Endian Firewall Manual de referencia r. 2.2.1.9 . Copyright (c) 2008 Endian srl, Italia Se concede permiso para copiar, distribuir y / o modificar este documento bajo los términos de la GNU Free Documentation License, Version 1.2 o cualquier otra versión posterior publicada por la Free Software Foundation, sin Secciones Invariantes ni Textos de Cubierta Delantera ni Textos de Cubierta Trasera. Una copia de la licencia está incluida en la sección titulada "GNU Free Documentation License". Índice
Capítulo 1: El menú del sistema Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla. Los siguientes enlaces aparecerán en un submenú en el lado izquierdo de la pantalla. Que permiten la administración de base y monitoreo de su Endian Firewall .
INICIO - Sistema de conexión a Internet y una visión general de estado CONFIGURACIÓN DE LA RED - la red y la interfaz de configuración SOPORTE - formulario de solicitud de ENDIAN RED - Red Endian información de registro CONTRASEÑAS - contraseñas conjunto del sistema ACCESO SSH - enable / configure Secure Shell (SSH) el acceso a su Endian Firewall GUI AJUSTES - como idioma de la interfaz COPIA DE SEGURIDAD - backup / restore Endian Firewall ajustes, así como restablecer los valores de fábrica APAGAR - apagar / reiniciar su Endian Firewall CRÉDITOS - gracias a todos los contribuyentes Cada enlace se explican por separado en las secciones siguientes.
Casa
Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione INICIO en el submenú en el lado izquierdo de la pantalla. Esta página muestra un resumen de la conexión de subida (s) y la salud general del sistema. Una tabla se muestra, detallando el estado de conexión de cada subida. Por lo general, usted sólo verá un enlace ascendente de una sola llamada PRINCIPAL , ya que es el enlace ascendente principal. De particular interés es el campo de estado del enlace ascendente individual: DETENIDO - La subida no está conectado. CONEXIÓN - La subida es actualmente de conexión. CONECTADO - El enlace ascendente está conectado y en pleno funcionamiento. DESCONEXIÓN - La subida es actualmente de desconexión. Endian Firewall mantiene ping a la puerta y anuncia cuando esté disponible. FRACASO - Hubo un error al conectar el enlace ascendente. SI NO, VOLVER A CONECTAR - Hubo un fallo al conectar con el enlace ascendente. Endian Firewall es intentarlo de nuevo. LINK MUERTO - El enlace ascendente está conectado, pero los locales que se definieron en LA RED , INTERFACES para comprobar la conexión no pudo ser. Básicamente, esto significa que la subida no es operativo. Cada enlace ascendente puede ser operado en modo gestionado (por defecto) o el modo manual. En el modo logró Endian Firewall monitoriza y reinicia el enlace ascendente de forma automática cuando sea necesario. Si está desactivado el modo administrado, la subida puede ser activada o desactivada de forma manual. No habrá ningún intento de reconexión automática si se pierde la conexión. Finalmente, después de la mesa de enlace ascendente, se puede encontrar una línea del sistema de salud, que es similar al siguiente ejemplo: EFW-1203950372.localdomain - 13:45:49 hasta 1 minuto, 0 usuarios, carga promedio: 1.89 4.84, 0.68 Esto es básicamente el resultado de la Linux el tiempo de actividad del comando. Se muestra la hora actual, los días / horas / minutos que Endian Firewall ha estado funcionando sin reiniciar el sistema, el número de inicios de sesión de la consola y la carga media de los últimos 1, 5, y 15 minutos.
Configuración de la red
Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione CONFIGURACIÓN DE RED en el submenú en el lado izquierdo de la pantalla. Configuración de la red y la interfaz es rápida y fácil con el asistente proporcionada en esta sección. El asistente se divide en varios pasos: puede desplazarse hacia atrás y adelante con el > botones. Puede navegar libremente todos los pasos y decide cancelar sus acciones en cualquier momento. Sólo en el último paso se le pedirá que confirme la nueva configuración. Si se confirma, la nueva configuración se aplicará. Esto puede llevar algún tiempo durante el cual la interfaz web no puede responder. A continuación se presenta una lista detallada de cada paso del asistente. Elija el tipo de interfaz RED Cuando Endian Firewall se instaló, la interfaz de red de confianza (denominado GREEN interfaz) ya ha sido elegido y creado. Esta pantalla permite seleccionar la interfaz de red no es confiable (la llamada RED interface): el que conecta su Endian Firewall . al "exterior" (por lo general el enlace ascendente con su proveedor de internet) Endian Firewall es compatible con los siguientes tipos de REDinterfaces: ETHERNET STATIC - Desea utilizar un adaptador de Ethernet y que necesita para configurar la información de red (dirección IP y máscara de red) de forma manual. Este suele ser el caso cuando se conecta a su RED de interfaz a un simple router mediante un cable Ethernet cruzado. ETHERNET DHCP - Desea utilizar un adaptador Ethernet que recibe información de la red a través de DHCP. Este suele ser el caso cuando se conecta a su RED de interfaz a un cable de módem / router ADSL / RDSI del router mediante un cable Ethernet cruzado. PPPOE - Desea utilizar un adaptador de Ethernet que se conecta mediante un cable cruzado de Ethernet a un módem ADSL. Tenga en cuenta que esta opción sólo es necesario si el módem utiliza el modo de puente y se requiere su cortafuegos para usar PPPoE para conectarse a su proveedor. Preste atención para no confundir esta opción con la ESTATICA ETHERNET o ETHERNET DHCP opciones para conectar a routers ADSL que manejan los propios PPPoE. ADSL (USB, PCI) - Desea utilizar un módem ADSL (dispositivos USB o PCI).
RDSI - Desea utilizar un adaptador RDSI. ANALÓGICO / UMTS MODEM - Desea utilizar un módem analógico (dial-up) o UMTS (teléfono móvil). PUERTA DE ENLACE - Su Endian Firewall no tiene RED interfaz. Esto es inusual ya que un firewall normalmente tiene que tener dos interfaces de por lo menos - para algunos escenarios de esta tiene sentido sin embargo. Un ejemplo sería si desea utilizar sólo un servicio específico del firewall. Otro ejemplo, más sofisticado es un Endian
Firewall cuya AZUL zona está conectada a través de una VPN con el VERDE interfaz de segundo Endian Firewall . El firewall del segundo VERDEdirección IP puede ser utilizada como un enlace ascendente de copia de seguridad en el primer cortafuegos. Si elige esta opción, tendrá que configurar una puerta de enlace predeterminada en el futuro. Elegir zonas de la red
Endian Firewall toma IPCop idea de las diferentes zonas. En este punto usted ya ha encontrado las dos zonas más importantes: VERDE - es el segmento de red de confianza. RED - es el segmento de red de confianza. Este paso le permite añadir una o dos zonas adicionales, siempre que disponga de las interfaces suficiente. Zonas disponibles son: ORANGE - es la zona desmilitarizada (DMZ). Si los servidores host, es recomendable para conectarse a una red diferente a su VERDE red. Si un atacante logra entrar en uno de sus servidores, él o ella se encuentra atrapada dentro de la DMZ y no se puede obtener información sensible de los equipos locales en su VERDE zona. AZUL - es la zona de conexión inalámbrica (WLAN). Puede conectar un punto de acceso hotspot WiFi o de una interfaz asignada a esta zona. Las redes inalámbricas no son seguras a menudo - por lo que el objetivo es atrapar a todos los equipos conectados de forma inalámbrica en su propia zona sin acceso a ninguna otra zona, excepto rojo (por defecto).
Tenga en cuenta que una interfaz de red está reservada para el VERDE zona. Otro que ya se le puede asignar a la RED la zona si se ha seleccionado una RED tipo de interfaz que requiere una tarjeta de red. Esto podría limitar sus opciones de aquí al punto de que no se puede elegir un ORANGE o BLUE zona debido a la falta de interfaces de red adicionales. Preferencias de red Este paso le permite configurar el VERDE zona y cualquier otra zona adicional que podría haber creado en el paso anterior ( naranja o azul ). Cada zona está configurada en su propia sección con las siguientes opciones: DIRECCIÓN IP - Especificar una dirección IP (por ejemplo, 192.168.0.1). Preste atención a no utilizar direcciones que ya están en uso en su red. ¡Tienes que ser especialmente cuidadoso al configurar las interfaces de la GREEN zona para evitar el bloqueo mismo de la interfaz web! Si cambia las direcciones IP de Endian Firewall en un entorno de producción, es posible que necesite ajustar la configuración de otros lugares, por ejemplo la configuración del proxy HTTP en los navegadores web. MÁSCARA DE RED - Especifique la máscara de CIDR / red de una selección de máscaras posible (por ejemplo / 24 - 255.255.255.0). Es importante utilizar la misma máscara para todos los dispositivos en la misma subred. SI DESEA MÁS DIRECCIONES - Puede añadir direcciones IP adicionales a partir de diferentes subredes a la interfaz de aquí. INTERFACES - Mapa de las interfaces de las zonas. Cada interfaz puede ser asignada a una sola zona y cada zona debe tener al menos una interfaz. Sin embargo, es posible asignar más de una interfaz a una zona. En este caso, estas interfaces son un puente entre sí y actúan como si fueran parte de un interruptor. Todas las interfaces se muestran en la etiqueta con su número de identificación del PCI, la descripción del dispositivo que devuelve lspci y sus direcciones MAC. El símbolo muestra el estado del enlace actual: una tickmark muestra que el enlace está activo, una X significa que no hay enlace y un signo de interrogación le dirá que el conductor no proporcionar esta información.
Tenga en cuenta que Endian Firewall interno se ocupa de todas las zonas de puentes, sin importar el número de interfaces asignadas. Por lo tanto el nombre de las interfaces de Linux es BRX , no ethX . Además, el host del sistema y el nombre de dominio se puede configurar en la parte inferior de la pantalla.
Es necesario utilizar direcciones IP en diferentes segmentos de red para cada interfaz, por ejemplo: IP = 192.168.0.1, máscara de red = / 24 - 255.255.255.0 para GREEN IP = 192.168.10.1, máscara de red = / 24 - 255.255.255.0 para ORANGE IP = 10.0.0.1, la máscara de red = / 24 - 255.255.255.0 para BLUE Se sugiere seguir las normas descritas en RFC1918 y el uso de las direcciones IP contenidas en las redes reservadas al uso privado de la Asignación de números de Internet (IANA) : 10.0.0.0 - 10.255.255.255 (10.0.0.0 / 8), 16.777.216 direcciones 172.16.0.0 - 172.31.255.255 (172.16.0.0/12), 1.048.576 direcciones 192.168.0.0 - 192.168.255.255 (192.168.0.0/16), 65.536 direcciones de la primera y la última dirección IP de un segmento de red son la dirección de red y la dirección de difusión, respectivamente, y no debe ser asignado a cualquier dispositivo.
Las preferencias de acceso a Internet Este paso le permite configurar la RED interfaz, que se conecta a Internet oa cualquier otra red no es de confianza fuera de Endian Firewall . Usted encontrará diferentes opciones de configuración en esta página, dependiendo del tipo de la RED de interfaz que ha elegido antes. Algunos tipos de interfaces requieren más pasos de
configuración que otros. A continuación se muestra una descripción de la configuración para cada tipo. ETHERNET STATIC - Es necesario introducir la dirección IP y máscara de red de la RED de la interfaz, así como la dirección IP de su puerta de enlace predeterminada - es decir, la dirección IP de la pasarela que conecta su Endian Firewall a Internet oa otra red insegura. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) y la dirección hardware Ethernet (dirección MAC) de la interfaz - por lo general esto no es necesario. ETHERNET DHCP - Sólo tiene que especificar si desea DHCP para configurar la dirección IP del servidor DNS (Domain Name Server) de forma automática o si desea que ajustarlo manualmente. PPPOE - Es necesario introducir el nombre de usuario y contraseña asignado por su proveedor, el método de autenticación (si es que no sé si PAP o CHAP se aplica, mantenga el valor predeterminado PAP O CHAP ) y si desea que la dirección IP del servidor DNS (Domain Name servidor) que se asignará de forma automática o si desea configurar manualmente. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) y el servicio de su proveedor y el nombre del concentrador - por lo general esto no es necesario. ADSL (USB, PCI) - Hay tres sub-pantallas para esta elección. En primer lugar es necesario seleccionar el controlador apropiado para su módem. Luego hay que seleccionar el tipo de ADSL: PPPOA , PPPOE , RFC 1483 IP ESTÁTICA o DHCP RFC 1483 . A continuación, es necesario proporcionar algunas de las siguientes opciones (en función de los campos de tipo ADSL están disponibles o no): los números VPI / VCI, así como el tipo de encapsulación, el nombre de usuario y contraseña asignado por su proveedor y el método de autenticación (si no saber si PAP o CHAP se aplica, utilice la opción predeterminada PAP O CHAP ), la dirección IP y máscara de red de la RED de la interfaz, así como la dirección IP de su puerta de enlace predeterminada ( RFC UNO MIL CUATROCIENTAS
IP ESTÁTICA única), si desea que la dirección IP del DNS (Domain Name Server) OCHENTA Y TRES
que se asignará de forma automática o si desea configurarlo manualmente. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) - por lo general esto no es necesario. RDSI - Es necesario seleccionar el controlador del módem, números de teléfono (número de su proveedor y el número que se utiliza para marcar), así como el nombre de usuario y contraseña que se han asignado a usted por su proveedor y el método de autenticación (si no sabes si PAP o CHAP se aplica, utilice la opción predeterminada PAP O CHAP ). También puede especificar si desea que la dirección IP del servidor DNS (Domain Name Server) que se asignará de forma automática o si desea configurar manualmente. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) - por lo general esto no es necesario. ANALÓGICO / UMTS MODEM - Hay dos sub-pantallas para esta elección. En primer lugar es necesario especificar el puerto serie el módem está conectado y si se trata de un simple módem analógico o un módem UMTS / HSDPA. Tenga en cuenta que / dev/ttyS0 se utiliza normalmente como una consola de serie y por lo tanto no disponible para modems. A continuación, debe especificar el módem de velocidad de bits, el número de teléfono de acceso telefónico o el nombre del punto de acceso, el nombre de usuario y contraseña que se han asignado a usted por su proveedor y el método de autenticación (si es que no sé si PAP o CHAP se aplica, utilice la opción predeterminada PAP O CHAP ). También puede especificar si desea que la dirección IP del servidor DNS (Domain Name Server) que se asignará de forma automática o si desea configurar manualmente. Para módems UMTS, también es necesario especificar el nombre del punto de acceso. Si lo desea, también puede especificar la MTU (Maximum Transmission Unit) - por lo general esto no es necesario. Por favor, lea la siguiente nota de los problemas
con los módems. PUERTA DE ENLACE - Sólo tiene que especificar la dirección IP de su puerta de enlace predeterminada - es decir, la dirección IP de la pasarela que conecta su Endian Firewall a Internet oa otra red insegura.
Algunos modernos módems UMTS son los dispositivos USB de almacenamiento masivo también. Estos módems suelen registrar en dos dispositivos (por ejemplo, / dev/ttyUSB0 , /
dev/ttyUSB1 ). En este caso, el segundo dispositivo es el módem. Este tipo de módem puede causar problemas al reiniciar el servidor de seguridad porque el firewall trata de arrancar desde el dispositivo de almacenamiento masivo USB. tarjetas SIM que requieren un número de identificación personal (PIN) no son compatibles con Endian Firewall . Configure la resolución de DNS Este paso le permite definir hasta dos direcciones de DNS (Domain Name Server), a menos que se asignan automáticamente. En caso de un solo servidor de nombres se utilizan es necesario para entrar en la misma dirección IP en dos ocasiones. Las direcciones IP que se introducen deben ser accesibles desde esta interfaz. Aplicar la configuración Este último paso le pide que confirme la nueva configuración. Haga clic en el ACEPTAR, APLICAR LA CONFIGURACIÓN para ir por delante. Una vez que hayas hecho esto, el asistente de red a escribir todos los archivos de configuración en el disco, vuelva a configurar todos los dispositivos necesarios y reiniciar todos los servicios en función.Esto puede tomar hasta 20 segundos, durante el cual no puede ser capaz de conectarse a la interfaz de administración y por un corto tiempo sin conexiones a través del firewall son posibles. La interfaz de administración se volverá a cargar automáticamente. Si ha cambiado la dirección IP de la GREEN interfaz de la zona, usted será redirigido a la nueva dirección IP. En este caso, y / o si ha cambiado el nombre de host de un certificado SSL nuevo se generará.
Apoyo
Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione SOPORTE en el submenú en el lado izquierdo de la pantalla. La solicitud de apoyo se pueden crear directamente desde esta pantalla. Rellene toda la información necesaria y presentar su solicitud. Un miembro del equipo de soporte Endian se comunicará con usted tan pronto como sea posible. Por favor proporcione una descripción detallada del problema a fin de ayudar al equipo de apoyo para resolver el problema lo más rápido posible. Si lo desea, puede conceder acceso a su servidor de seguridad a través de SSH (secure shell). Esta es una conexión encriptada y segura que permite a personal de apoyo para acceder a su Endian
Firewall para comprobar la configuración, etc Esta opción está desactivada por defecto. Cuando está activada, la clave pública del equipo de soporte de SSH se copia en el sistema y el acceso se concede a través de esa clave. La contraseña de root no se indica de ninguna manera.
Red Endian Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione LA RED ENDIAN en el submenú en el lado izquierdo de la pantalla. Su Endian Firewall puede conectarse a la red Endian (EN). Endian Network permite el control fácil y centralizada, administración y actualización de todos sus Endian Firewall sistemas con sólo unos clics. Esta pantalla contiene tres pestañas. El SUSCRIPCIONES pestaña muestra un resumen de su red Endian estado de la asistencia. La última sección se enumeran las claves de activación. Se necesita al menos una clave de activación válida (no caducado) para recibir actualizaciones de y participar en la Red Endian .Hay una clave para cada canal de soporte (por lo general sólo una). Si el firewall no se ha registrado el formulario de registro se muestra. El
ACCESO REMOTO
ficha permite especificar si su Endian Firewall puede ser alcanzado a través de la
red Endian en absoluto, y si es así, a través de qué protocolo: HTTP significa que la interfaz web se puede llegar a través de la red Endian y SSH significa que es posible acceder a través de Secure Shell a través de la red Endian . La ACTUALIZACIÓN DE ficha muestra y controla el estado de actualización de su sistema. Hay tres secciones. En primer lugar, al pulsar el
COMPROBAR NUEVAS ACTUALIZACIONES!
botón se accederá a los canales
de soporte en busca de nuevas actualizaciones. Si se encuentra alguna actualización que se enumeran (las actualizaciones se distribuyen como paquetes RPM). Al pulsar el PROCESO DE ACTUALIZACIÓN COMIENCE AHORA! botón instalar todos los paquetes actualizados. En segundo lugar - para ahorrar algo de tiempo - el sistema recupera la lista de actualizaciones de forma automática. Usted puede elegir el intervalo que se horaria, diaria, semanal (por defecto) o mensual - no te olvides de hacer clic en GUARDAR para guardar la configuración.
En tercer lugar, presionando
FIRMAS
ACTUALIZAR AHORA usted puede actualizar las firmas de antivirus
ClamAV. Esto sólo funciona si ClamAV está en uso, por ejemplo, en combinación con el correo electrónico o un proxy HTTP.
Contraseñas Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione
CONTRASEÑAS
en el submenú en el lado izquierdo de la pantalla.
Puede cambiar una contraseña en un tiempo aquí. Especificar cada nueva contraseña dos veces y pulse GUARDAR . Los usuarios están disponibles las siguientes: Admin - el usuario que puede conectarse a la interfaz web de administración. Raíz - el usuario que puede iniciar sesión en el shell de administración. Los inicios de sesión se pueden hacer localmente en la consola, a través de la consola de serie o de forma remota a través de SSH (secure shell) si se ha activado. Marcación - el Endian Firewall de usuario del cliente.
Acceso SSH Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione EL ACCESO SSH en el submenú en el lado izquierdo de la pantalla. Esta pantalla le permite activar a distancia SSH (secure shell) el acceso a su Endian Firewall . Esto está desactivado por defecto, que es la configuración recomendada. el acceso SSH está siempre en cuando uno de los siguientes:
Acceso Endian equipo de apoyo está permitido en el
SISTEMA
,
DE APOYO
.
El acceso SSH está activado en el SISTEMA , RED ENDIAN , ACCESO REMOTO . La alta disponibilidad está habilitado en LOS SERVICIOS , DE ALTA DISPONIBILIDAD . Algunas opciones de SSH se puede establecer: SSH VERSIÓN 1 DEL PROTOCOLO - Esto sólo es necesario para los viejos clientes SSH que no son compatibles con las nuevas versiones del protocolo SSH. Esto está totalmente desaconsejada ya que existen vulnerabilidades conocidas en SSH versión 1 del protocolo.Usted no debe actualizar los clientes SSH versión 2, si es posible. TCP REENVÍO - Seleccione esta opción si usted necesita para hacer un túnel a través de otros protocolos SSH. Consulte la nota de abajo para un ejemplo de casos de uso. CONTRASEÑA DE AUTENTICACIÓN
- Permitir inicios de sesión a través de la
autenticación de contraseña. AUTENTICACIÓN DE CLAVE PÚBLICA
- Permitir inicios de sesión a través de claves públicas. Las claves públicas se debe agregar a / root / .ssh /
authorized_keys . Finalmente hay una sección que detalla las claves públicas SSH de esta Endian Firewall que se han generado durante el primer proceso de arranque.
Suponga que tiene un servicio como telnet (o cualquier otro servicio que pueden ser canalizadas a través de SSH) en un equipo dentro de su verde la zona, por ejemplo el puerto 23 en el host 10.0.0.20. Así es como se puede configurar un túnel SSH a través de su Endian Firewall para acceder al servicio de forma segura desde fuera de la LAN. 1. Habilitar SSH y asegúrese de que se puede acceder (ver CORTAFUEGOS , ACCESO AL SISTEMA ). 2.desde un sistema externo conectarse a su Endian Firewall usando ssh-N-f-L
12345: 10.0.0.20:23 root @ endian_firewall donde -N no dice SSH para ejecutar comandos, pero sólo para reenviar el tráfico, -ffunciona SSH en el fondo y -L 12345:10.0.0.20:23 mapas de puertos del sistema externo de 12345 al puerto 23 en 10.0.0.20 como se puede ver desde su Endian
Firewall . 3. El túnel SSH desde el puerto 12345 del sistema externo al puerto 23 en el host 10.0.0.20 se ha establecido. En este ejemplo, ahora puede telnet al puerto 12345 de localhost para llegar a 10.0.0.20.
GUI ajustes
Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione LA CONFIGURACIÓN GUI en el submenú en el lado izquierdo de la pantalla. En el comunicado de la comunidad también es posible hacer clic en la AYUDA PARA TRADUCIR ESTE PROYECTO DE
enlace que abrirá la Endian firewall página de traducción. Cualquier ayuda se agradece.
Dos opciones con respecto a la interfaz web se puede configurar en esta pantalla: si se muestra el nombre de host en el título de la ventana del navegador y el idioma de la interfaz web (Inglés, alemán e italiano son soportados actualmente).
De reserva Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione COPIA DE SEGURIDAD en el submenú en el lado izquierdo de la pantalla. En esta sección usted puede crear copias de seguridad de Endian Firewall de configuración y restaurar el sistema a una de estas copias de seguridad cuando sea necesario. Copias de seguridad se pueden guardar localmente en el Endian Firewall de acogida, a una memoria USB o descargar en su ordenador. También es posible restablecer la configuración predeterminada de fábrica y crear copias de seguridad totalmente automatizado. Los grupos de respaldo Al hacer clic en la
COPIA DE SEGURIDAD
CREAR NUEVO botón de un cuadro de diálogo se abre, donde
puede configurar la instantánea del nuevo sistema: CONFIGURACIÓN
- incluye todas las configuraciones y los ajustes que haya realizado, que es el contenido del directorio / var / EFW .
DEPÓSITOS DE LA BASE DE DATOS
- incluye un volcado de base de datos, que incluye por ejemplo la información contable hotspot.
LOS ARCHIVOS DE REGISTRO REGISTRO DE ARCHIVOS
- incluye los archivos de registro actuales - incluye a antiguos archivos de registro, copias de seguridad con esta opción activada recibirá muy grande después de algún tiempo
OBSERVACIÓN
Haga clic en la
COPIA DE SEGURIDAD CREAR NUEVO
- un comentario adicional se puede agregar aquí botón de nuevo para seguir adelante y crear la
copia de seguridad. A continuación se presenta la lista de copias de seguridad disponibles (inicialmente vacía): se puede optar por descargar, borrar o restaurar haciendo clic en el icono apropiado en la lista. Cada copia de seguridad se anota con cero o más de las siguientes banderas: S - Ajustes. La copia de seguridad contiene las
configuraciones y los ajustes. D - Base de datos. La copia de seguridad contiene un volcado de base de datos. E - Encriptado. El archivo de copia de seguridad encriptada. L - Los archivos de registro. La copia de seguridad contiene archivos de registro. A - Archivo. La copia de seguridad contiene los archivos antiguos de registro. ! - ¡Error! El archivo de copia de seguridad está dañado. C - Crea automáticamente. La copia de seguridad se ha creado automáticamente por un trabajo de copia de seguridad programada. U - Esta copia de seguridad se ha guardado en una memoria USB. Cifrar copia de seguridad Puede proporcionar una clave pública GPG que se utiliza para cifrar todas las copias de seguridad. Seleccione su clave pública, haga clic en el NAVEGAR botón y elegir el archivo de clave del sistema de archivos local. Asegúrese de CIFRAR ARCHIVOS DE COPIA DE SEGURIDAD está activada. Confirmar y cargar el archivo de clave, haga clic en GUARDAR . Importar archivos de copia de seguridad Usted puede cargar una copia de seguridad previamente descargado. Seleccione la copia de seguridad haciendo clic en el NAVEGAR botón y elegir el archivo de copia de seguridad de su sistema de archivos local. Rellene el OBSERVACIÓN de campo para el nombre de la copia de seguridad y cargar haciendo clic en GUARDAR . No es posible la importación de copias de seguridad cifradas. Usted debe descifrar como copias de seguridad antes de subirlos. La copia de seguridad aparece en la lista de copia de seguridad anterior. Ahora puede elegir para restaurarlo haciendo clic en el icono de la restauración. Restaurar los valores predeterminados de fábrica Al hacer clic en la
FÁBRICA POR DEFECTO
botón le permite resetear la configuración de Firewall Endian
a valores de fábrica y reiniciar el sistema inmediatamente después. Una copia de seguridad de la configuración viejo es guardado automáticamente. Copias de seguridad programadas Seleccione la
COPIA DE SEGURIDAD PROGRAMADA
seguridad automatizadas.
pestaña si desea activar y configurar copias de
En primer lugar, activar y configurar copias de seguridad automáticas. Usted puede elegir lo que debe ser parte de la copia de seguridad: la configuración, los vertederos de la base de datos, archivos de registro y archivos de registro antiguos como se ve en los CONJUNTOS DE COPIA DE la sección. También puede elegir la forma de copias de seguridad que usted desea guardar (2.10) y el intervalo entre copias de seguridad (cada hora, diario, semanal o mensual). Cuando haya terminado haga clic en el GUARDAR botón. A continuación, puede indicar al sistema si desea o no copias de seguridad de correo electrónico. Si usted desea recibir por correo electrónico copias de seguridad se puede activar esta función y seleccionar la dirección de correo electrónico del destinatario. A continuación, puede GUARDAR la configuración. También hay una
COPIA DE SEGURIDAD AHORA ENVIAR UN
botón que se guardará la
configuración y tratar de enviar un correo electrónico con la copia de seguridad inmediatamente, por lo que puede probar el sistema.Opcionalmente, también puede proporcionar una dirección de correo electrónico del remitente (esto se debe hacer si su dominio o nombre de host no se pueden resolver por su DNS) y la dirección de una pasarela para ser utilizado (en caso de que quiera ir a todo el correo saliente a través de sus compañías de servidor SMTP, en lugar de ser enviados directamente por su Endian Firewall ). Si el proxy SMTP está deshabilitado, es absolutamente necesario para añadir una pasarela para poder enviar correos electrónicos.
Cierre Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione APAGAR en el submenú en el lado izquierdo de la pantalla. En esta pantalla se puede apagar o reiniciar su Endian Firewall , haga clic en el el REINICIO botón respectivamente.
APAGADO
o
Créditos Seleccione SISTEMA en la barra de menú en la parte superior de la pantalla, a continuación, seleccione
CRÉDITOS
en el submenú en el lado izquierdo de la pantalla.
Esta pantalla muestra la lista de personas que llevó a Endian Firewall para usted.
Capítulo 2: El menú de estado Seleccione ESTADO de la barra de menú en la parte superior de la pantalla.
Los siguientes enlaces aparecerán en un submenú en el lado izquierdo de la pantalla. Dan información detallada del estado sobre los distintos aspectos de su Endian Firewall :
EL ESTADO DEL SISTEMA - los servicios, recursos, tiempo de actividad, del núcleo ESTADO DE LA RED - Configuración de interfaces de red, la tabla de enrutamiento y la caché ARP LOS GRÁFICOS DEL SISTEMA - los gráficos de uso de los recursos LOS GRÁFICOS DE TRÁFICO - los gráficos de uso de ancho de banda GRÁFICOS PROXY - gráfico de las estadísticas de acceso HTTP proxy durante las últimas 24 horas CONEXIONES - lista de todos los abiertos TCP / IP OPENVPN CONEXIONES - lista de todas las conexiones OpenVPN ESTADÍSTICAS DE CORREO SMTP - SMTP Proxy gráfico de las estadísticas del filtro durante el último día / semana / mes / año COLA DE CORREO - cola del servidor de correo SMTP Cada enlace se explican por separado en las secciones siguientes.
Estado del sistema Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione EL ESTADO DEL SISTEMA en el submenú en el lado izquierdo de la pantalla. Esta pantalla se divide en las siguientes secciones (accesible a través de pestañas o el desplazamiento): SERVICIOS - muestra el estado de todos los servicios instalados en Endian Firewall - un servicio podría aparecer como DETENIDO , simplemente porque la función correspondiente no está habilitada. MEMORIA - esta es la salida de la Linux sin mando. La primera barra muestra la memoria total utilizada: es normal que este valor se aproxima al 100% para un sistema de larga duración, ya que el kernel de Linux utiliza toda la memoria RAM disponible como caché de disco. La segunda barra muestra la memoria realmente utilizada por los procesos de: idealmente esto debería ser inferior al 80% para mantener algo de memoria disponible para almacenamiento en caché de disco - si este valor se aproxima al 100%, el sistema se ralentizará debido a los procesos activos se intercambian en el disco: debe tener en cuenta mejora de RAM entonces. La tercera barra indica el uso de la zona. Para que un sistema de larga data que es normal para ver el uso del intercambio
moderado (el valor debe ser inferior al 20%), especialmente si no todos los servicios se utilizan todo el tiempo. EL USO DEL DISCO - esta es la salida de la Linux df de comandos. Se muestra el espacio en disco para cada partición de disco ( / , / boot y /
var para una instalación por defecto). / y / boot debe ser bastante constante, / var crece mientras se utiliza el sistema. EL TIEMPO DE ACTIVIDAD Y DE LOS USUARIOS - esta es la salida de la Linux w comando. En ella se informa de la hora actual, la información sobre el tiempo que el sistema ha estado funcionando sin reiniciar el sistema, el número de usuarios de sistemas operativos que actualmente se registran en el sistema (por lo general no debería haber ninguna) y el promedio de carga del sistema en los últimos 1, 5 y 15 minutos. Además, si cualquier usuario de shell se registra en el sistema, alguna información sobre el usuario en la pantalla (como el host remoto desde el que él o ella está conectado). MÓDULOS CARGADOS - esta es la salida de la Linux lsmod comando. Muestra los módulos del kernel cargado (la información es de interés para usuarios avanzados). VERSIÓN DEL KERNEL - esta es la salida de la Linux uname-r del comando. Se muestra la versión actual del kernel.
Estado de la red Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione ESTADO DE LA RED en el submenú en el lado izquierdo de la pantalla. Esta página muestra la salida de los comandos de Linux show ip addr (interfaces Ethernet, puentes y dispositivos virtuales), el estado de los adaptadores de red (si está disponible), la tabla de enrutamiento y la caché ARP (MAC / IP en el mercado local LAN) .
Los gráficos del sistema Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione SISTEMA DE GRÁFICOS en el submenú en el lado izquierdo de la pantalla.
Esta página contiene gráficos de recursos del sistema de las últimas 24 horas:. CPU, memoria, swap y el uso del disco Al hacer clic en uno de los gráficos se abrirá una nueva página con los gráficos de uso respectivas, el día de la semana pasada, el mes y año.
Los gráficos de tráfico Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione LOS GRÁFICOS DE TRÁFICO en el submenú en el lado izquierdo de la pantalla. Esta página contiene los gráficos de tráfico de las últimas 24 horas. Al hacer clic en uno de los gráficos se abrirá una nueva página con gráficos de tráfico para el último día, semana, mes y año de la interfaz elegida.
Gráficos Proxy Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione
LOS GRÁFICOS PROXY
en el submenú en el lado izquierdo de la pantalla.
Esta página contiene gráficos con estadísticas de acceso para el proxy HTTP en las últimas 24 horas.
Conexiones Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione CONEXIONES en el submenú en el lado izquierdo de la pantalla. Esta página muestra la lista de conexiones actuales a partir de, o pasar por Endian Firewall . El origen y el destino de todas las conexiones están resaltados en el color de las zonas que pertenecen. Además de las cuatro zonas ( VERDE , ROJO , NARANJA , AZUL ) que se definen por Endian Firewall , otros dos colores se muestran. NEGRO se utiliza para las conexiones locales del servidor de seguridad, mientras que PURPLE conexiones pertenecen a redes privadas virtuales (VPN).
OpenVPN conexiones Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione CONEXIONES OPENVPN en el submenú en el lado izquierdo de la pantalla. Esta página muestra una lista de conexiones OpenVPN. Es posible eliminar o prohibir a los usuarios conectados haciendo clic en la MUERTE o LA PROHIBICIÓN DE botón, respectivamente.
Estadísticas de correo SMTP
Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione
LAS ESTADÍSTICAS DE CORREO
SMTP en el submenú en el lado izquierdo de la pantalla.
Esta página muestra las estadísticas del tráfico SMTP (envío de correo electrónico) a través de Endian
Firewall para el último día, semana, mes y año. Esta información sólo está disponible cuando el servidor proxy se utiliza SMTP.
De cola de correo Seleccione ESTADO de la barra de menú en la parte superior de la pantalla, a continuación, seleccione
LA COLA DE CORREO
en el submenú en el lado izquierdo de la pantalla.
Esta página muestra la cola de correo electrónico actual (sólo está disponible cuando el servidor proxy se utiliza SMTP). También es posible para vaciar la cola, haga clic en la COLA DE CORREO FLUSH botón.
Capítulo 3: El menú de red Seleccione
LA RED
en la barra de menú en la parte superior de la pantalla.
Los siguientes enlaces aparecerán en un submenú en el lado izquierdo de la pantalla. Que permiten la creación de la red relacionados con las opciones de configuración:
EDITAR LOS EJÉRCITOS - definir hosts para la resolución local de nombres de dominio ROUTING - definir rutas estáticas y establecer una política de enrutamiento INTERFACES - editar tus enlaces ascendentes o crear VLANs Cada enlace se explican por separado en las secciones siguientes.
Editar los ejércitos Seleccione
LA RED
en la barra de menú en la parte superior de la pantalla, a continuación,
seleccione EDITAR HOSTS en el submenú en el lado izquierdo de la pantalla.
Endian Firewall incluye una memoria caché del servidor DNS (dnsmasq) que verifica el archivo del host para el nombre de look-ups. En esta sección se puede definir una entrada de host personalizado que será resuelto para todos los clientes.
Haga clic en el
AGREGAR UN HOST
enlace para añadir una entrada de host. Esto se hace especificando
la dirección IP, nombre de host y de dominio y luego de confirmar la entrada del sistema haciendo clic en el HOST AÑADIR botón. Una entrada existentes se pueden eliminar haciendo clic en el cubo de la basura en su fila. Para editar una entrada, es necesario hacer clic en el símbolo de lápiz. La línea se puso de relieve y un formulario pre-llenado se abre. Después de todos los cambios que se han aplicado a la entrada se guarda haciendo clic en el HOST DE ACTUALIZACIÓN botón.
Enrutamiento Seleccione
LA RED
en la barra de menú en la parte superior de la pantalla, a continuación,
seleccione
DE ENRUTAMIENTO
en el submenú en el lado izquierdo de la pantalla. Es posible elegir entre
dos tipos de ruta: routing estático y política de enrutamiento. Enrutamiento estático Permite asociar determinadas direcciones de red con pasarelas dado o uplinks. Haga clic en el AÑADIR UNA NUEVA REGLA DE enlace para especificar una regla de enrutamiento estático utilizando los siguientes campos: DE RED DE ORIGEN - origen de la red en notación CIDR (ejemplo: 192.168.10.0/24) DESTINO DE RED - destino de la red en notación CIDR (ejemplo: 192.168.20.0/24) RUTA VÍA - introduzca la dirección IP estática de una puerta de entrada o escoger entre los enlaces ascendentes disponibles ACTIVADO - de verificación para activar la regla (por defecto) OBSERVACIÓN - un comentario para recordar el propósito de esta regla después Haga clic en el GUARDAR para confirmar la regla. A continuación, puede activar / desactivar, editar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). Política de encaminamiento Permite asociar direcciones de red y puertos de servicios / protocolos con enlaces ascendentes dado. Haga clic en el CREAR UNA POLÍTICA DE REGLA DE ENRUTAMIENTO DE enlace para especificar una regla de política de enrutamiento. Los campos disponibles son las siguientes: FUENTE - La fuente puede ser una lista de zonas o de interfaces, una lista de direcciones IP o redes en la notación CIDR (ejemplo: 192.168.10.0/24), una lista de usuarios OpenVPN o una lista de direcciones MAC. Al seleccionar la regla coinciden todas las fuentes.
DESTINO - El destino puede ser una lista de direcciones IP, las redes en la notación CIDR o una lista de usuarios de OpenVPN. Al seleccionar la regla coinciden todas las fuentes. SERVICIO / PUERTO - Opcionalmente se puede especificar el protocolo y, en caso de TCP, UDP o TCP + UDP, un puerto para la regla. Algunas combinaciones predefinidas, por ejemplo, HTTP (protocolo TCP, puerto 80), se puede seleccionar de la lista desplegable Servicio. RUTA VÍA - Elija el enlace ascendente que se debe utilizar para esta regla. Si desea utilizar el enlace ascendente de copia de seguridad cada vez que el enlace ascendente seleccionado no está disponible, la opción tiene que ser comprobada. TIPO DE SERVICIO - El tipo de servicio (TOS) puede ser elegido en este caso.
El número binario detrás de cada tipo de servicio se describe cómo este tipo de obras. Los primeros tres bits describir la precedencia del paquete: 000 stands de precedencia predeterminada y 111 . describe la prioridad más alta El cuarto bit describe el retraso en el 0 significa que es un retraso normal y un medio de bajo retardo. El quinto bit describe el rendimiento. 1 aumenta el rendimiento, mientras que 0 representa el rendimiento normal. El sexto bit controla la fiabilidad. Una vez más un aumento de la fiabilidad y 0 es el escenario de la fiabilidad normal. Los ocho valores de precedencia IP se llaman selectores de clase (CS0-7). Además doce valores han sido
creados para reenvío asegurado (AF xy , donde x es una clase de 1 a 4 y de ser y caída de precedencia de 1 a 3) que proporcionan la pérdida de paquetes de baja con las garantías mínimas relativas a la latencia. Reenvío acelerado (EF PHB) ha sido definido para solicitar bajo retardo, bajo jitter y pérdida de baja del servicio.
OBSERVACIÓN - Establecer un comentario para recordar el objetivo de la norma. POSICIÓN - Definir dónde insertar la regla (posición relativa en la lista de reglas). ACTIVADO - Marca esta casilla para habilitar la regla (por defecto). REGISTRAR TODOS LOS - Marca esta casilla para registrar todos los paquetes que se ven afectados por esta PAQUETES ACEPTADOS
Haga clic en la
norma. REGLA
CREAR botón para confirmar la regla. A continuación, puede desactivar, editar o
eliminar cualquier regla de la lista haciendo clic en el icono correspondiente en la parte derecha de la tabla. También puede cambiar el orden de las reglas (haciendo clic en el arriba y abajo los iconos de flecha). Después de hacer cambios a una regla, no te olvides de hacer clic en el APLICAR botón en la parte superior de la lista!
Interfaces Seleccione LA RED en la barra de menú en la parte superior de la pantalla, a continuación, seleccione LAS INTERFACES en el submenú en el lado izquierdo de la pantalla, finalmente, elegir una de las dos siguientes fichas: Uplink editor Uplinks adicionales se puede definir haciendo clic en el
ENLACE ASCENDENTE EDITOR
ficha: elegir el tipo
de enlace ascendente, a continuación, rellenar el formulario de tipo específico. Los campos son casi los mismos que en la red El asistente de configuración (consulte el apartado "Configuración de red" en "El menú del sistema" del capítulo). Las siguientes opciones difieren desde el asistente de confguration red: TIPO - Esta selección incluye un protocolo adicional:.
PPTP PPTP puede ser configurado para trabajar en estático o en modo DHCP. Esto se hace seleccionando el respectivo valor de la "método PPTP" desplegable. La dirección IP y máscara de red debe estar definido en el campos de texto apropiado y sólo es necesario si el método estático ha sido elegido. Otras combinaciones IP / máscara de red o IP / CIDR se pueden añadir en el campo de abajo si la casilla de verificación correspondiente está activada. Número de teléfono, nombre de usuario y contraseña no son necesarios, pero puede ser necesaria para algunas configuraciones de trabajo. Esto depende de la configuración del proveedor. El método de autenticación puede ser PAP o CHAP. Si no está seguro de cuál usar, basta con mantener el valor por defecto "PAP o CHAP" que funcionará en ambos casos. INICIO DE ENLACE ASCENDENTE EN EL ARRANQUE - Esta casilla de verificación especifica si un enlace ascendente debe estar habilitado en el momento del arranque o no. Esto es útil para enlaces ascendentes de copia de seguridad que se manejan pero no es necesario que se inicie durante el arranque. SI ESTA SUBIDA NO
- Si está activado, este campo ofrece la posibilidad de elegir una alternativa de enlace ascendente de la lista desplegable. Esta subida se activará si la subida actual falla.
RECONEXIÓN DE TIEMPO DE ESPERA - Con este tiempo de espera se puede especificar el tiempo (en segundos) después de que un enlace ascendente vuelve a intentar si no. Este valor depende de la configuración de su proveedor. Si no está seguro deje este campo vacío. VLANs LAN virtuales (VLAN) se puede definir haciendo clic en el VLAN ficha. La idea detrás de ofrecer soporte VLAN en Endian Firewall está ayudando a permitir que las asociaciones arbitrarias de los IDs de VLAN a las zonas de cortafuegos. Para establecer una asociación haga clic en el ADD NEW VLAN enlace, a continuación, especifique los siguientes parámetros: INTERFAZ - la interfaz física de la VLAN se conecta a ZONA - la zona de la VLAN está asociada con VLAN ID - VLAN ID (0-4095)
Siempre que una LAN virtual se crea una nueva interfaz se ha creado. Esta interfaz se denomina ethX.y donde X es el número de la interfaz e y es el ID de la VLAN. Esta interfaz se asigna a la zona elegida. "NINGUNO" se puede elegir, si la interfaz se utiliza como puerto de alta disponibilidad de gestión.
Capítulo 4: El Menú de Servicios Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla.
Endian Firewall puede proporcionar una serie de servicios útiles que se pueden configurar en esta sección. En particular, se incluyen los servicios utilizados por los servidores proxy de varios, como el antivirus ClamAV. La detección de intrusiones, alta disponibilidad y control del tráfico se puede activar aquí. A continuación se presenta una lista de enlaces que aparecen en el submenú en el lado izquierdo de la pantalla:
SERVIDOR DHCP - DHCP (Dynamic Host Configuration Protocol) del servidor para la asignación de IP
automática DNS DINÁMICO - Cliente para proveedores de DNS dinámico como DynDNS (para el hogar / oficina
pequeña uso) CLAMAV ANTIVIRUS - configurar el antivirus ClamAV utilizado por el correo y los servidores proxy web LA HORA DEL SERVIDOR - activar / configurar el servidor de tiempo NTP, definir la zona horaria o la
actualización de forma manual DE TRÁFICO - priorizar el tráfico IP FORMACIÓN DE SPAM - configure la formación para el filtro de spam utilizada por los servidores proxy de correo DETECCIÓN DE INTRUSOS - configurar el sistema de detección de intrusos (IDS) Snort ALTA DISPONIBILIDAD - configurar su Endian Firewall en una configuración de alta disponibilidad SUPERVISAR EL TRÁFICO - activar o desactivar el control del tráfico con ntop Cada enlace se explica en las siguientes secciones.
El servidor DHCP Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione EL SERVIDOR DHCP en el submenú en el lado izquierdo de la pantalla. El DHCP (Dynamic Host Configuration Protocol) permite que usted controle la configuración de direcciones IP de todos los dispositivos de red de Endian Firewall de forma centralizada.
Cuando un cliente (host u otro dispositivo como impresora en red, etc) se une a la red se obtendrá automáticamente una dirección IP válida de un rango de direcciones y otras opciones del servicio DHCP. El cliente debe estar configurado para usar DHCP - esto es algo que se llama "configuración de red automática" y es a menudo la configuración predeterminada. Usted puede optar por ofrecer este servicio a los clientes en su VERDE única zona, o incluir los dispositivos de la naranja (DMZ) o AZUL zona (WLAN). Sólo debe marcar las casillas de verificación que están etiquetados como HABILITADO en consecuencia. Haga clic en la
CONFIGURACIÓN DE
enlace para definir los parámetros de DHCP como se describe a
continuación: DIRECCIÓN DE INICIO / FIN DE DIRECCIONES - Especificar el rango de direcciones que se entregarán. Estas direcciones tienen que ser dentro de la subred que se ha asignado a la zona correspondiente. Si desea configurar un host para utilizar manualmente las direcciones IP asignadas o direcciones IP fijas (ver abajo), asegúrese de definir un rango que hace que no incluyen estas direcciones o direcciones del conjunto de direcciones OpenVPN (ver OPENVPN , OPENVPN SERVIDOR ) para evitar los conflictos. Si va a utilizar contratos de arrendamiento fijo solamente (ver abajo), deje estos campos vacíos. DEFAULT / TIEMPO DE CONCESIÓN MAX - Esto define el tiempo default / máximo en cuestión de minutos antes de que expire la asignación de IP y el cliente se supone que debe solicitar un nuevo contrato de arrendamiento del servidor DHCP. DOMINIO SUFIJO DE NOMBRE - Este es el dominio predeterminado sufijo de nombre que se transmite a los clientes. Cuando el cliente busca un nombre de host, primero tratar de resolver el nombre solicitado. Si eso no es posible, el cliente deberá anexar este sufijo de nombre de dominio precedido por un punto y vuelve a intentarlo. Ejemplo: si el nombre de dominio completo del servidor de archivos local es earth.example.com y este sufijo es "example.com" , los clientes serán capaces de resolver el servidor con el nombre de "tierra". DNS PRIMARIO / SECUNDARIO - Esto especifica los servidores de nombres de dominio (DNS) para ser utilizados por sus clientes. Desde Endian Firewall contiene un servidor DNS, el valor predeterminado es el servidor de seguridad de una dirección IP en la zona respectiva.
PRIMARIA / SECUNDARIA SERVIDOR NTP - Aquí usted puede especificar el Network Time Protocol (NTP) para ser utilizados por sus clientes (para mantener los relojes sincronizados en todos los clientes). PRIMARIA / SECUNDARIA DEL SERVIDOR WINS - Esta opción especifica el nombre del servicio de Internet de Windows (WINS) para ser utilizados por sus clientes (para redes de Microsoft Windows que utilizan WINS).
Los usuarios avanzados tal vez desee añadir líneas de configuración personalizada que se añade a dhcpd.conf en el área de texto debajo de la configuración de las formas. Preste atención a que Endian Firewall interfaz 's no realiza ninguna comprobación de sintaxis en estas líneas: Cualquier error aquí, podrían inhibir el servidor DHCP de la partida! Ejemplo : Las líneas adicionales siguientes se pueden utilizar para manejar los teléfonos VoIP que necesitan recuperar sus archivos de configuración desde un servidor HTTP en el arranque: opción
tftp-server-name "http:// $ GREEN_ADDRESS"; opción bootfile-name ". descargar / snom / {mac} html"; Observe el uso de $ GREEN_ADDRESS que es una macro que se sustituye por el propio servidor de seguridad GREEN dirección de la interfaz.
Alquiler fijo A veces es necesario para ciertos dispositivos para utilizar siempre la misma dirección IP y seguir usando DHCP. Al hacer clic en el AÑADIR UN CONTRATO DE ARRENDAMIENTO FIJO enlace que permite asignar direcciones IP estáticas a los dispositivos. Los dispositivos se identifican con sus direcciones MAC. Tenga en cuenta que esto es muy diferente de la creación de las direcciones de forma manual en cada uno de estos dispositivos, ya que cada producto siga en contacto con el servidor DHCP para obtener su dirección.
Un caso de uso típico de esto es el caso de los clientes ligeros de la red que arrancar la imagen del sistema operativo desde un servidor de red con PXE (Entorno de ejecución de prearranque). Los siguientes parámetros se pueden establecer para definir alquiler fijo: DE DIRECCIONES MAC - el cliente es la dirección MAC DIRECCIÓN IP - la dirección IP que siempre se le asignará a este cliente DESCRIPCIÓN - descripción opcional LA SIGUIENTE DIRECCIÓN - la dirección del servidor TFTP (sólo para clientes ligeros / arranque en red) NOMBRE DE ARCHIVO - la imagen de arranque de nombre de archivo (sólo para clientes ligeros / arranque en red) DE RUTA DE RAÍZ - la ruta del archivo de imagen de arranque (sólo para clientes ligeros / arranque en red) ACTIVADO - Si esta casilla no está marcada el contrato fijo será almacenada pero no escrito para dhcpd.conf Cada contrato de arrendamiento fijo puede ser activado, desactivado, editados o eliminados haciendo clic en el icono correspondiente (iconos se describen en la leyenda en la parte inferior de la tabla de alquiler fijo). Lista de los actuales contratos de arrendamiento dinámica Las secciones DHCP termina con una lista de direcciones IP asignadas actualmente dinámica.
Dynamic DNS Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione DNS DINÁMICO en el submenú en el lado izquierdo de la pantalla. Proveedores de DNS dinámico como DynDNS ofrecer un servicio que permite asignar un nombre de dominio disponible a nivel mundial de direcciones IP. Esto funciona incluso con las direcciones que están cambiando de forma dinámica, tales como los ofrecidos por las conexiones de ADSL residencial. Para que esto funcione, cada vez que cambia la dirección IP, la actualización debe ser activamente propagan al proveedor de DNS dinámico.
Endian Firewall contiene un cliente de DNS dinámico de 14 proveedores diferentes - si está activado, automáticamente se conectará al proveedor de DNS dinámico y decirle que la nueva dirección IP después de cada cambio de dirección. Para cada cuenta (puede usar más de uno), haga clic en el AÑADIR UNA SERIE de enlace, a continuación, especifique los siguientes parámetros:
SERVICIO - elegir el proveedor de DNS dinámico DETRÁS DE UN PROXY - (Sólo se aplica si usted utiliza el servicio de noip.com) Marque esta casilla si su Endian Firewall se conecta a Internet a través de un proxy PERMITEN COMODINES - algunos proveedores de DNS dinámico permite que todos los sub-dominios de su punto de dominio a su dirección IP, es decir, www.example.dyndns.org y example.dyndns.org tanto se resuelven en la misma dirección IP: Al marcar esta casilla se activa esta función ( si lo admite su proveedor de DNS dinámico) NOMBRE DE HOST Y DOMINIO - el nombre de host y de dominio que registró con su proveedor de DNS dinámico, por ejemplo "ejemplo" y "dyndns.org" NOMBRE DE USUARIO Y CONTRASEÑA - como se indica a usted por su proveedor de DNS dinámico DETRÁS DEL ROUTER (NAT)
- comprobar esto si su Endian Firewall no está directamente conectado a Internet, es decir, detrás de otro router / gateway: en este caso el servicio en http://checkip.dyndns.org se utiliza para saber cuál es su dirección IP externa es
ACTIVADO - de verificación para habilitar (por defecto) Tenga en cuenta que todavía tiene que exportar un servicio a la RED zona si desea ser capaz de utilizar que el nombre de dominio para conectarse a su casa / oficina del sistema de la Internet. El proveedor de DNS dinámico simplemente hace parte del nombre de dominio de resolución para usted. Exportación de un servicio general podría incluir la configuración del reenvío de puerto (ver CORTAFUEGOS , REENVÍO DE PUERTOS / NAT ).
ClamAV antivirus Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione ANTIVIRUS CLAMAV en el submenú en el lado izquierdo de la pantalla. El proxy de correo electrónico (POP y SMTP) y web proxy (HTTP) componentes de Endian
Firewall utiliza el conocido antivirus ClamAV servicio. Esta sección le permite configurar la forma en ClamAV debe manejar las bombas de archivo (véase el párrafo siguiente para una explicación) y la frecuencia con la información acerca de nuevos virus se descarga ("programa de actualización de firmas"). También puede ver la última actualización prevista se ha realizado, así como iniciar manualmente una actualización. Contra el archivo de configuración de bomba
Bombas de archivo son los archivos que utilizan una serie de trucos para cargar el software antivirus, hasta el punto que la mayoría de los cerdos de los recursos del servidor de seguridad (ataque de denegación de servicio). Trucos incluyen el envío de archivos pequeños hechos de archivos de gran tamaño con contenido repetido que comprimen bien (por ejemplo, un archivo de 1 GB que contiene sólo ceros comprime a tan sólo 1 MB en formato ZIP), o múltiples archivos anidados (por ejemplo, archivos zip dentro de archivos zip) o archivos que contienen un gran número de archivos vacíos, etc ..). Para evitar este tipo de ataque, ClamAV está preconfigurado no escanear los archivos que tienen ciertos atributos, como se ha configurado aquí: MAX. ARCHIVO DE TAMAÑO - Archivos más grandes de este tamaño en MB no se analizan. MAX. ARCHIVOS ANIDADOS - Archivos que contienen archivos no se analiza si el anidamiento excede este número de niveles. MAX. ARCHIVOS EN EL ARCHIVO - Comprimidos no se escanean si contienen más de este número de archivos. MAX RELACIÓN DE COMPRESIÓN - Archivos cuyo tamaño sin comprimir excede el tamaño del archivo comprimido por más de X veces, donde X es el número especificado, no se analizan, el valor por defecto es de 1000 cuenta que los archivos normales suelen descomprimir a no más de 10 veces el tamaño del archivo comprimido . MANEJAR ARCHIVOS MAL - ¿Qué debe pasar a los archivos que no son analizados por causa de los ajustes anteriores: es posible elegir entre " NO ANALIZAR, PERO PASAN
"y" BLOQUEAR EL VIRUS ".
BLOQUEAR ARCHIVOS CIFRADOS - Ya que es técnicamente imposible de escanear encriptada (protegida por contraseña) archivos, que puedan constituir un riesgo para la seguridad y es posible que desee para bloquear marcando esta casilla. ClamAV programa de actualización de firmas de configuración Otro aspecto importante de correr ClamAV son las firmas de antivirus las actualizaciones: Información sobre los nuevos virus se debe descargar periódicamente desde un servidor de ClamAV. El panel de configuración (arriba a la derecha) le permite elegir la frecuencia de estas actualizaciones se llevan a cabo - el valor predeterminado es una vez cada hora. Sugerencia: mueva el ratón sobre los signos de interrogación para ver en qué momento las actualizaciones se realizan en cada caso - el valor por defecto es de un minuto más allá de la hora completa. ClamAV firmas de virus
En esta sección se muestra la última actualización se ha realizado y lo que es la última versión de firmas de antivirus ClamAV. Haga clic en ACTUALIZAR AHORA FIRMAS para realizar una actualización en este momento (independientemente de las actualizaciones programadas) - tenga en cuenta que esto podría tomar algún tiempo. También hay un enlace a la base de datos de virus en línea ClamAV en caso de que usted está buscando información acerca de un virus específico.
Servidor de tiempo Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione
EL SERVIDOR DE TIEMPO
en el submenú en el lado izquierdo de la pantalla.
Endian Firewall mantiene la hora del sistema sincronizado de los hosts de servidor de tiempo en el Internet utilizando el protocolo NTP (Network Time). Un número de hosts de servidores de tiempo en el Internet están preconfigurados y utilizado por el sistema. Haga clic en IGNORAR SERVIDORES NTP PREDETERMINADOS para especificar sus propios anfitriones servidor de hora. Esto puede ser necesario si está ejecutando una configuración que no permite Endian Firewall para acceder a Internet. Estos anfitriones que añadir uno por línea. Su configuración actual huso horario también se puede cambiar en esta sección. La última forma en esta sección le brinda la posibilidad de cambiar manualmente la hora del sistema. Esto tiene sentido si el reloj del sistema está muy lejos y que le gustaría acelerar la sincronización (ya que la sincronización automática con los servidores de tiempo no se hace al instante).
De tráfico Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione CONFIGURACIÓN DEL TRÁFICO en el submenú en el lado izquierdo de la pantalla. El propósito de la configuración del tráfico es para priorizar el tráfico IP que se va a través de su firewall en función del servicio. Una aplicación típica es dar prioridad a los servicios interactivos, como Secure Shell (SSH) o voz sobre IP (VoIP) sobre el tráfico a granel, como descargas. De tráfico por enlace ascendente Haga clic en los iconos en la parte derecha de la mesa para activar o desactivar la configuración del tráfico para cada enlace ascendente solo. Para la modulación del tráfico para que funcione correctamente es muy importante también para especificar el real los valores de ancho de banda arriba y abajo para cada enlace ascendente: haga clic en el icono del lápiz (editar), y luego rellenar el ancho de banda hacia arriba y abajo se expresa en kbit por segundo.
Servicios de tráfico Añadir las reglas de tráfico: haga clic en CREAR UN SERVICIO de añadir una nueva regla, especificando: ACTIVADO - de verificación para habilitar (por defecto) PROTOCOLO - si el servicio de prioridad es un puerto TCP o UDP de servicios (ejemplo: SSH es un servicio TCP) PRIORIDAD - dar una prioridad: "alto", "medio" o "bajo" PUERTO - el puerto de destino del servicio de prioridad (por ejemplo: SSH usa el puerto 22) Haga clic en CREAR SERVICIO para guardar los ajustes y aplicar la nueva regla.
Formación de spam Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione FORMACIÓN DE SPAM en el submenú en el lado izquierdo de la pantalla. SpamAssassin puede ser configurado para obtener automáticamente los correos electrónicos son mensajes de spam y cuáles no (los llamados correos de jamón). Para ser capaz de aprender, que necesita para conectarse a un host de IMAP y compruebe carpetas predefinidas para el spam y los mensajes de jamón. La configuración por defecto es no utilizados para el entrenamiento. Todo lo que hace es proporcionar los valores predeterminados de configuración que son heredados por las fuentes reales de formación que se puede añadir a continuación. Al hacer clic en la CONFIGURACIÓN POR DEFECTO EDICIÓN DE vincular un nuevo panel aparece cuando los valores por defecto se puede establecer: IMAP POR DEFECTO DE ACOGIDA - el anfitrión IMAP que contiene las carpetas de formación NOMBRE DE USUARIO POR DEFECTO - el nombre de usuario para el anfitrión IMAP CONTRASEÑA POR DEFECTO - la contraseña del usuario CARPETA PREDETERMINADA DE JAMÓN - el nombre de la carpeta que contiene sólo los mensajes de jamón POR DEFECTO LA CARPETA DE SPAM - el nombre de la carpeta que contiene sólo los mensajes de spam PROGRAMAR UNA FORMACIÓN AUTOMÁTICA DE FILTRO DE - el intervalo entre los controles. Esto puede ser SPAM discapacitados o estar una hora, intervalo diario, semanal o mensual. Para obtener información detallada acerca de la hora prevista se puede mover el cursor del ratón sobre el signo de interrogación al lado del intervalo de tiempo
seleccionado. Las fuentes de spam de formación se pueden añadir en la sección de abajo. Al hacer clic en el AÑADIR IMAP FUENTE DE SPAM FORMACIÓN enlace aparece un nuevo panel. Las opciones para los anfitriones de formación adicionales son similares a las opciones de configuración por defecto. Lo único que falta es la programación. Esto siempre se hereda de la configuración por defecto. Tres opciones adicionales están disponibles. ACTIVADO - si se marca esta casilla la fuente de formación se utilizará cada vez que spamassassin está capacitado OBSERVACIÓN - en este campo es posible guardar un comentario para recordar el propósito de esta fuente en un momento posterior ELIMINAR LOS CORREOS PROCESADOS - si se marca esta casilla mails serán eliminados después de haber sido procesados Las otras opciones se puede definir al igual que en la configuración por defecto. Si se define que reemplazar los valores predeterminados. Para guardar una fuente es necesario hacer clic en el ORIGEN DE LA ACTUALIZACIÓN DE FORMACIÓN botón después de todos los valores deseados se han establecido. Una fuente puede ser probado, activado, desactivado, editados o eliminados haciendo clic en el icono correspondiente en la fila. Los iconos se explican en la leyenda en la parte inferior de la página. También es posible comprobar todas las conexiones, haga clic en la DE
PRUEBA DE TODAS LAS CONEXIONES
botón. Tenga en cuenta que esto puede tomar algún tiempo si muchas fuentes se han definido la
formación o la conexión a los servidores de IMAP es lento. Para iniciar el entrenamiento inmediatamente la FORMACIÓN COMIENCE AHORA tiene que hacer clic. Es importante señalar que la capacitación puede tomar mucho tiempo dependiendo del número de fuentes, la velocidad de conexión y lo más importante en el número de correos electrónicos que se descargan.
También puede entrenar al motor de antispam manualmente si el SMTP Proxy está habilitado para la entrada, así como para los correos salientes. Esto se hace mediante el envío de mensajes de spam a
[email protected] . Que no son spam mails pueden ser enviados a
[email protected] . Para que esto funcione es necesario que spam.spam y ham.ham se puede resolver. Por lo general esto se logra mediante la adición de estos dos nombres de host a la configuración del host en LA RED , LOS HOSTS EDITAR , AGREGAR UN HOST en su Endian Firewall .
De detección de intrusos Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione LA DETECCIÓN DE INTRUSIONES en el submenú en el lado izquierdo de la pantalla.
Endian Firewall incluye la detección de intrusos conocidos (IDS) y prevención (IPS) Snort sistema. Que está directamente integrado en el IP-firewall (Snort en línea). En este momento no hay reglas se pueden agregar a través de la interfaz web, por lo tanto, Snort se puede utilizar sólo para usuarios avanzados que pueden cargar sus propias reglas a través de la línea de comandos. Funcionalidad para gestionar las reglas de la interfaz web se añadirán en una actualización futura.
Alta disponibilidad Endian Firewall puede funcionar fácilmente en la alta disponibilidad (HA) de modo. Por lo menos 2 Endian Firewall máquinas se requieren para el modo de HA: se asume el papel de los activos ( maestro ) firewall, mientras que los otros están en espera ( esclavo ) firewalls. Si el firewall maestro falla, una elección entre los esclavos se llevará a cabo y uno de ellos será promovido a su nuevo amo, que prevé la conmutación por error transparente. Maestro de configuración Para configurar este tipo de configuración HA, primero configure el servidor de seguridad que va a ser el maestro : 1.
Ejecutar el asistente de instalación, llenado de todas las informaciones necesarias.
2.
Acceder a la interfaz de administración web, seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione DE ALTA DISPONIBILIDAD en el submenú en el lado izquierdo de la pantalla.
3.
Establecer HABILITAR LA ALTA DISPONIBILIDAD de SÍ y establecer DISPONIBILIDAD
4.
LADO DE ALTA
de MAESTRO .
En este punto un panel adicional aparece en el maestro de la configuración específica se pueden configurar: La RED DE GESTIÓN DE la subred es especial para que todos los Endian Firewall s que forman parte de una configuración de HA se debe conectar a través de la verde de la interfaz. El valor predeterminado es 192.168.177.0/24 . A menos que esta subred ya se utiliza para otros fines que no hay necesidad de cambiar esta situación. La DIRECCIÓN IP MAESTRO es la primera dirección IP de la red de gestión. A continuación, hay algunos campos que se pueden rellenar si desea ser notificado por correo electrónico Si un evento de conmutación por error se lleva a cabo. Por último, haga clic en GUARDAR , y luego EN APLICAR para activar los ajustes. Esclavo de configuración
Configurar el firewall de la que va a ser el esclavo: 1.
Ejecutar el asistente de configuración, incluyendo el asistente de red, completando toda la información necesaria. Es que no es necesario configurar los servicios, etc, ya que esta información se sincronizarán desde el maestro. Sin embargo, es necesario registrar el esclavo con la red Endian .
2.
Acceder a la interfaz de administración web, seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione
DE ALTA DISPONIBILIDAD
en el submenú en el lado
izquierdo de la pantalla. 3.
Establecer HABILITAR LA ALTA DISPONIBILIDAD de SÍ y establecer DISPONIBILIDAD de ESCLAVOS .
4.
En este punto un panel adicional aparece en el esclavo de la configuración específica se pueden configurar:
LADO DE ALTA
Elija la RED DE GESTIÓN DE opción de acuerdo a la configuración en el maestro: ya sea verde . zona o un puerto de red dedicada Rellene el MAESTRO DIRECCIÓN IP (CIDR) de campo: 192.168.177.1/24 a menos que elija una dirección de gestión no estándar de red para el maestro. Llene la CONTRASEÑA DE ROOT MAESTRO (el esclavo necesita esto para sincronizar la configuración del maestro). Por último, haga clic en GUARDAR , y luego EN APLICAR para activar el ajustes. En este punto, el esclavo no puede llegar más a través de su antigua dirección IP (por defecto de fábrica o anterior VERDE dirección), ya que se encuentra en modo de espera. Está conectado con el único maestro a través de la red de gestión. Si te conectas con el maestro nuevo, en la página de HA se puede ver una lista de los esclavos conectados. Si hace clic en la INTERFAZ GRÁFICA DE USUARIO VAYA A ADMINISTRACIÓN DE enlace que puede abrir la interfaz de administración web del esclavo a través de la red de gestión (dirigidas a través del firewall maestro).
Monitoreo de Tráfico Seleccione SERVICIOS de la barra de menú en la parte superior de la pantalla, a continuación, seleccione SUPERVISIÓN DEL TRÁFICO en el submenú en el lado izquierdo de la pantalla. La vigilancia del tráfico se realiza por ntop y puede ser activada o desactivada, haga clic en el interruptor principal en esta página. Una vez que la vigilancia del tráfico que se permita la conexión a la interfaz de administración de control aparece en la parte inferior de la página. Esta interfaz de administración es suministrada por ntop e incluye estadísticas detalladas de tráfico. ntop muestra resúmenes, así como información detallada. El tráfico puede ser analizada por el anfitrión, el protocolo de interfaz de red local y muchos otros tipos de información. Para obtener información detallada sobre la interfaz de administración ntop por favor, eche un vistazo a INFORMACIÓN , DOCUMENTACIÓN EN LÍNEA en la interfaz de administración ntop sí o visite la página de documentación de ntop .
Capítulo 5: El menú de firewall Seleccione SERVIDOR DE SEGURIDAD DE la barra de menús en la parte superior de la pantalla. Esta sección permite configurar las reglas que especifican si y cómo los flujos de tráfico IP a través de su Endian Firewall . La siguiente es una lista de enlaces que aparecen en el submenú en el lado izquierdo de la pantalla:
EL REENVÍO DE PUERTOS / NAT - configurar el reenvío de puertos y NAT (Network Address
Translation) EL TRÁFICO DE SALIDA - permitir o no permitir saliente (hacia RED ), el tráfico - ajustes por zona,
host, puerto, etc ENTRE LA ZONA DE TRÁFICO - permitir o no permitir el tráfico entre las zonas EL TRÁFICO VPN - especificar si hosts que se conectan a través de una VPN debe ser un cortafuegos ACCESO AL SISTEMA - permitir el acceso a la Endian Firewall de host se Cada uno de estos apartados se explican por separado en los capítulos siguientes.
Reenvío de puertos / NAT Reenvío de puertos Seleccione SERVIDOR DE SEGURIDAD DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione
REENVÍO DE PUERTOS
/ NAT en el submenú en el lado izquierdo de la
pantalla. El reenvío de puertos permite el acceso limitado a la red externa de la RED zona (generalmente Internet) a los anfitriones en una zona interna, tales como la zona desmilitarizada ( ORANGE ) o incluso la red LAN de confianza ( VERDE ). Sin embargo, el reenvío a la verdezona no es recomendable desde el punto de vista de seguridad. Puede definir a qué puerto en el que la interfaz externa (puerto de entrada) será enviado a un determinado host / puerto en el interior (de destino). Los casos típicos uso podría ser que transmita el puerto 80 en una interfaz externa de un servidor web en la DMZ o para reenviar el puerto 1022 en una interfaz externa a un servidor SSH en el puerto 22 de una máquina en el DMZ. Es necesario proporcionar los siguientes parámetros: PROTOCOLO - protocolo: TCP, UDP, GRE (Generic Routing Encapsulation - utilizado por los túneles) o todos los IP ENTRANTES - la interfaz (externo) PUERTO DE ENTRADA - el puerto (1-65535) para escuchar en la interfaz externa IP DE DESTINO - la IP de la máquina de destino al que se reenvía
el tráfico entrante a PUERTO DE DESTINO - el puerto (1-65535) en el host de destino para que el tráfico de entrada se envía al OBSERVACIÓN - una observación de recordar el objetivo de la norma hacia adelante ACTIVADO - de verificación para activar la regla (por defecto) SNAT CONEXIONES ENTRANTES - especificar si el tráfico entrante debe parecer procedentes de la IP firewall en lugar de la IP real HABILITAR EL REGISTRO DE - registrar todos los paquetes que coinciden esta regla Haga clic en el AÑADIR botón para confirmar la regla. A continuación, puede activar / desactivar, editar o borrar cada regla de la lista, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). Después de hacer cambios o adiciones a su conjunto de reglas, no te olvides de hacer clic en el APLICAR botón en la parte superior de la pantalla! Una vez que se define una regla, puede limitar el acceso al destino de desvío desde el exterior RED zona. Para ello, debe hacer clic en el signo más-icon ("Añadir acceso externo") junto a la regla: permite limitar el acceso a una determinada fuente (host o la dirección de red). Usted puede hacer esto varias veces para agregar más fuentes. Un caso de uso para esto sería permitir el acceso SSH al puerto externo 1022 sólo a una IP externa de confianza de Internet. Source NAT En esta sección se puede definir a qué fuente de conexiones de red salientes de traducción de direcciones (NAT de Origen) se debe aplicar. Source NAT puede ser útil si un servidor detrás de Endian Firewall tiene su propia dirección IP externa y los paquetes de salida no debería usar la RED dirección IP del servidor de seguridad. Añadir fuentes reglas NAT es similar a agregar reglas de reenvío de puertos. Las opciones disponibles son las siguientes: FUENTE - En este campo puede especificar si las conexiones de salida que se inician desde una dirección de red o IP, o las conexiones iniciadas por un usuario de VPN debe ser de origen NAT. Si elige el primer TIPO , a continuación, debe introducir la dirección IP o red en el área de texto a continuación (uno por linea). Si elige el segundo TIPO se pueden seleccionar los usuarios que desee en el campo de selección múltiple a continuación. DESTINO - En este campo puede especificar si las conexiones a una ZONA / VPN / UPLINK , a
una RED / IP o un USUARIO debe ser NAT. Si elige el primer TIPO , a continuación, debe seleccionar una zona, una VPN o un enlace ascendente desde el campo de selección múltiple a continuación. Si elige el segundo TIPO se debe introducir las direcciones IP o de red en el área de texto a continuación (uno por linea). Si elige la tercera DE TIPO se pueden seleccionar los usuarios que desee en el campo de selección múltiple a continuación. SERVICIO / PUERTO - Aquí puede especificar el servicio que debe ser NAT. En el SERVICIO DE caja de selección, puede seleccionar valores predefinidos para distintos protocolos. Si desea especificar un mismo servicio, debe seleccionar el protocolo en elPROTOCOLO DE caja de selección y, en caso de que desee añadir un puerto, así, entrar en los puertos de destino en el PUERTO DE DESTINO
textarea (un puerto por cada línea).
NAT - Aquí puede elegir si desea aplicar Source NAT o no. Si opta por utilizar la red de fuente de traducción de direcciones, puede seleccionar la dirección IP que se deben utilizar. El AUTO entradas elegirá automáticamente la dirección IP en función de la interfaz de salida. En algunos casos es posible que desee declarar explícitamente que ninguna fuente de NAT se debe realizar, por ejemplo, si un servidor de la DMZ está configurado con una IP externa y no quieres que sus conexiones de salida para que su RED IP como fuente. ACTIVADO - Marque esta casilla si la regla debe ser aplicada. OBSERVACIÓN - Usted puede introducir una pequeña nota aquí de modo que puede recordar el propósito de esta regla. POSICIÓN - Aquí puede especificar después de que la regla que desea insertar esta regla. Para guardar la regla haga clic en el GUARDAR botón.
Configuración de un servidor SMTP que se ejecutan en IP 123.123.123.123 (suponiendo que 123.123.123.123 es una dirección IP adicional de subida) en la zona de distensión con la fuente de
NAT: 1. Configure suORANGE zona que desee. 2. Configurar el servidor SMTP para que escuche en el puerto 25 en una dirección IP en el ORANGE zona. 3. Añadir un enlace ascendente Ethernet estática con IP 123.123.123.123 a su Endian Firewall en la RED , INTERFACES DE sección. 4. Agregar una regla de origen NAT y especificar el ORANGE IP del servidor SMTP como dirección de origen. Asegúrese de usar NAT y configurar la dirección IP de origen NAT a 123.123.123.123.
El tráfico de salida Seleccione SERVIDOR DE SEGURIDAD DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione
EL TRÁFICO SALIENTE
en el submenú en el lado izquierdo de la pantalla.
Endian Firewall viene con un conjunto preconfigurado de reglas, que permiten el tráfico de salida (es decir, "acceso a internet") de la GREEN zona con respecto a los servicios más comunes (HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3S, IMAPS, DNS , mesa de ping). Todos los demás servicios son bloqueados de forma predeterminada. Del mismo modo, el acceso a HTTP, HTTPS, DNS y mesa de ping está permitido a partir de la BLUE zona (WLAN), mientras que sólo DNS y mesa de ping se permiten desde el ORANGE zona desmilitarizada (DMZ). Todo lo demás está prohibido por defecto. En esta sección se puede activar / desactivar, editar o eliminar reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). También puede agregar sus propias reglas haciendo clic en el AÑADIR UNA NUEVA REGLA DE FIREWALL en la parte superior. Por favor, considere que el orden de las reglas es importante: la regla de correspondencia primero decide si un paquete se permite o se deniega, sin importar cuantas reglas de coincidencia que pueda suceder. Puede cambiar el orden de las reglas de uso de la flecha arriba / abajo iconos junto a cada regla. Una regla se define por los siguientes parámetros: FUENTE - seleccionar una zona o de la interfaz, especifique uno o más de la red / host o direcciones MAC DESTINO - seleccionar toda la RED zona, uno o más
enlaces ascendentes o uno o más de la red / host las direcciones DEL PUERTO DE SERVICIO - el servicio de destino: seleccione un nombre de servicio de la lista o especificar un protocolo y uno o más números de puerto (1-65535) ACCIÓN - lo que debe hacerse con el paquete: aceptar que lo niega (caída sin respuesta al remitente) o rechazar (por no saber al remitente del firewall caer el paquete) OBSERVACIÓN - una observación de recordar el propósito de la regla de firewall más adelante POSICIÓN - en qué posición de la lista debe ser la regla inserta ACTIVADO - de verificación para habilitar esta regla (por defecto) REGISTRAR TODOS LOS PAQUETES ACEPTADOS - Registrar todos los paquetes aceptados (no incluye paquetes denegados / rechazado): Esta opción está desactivada por defecto, ya que va a crear grandes volúmenes de datos de registro Después de hacer cambios a una regla, no te olvides de hacer clic en el APLICAR botón en la parte superior de la lista! En la parte inferior de la página también puede encontrar las reglas que se ajustan automáticamente por Endian Firewall dependiendo de su configuración. Es posible activar o desactivar el firewall de salida mediante el uso de todo el
FIREWALL DE SALIDA
HABILITAR LA conmutación. Cuando está desactivada, todo el tráfico saliente está permitido (no recomendado).
Entre la zona de tráfico Seleccione SERVIDOR DE SEGURIDAD DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione
ENTRE LA ZONA DE TRÁFICO
en el submenú en el lado izquierdo de la pantalla.
Esta sección le permite configurar las reglas que determinan cómo el tráfico puede fluir entre los diferentes zonas de la red, con exclusión de la RED zona.
Endian Firewall viene con un simple conjunto de reglas preconfiguradas: el tráfico es permitido desde el verde de zona a cualquier otra zona ( naranja y azul ) y el tráfico es permitido dentro de cada zona. Todo lo demás está prohibido por defecto. Análoga a la del servidor de seguridad el tráfico de salida se puede activar / desactivar, editar o eliminar reglas, haga clic en el icono apropiado en el lado derecho de la mesa. También puede
agregar sus propias reglas haciendo clic en el AÑADIR UNA NUEVA INTER-ZONA DE REGLAS DE en la parte superior. Por favor, consulte la sección anterior ( FIREWALL
TRÁFICO SALIENTE
) para más detalles sobre el manejo de las
reglas del cortafuegos. El servidor de seguridad entre la zona puede ser desactivado / activado en conjunto con el INTERACTIVA ZONA FIREWALL cambiar. Cuando está desactivada, todo el tráfico se permite entre todas las demás zonas de la RED de zona (no recomendado).
Tráfico VPN Seleccione SERVIDOR DE SEGURIDAD DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione
EL TRÁFICO
VPN desde el submenú en el lado izquierdo de la pantalla.
El cortafuegos de tráfico de la VPN permite añadir reglas de firewall aplicadas a los hosts que están conectados a través de VPN. El firewall VPN es el tráfico que normalmente no se activa, lo que significa que el tráfico pueda fluir libremente entre los hosts de VPN y los anfitriones en el verde de zona y alberga VPN pueden acceder a todas las demás zonas. Tenga en cuenta que aloja VPN no sujetas a tráfico de salida del firewall o servidor de seguridad de tráfico entre zonas. Si es necesario limitar el acceso desde o hacia los ejércitos VPN es necesario utilizar el servidor de seguridad de tráfico VPN. El manejo de las reglas es idéntica a la del servidor de seguridad del tráfico saliente. Por favor, consulte el TRÁFICO SALIENTE de este capítulo para obtener más información sobre el manejo de las reglas del cortafuegos.
Sistema de acceso Seleccione SERVIDOR DE SEGURIDAD DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione
EL ACCESO AL SISTEMA
en el submenú en el lado izquierdo de la pantalla.
En esta sección se pueden configurar las reglas que conceden o deniegan el acceso a la Endian
Firewall sí mismo. Hay una lista de reglas preconfiguradas que no se puede cambiar. Esto es para garantizar el buen funcionamiento del firewall, ya que estas normas se crean automáticamente a medida que son requeridos por los servicios que ofrece el servidor de seguridad. Haga clic en el >> botón "Mostrar reglas de los servicios del sistema" para mostrar estas reglas. Haga clic en el AÑADIR UN NUEVO SISTEMA DE REGLAS DE ACCESO A enlace para añadir reglas personalizadas aquí. Los parámetros siguientes se describe la regla: DIRECCIÓN DE ORIGEN - especificar uno o más de la red / host o direcciones MAC
ORIGEN DE LA INTERFAZ - especificar una zona o de la interfaz SERVICIO / PUERTO - el servicio de destino: seleccione un nombre de servicio de la lista o especificar un protocolo y uno o más números de puerto (1-65535) ACCIÓN - lo que debe hacerse con el paquete: aceptar que lo niega (caída sin respuesta al remitente) o rechazar (por no saber al remitente del firewall caer el paquete) OBSERVACIÓN - una observación de recordar el objetivo de la norma de acceso al sistema más adelante POSICIÓN - en qué posición de la lista debe ser la regla inserta ACTIVADO - de verificación para activar la regla (por defecto) REGISTRAR TODOS LOS PAQUETES ACEPTADOS - Registrar todos los paquetes aceptados (además negó / rechazado los paquetes): Esta opción está desactivada por defecto, ya que va a crear grandes volúmenes de datos de registro Haga clic en el AÑADIR botón para confirmar la regla. A continuación, puede activar / desactivar, editar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). Después de hacer cambios o adiciones a su conjunto de reglas, no te olvides de hacer clic en el APLICAR botón en la parte superior de la lista!
Capítulo 6: El menú de Proxy Seleccione PROXY de la barra de menú en la parte superior de la pantalla. Un proxy es un servicio en su Endian Firewall que puede actuar como un portero entre los clientes (por ejemplo, un navegador web) y los servicios de red (por ejemplo, un servidor web en Internet). Los clientes se conectan al proxy que a su vez puede recuperar, caché, filtro y potencialmente bloquear la información desde el servidor original. Un proxy transparente si se le llama todo el tráfico pasa a través de él, de la configuración del cliente. La falta de transparencia por lo tanto, apoderados contar con la colaboración del cliente (por ejemplo, la configuración del proxy de su navegador web).
La siguiente es una lista de proxies que están disponibles en Endian Firewall . Cada proxy se puede configurar a través de los enlaces que se encuentran en el submenú en el lado izquierdo de la pantalla:
HTTP - configurar el proxy web, incluyendo la autenticación, filtrado de contenidos y antivirus POP3 - configurar el proxy para recuperar el correo mediante el protocolo POP, incluyendo el filtro
de spam y antivirus SIP - configurar el proxy para el protocolo de inicio de sesión (SIP) que utiliza voz a través de los
sistemas de PI FTP - activar o desactivar el servidor proxy FTP (ver los archivos que se descargan a través de FTP
en busca de virus) SMTP - configurar el proxy para enviar o recuperar el correo a través del protocolo SMTP, incluyendo
el filtro de spam y antivirus DNS - configurar el servidor de almacenamiento en caché de nombres de dominio (DNS) como antispyware Cada sección se explican por separado a continuación.
HTTP Seleccione PROXY de la barra de menú en la parte superior de la pantalla, a continuación, seleccione HTTP en el submenú en el lado izquierdo de la pantalla. Configuración Haga clic en el PROXY HTTP ACTIVAR botón para activar el proxy HTTP ( Endian Firewall utiliza el proxy caché Squid). Una vez que el proxy esté en funcionamiento, una serie de controles aparecen. En primer lugar, se puede definir la forma, los usuarios en cada zona ( verde y, si está habilitada también ORANGE , BLUE ) puede acceder al poder. Por las opciones de zona son: DISCAPACITADO
- el servidor proxy no está disponible en la zona determinada
SIN AUTENTICACIÓN
- el servidor proxy está disponible para cualquier persona (no es necesario iniciar sesión), pero hay que configurar su navegador de forma manual
SE REQUIERE AUTENTICACIÓN
- los usuarios tienen que configurar su navegador manualmente y que iniciar sesión con el fin de utilizar el servidor proxy
TRANSPARENTE
- el servidor proxy está disponible para cualquier persona y no se necesita configuración del navegador (tráfico HTTP es interceptada por el servidor proxy)
Algunos navegadores, como Internet Explorer y Firefox, son capaces de detectar automáticamente servidores proxy utilizando el Protocolo de detección automática de proxy web (WPAD). Mayoría de los navegadores también soportan configuración automática de proxy (PAC) a través de una URL especial. Cuando se utiliza un cortafuegos Endian la URL es la siguiente: http:// / proxy.pac . A continuación, viene una sección con las opciones de configuración global: PUERTO DEL PROXY - el puerto TCP utilizado por el servidor proxy (por defecto el 8080) VISIBLE EL NOMBRE DE HOST - el servidor proxy se asume esto como su nombre (también se mostrará en la parte inferior de los mensajes de error) CACHÉ DE CORREO ELECTRÓNICO DEL ADMINISTRADOR - el servidor proxy se mostrará la siguiente dirección de correo electrónico en mensajes de error IDIOMA DE LOS MENSAJES DE ERROR - el idioma en el que aparecen mensajes de error MAX TAMAÑO DE CARGA - límite de carga de archivos HTTP (como los usados por los formularios HTML con la subida de archivos) en KB (0 significa sin límite) A continuación encontrará una serie de opciones adicionales, cada uno en su propio panel que se puede ampliar haciendo clic en el + icono:
Puertos y Puertos permite SSL PUERTOS - lista de los puertos TCP de destino para que el servidor proxy acepta conexiones cuando se utiliza HTTP (uno por línea, los comentarios comienzan con #) PUERTOS SSL - el anterior, pero cuando se utiliza HTTPS en lugar de HTTP
Configuración del registro REGISTRO HABILITADOS - registro de todas las URL que se accede a través del proxy (interruptor principal) REGISTRO DE TÉRMINOS DE LA CONSULTA - También registro de los parámetros de la URL (por ejemplo,? id = 123) REGISTRO DE LOS AGENTES DE USUARIO - También registro de los agentes de usuario, es decir, que los navegadores web acceder a la
web REGISTRO CONTENTFILTERING - También de registro cuando el contenido se filtra LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - tienen el acceso a registro de firewall web (proxies transparentes solamente)
Subredes permitidas por zona VERDE / NARANJA / AZUL - para cada zona que sirve el proxy puede definir subredes que se les permite el acceso al proxy (por defecto a todas las subredes asociadas a la zona considerada) - dan una subred por línea (por ejemplo: 172.16.1.0/255.255.255.0 o 172.16.1.0 / 24). Nota: debe haber al menos una entrada para cada zona activa. Si usted no quiere permitir las conexiones desde toda una zona, entonces en vez deshabilitar el proxy en esa zona utilizando las casillas de selección debajo del PROXY HTTP PERMITIR cambiar.
Bypass / Fuentes prohibidas y Destinos BYPASS PROXY TRANSPARENTE - especificar las fuentes (panel superior izquierdo) y destinos (panel superior derecho), que no están sujetos a los proxys transparentes, dar una subred, la dirección IP o dirección MAC por línea DERIVACIÓN DEL FILTRO DEL PROXY - especificar las direcciones IP de origen (panel de la izquierda a mediados) y direcciones MAC de origen (panel de la derecha central) que, sin dejar de pasar por el proxy, no están sujetos a filtrar CLIENTES PROHIBIDOS - especificar las direcciones IP de origen (panel inferior izquierdo) o fuente de las direcciones MAC (panel inferior derecho) que están prohibidos (incondicionalmente bloqueado por el proxy)
Caché de gestión DISCO DURO / TAMAÑO DE LA MEMORIA CACHÉ - dar la cantidad de memoria del proxy debe asignar para almacenar en caché los sitios web, respectivamente, en el disco o en la RAM (en MB) MAX / MIN TAMAÑO DEL OBJETO - dar límites superior e inferior de los objetos que deben ser cacheados (en kilobytes) ACTIVAR EL MODO FUERA DE LÍNEA - Si esta opción está activada, el proxy no se trata de actualizar los objetos almacenados en caché del servidor web aguas arriba - Los clientes pueden navegar por sitios web en caché, estática, incluso después de la subida se redujo
NO ALMACENAR EN CACHÉ LOS DOMINIOS - en esta área de texto se puede especificar qué dominios no deben almacenar en caché (un dominio por línea)
Aguas arriba del proxy AGUAS ARRIBA DEL PROXY - utilizar esta opción para hacer su Endian Firewall proxy 's conectarse a otro proxy (upstream), especificar el proxy aguas arriba como "servidor: puerto" AGUAS ARRIBA DE USUARIO / CONTRASEÑA
- especificar las credenciales, si es necesaria la autenticación del proxy de aguas arriba
NOMBRE DE USUARIO / CLIENTE DE REENVÍO IP - adelante el nombre de usuario / cliente la dirección IP del proxy arriba Haga clic en el GUARDAR botón para confirmar y guardar los cambios de configuración. No te olvides de hacer clic en el APLICAR botón para reiniciar el servidor proxy para que los cambios se activen. El
CACHÉ TRANSPARENTE
botón permite eliminar todas las páginas web y archivos almacenados en
caché por el proxy HTTP. Autenticación
Endian Firewall proxy 's es compatible con cuatro tipos diferentes de autenticación: LOCAL , LDAP ,
DE
WINDOWS , RADIUS . Cada uno de estos tipos de necesidades de
los diferentes parámetros de configuración y se describe a continuación. Sin embargo, los parámetros de configuración global son: NÚMERO DE PROCESOS DE AUTENTICACIÓN - el número de procesos de autenticación que se pueden ejecutar al mismo tiempo AUTENTICACIÓN DE CACHÉ TTL (EN MINUTOS) - el tiempo en minutos el tiempo que los datos de autenticación deben ser cacheados LÍMITE DE DIRECCIONES IP POR CADA USUARIO - el número máximo de direcciones IP desde la que un usuario puede conectarse al servidor proxy de forma simultánea USUARIO / IP CACHÉ TTL (EN MINUTOS) - el tiempo en minutos la duración de una dirección IP se asocia con el usuario conectado TERRITORIO DE AUTENTICACIÓN DEL SISTEMA - este texto se muestra en el cuadro de diálogo de autenticación REQUERIR LA AUTENTICACIÓN DE - Si se deshabilita la dirección de origen sin LAS DIRECCIONES DE ORIGEN SIN RESTRICCIONES
restricciones no tendrán que proporcionar sus credenciales
DOMINIOS SIN NECESIDAD DE AUTENTICACIÓN - en esta área de texto puede introducir los nombres de dominio que se puede acceder sin ser autenticado (uno por línea) FUENTES (SUBRED / IP / MAC) - en esta área de texto puede introducir fuente SIN NECESIDAD DE AUTENTICACIÓN
subredes, direcciones IP o direcciones MAC que
no requieren de autenticación (uno por línea) Los siguientes parámetros están disponibles para la autenticación local. GESTIÓN DE USUARIOS - Haga clic en este botón si desea administrar usuarios locales. LONGITUD MÍNIMA DE CONTRASEÑA - Aquí se puede establecer la duración mínima de la contraseña para los usuarios locales. Los siguientes parámetros están disponibles para la autenticación LDAP. BASE DN - el nombre completo base, este es el punto de inicio de su búsqueda TIPO LDAP - Aquí puede elegir si usted está usando un Active
Directory del servidor, una de Novell eDirectory del servidor, un LDAP versión 2 del servidor o una versión 3 de LDAP del servidor SERVIDOR LDAP - la dirección IP o nombre de dominio completo del servidor LDAP PUERTO - el puerto en que escucha el servidor ENLAZAR DN NOMBRE DE USUARIO - el nombre completo de un usuario de DN de enlace, el usuario debe tener permiso para leer los atributos de usuario ENLAZAR DN CONTRASEÑA - la contraseña del usuario USUARIO OBJECTCLASS
- el usuario DN de enlace debe ser parte de esta objectClass
GRUPO OBJECTCLASS
- el usuario DN de enlace debe ser parte de esta objectClass
Los siguientes parámetros están disponibles para la autenticación de Windows. DOMINIO - el dominio al que desea unirse NOMBRE DE HOST DEL PDC - el nombre de host del controlador de dominio principal NOMBRE BDC - el nombre de host del controlador de dominio de reserva NOMBRE DE USUARIO - el nombre de usuario que desea utilizar para unirse al dominio CONTRASEÑA - la contraseña del usuario INGRESO DE DOMINIO - Haga clic aquí para unirse al dominio PERMITIR AL USUARIO BASADA EN LAS RESTRICCIONES DE - Si marca esta casilla se pueden agregar los ACCESO usuarios autorizados y no autorizados a los campos de texto que aparecen a continuación
UTILICE EL CONTROL DE ACCESO POSITIVO / NEGATIVO - puede elegir si desea utilizar el control de acceso positiva o negativa, en el campos de texto puede introducir un usuario por línea que debe tener acceso o no deben tener acceso, en función de la política de control de acceso que eligió Los siguientes parámetros están disponibles para la autenticación RADIUS. SERVIDOR RADIUS - la dirección del servidor RADIUS PUERTO - el puerto en el que el servidor RADIUS está escuchando IDENTIFICADOR - un identificador adicional SECRETO COMPARTIDO - la contraseña que se utilizará PERMITIR AL USUARIO BASADA EN LAS RESTRICCIONES DE - Si marca esta casilla se pueden agregar los ACCESO
usuarios autorizados y no autorizados a los campos de texto que aparecen a continuación
UTILICE EL CONTROL DE ACCESO POSITIVO / NEGATIVO - puede elegir si desea utilizar el control de acceso positiva o negativa, en el campos de texto puede introducir un usuario por línea que debe tener acceso o no deben tener acceso, en función de la política de control de acceso que eligió
Uso nativo de autenticación de Windows con Active Directory Con el fin de poder utilizar la autenticación nativa de Windows con Active Directory, tiene que asegurarse de que algunas condiciones se cumplen: - El firewall debe unirse al dominio. - Los relojes del sistema en el firewall y el el servidor de Active Directory tiene que estar en sintonía. - En el PROXY , DNS , ENCARGO
SERVIDOR DE NOMBRES DE
un servidor de nombres a medida que
se ha entrado. - El firewall debe ser capaz de resolver el nombre del servidor de Active Directory (por ejemplo, a través de una entrada en LA RED , EDITAR LOS EJÉRCITOS ). - El reino debe ser un nombre de dominio completo.
- El nombre de host PDC tiene que ser definido como el nombre NetBIOS del servidor de Active Directory.
Política por defecto La política por defecto se aplica a todos los usuarios del proxy, si son o no autenticado. Configuración de la directiva incluye un agente de usuario simple y filtro de tipo MIME, así como avanzadas basadas en el tiempo de detección de virus y las reglas de filtrado de contenidos. RESTRINGIR A LOS CLIENTES PERMITE EL ACCESO WEB - Esta casilla se activa el filtro de agente de usuario, que restringe el acceso web a los agentes de usuario seleccionado. TAMAÑO MÁXIMO DE DESCARGA - Esto establece el límite para las descargas de archivos HTTP en KB (0 significa sin límite). BLOQUEAR TIPOS MIME - Al activar esta opción, se activará un filtro que controla las cabeceras de entrada para su tipo MIME. Si el tipo MIME del archivo de entrada está dispuesto a ser bloqueado, el acceso será denegado. De esta manera usted puede bloquear los archivos que no correspondan a la política de la empresa (por ejemplo, archivos multimedia). CLIENTES QUE TIENEN PERMITIDO EL ACCESO WEB - Aquí se puede elegir clientes permitidos y los navegadores de la lista después de hacer clic en el + icono. BLOQUEADOS LOS TIPOS MIME - Puede especificar los tipos MIME bloqueados haciendo clic en el + icono y luego agregando un tipo por línea. La sintaxis se ajusta al estándar definido por la IANA. Ejemplos: application / Javascript, audio / mpeg, image / gif, text / html, video / mpeg Haga clic en el GUARDAR para guardar la configuración de la política por defecto. Usted puede ver sus propias reglas en la
LISTA DE
REGLA . Cualquier regla puede especificar si el
acceso a Internet está bloqueado o permitido, en este último caso se puede activar y seleccionar un tipo de filtro. Para agregar una nueva regla simplemente haga clic en CREAR UNA REGLA y la siguiente configuración se puede realizar: ACCESO A LA WEB - Especificar si la regla permite el acceso web o lo bloquea, también si tiene efecto durante todo el día o en un momento específico: elegir los días de la semana en que desea que esta regla se aplique y, en caso de que la regla no es válida
durante todo el día, también puede configurar el intervalo de tiempo. TIPO DE FILTRO - Elija Análisis antivirus sólo para crear una regla que sólo en busca de virus, elija filtro de
contenido sólo para crear una regla que analiza el contenido de las páginas web y los filtros de acuerdo a la configuración del FILTRO sección. Si usted elige sin
restricciones ni controles se llevarán a cabo. POSICIÓN - Especificar dónde ubicar la nueva regla. Los números más grandes tienen mayor prioridad.
Si marca la casilla de verificación Activar escaneo antivirus en el SERVIDOR PROXY , HTTP , FILTRO página, entonces todas las reglas (nuevas y viejas) marcadas como filtro de contenido sólo se cambian de filtro de
contenido + antivirus . Esto significa que los antivirus y filtro de trabajo de filtrado de contenido al mismo tiempo.
A continuación, puede cambiar la prioridad, editar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior) Filtro de contenido En primer lugar, a fin de utilizar el filtro de contenido, usted tiene que utilizar filtros de contenido , como el tipo de filtro en una norma (ya sea en LA POLÍTICA POR DEFECTO o PERFILES DE LA POLÍTICA
). Endian Firewall 's Filtro de contenido (DansGuardian) toma ventaja de tres técnicas de
filtrado. El primero se llama PICS (Plataforma para la Selección de Contenidos de Internet), es una especificación creada por W3C que utiliza los metadatos para etiquetar las páginas web para ayudar a controlar los padres. El segundo se basa en un sistema de ponderación frase avanzado, que analiza el texto de las páginas web y calcula un puntaje para cada página. El último método se aprovecha de una enorme lista de URLs clasificadas y dominios, todas las direcciones URL solicitadas se comparan con la lista negra antes de ser servido a los clientes. La pantalla se divide en una sección de configuración general y una sección donde se encuentra la política de filtrado específico elegido. ACTIVAR ANÁLISIS ANTIVIRUS - Permitir que tanto el filtro de contenidos (Dansguardian) y el proxy antivirus (HAVP).
HABILITAR EL REGISTRO - Registro de solicitudes bloqueadas. PLATAFORMA PARA LA SELECCIÓN DE CONTENIDOS DE - Habilitar el control de los padres sobre la base INTERNET
de metadatos PICS.
MAX. PUNTUACIÓN DE LAS FRASES - Especificar el nivel de puntuación máxima de una página de confianza (50-300). Puede ajustar este nivel: si los niños navegar por la web a través de Endian Firewall debe establecer un valor de alrededor de 50, para los adolescentes que debe ser de 100 y 160 para los adultos jóvenes. FILTRO DE CONTENIDO - Esta sección permite la configuración de filtros basados en el análisis de la frase. Usted puede bloquear o permitir las categorías de sitios, haga clic en el icono junto a él. Subcategorías se muestran al hacer clic en el + icono. URL DE LISTA NEGRA - Esta sección permite la configuración de filtrado de URL basada en la comparación. Usted puede bloquear o permitir las categorías de sitios haciendo clic en el icono al lado del nombre de la categoría. Subcategorías se muestran haciendo clic en + icono. PERSONALIZADO Y NEGRO LISTAS BLANCAS - Filtrado de contenidos puede causar falsos positivos y falsos negativos - aquí se puede lista de dominios que siempre deben ser bloqueadas o permitidas, independientemente de los resultados del análisis del filtro de contenido.
El análisis de frases requiere mucho más poder de cómputo que otras tecnologías (PICS y la lista negra URL). Si desea desactivar esta técnica de filtrado puede marcar todas las categorías según lo permitido en el
FILTRO DE CONTENIDO
sección.
Cuando las listas blancas de un dominio, asegúrese siempre de la lista blanca todos los ámbitos necesarios para que el sitio funcione así. Un ejemplo: - google.com está bloqueado, lo que significa que todos los subdominios de google.com se bloquean y maps.google.com es la lista blanca para que pueda acceder a ella - maps.google.com no funciona como debería, ya que trata de obtener datos de otros servidores de Google - tendrá a la lista blanca estos dominios (por
ejemplo, mt0.google.com ), así
Haga clic en GUARDAR para guardar los ajustes de filtro de contenido. Antivirus En este apartado puede configurar el motor anti-virus (ClamAV) que utiliza el proxy HTTP. MAX. TAMAÑO DE ESCANEO DE CONTENIDO - Especificar el tamaño máximo de archivos que deben ser analizados en busca de virus. NO ANALIZAR LAS SIGUIENTES DIRECCIONES - Una lista de URLs que no serán analizados en busca de virus (uno por línea). ÚLTIMA ACTUALIZACIÓN - Muestra el día y hora de la última actualización de firmas de virus y la cantidad total de virus reconocidos por ClamAV (entre paréntesis). Haga clic en GUARDAR para guardar la configuración del motor antivirus. Las políticas de grupo En esta página se pueden crear grupos que pueden estar asociados a los perfiles de política diferentes. Estos grupos pueden estar asociados a los usuarios cuando se utiliza Local de autenticación en el PROXY , HTTP , LA AUTENTICACIÓN DE la sección. Usted puede agregar un grupo haciendo clic en el CREAR UN GRUPO DE enlace e introducir un nombre de grupo. Después de hacer clic en el GRUPO CREAR botón el grupo se guarda. El perfil de los grupos se pueden cambiar seleccionando el perfil político adecuado y luego hacer clic en el GUARDAR botón debajo de la lista de grupos. Los grupos pueden ser desactivado, activado y eliminar haciendo clic en los iconos correspondientes (como se describe en la leyenda debajo de la lista). Perfiles de la política Es posible crear perfiles adicionales que se pueden utilizar en el GRUPO sección.
PROXY
, HTTP ,
LAS POLÍTICAS DEL
perfiles de la política se crean igual que la política por defecto en el PROXY , HTTP , POLÍTICA DE la sección.
POP3
POR DEFECTO LA
Seleccione PROXY de la barra de menú en la parte superior de la pantalla, a continuación, seleccione POP3 en el submenú en el lado izquierdo de la pantalla. En esta sección puede configurar el POP3 (correo entrante) proxy. Configuración global En esta página puede configurar los ajustes de configuración global del proxy POP3. Usted puede ACTIVAR o desactivar el servidor proxy POP3 para cada ZONA . También es posible para que el ESCÁNER DE VIRUS y el FILTRO DE SPAM para el correo entrante. Si desea registrar cada salida de conexión POP3 puede habilitar el CONEXIONES SALIENTES
REGISTRO DEL CORTAFUEGOS
casilla de verificación.
Filtro anti-spam En esta página usted puede configurar el proxy de POP3 debe reaccionar una vez que encuentra un mensaje de spam. SPAM ETIQUETA DE OBJETO - Aquí puede especificar un prefijo de asunto del correo electrónico spam. IMPACTOS REQUERIDOS - Esta opción define cuántos golpes son necesarios para un mensaje que consideramos spam. El valor predeterminado es 5 . HABILITAR EL RESUMEN DEL MENSAJE DE DETECCIÓN DE SPAM - Si desea detectar el spam con resúmenes de (PYZOR) mensajes se puede activar esta opción. Tenga en cuenta que esto podría ralentizar el proxy de POP3. LISTA BLANCA - Aquí usted puede lista blanca del remitente de correo electrónico-mail (uno por linea). También es posible poner en lista blanca todos los dominios mediante el uso de comodines, por ejemplo, * @ example.com . LISTA DE NEGRO - Aquí usted puede lista negra correo electrónico del remitente direcciones (una dirección por línea). También es posible a la lista negra todos los dominios mediante el uso de comodines, por ejemplo, * @ example.com .
SIP Seleccione PROXY de la barra de menú en la parte superior de la pantalla, a continuación, seleccione SIP en el submenú en el lado izquierdo de la pantalla. El proxy SIP es un demonio proxy / disfrazada para los protocolos SIP y RTP. SIP (Session Initiation Protocol, RFC3261) y RTP (Real-time Transport Protocol) son utilizados por voz sobre IP (VoIP), dispositivos para establecer las llamadas telefónicas y llevar a corrientes de voz.
El proxy maneja los registros de clientes SIP en la red LAN y realiza la reescritura de los cuerpos de los mensajes SIP para hacer las conexiones SIP posible a través de Endian Firewall , y por lo tanto, permiten a los clientes SIP (como X-Lite, kphone, linphone o hardware VoIP) para trabajar detrás de NAT. Sin este poder, las conexiones entre los clientes no son posibles en todo, si ambos están detrás de NAT, ya que un cliente no puede llegar directamente a la otra y por lo tanto no hay conexión RTP se pueden establecer entre ellos. Una vez activada, las opciones se pueden configurar (confirmar la configuración, haga clic en GUARDAR ). ESTADO - transparente significa que todo el tráfico saliente en el puerto SIP, será redirigido al proxy SIP, habilitado significa que la representación se escucha el puerto SIP y los clientes deben ser conscientes de que el proxy PUERTO SIP - por defecto: 5060 RTP PUERTO BAJA / ALTA - El rango de puertos UDP que el proxy SIP se utilizan para el tráfico RTP entrante y saliente. Por defecto, el rango de 7070 a (e incluyendo) 7090 se utiliza. Esto permite hasta 10 llamadas simultáneas (2 puertos por llamada). Si necesita más llamadas simultáneas, aumentar la gama. PROXY DE SALIDA HOST / PUERTO - El proxy SIP se puede enviar todo el tráfico a otro proxy de salida. COPIA DE SEGURIDAD AUTOMÁTICA DE REGISTROS - Esto permite que el proxy SIP para recordar registros después de un reinicio. REGISTRO DE LLAMADAS - Seleccione esta opción si desea registrar llamadas establecidas en el registro de proxy SIP. LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - Esto le mostrará las conexiones salientes en el registro de firewall.
FTP Seleccione PROXY de la barra de menú en la parte superior de la pantalla, a continuación, seleccione FTP en el submenú en el lado izquierdo de la pantalla. El FTP (File Transfer Protocol) proxy está disponible sólo como proxy transparente, lo que permite la detección de virus en las descargas FTP. Tenga en cuenta que sólo las conexiones al puerto FTP estándar (21) se redirigen al proxy. Esto significa que si usted configurar los clientes para usar el proxy HTTP también para el protocolo FTP, este proxy FTP no se pasará!
Puede activar el proxy FTP transparente sobre la verde zona y en las otras zonas habilitadas ( NARANJA , AZUL ). Las siguientes opciones se pueden configurar (confirmar la configuración, haga clic en GUARDAR ). LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - Mostrar las conexiones salientes en el registro de firewall. OMITIR EL PROXY TRANSPARENTE - Especificar las fuentes (izquierda) y destinos (panel derecho), que no están sujetos a FTP proxy transparente. Siempre se especifica una subred, la dirección IP o dirección MAC por línea.
Endian Firewall soporta FTP proxy transparente con frox si y sólo si está conectado directamente a Internet. Si tiene otro firewall o un router entre NATing Endian Firewall e Internet, frox no funciona, ya que utiliza un FTP activo contra la corriente.
SMTP Seleccione PROXY de la barra de menú en la parte superior de la pantalla, a continuación, seleccione SMTP en el submenú en el lado izquierdo de la pantalla. El SMTP (Simple Mail Transfer Protocol) proxy puede transmitir y el tráfico de correo electrónico de filtro, ya que se envía hacia los servidores de correo electrónico. El alcance de los proxy SMTP es controlar y optimizar el tráfico SMTP, en general, y para proteger su red contra las amenazas al utilizar el protocolo SMTP. El SMTP (protocolo simple de transferencia de correo) se utiliza el protocolo cuando un correo es enviado por su cliente de correo de un servidor de correo (correo saliente). También se puede utilizar si usted tiene su propio servidor de correo que se ejecutan en la red LAN ( VERDE interfaz) o la zona desmilitarizada ( ORANGE interfaz) y están permitiendo que los correos que se envían desde el exterior de la red (las solicitudes de entrada) a través de su servidor de correo. El configuración de proxy SMTP se divide en varias subsecciones.
Advertencia Con el fin de descargar el correo de un servidor de correo remoto con sus clientes de correo local, el protocolo POP3 o IMAP se utilizará. Si desea proteger el tráfico que también tiene que habilitar
el proxy POP3 en PROXY ,POP3 . Análisis del tráfico IMAP no es compatible actualmente. Con la funcionalidad de proxy de correo, ambos tipos de tráfico (correo entrante y saliente) se pueden escanear en busca de virus, spam y otras amenazas. El correo se bloquea si es necesario y las comunicaciones se enviarán tanto al usuario que recibe y el administrador. Con la posibilidad de escanear el correo entrante, el proxy de correo puede manejar las conexiones entrantes y pasar el correo a uno o más servidores de correo interno con el fin de eliminar la necesidad de contar con conexiones SMTP desde el exterior, dentro de sus redes locales.
Principal El es la sección principal de configuración del proxy de SMTP. Contiene las siguientes opciones: ACTIVADO - Esto permite que el proxy SMTP con el fin de aceptar las solicitudes en el puerto 25. TRANSPARENTE EN VERDE , AZUL ,NARANJA - Si el modo transparente está activada, todas las peticiones al puerto de destino 25 será interceptada y remitida al proxy SMTP sin necesidad de cambiar la configuración de sus clientes. ANTIVIRUS ESTÁ ACTIVADO - Marque esta casilla si desea activar antivirus. El antivirus se puede configurar en el SERVIDOR PROXY , SMTP , ANTIVIRUS enlace. SPAMCHECK ESTÁ ACTIVADO - Marque esta casilla si desea filtrar correos electrónicos no deseados. El filtro de spam puede ser configurado en el PROXY , SMTP , CORREO NO DESEADO sección. LAS EXTENSIONES DE ARCHIVO SE BLOQUEAN - Marque esta casilla si desea bloquear correos que contengan archivos adjuntos con determinadas extensiones. Las extensiones de archivo se puede configurar en el SERVIDOR PROXY
, SMTP , EXTENSIONES DE sección.
ARCHIVOS
SERVIDOR DE CORREO ENTRANTE HABILITADO - Si usted tiene un servidor de correo interno y desea que el proxy SMTP para reenviar los correos entrantes a su servidor interno debe habilitar esta opción. LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - Marque esta opción si desea que el servidor de seguridad para registrar todas las conexiones
establecidas saliente. Tenga en cuenta que en algunos países puede ser ilegal.
Es necesario configurar los dominios de correo electrónico para que el servidor debe ser responsable. Usted puede agregar a la lista de los dominios en el SERVIDOR PROXY , SMTP , DOMINIOS sección.
Para guardar y aplicar los ajustes que debe hacer clic en el GUARDAR CAMBIOS Y REINICIAR el botón. Antivirus El antivirus es una de las principales características del módulo de proxy SMTP. Tres acciones diferentes se pueden realizar cuando un correo que contiene un virus se envía. También es posible configurar una dirección de correo electrónico para las notificaciones. MODO - Usted puede elegir entre tres modos diferentes como mensajes infectados deben ser manejados. DESCARTAR : si usted elige este modo, el correo será eliminado BOUNCE : si usted elige este modo, el correo electrónico no será entregada, pero se recuperó al remitente en forma de un no -entrega de la notificación PASO : Si elige este modo, el correo se entrega normalmente
CORREO ELECTRÓNICO UTILIZADA PARA LAS NOTIFICACIONES - Aquí usted puede proporcionar una dirección de DE VIRUS correo que recibirá una notificación por cada correo electrónico infectados que se procesa. CUARENTENA DE VIRUS - Aquí usted puede especificar qué tipo de cuarentena que está utilizando. Los valores válidos son los siguientes: -. dejar este campo vacío deshabilitar la cuarentena - virus de la cuarentena esta infectada tiendas de electrónicos en el servidor de seguridad (en / var / amavis / virusmails), esta es la configuración por defecto. - valid.email @ dirección de correo electrónico válida cualquier dirección se traducirá en los e-mails infectados que se remitió a la dirección de correo electrónico.
Para guardar y aplicar los ajustes haga clic en el GUARDAR CAMBIOS Y REINICIAR el botón. Spam El módulo antispam conoce de diferentes maneras para protegerse de los correos spam. En general spamassassin y amavisd nuevos se utilizan para filtrar el spam. SpamAssassin proporciona diversos medios de detección de spam. Tiene una puntuación total del sistema, donde un gran número de normas relacionadas entre disparar y el total de un puntaje para determinar si un mensaje es spam o no. La página está dividida en dos secciones: SMTP PROXY y
LA LISTA GRIS
.
Mientras que los mensajes de spam más simple, como bien sabe de mensajes de spam y el correo enviado por los anfitriones de spam conocidos son bloqueados, los spammers siempre adaptar sus mensajes a fin de eludir los filtros de spam. Por lo tanto, es absolutamente necesario para entrenar siempre el filtro de spam con el fin de llegar a un filtro personalizado y más fuerte (de Bayes).
El SMTP PROXY sección contiene la configuración principal para el filtro de spam. SPAM DESTINO - Usted puede elegir entre tres modos diferentes como los correos spam son tratados. DESCARTAR : si usted elige este modo, el correo electrónico se eliminará BOUNCE : si usted elige este modo, el correo electrónico no será entregada, pero se recuperó al remitente en forma de un no entrega de la notificación PASO : Si elige este modo, el mensaje será entregado normalmente
DE CORREO ELECTRÓNICO UTILIZADA PARA LA NOTIFICACIÓN - Aquí usted puede proporcionar una dirección de DE ALERTA SOBRE EL SPAM
correo que recibirá una notificación por cada mensaje de spam que se procesa.
CUARENTENA DE SPAM - Aquí usted puede especificar qué tipo de cuarentena que está utilizando. Los valores válidos son los siguientes: -. dejar este campo vacío se desactivará la cuarentena de spam - spam en cuarentena este correo basura se almacena en el servidor de seguridad (en / var / amavis / virusmails), esta es la
configuración por defecto. - valid.email @ dirección válida cualquier dirección de correo electrónico se traducirá en los correos electrónicos spam que se remitió a la dirección de correo electrónico. SPAM NIVEL DE LA ETIQUETA - Si la puntuación de spam SpamAssassin es mayor que este número X-Spam-Status y cabeceras X-Spam-Level se añaden al correo electrónico. MARCA DE NIVEL DE SPAM - Si la puntuación de spam SpamAssassin es mayor que el número de correos son etiquetados con el TEMA DE SPAM y una cabecera X-Spam-Flag. NIVEL DE CUARENTENA DE SPAM - Electrónicos que superen esta puntuación de spam serán movidos a la cuarentena. ENVIAR NOTIFICACIÓN, SÓLO POR DEBAJO DEL NIVEL - Enviar mensajes de correo electrónico de notificación sólo si la puntuación de spam está por debajo de este número. SPAM TEMA - Aquí usted puede especificar un prefijo para el tema de los correos electrónicos marcados como Spam. La segunda sección contiene opciones de configuración de Endian Firewall 's siguientes opciones: GREYLISTING HABILITADO
LISTA GRIS
. Contiene las
- Marque esta casilla si desea habilitar la lista gris.
DELAY (SEC) - El retraso en las listas grises segundo puede ser un valor entre 30 y 3600. LISTA BLANCA DESTINATARIO - Puede lista blanca de correo electrónico, direcciones o dominios de todo en esta área de texto, por ejemplo,
[email protected] o el dominio endian.com (una entrada por línea). LISTA BLANCA DE CLIENTES - Puede lista blanca de direcciones de un servidor de correo aquí. Esto significa que todos los correos electrónicos procedentes de la dirección de este servidor no será revisado en busca de spam (una entrada por línea). Guardar la configuración y reiniciar el servidor proxy SMTP haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botón. Extensiones de archivo
Esto le permite bloquear los archivos con determinadas extensiones de archivo que se pueden adjuntar a los mensajes. Electrónicos que contienen archivos adjuntos, serán reconocidos y la acción seleccionada se llevará a cabo por el correo respectivo. Las siguientes opciones se pueden configurar: EXTENSIONES DE ARCHIVO BLOQUEADAS - Puede seleccionar una o varias extensiones de archivo para ser bloqueado. Con el fin de seleccionar varios archivos, pulse la tecla de control y haga clic en las entradas que desee con el ratón. ARCHIVOS PROHIBIDOS DE DESTINO - Usted puede elegir entre tres modos diferentes como los correos que contienen archivos adjuntos, debe ser manejado. DESCARTAR : si usted elige este modo, el correo electrónico se eliminará BOUNCE : si usted elige este modo, el correo electrónico no será entregada, pero se recuperó al remitente en forma de una notificación de no entrega PASO : Si elige este modo, el mensaje será entregado normalmente
ARCHIVOS PROHIBIDOS DE CUARENTENA - Aquí usted puede especificar qué tipo de cuarentena que está utilizando. Los valores válidos son los siguientes: -. dejar este campo vacío deshabilitar la cuarentena de correo electrónico con datos adjuntos bloqueados - spam en cuarentena el correo electrónico con archivos adjuntos tiendas bloqueado en el firewall (en / var / amavis / virusmails), esta es la configuración por defecto. - válido . @ email abordar cualquier dirección válida de correo electrónico se traducirá en los correos electrónicos con archivos adjuntos bloqueados ser enviado a la dirección de correo electrónico. DE CORREO ELECTRÓNICO UTILIZADA PARA LA NOTIFICACIÓN - Cada vez que un correo electrónico con un DE ARCHIVOS PROHIBIDOS archivo adjunto que está bloqueada debido a su extensión de archivo se encuentra, una notificación de correo electrónico se envía a esta dirección. BLOQUE DOBLE EXTENSIÓN - Si habilita esta opción, los archivos con doble extensión será bloqueado, ya que estos archivos se crean generalmente para dañar computadoras (bloqueado doble extensión se compone de alguno de extensión seguido .
exe , . com , . vbs , . pif , . scr , . bat , .
cmd o dll. ). Guardar la configuración y reiniciar el servidor proxy SMTP haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botón. Listas negras / blancas Un método frecuentemente utilizado para bloquear correos electrónicos no deseados son los llamados en tiempo real de listas negras (RBL). Estas listas son creadas, gestionadas y actualizadas por las diferentes organizaciones. Si un dominio o una dirección IP del remitente aparece en una de las listas negras, los correos electrónicos de la misma será rechazada sin previo aviso. Esto ahorra ancho de banda más que la ligadura con banda elástica del módulo antispam, ya que aquí mails no serán aceptados y manejados en cuando, pero rechazó la mayor brevedad una dirección IP en la lista se encuentra. Este diálogo también le da la posibilidad de bloquear de manera explícita (lista negra) o permitir que (lista blanca) ciertos remitentes, destinatarios, las direcciones IP o redes.
Advertencia A veces puede ocurrir que las direcciones IP han sido mal listado por el operador de RBL. Si esto sucede, se puede influir negativamente en su comunicación, en el sentido de que el correo será rechazado sin posibilidad de recuperarla. Usted también tiene una influencia directa en la RBL.
En el RBL sección se puede activar las siguientes listas: BL.SPAMCOP.NET
- Esta ligadura con banda elástica se basa en las comunicaciones de sus usuarios (www.spamcop.net).
ZEN.SPAMHAUS.ORG
- Esta lista sustituye a SBL-xbl.spamhaus.org y contiene la lista de bloqueo Spamhaus, así como la lista Spamhaus 'bloque de hazañas y su lista de la política de bloques.
CBL.ABUSEAT.ORG
- El CBL toma su origen de datos desde spamtraps muy grande. Sólo las listas de IPs que presentan características que son específicas para abrir representaciones de varios tipos (HTTP, calcetines, AnalogX, Wingate, etc) que han sido objeto de abusos para enviar spam, gusanos / virus que hacer su propia transmisión de correo directo, o algún tipo de troyano -caballo o software de spam "stealth",
sin hacer las pruebas de proxy abierto de cualquier tipo. DUL.DNSBL.SORBS.NET
LIST.DSBL.ORG
- Este contiene una lista de rangos de direcciones IP dinámicas (www.au.sorbs.net). - DSBL es la lista de remitentes Blackhole distribuida. Publica las direcciones IP de los ordenadores que han enviado mensajes de correo electrónico de prueba especiales para
[email protected] u otro listado de direcciones. El método de entrega principal de los spammers es el abuso de los servidores no seguros. Por esta razón, muchas personas quieren saber que los servidores no son seguros para que puedan rechazar de correo electrónico de estos servidores. DSBL proporciona exactamente esa información (www.dsbl.org).
DSN.RFC-IGNORANT.ORG
- Esta es una lista que contiene los dominios o redes IP cuyos administradores optan por no obedecer a las RFC, las normas de la red (www.rfc-ignorant.org).
IX.DNSBL.MANITU.NET
- Una lista negra de DNS a disposición del público, que es permanentemente regenerada a partir de la lista negra de IP y la tabla de spam hash del filtro de spam NiX Spam.
Guardar la configuración y reiniciar el servidor proxy SMTP haciendo clic en el GUARDAR CAMBIOS Y REINICIAR
el botón.
Nota Los usuarios avanzados pueden modificar la lista editando el archivo / var / EFW / smtpd / default / RBL.
También puede crear listas blancas y negro mediante la adición de entradas a los campos de la
LISTA
NEGRA / BLANCA
sección. Las áreas de texto siguiente se puede llenar en esta sección: LISTA BLANCA DEL REMITENTE
- Mails de estas direcciones o dominios siempre será aceptado.
REMITENTE LISTA NEGRA
- Mails de estas direcciones o dominios nunca será aceptada.
RECEPTOR LISTA BLANCA
- Correo electrónico a estas direcciones o
dominios siempre será aceptado. RECEPTOR LISTA NEGRA
- Correo electrónico a estas direcciones o dominios nunca será aceptada.
CLIENTE LISTA BLANCA
- Mensajes que se han enviado desde estas direcciones IP o hosts siempre será aceptado.
CLIENTE LA LISTA NEGRA
- Mensajes que se han enviado desde estas direcciones IP o hosts no serán aceptadas.
Para guardar los cambios y reiniciar el servidor proxy, haga clic en el SMTP GUARDAR CAMBIOS Y REINICIAR el botón.
Ejemplos de receptor / emisor de negro y blancas: todo un dominio - example.com sólo subdominios - example.com. una sola dirección
[email protected]
Dominios Si ha habilitado el correo entrante y desea enviar ese correo a un servidor de correo detrás de Endian
Firewall - generalmente se establecen en el verde o naranja zona - es necesario declarar los dominios que serán aceptados por el proxy SMTP y que de los servidores de correo el correo entrante debe ser transferidas. Es posible especificar múltiples servidores de correo detrás de Endian Firewall para diferentes dominios. Es también fácil de usar Endian Firewall como una copia de seguridad MX. DOMINIO - El dominio de este servidor de correo es responsable. SERVIDOR DE CORREO INTERNO - La dirección del servidor de correo. Para agregar un dominio haga clic en el AGREGAR botón. Para aplicar los cambios que el proxy SMTP tiene que ser reiniciado, haga clic en el GUARDAR CAMBIOS Y REINICIAR el botón. Las entradas disponibles se pueden editar y eliminar haciendo clic sobre el icono correspondiente (como se describe en la leyenda en la parte inferior de la página). El encaminamiento del correo Esta opción le permite enviar una copia oculta (CCO) a una dirección de correo electrónico especificada. Esta opción se aplicará a todos los correos electrónicos que se envían a la dirección del destinatario se especifica o se envían desde la dirección del remitente especificado. DIRECCIÓN - Especifique si desea aplicar este proceso de copia de un determinado DESTINATARIO .
REMITENTE
o
DEL
CORREO ELECTRÓNICO - Aquí se especifica la dirección de correo del destinatario o del remitente (en función de lo que haya elegido anteriormente). DIRECCIÓN BCC - La dirección de correo electrónico donde desea enviar la copia de los correos electrónicos. La ruta de correo se guarda haciendo clic en el
CORREO DE LA RUTA AÑADIR
botón. Las entradas
disponibles se pueden cambiar o eliminar haciendo clic sobre los iconos correspondientes que se explican en la leyenda en la parte inferior de la página.
Advertencia ni el remitente ni el destinatario será notificado de la copia. En la mayoría de los países de este planeta es altamente ilegal para leer mensajes de otras personas privadas. No abuse de esta función.
Avanzado En esta página puede configurar los ajustes avanzados del proxy SMTP. En el SMARTHOST sección de las siguientes opciones se pueden configurar: PASARELA HABILITADA PARA LA ENTREGA - Marque esta casilla si desea utilizar una pasarela para entregar mensajes de correo electrónico. DIRECCIÓN DE PASARELA - Aquí puede introducir la dirección de la pasarela. AUTENTICACIÓN REQUERIDA - Marque esta casilla si el smarthost requiere autenticación. NOMBRE DE USUARIO - Este nombre de usuario se utiliza para la autenticación. CONTRASEÑA - Esta contraseña se utiliza para la autenticación MÉTODO DE AUTENTICACIÓN - Aquí puede elegir los métodos de autenticación compatibles con su pasarela. PLAIN , LOGIN , CRAM-
MD5 y DIGEST-MD5 son compatibles. La configuración se guarda y se aplica haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botón.
Si usted tiene una dirección IP dinámica, porque está utilizando una línea RDSI o una conexión ADSL a Internet puede tener problemas de envío
de correos a otros servidores de correo. Más y más servidores de correo comprobar si su dirección IP aparece como una dirección IP dinámica y por lo tanto, podría negarse su correo electrónico. Por lo tanto, podría ser necesario utilizar una pasarela para el envío de mensajes de correo electrónico. Una pasarela es un servidor de correo SMTP que el servidor proxy se utiliza como servidor SMTP. La pasarela tiene que aceptar sus correos electrónicos y relés para usted. Normalmente, usted puede usar el servidor SMTP de su proveedor de pasarela, ya que está dispuesta a aceptar para transmitir sus mensajes de correo electrónico, mientras que otros servidores de correo no puede.
En el SERVIDOR IMAP PARA LA AUTENTICACIÓN SMTP sección puede configurar el servidor IMAP que se debe utilizar para la autenticación al enviar mensajes de correo electrónico. La mayor parte de todo esto es importante para las conexiones SMTP que se abren desde la REDzona. Los siguientes ajustes se pueden configurar: HABILITADA LA AUTENTICACIÓN - Marque esta casilla si desea habilitar la autenticación IMAP. SERVIDOR IMAP - Aquí puede introducir la dirección del servidor IMAP. DEMONIOS NÚMERO DE AUTENTICACIÓN - Esta configuración define el número de conexiones concurrentes debe ser posible a través de su Endian Firewall . La configuración se guarda y se aplica haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botón. En la CONFIGURACIÓN AVANZADA parámetros adicionales se pueden definir. Las opciones son: SMTPD HELO REQUIERE
- Si está habilitado el cliente que se conecta debe enviar un HELO (o EHLO) comando al principio de una sesión de SMTP.
RECHAZAR EL NOMBRE DE HOST NO VÁLIDO
- Rechazar el cliente que se conecta cuando el cliente HELO o EHLO parámetro proporciona un nombre de host no válido.
RECHAZAR NO
FQDN REMITENTE - Rechazar el cliente que se conecta si el nombre de host se suministra con el comando HELO o EHLO no es un nombre de dominio completo como lo requiere el RFC.
RECHAZAR NO
FQDN DESTINATARIO - Rechazar la solicitud cuando el RCPT TO
dirección no está en forma totalmente cualificado nombres de dominio, como lo requiere el RFC. RECHAZAR EL DOMINIO DEL REMITENTE DESCONOCIDO
- Rechazar la conexión si el dominio de la dirección de correo electrónico del remitente no tiene un DNS o registros MX.
RECHAZAR DOMINIO DEL DESTINATARIO DESCONOCIDO
- Rechazar la conexión si el dominio de la dirección de correo electrónico del destinatario no tiene un DNS o registros MX.
SMTP HELO NOMBRE - El nombre de host para enviar con el SMTP EHLO o HELO. El valor por defecto es la IP de la RED. Especifique un nombre de host o IP. SIEMPRE LA DIRECCIÓN BCC - Opcionalmente, puede asignar una dirección de correo electrónico que recibirán una copia oculta de cada mensaje que pasa por el proxy SMTP. LÍMITE DE ERROR DE DISCO DURO SMTPD
- El número máximo de errores de un cliente remoto SMTP se le permite producir sin la entrega de correo. El servidor SMTP Proxy se desconecta una vez que se supera este límite (por defecto 20).
PLANTILLAS DE IDIOMA DE CORREO ELECTRÓNICO - El idioma en el que los mensajes de error deben ser enviados. TAMAÑO MÁXIMO DE CORREO ELECTRÓNICO
- El tamaño máximo de un solo mensaje se le permite tener.
La configuración se guarda y se aplica haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botón.
DNS Seleccione PROXY de la barra de menú en la parte superior de la pantalla, a continuación, seleccione DNS en el submenú en el lado izquierdo de la pantalla. En esta sección usted puede cambiar la configuración para el proxy DNS. Se divide en tres subpáginas. Proxy DNS En esta página usted puede activar el proxy transparente de DNS para el verde , naranja y azul las zonas (si están activos). También se pueden definir para QUE LAS DIRECCIONES DE ORIGEN DE LA REPRESENTACIÓN SE OMITE en el área de texto inferior izquierda. Estas fuentes pueden ser direcciones IP, direcciones de subredes y las direcciones MAC (una por línea). En el área de texto inferior derecha se puede introducir
DESTINOS PARA LOS QUE EL PROXY SE OMITE
esta área de texto de direcciones IP y direcciones de subredes se pueden introducir. Para guardar los ajustes que debe hacer clic en el GUARDAR botón.
. En
Servidor de nombres personalizados En esta página usted puede agregar a medida servidores de nombres para dominios específicos. Usted puede agregar un servidor de nombres personalizado haciendo clic en el AÑADIR enlace. Para cambiar una entrada existente tiene que hacer clic en el icono del lápiz en su fila. Al hacer clic en un icono de papelera que NUEVO SERVIDOR NOMBRE DE DOMINIO PERSONALIZADO PARA UN
elimina el servidor de nombres personalizados en la fila. Los siguientes datos pueden ser guardados para servidores de nombres de encargo: DOMINIO - El dominio para el que desea utilizar el servidor de nombres personalizado. SERVIDOR DNS - La dirección IP de la namserver. OBSERVACIÓN - Un comentario adicional es posible que desee guardar. Anti-spyware En esta página usted puede configurar el modo en Endian Firewall debe reaccionar si un nombre de dominio se tiene que resolver lo que se conoce para ser usado por el spyware. Las opciones que se pueden configurar son: ACTIVADO - Si se habilita estas solicitudes será redirigido a localhost. REDIRIGIR LAS PETICIONES DE ENVIAR SPYWARE ESCUCHAR - Si esta opción está activada de las solicitudes será redirigido al puesto de spyware escuchar en vez de localhost. DOMINIOS DE LA LISTA BLANCA - Los nombres de dominio que se introducen aquí no sean tratados como espías los objetivos independientemente del contenido de la lista. LISTA NEGRA DE DOMINIOS - Los nombres de dominio que se introducen aquí se tratan siempre como objetivos spyware, independientemente del contenido de la lista DOMINIO SPYWARE LISTA DE ACTUALIZACIONES DE - Aquí usted puede especificar la frecuencia con la PROGRAMACIÓN
lista de dominios spyware debe ser actualizada. Los valores posibles son cada
hora , diario , semanal y mensual . Al mover el cursor del ratón sobre el signo de interrogación correspondiente se puede ver el momento exacto en las actualizaciones se llevarán a cabo. La configuración se guarda y se aplica haciendo clic en el GUARDAR botón.
Capítulo 7: El menú de VPN Seleccione VPN de la barra de menú en la parte superior de la pantalla. Las redes privadas virtuales (VPN) permiten a las redes para conectar directamente entre sí a través potencialmente inseguras redes como Internet. Todo el tráfico de red a través de la conexión VPN se transmite de manera segura, dentro de un túnel encriptado, oculto de miradas indiscretas. Tal configuración se denomina puerta de enlace a puerta de enlace VPN. Del mismo modo, una sola computadora en algún lugar de Internet puede usar un túnel VPN para conectarse a una LAN de confianza. El equipo remoto, a veces llamado unguerrero de la carretera , parece estar directamente conectado a la LAN de confianza, mientras que el túnel VPN está activa.
Endian Firewall pueden crear redes privadas virtuales basadas en el IPsec protocolo soportado por la mayoría de sistemas operativos y equipos de red, así como redes privadas virtuales basadas en el OpenVPN servicio. Desafortunadamente, las herramientas necesarias para configurar IPsec varían mucho entre los distintos sistemas, puede ser complicado de usar o puede tener problemas de interoperabilidad. Por lo tanto, Endian recomienda OpenVPN en situaciones donde no hay necesidad de apoyar una infraestructura existente de IPsec. Endian Firewall incluye un cliente OpenVPN usuario amigable para Microsoft Windows, Linux y MacOS X. La siguiente es una lista de enlaces que aparecen en el submenú en el lado izquierdo de la pantalla y que permiten la creación de VPNs de cualquiera de los tipos mencionados:
OPENVPN SERVIDOR - configurar el servidor de OpenVPN para que los clientes (ya sea Guerreros de
la carretera u otros servidores de seguridad Endian en una configuración de puerta de enlace a puerta de enlace) puede conectarse a su VERDE zona a través de un túnel VPN OPENVPN CLIENTE (GW2GW) - configurar el cliente de una configuración de puerta de enlace a
puerta de enlace entre dos o más servidores de seguridad Endian IPSEC - la creación basada en IPsec túneles VPN Cada enlace se explican por separado en las secciones siguientes.
OpenVPN servidor Seleccione VPN de la barra de menú en la parte superior de la pantalla, a continuación, seleccione EL SERVIDOR OPENVPN en el submenú en el lado izquierdo de la pantalla. Configuración del servidor En este panel se puede permitir que el servidor OpenVPN y definir el rango de direcciones dentro de la verde zona que se va a asignar a la conexión de los clientes. Tenga en cuenta que el tráfico dirigido a este grupo de IP tiene que ser filtrada utilizando el firewall VPN.
Haga clic en GUARDAR para guardar la configuración e iniciar el servicio OpenVPN. La primera vez que el servicio se ha iniciado un nuevo certificado (con firma) de este servidor OpenVPN se genera. Haga clic en el CERTIFICADO DE CA DESCARGAR enlace para descargarlo. Ya que lo necesitará más adelante, cuando la creación de los clientes. El siguiente panel muestra una lista de clientes conectados actualmente, una vez que OpenVPN está funcionando. Es posible MATAR y
PROHIBICIÓN DE
las conexiones. La diferencia entre matar y la prohibición es que
usuarios no autorizados no puedan volver a conectarse después de la conexión ha sido asesinado. Cuentas Este panel contiene la lista de cuentas OpenVPN. Cick en AÑADIR CUENTA para añadir una cuenta. Los siguientes parámetros pueden ser especificados para cada cuenta:
Información de la cuenta NOMBRE DE USUARIO - nombre de usuario de inicio de sesión CONTRASEÑA / VERIFICAR CONTRASEÑA - especificar la contraseña (dos veces)
Cliente de enrutamiento DIRIGIR TODO EL TRÁFICO DE CLIENTES - Si marca esta, todo el tráfico desde el cliente de A TRAVÉS DEL SERVIDOR VPN
conexión (independientemente del destino) se dirige a través de la subida de la Endian
Firewall que aloja el servidor OpenVPN. El valor predeterminado es para enrutar el tráfico a un destino que no es parte de ninguna de las zonas Endian internos (tales como servidores de Internet) a través de enlace ascendente del cliente NO INTRODUZCA NINGÚN RUTAS - (Usuarios avanzados) normalmente, cuando un AL CLIENTE cliente se conecta, un túnel rutas a las redes que son accesibles a través de VPN se agregan a la tabla de enrutamiento del cliente - marque esta casilla si no desea que esto suceda y estamos preparados para manipular las tablas de sus clientes de enrutamiento manualmente DETRÁS DE LAS REDES DE LOS CLIENTES - sólo es necesario si desea utilizar esta cuenta como cliente en una configuración de puerta de enlace a puerta de enlace: entrar en las redes detrás de este cliente que le gusta empujar a los otros clientes ENVÍA TAN SOLO ESTAS REDES - Añade tu propia red de rutas para ser empujado al cliente aquí (anula de forma automática todas las rutas de difusión)
Configuración de instalación automática personalizada DIRECCIONES IP ESTÁTICAS - Normalmente, las direcciones IP dinámicas son asignadas a los clientes, se puede reemplazar esto aquí y asignar una dirección estática EMPUJAR A ESTOS SERVIDORES DE NOMBRES - asignar los servidores de nombres en una base por cliente aquí EMPUJE DE DOMINIO - asignar dominios de búsqueda en una base por cliente aquí En todos estos campos, direcciones y redes debe ser dada en la notación CIDR (por ejemplo 192.168.0.0/24). Haga clic en el GUARDAR para guardar la configuración de la cuenta. Usted puede en cualquier momento, activar / desactivar, editar o borrar cuentas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior).
Si usted está planeando tener dos o más sucursales conectadas a través de una VPN de puerta de enlace a puerta de enlace es un buen consejo para elegir diferentes subredes de la LAN en las diferentes ramas. Por ejemplo, una rama puede tener un verde zona con el 192.168.1.0/24 subred, mientras que la otra rama utiliza 192.168.2.0/24 . De esta manera, las rutas correctas se le asignará de forma totalmente automática y no tener que lidiar con empujar rutas personalizadas.
Avanzado Utilice este panel para cambiar la configuración avanzada. Entre otras cosas, autenticación basada en certificados (en lugar de basado en contraseñas) se puede configurar en esta sección. La primera sección tiene algunas configuraciones estándar en relación con el servidor: PUERTO / PROTOCOLO - puerto 1194 / UDP es la configuración por defecto de OpenVPN. Es una buena idea mantener estos valores como lo son - si usted necesita para hacer accesible a través de OpenVPN otros puertos (posiblemente más de uno), puede utilizar el reenvío de puertos (ver CORTAFUEGOS , REENVÍO DE PUERTOS ). Un caso de uso para la configuración de TCP como
el protocolo es cuando se quiere acceder al servidor OpenVPN a través de un proxy HTTP de terceros. BLOQUEAR LAS RESPUESTAS DHCP PROCEDENTES - comprobar esto si usted está recibiendo las DEL TÚNEL
respuestas DHCP de la LAN en el otro lado del túnel VPN que están en conflicto con el servidor DHCP
NO BLOQUEAR EL TRÁFICO - el valor por defecto es aislar a los clientes entre ENTRE LOS CLIENTES
sí, comprobar esta opción si desea permitir el tráfico entre los diferentes clientes VPN
En la segunda sección se pueden cambiar las opciones de presión mundial. IMPULSAR ESTAS REDES - si está habilitado, las rutas a las redes especificadas son empujados a los clientes conectados EMPUJAR A ESTOS SERVIDORES DE NOMBRES - si está habilitado, el especificado servidores de nombres son empujados a los clientes conectados EMPUJE DE DOMINIO - si está habilitado, los dominios de búsqueda especificados son empujados a los clientes conectados Todas las direcciones y las direcciones de red se debe dar en la notación CIDR (tales como 192.168.0.0/24). La tercera sección le permite especificar el método de autenticación:
Endian Firewall método 's por defecto es PSK (nombre de usuario / contraseña) . Si desea utilizar este método, usted no tiene que cambiar los ajustes. La
DESCARGA DE CERTIFICADOS DE CA
enlace le permite descargar el certificado para el servidor
OpenVPN en que sea necesario por los clientes (este es el certificado público, que se utiliza para verificar la autenticidad del servidor). Además, el CA EXPORTAR COMO ARCHIVO PKCS # 12 enlace le permite descargar el certificado en formato PKCS # 12 (mantener en privado!), que se pueden importar a cualquier servidor OpenVPN que desea utilizar como servidor de otoño. Por último, si este sistema es un sistema de repliegue, se puede cargar el archivo PKCS # 12 que ha exportado desde el servidor principal (dejar en "password Challenge" vacía si el archivo proviene de una Endian Firewall ). Si prefiere utilizar un X.509 basados en certificados método aquí (ya sea sólo o certificado de licencia más contraseña), las cosas se ponen un poco más complicado. Se supone (y necesario) que se utiliza una autoridad de certificación independiente (CA) para este propósito. No es ni posible ni deseada para acoger una autoridad de certificados en Endian Firewall .
Es necesario generar y firmar certificados para el servidor y para cada cliente con su entidad emisora de certificados. El tipo de certificados se debe especificar explícitamente y ser uno de "servidor" y "cliente" ("certificado de Netscape type"). El archivo de certificado de servidor en formato PKCS # 12, deberán introducirse en esta sección (especificar el "password Challenge" Si ha facilitado un certificado a la autoridad antes o durante la creación del certificado).
Los certificados de cliente deben tener los campos de nombre común igual a su nombre de usuario OpenVPN. Cuidado: si el uso de certificados de autenticación de sólo un cliente que tiene un certificado válido puede conectarse incluso si no hay ninguna cuenta de usuario correspondiente OpenVPN!
También puede cargar una lista de revocación, en caso de que perdió un certificado de cliente y por lo tanto lo han revocado en su CA. VPN cliente de descarga Haga clic en el enlace para descargar el cliente de VPN Endian para Microsoft Windows, MacOS X y Linux de Red Endian .
OpenVPN cliente (Gw2Gw) Seleccione VPN de la barra de menú en la parte superior de la pantalla, a continuación, seleccione
EL CLIENTE
OPENVPN (GW2GW) en el submenú en el lado izquierdo de la pantalla.
En esta sección puede configurar el cliente de una conexión de puerta de enlace a puerta de enlace VPN. Haga clic en AGREGAR CONFIGURACIÓN DEL TÚNEL para introducir información sobre el servidor OpenVPN que desea conectarse (no puede haber más de uno): NOMBRE DE CONEXIÓN - sólo una etiqueta para esta conexión CONECTARSE A - el servidor OpenVPN remoto nombre de dominio completo y el puerto (por ejemplo, efw.example.com: puerto ) el puerto es opcional y por defecto 1194 SUBIR CERTIFICADO - si el servidor está configurado para utilizar autenticación PSK (clave / usuario), debe cargar el certificado del servidor host (el que recibe de la DESCARGA DEL CERTIFICADO CA enlace en el servidor). De lo contrario, si utiliza la autenticación basada en certificados, debe
cargar el servidor de archivo PKCS # 12 (se puede obtener de la CA DE EXPORTACIÓN COMO ARCHIVO
PKCS # 12 enlace en el servidor
(sección avanzada del submenú OpenVPN). PKCS # 12 CONTRASEÑA RETO - especificar el "password Challenge" Si ha facilitado un certificado a la autoridad antes o durante la creación del certificado de NOMBRE DE USUARIO / CONTRASEÑA - si el servidor está configurado para utilizar autenticación PSK (clave / usuario) o un certificado de autenticación de contraseña, además, dar el nombre de usuario y la contraseña de la cuenta del servidor OpenVPN aquí OBSERVACIÓN - tu comentario Haga clic en CONFIGURACIÓN AVANZADA DEL TÚNEL para ver más opciones: RESERVA SERVIDORES VPN - especificar uno o más (una por línea) de los servidores de reserva OpenVPN en forma efw.example.com: puerto (el puerto es opcional y por defecto 1194). Si la conexión al servidor principal falla, un servidor de reserva se hará cargo. TIPO DE CONEXIÓN - "Derrotado" (el firewall del cliente actúa como una puerta de acceso a la LAN remota) o "puente" (como si el firewall del cliente era parte de la LAN remota). Por defecto es "derrotado". BLOQUEAR LAS RESPUESTAS DHCP PROCEDENTES DE TÚNEL - comprobar esto si vas a encontrar las respuestas DHCP de la LAN en el otro lado del túnel VPN que están en conflicto con su servidor DHCP NAT - Seleccione esta opción si desea ocultar los clientes conectados a través de este Endian Firewall detrás de la dirección del servidor de seguridad IP VPN. Si lo hace, evitará peticiones de conexión a sus clientes. PROTOCOLO - UDP (por defecto) o TCP. Se establece en TCP si desea utilizar un servidor proxy HTTP (siguiente opción). PROXY HTTP - si su Endian Firewall puede acceder a Internet sólo a través de un proxy HTTP aguas arriba todavía es posible utilizarlo como un cliente OpenVPN en una configuración de puerta de enlace a puerta de enlace. Sin embargo, debe
utilizar el protocolo TCP para OpenVPN en ambos lados. Rellene la información de la cuenta de proxy HTTP en estos campos de texto: HOST PROXY (como proxy.example.com: puerto , donde puerto por defecto a 8080),
NOMBRE DE
USUARIO
y
CONTRASEÑA
. Usted puede incluso
utilizar una cadena de agente de usuario forjado si quiere camuflar su Endian Firewall , un navegador web normal. Haga clic en el GUARDAR para guardar la configuración del túnel. Usted puede en cualquier momento, activar / desactivar, editar o borrar los túneles de la lista, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior).
IPsec Seleccione VPN de la barra de menú en la parte superior de la pantalla, a continuación, seleccione IPSEC en el submenú en el lado izquierdo de la pantalla.
IPsec (IP Security) es una solución genérica estándar VPN. A diferencia de cifrado y la autenticación de OpenVPN se ha hecho en la capa 3 OSI como una extensión del protocolo IP. Por lo tanto IPsec debe ser implementado en la pila IP que forma parte del núcleo. Desde IPSec es un protocolo estandarizado que es compatible con la mayoría de los proveedores que implementan IPsec. En comparación a la configuración de OpenVPN IPsec y la administración suele ser bastante difícil debido a su complejidad. Debido a su diseño algunos casos son incluso imposible de manejar, mientras que los que funcionan bien con OpenVPN, especialmente si usted tiene que lidiar con NAT. Sin embargo, Endian Firewall implementa un interfaz fácil de usar que soporta la administración de los diferentes métodos de autenticación. Le recomendamos que utilice IPSec sólo si es necesario con fines de interoperabilidad por. Uso OpenVPN donde pueda, sobre todo si tienes que trabajar con NAT.
En la CONFIGURACIÓN GLOBAL sección puede configurar los principales parámetros para la configuración de IPsec. Los valores que puede establecer son los siguientes: LOCAL VPN HOST / IP - Aquí puede introducir la dirección IP externa (o un nombre de dominio completo) de su servidor IPsec. ACTIVADO - Al marcar esta casilla de verificación que permitan IPsec. VPN EN ORANGE - Si esta opción está activada, es posible que un usuario para conectarse a la VPN de la NARANJA zona. VPN EN AZUL - Si esta opción está activada, es posible que un usuario para conectarse a la VPN de la BLUE zona. ANULAR POR DEFECTO MTU - Si desea reemplazar la unidad de transmisión máxima por defecto se puede especificar las nuevo valor aquí. Por lo general, esto no es necesario. OPCIONES DE DEPURACIÓN - Marcando casillas de verificación en esta sección se incrementará la cantidad de datos que se registran en / var / log / messages . En el ESTADO DE LA CONEXIÓN Y EL CONTROL DE la sección se puede ver una lista de cuentas y su estado de conexión. La lista muestra NOMBRE , TIPO , NOMBRE COMÚN , OBSERVACIÓN y ESTADO de cada conexión. Al hacer clic en los iconos de las ACCIONES DE la columna que puede realizar varias acciones como se describe en el icono de la leyenda debajo de la lista. Usted puede agregar una conexión haciendo clic en el AGREGAR botón. Se abrirá una página y se puede elegir si desea añadir un HOST A RED DE RED PRIVADA VIRTUAL o NET-A-NET RED PRIVADA VIRTUAL . Envíe su elección haciendo clic en el AGREGAR botón. En la página siguiente se puede especificar los detalles de esta conexión (también verá esta página durante la edición de una conexión ya existente). Puede configurar los parámetros de red en la primera sección de la página: NOMBRE - el nombre de esta conexión ACTIVADO - si se activa, esta conexión está habilitada INTERFAZ - esto sólo está disponible para el host-a-red de conexiones y especifica que la interfaz del host se conecta SUBRED LOCAL - la subred local en la notación CIDR, por ejemplo, 192.168.15.0/24 ID LOCAL - un identificador para el equipo local de la conexión HOST REMOTO / IP - el dominio IP o el nombre totalmente cualificado del host remoto SUBRED REMOTA - esto sólo está disponible para la red a la red de
conexiones y especifica la subred remota en la notación CIDR, por ejemplo, 192.168.16.0/24 ID REMOTO - una identificación de la máquina remota de esta conexión COMPAÑEROS MUERTOS ACCIÓN DE DETECCIÓN - qué acción debe llevarse a cabo si un compañero se desconecta OBSERVACIÓN - una observación que puede configurar para recordar el propósito de esta conexión después EDITAR LA CONFIGURACIÓN AVANZADA - Marque esta casilla si desea editar las configuraciones más avanzadas En la AUTENTICACIÓN sección puede configurar cómo se maneja la autenticación. UTILIZAR UNA CLAVE PRE-COMPARTIDA - Escriba una frase que se utiliza para autenticar al otro lado del túnel. Elija esta opción si desea un simple Net-a-Net VPN. También puede utilizar PSKs mientras que la experimentación en la creación de una VPN. No utilice para autenticar PSKs de host-a-Net conexiones. SUBIR UNA SOLICITUD DE CERTIFICADO - Algunas implementaciones de usuario remoto IPSec no tienen su propia CA. Si desea utilizar IPSec incorporada en el CA, que puede generar lo que una solicitud de certificado de llamada. Este parcial X.509 certificado deberá estar firmado por una CA. Durante la solicitud de certificado de carga, la solicitud está firmada y el nuevo certificado estará disponible en la página web principal de la VPN. SUBIR UN CERTIFICADO - En este caso, el IPSec pares tiene un CA disponibles para su uso. Tanto el certificado de pares de la CA y el certificado de acogida deben ser incluidos en el archivo cargado. SUBIR ARCHIVO PKCS12 - CONTRASEÑA DEL ARCHIVO - Elija esta opción para cargar un archivo PKCS12
PKCS12. Si el archivo está protegido por una contraseña que debe introducir la contraseña en el campo de texto debajo del campo de selección de archivos.
GENERAR UN CERTIFICADO - También puede crear un nuevo certificado X.509. En este caso, completar los campos obligatorios. Los campos opcionales se indican con puntos rojos. Si el certificado es para una conexión de red a red, el
NOMBRE COMPLETO DEL
USUARIO O NOMBRE DE HOST DEL SISTEMA
de
campo debe contener el nombre de dominio completo de los pares. Los campos del archivo
PKCS12 Contraseña garantizar que los certificados de acogida generada no puede ser interceptado mientras se transmite a los pares IPSec. Si usted ha elegido para editar la configuración avanzada de esta conexión, una nueva página se abrirá después de golpear el GUARDAR botón. En esta página se puede establecer LA CONFIGURACIÓN AVANZADA DE CONEXIÓN
. Los usuarios sin experiencia no debe cambiar la configuración aquí: IKE CIFRADO - Aquí usted puede especificar qué métodos de encriptación debe ser apoyada por IKE (Internet Key Exchange). IKE INTEGRIDAD - Aquí puedes especifíquese qué algoritmos deben ser apoyados para comprobar la integridad de los paquetes. IKE TIPO DE GRUPO - Aquí puede especificar el tipo de grupo IKE. IKE DE POR VIDA - Aquí usted puede especificar el tiempo que los paquetes IKE son válidos. ESP CIFRADO - Aquí usted puede especificar qué métodos de encriptación debe ser apoyada por ESP (Encapsulating Security Payload). ESP INTEGRIDAD - Aquí puede especificar los algoritmos deben ser apoyados para comprobar la integridad de los paquetes. ESP TIPO DE GRUPO - Aquí puede especificar el tipo de grupo ESP. ESP CLAVE DE POR VIDA - Aquí puede especificar la duración de una clave ESP debe ser válida.
IKE AGRESIVO MODO DE PERMITIR - Marque esta casilla si desea activar el modo agresivo de IKE. Se le recomienda no hacerlo. CONFIDENCIALIDAD DIRECTA PERFECTA - Si se selecciona esta casilla confidencialidad directa perfecta está activado. NEGOCIAR LA COMPRESIÓN DE LA CARGA ÚTIL - Marque esta casilla si desea utilizar la compresión de la carga útil. Finalmente guardar la configuración haciendo clic en el GUARDAR botón. De vuelta en el principal IPSEC página se pueden generar nuevos certificados existentes y cargar certificados de CA en el CERTIFICADO DE LAS AUTORIDADES DE la sección. Para cargar un nuevo certificado tiene que proporcionar un nombre en el
NOMBRE DE LA
CA de
campo. Continuación, haga clic en Examinar y seleccionar el archivo de certificado antes de hacer clic en el CERTIFICADO DE CA SUBIR botón. Para generar nuevas raíces y certificados de host basta con hacer clic en la GENERACIÓN DE LA RAÍZ / HOST CERTIFICADOS botón. Usted verá una nueva página donde se puede introducir la información requerida. Si ya ha creado los certificados y desea crear un nuevo certificado deberá hacer clic en
el
RESTABLECIMIENTO
botón. Tenga en cuenta que al hacer esto no sólo los certificados, sino también
las conexiones basadas en certificado serán borrados. Si desea generar nuevas raíces y los certificados de acogida alguna información tiene que ser ingresado. Los campos se describen a continuación: NOMBRE DE LA ORGANIZACIÓN - El nombre de la organización que desea utilizar en el certificado. Por ejemplo, si su VPN es atando las escuelas en un distrito escolar, usted puede desear utilizar algo así como "Algunos Distrito Escolar." SERVIDOR DE SEGURIDAD DE HOST ENDIAN - Esto se utiliza para identificar el certificado. Utilice un nombre de dominio completo o el firewall de RED dirección IP. SU DIRECCIÓN DE CORREO ELECTRÓNICO - Aquí puede introducir su dirección de correo electrónico. SU DEPARTAMENTO DE - Aquí puede introducir un nombre de departamento. CIUDAD - Aquí puede introducir el nombre de tu pueblo o tu ciudad. ESTADO O PROVINCIA - Aquí puede introducir el nombre del estado o provincia en la que viven pulg PAÍS - Seleccione su país aquí. NOMBRE ALTERNATIVO DEL ASUNTO - Aquí puede especificar un nombre alternativo para la identificación. Los certificados se crean después de hacer clic en la GENERACIÓN DE LA RAÍZ / HOST CERTIFICADOS botón. Si ya ha creado certificado en otro lugar antes que usted puede cargar un archivo PKCS12 en la parte inferior de la página en lugar de generar nuevos certificados. SUBIR ARCHIVO PKCS12 - Abra el diálogo de selección de archivo y seleccione el archivo PKCS12 aquí. PKCS12 CONTRASEÑA DEL ARCHIVO - Si el archivo está protegido con contraseña que deberá introducir la contraseña. Usted puede cargar el archivo haciendo clic en el
ARCHIVO A SUBIR PKCS12
La creación de una VPN Net-to-Net con IPsec mediante la autenticación de certificado Tenemos dos firewalls A y B, donde un firewall es nuestra autoridad de certificación. cortafuegos A - RED IP: 123.123.123.123, VERDE IP: 192.168.15.1/24
botón.
firewall B - RED IP: 124.124.124.124, VERDE IP: 192.168.16.1/24 Los siguientes pasos deben realizarse en un servidor de seguridad: - En el VPN , IPSEC menú PERMITE especificar IPsec y 123.123.123.123 como LOCAL VPN HOST / IP . - Después de guardar haga clic en la GENERACIÓN DE HOST / CERTIFICADOS RAÍZ DE CA tecla (a menos que ya genera estos certificados antes) y compilar el formulario. Descargar el certificado de host y guardarlo como fw_a_cert.pem. - En el ESTADO DE LA CONEXIÓN Y EL CONTROL , haga clic en la sección AÑADIR botón . - Seleccione Net-a-Net. Ingrese 124.124.124.124 en el REMOTO HOST / IP de campo, 192.168.15.0/24 como SUBRED LOCAL
y192.168.16.0/24 como SUBRED . - En la AUTENTICACIÓN DE la sección
REMOTA
seleccione CREAR UN CERTIFICADO y Llene el formulario, asegúrese de establecer una contraseña. - Después de guardar, descargue el archivo PKCS12 y guardarlo como fw_a.p12 . Los siguientes pasos tienen que ser realizados en el cortafuegos B: - En el VPN , IPSEC menú PERMITE especificar IPsec y 124.124 .124.124 como
LOCAL VPN HOST
/
IP . - Después de guardar, haga clic en la GENERACIÓN DE HOST / CERTIFICADOS RAÍZ DE CA tecla (si ya les generó anteriormente debe RESTABLECER los certificados anteriores). No compilar nada en la primera parte! En cambio subir el fw_a.p12 archivo y escriba la contraseña que estableció en el firewall A. - Haga clic en AGREGAR en el ESTADO DE LA CONEXIÓN Y EL la sección. - Seleccione la red a la red. - Ingrese 123.123.123.123 en el REMOTO CONTROL DE
/ IP de campo,192.168.16.0/24 como HOST
SUBRED
y 192.168.15.0/24 como SUBRED REMOTA . - Seleccione SUBIR UN CERTIFICADO y LOCAL
subir el fw_a_cert.pem que ha creado el firewall A.
Capítulo 8: El menú de Hotspot Seleccione HOTSPOT de la barra de menú en la parte superior de la pantalla. Endian Hotspot es un punto de acceso de gran alcance que pueden ser utilizados para las conexiones inalámbricas, así como para las conexiones LAN cableada. Portal cautivo de la zona activa se captura de todas las conexiones que pasa a través de la BLUE zona, sin importar el dispositivo que proceden. Por lo tanto el punto de acceso no funciona si el BLUE zona está desactivado. El punto de acceso puede ser activado o desactivado, haga clic en el interruptor principal en esta página. Si el punto de acceso está habilitado un enlace a su interfaz de administración se muestra. Al hacer clic en el enlace se abre una nueva ventana con la interfaz de administración de punto de acceso. A pesar de esta interfaz comparte su diseño con el firewall, que contiene toda una estructura de menú nuevo.
HOTSPOT - gestión de cuentas y billetes, las estadísticas y los ajustes DIALIN - Estado actual de la conexión de los enlaces ascendentes CONTRASEÑA - cambiar la contraseña del usuario de hotspot SITIOS PERMITIDOS - los sitios que se puede acceder sin conexión
Hotspot Esta sección incluye las subpáginas para gestionar las cuentas, los billetes y tarifas de los. Las estadísticas pueden ser vistos, así como las conexiones actuales y anteriores. Por último, es posible cambiar la configuración del punto de acceso está aquí. Cuentas En esta página se puede administrar cuentas de usuario. Por defecto una lista de cuentas disponibles. Esta lista se puede ordenar por nombre de usuario / MAC , nombre , fecha de creación o de la fecha hasta la cual la cuenta de usuario válida. También es posible invertir el orden de verificación ORDEN INVERSO y para OCULTAR LAS CUENTAS DESHABILITADAS , así como a la BÚSQUEDA de las cuentas. Paginación también es posible si el número de resultados es superior al número de resultados por página que se ha definido en HOTSPOT ,CONFIGURACIÓN . Cada usuario puede editar haciendo clic en el EDITAR enlace en su fila (para más detalles ver HOTSPOT , CUENTAS , AGREGAR NUEVA CUENTA ). Las entradas se pueden añadir a las cuentas haciendo clic en el TICKET AÑADIR enlace. También es posible consultar el saldo y el registro de conexión de una cuenta haciendo clic en el
BALANCE
y CONEXIONES DE enlaces, respectivamente.
Agregar una nueva cuenta En esta página usted puede crear una nueva cuenta o una cuenta existente se puede modificar. La información se divide en dos partes: la información de acceso y la información de la cuenta . Para crear una cuenta que usted puede llenar los siguientes campos: INFORMACIÓN DE ACCESO
NOMBRE DE USUARIO - En este campo tiene que introducir el nombre de usuario. CONTRASEÑA - En este campo se puede introducir la contraseña para la cuenta nueva. Si usted no tiene tiempo para pensar en una contraseña adecuada deje este campo vacío y la contraseña generada automáticamente ser. VÁLIDO HASTA EL - La fecha hasta que la cuenta será válida. Si desea cambiarlo puede introducir la nueva fecha de forma manual o haga clic en el ... y seleccione la nueva fecha del calendario emergente. ACTIVO? - Esta casilla de verificación especifica si la cuenta está activada o no. Si esto está marcado en la cuenta está activa. Si desea desactivar un usuario marque esta casilla fuera. LENGUA - Aquí puede seleccionar el idioma nativo del usuario si está disponible. De lo contrario Inglés debe ser una buena opción. ANCHO DE BANDA DE LIMITAR - Si usted no desea usar valores por defecto que puede marcar la casilla de verificación y especifique un límite de carga y descarga de la cuenta en kb / s. DIRECCIÓN IP ESTÁTICA - Si desea que esta cuenta para utilizar siempre la misma dirección IP puede marcar esta casilla y escriba la dirección IP que desee.
INFORMACIÓN DE LA CUENTA TÍTULO - La persona de título (por ejemplo, la señora, el doctor) NOMBRE - El primer nombre del usuario. APELLIDO - El apellido del usuario. PAÍS - El país que el usuario viene. CIUDAD - La ciudad o el pueblo que el usuario viene.
ZIP - La postal de la ciudad natal del usuario. CALLE - La calle en la que el usuario tenga su domicilio. CIUDAD DE NACIMIENTO - La ciudad o localidad en la que el usuario había nacido. FECHA DE NACIMIENTO - La fecha de nacimiento del usuario. DOCUMENTO DE IDENTIDAD - El ID del documento que se ha utilizado para identificar al usuario. TIPO DE DOCUMENTO - El tipo de documento que se ha utilizado para identificar al usuario. DOCUMENTO EXPEDIDO POR - El emisor del documento (por ejemplo, la ciudad de Nueva York) DESCRIPCIÓN - Adicionales para la descripción de la cuenta.
La información de la cuenta se almacena haciendo clic en el GUARDAR botón debajo del formulario. Cuando se edita un usuario existente, también es posible imprimir la información del usuario al hacer clic en la IMPRESIÓN botón. En la parte derecha de la pantalla te darás cuenta de la sección de entradas. Si quiere añadir un nuevo ticket para el usuario sólo tiene que seleccionar la adecuada entrada de tipo y pulse el AGREGAR botón. A continuación se dará cuenta de una lista de todas las entradas para este usuario con la siguiente información: TIPO DE ENTRADAS - El tipo de billete FECHA - La fecha en que se ha creado el billete ACCIÓN - Si el billete no se ha utilizado usted será capaz de ELIMINAR aquí haciendo clic en el enlace correspondiente.
Añadir basada en MAC cuenta Esta página se utiliza igual que el HOTSPOT , CUENTAS , AGREGAR NUEVA CUENTA la página. La única diferencia es que para este tipo de cuentas de usuario y la contraseña no son necesarios. En cambio, la DIRECCIÓN MAC de la interfaz de red de un ordenador se introduce y se utilizará para identificar la cuenta.
Cuentas de las importaciones Es posible importar las cuentas de un archivo CSV (valores separados por comas) archivo. Al hacer clic en la CONSULTA .. botón de un cuadro de diálogo de selección de archivos se abre. Después de
haber seleccionado el archivo se puede especificar si
LA PRIMERA LÍNEA DEL ARCHIVO
CSV CONTIENE
, marcando o no marcando la casilla de verificación. También debe en el campo correspondiente. Por lo general, un delimitador puede ser un
LOS TÍTULOS DE LAS COLUMNAS
agregar un
DELIMITADOR
punto y coma (;) o una coma (,). Si no se especifica ningún delimitador, el sistema automáticamente tratar de averiguar qué personaje ha sido utilizado como delimitador. A fin de importar el archivo CSV debe hacer clic en la CUENTA DE IMPORTACIÓN. botón.
Cuentas de exportación en formato CSV Al hacer clic en este enlace un diálogo de descarga se abrirá. La descarga es un archivo CSV que contiene todos los datos de la cuenta y posteriormente puede volver a importar desde el HOTSPOT , CUENTAS , IMPORTAR CUENTAS DE la página. Venta de entradas rápidas En esta página usted puede crear una nueva cuenta de usuario con un billete de su elección ya está asignado. El nombre de usuario y contraseña se genera automáticamente. Todo lo que tienes que hacer clic sobre el tipo de billete que desea utilizar y el usuario será creada. El NOMBRE DE USUARIO , CONTRASEÑA y TASA luego se muestran en la pantalla. También es posible imprimir esta información haciendo clic en la INFORMACIÓN DE IMPRESIÓN botón. Tarifas de los Endian Firewall le da la posibilidad de especificar más de un tipo de billete. Incluso se puede especificar si desea una tasa que se pospago o prepago. También es posible crear diferentes tarifas para los dos tipos. Esto es útil si usted quiere vender diferentes tipos de prepago por ejemplo, 4 prepago billetes de 15 minutos debe ser más caro que un billete de prepago de 1 hora. Al abrir la página de una lista con todas las tarifas de los definidos se muestra. En esta lista se puede ver la tarifas de los diferentes, los siguientes son las columnas: NOMBRE - El nombre que le dio a la tasa de entrada. CÓDIGO - Este es el código de ASA para la tasa de entrada. Aunque esto puede ser utilizado sólo para el sistema de gestión de ASA del hotel el campo es obligatorio. PRECIO POR HORA - Este es el precio por hora que ha especificado. ACCIONES - Aquí se puede elegir de editar o borrar un tipo de ticket haciendo clic en el enlace correspondiente.
Al editar o añadir un tipo de billete de la TASA DE NOMBRE ,
CÓDIGO DE TARIFA
(ASA),
UNIDAD DE
(duración de una unidad de esta tasa en cuestión de minutos) y el PRECIO POR HORA DE ESTA tiene que ser especificado. Para guardar la tasa de clics del boleto en elGUARDAR botón.
MINUTOS UNIDAD
LA
El precio por unidad se calcula a partir de minutos la unidad y el precio por hora.
Estadística En esta página usted puede ver las estadísticas sobre el uso de punto de acceso y la información contable.
Período de filtro Este es el punto de vista estándar. Muestra una lista de cuentas y los siguientes datos para cada cuenta: NOMBRE DE USUARIO - El nombre de usuario o MAC de la cuenta. CANTIDAD QUE SE UTILIZA - La cantidad de dinero que ha sido utilizado por esta cuenta. PAGADO - El dinero que este usuario ya ha pagado. DURACIÓN - La duración que este usuario se ha conectado a la zona activa. TRÁFICO - El tráfico que ha sido creado por esta cuenta.
En la parte inferior de la página un resumen sobre todas las cuentas se muestra. En la parte superior de la página es posible entrar en un inicio y una fecha final. Al entrar en estas fechas en el DE y filtro de botón de la página se volverá a cargar con las estadísticas entre estas dos fechas solamente. Al hacer clic en un nombre de usuario abre una página con detalles sobre las conexiones no remunerado de este usuario. Si un usuario paga, es suficiente para entrar en la cantidad de dinero que pagó a la CANTIDAD de campo y haga clic en el PROYECTO DE LEY botón.También es posible imprimir estos datos haciendo clic en el >> IMPRIMIR> botón.
Partidas abiertas de Contabilidad Esta página muestra una lista de las estadísticas, como HOTSPOT , ESTADÍSTICAS , PERÍODOS DE FILTRO , pero con una columna adicional. El MONTO A PAGAR columna muestra la cantidad de dinero para cada cuenta de que no ha sido pagado todavía. Conexiones activas En esta página usted puede ver todas las conexiones activas en la zona activa. La lista contiene las siguientes columnas: NOMBRE DE USUARIO - El nombre de usuario de la cuenta de conexión. DESCRIPCIÓN - La descripción de la cuenta de conexión.
AUTENTICADO - Muestra si la conexión se autentica o no. DURACIÓN - La cantidad de tiempo ya que esta conexión ha sido establecida. TIEMPO MUERTO - La cantidad de tiempo que la cuenta se ha conectado sin los paquetes de esta cuenta pasa a través del punto de acceso. DIRECCIÓN IP - La dirección IP que se conecta a la zona activa. MAC ADDRESS - La dirección MAC de la interfaz conectada. ACCIÓN - Cada conexión activa se puede cerrar haciendo clic en el CIERRE enlace de esta columna.
Registro de conexión En esta página se puede ver y filtrar las conexiones anteriores. Al igual que en la ZONA ACTIVA , CONEXIONES ACTIVAS página de la lista contiene varias columnas. Las columnas son las siguientes: NOMBRE DE USUARIO - El nombre de usuario de la conexión. DIRECCIÓN IP - La dirección IP que se utiliza para la conexión. MAC ADDRESS - La dirección MAC de la interfaz conectada. INICIO DE CONEXIÓN - La hora de inicio de la conexión. DETENER LA CONEXIÓN - La hora de finalización de la conexión. DESCARGAR - La cantidad de datos que se ha descargado en este sentido. SUBIR - La cantidad de datos que se ha cargado en este sentido. DURACIÓN - La duración de la conexión.
La lista se puede ordenar por cualquiera de estas columnas, seleccionando la opción correspondiente de la ORDENAR POR cuadro de selección. El orden puede ser revertida mediante una cruz en el ORDEN INVERSO casilla de verificación. También es posible filtrar las conexiones mediante la introducción de una FECHA DE INICIO o una clic en el FILTRO DE botón.
FECHA DE FINALIZACIÓN
en los campos respectivos una continuación, hacer
Si hay más resultados que los especificados en HOTSPOT ,
CONFIGURACIÓN
se encuentran, la
paginación está habilitada y puede navegar a través de las páginas haciendo clic en el LUGAR
,
ANTERIOR
,
SIGUIENTE
y
ÚLTIMO
PRIMER
enlace de arriba de la lista.
Exportar como CSV Los registros de conexión se puede descargar haciendo clic en el EXPORTAR COMO CSV enlace. La descarga está en formato CSV y contiene toda la información pertinente. Configuración En esta página se puede cambiar la configuración de la zona activa. La página contiene dos subpáginas de SISTEMA y la configuración en relación con los diferentes IDIOMAS .
Sistema Esta página consta de dos secciones. El inciso primero se llama CONFIGURACIÓN GLOBAL . Este apartado le permite definir los valores por defecto para las conexiones, así como para la interfaz de administración. PÁGINA DE INICIO DESPUÉS DE LA CONEXIÓN CON ÉXITO - Esto le permite especificar qué página debe abrirse después de que un usuario ha accedido con éxito. MONEDA - Aquí puede especificar el símbolo de su moneda. CERRAR SESIÓN DE USUARIO EN IDLE-TIMEOUT - En este desplegable se puede seleccionar después de los minutos que un usuario se cerrará la sesión cuando está inactivo. POR DEFECTO DE POR VIDA CUENTA - Aquí puede introducir el número de días de una cuenta será válida por defecto. ARTÍCULOS POR PÁGINA - Este valor define el número de elementos se muestran en cada página en la interfaz de administración de punto de acceso. ANCHO DE BANDA DE LIMITAR - Esta opción le permite especificar el valor predeterminado de carga y descarga límites por usuario en kb / s. Si estos campos están vacíos sin límite se aplica.
El segundo apartado se denomina API ENDIAN HOTSPOT . Si desea integrar el punto de acceso de Endian Firewall en un sistema ya existente de los suyos, puede configurar los parámetros de aquí. MODO - Aquí puede elegir si su sistema utiliza Endian GENÉRICOS API / JSON interfaz o
el ASA JHOTEL interfaz. El ASA jHotel interfaz sólo es necesario por los hoteles que utilizan el ASA hotel de jHotel software de gestión, mientras que la API genérica se puede implementar en otros sistemas de software. El resto de opciones dependen de la selección realizada aquí. API HABILITADO - Esta opción sólo está visible si ha elegido GENERIC API / JSON en la caja de selección anterior. La API está habilitado si esta casilla está marcada. CONTABILIDAD URL - Esta opción sólo está visible si ha elegido GENERIC API / JSON en la caja de selección anterior. El punto de acceso se enviará la información contable a esta URL. Si usted no desea que el punto de acceso para manejar la contabilidad puede dejar este campo vacío. URL DE CONTABILIDAD REQUIERE AUTENTICACIÓN HTTP - Esta opción sólo está visible si ha elegido GENERIC API / JSON en la caja de selección anterior. Si la URL proporcionada por encima requiere autenticación HTTP debe marcar esta casilla. Dos campos de texto nuevo en el que podrá introducir el NOMBRE DE USUARIO y CONTRASEÑA , respectivamente. ASA JHOTEL INTERFAZ HABILITADA - Esta opción sólo está visible si ha seleccionado ASA JHOTEL en la caja de selección anterior. Al marcar esta casilla se puede activar la interfaz de ASA jHotel. ASA JHOTEL URL - Esta opción sólo está visible si ha seleccionado ASA JHOTEL en la caja de selección anterior. Aquí puede introducir la URL de su interfaz de ASA jHotel. PERMITIR EL REGISTRO INVITADO (SELFSERVICE) - Esta opción sólo está visible si ha seleccionado ASA JHOTEL en la caja de selección anterior. Si los huéspedes del hotel debe ser capaz de registrarse ellos mismos esta casilla tiene que estar marcada. REGISTRO DE HUÉSPEDES DE INCUMPLIMIENTO DE PAGO - Esta opción sólo está visible si ha seleccionado ASA JHOTEL en la caja de selección anterior. En esta caja de selección, puede seleccionar el tipo de defecto que se aplicarán a
las nuevas cuentas.
Finalmente las opciones se pueden guardar haciendo clic en el GUARDAR botón.
Idiomas En esta página todas las opciones que dependen del idioma se puede configurar. En la primera sección ( IDIOMAS ) de esta página es posible elegir la IDIOMAS para su punto de acceso. Los idiomas deben ser seleccionados en el cuadro de selección múltiple y se guarda luego haciendo clic en la TIENDA DE botón. En la segunda sección ( BIENVENIDA
el
,
PLANTILLAS
), es posible modificar las dos plantillas (
PÁGINA DE
) para todos los idiomas. El idioma puede ser seleccionado en selectbox mientras que el tipo de plantilla se puede seleccionar en la PLANTILLA
IMPRESIÓN DE CUENTA
IDIOMA EDITAR
DEcaja
de selección. La PÁGINA DE BIENVENIDA de plantilla se presenta al usuario antes de poder ingresar al mismo tiempo la IMPRESIÓN DE CUENTAS plantilla se imprime y se entrega a los usuarios después de su registro. El contenido de las plantillas se pueden cambiar con la ayuda de un completo editor WYSIWYG (lo que ves es lo que obtienes) editor. En la CUENTA DE IMPRESIÓN de plantillas también se pueden utilizar marcadores de posición que luego será reemplazado con datos reales cuando un usuario está registrado. Las plantillas se pueden guardar haciendo clic en el
ALMACÉN
situado debajo de la editora.
En la tercera sección se llama CUERDAS y contiene traducciones para las cadenas que se usan en la interfaz web de la zona activa. Las traducciones se pueden cambiar y las nuevas traducciones se puede añadir. Esto se hace seleccionando el idioma de la EDICIÓN IDIOMAselectbox y luego llenar los campos de texto. Las traducciones se guardan haciendo clic en la TIENDA DE botón.
CUENTA IMPRIMIR marcadores de posición de plantilla: $ title - el título de la titular de la cuenta $ nombre de pila - el nombre del titular de la cuenta $ apellido - el apellido del titular de la cuenta $ username - el nombre de usuario de la cuenta de $ contraseña - la contraseña de la cuenta
Dialin En esta página se puede ver y administrar el estado de los enlaces ascendentes como en el SISTEMA , INICIO sección.
Contraseña En esta página usted puede cambiar la contraseña de la cuenta de hotspot. Sólo tienes que introducir la contraseña en la CONTRASEÑA de campo y confirmar que en el NUEVO campo. La contraseña se guarda después de golpear el GUARDAR botón.
Sitios permitidos En esta página usted puede definir qué sitios deben ser accesibles sin que se haya autenticado. También puede especificar si todas las direcciones IP deben ser capaces de conectar con el punto de acceso o simplemente IPs que pertenecen a la BLUE zona. Para permitir conexiones desde cualquier IP, es necesario marcar la casilla HABILITAR ANYIP casilla de verificación. Los sitios que se puede acceder sin necesidad de autenticación tienen que ser ingresados en el área de texto a continuación. Un sitio en cada línea está permitido. Un sitio puede ser un nombre de dominio normal o una cadena de formato de protocolo: IP [/ máscara]: puerto , por ejemplo, www.endian.com o tcp: 192.168.20.0/24:
443 . Los ajustes se guardan después de hacer clic en el GUARDAR botón.
Capítulo 9: El menú de Registros Seleccione
LOS REGISTROS DE
la barra de menús en la parte superior de la pantalla.
Endian Firewall mantiene registros de todas las actividades de firewall. Los registros pueden ser visualizados y exportados desde esta sección. La siguiente es una lista de enlaces que aparecen en el submenú en el lado izquierdo de la pantalla:
EN VIVO - obtener una visión rápida, en vivo de las últimas entradas de registro, ya que se están generando RESUMEN - conseguir resúmenes diarios de todos los registros (generado por logwatch) SISTEMA - los registros del sistema ( / var / log / messages ) filtrada por fuente y la fecha SERVICIO - los registros del sistema de detección de intrusos (IDS), OpenVPN y antivirus (ClamAV) FIREWALL - los registros de las reglas del cortafuegos IP PROXY - los registros del proxy HTTP, el proxy SMTP y el servidor proxy SIP CONFIGURACIÓN - especificar las opciones de registro, tales como el tiempo que los archivos de registro se debe mantener Cada enlace se explican por separado en las secciones siguientes.
En vivo Seleccione LOS REGISTROS DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione EN VIVO desde el submenú en el lado izquierdo de la pantalla. El visor de registro en vivo que muestra una lista de todos los archivos de registro que están disponibles para su visualización en tiempo real. Usted puede seleccionar los registros que desea ver, marcando las casillas de verificación. Después de hacer clic en el MOSTRAR LOS REGISTROS SELECCIONADOS botón una nueva ventana con los registros seleccionados se abrirá. Si desea abrir un archivo de registro que usted puede hacer clic en el MOSTRAR ESTE REGISTRO ÚNICO eslabón en la fila respectiva. Esta nueva ventana contiene el visor principal registro en vivo. El espectador se configura en la parte superior de la página en la CONFIGURACIÓN . En el lado derecho de la lista de los registros que se muestran actualmente se muestra. En el lado izquierdo de algunos elementos adicionales de control se muestran. Estos elementos de control son los siguientes: FILTRO - Sólo las entradas de registro que contienen la expresión en este campo se muestran. FILTRO ADICIONAL - Al igual que el filtro anterior. Sólo que se aplica este filtro después de que el primer filtro. PAUSA DE SALIDA - Al hacer clic en este botón para evitar nuevas entradas de registro que aparezca en el registro en vivo. Sin embargo, después de hacer clic en el botón una vez más todas las nuevas entradas aparecerán a la vez. DESTACAR - Todas las entradas de registro que contiene esta expresión se puso de relieve en el color elegido. CON COLOR DE REALCE - Al hacer clic en el cuadro de color se puede elegir el color que se utilizará para poner de relieve. DESPLAZAMIENTO AUTOMÁTICO - Esta opción sólo está disponible si en el REGISTROS , CONFIGURACIÓN DE la sección de ORDENAR EN ORDEN CRONOLÓGICO INVERSO se apaga. En este caso, las nuevas entradas se mostrará siempre en la parte inferior de la página. Si la casilla está marcada la barra de desplazamiento será siempre en la parte inferior de las LOGS EN sección. Si se trata de personas con discapacidad LOS REGISTROS EN VIVO sección VIVO
mostrará la misma entrada, no importa cuántas nuevas entradas se agregan en la parte inferior. Si desea mostrar otros archivos de registro se puede hacer clic en el MOSTRAR MÁS enlace justo debajo de la lista de archivos de registro que se muestran. Los controles serán reemplazados por una tabla en la que puede seleccionar los archivos de registro que desea ver, marcando o desmarcando
las casillas correspondientes. Si desea cambiar el color de un archivo de registro que usted puede hacer clic en la paleta de colores de este tipo de registro y luego elija un nuevo color. Para mostrar los controles de nuevo puede hacer clic en uno de los CERCA links debajo de la mesa y debajo de la lista de archivos de registro se muestra. Por último, también puede aumentar o disminuir el tamaño de la ventana haciendo clic en la AUMENTAR o
DISMINUIR LA ALTURA
ALTURA
botones respectivamente.
Resumen Seleccione LOS REGISTROS DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione RESUMEN del submenú en la parte izquierda de la pantalla. En esta página usted puede ver su Endian Firewall resumen 's de registro. Los elementos de control están disponibles las siguientes: MES - Aquí puede seleccionar el mes de la fecha en que se debe mostrar. DÍA - Aquí usted puede seleccionar el día de la fecha en que se debe mostrar. - Mediante el uso de estos controles se puede ir un día o retroceder en la historia. ACTUALIZACIÓN - Al hacer clic en este botón, el contenido de la página se actualizará. EXPORTACIÓN - Al hacer clic en este botón, se abre un archivo de texto plano con salida logwatches. Dependiendo de la configuración en el REGISTRO DE RESÚMENES de la sección REGISTROS , CONFIGURACIÓN DE la página verá un resultado más o menos en esta página.
Sistema Seleccione
LOS REGISTROS DE
la barra de menús en la parte superior de la pantalla, a continuación,
seleccione SISTEMA en el submenú en el lado izquierdo de la pantalla. En esta sección se puede navegar a través de los distintos archivos de registro del sistema. Puede buscar las entradas de registro en la CONFIGURACIÓN DE la sección mediante el uso de los siguientes controles: SECCIÓN - Aquí se puede elegir el tipo de registros que desea mostrar. FILTRO - Sólo las líneas que contienen esta expresión se muestran. SALTAR A LA FECHA - Muestra directamente las entradas del registro de esta fecha.
IR A LA PÁGINA - Muestra directamente las entradas del registro de esta página en su conjunto de resultados (la cantidad de entradas por página se muestran pueden ser configurados en el REGISTROS , CONFIGURACIÓN DE página). ACTUALIZACIÓN - Al hacer clic en este botón para realizar la búsqueda. EXPORTACIÓN - Al hacer clic en este botón para exportar las entradas de registro en un archivo de texto. Es posible ver las entradas antiguas y nuevas de los resultados de búsqueda haciendo clic en el ANTIGUO y NUEVOS botones de la derecha por encima de los resultados de búsqueda.
Servicio Seleccione
LOS REGISTROS DE
la barra de menús en la parte superior de la pantalla, a continuación,
seleccione SERVICIO en el submenú en el lado izquierdo de la pantalla. Los registros de servicio que se puede ver aquí son las de los IDS (Intrusion Detection System), OPENVPN y CLAMAV . Todos estos sitios de registro comparten la misma funcionalidad: FILTRO - Sólo las líneas que contienen esta expresión se muestran. SALTAR A LA FECHA - Muestra directamente las entradas del registro de esta fecha. IR A LA PÁGINA - Muestra directamente las entradas del registro de esta página en su conjunto de resultados (la cantidad de entradas por página se muestran pueden ser configurados en el REGISTROS , CONFIGURACIÓN DE página). ACTUALIZACIÓN - Al hacer clic en este botón para realizar la búsqueda. EXPORTACIÓN - Al hacer clic en este botón para exportar las entradas de registro en un archivo de texto. Es posible ver las entradas antiguas y nuevas de los resultados de búsqueda haciendo clic en el ANTIGUO y NUEVOS botones de la derecha por encima de los resultados de búsqueda.
Cortafuegos Seleccione
LOS REGISTROS DE
seleccione
CORTAFUEGOS
la barra de menús en la parte superior de la pantalla, a continuación,
en el submenú en el lado izquierdo de la pantalla.
La búsqueda de registro de firewall se puede controlar, como la búsqueda de registros de servicio de REGISTROS , SERVICIO . Por favor refiérase a la sección para más detalles.
Apoderado Seleccione REGISTROS DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione PROXY en el submenú en el lado izquierdo de la pantalla. HTTP FILTRO - Sólo las líneas que contienen esta expresión se muestran. IP DE ORIGEN - Mostrar sólo las entradas de registro de la IP de origen seleccionada. IGNORAR FILTRO - Las líneas que contienen esta expresión no se muestran. ACTIVAR IGNORAR FILTRO - Marque esta casilla si desea utilizar el filtro de ignorar. SALTAR A LA FECHA - Muestra directamente las entradas del registro de esta fecha. IR A LA PÁGINA - Muestra directamente las entradas del registro de esta página en su conjunto de resultados (la cantidad de entradas por página se muestran pueden ser configurados en el REGISTROS , CONFIGURACIÓN DE página). RESTAURAR VALORES PREDETERMINADOS - Al hacer clic en este botón para restaurar los parámetros de búsqueda por defecto. ACTUALIZACIÓN - Al hacer clic en este botón para realizar la búsqueda. EXPORTACIÓN - Al hacer clic en este botón para exportar las entradas de registro en un archivo de texto. Es posible ver las entradas antiguas y nuevas de los resultados de búsqueda haciendo clic en el ANTIGUO y NUEVOS botones de la derecha por encima de los resultados de búsqueda. Filtro de contenido El FILTRO DE CONTENIDO de búsqueda de registro de proxy puede ser controlado como puede ser la búsqueda de los registros de proxy http en LOS REGISTROS , PROXY , HTTP . Por favor refiérase a la sección para más detalles. HTTP informe
En esta página usted puede activar el generador de análisis del informe del proxy marcando la ACTIVAR casilla de verificación y haga clic en GUARDAR después. Una vez que el generador de informes está activada, puede hacer clic en el INFORME DIARIO
,
INFORME SEMANAL
y
MENSUAL DE INFORME DE
los enlaces de los informes detallados de HTTP.
SMTP El SMTP Proxy búsqueda en el registro se puede controlar, como la búsqueda de registros de servicio de REGISTROS , SERVICIO . Por favor refiérase a la sección para más detalles. SIP La SIP Proxy búsqueda en el registro se puede controlar, como la búsqueda de registros de servicio de REGISTROS , SERVICIO . Por favor refiérase a la sección para más detalles.
Configuración Seleccione LOS REGISTROS DE la barra de menús en la parte superior de la pantalla, a continuación, seleccione CONFIGURACIÓN en el submenú en el lado izquierdo de la pantalla. En esta página usted puede aplicar una configuración global para el registro de su Endian
Firewall . Las siguientes opciones se pueden configurar: NÚMERO DE LÍNEAS PARA MOSTRAR - Esto define el número de líneas se muestran por página de inicio de sesión. CLASIFICAR EN ORDEN CRONOLÓGICO INVERSO - Si esta opción está activada los resultados más recientes se muestran primero. MANTENGA RESÚMENES DE __ DÍAS - Esto define por cuántos días resúmenes de registros se deben almacenar. NIVEL DE DETALLE - Esto define el nivel de detalle del resumen del registro. HABILITADO (REGISTRO REMOTO) - Marque esta casilla si desea habilitar el registro remoto. SERVIDOR SYSLOG - Así se especifica que los registros de servidor remoto será enviado. El servidor debe soportar los últimos estándares de IETF protocolo syslog. REGISTRAR LOS PAQUETES CON LA CONSTELACIÓN DE BAD DE - Si está activado el firewall de registro de los BANDERAS TCP paquetes con una mala constelación TCP bandera (por ejemplo, todas las etiquetas están definidas). REGISTRAR CONEXIONES NUEVA SIN SYN - Si está habilitado nuevas conexiones TCP SYN sin bandera se registrarán. REGISTRO ACEPTA LAS CONEXIONES SALIENTES - Si usted quiere registrar todas las conexiones salientes aceptado esta casilla debe estar
marcada. REGISTRO SE NEGÓ PAQUETES - Si habilita esta paquetes se negaron a ser registrados por el firewall. Para guardar la configuración, haga clic en el GUARDAR botón.
