Инструкция по настройке и использованию Lan2net Firewall

Работа с пользователями и компьютерами. Квоты трафика.

Компьютер в Lan2net Firewall может быть задан двумя параметрами IP и MAC адресами в любой комбинации. Т.е. можно указать только IP адрес, только MAC адрес или IP и MAC адрес одновременно.

Пользователи в Lan2net Firewall определяются уникальным идентификатором SID (Security Identifier). Свой собственный уникальны SID имееют все пользователи ОС Windows.

Для работы с пользователями на каждый компьютер нужно установить специальный клиент tc_cl_setup.msi, который находится в установочной папке Lan2net Firewall. Его можно установить с помощью групповых политик. Так же в установочной папке находится файл административного шаблона - tc_cl_setup.adm. После установке в отчетах и в разделе Мониторинг появятся пользователи с SID-ом вместо имени. Для создания соответветствия SID - имя пользователя, нужно добавить пользователей в разделе Пользователи. Пользователей можно добавлять как вручную, скопировав значения SID из отчетов, либо импортировать их из Active Directory с использованием LDAP протокола.

Компьютеры и пользователи могут быть объединены в группы компьютеров/пользователей. Компьютеры, пользователи, группы компьютеров и пользователей могут быть указаны в качестве источника для правил Firewall или правил Фильтра Сайтов.

У компьютеров и пользователей есть 3 счетчика трафика - за день, за месяц и всего. По этим счетчикам могут быть установлены квоты трафика. При исчерпании квоты, компьютер или пользователь исключается из правил, в которых он участвует, т.е. он как бы перестает существовать для правил Firewall. Например, в правиле Firewall - "Локальная Сеть", указан в качестве источника "Компьютер1". Это правило позволяет компьютеру "Компьютер1" выходить в интерент через NAT. При исчерпании квоты, "Компьютер1" исключается из всех правил Firewall, т.е. и из правила "Локальная Сеть". Таким образом у компьютера "Компьютер1" больше нет выхода в интернет.

Рассмотрим для примера случай когда гурппе компьютеров "Офис1" требуется выход в интернет с квотой 200 Мб в день, но по исчерпанию квоты нужно оставить доступ на внешний (находится в сети Интернет, а не в локальной сети) почтовый сервер office1.mycompanymail.com. До исчерпания квоты компьютеры из группы "Офис1" имеют доступ в интернет в соответствии с правилом "Локальная Сеть". После исчерпания квоты, трафик компьютеров исчерпавших квоту уже не попадет по правило "Локльная Сеть". Для этого трафика будут проверяться правила идущие ниже по списку. И при обращение на сервер office1.mycompanymail.com трафик с этих компьютеров попадет под правило "Корпоративная почта". Обратите внимание, что в правиле "Корпоративная почта", в качестве источника указан диапазон адресов локальной сети а не группа компьютеров. Трафик на другие адреса, не попадет ни под какое правило и будет запрешен.