Настройка параметров межсетевого экрана
Выбираем кнопку Security и на вкладке Firewall ставим ползунок в положение Block All.
Выбираем кнопку Networkи во вкладкеNetwork Servicesдобавляем сервис протоколаhttps(Этот сервис можно использовать в настройкахSecurity Rules).
Далее заходим на вкладку Rules, где указываем правила доступа для сетевого трафика.
а) Разрешаем трафик из подсети, выделенной для подключения банкомата, до сети процессингового центра.
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.
Во втором окошке указываем Any Service.
Нажимаем на Next.
Здесь в поле источника указываем LAN , а в поле назначения – Specified Range (10.100.11.1-10.100.11.254).
Нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило длясети назначения 10.100.19.0:
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.
Во втором окошке указываем Any Service.
Нажимаем на Next.
Здесь в поле источника указываем LAN , а в поле назначения – Specified Range (10.100.19.1-10.100.19.254).
Нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
б) Разрешаем трафик, необходимый для мониторинга банкоматов, из сети процессингового центра до подсети, выделенной для подключения банкомата.
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.
Во втором окошке указываем Custom Service (UDP Port Range: 161-162).
Нажимаем на Next.
Здесь в поле источника указываем Specified Range (10.100.11.1-10.100.11.254) , а в поле назначения – LAN, нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило длясети 10.100.19.0:
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.
Во втором окошке указываем Custom Service (UDP Port Range: 161-162).
Нажимаем на Next.
Здесь в поле источника указываем Specified Range (10.100.19.1-10.100.19.254) , а в поле назначения – LAN, нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
в) Разрешение трафика (ICMP) для мониторинга доступности устройства.
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить) и нажимаем на Next.
Во втором окошке указываем Custom Service (Protocol ICMP).
Нажимаем на Next.
Здесь в поле источника указываем ANY , а в поле назначения – This Gateway.
Нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
г) Разрешение трафика удаленного управления устройства.
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.
Во втором окошке указываем Standard Service (Protocol HTTPS).
Нажимаем на Next.
Здесь в поле источника Specified IPуказываем IP адрес филиального маршрутизатора из IP VPN (внешний адрес маршрутизатора) в нашем примере 192.168.1.1, а в поле назначения – This Gateway.
Нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
д) Разрешаем трафик, необходимый для обновления банкоматов, из сети процессингового центра до подсети, выделенной для подключения банкомата.
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.
Во втором окошке указываем Custom Service (TCP Port Range: 4105-4105).
Нажимаем на Next.
Здесь в поле источника указываем Specified Range (10.100.11.1-10.100.11.254) , а в поле назначения – LAN, нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.
Создаем такое же правило длясети 10.100.19.0:
Нажимаем на Add Rule.
Появляется окошко, в котором выбираем Allow (разрешить).
Нажимаем на Next.
Во втором окошке указываем Custom Service (TCP Port Range: 4105-4105).
Нажимаем на Next.
Здесь в поле источника указываем Specified Range (10.100.19.1-10.100.19.254) , а в поле назначения – LAN, нажимаем Next.
В этом диалоговом окне ставим флажок на Log accepted connections (запись логов соединений).
Нажимаем на Next.
Просматриваем резюме правила доступа, убеждаемся, что все правильно.
Нажимаем на Finish.