2 или 3 установленными байтами.<br />
Рассмотрим пример записи диапазона IP-адресов в виде 10.96.0.0/11. В этом случае маска<br />
подсети будет иметь двоичный вид 11111111 11100000 00000000 00000000, или то же<br />
самое в десятичном виде: 255.224.0.0. 11 разрядов IP-адреса отводятся под номер сети, а<br />
остальные 32 - 11 = 21 разряд полного адреса — под локальный адрес в этой сети. Итого,<br />
10.96.0.0/11 означает диапазон адресов от 10.96.0.1 до 10.127.255.255.<br />
Однако следует помнить, что при указании CIDR-адресации в сетях протокола IP версии 4<br />
(IPv4) в любых случаях правило будет распространяться на всю подсеть.<br />
Для преобразования IP-адресов в CIDR специалисты Лаборатории Касперского<br />
рекомендуют использовать любой вебсайт, на котором предоставляется бесплатный сервис<br />
преобразования IP-адресов к СIDR-адресации (например, вебсайт http://ip2cidr.com/ ).<br />
3 Беcклассовая адресация (Classless InterDomain Routing, CIDR)— метод IP-адресации, позволяющий<br />
гибко управлять пространством IP-адресов, не используя жесткие рамки классовой адресации. Применение<br />
этого метода позволяет экономно использовать конечный ресурс IP-адресов, и, следовательно, повысить<br />
производительность KSOS 2 .<br />
15 | 2 3
Kaspersky Small Office Security 2<br />
Изменение правила для группы программ<br />
<strong>Сетевой</strong> <strong>экран</strong> анализирует сетевую активность каждой программы, запускаемой на вашем<br />
компьютере. При первом запуске программа в зависимости от многих параметров заносится<br />
в одну из следующих групп:<br />
• Доверенные 4<br />
. Программы, обладающие цифровой подписью доверенных<br />
производителей, а также те, запись о которых присутствует в базе доверенных<br />
программ. Активность этих программ контролируется Проактивной защитой и<br />
Файловым Антивирусом;<br />
5<br />
• Слабые ограничения . Программы, не имеющие цифровой подписи доверенных<br />
производителей или соответствующих записей в базе доверенных программ. Однако<br />
этим программам присвоен низкий рейтинг опасности;<br />
6<br />
• Сильные ограничения . Программы, не имеющие цифровой подписи или записей в<br />
базе доверенных программ. Эти программы имеют высокий рейтинг опасности;<br />
7<br />
• Недоверенные . Программы, не имеющие цифровой подписи или записей в базе<br />
доверенных программ. Этим программам присвоен очень высокий рейтинг опасности.<br />
Вы можете изменять сетевые правила для целых групп программ.<br />
Правила для отдельных программ имеют более высокий приоритет, чем правила для<br />
целой группы программ. Если вы установите для какого-либо вида сетевой активности<br />
разрешающее правило для всей группы программ, но зададите также запрещающее<br />
правило для отдельно взятой программы из этой группы, то такая сетевая активность будет<br />
блокироваться согласно более высокому приоритету правила для программы.<br />
Чтобы изменить правила для группы программ, например, если вы хотите, чтобы<br />
программы со слабыми ограничениями имели неограниченные права на сетевую активность<br />
в пределах локальных сетей, выполните следующие действия:<br />
1. В левой части окна Настройка в блоке Правила для групп программ нажмите на<br />
кнопку Настройка правил.<br />
4 Программам этой группы разрешается любая сетевая активность независимо от статуса сети.<br />
5 Программам этой группы разрешена любая сетевая активность в автоматическом режиме. В<br />
интерактивном режиме на <strong>экран</strong> выводится уведомление, с помощью которого вы можете разрешить или<br />
запретить соединение или создать правило для программы с помощью Мастера создания правила.<br />
6 Программам этой группы запрещена любая сетевая активность в автоматическом режиме. В<br />
интерактивном режиме на <strong>экран</strong> выводится уведомление, с помощью которого вы можете разрешить или<br />
запретить соединение или создать правило для программы с помощью Мастера создания правила.<br />
7 Программам этой группы запрещена любая сетевая активность.<br />
16 | 2 3
Kaspersky Small Office Security 2<br />
2. В окне Сетевые правила групп программ нажмите на знак «+» в заголовке графы<br />
Сети.<br />
3. Выберите группу программ Слабые ограничения.<br />
4. Для выбранной группы программ нажмите правой кнопкой мыши на значок действия<br />
сетевого правила сети Локальные.<br />
5. Выберите в контекстном меню действие Разрешить.<br />
6. В окне Настройка правил сетевого <strong>экран</strong>а нажмите на кнопку OK.<br />
17 | 2 3
Kaspersky Small Office Security 2<br />
7. В окне Настройка нажмите на кнопку Применить.<br />
Теперь все программы, входящие в группу Слабые ограничения, имеют неограниченные<br />
права на сетевую активность в пределах локальных сетей.<br />
Изменение приоритета правила<br />
Приоритет выполнения правила определяется положением правила в списке. Первое<br />
правило в списке обладает самым высоким приоритетом.<br />
Каждое создаваемое вручную правило добавляется в конец списка правил.<br />
Правила программ сгруппированы по имени программы, и приоритет правил<br />
распространяется только на определенную группу. Созданные вручную правила программы<br />
имеют более высокий приоритет, чем наследуемые правила группы.<br />
Чтобы изменить приоритет правила, выполните следующие действия:<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации выберите правило и<br />
переместите его на нужное место в списке с помощью ссылок Вверх или Вниз.<br />
3. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
18 | 2 3
Kaspersky Small Office Security 2<br />
4. В окне Настройка нажмите на кнопку Применить.<br />
Расширение диапазона IP-адресов<br />
Каждой сети соответствует один или несколько диапазонов IP-адресов. Если вы<br />
подключаетесь к сети, доступ к подсетям которой осуществляется через маршрутизатор, вы<br />
можете вручную добавить доступные через него подсети.<br />
Пример: вы подключаетесь к сети одного из офисов вашей компании и хотите, чтобы<br />
правила фильтрации для офиса, к которому вы подключены напрямую, и для офисов,<br />
доступных через сеть, были одинаковыми.<br />
Узнайте у администратора сети диапазоны адресов сетей этих офисов и добавьте их.<br />
Чтобы расширить диапазон адресов сети, выполните следующие действия:<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Сети выберите активное сетевое соединение и<br />
нажмите на ссылку Изменить.<br />
19 | 2 3
Kaspersky Small Office Security 2<br />
3. В окне Сетевое соединение на закладке Свойства в блоке Дополнительные<br />
подсети нажмите ссылку Добавить.<br />
4. В окне IP-адрес задайте IP-адрес или маску адресов.<br />
5. Нажмите на кнопку OK.<br />
6. В окне Сетевое соединение нажмите на кнопку OK.<br />
7. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
8. В окне Настройка нажмите на кнопку Применить.<br />
20 | 2 3
Kaspersky Small Office Security 2<br />
Настройка уведомлений об изменениях параметров сети<br />
Параметры сетевых соединений могут меняться в ходе работы. Вы можете настроить<br />
получение уведомлений о следующих изменениях:<br />
• о подключении к сети;<br />
• об изменении соответствия MAC-адреса IP-адресу. Это уведомление появляется,<br />
если был изменен IP-адрес одного из компьютеров сети;<br />
• о появлении MAC-адреса. Это уведомление появляется, если был добавлен новый<br />
компьютер в сеть.<br />
Чтобы включить режим оповещения об изменениях параметров сетевого соединения,<br />
выполните следующие действия:<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Сети выберите активное сетевое соединение и<br />
нажмите ссылку Изменить.<br />
3. В окне Сетевое соединение перейдите на закладку Дополнительно.<br />
4. Установите флажки для тех событий, уведомления о которых вы хотите получать.<br />
5. В окне Сетевое соединение нажмите на кнопку OK.<br />
21 | 2 3
Kaspersky Small Office Security 2<br />
6. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите кнопку OK.<br />
7. В окне Настройка нажмите на кнопку Применить.<br />
Настройка дополнительных параметров<br />
Вы можете задать дополнительные параметры работы Сетевого <strong>экран</strong>а:<br />
• Разрешать активный режим FTP. Активный режим предполагает, что для соединения<br />
сервера с клиентом на клиентском компьютере будет открыт порт, с которым затем<br />
соединяется сервер (в отличие от пассивного режима, когда клиент сам соединяется с<br />
сервером). Режим позволяет контролировать, какой именно порт будет открыт.<br />
Механизм работает даже если было создано блокирующее правило. По умолчанию<br />
активный режим FTP разрешен.<br />
• Блокировать соединения, если нет возможности запроса действия (не загружен<br />
интерфейс программы). Параметр позволяет не останавливать работу Сетевого<br />
<strong>экран</strong>а в то время, когда не загружен интерфейс KSOS 2. Действие выполняется по<br />
умолчанию.<br />
• Не отключать <strong>Сетевой</strong> <strong>экран</strong> до полной остановки системы. Параметр позволяет<br />
не останавливать работу Сетевого <strong>экран</strong>а до момента полной остановки системы.<br />
Действие выполняется по умолчанию.<br />
По умолчанию все параметры включены.<br />
Чтобы изменить дополнительные параметры работы Сетевого <strong>экран</strong>а, выполните<br />
следующие действия:<br />
1. В правой части окна Настройка в разделе <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку<br />
Настройка.<br />
2. В окне <strong>Сетевой</strong> <strong>экран</strong> на закладке Правила фильтрации нажмите на кнопку<br />
Дополнительно.<br />
22 | 2 3
Kaspersky Small Office Security 2<br />
3. В окне Дополнительно установите или снимите флажки рядом с нужными<br />
параметрами.<br />
4. В окне Сетевое соединение нажмите на кнопку OK.<br />
5. В окне <strong>Сетевой</strong> <strong>экран</strong> нажмите на кнопку OK.<br />
6. В окне Настройка нажмите на кнопку Применить.<br />
Особенности работы компонента<br />
При работе с компонентом <strong>Сетевой</strong> Экран необходимо помнить о следующих<br />
особенностях:<br />
• правила Сетевого <strong>экран</strong>а не влияют на Систему обнаружения сетевых атак (IDS);<br />
• для зоны Локальная сеть всегда разрешены ICMP-пакеты.<br />
23 | 2 3