Когда брандмауэры конфликтуют

Корпорация Майкрософт сделала важный шаг вперед, представив пакет обновления 2 (SP2) для Windows XP. Но что меняется при работе с продуктами WatchGuard? В данной статье рассматриваются службы, работающие на станции управления WatchGuard, и способы обеспечения взаимодействия этих приложений через брандмауэр Windows для их правильной работы.

Для начала следует отметить, что WatchGuard пока не поддерживает и не рекомендует SP2. Мы все еще оцениваем его совместимость с нашим программным обеспечением. В этой статье приводятся примерные инструкции, которые помогут вам выполнить начальное тестирование. Ознакомьтесь сначала со статьей Стива о стратегиях внедрения и тестирования SP2, затем прочтите эту статью — и вы сможете успешно приступить к работе с SP2.

Брандмауэр Windows, как и любой другой, блокирует любые данные, поступающие на ваш компьютер, если (a) вы не разрешили их; или (б) эти данные не являются ответом на запрос вашего компьютера. Свою функцию брандмауэр Windows выполняет, открывая и закрывая порты TCP и UDP. Для соединений, инициированных пользователем, брандмауэр должен открыть исходящий порт и сохранять открытым входящий порт на локальном компьютере, чтобы принимать ответы с другого конца.

В данной статье не рассматриваются наши продукты, которые инициируют соединения с нашими брандмауэрами для целей управления ими (например, наши управляющие приложения). Вместо этого здесь приводится обзор основных продуктов WatchGuard, для которых ваш компьютер должен принимать соединения. Какие же из установленных продуктов WatchGuard требуют, чтобы ваш компьютер принимал соединения с другим компьютером? Вот быстрый ответ:

• Ведение журнала
• WebBlocker
• MUVPN

Это не так много. Рассмотрим эти варианты более подробно.

Ведение журнала

Собственный формат ведения журнала WatchGuard называется WatchGuard Security Event Processor (WSEP). С его помощью можно собирать журналы устройства WatchGuard Firebox. Чтобы станция управления или узел протоколирования могли собирать журналы, направляемые системами Firebox II, Firebox III, Firebox X, SOHO, SOHO 6 или Firebox X Edge с использованием формата WSEP, компьютер должен принимать соединения с устройством, передающим журналы. Узел протоколирования, на котором загружено программное обеспечение WatchGuard, прослушивает TCP-порт 4107.

Перечисленные продукты могут также передавать свои журналы в формате syslog — это внутренний формат Unix и операционных систем — аналогов Unix, таких как Linux. Syslog не относится к продуктам WatchGuard, но если протоколирование данных Firebox ведется в формате syslog, то компьютер должен прослушивать UDP-порт 514.

WebBlocker

В основе работы WebBlocker для продуктов Firebox II, III и X лежит отправка запросов Firebox на сервер WebBlocker, установленный на компьютере в вашей сети. Сервер WebBlocker для Firebox II, III или X должен иметь возможность принимать соединения через TCP- и UDP-порт 5003. Устройства SOHO, SOHO 6 и Firebox X Edge обращаются к серверу WebBlocker, размещенному на оборудовании WatchGuard, поэтому не нужно беспокоиться о программном обеспечении WebBlocker, установленном в таких системах.

VPN для мобильных пользователей (MUVPN)

MUVPN — это клиентское программное обеспечение WatchGuard, позволяющее удаленным пользователям устанавливать с вашей сетью VPN-соединения на базе протокола IPSec. Мы лицензировали ядро нашего продукта MUVPN от SafeNet, Inc. Пока мы не готовы определенно сказать, как клиент MUVPN взаимодействует с брандмауэром Windows, но мы продолжаем сотрудничать с компанией SafeNet с целью полного тестирования клиента (и его отладки при необходимости). Мы сообщим вам, когда будут получены окончательные результаты.

Здесь возможна одна проблема: поскольку мы объединили персональный брандмауэр ZoneAlarm в пакете с нашим клиентом MUVPN, брандмауэр SP2 — который включен по умолчанию — может конфликтовать с ZoneAlarm, так как по сути оба брандмауэра выполняют одни и те же действия. В случае возникновения неполадок попробуйте отключить брандмауэр ZoneAlarm, установить SP2, затем отключить брандмауэр Windows и снова включить ZoneAlarm.

Два сценария

Теперь вам известно, что должно передаваться через брандмауэр Windows, чтобы можно было использовать продукты WatchGuard. Каким образом разрешать соединения компонентов WatchGuard через брандмауэр Windows — это отдельный вопрос. Брандмауэр Windows позволяет добавлять исключения в политику «Запретить все» двумя способами. Можно добавить исключение для программы или вручную разрешать порты TCP и UDP. При помощи любого из двух методов можно установить дальнейшие ограничения, определив, откуда будут приниматься соединения. Проще создать исключения для программы, чем для конкретных портов. Это и более безопасный способ, поскольку при добавлении исключений для каждой программы брандмауэр Windows разрешает соединения только во время работы программы.

Программы, для которых нужно добавить исключения, перечислены в таблице ниже. После таблицы приводится объяснение, как добавлять исключения в брандмауэр Windows.

Для использования Syslog необходимо выяснить, какой исполняемый файл запускает Syslog-приложение Windows, и добавить исключение для этой программы.

Чтобы перейти в раздел добавления исключений для брандмауэра Windows, сначала откройте панель управления Windows и выберите компонент Центр обеспечения безопасности. Откроется Центр обеспечения безопасности Windows. Здесь щелкните Брандмауэр Windows, чтобы перейти на вкладку «Общие» брандмауэра Windows. Для добавления исключения в брандмауэр Windows перейдите на вкладку Исключения и нажмите кнопку «Добавить программу». Наконец, при помощи функции обзора найдите программу, для которой нужно добавить исключение. Повторите эти действия для каждого приложения.

Пояснение к MUVPN

Хотя ваш компьютер не принимает соединения извне при установлении подключения MUVPN к брандмауэру WatchGuard, однако внутренне он определяет, что функция MUVPN активна. Чтобы функция MUVPN работала, необходимо добавить исключения в брандмауэр Windows для этой внутренней связи.

Можно добавлять исключения для каждого порта, но это более трудоемкий способ и его недостаточно для обеспечения внутренних взаимодействий, происходящих, когда функция MUVPN активна. Чтобы добавить исключения для каждого порта, нажмите кнопку Добавить порт вместо кнопки «Добавить программу». Полный список портов, используемых продуктами WatchGuard, см. в главе «Часто задаваемые вопросы», раздел Какие порты используют устройства WatchGuard?

Примечание. Большинство портов, перечисленных в этом разделе главы «Часто задаваемые вопросы», используются при установлении исходящего подключения к устройству WatchGuard, а для исходящих соединений не нужно добавлять исключения в брандмауэр Windows.

Заключение

Хочу повторить: здесь приведены примерные инструкции для специалистов по настройке, предварительно тестирующих SP2 и новый брандмауэр Windows. Это не подтверждение и не заявление о совместимости.

Корпорация Майкрософт обеспечила компьютерному сообществу значительную поддержку и развитие технологий защиты, но она также обеспечила специалистов в области информационной и сетевой безопасности массой работы. Надеюсь, что наладка систем с использованием продуктов WatchGuard станет наименьшей из возможных трудностей после внедрения нового брандмауэра Windows на компьютеры вашей компании (или на ваш собственный компьютер). Приступайте к настройке!

Источник: www.firebox.ru