На этом шаге вы можете



Примечание:

На этом шаге вы можете также определить правила маппинга (подстановки портов, трансляции адреса получателя) для других поддерживаемых служб, например, FTP-сервера, с помощью второго метода - определение собственных правил. Более подробно данный вопрос рассмотрен в разделе Разрешение доступа к службам из сети Интернет.
  • Общий доступ к Интернет-подключению (Шаг 7) — трансляция сетевых адресов (NAT) должна быть разрешена, если в локальной сети используются частные IP-адреса.


    Примечание:

    IP- адреса могут быть назначены принтерам вручную или с помощью DHCP-сервера. Если используется DHCP-сервер, то принеры настраиваются автоматически и их адреса отображаются в таблице выделенных адресов сервера. В случае ручной настройки принтеры становятся независимыми от доступности DHCP-сервера.
  • Динамические IP-адреса будут назначены локальным рабочим станциям (тем самым упрощается настройка).
    • В локальной сети будет использоваться DNS-домен company.com.




    Примечание:

    Для сети филиала будут использоваться адреса 10.1.1.х, сетевая маска 255.255.255.0 и DNS-домен filial.company.com.




    Примечание:

    Основной шлюз определяет путь, по которому пакеты из локальной сети будут направлены в сеть Интернет. Направление пакетов через WinRoute позволит создать правила фильтрации трафика, авторизацию пользователей и т.п.


  • DNS server — IP-адрес сетевой карты шлюза, подключенной к локальной сети (см. главу Настройка DNS Форвардера)




    • Примечание:

    Имя должно быть одинаковым для всех элементов, чтобы все записи были добавлены к одной и той же группе.
    В конечном итоге мы должны получить следующее:




    Примечание:

    1. Вы можете использовать готовые группировки дней (Weekday или Weekend) для настройки параметра Valid on — при этом нет необходимости индивидуально выделять каждый день.
    2. Имя записей должно быть идентично, чтобы был создан только один временной интервал.
    На рисунке приведен итоговый результат определения интервала времени Labor time:




    Примечание:

    Иногда может так случиться, что страница, на которой нет рекламы, будет заблокирована. В этом случае удалите соответствующую запись из группы Ads/banners или создайте правило-исключение для подобных страниц (мы рекомендуем именно второй метод).
    Allow MS Windows automatic updates (Разрешить автоматические обновления Windows) Правило разрешает автоматические обновления операционной системы Windows с серверов Microsoft.
    Deny sites rated in Cobion categories (Запретить сайты по категориям Cobion) Данное правило запрещает доступ к Web-сайтам, входящим в выбранные категории фильтра Cobion Orange Filter.
    Нажмите кнопку Select Rating... для выбора блокируемых категорий. Отметьте соответствующие категории в разделе Pornography для запрета доступа к страницам с эротическим/сексуальным контентом.




    Примечание:

    1. Базовая лицензия WinRoute не включает систему Cobion (необходимо приобрести специальную версию лицензии). Однако данная система доступна в триальной версии WinRoute.
    2. Система Cobion, включенная в поставку WinRoute, должна иметь возможность установки соединения с серверами баз данных в сети Интернет. Это означает, что политика трафика должна разрешать доступ к сервису COFS (6000/tcp) со шлюзовой машины. Разрешающее правило создается автоматически мастером настройки политики.
    3. Вы можете создать несколько URL-правил, использующих технологию Cobion Orange Filter. Несколько категорий может быть выбрано для каждого правила.
    4. Мы рекомендуем включить опцию “unlock” в правилах, использующих технологию Cobion Orange Filter, так как отдельные страницы могут быть классифицированы неверно и важная информация в некоторых случаях может блокироваться. Все запросы на разблокировку доступа сохраняются в журнале Filter — это позволяет вам отслеживать, были ли подобные запросы правомерны.




    Примечание:

    Вы можете указать информацию, которая будет отображена на странице блокировки, на вкладке Advanced (URL Rules) или перенаправить пользователей на другую страницу при попытке доступа к запрещенной странице.




    Примечание:

    Свободная подсеть и маска проставляются автоматически, и нет причин для их изменения.




    Примечание:

    рекомендуется впоследствии заменить данный сертификат на официальный, выпущенный публичным центром сертификации.
  • Выберите опцию пассивной установки VPN-туннеля (сервер филиала использует динамический IP-адрес). Укажите образ сертификата VPN-сервера филиала.




    Примечание:

    Свободная подсеть и маска проставляются автоматически, и нет причин для их изменения.




    Примечание:

    рекомендуется впоследствии заменить данный сертификат на официальный, выпущенный публичным центром сертификации.
  • Выберите опцию активной установки VPN-туннеля (сервер филиала использует динамический IP-адрес). Образ сертификата VPN-сервера может быть установлен с помощью простого нажатия на кнопку Detect remote certificate.




    Примечание:

    VPN-клиенты, подключающиеся к серверу головного офиса, могут получать доступ к компьютерам головного офиса и филиала (мы не создавали никаких ограничений). Однако рекомендуется все же проверить доступность обеих сетей с компьютера, подключенного в качестве VPN-клиента.




    Содержание раздела