2.0 Использование удаленного интерфейса

Принцип работы системы удаленного управления межсетевым экраном Aker

Межсетевой экран Aker можно удаленно конфигурировать и администрировать с любого хоста; для этого хост должен иметь доступ к межсетевому экрану, работать под управлением операционной системы, для которой реализован удаленный интерфейс и поддерживать стек протоколов TCP/IP. Более того, удаленное управление предоставляет возможность менеджеру с одной рабочей станции контролировать и настраивать несколько межсетевых экранов .

Удаленное управление позволяет сберечь ресурсы, поскольку хост с работающим межсетевым экраном теперь не нуждается в мониторе и других внешних устройствах.

Каким образом Aker обеспечивает удаленное управление?

Для поддержки удаленного управления на межсетевом экране запускается процесс, обеспечивающий установление соединения, проверку прав пользователей и выполнение задач пользователя. Когда пользователь начинает сеанс удаленного управления, графический интерфейс устанавливает соединение с модулем удаленного управления межсетевого экрана и поддерживает это соединение открытым, пока пользователь не завершит сеанс.

Все взаимодействие между удаленным интерфейсом и межсетевым экраном осуществляется по защищенному с помощью криптографии и аутентификации пользователей каналу. Для каждой сессии генерируются свои ключи. Кроме того, используются дополнительные меры безопасности для защиты от атак с проигрыванием параметров.

Необходимо сделать несколко важных замечаний по поводу удаленного управления:

1. Для того чтобы удаленный хост мог взаимодействовать с межсетевым экраном, необходимо добавить правило, разрешающее доступ по TCP протоколу к порту 1020 с хоста, с которого необходим доступ Подробная информация об этом содержится в главе 6 Пакетный фильтр с контролем состояния
2. Одновременно может использоваться только один удаленный интерфейс. Попытки открыть другую удаленную сессию будут отклонены с сообщением о том, что одна активная административная сессия уже открыта.
3. Пользователь, использующий удаленный интерфейс, должен быть зарегистрирован в системе. Инсталляционная программа может автоматически создать менеджера с полномочиями по регистрации других менеджеров. Если вы удалили описание такого менеджера или потеряли его пароль, необходимо использовать локальный интерфейс командной строки для создания нового менеджера. Более детальное описание можно найти в главе 3 Управление пользователями межсетевого экрана.

Как пользоваться интерфейсом Windows 95 или NT

Интерфейс Windows прост в использовании благодаря тому, что большинство пользователей привыкли к этой среде. Однако, обратите внимание на следующее:

• Левые и правые кнопки на корпусе мыши имеют различные функции в интерфейсе. Левая кнопка применяется для выделения опций в списках и для ввода с использование мыши. Правая кнопка показывает всплывающее меню для некоторых списков. Большинство этих опций доступны также из инструментального меню в верхней части окна.

2-1 Запуск удаленного интерфейса

Для запуска графического интерфейса вы должны выполнить следующие действия:

• Выберите меню Пуск , в нем группу Aker Firewall , внутри нее нажмите кнопкуAker Firewall 3.01

  Вы увидите следующее окно:

  

  Показанное выше окно является главным окном межсетевого экрана Aker, из которого доступы все опции настройки. Оно состоит из 7 меню, которые описываются ниже:

• Соединение

Меню Соединение содержит опции, касающиеся установления соединений и управления пользователями.

• Регистрация

Это меню содержит опции, необходимые для регистрации объектов, используемых в других частях межсетевого экрана. Их описание будет приведено ниже.

• Настройка

Меню Настройка содержит все конфигурационные параметры межсетевого экрана за исключением опций настройки proxy серверов и регистрации профилей объектов и доступа. Их описание будет приведено ниже.

• Сервера

Меню Сервера позволяет изменять параметры прозрачных и непрозрачных proxy-серверов межсетевого экрана.

• Вид

Меню Вид содержит опции, позволяющие администратору контролировать работу межсетевого экрана.

• Средства

Это меню позволяет настраивать допонительные функции управления межсетевого экрана. Его опции будут рассмотрены ниже в главе 20 Использование средств графического интерфейса.

• Помощь

Меню Помощь предназначено для доступа к описанию системы Aker и подсказок по работе с ним.

В самом начале все опции в меню недоступны за исключением опций Соединениеt и Выход в меню Соединение и опций Помощь и Об Aker в меню Помощь. Для доступа к основным опциям необходимо установить удаленную сессию с межсетевым экраном, администрированием которго Вы хотите заняться. Вы должны выполнить следующие действия:

• Выберите меню Соединение в главном окне
• Выберите опцию Соединение

Окно меню Соединение

После выбора опции Соединение появится следующее окно:

  

В поле Удаленное соединение необходимо ввести IP адрес или имя хоста, который необходимо администрировать, в поле Регистрационное имя -  имя пользователя, в поле Пароль - пароль пользователя ( на экране пароль будет высвечиваться в виде звездочек "*").

После заполнения всех полей нажмите клавишу Да для установления соединения. Если все в порядке, через несколько секунд будет установлено соединение, и менеджер сможет выполнить все необходимые операции. В этом случае появится окно, содержащее все данные о соединении.

Если вам не удается установить соединение, на экране появится окно с указанием ошибки. В этом случае возможен целый ряд сообщений. Приведем список наиболее частых сообщений :

Aker управляется через другой интерфейс

Aker позволяет проводить только одну удаленную сессию одновременно. Если такое сообщение появилось, это означает, что с межсетевым экраном уже установлено удаленное соединение или на нем используется локальный модуль управления.

• Ошибка разрешения имени

Это сообщение означает, что не удается разрешить имя запрашиваемого хоста в DNS. Убедитесь, что имя написано правильно и DNS на машине, откуда устанавливатся удаленное соединение, настроен.

• Сетевая ошибка или соединение закрыто сервером

Эта общая ошибка может порождаться рядом причин. Наиболее общей причиной является неправильный ввод с клавиатуры имени пользователя или пароля. Если пользователь не зарегистрирован в системе или пароль неверен, сервер оборвет соединение. Убедитесь, что ваше имя и пароль введены правильно. В случае, если ошибка еще останется, проделайте следующие действия:

1. Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #ps -ax | grep fwconfd | grep -v grep. Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду #/etc/firewall/fwconfd от имени root и попытайтесь установить новое соединение.
2. Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу 6 Пакетный фильтр с контролем состояния).
3. Проверьте правильность работы сети. Одним из способов сделать это является использование команды ping( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста. Чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту.
4. Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния).

2-2 Завершение удаленного управления

Существуют два пути завершения удаленного управления: закрытие сессии или окончание работы удаленного графического интерфейса.

Для завершения сессии необходимо проделать следующие шаги:

• Выберите меню Соединение в главном окне
• Выберите опцию Выход

Будет открыто следующее окно, содержащее запрос о подтверждении конца сеанса:

Нажмите Да для окончания сессии или Нет для ее сохранения.

Для окончания работы программы Вам необходимо:

Выберите меню Сессии в главном окне

• Выберите опцию Выход

Если сессия установлена, программа запросит подтверждение на ее завершение. Вам необходимо нажать Да для закрытия сессии и выхода из программы или Нет для ее сохранения. Если активных сессий больше нет, программа завершит работу без последующего подтверждения.

2-3 Изменение паролей пользователей

Все пользователи межсетевого экрана Aker могут менять свои пароли  по мере необходимости. Для этого сначала следует открыть сессию управления (как показано в параграфе 2-1 Запуск удаленного интерфейса) и затем выполнить следующие действия:

• Выбрать опцию Соединение в главном окне
• Выбрать пункт Изменить пароль

Появится следующее окно

Вы должны ввести старый пароль в поле Старый пароль, новый пароль в поле Новый пароль и в поле Подтверждение паролья (пароль будет высвечиваться в виде звездочек "*").

После заполнения полей нажмите кнопку Да для изменения пароля или кнопку Отменить в случае если Вы не хотите его менять.

2-4 Просмотр информации о сессии

В любой момент Вы можете просмотреть информацию об активном сеансе управления. Для этого существует окно, содержащее полезную информацию, например, такую как имя регистрации, полное имя и права пользователя, который управляет межсетевым экраном, номер версии и реализации межсетевого экрана. Показывается также время соединения и период его активизации. Чтобы открыть это окно, необходимо выполнить следующие действия:

• Выберите опцию Соединение в главном окне
• Выберите пункт Информация

Вы увидите следующее окошко

2-5 Использование помощи в режиме он-лайн

Межсетевой экран Aker имеет  систему помощи, работающую в режиме on-line. Все окна, кроме предназначенных для подтверждения, имеют кнопку Помощь. При активизации эта кнопка открывает специальное окно помощи.

Кроме такой специальной помощи в каждом окне можно перемещаться по структуре справочного документа, аналогично тому как Вы делаете в этом Руководстве. Для этого надо проделать следующие действия:

Выберите опцию Помощь в главном меню

• Выберите пункт Помощь

В системе помощи существуют ссылки, как в этом Руководстве. При выборе на такую ссылку будет высвечено соответствующее окно.