Endian Firewall Manual de referencia r. 2.2.1.

9
. Copyright (c) 2008 Endian srl, Italia Se concede permiso para copiar, distribuir y / o modificar este documento bajo los trminos de la GNU Free Documentation License, Version 1.2 o cualquier otra versin posterior publicada por la Free Software Foundation, sin Secciones Invariantes ni Textos de Cubierta Delantera ni Textos de Cubierta Trasera. Una copia de la licencia est incluida en la seccin titulada "GNU Free Documentation License". ndice

Captulo 1: El men del sistema

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla. Los siguientes enlaces aparecern en un submen en el lado izquierdo de la pantalla. Que permiten la administracin de base y monitoreo de su Endian Firewall .

INICIO - Sistema de conexin a Internet y una visin general de estado CONFIGURACIN DE LA RED - la red y la interfaz de configuracin SOPORTE - formulario de solicitud de ENDIAN RED - Red Endian informacin de registro CONTRASEAS - contraseas conjunto del sistema ACCESO SSH - enable / configure Secure Shell (SSH) el acceso a su Endian Firewall GUI AJUSTES - como idioma de la interfaz COPIA DE SEGURIDAD - backup / restore Endian Firewall ajustes, as como restablecer los valores de fbrica APAGAR - apagar / reiniciar su Endian Firewall CRDITOS - gracias a todos los contribuyentes Cada enlace se explican por separado en las secciones siguientes.

Casa

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione INICIO en el submen en el lado izquierdo de la pantalla. Esta pgina muestra un resumen de la conexin de subida (s) y la salud general del sistema. Una tabla se muestra, detallando el estado de conexin de cada subida. Por lo general, usted slo ver un enlace ascendente de una sola llamada PRINCIPAL , ya que es el enlace ascendente principal. De particular inters es el campo de estado del enlace ascendente individual: DETENIDO - La subida no est conectado. CONEXIN - La subida es actualmente de conexin. CONECTADO - El enlace ascendente est conectado y en pleno funcionamiento. DESCONEXIN - La subida es actualmente de desconexin. Endian Firewall mantiene ping a la puerta y anuncia cuando est disponible. FRACASO - Hubo un error al conectar el enlace ascendente. SI NO, VOLVER A CONECTAR - Hubo un fallo al conectar con el enlace ascendente. Endian Firewall es intentarlo de nuevo. LINK MUERTO - El enlace ascendente est conectado, pero los locales que se definieron en LA RED , INTERFACES para comprobar la conexin no pudo ser. Bsicamente, esto significa que la subida no es operativo. Cada enlace ascendente puede ser operado en modo gestionado (por defecto) o el modo manual. En el modo logr Endian Firewall monitoriza y reinicia el enlace ascendente de forma automtica cuando sea necesario. Si est desactivado el modo administrado, la subida puede ser activada o desactivada de forma manual. No habr ningn intento de reconexin automtica si se pierde la conexin. Finalmente, despus de la mesa de enlace ascendente, se puede encontrar una lnea del sistema de salud, que es similar al siguiente ejemplo: EFW-1203950372.localdomain - 13:45:49 hasta 1 minuto, 0 usuarios, carga promedio: 1.89 4.84, 0.68 Esto es bsicamente el resultado de la Linux el tiempo de actividad del comando. Se muestra la hora actual, los das / horas / minutos que Endian Firewall ha estado funcionando sin reiniciar el sistema, el nmero de inicios de sesin de la consola y la carga media de los ltimos 1, 5, y 15 minutos.

Configuracin de la red

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione CONFIGURACIN DE RED en el submen en el lado izquierdo de la pantalla. Configuracin de la red y la interfaz es rpida y fcil con el asistente proporcionada en esta seccin. El asistente se divide en varios pasos: puede desplazarse hacia atrs y adelante con el <<< y >>> botones. Puede navegar libremente todos los pasos y decide cancelar sus acciones en cualquier momento. Slo en el ltimo paso se le pedir que confirme la nueva configuracin. Si se confirma, la nueva configuracin se aplicar. Esto puede llevar algn tiempo durante el cual la interfaz web no puede responder. A continuacin se presenta una lista detallada de cada paso del asistente. Elija el tipo de interfaz RED Cuando Endian Firewall se instal, la interfaz de red de confianza (denominado GREEN interfaz) ya ha sido elegido y creado. Esta pantalla permite seleccionar la interfaz de red no es confiable (la llamada RED interface): el que conecta su Endian Firewall . al "exterior" (por lo general el enlace ascendente con su proveedor de internet) Endian Firewall es compatible con los siguientes tipos de REDinterfaces: ETHERNET STATIC - Desea utilizar un adaptador de Ethernet y que necesita para configurar la informacin de red (direccin IP y mscara de red) de forma manual. Este suele ser el caso cuando se conecta a su RED de interfaz a un simple router mediante un cable Ethernet cruzado. ETHERNET DHCP - Desea utilizar un adaptador Ethernet que recibe informacin de la red a travs de DHCP. Este suele ser el caso cuando se conecta a su RED de interfaz a un cable de mdem / router ADSL / RDSI del router mediante un cable Ethernet cruzado. PPPOE - Desea utilizar un adaptador de Ethernet que se conecta mediante un cable cruzado de Ethernet a un mdem ADSL. Tenga en cuenta que esta opcin slo es necesario si el mdem utiliza el modo de puente y se requiere su cortafuegos para usar PPPoE para conectarse a su proveedor. Preste atencin para no confundir esta opcin con la ESTATICA ETHERNET o ETHERNET DHCP opciones para conectar a routers ADSL que manejan los propios PPPoE. ADSL (USB, PCI) - Desea utilizar un mdem ADSL (dispositivos USB o PCI).

RDSI - Desea utilizar un adaptador RDSI. ANALGICO / UMTS MODEM - Desea utilizar un mdem analgico (dial-up) o UMTS (telfono mvil). PUERTA DE ENLACE - Su Endian Firewall no tiene RED interfaz. Esto es inusual ya que un firewall normalmente tiene que tener dos interfaces de por lo menos - para algunos escenarios de esta tiene sentido sin embargo. Un ejemplo sera si desea utilizar slo un servicio especfico del firewall. Otro ejemplo, ms sofisticado es un Endian

Firewall cuya AZUL zona est conectada a

travs de una VPN con el VERDE interfaz de segundo Endian Firewall . El firewall del segundo VERDEdireccin IP puede ser utilizada como un enlace ascendente de copia de seguridad en el primer cortafuegos. Si elige esta opcin, tendr que configurar una puerta de enlace predeterminada en el futuro. Elegir zonas de la red

Endian Firewall toma IPCop idea de las diferentes zonas. En este punto usted ya ha encontrado las
dos zonas ms importantes: VERDE - es el segmento de red de confianza. RED - es el segmento de red de confianza. Este paso le permite aadir una o dos zonas adicionales, siempre que disponga de las interfaces suficiente. Zonas disponibles son: ORANGE - es la zona desmilitarizada (DMZ). Si los servidores host, es recomendable para conectarse a una red diferente a su VERDE red. Si un atacante logra entrar en uno de sus servidores, l o ella se encuentra atrapada dentro de la DMZ y no se puede obtener informacin sensible de los equipos locales en su VERDE zona. AZUL - es la zona de conexin inalmbrica (WLAN). Puede conectar un punto de acceso hotspot WiFi o de una interfaz asignada a esta zona. Las redes inalmbricas no son seguras a menudo - por lo que el objetivo es atrapar a todos los equipos conectados de forma inalmbrica en su propia zona sin acceso a ninguna otra zona, excepto rojo (por defecto).

Tenga en cuenta que una interfaz de red est reservada para el VERDE zona. Otro que ya se le puede asignar a la RED la zona si se ha seleccionado una RED tipo de interfaz que requiere una tarjeta de red. Esto podra limitar sus opciones de aqu al punto de que no se puede elegir un ORANGE o BLUE zona debido a la falta de interfaces de red adicionales. Preferencias de red Este paso le permite configurar el VERDE zona y cualquier otra zona adicional que podra haber creado en el paso anterior ( naranja o azul ). Cada zona est configurada en su propia seccin con las siguientes opciones: DIRECCIN IP - Especificar una direccin IP (por ejemplo, 192.168.0.1). Preste atencin a no utilizar direcciones que ya estn en uso en su red. Tienes que ser especialmente cuidadoso al configurar las interfaces de la GREEN zona para evitar el bloqueo mismo de la interfaz web! Si cambia las direcciones IP de Endian Firewall en un entorno de produccin, es posible que necesite ajustar la configuracin de otros lugares, por ejemplo la configuracin del proxy HTTP en los navegadores web. MSCARA DE RED - Especifique la mscara de CIDR / red de una seleccin de mscaras posible (por ejemplo / 24 - 255.255.255.0). Es importante utilizar la misma mscara para todos los dispositivos en la misma subred. SI DESEA MS DIRECCIONES - Puede aadir direcciones IP adicionales a partir de diferentes subredes a la interfaz de aqu. INTERFACES - Mapa de las interfaces de las zonas. Cada interfaz puede ser asignada a una sola zona y cada zona debe tener al menos una interfaz. Sin embargo, es posible asignar ms de una interfaz a una zona. En este caso, estas interfaces son un puente entre s y actan como si fueran parte de un interruptor. Todas las interfaces se muestran en la etiqueta con su nmero de identificacin del PCI, la descripcin del dispositivo que devuelve lspci y sus direcciones MAC. El smbolo muestra el estado del enlace actual: una tickmark muestra que el enlace est activo, una X significa que no hay enlace y un signo de interrogacin le dir que el conductor no proporcionar esta informacin.

Tenga en cuenta que Endian Firewall interno se ocupa de todas las zonas de puentes, sin importar el nmero de interfaces asignadas. Por lo tanto el nombre de las interfaces de Linux es BRX , no ethX . Adems, el host del sistema y el nombre de dominio se puede configurar en la parte inferior de la pantalla.

Es necesario utilizar direcciones IP en diferentes segmentos de red para cada interfaz, por ejemplo: IP = 192.168.0.1, mscara de red = / 24 - 255.255.255.0 para GREEN IP = 192.168.10.1, mscara de red = / 24 - 255.255.255.0 para ORANGE IP = 10.0.0.1, la mscara de red = / 24 - 255.255.255.0 para BLUE Se sugiere seguir las normas descritas en RFC1918 y el uso de las direcciones IP contenidas en las redes reservadas al uso privado de la Asignacin de nmeros de Internet (IANA) : 10.0.0.0 - 10.255.255.255 (10.0.0.0 / 8), 16.777.216 direcciones 172.16.0.0 - 172.31.255.255 (172.16.0.0/12), 1.048.576 direcciones 192.168.0.0 - 192.168.255.255 (192.168.0.0/16), 65.536 direcciones de la primera y la ltima direccin IP de un segmento de red son la direccin de red y la direccin de difusin, respectivamente, y no debe ser asignado a cualquier dispositivo.

Las preferencias de acceso a Internet Este paso le permite configurar la RED interfaz, que se conecta a Internet oa cualquier otra red no es de confianza fuera de Endian Firewall . Usted encontrar diferentes opciones de configuracin en esta pgina, dependiendo del tipo de la RED de interfaz que ha elegido antes. Algunos tipos de interfaces requieren ms pasos de

configuracin que otros. A continuacin se muestra una descripcin de la configuracin para cada tipo. ETHERNET STATIC - Es necesario introducir la direccin IP y mscara de red de la RED de la interfaz, as como la direccin IP de su puerta de enlace predeterminada - es decir, la direccin IP de la pasarela que conecta su Endian Firewall a Internet oa otra red insegura. Si lo desea, tambin puede especificar la MTU (Maximum Transmission Unit) y la direccin hardware Ethernet (direccin MAC) de la interfaz - por lo general esto no es necesario. ETHERNET DHCP - Slo tiene que especificar si desea DHCP para configurar la direccin IP del servidor DNS (Domain Name Server) de forma automtica o si desea que ajustarlo manualmente. PPPOE - Es necesario introducir el nombre de usuario y contrasea asignado por su proveedor, el mtodo de autenticacin (si es que no s si PAP o CHAP se aplica, mantenga el valor predeterminado PAP O CHAP ) y si desea que la direccin IP del servidor DNS (Domain Name servidor) que se asignar de forma automtica o si desea configurar manualmente. Si lo desea, tambin puede especificar la MTU (Maximum Transmission Unit) y el servicio de su proveedor y el nombre del concentrador - por lo general esto no es necesario. ADSL (USB, PCI) - Hay tres sub-pantallas para esta eleccin. En primer lugar es necesario seleccionar el controlador apropiado para su mdem. Luego hay que seleccionar el tipo de ADSL: PPPOA , PPPOE , RFC 1483 IP ESTTICA o DHCP RFC 1483 . A continuacin, es necesario proporcionar algunas de las siguientes opciones (en funcin de los campos de tipo ADSL estn disponibles o no): los nmeros VPI / VCI, as como el tipo de encapsulacin, el nombre de usuario y contrasea asignado por su proveedor y el mtodo de autenticacin (si no saber si PAP o CHAP se aplica, utilice la opcin predeterminada PAP O CHAP ), la direccin IP y mscara de red de la RED de la interfaz, as como la direccin IP de su puerta de enlace predeterminada ( RFC UNO MIL CUATROCIENTAS

IP ESTTICA nica), si desea que la direccin IP del DNS (Domain Name Server)
OCHENTA Y TRES

que se asignar de forma automtica o si desea configurarlo manualmente. Si lo desea, tambin puede especificar la MTU (Maximum Transmission Unit) - por lo general esto no es necesario. RDSI - Es necesario seleccionar el controlador del mdem, nmeros de telfono (nmero de su proveedor y el nmero que se utiliza para marcar), as como el nombre de usuario y contrasea que se han asignado a usted por su proveedor y el mtodo de autenticacin (si no sabes si PAP o CHAP se aplica, utilice la opcin predeterminada PAP O CHAP ). Tambin puede especificar si desea que la direccin IP del servidor DNS (Domain Name Server) que se asignar de forma automtica o si desea configurar manualmente. Si lo desea, tambin puede especificar la MTU (Maximum Transmission Unit) - por lo general esto no es necesario. ANALGICO / UMTS MODEM - Hay dos sub-pantallas para esta eleccin. En primer lugar es necesario especificar el puerto serie el mdem est conectado y si se trata de un simple mdem analgico o un mdem UMTS / HSDPA. Tenga en cuenta que / dev/ttyS0 se utiliza normalmente como una consola de serie y por lo tanto no disponible para modems. A continuacin, debe especificar el mdem de velocidad de bits, el nmero de telfono de acceso telefnico o el nombre del punto de acceso, el nombre de usuario y contrasea que se han asignado a usted por su proveedor y el mtodo de autenticacin (si es que no s si PAP o CHAP se aplica, utilice la opcin predeterminada PAP O CHAP ). Tambin puede especificar si desea que la direccin IP del servidor DNS (Domain Name Server) que se asignar de forma automtica o si desea configurar manualmente. Para mdems UMTS, tambin es necesario especificar el nombre del punto de acceso. Si lo desea, tambin puede especificar la MTU (Maximum Transmission Unit) - por lo general esto no es necesario. Por favor, lea la siguiente nota de los problemas

con los mdems. PUERTA DE ENLACE - Slo tiene que especificar la direccin IP de su puerta de enlace predeterminada - es decir, la direccin IP de la pasarela que conecta su Endian Firewall a Internet oa otra red insegura.

Algunos modernos mdems UMTS son los dispositivos USB de almacenamiento masivo tambin. Estos mdems suelen registrar en dos dispositivos (por ejemplo, / dev/ttyUSB0 , /

dev/ttyUSB1 ). En este caso, el segundo

dispositivo es el mdem. Este tipo de mdem puede causar problemas al reiniciar el servidor de seguridad porque el firewall trata de arrancar desde el dispositivo de almacenamiento masivo USB. tarjetas SIM que requieren un nmero de identificacin personal (PIN) no son compatibles con Endian Firewall . Configure la resolucin de DNS Este paso le permite definir hasta dos direcciones de DNS (Domain Name Server), a menos que se asignan automticamente. En caso de un solo servidor de nombres se utilizan es necesario para entrar en la misma direccin IP en dos ocasiones. Las direcciones IP que se introducen deben ser accesibles desde esta interfaz. Aplicar la configuracin Este ltimo paso le pide que confirme la nueva configuracin. Haga clic en el ACEPTAR, APLICAR LA CONFIGURACIN para ir por delante. Una vez que hayas hecho esto, el asistente de red a escribir todos los archivos de configuracin en el disco, vuelva a configurar todos los dispositivos necesarios y reiniciar todos los servicios en funcin.Esto puede tomar hasta 20 segundos, durante el cual no puede ser capaz de conectarse a la interfaz de administracin y por un corto tiempo sin conexiones a travs del firewall son posibles. La interfaz de administracin se volver a cargar automticamente. Si ha cambiado la direccin IP de la GREEN interfaz de la zona, usted ser redirigido a la nueva direccin IP. En este caso, y / o si ha cambiado el nombre de host de un certificado SSL nuevo se generar.

Apoyo

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione SOPORTE en el submen en el lado izquierdo de la pantalla. La solicitud de apoyo se pueden crear directamente desde esta pantalla. Rellene toda la informacin necesaria y presentar su solicitud. Un miembro del equipo de soporte Endian se comunicar con usted tan pronto como sea posible. Por favor proporcione una descripcin detallada del problema a fin de ayudar al equipo de apoyo para resolver el problema lo ms rpido posible. Si lo desea, puede conceder acceso a su servidor de seguridad a travs de SSH (secure shell). Esta es una conexin encriptada y segura que permite a personal de apoyo para acceder a su Endian

Firewall para comprobar la configuracin, etc Esta opcin est desactivada por defecto. Cuando est
activada, la clave pblica del equipo de soporte de SSH se copia en el sistema y el acceso se concede a travs de esa clave. La contrasea de root no se indica de ninguna manera.

Red Endian
Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione LA RED ENDIAN en el submen en el lado izquierdo de la pantalla. Su Endian Firewall puede conectarse a la red Endian (EN). Endian Network permite el control fcil y centralizada, administracin y actualizacin de todos sus Endian Firewall sistemas con slo unos clics. Esta pantalla contiene tres pestaas. El SUSCRIPCIONES pestaa muestra un resumen de su red Endian estado de la asistencia. La ltima seccin se enumeran las claves de activacin. Se necesita al menos una clave de activacin vlida (no caducado) para recibir actualizaciones de y participar en la Red Endian .Hay una clave para cada canal de soporte (por lo general slo una). Si el firewall no se ha registrado el formulario de registro se muestra. El
ACCESO REMOTO

ficha permite especificar si su Endian Firewall puede ser alcanzado a travs de la

red Endian en absoluto, y si es as, a travs de qu protocolo: HTTP significa que la interfaz web se puede llegar a travs de la red Endian y SSH significa que es posible acceder a travs de Secure Shell a travs de la red Endian .
La ACTUALIZACIN DE ficha muestra y controla el estado de actualizacin de su sistema. Hay tres secciones. En primer lugar, al pulsar el
COMPROBAR NUEVAS ACTUALIZACIONES!

botn se acceder a los canales

de soporte en busca de nuevas actualizaciones. Si se encuentra alguna actualizacin que se enumeran (las actualizaciones se distribuyen como paquetes RPM). Al pulsar el PROCESO DE ACTUALIZACIN COMIENCE AHORA! botn instalar todos los paquetes actualizados. En segundo lugar - para ahorrar algo de tiempo - el sistema recupera la lista de actualizaciones de forma automtica. Usted puede elegir el intervalo que se horaria, diaria, semanal (por defecto) o mensual - no te olvides de hacer clic en GUARDAR para guardar la configuracin.

En tercer lugar, presionando

FIRMAS

ACTUALIZAR AHORA usted puede actualizar las firmas de antivirus

ClamAV. Esto slo funciona si ClamAV est en uso, por ejemplo, en combinacin con el correo electrnico o un proxy HTTP.

Contraseas
Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione
CONTRASEAS

en el submen en el lado izquierdo de la pantalla.

Puede cambiar una contrasea en un tiempo aqu. Especificar cada nueva contrasea dos veces y pulse GUARDAR . Los usuarios estn disponibles las siguientes: Admin - el usuario que puede conectarse a la interfaz web de administracin. Raz - el usuario que puede iniciar sesin en el shell de administracin. Los inicios de sesin se pueden hacer localmente en la consola, a travs de la consola de serie o de forma remota a travs de SSH (secure shell) si se ha activado. Marcacin - el Endian Firewall de usuario del cliente.

Acceso SSH
Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione EL ACCESO SSH en el submen en el lado izquierdo de la pantalla. Esta pantalla le permite activar a distancia SSH (secure shell) el acceso a su Endian Firewall . Esto est desactivado por defecto, que es la configuracin recomendada. el acceso SSH est siempre en cuando uno de los siguientes:

Acceso Endian equipo de apoyo est permitido en el

SISTEMA

DE APOYO

El acceso SSH est activado en el SISTEMA , RED ENDIAN , ACCESO REMOTO . La alta disponibilidad est habilitado en LOS SERVICIOS , DE ALTA DISPONIBILIDAD . Algunas opciones de SSH se puede establecer: SSH VERSIN 1 DEL PROTOCOLO - Esto slo es necesario para los viejos clientes SSH que no son compatibles con las nuevas versiones del protocolo SSH. Esto est totalmente desaconsejada ya que existen vulnerabilidades conocidas en SSH versin 1 del protocolo.Usted no debe actualizar los clientes SSH versin 2, si es posible. TCP REENVO - Seleccione esta opcin si usted necesita para hacer un tnel a travs de otros protocolos SSH. Consulte la nota de abajo para un ejemplo de casos de uso.
CONTRASEA DE AUTENTICACIN

- Permitir inicios de sesin a travs de la

autenticacin de contrasea.
AUTENTICACIN DE CLAVE PBLICA

- Permitir inicios de sesin a travs de claves pblicas. Las claves pblicas se debe agregar a / root / .ssh /

authorized_keys .
Finalmente hay una seccin que detalla las claves pblicas SSH de esta Endian Firewall que se han generado durante el primer proceso de arranque.

Suponga que tiene un servicio como telnet (o cualquier otro servicio que pueden ser canalizadas a travs de SSH) en un equipo dentro de su verde la zona, por ejemplo el puerto 23 en el host 10.0.0.20. As es como se puede configurar un tnel SSH a travs de su Endian Firewall para acceder al servicio de forma segura desde fuera de la LAN. 1. Habilitar SSH y asegrese de que se puede acceder (ver CORTAFUEGOS , ACCESO AL SISTEMA ). 2.desde un sistema externo conectarse a su Endian Firewall usando ssh-N-f-L

12345: 10.0.0.20:23 root @ endian_firewall donde -N no dice

SSH para ejecutar comandos, pero slo para reenviar el trfico, -ffunciona SSH en el fondo y -L 12345:10.0.0.20:23 mapas de puertos del sistema externo de 12345 al puerto 23 en 10.0.0.20 como se puede ver desde su Endian

Firewall . 3. El tnel SSH desde el puerto 12345

del sistema externo al puerto 23 en el host 10.0.0.20 se ha establecido. En este ejemplo, ahora puede telnet al puerto 12345 de localhost para llegar a 10.0.0.20.

GUI ajustes

Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione LA CONFIGURACIN GUI en el submen en el lado izquierdo de la pantalla. En el comunicado de la comunidad tambin es posible hacer clic en la AYUDA PARA TRADUCIR ESTE
PROYECTO DE

enlace que abrir la Endian firewall pgina de traduccin. Cualquier ayuda se agradece.

Dos opciones con respecto a la interfaz web se puede configurar en esta pantalla: si se muestra el nombre de host en el ttulo de la ventana del navegador y el idioma de la interfaz web (Ingls, alemn e italiano son soportados actualmente).

De reserva
Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione COPIA DE SEGURIDAD en el submen en el lado izquierdo de la pantalla. En esta seccin usted puede crear copias de seguridad de Endian Firewall de configuracin y restaurar el sistema a una de estas copias de seguridad cuando sea necesario. Copias de seguridad se pueden guardar localmente en el Endian Firewall de acogida, a una memoria USB o descargar en su ordenador. Tambin es posible restablecer la configuracin predeterminada de fbrica y crear copias de seguridad totalmente automatizado. Los grupos de respaldo Al hacer clic en la
COPIA DE SEGURIDAD

CREAR NUEVO botn de un cuadro de dilogo se abre, donde

puede configurar la instantnea del nuevo sistema:

CONFIGURACIN

- incluye todas las configuraciones y los ajustes que haya realizado, que es el contenido del directorio / var / EFW .

DEPSITOS DE LA BASE DE DATOS

- incluye un volcado de base de datos, que incluye por ejemplo la informacin contable hotspot. - incluye los archivos de registro actuales - incluye a antiguos archivos de registro, copias de seguridad con esta opcin activada recibir muy grande despus de algn tiempo - un comentario adicional se puede agregar aqu botn de nuevo para seguir adelante y crear la

LOS ARCHIVOS DE REGISTRO REGISTRO DE ARCHIVOS

OBSERVACIN

Haga clic en la

COPIA DE SEGURIDAD CREAR NUEVO

copia de seguridad. A continuacin se presenta la lista de copias de seguridad disponibles (inicialmente vaca): se puede optar por descargar, borrar o restaurar haciendo clic en el icono apropiado en la lista. Cada copia de seguridad se anota con cero o ms de las siguientes banderas: S - Ajustes. La copia de seguridad contiene las

configuraciones y los ajustes. D - Base de datos. La copia de seguridad contiene un volcado de base de datos. E - Encriptado. El archivo de copia de seguridad encriptada. L - Los archivos de registro. La copia de seguridad contiene archivos de registro. A - Archivo. La copia de seguridad contiene los archivos antiguos de registro. ! - Error! El archivo de copia de seguridad est daado. C - Crea automticamente. La copia de seguridad se ha creado automticamente por un trabajo de copia de seguridad programada. U - Esta copia de seguridad se ha guardado en una memoria USB. Cifrar copia de seguridad Puede proporcionar una clave pblica GPG que se utiliza para cifrar todas las copias de seguridad. Seleccione su clave pblica, haga clic en el NAVEGAR botn y elegir el archivo de clave del sistema de archivos local. Asegrese de CIFRAR ARCHIVOS DE COPIA DE SEGURIDAD est activada. Confirmar y cargar el archivo de clave, haga clic en GUARDAR . Importar archivos de copia de seguridad Usted puede cargar una copia de seguridad previamente descargado. Seleccione la copia de seguridad haciendo clic en el NAVEGAR botn y elegir el archivo de copia de seguridad de su sistema de archivos local. Rellene el OBSERVACIN de campo para el nombre de la copia de seguridad y cargar haciendo clic en GUARDAR . No es posible la importacin de copias de seguridad cifradas. Usted debe descifrar como copias de seguridad antes de subirlos. La copia de seguridad aparece en la lista de copia de seguridad anterior. Ahora puede elegir para restaurarlo haciendo clic en el icono de la restauracin. Restaurar los valores predeterminados de fbrica Al hacer clic en la
FBRICA POR DEFECTO

botn le permite resetear la configuracin de Firewall Endian

a valores de fbrica y reiniciar el sistema inmediatamente despus. Una copia de seguridad de la configuracin viejo es guardado automticamente. Copias de seguridad programadas Seleccione la
COPIA DE SEGURIDAD PROGRAMADA

pestaa si desea activar y configurar copias de

seguridad automatizadas.

En primer lugar, activar y configurar copias de seguridad automticas. Usted puede elegir lo que debe ser parte de la copia de seguridad: la configuracin, los vertederos de la base de datos, archivos de registro y archivos de registro antiguos como se ve en los CONJUNTOS DE COPIA DE la seccin. Tambin puede elegir la forma de copias de seguridad que usted desea guardar (2.10) y el intervalo entre copias de seguridad (cada hora, diario, semanal o mensual). Cuando haya terminado haga clic en el GUARDAR botn. A continuacin, puede indicar al sistema si desea o no copias de seguridad de correo electrnico. Si usted desea recibir por correo electrnico copias de seguridad se puede activar esta funcin y seleccionar la direccin de correo electrnico del destinatario. A continuacin, puede GUARDAR la configuracin. Tambin hay una
COPIA DE SEGURIDAD AHORA ENVIAR UN

botn que se guardar la

configuracin y tratar de enviar un correo electrnico con la copia de seguridad inmediatamente, por lo que puede probar el sistema.Opcionalmente, tambin puede proporcionar una direccin de correo electrnico del remitente (esto se debe hacer si su dominio o nombre de host no se pueden resolver por su DNS) y la direccin de una pasarela para ser utilizado (en caso de que quiera ir a todo el correo saliente a travs de sus compaas de servidor SMTP, en lugar de ser enviados directamente por su Endian Firewall ). Si el proxy SMTP est deshabilitado, es absolutamente necesario para aadir una pasarela para poder enviar correos electrnicos.

Cierre
Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione APAGAR en el submen en el lado izquierdo de la pantalla. En esta pantalla se puede apagar o reiniciar su Endian Firewall , haga clic en el el REINICIO botn respectivamente.
APAGADO

Crditos
Seleccione SISTEMA en la barra de men en la parte superior de la pantalla, a continuacin, seleccione
CRDITOS

en el submen en el lado izquierdo de la pantalla.

Esta pantalla muestra la lista de personas que llev a Endian Firewall para usted.

Captulo 2: El men de estado

Seleccione ESTADO de la barra de men en la parte superior de la pantalla.

Los siguientes enlaces aparecern en un submen en el lado izquierdo de la pantalla. Dan informacin detallada del estado sobre los distintos aspectos de su Endian Firewall :

EL ESTADO DEL SISTEMA - los servicios, recursos, tiempo de actividad, del ncleo ESTADO DE LA RED - Configuracin de interfaces de red, la tabla de enrutamiento y la cach ARP LOS GRFICOS DEL SISTEMA - los grficos de uso de los recursos LOS GRFICOS DE TRFICO - los grficos de uso de ancho de banda GRFICOS PROXY - grfico de las estadsticas de acceso HTTP proxy durante las ltimas 24 horas CONEXIONES - lista de todos los abiertos TCP / IP OPENVPN CONEXIONES - lista de todas las conexiones OpenVPN ESTADSTICAS DE CORREO SMTP - SMTP Proxy grfico de las estadsticas del filtro durante el ltimo da / semana / mes / ao COLA DE CORREO - cola del servidor de correo SMTP Cada enlace se explican por separado en las secciones siguientes.

Estado del sistema

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione EL ESTADO DEL SISTEMA en el submen en el lado izquierdo de la pantalla. Esta pantalla se divide en las siguientes secciones (accesible a travs de pestaas o el desplazamiento): SERVICIOS - muestra el estado de todos los servicios instalados en Endian Firewall - un servicio podra aparecer como DETENIDO , simplemente porque la funcin correspondiente no est habilitada. MEMORIA - esta es la salida de la Linux sin mando. La primera barra muestra la memoria total utilizada: es normal que este valor se aproxima al 100% para un sistema de larga duracin, ya que el kernel de Linux utiliza toda la memoria RAM disponible como cach de disco. La segunda barra muestra la memoria realmente utilizada por los procesos de: idealmente esto debera ser inferior al 80% para mantener algo de memoria disponible para almacenamiento en cach de disco - si este valor se aproxima al 100%, el sistema se ralentizar debido a los procesos activos se intercambian en el disco: debe tener en cuenta mejora de RAM entonces. La tercera barra indica el uso de la zona. Para que un sistema de larga data que es normal para ver el uso del intercambio

moderado (el valor debe ser inferior al 20%), especialmente si no todos los servicios se utilizan todo el tiempo. EL USO DEL DISCO - esta es la salida de la Linux df de comandos. Se muestra el espacio en disco para cada particin de disco ( / , / boot y /

var para una instalacin por defecto). / y / boot debe ser bastante constante, / var crece mientras se utiliza el sistema.
EL TIEMPO DE ACTIVIDAD Y DE LOS USUARIOS - esta es la salida de la Linux w comando. En ella se informa de la hora actual, la informacin sobre el tiempo que el sistema ha estado funcionando sin reiniciar el sistema, el nmero de usuarios de sistemas operativos que actualmente se registran en el sistema (por lo general no debera haber ninguna) y el promedio de carga del sistema en los ltimos 1, 5 y 15 minutos. Adems, si cualquier usuario de shell se registra en el sistema, alguna informacin sobre el usuario en la pantalla (como el host remoto desde el que l o ella est conectado). MDULOS CARGADOS - esta es la salida de la Linux lsmod comando. Muestra los mdulos del kernel cargado (la informacin es de inters para usuarios avanzados). VERSIN DEL KERNEL - esta es la salida de la Linux uname-r del comando. Se muestra la versin actual del kernel.

Estado de la red
Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione ESTADO DE LA RED en el submen en el lado izquierdo de la pantalla. Esta pgina muestra la salida de los comandos de Linux show ip addr (interfaces Ethernet, puentes y dispositivos virtuales), el estado de los adaptadores de red (si est disponible), la tabla de enrutamiento y la cach ARP (MAC / IP en el mercado local LAN) .

Los grficos del sistema

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione SISTEMA DE GRFICOS en el submen en el lado izquierdo de la pantalla.

Esta pgina contiene grficos de recursos del sistema de las ltimas 24 horas:. CPU, memoria, swap y el uso del disco Al hacer clic en uno de los grficos se abrir una nueva pgina con los grficos de uso respectivas, el da de la semana pasada, el mes y ao.

Los grficos de trfico

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione LOS GRFICOS DE TRFICO en el submen en el lado izquierdo de la pantalla. Esta pgina contiene los grficos de trfico de las ltimas 24 horas. Al hacer clic en uno de los grficos se abrir una nueva pgina con grficos de trfico para el ltimo da, semana, mes y ao de la interfaz elegida.

Grficos Proxy
Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione
LOS GRFICOS PROXY

en el submen en el lado izquierdo de la pantalla.

Esta pgina contiene grficos con estadsticas de acceso para el proxy HTTP en las ltimas 24 horas.

Conexiones
Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione CONEXIONES en el submen en el lado izquierdo de la pantalla. Esta pgina muestra la lista de conexiones actuales a partir de, o pasar por Endian Firewall . El origen y el destino de todas las conexiones estn resaltados en el color de las zonas que pertenecen. Adems de las cuatro zonas ( VERDE , ROJO , NARANJA , AZUL ) que se definen por Endian Firewall , otros dos colores se muestran. NEGRO se utiliza para las conexiones locales del servidor de seguridad, mientras que PURPLE conexiones pertenecen a redes privadas virtuales (VPN).

OpenVPN conexiones
Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione CONEXIONES OPENVPN en el submen en el lado izquierdo de la pantalla. Esta pgina muestra una lista de conexiones OpenVPN. Es posible eliminar o prohibir a los usuarios conectados haciendo clic en la MUERTE o LA PROHIBICIN DE botn, respectivamente.

Estadsticas de correo SMTP

Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione

LAS ESTADSTICAS DE CORREO

SMTP en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra las estadsticas del trfico SMTP (envo de correo electrnico) a travs de Endian

Firewall para el ltimo da, semana, mes y ao. Esta informacin slo est disponible cuando el
servidor proxy se utiliza SMTP.

De cola de correo
Seleccione ESTADO de la barra de men en la parte superior de la pantalla, a continuacin, seleccione
LA COLA DE CORREO

en el submen en el lado izquierdo de la pantalla.

Esta pgina muestra la cola de correo electrnico actual (slo est disponible cuando el servidor proxy se utiliza SMTP). Tambin es posible para vaciar la cola, haga clic en la COLA DE CORREO FLUSH botn.

Captulo 3: El men de red

Seleccione
LA RED

en la barra de men en la parte superior de la pantalla.

Los siguientes enlaces aparecern en un submen en el lado izquierdo de la pantalla. Que permiten la creacin de la red relacionados con las opciones de configuracin:

EDITAR LOS EJRCITOS - definir hosts para la resolucin local de nombres de dominio ROUTING - definir rutas estticas y establecer una poltica de enrutamiento INTERFACES - editar tus enlaces ascendentes o crear VLANs Cada enlace se explican por separado en las secciones siguientes.

Editar los ejrcitos

Seleccione
LA RED

en la barra de men en la parte superior de la pantalla, a continuacin,

seleccione EDITAR HOSTS en el submen en el lado izquierdo de la pantalla.

Endian Firewall incluye una memoria cach del servidor DNS (dnsmasq) que verifica el archivo del
host para el nombre de look-ups. En esta seccin se puede definir una entrada de host personalizado que ser resuelto para todos los clientes.

Haga clic en el

AGREGAR UN HOST

enlace para aadir una entrada de host. Esto se hace especificando

la direccin IP, nombre de host y de dominio y luego de confirmar la entrada del sistema haciendo clic en el HOST AADIR botn. Una entrada existentes se pueden eliminar haciendo clic en el cubo de la basura en su fila. Para editar una entrada, es necesario hacer clic en el smbolo de lpiz. La lnea se puso de relieve y un formulario pre-llenado se abre. Despus de todos los cambios que se han aplicado a la entrada se guarda haciendo clic en el HOST DE ACTUALIZACIN botn.

Enrutamiento
Seleccione seleccione
LA RED

en la barra de men en la parte superior de la pantalla, a continuacin, en el submen en el lado izquierdo de la pantalla. Es posible elegir entre

DE ENRUTAMIENTO

dos tipos de ruta: routing esttico y poltica de enrutamiento. Enrutamiento esttico Permite asociar determinadas direcciones de red con pasarelas dado o uplinks. Haga clic en el AADIR UNA NUEVA REGLA DE enlace para especificar una regla de enrutamiento esttico utilizando los siguientes campos: DE RED DE ORIGEN - origen de la red en notacin CIDR (ejemplo: 192.168.10.0/24) DESTINO DE RED - destino de la red en notacin CIDR (ejemplo: 192.168.20.0/24) RUTA VA - introduzca la direccin IP esttica de una puerta de entrada o escoger entre los enlaces ascendentes disponibles ACTIVADO - de verificacin para activar la regla (por defecto) OBSERVACIN - un comentario para recordar el propsito de esta regla despus Haga clic en el GUARDAR para confirmar la regla. A continuacin, puede activar / desactivar, editar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). Poltica de encaminamiento Permite asociar direcciones de red y puertos de servicios / protocolos con enlaces ascendentes dado. Haga clic en el CREAR UNA POLTICA DE REGLA DE ENRUTAMIENTO DE enlace para especificar una regla de poltica de enrutamiento. Los campos disponibles son las siguientes: FUENTE - La fuente puede ser una lista de zonas o de interfaces, una lista de direcciones IP o redes en la notacin CIDR (ejemplo: 192.168.10.0/24), una lista de usuarios OpenVPN o una lista de direcciones MAC. Al seleccionar <any> la regla coinciden todas las fuentes.

DESTINO - El destino puede ser una lista de direcciones IP, las redes en la notacin CIDR o una lista de usuarios de OpenVPN. Al seleccionar <any> la regla coinciden todas las fuentes. SERVICIO / PUERTO - Opcionalmente se puede especificar el protocolo y, en caso de TCP, UDP o TCP + UDP, un puerto para la regla. Algunas combinaciones predefinidas, por ejemplo, HTTP (protocolo TCP, puerto 80), se puede seleccionar de la lista desplegable Servicio. RUTA VA - Elija el enlace ascendente que se debe utilizar para esta regla. Si desea utilizar el enlace ascendente de copia de seguridad cada vez que el enlace ascendente seleccionado no est disponible, la opcin tiene que ser comprobada. TIPO DE SERVICIO - El tipo de servicio (TOS) puede ser elegido en este caso.

El nmero binario detrs de cada tipo de servicio se describe cmo este tipo de obras. Los primeros tres bits describir la precedencia del paquete: 000 stands de precedencia predeterminada y 111 . describe la prioridad ms alta El cuarto bit describe el retraso en el 0 significa que es un retraso normal y un medio de bajo retardo. El quinto bit describe el rendimiento. 1 aumenta el rendimiento, mientras que 0 representa el rendimiento normal. El sexto bit controla la fiabilidad. Una vez ms un aumento de la fiabilidad y 0 es el escenario de la fiabilidad normal. Los ocho valores de precedencia IP se llaman selectores de clase (CS0-7). Adems doce valores han sido

creados para reenvo asegurado (AF xy , donde x es una clase de 1 a 4 y de ser y cada de precedencia de 1 a 3) que proporcionan la prdida de paquetes de baja con las garantas mnimas relativas a la latencia. Reenvo acelerado (EF PHB) ha sido definido para solicitar bajo retardo, bajo jitter y prdida de baja del servicio.

OBSERVACIN - Establecer un comentario para recordar el objetivo de la norma. POSICIN - Definir dnde insertar la regla (posicin relativa en la lista de reglas). ACTIVADO - Marca esta casilla para habilitar la regla (por defecto). REGISTRAR TODOS LOS - Marca esta casilla para registrar todos los paquetes que se ven afectados por esta
PAQUETES ACEPTADOS

norma.
REGLA

Haga clic en la

CREAR botn para confirmar la regla. A continuacin, puede desactivar, editar o

eliminar cualquier regla de la lista haciendo clic en el icono correspondiente en la parte derecha de la tabla. Tambin puede cambiar el orden de las reglas (haciendo clic en el arriba y abajo los iconos de flecha). Despus de hacer cambios a una regla, no te olvides de hacer clic en el APLICAR botn en la parte superior de la lista!

Interfaces
Seleccione LA RED en la barra de men en la parte superior de la pantalla, a continuacin, seleccione LAS INTERFACES en el submen en el lado izquierdo de la pantalla, finalmente, elegir una de las dos siguientes fichas: Uplink editor Uplinks adicionales se puede definir haciendo clic en el
ENLACE ASCENDENTE EDITOR

ficha: elegir el tipo

de enlace ascendente, a continuacin, rellenar el formulario de tipo especfico. Los campos son casi los mismos que en la red El asistente de configuracin (consulte el apartado "Configuracin de red" en "El men del sistema" del captulo). Las siguientes opciones difieren desde el asistente de confguration red: TIPO - Esta seleccin incluye un protocolo adicional:.

PPTP PPTP puede ser configurado para trabajar en esttico o en modo DHCP. Esto se hace seleccionando el respectivo valor de la "mtodo PPTP" desplegable. La direccin IP y mscara de red debe estar definido en el campos de texto apropiado y slo es necesario si el mtodo esttico ha sido elegido. Otras combinaciones IP / mscara de red o IP / CIDR se pueden aadir en el campo de abajo si la casilla de verificacin correspondiente est activada. Nmero de telfono, nombre de usuario y contrasea no son necesarios, pero puede ser necesaria para algunas configuraciones de trabajo. Esto depende de la configuracin del proveedor. El mtodo de autenticacin puede ser PAP o CHAP. Si no est seguro de cul usar, basta con mantener el valor por defecto "PAP o CHAP" que funcionar en ambos casos. INICIO DE ENLACE ASCENDENTE EN EL ARRANQUE - Esta casilla de verificacin especifica si un enlace ascendente debe estar habilitado en el momento del arranque o no. Esto es til para enlaces ascendentes de copia de seguridad que se manejan pero no es necesario que se inicie durante el arranque.
SI ESTA SUBIDA NO

- Si est activado, este campo ofrece la posibilidad de elegir una alternativa de enlace ascendente de la lista desplegable. Esta subida se activar si la subida actual falla.

RECONEXIN DE TIEMPO DE ESPERA - Con este tiempo de espera se puede especificar el tiempo (en segundos) despus de que un enlace ascendente vuelve a intentar si no. Este valor depende de la configuracin de su proveedor. Si no est seguro deje este campo vaco. VLANs LAN virtuales (VLAN) se puede definir haciendo clic en el VLAN ficha. La idea detrs de ofrecer soporte VLAN en Endian Firewall est ayudando a permitir que las asociaciones arbitrarias de los IDs de VLAN a las zonas de cortafuegos. Para establecer una asociacin haga clic en el ADD NEW VLAN enlace, a continuacin, especifique los siguientes parmetros: INTERFAZ - la interfaz fsica de la VLAN se conecta a ZONA - la zona de la VLAN est asociada con VLAN ID - VLAN ID (0-4095)

Siempre que una LAN virtual se crea una nueva interfaz se ha creado. Esta interfaz se denomina ethX.y donde X es el nmero de la interfaz e y es el ID de la VLAN. Esta interfaz se asigna a la zona elegida. "NINGUNO" se puede elegir, si la interfaz se utiliza como puerto de alta disponibilidad de gestin.

Captulo 4: El Men de Servicios

Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla.

Endian Firewall puede proporcionar una serie de servicios tiles que se pueden configurar en esta
seccin. En particular, se incluyen los servicios utilizados por los servidores proxy de varios, como el antivirus ClamAV. La deteccin de intrusiones, alta disponibilidad y control del trfico se puede activar aqu. A continuacin se presenta una lista de enlaces que aparecen en el submen en el lado izquierdo de la pantalla:

SERVIDOR DHCP - DHCP (Dynamic Host Configuration Protocol) del servidor para la asignacin de IP automtica DNS DINMICO - Cliente para proveedores de DNS dinmico como DynDNS (para el hogar / oficina pequea uso) CLAMAV ANTIVIRUS - configurar el antivirus ClamAV utilizado por el correo y los servidores proxy web LA HORA DEL SERVIDOR - activar / configurar el servidor de tiempo NTP, definir la zona horaria o la actualizacin de forma manual DE TRFICO - priorizar el trfico IP FORMACIN DE SPAM - configure la formacin para el filtro de spam utilizada por los servidores proxy de correo DETECCIN DE INTRUSOS - configurar el sistema de deteccin de intrusos (IDS) Snort ALTA DISPONIBILIDAD - configurar su Endian Firewall en una configuracin de alta disponibilidad SUPERVISAR EL TRFICO - activar o desactivar el control del trfico con ntop Cada enlace se explica en las siguientes secciones.

El servidor DHCP
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione EL SERVIDOR DHCP en el submen en el lado izquierdo de la pantalla. El DHCP (Dynamic Host Configuration Protocol) permite que usted controle la configuracin de direcciones IP de todos los dispositivos de red de Endian Firewall de forma centralizada.

Cuando un cliente (host u otro dispositivo como impresora en red, etc) se une a la red se obtendr automticamente una direccin IP vlida de un rango de direcciones y otras opciones del servicio DHCP. El cliente debe estar configurado para usar DHCP - esto es algo que se llama "configuracin de red automtica" y es a menudo la configuracin predeterminada. Usted puede optar por ofrecer este servicio a los clientes en su VERDE nica zona, o incluir los dispositivos de la naranja (DMZ) o AZUL zona (WLAN). Slo debe marcar las casillas de verificacin que estn etiquetados como HABILITADO en consecuencia. Haga clic en la continuacin: DIRECCIN DE INICIO / FIN DE DIRECCIONES - Especificar el rango de direcciones que se entregarn. Estas direcciones tienen que ser dentro de la subred que se ha asignado a la zona correspondiente. Si desea configurar un host para utilizar manualmente las direcciones IP asignadas o direcciones IP fijas (ver abajo), asegrese de definir un rango que hace que no incluyen estas direcciones o direcciones del conjunto de direcciones OpenVPN (ver OPENVPN , OPENVPN SERVIDOR ) para evitar los conflictos. Si va a utilizar contratos de arrendamiento fijo solamente (ver abajo), deje estos campos vacos. DEFAULT / TIEMPO DE CONCESIN MAX - Esto define el tiempo default / mximo en cuestin de minutos antes de que expire la asignacin de IP y el cliente se supone que debe solicitar un nuevo contrato de arrendamiento del servidor DHCP. DOMINIO SUFIJO DE NOMBRE - Este es el dominio predeterminado sufijo de nombre que se transmite a los clientes. Cuando el cliente busca un nombre de host, primero tratar de resolver el nombre solicitado. Si eso no es posible, el cliente deber anexar este sufijo de nombre de dominio precedido por un punto y vuelve a intentarlo. Ejemplo: si el nombre de dominio completo del servidor de archivos local es earth.example.com y este sufijo es "example.com" , los clientes sern capaces de resolver el servidor con el nombre de "tierra". DNS PRIMARIO / SECUNDARIO - Esto especifica los servidores de nombres de dominio (DNS) para ser utilizados por sus clientes. Desde Endian Firewall contiene un servidor DNS, el valor predeterminado es el servidor de seguridad de una direccin IP en la zona respectiva.
CONFIGURACIN DE

enlace para definir los parmetros de DHCP como se describe a

PRIMARIA / SECUNDARIA SERVIDOR NTP - Aqu usted puede especificar el Network Time Protocol (NTP) para ser utilizados por sus clientes (para mantener los relojes sincronizados en todos los clientes). PRIMARIA / SECUNDARIA DEL SERVIDOR WINS - Esta opcin especifica el nombre del servicio de Internet de Windows (WINS) para ser utilizados por sus clientes (para redes de Microsoft Windows que utilizan WINS).

Los usuarios avanzados tal vez desee aadir lneas de configuracin personalizada que se aade a dhcpd.conf en el rea de texto debajo de la configuracin de las formas. Preste atencin a que Endian Firewall interfaz 's no realiza ninguna comprobacin de sintaxis en estas lneas: Cualquier error aqu, podran inhibir el servidor DHCP de la partida! Ejemplo : Las lneas adicionales siguientes se pueden utilizar para manejar los telfonos VoIP que necesitan recuperar sus archivos de configuracin desde un servidor HTTP en el arranque: opcin

tftp-server-name "http:// $ GREEN_ADDRESS"; opcin bootfile-name ". descargar / snom / {mac} html"; Observe el uso de $ GREEN_ADDRESS que es una macro que se
sustituye por el propio servidor de seguridad GREEN direccin de la interfaz.

Alquiler fijo A veces es necesario para ciertos dispositivos para utilizar siempre la misma direccin IP y seguir usando DHCP. Al hacer clic en el AADIR UN CONTRATO DE ARRENDAMIENTO FIJO enlace que permite asignar direcciones IP estticas a los dispositivos. Los dispositivos se identifican con sus direcciones MAC. Tenga en cuenta que esto es muy diferente de la creacin de las direcciones de forma manual en cada uno de estos dispositivos, ya que cada producto siga en contacto con el servidor DHCP para obtener su direccin.

Un caso de uso tpico de esto es el caso de los clientes ligeros de la red que arrancar la imagen del sistema operativo desde un servidor de red con PXE (Entorno de ejecucin de prearranque). Los siguientes parmetros se pueden establecer para definir alquiler fijo: DE DIRECCIONES MAC - el cliente es la direccin MAC DIRECCIN IP - la direccin IP que siempre se le asignar a este cliente DESCRIPCIN - descripcin opcional LA SIGUIENTE DIRECCIN - la direccin del servidor TFTP (slo para clientes ligeros / arranque en red) NOMBRE DE ARCHIVO - la imagen de arranque de nombre de archivo (slo para clientes ligeros / arranque en red) DE RUTA DE RAZ - la ruta del archivo de imagen de arranque (slo para clientes ligeros / arranque en red) ACTIVADO - Si esta casilla no est marcada el contrato fijo ser almacenada pero no escrito para dhcpd.conf Cada contrato de arrendamiento fijo puede ser activado, desactivado, editados o eliminados haciendo clic en el icono correspondiente (iconos se describen en la leyenda en la parte inferior de la tabla de alquiler fijo). Lista de los actuales contratos de arrendamiento dinmica Las secciones DHCP termina con una lista de direcciones IP asignadas actualmente dinmica.

Dynamic DNS
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione DNS DINMICO en el submen en el lado izquierdo de la pantalla. Proveedores de DNS dinmico como DynDNS ofrecer un servicio que permite asignar un nombre de dominio disponible a nivel mundial de direcciones IP. Esto funciona incluso con las direcciones que estn cambiando de forma dinmica, tales como los ofrecidos por las conexiones de ADSL residencial. Para que esto funcione, cada vez que cambia la direccin IP, la actualizacin debe ser activamente propagan al proveedor de DNS dinmico.

Endian Firewall contiene un cliente de DNS dinmico de 14 proveedores diferentes - si est activado,
automticamente se conectar al proveedor de DNS dinmico y decirle que la nueva direccin IP despus de cada cambio de direccin. Para cada cuenta (puede usar ms de uno), haga clic en el AADIR UNA SERIE de enlace, a continuacin, especifique los siguientes parmetros:

SERVICIO - elegir el proveedor de DNS dinmico DETRS DE UN PROXY - (Slo se aplica si usted utiliza el servicio de noip.com) Marque esta casilla si su Endian Firewall se conecta a Internet a travs de un proxy PERMITEN COMODINES - algunos proveedores de DNS dinmico permite que todos los sub-dominios de su punto de dominio a su direccin IP, es decir, www.example.dyndns.org y example.dyndns.org tanto se resuelven en la misma direccin IP: Al marcar esta casilla se activa esta funcin ( si lo admite su proveedor de DNS dinmico) NOMBRE DE HOST Y DOMINIO - el nombre de host y de dominio que registr con su proveedor de DNS dinmico, por ejemplo "ejemplo" y "dyndns.org" NOMBRE DE USUARIO Y CONTRASEA - como se indica a usted por su proveedor de DNS dinmico
DETRS DEL ROUTER (NAT)

- comprobar esto si su Endian Firewall no est directamente conectado a Internet, es decir, detrs de otro router / gateway: en este caso el servicio en http://checkip.dyndns.org se utiliza para saber cul es su direccin IP externa es

ACTIVADO - de verificacin para habilitar (por defecto) Tenga en cuenta que todava tiene que exportar un servicio a la RED zona si desea ser capaz de utilizar que el nombre de dominio para conectarse a su casa / oficina del sistema de la Internet. El proveedor de DNS dinmico simplemente hace parte del nombre de dominio de resolucin para usted. Exportacin de un servicio general podra incluir la configuracin del reenvo de puerto (ver CORTAFUEGOS , REENVO DE PUERTOS / NAT ).

ClamAV antivirus
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione ANTIVIRUS CLAMAV en el submen en el lado izquierdo de la pantalla. El proxy de correo electrnico (POP y SMTP) y web proxy (HTTP) componentes de Endian

Firewall utiliza el conocido antivirus ClamAV servicio. Esta seccin le permite configurar la forma en
ClamAV debe manejar las bombas de archivo (vase el prrafo siguiente para una explicacin) y la frecuencia con la informacin acerca de nuevos virus se descarga ("programa de actualizacin de firmas"). Tambin puede ver la ltima actualizacin prevista se ha realizado, as como iniciar manualmente una actualizacin. Contra el archivo de configuracin de bomba

Bombas de archivo son los archivos que utilizan una serie de trucos para cargar el software antivirus, hasta el punto que la mayora de los cerdos de los recursos del servidor de seguridad (ataque de denegacin de servicio). Trucos incluyen el envo de archivos pequeos hechos de archivos de gran tamao con contenido repetido que comprimen bien (por ejemplo, un archivo de 1 GB que contiene slo ceros comprime a tan slo 1 MB en formato ZIP), o mltiples archivos anidados (por ejemplo, archivos zip dentro de archivos zip) o archivos que contienen un gran nmero de archivos vacos, etc ..). Para evitar este tipo de ataque, ClamAV est preconfigurado no escanear los archivos que tienen ciertos atributos, como se ha configurado aqu: MAX. ARCHIVO DE TAMAO - Archivos ms grandes de este tamao en MB no se analizan. MAX. ARCHIVOS ANIDADOS - Archivos que contienen archivos no se analiza si el anidamiento excede este nmero de niveles. MAX. ARCHIVOS EN EL ARCHIVO - Comprimidos no se escanean si contienen ms de este nmero de archivos. MAX RELACIN DE COMPRESIN - Archivos cuyo tamao sin comprimir excede el tamao del archivo comprimido por ms de X veces, donde X es el nmero especificado, no se analizan, el valor por defecto es de 1000 cuenta que los archivos normales suelen descomprimir a no ms de 10 veces el tamao del archivo comprimido . MANEJAR ARCHIVOS MAL - Qu debe pasar a los archivos que no son analizados por causa de los ajustes anteriores: es posible elegir entre " NO ANALIZAR, PERO
PASAN

"y" BLOQUEAR EL VIRUS ".

BLOQUEAR ARCHIVOS CIFRADOS - Ya que es tcnicamente imposible de escanear encriptada (protegida por contrasea) archivos, que puedan constituir un riesgo para la seguridad y es posible que desee para bloquear marcando esta casilla. ClamAV programa de actualizacin de firmas de configuracin Otro aspecto importante de correr ClamAV son las firmas de antivirus las actualizaciones: Informacin sobre los nuevos virus se debe descargar peridicamente desde un servidor de ClamAV. El panel de configuracin (arriba a la derecha) le permite elegir la frecuencia de estas actualizaciones se llevan a cabo - el valor predeterminado es una vez cada hora. Sugerencia: mueva el ratn sobre los signos de interrogacin para ver en qu momento las actualizaciones se realizan en cada caso - el valor por defecto es de un minuto ms all de la hora completa. ClamAV firmas de virus

En esta seccin se muestra la ltima actualizacin se ha realizado y lo que es la ltima versin de firmas de antivirus ClamAV. Haga clic en ACTUALIZAR AHORA FIRMAS para realizar una actualizacin en este momento (independientemente de las actualizaciones programadas) - tenga en cuenta que esto podra tomar algn tiempo. Tambin hay un enlace a la base de datos de virus en lnea ClamAV en caso de que usted est buscando informacin acerca de un virus especfico.

Servidor de tiempo
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione
EL SERVIDOR DE TIEMPO

en el submen en el lado izquierdo de la pantalla.

Endian Firewall mantiene la hora del sistema sincronizado de los hosts de servidor de tiempo en el
Internet utilizando el protocolo NTP (Network Time). Un nmero de hosts de servidores de tiempo en el Internet estn preconfigurados y utilizado por el sistema. Haga clic en IGNORAR SERVIDORES NTP PREDETERMINADOS para especificar sus propios anfitriones servidor de hora. Esto puede ser necesario si est ejecutando una configuracin que no permite Endian Firewall para acceder a Internet. Estos anfitriones que aadir uno por lnea. Su configuracin actual huso horario tambin se puede cambiar en esta seccin. La ltima forma en esta seccin le brinda la posibilidad de cambiar manualmente la hora del sistema. Esto tiene sentido si el reloj del sistema est muy lejos y que le gustara acelerar la sincronizacin (ya que la sincronizacin automtica con los servidores de tiempo no se hace al instante).

De trfico
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione CONFIGURACIN DEL TRFICO en el submen en el lado izquierdo de la pantalla. El propsito de la configuracin del trfico es para priorizar el trfico IP que se va a travs de su firewall en funcin del servicio. Una aplicacin tpica es dar prioridad a los servicios interactivos, como Secure Shell (SSH) o voz sobre IP (VoIP) sobre el trfico a granel, como descargas. De trfico por enlace ascendente Haga clic en los iconos en la parte derecha de la mesa para activar o desactivar la configuracin del trfico para cada enlace ascendente solo. Para la modulacin del trfico para que funcione correctamente es muy importante tambin para especificar el real los valores de ancho de banda arriba y abajo para cada enlace ascendente: haga clic en el icono del lpiz (editar), y luego rellenar el ancho de banda hacia arriba y abajo se expresa en kbit por segundo.

Servicios de trfico Aadir las reglas de trfico: haga clic en CREAR UN SERVICIO de aadir una nueva regla, especificando: ACTIVADO - de verificacin para habilitar (por defecto) PROTOCOLO - si el servicio de prioridad es un puerto TCP o UDP de servicios (ejemplo: SSH es un servicio TCP) PRIORIDAD - dar una prioridad: "alto", "medio" o "bajo" PUERTO - el puerto de destino del servicio de prioridad (por ejemplo: SSH usa el puerto 22) Haga clic en CREAR SERVICIO para guardar los ajustes y aplicar la nueva regla.

Formacin de spam
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione FORMACIN DE SPAM en el submen en el lado izquierdo de la pantalla. SpamAssassin puede ser configurado para obtener automticamente los correos electrnicos son mensajes de spam y cules no (los llamados correos de jamn). Para ser capaz de aprender, que necesita para conectarse a un host de IMAP y compruebe carpetas predefinidas para el spam y los mensajes de jamn. La configuracin por defecto es no utilizados para el entrenamiento. Todo lo que hace es proporcionar los valores predeterminados de configuracin que son heredados por las fuentes reales de formacin que se puede aadir a continuacin. Al hacer clic en la CONFIGURACIN POR DEFECTO EDICIN DE vincular un nuevo panel aparece cuando los valores por defecto se puede establecer: IMAP POR DEFECTO DE ACOGIDA - el anfitrin IMAP que contiene las carpetas de formacin NOMBRE DE USUARIO POR DEFECTO - el nombre de usuario para el anfitrin IMAP CONTRASEA POR DEFECTO - la contrasea del usuario CARPETA PREDETERMINADA DE JAMN - el nombre de la carpeta que contiene slo los mensajes de jamn POR DEFECTO LA CARPETA DE SPAM - el nombre de la carpeta que contiene slo los mensajes de spam PROGRAMAR UNA FORMACIN AUTOMTICA DE FILTRO DE - el intervalo entre los controles. Esto puede ser SPAM discapacitados o estar una hora, intervalo diario, semanal o mensual. Para obtener informacin detallada acerca de la hora prevista se puede mover el cursor del ratn sobre el signo de interrogacin al lado del intervalo de tiempo

seleccionado. Las fuentes de spam de formacin se pueden aadir en la seccin de abajo. Al hacer clic en el AADIR IMAP FUENTE DE SPAM FORMACIN enlace aparece un nuevo panel. Las opciones para los anfitriones de formacin adicionales son similares a las opciones de configuracin por defecto. Lo nico que falta es la programacin. Esto siempre se hereda de la configuracin por defecto. Tres opciones adicionales estn disponibles. ACTIVADO - si se marca esta casilla la fuente de formacin se utilizar cada vez que spamassassin est capacitado OBSERVACIN - en este campo es posible guardar un comentario para recordar el propsito de esta fuente en un momento posterior ELIMINAR LOS CORREOS PROCESADOS - si se marca esta casilla mails sern eliminados despus de haber sido procesados Las otras opciones se puede definir al igual que en la configuracin por defecto. Si se define que reemplazar los valores predeterminados. Para guardar una fuente es necesario hacer clic en el ORIGEN DE LA ACTUALIZACIN DE FORMACIN botn despus de todos los valores deseados se han establecido. Una fuente puede ser probado, activado, desactivado, editados o eliminados haciendo clic en el icono correspondiente en la fila. Los iconos se explican en la leyenda en la parte inferior de la pgina. Tambin es posible comprobar todas las conexiones, haga clic en la
DE PRUEBA DE TODAS LAS CONEXIONES

botn. Tenga en cuenta que esto puede tomar algn tiempo si muchas fuentes se han definido la

formacin o la conexin a los servidores de IMAP es lento. Para iniciar el entrenamiento inmediatamente la FORMACIN COMIENCE AHORA tiene que hacer clic. Es importante sealar que la capacitacin puede tomar mucho tiempo dependiendo del nmero de fuentes, la velocidad de conexin y lo ms importante en el nmero de correos electrnicos que se descargan.

Tambin puede entrenar al motor de antispam manualmente si el SMTP Proxy est habilitado para la entrada, as como para los correos salientes. Esto se hace mediante el envo de mensajes de spam a spam@spam.spam . Que no son spam mails pueden ser enviados a ham@ham.ham . Para que esto funcione es necesario que spam.spam y ham.ham se puede resolver. Por lo general esto se logra mediante la adicin de estos dos nombres de host a la configuracin del host en LA RED , LOS HOSTS EDITAR , AGREGAR UN HOST en su Endian Firewall .

De deteccin de intrusos
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione LA DETECCIN DE INTRUSIONES en el submen en el lado izquierdo de la pantalla.

Endian Firewall incluye la deteccin de intrusos conocidos (IDS) y prevencin (IPS) Snort
sistema. Que est directamente integrado en el IP-firewall (Snort en lnea). En este momento no hay reglas se pueden agregar a travs de la interfaz web, por lo tanto, Snort se puede utilizar slo para usuarios avanzados que pueden cargar sus propias reglas a travs de la lnea de comandos. Funcionalidad para gestionar las reglas de la interfaz web se aadirn en una actualizacin futura.

Alta disponibilidad
Endian Firewall puede funcionar fcilmente en la alta disponibilidad (HA) de modo. Por lo menos 2 Endian Firewall mquinas se requieren para el modo de HA: se asume el papel de los activos ( maestro ) firewall, mientras que los otros estn en espera ( esclavo ) firewalls.
Si el firewall maestro falla, una eleccin entre los esclavos se llevar a cabo y uno de ellos ser promovido a su nuevo amo, que prev la conmutacin por error transparente. Maestro de configuracin Para configurar este tipo de configuracin HA, primero configure el servidor de seguridad que va a ser el maestro : 1. 2. Ejecutar el asistente de instalacin, llenado de todas las informaciones necesarias. Acceder a la interfaz de administracin web, seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione DE ALTA DISPONIBILIDAD en el submen en el lado izquierdo de la pantalla. 3. Establecer HABILITAR LA ALTA DISPONIBILIDAD de S y establecer
DISPONIBILIDAD LADO DE ALTA

de MAESTRO .

4.

En este punto un panel adicional aparece en el maestro de la configuracin especfica se pueden configurar: La RED DE GESTIN DE la subred es especial para que todos los Endian Firewall s que forman parte de una configuracin de HA se debe conectar a travs de la verde de la interfaz. El valor predeterminado es 192.168.177.0/24 . A menos que esta subred ya se utiliza para otros fines que no hay necesidad de cambiar esta situacin. La DIRECCIN IP MAESTRO es la primera direccin IP de la red de gestin. A continuacin, hay algunos campos que se pueden rellenar si desea ser notificado por correo electrnico Si un evento de conmutacin por error se lleva a cabo. Por ltimo, haga clic en GUARDAR , y luego EN APLICAR para activar los ajustes. Esclavo de configuracin

Configurar el firewall de la que va a ser el esclavo: 1. Ejecutar el asistente de configuracin, incluyendo el asistente de red, completando toda la informacin necesaria. Es que no es necesario configurar los servicios, etc, ya que esta informacin se sincronizarn desde el maestro. Sin embargo, es necesario registrar el esclavo con la red Endian . 2. Acceder a la interfaz de administracin web, seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione izquierdo de la pantalla. 3. Establecer HABILITAR LA ALTA DISPONIBILIDAD de S y establecer DISPONIBILIDAD de ESCLAVOS .
LADO DE ALTA DE ALTA DISPONIBILIDAD

en el submen en el lado

4.

En este punto un panel adicional aparece en el esclavo de la configuracin especfica se pueden configurar: Elija la RED DE GESTIN DE opcin de acuerdo a la configuracin en el maestro: ya sea verde . zona o un puerto de red dedicada Rellene el MAESTRO DIRECCIN IP (CIDR) de campo: 192.168.177.1/24 a menos que elija una direccin de gestin no estndar de red para el maestro. Llene la CONTRASEA DE ROOT MAESTRO (el esclavo necesita esto para sincronizar la configuracin del maestro). Por ltimo, haga clic en GUARDAR , y luego EN APLICAR para activar el ajustes. En este punto, el esclavo no puede llegar ms a travs de su antigua direccin IP (por defecto de fbrica o anterior VERDE direccin), ya que se encuentra en modo de espera. Est conectado con el nico maestro a travs de la red de gestin. Si te conectas con el maestro nuevo, en la pgina de HA se puede ver una lista de los esclavos conectados. Si hace clic en la INTERFAZ GRFICA DE USUARIO VAYA A ADMINISTRACIN DE enlace que puede abrir la interfaz de administracin web del esclavo a travs de la red de gestin (dirigidas a travs del firewall maestro).

Monitoreo de Trfico
Seleccione SERVICIOS de la barra de men en la parte superior de la pantalla, a continuacin, seleccione SUPERVISIN DEL TRFICO en el submen en el lado izquierdo de la pantalla. La vigilancia del trfico se realiza por ntop y puede ser activada o desactivada, haga clic en el interruptor principal en esta pgina. Una vez que la vigilancia del trfico que se permita la conexin a la interfaz de administracin de control aparece en la parte inferior de la pgina. Esta interfaz de administracin es suministrada por ntop e incluye estadsticas detalladas de trfico. ntop muestra resmenes, as como informacin detallada. El trfico puede ser analizada por el anfitrin, el protocolo de interfaz de red local y muchos otros tipos de informacin. Para obtener informacin detallada sobre la interfaz de administracin ntop por favor, eche un vistazo a INFORMACIN , DOCUMENTACIN EN LNEA en la interfaz de administracin ntop s o visite la pgina de documentacin de ntop .

Captulo 5: El men de firewall

Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla. Esta seccin permite configurar las reglas que especifican si y cmo los flujos de trfico IP a travs de su Endian Firewall . La siguiente es una lista de enlaces que aparecen en el submen en el lado izquierdo de la pantalla:

EL REENVO DE PUERTOS / NAT - configurar el reenvo de puertos y NAT (Network Address Translation) EL TRFICO DE SALIDA - permitir o no permitir saliente (hacia RED ), el trfico - ajustes por zona, host, puerto, etc ENTRE LA ZONA DE TRFICO - permitir o no permitir el trfico entre las zonas EL TRFICO VPN - especificar si hosts que se conectan a travs de una VPN debe ser un cortafuegos ACCESO AL SISTEMA - permitir el acceso a la Endian Firewall de host se Cada uno de estos apartados se explican por separado en los captulos siguientes.

Reenvo de puertos / NAT

Reenvo de puertos Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione pantalla. El reenvo de puertos permite el acceso limitado a la red externa de la RED zona (generalmente Internet) a los anfitriones en una zona interna, tales como la zona desmilitarizada ( ORANGE ) o incluso la red LAN de confianza ( VERDE ). Sin embargo, el reenvo a la verdezona no es recomendable desde el punto de vista de seguridad. Puede definir a qu puerto en el que la interfaz externa (puerto de entrada) ser enviado a un determinado host / puerto en el interior (de destino). Los casos tpicos uso podra ser que transmita el puerto 80 en una interfaz externa de un servidor web en la DMZ o para reenviar el puerto 1022 en una interfaz externa a un servidor SSH en el puerto 22 de una mquina en el DMZ. Es necesario proporcionar los siguientes parmetros: PROTOCOLO - protocolo: TCP, UDP, GRE (Generic Routing Encapsulation - utilizado por los tneles) o todos los IP ENTRANTES - la interfaz (externo) PUERTO DE ENTRADA - el puerto (1-65535) para escuchar en la interfaz externa IP DE DESTINO - la IP de la mquina de destino al que se reenva
REENVO DE PUERTOS

/ NAT en el submen en el lado izquierdo de la

el trfico entrante a PUERTO DE DESTINO - el puerto (1-65535) en el host de destino para que el trfico de entrada se enva al OBSERVACIN - una observacin de recordar el objetivo de la norma hacia adelante ACTIVADO - de verificacin para activar la regla (por defecto) SNAT CONEXIONES ENTRANTES - especificar si el trfico entrante debe parecer procedentes de la IP firewall en lugar de la IP real HABILITAR EL REGISTRO DE - registrar todos los paquetes que coinciden esta regla Haga clic en el AADIR botn para confirmar la regla. A continuacin, puede activar / desactivar, editar o borrar cada regla de la lista, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). Despus de hacer cambios o adiciones a su conjunto de reglas, no te olvides de hacer clic en el APLICAR botn en la parte superior de la pantalla! Una vez que se define una regla, puede limitar el acceso al destino de desvo desde el exterior RED zona. Para ello, debe hacer clic en el signo ms-icon ("Aadir acceso externo") junto a la regla: permite limitar el acceso a una determinada fuente (host o la direccin de red). Usted puede hacer esto varias veces para agregar ms fuentes. Un caso de uso para esto sera permitir el acceso SSH al puerto externo 1022 slo a una IP externa de confianza de Internet. Source NAT En esta seccin se puede definir a qu fuente de conexiones de red salientes de traduccin de direcciones (NAT de Origen) se debe aplicar. Source NAT puede ser til si un servidor detrs de Endian Firewall tiene su propia direccin IP externa y los paquetes de salida no debera usar la RED direccin IP del servidor de seguridad. Aadir fuentes reglas NAT es similar a agregar reglas de reenvo de puertos. Las opciones disponibles son las siguientes: FUENTE - En este campo puede especificar si las conexiones de salida que se inician desde una direccin de red o IP, o las conexiones iniciadas por un usuario de VPN debe ser de origen NAT. Si elige el primer TIPO , a continuacin, debe introducir la direccin IP o red en el rea de texto a continuacin (uno por linea). Si elige el segundo TIPO se pueden seleccionar los usuarios que desee en el campo de seleccin mltiple a continuacin. DESTINO - En este campo puede especificar si las conexiones a una ZONA / VPN / UPLINK , a

una RED / IP o un USUARIO debe ser NAT. Si elige el primer TIPO , a continuacin, debe seleccionar una zona, una VPN o un enlace ascendente desde el campo de seleccin mltiple a continuacin. Si elige el segundo TIPO se debe introducir las direcciones IP o de red en el rea de texto a continuacin (uno por linea). Si elige la tercera DE TIPO se pueden seleccionar los usuarios que desee en el campo de seleccin mltiple a continuacin. SERVICIO / PUERTO - Aqu puede especificar el servicio que debe ser NAT. En el SERVICIO DE caja de seleccin, puede seleccionar valores predefinidos para distintos protocolos. Si desea especificar un mismo servicio, debe seleccionar el protocolo en elPROTOCOLO DE caja de seleccin y, en caso de que desee aadir un puerto, as, entrar en los puertos de destino en el PUERTO DE
DESTINO

textarea (un puerto por cada lnea).

NAT - Aqu puede elegir si desea aplicar Source NAT o no. Si opta por utilizar la red de fuente de traduccin de direcciones, puede seleccionar la direccin IP que se deben utilizar. El AUTO entradas elegir automticamente la direccin IP en funcin de la interfaz de salida. En algunos casos es posible que desee declarar explcitamente que ninguna fuente de NAT se debe realizar, por ejemplo, si un servidor de la DMZ est configurado con una IP externa y no quieres que sus conexiones de salida para que su RED IP como fuente. ACTIVADO - Marque esta casilla si la regla debe ser aplicada. OBSERVACIN - Usted puede introducir una pequea nota aqu de modo que puede recordar el propsito de esta regla. POSICIN - Aqu puede especificar despus de que la regla que desea insertar esta regla. Para guardar la regla haga clic en el GUARDAR botn.

Configuracin de un servidor SMTP que se ejecutan en IP 123.123.123.123 (suponiendo que 123.123.123.123 es una direccin IP adicional de subida) en la zona de distensin con la fuente de

NAT: 1. Configure suORANGE zona que desee. 2. Configurar el servidor SMTP para que escuche en el puerto 25 en una direccin IP en el ORANGE zona. 3. Aadir un enlace ascendente Ethernet esttica con IP 123.123.123.123 a su Endian Firewall en la RED , INTERFACES DE seccin. 4. Agregar una regla de origen NAT y especificar el ORANGE IP del servidor SMTP como direccin de origen. Asegrese de usar NAT y configurar la direccin IP de origen NAT a 123.123.123.123.

El trfico de salida
Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione
EL TRFICO SALIENTE

en el submen en el lado izquierdo de la pantalla.

Endian Firewall viene con un conjunto preconfigurado de reglas, que permiten el trfico de salida (es
decir, "acceso a internet") de la GREEN zona con respecto a los servicios ms comunes (HTTP, HTTPS, FTP, SMTP, POP, IMAP, POP3S, IMAPS, DNS , mesa de ping). Todos los dems servicios son bloqueados de forma predeterminada. Del mismo modo, el acceso a HTTP, HTTPS, DNS y mesa de ping est permitido a partir de la BLUE zona (WLAN), mientras que slo DNS y mesa de ping se permiten desde el ORANGE zona desmilitarizada (DMZ). Todo lo dems est prohibido por defecto. En esta seccin se puede activar / desactivar, editar o eliminar reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). Tambin puede agregar sus propias reglas haciendo clic en el AADIR UNA NUEVA REGLA DE FIREWALL en la parte superior. Por favor, considere que el orden de las reglas es importante: la regla de correspondencia primero decide si un paquete se permite o se deniega, sin importar cuantas reglas de coincidencia que pueda suceder. Puede cambiar el orden de las reglas de uso de la flecha arriba / abajo iconos junto a cada regla. Una regla se define por los siguientes parmetros: FUENTE - seleccionar una zona o de la interfaz, especifique uno o ms de la red / host o direcciones MAC DESTINO - seleccionar toda la RED zona, uno o ms

enlaces ascendentes o uno o ms de la red / host las direcciones DEL PUERTO DE SERVICIO - el servicio de destino: seleccione un nombre de servicio de la lista o especificar un protocolo y uno o ms nmeros de puerto (1-65535) ACCIN - lo que debe hacerse con el paquete: aceptar que lo niega (cada sin respuesta al remitente) o rechazar (por no saber al remitente del firewall caer el paquete) OBSERVACIN - una observacin de recordar el propsito de la regla de firewall ms adelante POSICIN - en qu posicin de la lista debe ser la regla inserta ACTIVADO - de verificacin para habilitar esta regla (por defecto) REGISTRAR TODOS LOS PAQUETES ACEPTADOS - Registrar todos los paquetes aceptados (no incluye paquetes denegados / rechazado): Esta opcin est desactivada por defecto, ya que va a crear grandes volmenes de datos de registro Despus de hacer cambios a una regla, no te olvides de hacer clic en el APLICAR botn en la parte superior de la lista! En la parte inferior de la pgina tambin puede encontrar las reglas que se ajustan automticamente por Endian Firewall dependiendo de su configuracin. Es posible activar o desactivar el firewall de salida mediante el uso de todo el recomendado).
FIREWALL DE SALIDA

HABILITAR LA conmutacin. Cuando est desactivada, todo el trfico saliente est permitido (no

Entre la zona de trfico

Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione
ENTRE LA ZONA DE TRFICO

en el submen en el lado izquierdo de la pantalla.

Esta seccin le permite configurar las reglas que determinan cmo el trfico puede fluir entre los diferentes zonas de la red, con exclusin de la RED zona.

Endian Firewall viene con un simple conjunto de reglas preconfiguradas: el trfico es permitido desde el verde de zona a cualquier otra zona ( naranja y azul ) y el trfico es permitido dentro de cada
zona. Todo lo dems est prohibido por defecto. Anloga a la del servidor de seguridad el trfico de salida se puede activar / desactivar, editar o eliminar reglas, haga clic en el icono apropiado en el lado derecho de la mesa. Tambin puede

agregar sus propias reglas haciendo clic en el AADIR UNA NUEVA INTER-ZONA DE REGLAS DE en la parte superior. Por favor, consulte la seccin anterior (
FIREWALL TRFICO SALIENTE

) para ms detalles sobre el manejo de las

reglas del cortafuegos. El servidor de seguridad entre la zona puede ser desactivado / activado en conjunto con el INTERACTIVA ZONA FIREWALL cambiar. Cuando est desactivada, todo el trfico se permite entre todas las dems zonas de la RED de zona (no recomendado).

Trfico VPN
Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione
EL TRFICO

VPN desde el submen en el lado izquierdo de la pantalla.

El cortafuegos de trfico de la VPN permite aadir reglas de firewall aplicadas a los hosts que estn conectados a travs de VPN. El firewall VPN es el trfico que normalmente no se activa, lo que significa que el trfico pueda fluir libremente entre los hosts de VPN y los anfitriones en el verde de zona y alberga VPN pueden acceder a todas las dems zonas. Tenga en cuenta que aloja VPN no sujetas a trfico de salida del firewall o servidor de seguridad de trfico entre zonas. Si es necesario limitar el acceso desde o hacia los ejrcitos VPN es necesario utilizar el servidor de seguridad de trfico VPN. El manejo de las reglas es idntica a la del servidor de seguridad del trfico saliente. Por favor, consulte el TRFICO SALIENTE de este captulo para obtener ms informacin sobre el manejo de las reglas del cortafuegos.

Sistema de acceso
Seleccione SERVIDOR DE SEGURIDAD DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione
EL ACCESO AL SISTEMA

en el submen en el lado izquierdo de la pantalla.

En esta seccin se pueden configurar las reglas que conceden o deniegan el acceso a la Endian

Firewall s mismo.
Hay una lista de reglas preconfiguradas que no se puede cambiar. Esto es para garantizar el buen funcionamiento del firewall, ya que estas normas se crean automticamente a medida que son requeridos por los servicios que ofrece el servidor de seguridad. Haga clic en el >> botn "Mostrar reglas de los servicios del sistema" para mostrar estas reglas. Haga clic en el AADIR UN NUEVO SISTEMA DE REGLAS DE ACCESO A enlace para aadir reglas personalizadas aqu. Los parmetros siguientes se describe la regla: DIRECCIN DE ORIGEN - especificar uno o ms de la red / host o direcciones MAC

ORIGEN DE LA INTERFAZ - especificar una zona o de la interfaz SERVICIO / PUERTO - el servicio de destino: seleccione un nombre de servicio de la lista o especificar un protocolo y uno o ms nmeros de puerto (1-65535) ACCIN - lo que debe hacerse con el paquete: aceptar que lo niega (cada sin respuesta al remitente) o rechazar (por no saber al remitente del firewall caer el paquete) OBSERVACIN - una observacin de recordar el objetivo de la norma de acceso al sistema ms adelante POSICIN - en qu posicin de la lista debe ser la regla inserta ACTIVADO - de verificacin para activar la regla (por defecto) REGISTRAR TODOS LOS PAQUETES ACEPTADOS - Registrar todos los paquetes aceptados (adems neg / rechazado los paquetes): Esta opcin est desactivada por defecto, ya que va a crear grandes volmenes de datos de registro Haga clic en el AADIR botn para confirmar la regla. A continuacin, puede activar / desactivar, editar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior). Despus de hacer cambios o adiciones a su conjunto de reglas, no te olvides de hacer clic en el APLICAR botn en la parte superior de la lista!

Captulo 6: El men de Proxy

Seleccione PROXY de la barra de men en la parte superior de la pantalla. Un proxy es un servicio en su Endian Firewall que puede actuar como un portero entre los clientes (por ejemplo, un navegador web) y los servicios de red (por ejemplo, un servidor web en Internet). Los clientes se conectan al proxy que a su vez puede recuperar, cach, filtro y potencialmente bloquear la informacin desde el servidor original. Un proxy transparente si se le llama todo el trfico pasa a travs de l, de la configuracin del cliente. La falta de transparencia por lo tanto, apoderados contar con la colaboracin del cliente (por ejemplo, la configuracin del proxy de su navegador web).

La siguiente es una lista de proxies que estn disponibles en Endian Firewall . Cada proxy se puede configurar a travs de los enlaces que se encuentran en el submen en el lado izquierdo de la pantalla:

HTTP - configurar el proxy web, incluyendo la autenticacin, filtrado de contenidos y antivirus POP3 - configurar el proxy para recuperar el correo mediante el protocolo POP, incluyendo el filtro de spam y antivirus SIP - configurar el proxy para el protocolo de inicio de sesin (SIP) que utiliza voz a travs de los sistemas de PI FTP - activar o desactivar el servidor proxy FTP (ver los archivos que se descargan a travs de FTP en busca de virus) SMTP - configurar el proxy para enviar o recuperar el correo a travs del protocolo SMTP, incluyendo el filtro de spam y antivirus DNS - configurar el servidor de almacenamiento en cach de nombres de dominio (DNS) como antispyware Cada seccin se explican por separado a continuacin.

HTTP
Seleccione PROXY de la barra de men en la parte superior de la pantalla, a continuacin, seleccione HTTP en el submen en el lado izquierdo de la pantalla. Configuracin Haga clic en el PROXY HTTP ACTIVAR botn para activar el proxy HTTP ( Endian Firewall utiliza el proxy cach Squid). Una vez que el proxy est en funcionamiento, una serie de controles aparecen. En primer lugar, se puede definir la forma, los usuarios en cada zona ( verde y, si est habilitada tambin ORANGE , BLUE ) puede acceder al poder. Por las opciones de zona son:
DISCAPACITADO

- el servidor proxy no est disponible en la zona determinada - el servidor proxy est disponible para cualquier persona (no es necesario iniciar sesin), pero hay que configurar su navegador de forma manual

SIN AUTENTICACIN

SE REQUIERE AUTENTICACIN

- los usuarios tienen que configurar su navegador manualmente y que iniciar sesin con el fin de utilizar el servidor proxy

TRANSPARENTE

- el servidor proxy est disponible para cualquier persona y no se necesita configuracin del navegador (trfico HTTP es interceptada por el servidor proxy)

Algunos navegadores, como Internet Explorer y Firefox, son capaces de detectar automticamente servidores proxy utilizando el Protocolo de deteccin automtica de proxy web (WPAD). Mayora de los navegadores tambin soportan configuracin automtica de proxy (PAC) a travs de una URL especial. Cuando se utiliza un cortafuegos Endian la URL es la siguiente: http:// <IP DE SU

FIREWALL> / proxy.pac .
A continuacin, viene una seccin con las opciones de configuracin global: PUERTO DEL PROXY - el puerto TCP utilizado por el servidor proxy (por defecto el 8080) VISIBLE EL NOMBRE DE HOST - el servidor proxy se asume esto como su nombre (tambin se mostrar en la parte inferior de los mensajes de error) CACH DE CORREO ELECTRNICO DEL ADMINISTRADOR - el servidor proxy se mostrar la siguiente direccin de correo electrnico en mensajes de error IDIOMA DE LOS MENSAJES DE ERROR - el idioma en el que aparecen mensajes de error MAX TAMAO DE CARGA - lmite de carga de archivos HTTP (como los usados por los formularios HTML con la subida de archivos) en KB (0 significa sin lmite) A continuacin encontrar una serie de opciones adicionales, cada uno en su propio panel que se puede ampliar haciendo clic en el + icono:

Puertos y Puertos permite SSL

PUERTOS - lista de los puertos TCP de destino para que el servidor proxy acepta conexiones cuando se utiliza HTTP (uno por lnea, los comentarios comienzan con #) PUERTOS SSL - el anterior, pero cuando se utiliza HTTPS en lugar de HTTP

Configuracin del registro

REGISTRO HABILITADOS - registro de todas las URL que se accede a travs del proxy (interruptor principal) REGISTRO DE TRMINOS DE LA CONSULTA - Tambin registro de los parmetros de la URL (por ejemplo,? id = 123) REGISTRO DE LOS AGENTES DE USUARIO - Tambin registro de los agentes de usuario, es decir, que los navegadores web acceder a la

web REGISTRO CONTENTFILTERING - Tambin de registro cuando el contenido se filtra LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - tienen el acceso a registro de firewall web (proxies transparentes solamente)

Subredes permitidas por zona

VERDE / NARANJA / AZUL - para cada zona que sirve el proxy puede definir subredes que se les permite el acceso al proxy (por defecto a todas las subredes asociadas a la zona considerada) - dan una subred por lnea (por ejemplo: 172.16.1.0/255.255.255.0 o 172.16.1.0 / 24). Nota: debe haber al menos una entrada para cada zona activa. Si usted no quiere permitir las conexiones desde toda una zona, entonces en vez deshabilitar el proxy en esa zona utilizando las casillas de seleccin debajo del PROXY HTTP PERMITIR cambiar.

Bypass / Fuentes prohibidas y Destinos

BYPASS PROXY TRANSPARENTE - especificar las fuentes (panel superior izquierdo) y destinos (panel superior derecho), que no estn sujetos a los proxys transparentes, dar una subred, la direccin IP o direccin MAC por lnea DERIVACIN DEL FILTRO DEL PROXY - especificar las direcciones IP de origen (panel de la izquierda a mediados) y direcciones MAC de origen (panel de la derecha central) que, sin dejar de pasar por el proxy, no estn sujetos a filtrar CLIENTES PROHIBIDOS - especificar las direcciones IP de origen (panel inferior izquierdo) o fuente de las direcciones MAC (panel inferior derecho) que estn prohibidos (incondicionalmente bloqueado por el proxy)

Cach de gestin
DISCO DURO / TAMAO DE LA MEMORIA CACH - dar la cantidad de memoria del proxy debe asignar para almacenar en cach los sitios web, respectivamente, en el disco o en la RAM (en MB) MAX / MIN TAMAO DEL OBJETO - dar lmites superior e inferior de los objetos que deben ser cacheados (en kilobytes) ACTIVAR EL MODO FUERA DE LNEA - Si esta opcin est activada, el proxy no se trata de actualizar los objetos almacenados en cach del servidor web aguas arriba - Los clientes pueden navegar por sitios web en cach, esttica, incluso despus de la subida se redujo

NO ALMACENAR EN CACH LOS DOMINIOS - en esta rea de texto se puede especificar qu dominios no deben almacenar en cach (un dominio por lnea)

Aguas arriba del proxy

AGUAS ARRIBA DEL PROXY - utilizar esta opcin para hacer su Endian Firewall proxy 's conectarse a otro proxy (upstream), especificar el proxy aguas arriba como "servidor: puerto"
AGUAS ARRIBA DE USUARIO / CONTRASEA

- especificar las credenciales, si es necesaria la autenticacin del proxy de aguas arriba

NOMBRE DE USUARIO / CLIENTE DE REENVO IP - adelante el nombre de usuario / cliente la direccin IP del proxy arriba Haga clic en el GUARDAR botn para confirmar y guardar los cambios de configuracin. No te olvides de hacer clic en el APLICAR botn para reiniciar el servidor proxy para que los cambios se activen. El
CACH TRANSPARENTE

botn permite eliminar todas las pginas web y archivos almacenados en

cach por el proxy HTTP. Autenticacin

Endian Firewall proxy 's es compatible con cuatro tipos diferentes de

autenticacin: LOCAL , LDAP ,
DE

WINDOWS , RADIUS . Cada uno de estos tipos de necesidades de

los diferentes parmetros de configuracin y se describe a continuacin. Sin embargo, los parmetros de configuracin global son: NMERO DE PROCESOS DE AUTENTICACIN - el nmero de procesos de autenticacin que se pueden ejecutar al mismo tiempo AUTENTICACIN DE CACH TTL (EN MINUTOS) - el tiempo en minutos el tiempo que los datos de autenticacin deben ser cacheados LMITE DE DIRECCIONES IP POR CADA USUARIO - el nmero mximo de direcciones IP desde la que un usuario puede conectarse al servidor proxy de forma simultnea USUARIO / IP CACH TTL (EN MINUTOS) - el tiempo en minutos la duracin de una direccin IP se asocia con el usuario conectado TERRITORIO DE AUTENTICACIN DEL SISTEMA - este texto se muestra en el cuadro de dilogo de autenticacin REQUERIR LA AUTENTICACIN DE - Si se deshabilita la direccin de origen sin
LAS DIRECCIONES DE ORIGEN SIN RESTRICCIONES

restricciones no tendrn que proporcionar sus credenciales

DOMINIOS SIN NECESIDAD DE AUTENTICACIN - en esta rea de texto puede introducir los nombres de dominio que se puede acceder sin ser autenticado (uno por lnea) FUENTES (SUBRED / IP / MAC) - en esta rea de texto puede introducir fuente
SIN NECESIDAD DE AUTENTICACIN

subredes, direcciones IP o direcciones MAC que

no requieren de autenticacin (uno por lnea) Los siguientes parmetros estn disponibles para la autenticacin local. GESTIN DE USUARIOS - Haga clic en este botn si desea administrar usuarios locales. LONGITUD MNIMA DE CONTRASEA - Aqu se puede establecer la duracin mnima de la contrasea para los usuarios locales. Los siguientes parmetros estn disponibles para la autenticacin LDAP. BASE DN - el nombre completo base, este es el punto de inicio de su bsqueda TIPO LDAP - Aqu puede elegir si usted est usando un Active

Directory del servidor, una de Novell eDirectory del servidor, un LDAP versin 2 del servidor o una versin 3 de LDAP del servidor
SERVIDOR LDAP - la direccin IP o nombre de dominio completo del servidor LDAP PUERTO - el puerto en que escucha el servidor ENLAZAR DN NOMBRE DE USUARIO - el nombre completo de un usuario de DN de enlace, el usuario debe tener permiso para leer los atributos de usuario ENLAZAR DN CONTRASEA - la contrasea del usuario
USUARIO OBJECTCLASS

- el usuario DN de enlace debe ser parte de esta objectClass - el usuario DN de enlace debe ser parte de esta objectClass

GRUPO OBJECTCLASS

Los siguientes parmetros estn disponibles para la autenticacin de Windows. DOMINIO - el dominio al que desea unirse NOMBRE DE HOST DEL PDC - el nombre de host del controlador de dominio principal NOMBRE BDC - el nombre de host del controlador de dominio de reserva NOMBRE DE USUARIO - el nombre de usuario que desea utilizar para unirse al dominio CONTRASEA - la contrasea del usuario INGRESO DE DOMINIO - Haga clic aqu para unirse al dominio PERMITIR AL USUARIO BASADA EN LAS RESTRICCIONES DE - Si marca esta casilla se pueden agregar los ACCESO usuarios autorizados y no autorizados a los campos de texto que aparecen a continuacin

UTILICE EL CONTROL DE ACCESO POSITIVO / NEGATIVO - puede elegir si desea utilizar el control de acceso positiva o negativa, en el campos de texto puede introducir un usuario por lnea que debe tener acceso o no deben tener acceso, en funcin de la poltica de control de acceso que eligi Los siguientes parmetros estn disponibles para la autenticacin RADIUS. SERVIDOR RADIUS - la direccin del servidor RADIUS PUERTO - el puerto en el que el servidor RADIUS est escuchando IDENTIFICADOR - un identificador adicional SECRETO COMPARTIDO - la contrasea que se utilizar PERMITIR AL USUARIO BASADA EN LAS RESTRICCIONES DE - Si marca esta casilla se pueden agregar los
ACCESO

usuarios autorizados y no autorizados a los campos de texto que aparecen a continuacin

UTILICE EL CONTROL DE ACCESO POSITIVO / NEGATIVO - puede elegir si desea utilizar el control de acceso positiva o negativa, en el campos de texto puede introducir un usuario por lnea que debe tener acceso o no deben tener acceso, en funcin de la poltica de control de acceso que eligi

Uso nativo de autenticacin de Windows con Active Directory Con el fin de poder utilizar la autenticacin nativa de Windows con Active Directory, tiene que asegurarse de que algunas condiciones se cumplen: - El firewall debe unirse al dominio. - Los relojes del sistema en el firewall y el el servidor de Active Directory tiene que estar en sintona. - En el PROXY , DNS ,
ENCARGO SERVIDOR DE NOMBRES DE

un servidor de nombres a medida que

se ha entrado. - El firewall debe ser capaz de resolver el nombre del servidor de Active Directory (por ejemplo, a travs de una entrada en LA RED , EDITAR LOS EJRCITOS ). - El reino debe ser un nombre de dominio completo.

- El nombre de host PDC tiene que ser definido como el nombre NetBIOS del servidor de Active Directory.

Poltica por defecto La poltica por defecto se aplica a todos los usuarios del proxy, si son o no autenticado. Configuracin de la directiva incluye un agente de usuario simple y filtro de tipo MIME, as como avanzadas basadas en el tiempo de deteccin de virus y las reglas de filtrado de contenidos. RESTRINGIR A LOS CLIENTES PERMITE EL ACCESO WEB - Esta casilla se activa el filtro de agente de usuario, que restringe el acceso web a los agentes de usuario seleccionado. TAMAO MXIMO DE DESCARGA - Esto establece el lmite para las descargas de archivos HTTP en KB (0 significa sin lmite). BLOQUEAR TIPOS MIME - Al activar esta opcin, se activar un filtro que controla las cabeceras de entrada para su tipo MIME. Si el tipo MIME del archivo de entrada est dispuesto a ser bloqueado, el acceso ser denegado. De esta manera usted puede bloquear los archivos que no correspondan a la poltica de la empresa (por ejemplo, archivos multimedia). CLIENTES QUE TIENEN PERMITIDO EL ACCESO WEB - Aqu se puede elegir clientes permitidos y los navegadores de la lista despus de hacer clic en el + icono. BLOQUEADOS LOS TIPOS MIME - Puede especificar los tipos MIME bloqueados haciendo clic en el + icono y luego agregando un tipo por lnea. La sintaxis se ajusta al estndar definido por la IANA. Ejemplos: application / Javascript, audio / mpeg, image / gif, text / html, video / mpeg Haga clic en el GUARDAR para guardar la configuracin de la poltica por defecto. Usted puede ver sus propias reglas en la
LISTA DE

REGLA . Cualquier regla puede especificar si el

acceso a Internet est bloqueado o permitido, en este ltimo caso se puede activar y seleccionar un tipo de filtro. Para agregar una nueva regla simplemente haga clic en CREAR UNA REGLA y la siguiente configuracin se puede realizar: ACCESO A LA WEB - Especificar si la regla permite el acceso web o lo bloquea, tambin si tiene efecto durante todo el da o en un momento especfico: elegir los das de la semana en que desea que esta regla se aplique y, en caso de que la regla no es vlida

durante todo el da, tambin puede configurar el intervalo de tiempo. TIPO DE FILTRO - Elija Anlisis antivirus slo para crear una regla que slo en busca de virus, elija filtro de

contenido slo para crear una regla que analiza

el contenido de las pginas web y los filtros de acuerdo a la configuracin del FILTRO seccin. Si usted elige sin

restricciones ni controles se llevarn a cabo.

POSICIN - Especificar dnde ubicar la nueva regla. Los nmeros ms grandes tienen mayor prioridad.

Si marca la casilla de verificacin Activar escaneo antivirus en el SERVIDOR PROXY , HTTP , FILTRO pgina, entonces todas las reglas (nuevas y viejas) marcadas como filtro de contenido slo se cambian de filtro de

contenido + antivirus .
Esto significa que los antivirus y filtro de trabajo de filtrado de contenido al mismo tiempo.

A continuacin, puede cambiar la prioridad, editar o borrar cada regla de la lista de reglas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior) Filtro de contenido En primer lugar, a fin de utilizar el filtro de contenido, usted tiene que utilizar filtros de contenido , como el tipo de filtro en una norma (ya sea en LA POLTICA POR DEFECTO o PERFILES DE LA
POLTICA

). Endian Firewall 's Filtro de contenido (DansGuardian) toma ventaja de tres tcnicas de

filtrado. El primero se llama PICS (Plataforma para la Seleccin de Contenidos de Internet), es una especificacin creada por W3C que utiliza los metadatos para etiquetar las pginas web para ayudar a controlar los padres. El segundo se basa en un sistema de ponderacin frase avanzado, que analiza el texto de las pginas web y calcula un puntaje para cada pgina. El ltimo mtodo se aprovecha de una enorme lista de URLs clasificadas y dominios, todas las direcciones URL solicitadas se comparan con la lista negra antes de ser servido a los clientes. La pantalla se divide en una seccin de configuracin general y una seccin donde se encuentra la poltica de filtrado especfico elegido. ACTIVAR ANLISIS ANTIVIRUS - Permitir que tanto el filtro de contenidos (Dansguardian) y el proxy antivirus (HAVP).

HABILITAR EL REGISTRO - Registro de solicitudes bloqueadas. PLATAFORMA PARA LA SELECCIN DE CONTENIDOS DE - Habilitar el control de los padres sobre la base INTERNET de metadatos PICS. una pgina de confianza (50-300). Puede ajustar este nivel: si los nios navegar por la web a travs de Endian Firewall debe establecer un valor de alrededor de 50, para los adolescentes que debe ser de 100 y 160 para los adultos jvenes. FILTRO DE CONTENIDO - Esta seccin permite la configuracin de filtros basados en el anlisis de la frase. Usted puede bloquear o permitir las categoras de sitios, haga clic en el icono junto a l. Subcategoras se muestran al hacer clic en el + icono. URL DE LISTA NEGRA - Esta seccin permite la configuracin de filtrado de URL basada en la comparacin. Usted puede bloquear o permitir las categoras de sitios haciendo clic en el icono al lado del nombre de la categora. Subcategoras se muestran haciendo clic en + icono. PERSONALIZADO Y NEGRO LISTAS BLANCAS - Filtrado de contenidos puede causar falsos positivos y falsos negativos - aqu se puede lista de dominios que siempre deben ser bloqueadas o permitidas, independientemente de los resultados del anlisis del filtro de contenido. MAX. PUNTUACIN DE LAS FRASES - Especificar el nivel de puntuacin mxima de

El anlisis de frases requiere mucho ms poder de cmputo que otras tecnologas (PICS y la lista negra URL). Si desea desactivar esta tcnica de filtrado puede marcar todas las categoras segn lo permitido en el
FILTRO DE CONTENIDO

seccin.

Cuando las listas blancas de un dominio, asegrese siempre de la lista blanca todos los mbitos necesarios para que el sitio funcione as. Un ejemplo: - google.com est bloqueado, lo que significa que todos los subdominios de google.com se bloquean y maps.google.com es la lista blanca para que pueda acceder a ella - maps.google.com no funciona como debera, ya que trata de obtener datos de otros servidores de Google - tendr a la lista blanca estos dominios (por

ejemplo, mt0.google.com ), as

Haga clic en GUARDAR para guardar los ajustes de filtro de contenido. Antivirus En este apartado puede configurar el motor anti-virus (ClamAV) que utiliza el proxy HTTP. MAX. TAMAO DE ESCANEO DE CONTENIDO - Especificar el tamao mximo de archivos que deben ser analizados en busca de virus. NO ANALIZAR LAS SIGUIENTES DIRECCIONES - Una lista de URLs que no sern analizados en busca de virus (uno por lnea). LTIMA ACTUALIZACIN - Muestra el da y hora de la ltima actualizacin de firmas de virus y la cantidad total de virus reconocidos por ClamAV (entre parntesis). Haga clic en GUARDAR para guardar la configuracin del motor antivirus. Las polticas de grupo En esta pgina se pueden crear grupos que pueden estar asociados a los perfiles de poltica diferentes. Estos grupos pueden estar asociados a los usuarios cuando se utiliza Local de autenticacin en el PROXY , HTTP , LA AUTENTICACIN DE la seccin. Usted puede agregar un grupo haciendo clic en el CREAR UN GRUPO DE enlace e introducir un nombre de grupo. Despus de hacer clic en el GRUPO CREAR botn el grupo se guarda. El perfil de los grupos se pueden cambiar seleccionando el perfil poltico adecuado y luego hacer clic en el GUARDAR botn debajo de la lista de grupos. Los grupos pueden ser desactivado, activado y eliminar haciendo clic en los iconos correspondientes (como se describe en la leyenda debajo de la lista). Perfiles de la poltica Es posible crear perfiles adicionales que se pueden utilizar en el GRUPO seccin.
PROXY

, HTTP ,

LAS POLTICAS DEL

perfiles de la poltica se crean igual que la poltica por defecto en el PROXY , HTTP , POLTICA DE la seccin.

POR DEFECTO LA

POP3

Seleccione PROXY de la barra de men en la parte superior de la pantalla, a continuacin, seleccione POP3 en el submen en el lado izquierdo de la pantalla. En esta seccin puede configurar el POP3 (correo entrante) proxy. Configuracin global En esta pgina puede configurar los ajustes de configuracin global del proxy POP3. Usted puede ACTIVAR o desactivar el servidor proxy POP3 para cada ZONA . Tambin es posible para que el ESCNER DE VIRUS y el FILTRO DE SPAM para el correo entrante. Si desea registrar cada salida de conexin POP3 puede habilitar el
CONEXIONES SALIENTES REGISTRO DEL CORTAFUEGOS

casilla de verificacin.

Filtro anti-spam En esta pgina usted puede configurar el proxy de POP3 debe reaccionar una vez que encuentra un mensaje de spam. SPAM ETIQUETA DE OBJETO - Aqu puede especificar un prefijo de asunto del correo electrnico spam. IMPACTOS REQUERIDOS - Esta opcin define cuntos golpes son necesarios para un mensaje que consideramos spam. El valor predeterminado es 5 . HABILITAR EL RESUMEN DEL MENSAJE DE DETECCIN DE SPAM - Si desea detectar el spam con resmenes de (PYZOR) mensajes se puede activar esta opcin. Tenga en cuenta que esto podra ralentizar el proxy de POP3. LISTA BLANCA - Aqu usted puede lista blanca del remitente de correo electrnico-mail (uno por linea). Tambin es posible poner en lista blanca todos los dominios mediante el uso de comodines, por ejemplo, * @ example.com . LISTA DE NEGRO - Aqu usted puede lista negra correo electrnico del remitente direcciones (una direccin por lnea). Tambin es posible a la lista negra todos los dominios mediante el uso de comodines, por ejemplo, * @ example.com .

SIP
Seleccione PROXY de la barra de men en la parte superior de la pantalla, a continuacin, seleccione SIP en el submen en el lado izquierdo de la pantalla. El proxy SIP es un demonio proxy / disfrazada para los protocolos SIP y RTP. SIP (Session Initiation Protocol, RFC3261) y RTP (Real-time Transport Protocol) son utilizados por voz sobre IP (VoIP), dispositivos para establecer las llamadas telefnicas y llevar a corrientes de voz.

El proxy maneja los registros de clientes SIP en la red LAN y realiza la reescritura de los cuerpos de los mensajes SIP para hacer las conexiones SIP posible a travs de Endian Firewall , y por lo tanto, permiten a los clientes SIP (como X-Lite, kphone, linphone o hardware VoIP) para trabajar detrs de NAT. Sin este poder, las conexiones entre los clientes no son posibles en todo, si ambos estn detrs de NAT, ya que un cliente no puede llegar directamente a la otra y por lo tanto no hay conexin RTP se pueden establecer entre ellos. Una vez activada, las opciones se pueden configurar (confirmar la configuracin, haga clic en GUARDAR ). ESTADO - transparente significa que todo el trfico saliente en el puerto SIP, ser redirigido al proxy SIP, habilitado significa que la representacin se escucha el puerto SIP y los clientes deben ser conscientes de que el proxy PUERTO SIP - por defecto: 5060 RTP PUERTO BAJA / ALTA - El rango de puertos UDP que el proxy SIP se utilizan para el trfico RTP entrante y saliente. Por defecto, el rango de 7070 a (e incluyendo) 7090 se utiliza. Esto permite hasta 10 llamadas simultneas (2 puertos por llamada). Si necesita ms llamadas simultneas, aumentar la gama. PROXY DE SALIDA HOST / PUERTO - El proxy SIP se puede enviar todo el trfico a otro proxy de salida. COPIA DE SEGURIDAD AUTOMTICA DE REGISTROS - Esto permite que el proxy SIP para recordar registros despus de un reinicio. REGISTRO DE LLAMADAS - Seleccione esta opcin si desea registrar llamadas establecidas en el registro de proxy SIP. LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - Esto le mostrar las conexiones salientes en el registro de firewall.

FTP
Seleccione PROXY de la barra de men en la parte superior de la pantalla, a continuacin, seleccione FTP en el submen en el lado izquierdo de la pantalla. El FTP (File Transfer Protocol) proxy est disponible slo como proxy transparente, lo que permite la deteccin de virus en las descargas FTP. Tenga en cuenta que slo las conexiones al puerto FTP estndar (21) se redirigen al proxy. Esto significa que si usted configurar los clientes para usar el proxy HTTP tambin para el protocolo FTP, este proxy FTP no se pasar!

Puede activar el proxy FTP transparente sobre la verde zona y en las otras zonas habilitadas ( NARANJA , AZUL ). Las siguientes opciones se pueden configurar (confirmar la configuracin, haga clic en GUARDAR ). LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - Mostrar las conexiones salientes en el registro de firewall. OMITIR EL PROXY TRANSPARENTE - Especificar las fuentes (izquierda) y destinos (panel derecho), que no estn sujetos a FTP proxy transparente. Siempre se especifica una subred, la direccin IP o direccin MAC por lnea.

Endian Firewall soporta FTP proxy transparente

con frox si y slo si est conectado directamente a Internet. Si tiene otro firewall o un router entre NATing Endian Firewall e Internet, frox no funciona, ya que utiliza un FTP activo contra la corriente.

SMTP
Seleccione PROXY de la barra de men en la parte superior de la pantalla, a continuacin, seleccione SMTP en el submen en el lado izquierdo de la pantalla. El SMTP (Simple Mail Transfer Protocol) proxy puede transmitir y el trfico de correo electrnico de filtro, ya que se enva hacia los servidores de correo electrnico. El alcance de los proxy SMTP es controlar y optimizar el trfico SMTP, en general, y para proteger su red contra las amenazas al utilizar el protocolo SMTP. El SMTP (protocolo simple de transferencia de correo) se utiliza el protocolo cuando un correo es enviado por su cliente de correo de un servidor de correo (correo saliente). Tambin se puede utilizar si usted tiene su propio servidor de correo que se ejecutan en la red LAN ( VERDE interfaz) o la zona desmilitarizada ( ORANGE interfaz) y estn permitiendo que los correos que se envan desde el exterior de la red (las solicitudes de entrada) a travs de su servidor de correo. El configuracin de proxy SMTP se divide en varias subsecciones.

Advertencia Con el fin de descargar el correo de un servidor de correo remoto con sus clientes de correo local, el protocolo POP3 o IMAP se utilizar. Si desea proteger el trfico que tambin tiene que habilitar

el proxy POP3 en PROXY ,POP3 . Anlisis del trfico IMAP no es compatible actualmente. Con la funcionalidad de proxy de correo, ambos tipos de trfico (correo entrante y saliente) se pueden escanear en busca de virus, spam y otras amenazas. El correo se bloquea si es necesario y las comunicaciones se enviarn tanto al usuario que recibe y el administrador. Con la posibilidad de escanear el correo entrante, el proxy de correo puede manejar las conexiones entrantes y pasar el correo a uno o ms servidores de correo interno con el fin de eliminar la necesidad de contar con conexiones SMTP desde el exterior, dentro de sus redes locales.

Principal El es la seccin principal de configuracin del proxy de SMTP. Contiene las siguientes opciones: ACTIVADO - Esto permite que el proxy SMTP con el fin de aceptar las solicitudes en el puerto 25. TRANSPARENTE EN VERDE , AZUL ,NARANJA - Si el modo transparente est activada, todas las peticiones al puerto de destino 25 ser interceptada y remitida al proxy SMTP sin necesidad de cambiar la configuracin de sus clientes. ANTIVIRUS EST ACTIVADO - Marque esta casilla si desea activar antivirus. El antivirus se puede configurar en el SERVIDOR PROXY , SMTP , ANTIVIRUS enlace. SPAMCHECK EST ACTIVADO - Marque esta casilla si desea filtrar correos electrnicos no deseados. El filtro de spam puede ser configurado en el PROXY , SMTP , CORREO NO DESEADO seccin. LAS EXTENSIONES DE ARCHIVO SE BLOQUEAN - Marque esta casilla si desea bloquear correos que contengan archivos adjuntos con determinadas extensiones. Las extensiones de archivo se puede configurar en el SERVIDOR
PROXY ARCHIVOS

, SMTP , EXTENSIONES DE seccin.

SERVIDOR DE CORREO ENTRANTE HABILITADO - Si usted tiene un servidor de correo interno y desea que el proxy SMTP para reenviar los correos entrantes a su servidor interno debe habilitar esta opcin. LOS LOGS DEL FIREWALL LAS CONEXIONES SALIENTES - Marque esta opcin si desea que el servidor de seguridad para registrar todas las conexiones

establecidas saliente. Tenga en cuenta que en algunos pases puede ser ilegal.

Es necesario configurar los dominios de correo electrnico para que el servidor debe ser responsable. Usted puede agregar a la lista de los dominios en el SERVIDOR PROXY , SMTP , DOMINIOS seccin.

Para guardar y aplicar los ajustes que debe hacer clic en el GUARDAR CAMBIOS Y REINICIAR el botn. Antivirus El antivirus es una de las principales caractersticas del mdulo de proxy SMTP. Tres acciones diferentes se pueden realizar cuando un correo que contiene un virus se enva. Tambin es posible configurar una direccin de correo electrnico para las notificaciones. MODO - Usted puede elegir entre tres modos diferentes como mensajes infectados deben ser manejados. DESCARTAR : si usted elige este modo, el correo ser eliminado BOUNCE : si usted elige este modo, el correo electrnico no ser entregada, pero se recuper al remitente en forma de un no -entrega de la notificacin PASO : Si elige este modo, el correo se entrega normalmente

CORREO ELECTRNICO UTILIZADA PARA LAS NOTIFICACIONES - Aqu usted puede proporcionar una direccin de DE VIRUS correo que recibir una notificacin por cada correo electrnico infectados que se procesa. CUARENTENA DE VIRUS - Aqu usted puede especificar qu tipo de cuarentena que est utilizando. Los valores vlidos son los siguientes: -. dejar este campo vaco deshabilitar la cuarentena - virus de la cuarentena esta infectada tiendas de electrnicos en el servidor de seguridad (en / var / amavis / virusmails), esta es la configuracin por defecto. - valid.email @ direccin de correo electrnico vlida cualquier direccin se traducir en los e-mails infectados que se remiti a la direccin de correo electrnico.

Para guardar y aplicar los ajustes haga clic en el GUARDAR CAMBIOS Y REINICIAR el botn. Spam El mdulo antispam conoce de diferentes maneras para protegerse de los correos spam. En general spamassassin y amavisd nuevos se utilizan para filtrar el spam. SpamAssassin proporciona diversos medios de deteccin de spam. Tiene una puntuacin total del sistema, donde un gran nmero de normas relacionadas entre disparar y el total de un puntaje para determinar si un mensaje es spam o no. La pgina est dividida en dos secciones: SMTP PROXY y
LA LISTA GRIS

Mientras que los mensajes de spam ms simple, como bien sabe de mensajes de spam y el correo enviado por los anfitriones de spam conocidos son bloqueados, los spammers siempre adaptar sus mensajes a fin de eludir los filtros de spam. Por lo tanto, es absolutamente necesario para entrenar siempre el filtro de spam con el fin de llegar a un filtro personalizado y ms fuerte (de Bayes).

El SMTP PROXY seccin contiene la configuracin principal para el filtro de spam. SPAM DESTINO - Usted puede elegir entre tres modos diferentes como los correos spam son tratados. DESCARTAR : si usted elige este modo, el correo electrnico se eliminar BOUNCE : si usted elige este modo, el correo electrnico no ser entregada, pero se recuper al remitente en forma de un no entrega de la notificacin PASO : Si elige este modo, el mensaje ser entregado normalmente

DE CORREO ELECTRNICO UTILIZADA PARA LA NOTIFICACIN - Aqu usted puede proporcionar una direccin de
DE ALERTA SOBRE EL SPAM

correo que recibir una notificacin por cada mensaje de spam que se procesa.

CUARENTENA DE SPAM - Aqu usted puede especificar qu tipo de cuarentena que est utilizando. Los valores vlidos son los siguientes: -. dejar este campo vaco se desactivar la cuarentena de spam - spam en cuarentena este correo basura se almacena en el servidor de seguridad (en / var / amavis / virusmails), esta es la

configuracin por defecto. - valid.email @ direccin vlida cualquier direccin de correo electrnico se traducir en los correos electrnicos spam que se remiti a la direccin de correo electrnico. SPAM NIVEL DE LA ETIQUETA - Si la puntuacin de spam SpamAssassin es mayor que este nmero X-Spam-Status y cabeceras X-Spam-Level se aaden al correo electrnico. MARCA DE NIVEL DE SPAM - Si la puntuacin de spam SpamAssassin es mayor que el nmero de correos son etiquetados con el TEMA DE SPAM y una cabecera X-Spam-Flag. NIVEL DE CUARENTENA DE SPAM - Electrnicos que superen esta puntuacin de spam sern movidos a la cuarentena. ENVIAR NOTIFICACIN, SLO POR DEBAJO DEL NIVEL - Enviar mensajes de correo electrnico de notificacin slo si la puntuacin de spam est por debajo de este nmero. SPAM TEMA - Aqu usted puede especificar un prefijo para el tema de los correos electrnicos marcados como Spam. La segunda seccin contiene opciones de configuracin de Endian Firewall 's siguientes opciones:
GREYLISTING HABILITADO LISTA GRIS

. Contiene las

- Marque esta casilla si desea habilitar la lista gris. un valor entre 30 y 3600.

DELAY (SEC) - El retraso en las listas grises segundo puede ser LISTA BLANCA DESTINATARIO - Puede lista blanca de correo electrnico, direcciones o dominios de todo en esta rea de texto, por ejemplo, test@endian.com o el dominio endian.com (una entrada por lnea). LISTA BLANCA DE CLIENTES - Puede lista blanca de direcciones de un servidor de correo aqu. Esto significa que todos los correos electrnicos procedentes de la direccin de este servidor no ser revisado en busca de spam (una entrada por lnea). Guardar la configuracin y reiniciar el servidor proxy SMTP haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botn. Extensiones de archivo

Esto le permite bloquear los archivos con determinadas extensiones de archivo que se pueden adjuntar a los mensajes. Electrnicos que contienen archivos adjuntos, sern reconocidos y la accin seleccionada se llevar a cabo por el correo respectivo. Las siguientes opciones se pueden configurar: EXTENSIONES DE ARCHIVO BLOQUEADAS - Puede seleccionar una o varias extensiones de archivo para ser bloqueado. Con el fin de seleccionar varios archivos, pulse la tecla de control y haga clic en las entradas que desee con el ratn. ARCHIVOS PROHIBIDOS DE DESTINO - Usted puede elegir entre tres modos diferentes como los correos que contienen archivos adjuntos, debe ser manejado. DESCARTAR : si usted elige este modo, el correo electrnico se eliminar BOUNCE : si usted elige este modo, el correo electrnico no ser entregada, pero se recuper al remitente en forma de una notificacin de no entrega PASO : Si elige este modo, el mensaje ser entregado normalmente

ARCHIVOS PROHIBIDOS DE CUARENTENA - Aqu usted puede especificar qu tipo de cuarentena que est utilizando. Los valores vlidos son los siguientes: -. dejar este campo vaco deshabilitar la cuarentena de correo electrnico con datos adjuntos bloqueados - spam en cuarentena el correo electrnico con archivos adjuntos tiendas bloqueado en el firewall (en / var / amavis / virusmails), esta es la configuracin por defecto. - vlido . @ email abordar cualquier direccin vlida de correo electrnico se traducir en los correos electrnicos con archivos adjuntos bloqueados ser enviado a la direccin de correo electrnico. DE CORREO ELECTRNICO UTILIZADA PARA LA NOTIFICACIN - Cada vez que un correo electrnico con un DE ARCHIVOS PROHIBIDOS archivo adjunto que est bloqueada debido a su extensin de archivo se encuentra, una notificacin de correo electrnico se enva a esta direccin. BLOQUE DOBLE EXTENSIN - Si habilita esta opcin, los archivos con doble extensin ser bloqueado, ya que estos archivos se crean generalmente para daar computadoras (bloqueado doble extensin se compone de alguno de extensin seguido .

exe , . com , . vbs , . pif , . scr , . bat , .

cmd o dll. ).
Guardar la configuracin y reiniciar el servidor proxy SMTP haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botn. Listas negras / blancas Un mtodo frecuentemente utilizado para bloquear correos electrnicos no deseados son los llamados en tiempo real de listas negras (RBL). Estas listas son creadas, gestionadas y actualizadas por las diferentes organizaciones. Si un dominio o una direccin IP del remitente aparece en una de las listas negras, los correos electrnicos de la misma ser rechazada sin previo aviso. Esto ahorra ancho de banda ms que la ligadura con banda elstica del mdulo antispam, ya que aqu mails no sern aceptados y manejados en cuando, pero rechaz la mayor brevedad una direccin IP en la lista se encuentra. Este dilogo tambin le da la posibilidad de bloquear de manera explcita (lista negra) o permitir que (lista blanca) ciertos remitentes, destinatarios, las direcciones IP o redes.

Advertencia A veces puede ocurrir que las direcciones IP han sido mal listado por el operador de RBL. Si esto sucede, se puede influir negativamente en su comunicacin, en el sentido de que el correo ser rechazado sin posibilidad de recuperarla. Usted tambin tiene una influencia directa en la RBL.

En el RBL seccin se puede activar las siguientes listas:

BL.SPAMCOP.NET

- Esta ligadura con banda elstica se basa en las comunicaciones de sus usuarios (www.spamcop.net).

ZEN.SPAMHAUS.ORG

- Esta lista sustituye a SBL-xbl.spamhaus.org y contiene la lista de bloqueo Spamhaus, as como la lista Spamhaus 'bloque de hazaas y su lista de la poltica de bloques.

CBL.ABUSEAT.ORG

- El CBL toma su origen de datos desde spamtraps muy grande. Slo las listas de IPs que presentan caractersticas que son especficas para abrir representaciones de varios tipos (HTTP, calcetines, AnalogX, Wingate, etc) que han sido objeto de abusos para enviar spam, gusanos / virus que hacer su propia transmisin de correo directo, o algn tipo de troyano -caballo o software de spam "stealth",

sin hacer las pruebas de proxy abierto de cualquier tipo.

DUL.DNSBL.SORBS.NET

- Este contiene una lista de rangos de direcciones IP dinmicas (www.au.sorbs.net). - DSBL es la lista de remitentes Blackhole distribuida. Publica las direcciones IP de los ordenadores que han enviado mensajes de correo electrnico de prueba especiales para listme@listme.dsbl.org u otro listado de direcciones. El mtodo de entrega principal de los spammers es el abuso de los servidores no seguros. Por esta razn, muchas personas quieren saber que los servidores no son seguros para que puedan rechazar de correo electrnico de estos servidores. DSBL proporciona exactamente esa informacin (www.dsbl.org).

LIST.DSBL.ORG

DSN.RFC-IGNORANT.ORG

- Esta es una lista que contiene los dominios o redes IP cuyos administradores optan por no obedecer a las RFC, las normas de la red (www.rfc-ignorant.org).

IX.DNSBL.MANITU.NET

- Una lista negra de DNS a disposicin del pblico, que es permanentemente regenerada a partir de la lista negra de IP y la tabla de spam hash del filtro de spam NiX Spam.

Guardar la configuracin y reiniciar el servidor proxy SMTP haciendo clic en el GUARDAR CAMBIOS Y
REINICIAR

el botn.

Nota Los usuarios avanzados pueden modificar la lista editando el archivo / var / EFW / smtpd / default / RBL.

Tambin puede crear listas blancas y negro mediante la adicin de entradas a los campos de la
NEGRA / BLANCA

LISTA

seccin. Las reas de texto siguiente se puede llenar en esta seccin:

LISTA BLANCA DEL REMITENTE

- Mails de estas direcciones o dominios siempre ser aceptado. - Mails de estas direcciones o dominios nunca ser aceptada. - Correo electrnico a estas direcciones o

REMITENTE LISTA NEGRA

RECEPTOR LISTA BLANCA

dominios siempre ser aceptado.

RECEPTOR LISTA NEGRA

- Correo electrnico a estas direcciones o dominios nunca ser aceptada. - Mensajes que se han enviado desde estas direcciones IP o hosts siempre ser aceptado. - Mensajes que se han enviado desde estas direcciones IP o hosts no sern aceptadas.

CLIENTE LISTA BLANCA

CLIENTE LA LISTA NEGRA

Para guardar los cambios y reiniciar el servidor proxy, haga clic en el SMTP GUARDAR CAMBIOS Y REINICIAR el botn.

Ejemplos de receptor / emisor de negro y blancas: todo un dominio - example.com slo subdominios - example.com. una sola direccin admin@example.com

Dominios Si ha habilitado el correo entrante y desea enviar ese correo a un servidor de correo detrs de Endian

Firewall - generalmente se establecen en el verde o naranja zona - es necesario declarar los

dominios que sern aceptados por el proxy SMTP y que de los servidores de correo el correo entrante debe ser transferidas. Es posible especificar mltiples servidores de correo detrs de Endian Firewall para diferentes dominios. Es tambin fcil de usar Endian Firewall como una copia de seguridad MX. DOMINIO - El dominio de este servidor de correo es responsable. SERVIDOR DE CORREO INTERNO - La direccin del servidor de correo. Para agregar un dominio haga clic en el AGREGAR botn. Para aplicar los cambios que el proxy SMTP tiene que ser reiniciado, haga clic en el GUARDAR CAMBIOS Y REINICIAR el botn. Las entradas disponibles se pueden editar y eliminar haciendo clic sobre el icono correspondiente (como se describe en la leyenda en la parte inferior de la pgina). El encaminamiento del correo Esta opcin le permite enviar una copia oculta (CCO) a una direccin de correo electrnico especificada. Esta opcin se aplicar a todos los correos electrnicos que se envan a la direccin del destinatario se especifica o se envan desde la direccin del remitente especificado. DIRECCIN - Especifique si desea aplicar este proceso de copia de un determinado DESTINATARIO .
REMITENTE

DEL

CORREO ELECTRNICO - Aqu se especifica la direccin de correo del destinatario o del remitente (en funcin de lo que haya elegido anteriormente). DIRECCIN BCC - La direccin de correo electrnico donde desea enviar la copia de los correos electrnicos. La ruta de correo se guarda haciendo clic en el
CORREO DE LA RUTA AADIR

botn. Las entradas

disponibles se pueden cambiar o eliminar haciendo clic sobre los iconos correspondientes que se explican en la leyenda en la parte inferior de la pgina.

Advertencia ni el remitente ni el destinatario ser notificado de la copia. En la mayora de los pases de este planeta es altamente ilegal para leer mensajes de otras personas privadas. No abuse de esta funcin.

Avanzado En esta pgina puede configurar los ajustes avanzados del proxy SMTP. En el SMARTHOST seccin de las siguientes opciones se pueden configurar: PASARELA HABILITADA PARA LA ENTREGA - Marque esta casilla si desea utilizar una pasarela para entregar mensajes de correo electrnico. DIRECCIN DE PASARELA - Aqu puede introducir la direccin de la pasarela. AUTENTICACIN REQUERIDA - Marque esta casilla si el smarthost requiere autenticacin. NOMBRE DE USUARIO - Este nombre de usuario se utiliza para la autenticacin. CONTRASEA - Esta contrasea se utiliza para la autenticacin MTODO DE AUTENTICACIN - Aqu puede elegir los mtodos de autenticacin compatibles con su pasarela. PLAIN , LOGIN , CRAM-

MD5 y DIGEST-MD5 son compatibles.

La configuracin se guarda y se aplica haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botn.

Si usted tiene una direccin IP dinmica, porque est utilizando una lnea RDSI o una conexin ADSL a Internet puede tener problemas de envo

de correos a otros servidores de correo. Ms y ms servidores de correo comprobar si su direccin IP aparece como una direccin IP dinmica y por lo tanto, podra negarse su correo electrnico. Por lo tanto, podra ser necesario utilizar una pasarela para el envo de mensajes de correo electrnico. Una pasarela es un servidor de correo SMTP que el servidor proxy se utiliza como servidor SMTP. La pasarela tiene que aceptar sus correos electrnicos y rels para usted. Normalmente, usted puede usar el servidor SMTP de su proveedor de pasarela, ya que est dispuesta a aceptar para transmitir sus mensajes de correo electrnico, mientras que otros servidores de correo no puede.

En el SERVIDOR IMAP PARA LA AUTENTICACIN SMTP seccin puede configurar el servidor IMAP que se debe utilizar para la autenticacin al enviar mensajes de correo electrnico. La mayor parte de todo esto es importante para las conexiones SMTP que se abren desde la REDzona. Los siguientes ajustes se pueden configurar: HABILITADA LA AUTENTICACIN - Marque esta casilla si desea habilitar la autenticacin IMAP. SERVIDOR IMAP - Aqu puede introducir la direccin del servidor IMAP. DEMONIOS NMERO DE AUTENTICACIN - Esta configuracin define el nmero de conexiones concurrentes debe ser posible a travs de su Endian Firewall . La configuracin se guarda y se aplica haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botn. En la CONFIGURACIN AVANZADA parmetros adicionales se pueden definir. Las opciones son:
SMTPD HELO REQUIERE

- Si est habilitado el cliente que se conecta debe enviar un HELO (o EHLO) comando al principio de una sesin de SMTP.

RECHAZAR EL NOMBRE DE HOST NO VLIDO

- Rechazar el cliente que se conecta cuando el cliente HELO o EHLO parmetro proporciona un nombre de host no vlido.

RECHAZAR NO

FQDN REMITENTE - Rechazar el cliente que se conecta si el nombre de host se suministra con el comando HELO o EHLO no es un nombre de dominio completo como lo requiere el RFC.

RECHAZAR NO

FQDN DESTINATARIO - Rechazar la solicitud cuando el RCPT TO

direccin no est en forma totalmente cualificado nombres de dominio, como lo requiere el RFC.
RECHAZAR EL DOMINIO DEL REMITENTE DESCONOCIDO

- Rechazar la conexin si el dominio de la direccin de correo electrnico del remitente no tiene un DNS o registros MX.

RECHAZAR DOMINIO DEL DESTINATARIO DESCONOCIDO

- Rechazar la conexin si el dominio de la direccin de correo electrnico del destinatario no tiene un DNS o registros MX.

SMTP HELO NOMBRE - El nombre de host para enviar con el SMTP EHLO o HELO. El valor por defecto es la IP de la RED. Especifique un nombre de host o IP. SIEMPRE LA DIRECCIN BCC - Opcionalmente, puede asignar una direccin de correo electrnico que recibirn una copia oculta de cada mensaje que pasa por el proxy SMTP.
LMITE DE ERROR DE DISCO DURO SMTPD

- El nmero mximo de errores de un cliente remoto SMTP se le permite producir sin la entrega de correo. El servidor SMTP Proxy se desconecta una vez que se supera este lmite (por defecto 20).

PLANTILLAS DE IDIOMA DE CORREO ELECTRNICO - El idioma en el que los mensajes de error deben ser enviados.
TAMAO MXIMO DE CORREO ELECTRNICO

- El tamao mximo de un solo mensaje se le permite tener.

La configuracin se guarda y se aplica haciendo clic en el GUARDAR CAMBIOS Y REINICIAR el botn.

DNS
Seleccione PROXY de la barra de men en la parte superior de la pantalla, a continuacin, seleccione DNS en el submen en el lado izquierdo de la pantalla. En esta seccin usted puede cambiar la configuracin para el proxy DNS. Se divide en tres subpginas. Proxy DNS En esta pgina usted puede activar el proxy transparente de DNS para el verde , naranja y azul las zonas (si estn activos). Tambin se pueden definir para QUE LAS DIRECCIONES DE ORIGEN DE LA REPRESENTACIN SE OMITE en el rea de texto inferior izquierda. Estas fuentes pueden ser direcciones IP, direcciones de subredes y las direcciones MAC (una por lnea). En el rea de texto inferior derecha se puede introducir
DESTINOS PARA LOS QUE EL PROXY SE OMITE

. En

esta rea de texto de direcciones IP y direcciones de subredes se pueden introducir. Para guardar los ajustes que debe hacer clic en el GUARDAR botn.

Servidor de nombres personalizados En esta pgina usted puede agregar a medida servidores de nombres para dominios especficos. Usted puede agregar un servidor de nombres personalizado haciendo clic en el AADIR enlace. Para cambiar una entrada existente tiene que hacer clic en el icono del lpiz en su fila. Al hacer clic en un icono de papelera que
NUEVO SERVIDOR NOMBRE DE DOMINIO PERSONALIZADO PARA UN

elimina el servidor de nombres personalizados en la fila. Los siguientes datos pueden ser guardados para servidores de nombres de encargo: DOMINIO - El dominio para el que desea utilizar el servidor de nombres personalizado. SERVIDOR DNS - La direccin IP de la namserver. OBSERVACIN - Un comentario adicional es posible que desee guardar. Anti-spyware En esta pgina usted puede configurar el modo en Endian Firewall debe reaccionar si un nombre de dominio se tiene que resolver lo que se conoce para ser usado por el spyware. Las opciones que se pueden configurar son: ACTIVADO - Si se habilita estas solicitudes ser redirigido a localhost. REDIRIGIR LAS PETICIONES DE ENVIAR SPYWARE ESCUCHAR - Si esta opcin est activada de las solicitudes ser redirigido al puesto de spyware escuchar en vez de localhost. DOMINIOS DE LA LISTA BLANCA - Los nombres de dominio que se introducen aqu no sean tratados como espas los objetivos independientemente del contenido de la lista. LISTA NEGRA DE DOMINIOS - Los nombres de dominio que se introducen aqu se tratan siempre como objetivos spyware, independientemente del contenido de la lista DOMINIO SPYWARE LISTA DE ACTUALIZACIONES DE - Aqu usted puede especificar la frecuencia con la
PROGRAMACIN

lista de dominios spyware debe ser actualizada. Los valores posibles son cada

hora , diario , semanal y mensual . Al mover el

cursor del ratn sobre el signo de interrogacin correspondiente se puede ver el momento exacto en las actualizaciones se llevarn a cabo. La configuracin se guarda y se aplica haciendo clic en el GUARDAR botn.

Captulo 7: El men de VPN

Seleccione VPN de la barra de men en la parte superior de la pantalla. Las redes privadas virtuales (VPN) permiten a las redes para conectar directamente entre s a travs potencialmente inseguras redes como Internet. Todo el trfico de red a travs de la conexin VPN se transmite de manera segura, dentro de un tnel encriptado, oculto de miradas indiscretas. Tal configuracin se denomina puerta de enlace a puerta de enlace VPN. Del mismo modo, una sola computadora en algn lugar de Internet puede usar un tnel VPN para conectarse a una LAN de confianza. El equipo remoto, a veces llamado unguerrero de la carretera , parece estar directamente conectado a la LAN de confianza, mientras que el tnel VPN est activa.

Endian Firewall pueden crear redes privadas virtuales basadas en el IPsec protocolo soportado por la
mayora de sistemas operativos y equipos de red, as como redes privadas virtuales basadas en el OpenVPN servicio. Desafortunadamente, las herramientas necesarias para configurar IPsec varan mucho entre los distintos sistemas, puede ser complicado de usar o puede tener problemas de interoperabilidad. Por lo tanto, Endian recomienda OpenVPN en situaciones donde no hay necesidad de apoyar una infraestructura existente de IPsec. Endian Firewall incluye un cliente OpenVPN usuario amigable para Microsoft Windows, Linux y MacOS X. La siguiente es una lista de enlaces que aparecen en el submen en el lado izquierdo de la pantalla y que permiten la creacin de VPNs de cualquiera de los tipos mencionados:

OPENVPN SERVIDOR - configurar el servidor de OpenVPN para que los clientes (ya sea Guerreros de la carretera u otros servidores de seguridad Endian en una configuracin de puerta de enlace a puerta de enlace) puede conectarse a su VERDE zona a travs de un tnel VPN OPENVPN CLIENTE (GW2GW) - configurar el cliente de una configuracin de puerta de enlace a puerta de enlace entre dos o ms servidores de seguridad Endian IPSEC - la creacin basada en IPsec tneles VPN Cada enlace se explican por separado en las secciones siguientes.

OpenVPN servidor
Seleccione VPN de la barra de men en la parte superior de la pantalla, a continuacin, seleccione EL SERVIDOR OPENVPN en el submen en el lado izquierdo de la pantalla. Configuracin del servidor En este panel se puede permitir que el servidor OpenVPN y definir el rango de direcciones dentro de la verde zona que se va a asignar a la conexin de los clientes. Tenga en cuenta que el trfico dirigido a este grupo de IP tiene que ser filtrada utilizando el firewall VPN.

Haga clic en GUARDAR para guardar la configuracin e iniciar el servicio OpenVPN. La primera vez que el servicio se ha iniciado un nuevo certificado (con firma) de este servidor OpenVPN se genera. Haga clic en el CERTIFICADO DE CA DESCARGAR enlace para descargarlo. Ya que lo necesitar ms adelante, cuando la creacin de los clientes. El siguiente panel muestra una lista de clientes conectados actualmente, una vez que OpenVPN est funcionando. Es posible MATAR y
PROHIBICIN DE

las conexiones. La diferencia entre matar y la prohibicin es que

usuarios no autorizados no puedan volver a conectarse despus de la conexin ha sido asesinado. Cuentas Este panel contiene la lista de cuentas OpenVPN. Cick en AADIR CUENTA para aadir una cuenta. Los siguientes parmetros pueden ser especificados para cada cuenta:

Informacin de la cuenta
NOMBRE DE USUARIO - nombre de usuario de inicio de sesin CONTRASEA / VERIFICAR CONTRASEA - especificar la contrasea (dos veces)

Cliente de enrutamiento
DIRIGIR TODO EL TRFICO DE CLIENTES - Si marca esta, todo el trfico desde el cliente de
A TRAVS DEL SERVIDOR VPN

conexin (independientemente del destino) se dirige a travs de la subida de la Endian

Firewall que aloja el servidor OpenVPN. El valor

predeterminado es para enrutar el trfico a un destino que no es parte de ninguna de las zonas Endian internos (tales como servidores de Internet) a travs de enlace ascendente del cliente NO INTRODUZCA NINGN RUTAS - (Usuarios avanzados) normalmente, cuando un AL CLIENTE cliente se conecta, un tnel rutas a las redes que son accesibles a travs de VPN se agregan a la tabla de enrutamiento del cliente - marque esta casilla si no desea que esto suceda y estamos preparados para manipular las tablas de sus clientes de enrutamiento manualmente DETRS DE LAS REDES DE LOS CLIENTES - slo es necesario si desea utilizar esta cuenta como cliente en una configuracin de puerta de enlace a puerta de enlace: entrar en las redes detrs de este cliente que le gusta empujar a los otros clientes ENVA TAN SOLO ESTAS REDES - Aade tu propia red de rutas para ser empujado al cliente aqu (anula de forma automtica todas las rutas de difusin)

Configuracin de instalacin automtica personalizada

DIRECCIONES IP ESTTICAS - Normalmente, las direcciones IP dinmicas son asignadas a los clientes, se puede reemplazar esto aqu y asignar una direccin esttica EMPUJAR A ESTOS SERVIDORES DE NOMBRES - asignar los servidores de nombres en una base por cliente aqu EMPUJE DE DOMINIO - asignar dominios de bsqueda en una base por cliente aqu En todos estos campos, direcciones y redes debe ser dada en la notacin CIDR (por ejemplo 192.168.0.0/24). Haga clic en el GUARDAR para guardar la configuracin de la cuenta. Usted puede en cualquier momento, activar / desactivar, editar o borrar cuentas, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior).

Si usted est planeando tener dos o ms sucursales conectadas a travs de una VPN de puerta de enlace a puerta de enlace es un buen consejo para elegir diferentes subredes de la LAN en las diferentes ramas. Por ejemplo, una rama puede tener un verde zona con el 192.168.1.0/24 subred, mientras que la otra rama utiliza 192.168.2.0/24 . De esta manera, las rutas correctas se le asignar de forma totalmente automtica y no tener que lidiar con empujar rutas personalizadas.

Avanzado Utilice este panel para cambiar la configuracin avanzada. Entre otras cosas, autenticacin basada en certificados (en lugar de basado en contraseas) se puede configurar en esta seccin. La primera seccin tiene algunas configuraciones estndar en relacin con el servidor: PUERTO / PROTOCOLO - puerto 1194 / UDP es la configuracin por defecto de OpenVPN. Es una buena idea mantener estos valores como lo son - si usted necesita para hacer accesible a travs de OpenVPN otros puertos (posiblemente ms de uno), puede utilizar el reenvo de puertos (ver CORTAFUEGOS , REENVO DE PUERTOS ). Un caso de uso para la configuracin de TCP como

el protocolo es cuando se quiere acceder al servidor OpenVPN a travs de un proxy HTTP de terceros. BLOQUEAR LAS RESPUESTAS DHCP PROCEDENTES - comprobar esto si usted est recibiendo las
DEL TNEL

respuestas DHCP de la LAN en el otro lado del tnel VPN que estn en conflicto con el servidor DHCP

NO BLOQUEAR EL TRFICO - el valor por defecto es aislar a los clientes entre

ENTRE LOS CLIENTES

s, comprobar esta opcin si desea permitir el trfico entre los diferentes clientes VPN

En la segunda seccin se pueden cambiar las opciones de presin mundial. IMPULSAR ESTAS REDES - si est habilitado, las rutas a las redes especificadas son empujados a los clientes conectados EMPUJAR A ESTOS SERVIDORES DE NOMBRES - si est habilitado, el especificado servidores de nombres son empujados a los clientes conectados EMPUJE DE DOMINIO - si est habilitado, los dominios de bsqueda especificados son empujados a los clientes conectados Todas las direcciones y las direcciones de red se debe dar en la notacin CIDR (tales como 192.168.0.0/24). La tercera seccin le permite especificar el mtodo de autenticacin:

Endian Firewall mtodo 's por defecto es PSK (nombre de usuario / contrasea) . Si desea utilizar
este mtodo, usted no tiene que cambiar los ajustes. La
DESCARGA DE CERTIFICADOS DE CA

enlace le permite descargar el certificado para el servidor

OpenVPN en que sea necesario por los clientes (este es el certificado pblico, que se utiliza para verificar la autenticidad del servidor). Adems, el CA EXPORTAR COMO ARCHIVO PKCS # 12 enlace le permite descargar el certificado en formato PKCS # 12 (mantener en privado!), que se pueden importar a cualquier servidor OpenVPN que desea utilizar como servidor de otoo. Por ltimo, si este sistema es un sistema de repliegue, se puede cargar el archivo PKCS # 12 que ha exportado desde el servidor principal (dejar en "password Challenge" vaca si el archivo proviene de una Endian Firewall ). Si prefiere utilizar un X.509 basados en certificados mtodo aqu (ya sea slo o certificado de licencia ms contrasea), las cosas se ponen un poco ms complicado. Se supone (y necesario) que se utiliza una autoridad de certificacin independiente (CA) para este propsito. No es ni posible ni deseada para acoger una autoridad de certificados en Endian Firewall .

Es necesario generar y firmar certificados para el servidor y para cada cliente con su entidad emisora de certificados. El tipo de certificados se debe especificar explcitamente y ser uno de "servidor" y "cliente" ("certificado de Netscape type"). El archivo de certificado de servidor en formato PKCS # 12, debern introducirse en esta seccin (especificar el "password Challenge" Si ha facilitado un certificado a la autoridad antes o durante la creacin del certificado).

Los certificados de cliente deben tener los campos de nombre comn igual a su nombre de usuario OpenVPN. Cuidado: si el uso de certificados de autenticacin de slo un cliente que tiene un certificado vlido puede conectarse incluso si no hay ninguna cuenta de usuario correspondiente OpenVPN!

Tambin puede cargar una lista de revocacin, en caso de que perdi un certificado de cliente y por lo tanto lo han revocado en su CA. VPN cliente de descarga Haga clic en el enlace para descargar el cliente de VPN Endian para Microsoft Windows, MacOS X y Linux de Red Endian .

OpenVPN cliente (Gw2Gw)

Seleccione VPN de la barra de men en la parte superior de la pantalla, a continuacin, seleccione
EL CLIENTE

OPENVPN (GW2GW) en el submen en el lado izquierdo de la pantalla.

En esta seccin puede configurar el cliente de una conexin de puerta de enlace a puerta de enlace VPN. Haga clic en AGREGAR CONFIGURACIN DEL TNEL para introducir informacin sobre el servidor OpenVPN que desea conectarse (no puede haber ms de uno): NOMBRE DE CONEXIN - slo una etiqueta para esta conexin CONECTARSE A - el servidor OpenVPN remoto nombre de dominio completo y el puerto (por ejemplo, efw.example.com: puerto ) el puerto es opcional y por defecto 1194 SUBIR CERTIFICADO - si el servidor est configurado para utilizar autenticacin PSK (clave / usuario), debe cargar el certificado del servidor host (el que recibe de la DESCARGA DEL CERTIFICADO CA enlace en el servidor). De lo contrario, si utiliza la autenticacin basada en certificados, debe

cargar el servidor de archivo PKCS # 12 (se puede obtener de la CA DE EXPORTACIN COMO

ARCHIVO

PKCS # 12 enlace en el servidor

(seccin avanzada del submen OpenVPN). PKCS # 12 CONTRASEA RETO - especificar el "password Challenge" Si ha facilitado un certificado a la autoridad antes o durante la creacin del certificado de NOMBRE DE USUARIO / CONTRASEA - si el servidor est configurado para utilizar autenticacin PSK (clave / usuario) o un certificado de autenticacin de contrasea, adems, dar el nombre de usuario y la contrasea de la cuenta del servidor OpenVPN aqu OBSERVACIN - tu comentario Haga clic en CONFIGURACIN AVANZADA DEL TNEL para ver ms opciones: RESERVA SERVIDORES VPN - especificar uno o ms (una por lnea) de los servidores de reserva OpenVPN en forma efw.example.com: puerto (el puerto es opcional y por defecto 1194). Si la conexin al servidor principal falla, un servidor de reserva se har cargo. TIPO DE CONEXIN - "Derrotado" (el firewall del cliente acta como una puerta de acceso a la LAN remota) o "puente" (como si el firewall del cliente era parte de la LAN remota). Por defecto es "derrotado". BLOQUEAR LAS RESPUESTAS DHCP PROCEDENTES DE TNEL - comprobar esto si vas a encontrar las respuestas DHCP de la LAN en el otro lado del tnel VPN que estn en conflicto con su servidor DHCP NAT - Seleccione esta opcin si desea ocultar los clientes conectados a travs de este Endian Firewall detrs de la direccin del servidor de seguridad IP VPN. Si lo hace, evitar peticiones de conexin a sus clientes. PROTOCOLO - UDP (por defecto) o TCP. Se establece en TCP si desea utilizar un servidor proxy HTTP (siguiente opcin). PROXY HTTP - si su Endian Firewall puede acceder a Internet slo a travs de un proxy HTTP aguas arriba todava es posible utilizarlo como un cliente OpenVPN en una configuracin de puerta de enlace a puerta de enlace. Sin embargo, debe

utilizar el protocolo TCP para OpenVPN en ambos lados. Rellene la informacin de la cuenta de proxy HTTP en estos campos de texto: HOST PROXY (como proxy.example.com: puerto , donde puerto por defecto a 8080),
NOMBRE DE USUARIO

CONTRASEA

. Usted puede incluso

utilizar una cadena de agente de usuario forjado si quiere camuflar su Endian Firewall , un navegador web normal. Haga clic en el GUARDAR para guardar la configuracin del tnel. Usted puede en cualquier momento, activar / desactivar, editar o borrar los tneles de la lista, haga clic en el icono correspondiente en la parte derecha de la tabla (ver el icono de la leyenda en la parte inferior).

IPsec
Seleccione VPN de la barra de men en la parte superior de la pantalla, a continuacin, seleccione IPSEC en el submen en el lado izquierdo de la pantalla.

IPsec (IP Security) es una solucin genrica estndar VPN. A diferencia de cifrado y la autenticacin de OpenVPN se ha hecho en la capa 3 OSI como una extensin del protocolo IP. Por lo tanto IPsec debe ser implementado en la pila IP que forma parte del ncleo. Desde IPSec es un protocolo estandarizado que es compatible con la mayora de los proveedores que implementan IPsec. En comparacin a la configuracin de OpenVPN IPsec y la administracin suele ser bastante difcil debido a su complejidad. Debido a su diseo algunos casos son incluso imposible de manejar, mientras que los que funcionan bien con OpenVPN, especialmente si usted tiene que lidiar con NAT. Sin embargo, Endian Firewall implementa un interfaz fcil de usar que soporta la administracin de los diferentes mtodos de autenticacin. Le recomendamos que utilice IPSec slo si es necesario con fines de interoperabilidad por. Uso OpenVPN donde pueda, sobre todo si tienes que trabajar con NAT.

En la CONFIGURACIN GLOBAL seccin puede configurar los principales parmetros para la configuracin de IPsec. Los valores que puede establecer son los siguientes: LOCAL VPN HOST / IP - Aqu puede introducir la direccin IP externa (o un nombre de dominio completo) de su servidor IPsec. ACTIVADO - Al marcar esta casilla de verificacin que permitan IPsec. VPN EN ORANGE - Si esta opcin est activada, es posible que un usuario para conectarse a la VPN de la NARANJA zona. VPN EN AZUL - Si esta opcin est activada, es posible que un usuario para conectarse a la VPN de la BLUE zona. ANULAR POR DEFECTO MTU - Si desea reemplazar la unidad de transmisin mxima por defecto se puede especificar las nuevo valor aqu. Por lo general, esto no es necesario. OPCIONES DE DEPURACIN - Marcando casillas de verificacin en esta seccin se incrementar la cantidad de datos que se registran en / var / log / messages . En el ESTADO DE LA CONEXIN Y EL CONTROL DE la seccin se puede ver una lista de cuentas y su estado de conexin. La lista muestra NOMBRE , TIPO , NOMBRE COMN , OBSERVACIN y ESTADO de cada conexin. Al hacer clic en los iconos de las ACCIONES DE la columna que puede realizar varias acciones como se describe en el icono de la leyenda debajo de la lista. Usted puede agregar una conexin haciendo clic en el AGREGAR botn. Se abrir una pgina y se puede elegir si desea aadir un HOST A RED DE RED PRIVADA VIRTUAL o NET-A-NET RED PRIVADA VIRTUAL . Enve su eleccin haciendo clic en el AGREGAR botn. En la pgina siguiente se puede especificar los detalles de esta conexin (tambin ver esta pgina durante la edicin de una conexin ya existente). Puede configurar los parmetros de red en la primera seccin de la pgina: NOMBRE - el nombre de esta conexin ACTIVADO - si se activa, esta conexin est habilitada INTERFAZ - esto slo est disponible para el host-a-red de conexiones y especifica que la interfaz del host se conecta SUBRED LOCAL - la subred local en la notacin CIDR, por ejemplo, 192.168.15.0/24 ID LOCAL - un identificador para el equipo local de la conexin HOST REMOTO / IP - el dominio IP o el nombre totalmente cualificado del host remoto SUBRED REMOTA - esto slo est disponible para la red a la red de

conexiones y especifica la subred remota en la notacin CIDR, por ejemplo, 192.168.16.0/24 ID REMOTO - una identificacin de la mquina remota de esta conexin COMPAEROS MUERTOS ACCIN DE DETECCIN - qu accin debe llevarse a cabo si un compaero se desconecta OBSERVACIN - una observacin que puede configurar para recordar el propsito de esta conexin despus EDITAR LA CONFIGURACIN AVANZADA - Marque esta casilla si desea editar las configuraciones ms avanzadas En la AUTENTICACIN seccin puede configurar cmo se maneja la autenticacin. UTILIZAR UNA CLAVE PRE-COMPARTIDA - Escriba una frase que se utiliza para autenticar al otro lado del tnel. Elija esta opcin si desea un simple Net-a-Net VPN. Tambin puede utilizar PSKs mientras que la experimentacin en la creacin de una VPN. No utilice para autenticar PSKs de host-a-Net conexiones. SUBIR UNA SOLICITUD DE CERTIFICADO - Algunas implementaciones de usuario remoto IPSec no tienen su propia CA. Si desea utilizar IPSec incorporada en el CA, que puede generar lo que una solicitud de certificado de llamada. Este parcial X.509 certificado deber estar firmado por una CA. Durante la solicitud de certificado de carga, la solicitud est firmada y el nuevo certificado estar disponible en la pgina web principal de la VPN. SUBIR UN CERTIFICADO - En este caso, el IPSec pares tiene un CA disponibles para su uso. Tanto el certificado de pares de la CA y el certificado de acogida deben ser incluidos en el archivo cargado. SUBIR ARCHIVO PKCS12 - CONTRASEA DEL ARCHIVO - Elija esta opcin para cargar un archivo PKCS12 PKCS12. Si el archivo est protegido por una contrasea que debe introducir la contrasea en el campo de texto debajo del campo de seleccin de archivos. GENERAR UN CERTIFICADO - Tambin puede crear un nuevo certificado X.509. En este caso, completar los campos obligatorios. Los campos opcionales se indican con puntos rojos. Si el certificado es para una conexin de red a red, el
NOMBRE COMPLETO DEL USUARIO O NOMBRE DE HOST DEL SISTEMA

de

campo debe contener el nombre de dominio completo de los pares. Los campos del archivo

PKCS12 Contrasea garantizar que los certificados de acogida generada no puede ser interceptado mientras se transmite a los pares IPSec. Si usted ha elegido para editar la configuracin avanzada de esta conexin, una nueva pgina se abrir despus de golpear el GUARDAR botn. En esta pgina se puede establecer LA CONFIGURACIN
AVANZADA DE CONEXIN

. Los usuarios sin experiencia no debe cambiar la configuracin aqu: IKE CIFRADO - Aqu usted puede especificar qu mtodos de encriptacin debe ser apoyada por IKE (Internet Key Exchange). IKE INTEGRIDAD - Aqu puedes especifquese qu algoritmos deben ser apoyados para comprobar la integridad de los paquetes. IKE TIPO DE GRUPO - Aqu puede especificar el tipo de grupo IKE. IKE DE POR VIDA - Aqu usted puede especificar el tiempo que los paquetes IKE son vlidos. ESP CIFRADO - Aqu usted puede especificar qu mtodos de encriptacin debe ser apoyada por ESP (Encapsulating Security Payload). ESP INTEGRIDAD - Aqu puede especificar los algoritmos deben ser apoyados para comprobar la integridad de los paquetes. ESP TIPO DE GRUPO - Aqu puede especificar el tipo de grupo ESP. ESP CLAVE DE POR VIDA - Aqu puede especificar la duracin de una clave ESP debe ser vlida.

IKE AGRESIVO MODO DE PERMITIR - Marque esta casilla si desea activar el modo agresivo de IKE. Se le recomienda no hacerlo. CONFIDENCIALIDAD DIRECTA PERFECTA - Si se selecciona esta casilla confidencialidad directa perfecta est activado. NEGOCIAR LA COMPRESIN DE LA CARGA TIL - Marque esta casilla si desea utilizar la compresin de la carga til. Finalmente guardar la configuracin haciendo clic en el GUARDAR botn. De vuelta en el principal IPSEC pgina se pueden generar nuevos certificados existentes y cargar certificados de CA en el CERTIFICADO DE LAS AUTORIDADES DE la seccin. Para cargar un nuevo certificado tiene que proporcionar un nombre en el
NOMBRE DE LA

CA de

campo. Continuacin, haga clic en Examinar y seleccionar el archivo de certificado antes de hacer clic en el CERTIFICADO DE CA SUBIR botn. Para generar nuevas races y certificados de host basta con hacer clic en la GENERACIN DE LA RAZ / HOST CERTIFICADOS botn. Usted ver una nueva pgina donde se puede introducir la informacin requerida. Si ya ha creado los certificados y desea crear un nuevo certificado deber hacer clic en

el

RESTABLECIMIENTO

botn. Tenga en cuenta que al hacer esto no slo los certificados, sino tambin

las conexiones basadas en certificado sern borrados. Si desea generar nuevas races y los certificados de acogida alguna informacin tiene que ser ingresado. Los campos se describen a continuacin: NOMBRE DE LA ORGANIZACIN - El nombre de la organizacin que desea utilizar en el certificado. Por ejemplo, si su VPN es atando las escuelas en un distrito escolar, usted puede desear utilizar algo as como "Algunos Distrito Escolar." SERVIDOR DE SEGURIDAD DE HOST ENDIAN - Esto se utiliza para identificar el certificado. Utilice un nombre de dominio completo o el firewall de RED direccin IP. SU DIRECCIN DE CORREO ELECTRNICO - Aqu puede introducir su direccin de correo electrnico. SU DEPARTAMENTO DE - Aqu puede introducir un nombre de departamento. CIUDAD - Aqu puede introducir el nombre de tu pueblo o tu ciudad. ESTADO O PROVINCIA - Aqu puede introducir el nombre del estado o provincia en la que viven pulg PAS - Seleccione su pas aqu. NOMBRE ALTERNATIVO DEL ASUNTO - Aqu puede especificar un nombre alternativo para la identificacin. Los certificados se crean despus de hacer clic en la GENERACIN DE LA RAZ / HOST CERTIFICADOS botn. Si ya ha creado certificado en otro lugar antes que usted puede cargar un archivo PKCS12 en la parte inferior de la pgina en lugar de generar nuevos certificados. SUBIR ARCHIVO PKCS12 - Abra el dilogo de seleccin de archivo y seleccione el archivo PKCS12 aqu. PKCS12 CONTRASEA DEL ARCHIVO - Si el archivo est protegido con contrasea que deber introducir la contrasea. Usted puede cargar el archivo haciendo clic en el
ARCHIVO A SUBIR PKCS12

botn.

La creacin de una VPN Net-to-Net con IPsec mediante la autenticacin de certificado Tenemos dos firewalls A y B, donde un firewall es nuestra autoridad de certificacin. cortafuegos A - RED IP: 123.123.123.123, VERDE IP: 192.168.15.1/24

firewall B - RED IP: 124.124.124.124, VERDE IP: 192.168.16.1/24 Los siguientes pasos deben realizarse en un servidor de seguridad: - En el VPN , IPSEC men PERMITE especificar IPsec y 123.123.123.123 como LOCAL VPN HOST / IP . - Despus de guardar haga clic en la GENERACIN DE HOST / CERTIFICADOS RAZ DE CA tecla (a menos que ya genera estos certificados antes) y compilar el formulario. Descargar el certificado de host y guardarlo como fw_a_cert.pem. - En el ESTADO DE LA CONEXIN Y EL CONTROL , haga clic en la seccin AADIR botn . - Seleccione Net-a-Net. Ingrese 124.124.124.124 en el REMOTO HOST / IP de campo, 192.168.15.0/24 como SUBRED
LOCAL REMOTA

y192.168.16.0/24 como SUBRED . - En la AUTENTICACIN DE la seccin

seleccione CREAR UN CERTIFICADO y Llene el formulario, asegrese de establecer una contrasea. - Despus de guardar, descargue el archivo PKCS12 y guardarlo como fw_a.p12 . Los siguientes pasos tienen que ser realizados en el cortafuegos B: - En el VPN , IPSEC men PERMITE especificar IPsec y 124.124 .124.124 como
LOCAL VPN HOST

IP . - Despus de guardar, haga clic en la GENERACIN DE HOST / CERTIFICADOS RAZ DE CA tecla (si ya les gener anteriormente debe RESTABLECER los certificados anteriores). No compilar nada en la primera parte! En cambio subir el fw_a.p12 archivo y escriba la contrasea que estableci en el firewall A. - Haga clic en AGREGAR en el ESTADO DE LA CONEXIN Y EL la seccin. - Seleccione la red a la red. - Ingrese 123.123.123.123 en el REMOTO
CONTROL DE

/ IP de campo,192.168.16.0/24 como
HOST LOCAL

SUBRED

y 192.168.15.0/24 como SUBRED REMOTA . - Seleccione SUBIR UN CERTIFICADO y subir el fw_a_cert.pem que ha creado el firewall A.

Captulo 8: El men de Hotspot

Seleccione HOTSPOT de la barra de men en la parte superior de la pantalla. Endian Hotspot es un punto de acceso de gran alcance que pueden ser utilizados para las conexiones inalmbricas, as como para las conexiones LAN cableada. Portal cautivo de la zona activa se captura de todas las conexiones que pasa a travs de la BLUE zona, sin importar el dispositivo que proceden. Por lo tanto el punto de acceso no funciona si el BLUE zona est desactivado. El punto de acceso puede ser activado o desactivado, haga clic en el interruptor principal en esta pgina. Si el punto de acceso est habilitado un enlace a su interfaz de administracin se muestra. Al hacer clic en el enlace se abre una nueva ventana con la interfaz de administracin de punto de acceso. A pesar de esta interfaz comparte su diseo con el firewall, que contiene toda una estructura de men nuevo.

HOTSPOT - gestin de cuentas y billetes, las estadsticas y los ajustes DIALIN - Estado actual de la conexin de los enlaces ascendentes CONTRASEA - cambiar la contrasea del usuario de hotspot SITIOS PERMITIDOS - los sitios que se puede acceder sin conexin

Hotspot
Esta seccin incluye las subpginas para gestionar las cuentas, los billetes y tarifas de los. Las estadsticas pueden ser vistos, as como las conexiones actuales y anteriores. Por ltimo, es posible cambiar la configuracin del punto de acceso est aqu. Cuentas En esta pgina se puede administrar cuentas de usuario. Por defecto una lista de cuentas disponibles. Esta lista se puede ordenar por nombre de usuario / MAC , nombre , fecha de creacin o de la fecha hasta la cual la cuenta de usuario vlida. Tambin es posible invertir el orden de verificacin ORDEN INVERSO y para OCULTAR LAS CUENTAS DESHABILITADAS , as como a la BSQUEDA de las cuentas. Paginacin tambin es posible si el nmero de resultados es superior al nmero de resultados por pgina que se ha definido en HOTSPOT ,CONFIGURACIN . Cada usuario puede editar haciendo clic en el EDITAR enlace en su fila (para ms detalles ver HOTSPOT , CUENTAS , AGREGAR NUEVA CUENTA ). Las entradas se pueden aadir a las cuentas haciendo clic en el TICKET AADIR enlace. Tambin es posible consultar el saldo y el registro de conexin de una cuenta haciendo clic en el
BALANCE

y CONEXIONES DE enlaces, respectivamente.

Agregar una nueva cuenta

En esta pgina usted puede crear una nueva cuenta o una cuenta existente se puede modificar. La informacin se divide en dos partes: la informacin de acceso y la informacin de la cuenta . Para crear una cuenta que usted puede llenar los siguientes campos: INFORMACIN DE ACCESO

NOMBRE DE USUARIO - En este campo tiene que introducir el nombre de usuario. CONTRASEA - En este campo se puede introducir la contrasea para la cuenta nueva. Si usted no tiene tiempo para pensar en una contrasea adecuada deje este campo vaco y la contrasea generada automticamente ser. VLIDO HASTA EL - La fecha hasta que la cuenta ser vlida. Si desea cambiarlo puede introducir la nueva fecha de forma manual o haga clic en el ... y seleccione la nueva fecha del calendario emergente. ACTIVO? - Esta casilla de verificacin especifica si la cuenta est activada o no. Si esto est marcado en la cuenta est activa. Si desea desactivar un usuario marque esta casilla fuera. LENGUA - Aqu puede seleccionar el idioma nativo del usuario si est disponible. De lo contrario Ingls debe ser una buena opcin. ANCHO DE BANDA DE LIMITAR - Si usted no desea usar valores por defecto que puede marcar la casilla de verificacin y especifique un lmite de carga y descarga de la cuenta en kb / s. DIRECCIN IP ESTTICA - Si desea que esta cuenta para utilizar siempre la misma direccin IP puede marcar esta casilla y escriba la direccin IP que desee.

INFORMACIN DE LA CUENTA TTULO - La persona de ttulo (por ejemplo, la seora, el doctor) NOMBRE - El primer nombre del usuario. APELLIDO - El apellido del usuario. PAS - El pas que el usuario viene. CIUDAD - La ciudad o el pueblo que el usuario viene.

ZIP - La postal de la ciudad natal del usuario. CALLE - La calle en la que el usuario tenga su domicilio. CIUDAD DE NACIMIENTO - La ciudad o localidad en la que el usuario haba nacido. FECHA DE NACIMIENTO - La fecha de nacimiento del usuario. DOCUMENTO DE IDENTIDAD - El ID del documento que se ha utilizado para identificar al usuario. TIPO DE DOCUMENTO - El tipo de documento que se ha utilizado para identificar al usuario. DOCUMENTO EXPEDIDO POR - El emisor del documento (por ejemplo, la ciudad de Nueva York) DESCRIPCIN - Adicionales para la descripcin de la cuenta.

La informacin de la cuenta se almacena haciendo clic en el GUARDAR botn debajo del formulario. Cuando se edita un usuario existente, tambin es posible imprimir la informacin del usuario al hacer clic en la IMPRESIN botn. En la parte derecha de la pantalla te dars cuenta de la seccin de entradas. Si quiere aadir un nuevo ticket para el usuario slo tiene que seleccionar la adecuada entrada de tipo y pulse el AGREGAR botn. A continuacin se dar cuenta de una lista de todas las entradas para este usuario con la siguiente informacin: TIPO DE ENTRADAS - El tipo de billete FECHA - La fecha en que se ha creado el billete ACCIN - Si el billete no se ha utilizado usted ser capaz de ELIMINAR aqu haciendo clic en el enlace correspondiente.

Aadir basada en MAC cuenta

Esta pgina se utiliza igual que el HOTSPOT , CUENTAS , AGREGAR NUEVA CUENTA la pgina. La nica diferencia es que para este tipo de cuentas de usuario y la contrasea no son necesarios. En cambio, la DIRECCIN MAC de la interfaz de red de un ordenador se introduce y se utilizar para identificar la cuenta.

Cuentas de las importaciones

Es posible importar las cuentas de un archivo CSV (valores separados por comas) archivo. Al hacer clic en la CONSULTA .. botn de un cuadro de dilogo de seleccin de archivos se abre. Despus de

haber seleccionado el archivo se puede especificar si

LOS TTULOS DE LAS COLUMNAS

LA PRIMERA LNEA DEL ARCHIVO

CSV CONTIENE

agregar un

DELIMITADOR

, marcando o no marcando la casilla de verificacin. Tambin debe en el campo correspondiente. Por lo general, un delimitador puede ser un

punto y coma (;) o una coma (,). Si no se especifica ningn delimitador, el sistema automticamente tratar de averiguar qu personaje ha sido utilizado como delimitador. A fin de importar el archivo CSV debe hacer clic en la CUENTA DE IMPORTACIN. botn.

Cuentas de exportacin en formato CSV

Al hacer clic en este enlace un dilogo de descarga se abrir. La descarga es un archivo CSV que contiene todos los datos de la cuenta y posteriormente puede volver a importar desde el HOTSPOT , CUENTAS , IMPORTAR CUENTAS DE la pgina. Venta de entradas rpidas En esta pgina usted puede crear una nueva cuenta de usuario con un billete de su eleccin ya est asignado. El nombre de usuario y contrasea se genera automticamente. Todo lo que tienes que hacer clic sobre el tipo de billete que desea utilizar y el usuario ser creada. El NOMBRE DE USUARIO , CONTRASEA y TASA luego se muestran en la pantalla. Tambin es posible imprimir esta informacin haciendo clic en la INFORMACIN DE IMPRESIN botn. Tarifas de los Endian Firewall le da la posibilidad de especificar ms de un tipo de billete. Incluso se puede especificar si desea una tasa que se pospago o prepago. Tambin es posible crear diferentes tarifas para los dos tipos. Esto es til si usted quiere vender diferentes tipos de prepago por ejemplo, 4 prepago billetes de 15 minutos debe ser ms caro que un billete de prepago de 1 hora. Al abrir la pgina de una lista con todas las tarifas de los definidos se muestra. En esta lista se puede ver la tarifas de los diferentes, los siguientes son las columnas: NOMBRE - El nombre que le dio a la tasa de entrada. CDIGO - Este es el cdigo de ASA para la tasa de entrada. Aunque esto puede ser utilizado slo para el sistema de gestin de ASA del hotel el campo es obligatorio. PRECIO POR HORA - Este es el precio por hora que ha especificado. ACCIONES - Aqu se puede elegir de editar o borrar un tipo de ticket haciendo clic en el enlace correspondiente.

Al editar o aadir un tipo de billete de la TASA DE NOMBRE ,

MINUTOS UNIDAD

CDIGO DE TARIFA

(ASA),

LA

UNIDAD DE

(duracin de una unidad de esta tasa en cuestin de minutos) y el PRECIO POR HORA DE ESTA tiene que ser especificado. Para guardar la tasa de clics del boleto en elGUARDAR botn.

El precio por unidad se calcula a partir de minutos la unidad y el precio por hora.

Estadstica En esta pgina usted puede ver las estadsticas sobre el uso de punto de acceso y la informacin contable.

Perodo de filtro
Este es el punto de vista estndar. Muestra una lista de cuentas y los siguientes datos para cada cuenta: NOMBRE DE USUARIO - El nombre de usuario o MAC de la cuenta. CANTIDAD QUE SE UTILIZA - La cantidad de dinero que ha sido utilizado por esta cuenta. PAGADO - El dinero que este usuario ya ha pagado. DURACIN - La duracin que este usuario se ha conectado a la zona activa. TRFICO - El trfico que ha sido creado por esta cuenta.

En la parte inferior de la pgina un resumen sobre todas las cuentas se muestra. En la parte superior de la pgina es posible entrar en un inicio y una fecha final. Al entrar en estas fechas en el DE y filtro de botn de la pgina se volver a cargar con las estadsticas entre estas dos fechas solamente. Al hacer clic en un nombre de usuario abre una pgina con detalles sobre las conexiones no remunerado de este usuario. Si un usuario paga, es suficiente para entrar en la cantidad de dinero que pag a la CANTIDAD de campo y haga clic en el PROYECTO DE LEY botn.Tambin es posible imprimir estos datos haciendo clic en el >> IMPRIMIR> botn.

Partidas abiertas de Contabilidad

Esta pgina muestra una lista de las estadsticas, como HOTSPOT , ESTADSTICAS , PERODOS DE FILTRO , pero con una columna adicional. El MONTO A PAGAR columna muestra la cantidad de dinero para cada cuenta de que no ha sido pagado todava. Conexiones activas En esta pgina usted puede ver todas las conexiones activas en la zona activa. La lista contiene las siguientes columnas: NOMBRE DE USUARIO - El nombre de usuario de la cuenta de conexin. DESCRIPCIN - La descripcin de la cuenta de conexin.

AUTENTICADO - Muestra si la conexin se autentica o no. DURACIN - La cantidad de tiempo ya que esta conexin ha sido establecida. TIEMPO MUERTO - La cantidad de tiempo que la cuenta se ha conectado sin los paquetes de esta cuenta pasa a travs del punto de acceso. DIRECCIN IP - La direccin IP que se conecta a la zona activa. MAC ADDRESS - La direccin MAC de la interfaz conectada. ACCIN - Cada conexin activa se puede cerrar haciendo clic en el CIERRE enlace de esta columna.

Registro de conexin En esta pgina se puede ver y filtrar las conexiones anteriores. Al igual que en la ZONA ACTIVA , CONEXIONES ACTIVAS pgina de la lista contiene varias columnas. Las columnas son las siguientes: NOMBRE DE USUARIO - El nombre de usuario de la conexin. DIRECCIN IP - La direccin IP que se utiliza para la conexin. MAC ADDRESS - La direccin MAC de la interfaz conectada. INICIO DE CONEXIN - La hora de inicio de la conexin. DETENER LA CONEXIN - La hora de finalizacin de la conexin. DESCARGAR - La cantidad de datos que se ha descargado en este sentido. SUBIR - La cantidad de datos que se ha cargado en este sentido. DURACIN - La duracin de la conexin.

La lista se puede ordenar por cualquiera de estas columnas, seleccionando la opcin correspondiente de la ORDENAR POR cuadro de seleccin. El orden puede ser revertida mediante una cruz en el ORDEN INVERSO casilla de verificacin. Tambin es posible filtrar las conexiones mediante la introduccin de una FECHA DE INICIO o una clic en el FILTRO DE botn.
FECHA DE FINALIZACIN

en los campos respectivos una continuacin, hacer

CONFIGURACIN

Si hay ms resultados que los especificados en HOTSPOT ,

se encuentran, la

paginacin est habilitada y puede navegar a travs de las pginas haciendo clic en el
LUGAR

PRIMER

ANTERIOR

SIGUIENTE

LTIMO

enlace de arriba de la lista.

Exportar como CSV

Los registros de conexin se puede descargar haciendo clic en el EXPORTAR COMO CSV enlace. La descarga est en formato CSV y contiene toda la informacin pertinente. Configuracin En esta pgina se puede cambiar la configuracin de la zona activa. La pgina contiene dos subpginas de SISTEMA y la configuracin en relacin con los diferentes IDIOMAS .

Sistema
Esta pgina consta de dos secciones. El inciso primero se llama CONFIGURACIN GLOBAL . Este apartado le permite definir los valores por defecto para las conexiones, as como para la interfaz de administracin. PGINA DE INICIO DESPUS DE LA CONEXIN CON XITO - Esto le permite especificar qu pgina debe abrirse despus de que un usuario ha accedido con xito. MONEDA - Aqu puede especificar el smbolo de su moneda. CERRAR SESIN DE USUARIO EN IDLE-TIMEOUT - En este desplegable se puede seleccionar despus de los minutos que un usuario se cerrar la sesin cuando est inactivo. POR DEFECTO DE POR VIDA CUENTA - Aqu puede introducir el nmero de das de una cuenta ser vlida por defecto. ARTCULOS POR PGINA - Este valor define el nmero de elementos se muestran en cada pgina en la interfaz de administracin de punto de acceso. ANCHO DE BANDA DE LIMITAR - Esta opcin le permite especificar el valor predeterminado de carga y descarga lmites por usuario en kb / s. Si estos campos estn vacos sin lmite se aplica.

El segundo apartado se denomina API ENDIAN HOTSPOT . Si desea integrar el punto de acceso de Endian Firewall en un sistema ya existente de los suyos, puede configurar los parmetros de aqu. MODO - Aqu puede elegir si su sistema utiliza Endian GENRICOS API / JSON interfaz o

el ASA JHOTEL interfaz. El ASA jHotel interfaz slo es necesario por los hoteles que utilizan el ASA hotel de jHotel software de gestin, mientras que la API genrica se puede implementar en otros sistemas de software. El resto de opciones dependen de la seleccin realizada aqu. API HABILITADO - Esta opcin slo est visible si ha elegido GENERIC API / JSON en la caja de seleccin anterior. La API est habilitado si esta casilla est marcada. CONTABILIDAD URL - Esta opcin slo est visible si ha elegido GENERIC API / JSON en la caja de seleccin anterior. El punto de acceso se enviar la informacin contable a esta URL. Si usted no desea que el punto de acceso para manejar la contabilidad puede dejar este campo vaco. URL DE CONTABILIDAD REQUIERE AUTENTICACIN HTTP - Esta opcin slo est visible si ha elegido GENERIC API / JSON en la caja de seleccin anterior. Si la URL proporcionada por encima requiere autenticacin HTTP debe marcar esta casilla. Dos campos de texto nuevo en el que podr introducir el NOMBRE DE USUARIO y CONTRASEA , respectivamente. ASA JHOTEL INTERFAZ HABILITADA - Esta opcin slo est visible si ha seleccionado ASA JHOTEL en la caja de seleccin anterior. Al marcar esta casilla se puede activar la interfaz de ASA jHotel. ASA JHOTEL URL - Esta opcin slo est visible si ha seleccionado ASA JHOTEL en la caja de seleccin anterior. Aqu puede introducir la URL de su interfaz de ASA jHotel. PERMITIR EL REGISTRO INVITADO (SELFSERVICE) - Esta opcin slo est visible si ha seleccionado ASA JHOTEL en la caja de seleccin anterior. Si los huspedes del hotel debe ser capaz de registrarse ellos mismos esta casilla tiene que estar marcada. REGISTRO DE HUSPEDES DE INCUMPLIMIENTO DE PAGO - Esta opcin slo est visible si ha seleccionado ASA JHOTEL en la caja de seleccin anterior. En esta caja de seleccin, puede seleccionar el tipo de defecto que se aplicarn a

las nuevas cuentas.

Finalmente las opciones se pueden guardar haciendo clic en el GUARDAR botn.

Idiomas
En esta pgina todas las opciones que dependen del idioma se puede configurar. En la primera seccin ( IDIOMAS ) de esta pgina es posible elegir la IDIOMAS para su punto de acceso. Los idiomas deben ser seleccionados en el cuadro de seleccin mltiple y se guarda luego haciendo clic en la TIENDA DE botn. En la segunda seccin (
BIENVENIDA PLANTILLAS

), es posible modificar las dos plantillas (

PGINA DE

IMPRESIN DE CUENTA

el

IDIOMA EDITAR

) para todos los idiomas. El idioma puede ser seleccionado en selectbox mientras que el tipo de plantilla se puede seleccionar en la PLANTILLA

DEcaja

de seleccin. La PGINA DE BIENVENIDA de plantilla se presenta al usuario antes de poder ingresar al mismo tiempo la IMPRESIN DE CUENTAS plantilla se imprime y se entrega a los usuarios despus de su registro. El contenido de las plantillas se pueden cambiar con la ayuda de un completo editor WYSIWYG (lo que ves es lo que obtienes) editor. En la CUENTA DE IMPRESIN de plantillas tambin se pueden utilizar marcadores de posicin que luego ser reemplazado con datos reales cuando un usuario est registrado. Las plantillas se pueden guardar haciendo clic en el
ALMACN

situado debajo de la editora.

En la tercera seccin se llama CUERDAS y contiene traducciones para las cadenas que se usan en la interfaz web de la zona activa. Las traducciones se pueden cambiar y las nuevas traducciones se puede aadir. Esto se hace seleccionando el idioma de la EDICIN IDIOMAselectbox y luego llenar los campos de texto. Las traducciones se guardan haciendo clic en la TIENDA DE botn.

CUENTA IMPRIMIR marcadores de posicin de plantilla: $ title - el ttulo de la titular de la cuenta $ nombre de pila - el nombre del titular de la cuenta $ apellido - el apellido del titular de la cuenta $ username - el nombre de usuario de la cuenta de $ contrasea - la contrasea de la cuenta

Dialin
En esta pgina se puede ver y administrar el estado de los enlaces ascendentes como en el SISTEMA , INICIO seccin.

Contrasea
En esta pgina usted puede cambiar la contrasea de la cuenta de hotspot. Slo tienes que introducir la contrasea en la CONTRASEA de campo y confirmar que en el NUEVO campo. La contrasea se guarda despus de golpear el GUARDAR botn.

Sitios permitidos
En esta pgina usted puede definir qu sitios deben ser accesibles sin que se haya autenticado. Tambin puede especificar si todas las direcciones IP deben ser capaces de conectar con el punto de acceso o simplemente IPs que pertenecen a la BLUE zona. Para permitir conexiones desde cualquier IP, es necesario marcar la casilla HABILITAR ANYIP casilla de verificacin. Los sitios que se puede acceder sin necesidad de autenticacin tienen que ser ingresados en el rea de texto a continuacin. Un sitio en cada lnea est permitido. Un sitio puede ser un nombre de dominio normal o una cadena de formato de protocolo: IP [/ mscara]: puerto , por ejemplo, www.endian.com o tcp: 192.168.20.0/24:

443 .
Los ajustes se guardan despus de hacer clic en el GUARDAR botn.

Captulo 9: El men de Registros

Seleccione
LOS REGISTROS DE

la barra de mens en la parte superior de la pantalla.

Endian Firewall mantiene registros de todas las actividades de firewall. Los registros pueden ser
visualizados y exportados desde esta seccin. La siguiente es una lista de enlaces que aparecen en el submen en el lado izquierdo de la pantalla:

EN VIVO - obtener una visin rpida, en vivo de las ltimas entradas de registro, ya que se estn generando RESUMEN - conseguir resmenes diarios de todos los registros (generado por logwatch) SISTEMA - los registros del sistema ( / var / log / messages ) filtrada por fuente y la fecha SERVICIO - los registros del sistema de deteccin de intrusos (IDS), OpenVPN y antivirus (ClamAV) FIREWALL - los registros de las reglas del cortafuegos IP PROXY - los registros del proxy HTTP, el proxy SMTP y el servidor proxy SIP CONFIGURACIN - especificar las opciones de registro, tales como el tiempo que los archivos de registro se debe mantener Cada enlace se explican por separado en las secciones siguientes.

En vivo
Seleccione LOS REGISTROS DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione EN VIVO desde el submen en el lado izquierdo de la pantalla. El visor de registro en vivo que muestra una lista de todos los archivos de registro que estn disponibles para su visualizacin en tiempo real. Usted puede seleccionar los registros que desea ver, marcando las casillas de verificacin. Despus de hacer clic en el MOSTRAR LOS REGISTROS SELECCIONADOS botn una nueva ventana con los registros seleccionados se abrir. Si desea abrir un archivo de registro que usted puede hacer clic en el MOSTRAR ESTE REGISTRO NICO eslabn en la fila respectiva. Esta nueva ventana contiene el visor principal registro en vivo. El espectador se configura en la parte superior de la pgina en la CONFIGURACIN . En el lado derecho de la lista de los registros que se muestran actualmente se muestra. En el lado izquierdo de algunos elementos adicionales de control se muestran. Estos elementos de control son los siguientes: FILTRO - Slo las entradas de registro que contienen la expresin en este campo se muestran. FILTRO ADICIONAL - Al igual que el filtro anterior. Slo que se aplica este filtro despus de que el primer filtro. PAUSA DE SALIDA - Al hacer clic en este botn para evitar nuevas entradas de registro que aparezca en el registro en vivo. Sin embargo, despus de hacer clic en el botn una vez ms todas las nuevas entradas aparecern a la vez. DESTACAR - Todas las entradas de registro que contiene esta expresin se puso de relieve en el color elegido. CON COLOR DE REALCE - Al hacer clic en el cuadro de color se puede elegir el color que se utilizar para poner de relieve. DESPLAZAMIENTO AUTOMTICO - Esta opcin slo est disponible si en el REGISTROS , CONFIGURACIN DE la seccin de ORDENAR EN ORDEN CRONOLGICO INVERSO se apaga. En este caso, las nuevas entradas se mostrar siempre en la parte inferior de la pgina. Si la casilla est marcada la barra de desplazamiento ser siempre en la parte inferior de las LOGS EN seccin. Si se trata de personas con discapacidad LOS REGISTROS EN VIVO seccin
VIVO

mostrar la misma entrada, no importa cuntas nuevas entradas se agregan en la parte inferior. Si desea mostrar otros archivos de registro se puede hacer clic en el MOSTRAR MS enlace justo debajo de la lista de archivos de registro que se muestran. Los controles sern reemplazados por una tabla en la que puede seleccionar los archivos de registro que desea ver, marcando o desmarcando

las casillas correspondientes. Si desea cambiar el color de un archivo de registro que usted puede hacer clic en la paleta de colores de este tipo de registro y luego elija un nuevo color. Para mostrar los controles de nuevo puede hacer clic en uno de los CERCA links debajo de la mesa y debajo de la lista de archivos de registro se muestra. Por ltimo, tambin puede aumentar o disminuir el tamao de la ventana haciendo clic en la AUMENTAR o
DISMINUIR LA ALTURA ALTURA

botones respectivamente.

Resumen
Seleccione LOS REGISTROS DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione RESUMEN del submen en la parte izquierda de la pantalla. En esta pgina usted puede ver su Endian Firewall resumen 's de registro. Los elementos de control estn disponibles las siguientes: MES - Aqu puede seleccionar el mes de la fecha en que se debe mostrar. DA - Aqu usted puede seleccionar el da de la fecha en que se debe mostrar. <</>> - Mediante el uso de estos controles se puede ir un da o retroceder en la historia. ACTUALIZACIN - Al hacer clic en este botn, el contenido de la pgina se actualizar. EXPORTACIN - Al hacer clic en este botn, se abre un archivo de texto plano con salida logwatches. Dependiendo de la configuracin en el REGISTRO DE RESMENES de la seccin REGISTROS , CONFIGURACIN DE la pgina ver un resultado ms o menos en esta pgina.

Sistema
Seleccione
LOS REGISTROS DE

la barra de mens en la parte superior de la pantalla, a continuacin,

seleccione SISTEMA en el submen en el lado izquierdo de la pantalla. En esta seccin se puede navegar a travs de los distintos archivos de registro del sistema. Puede buscar las entradas de registro en la CONFIGURACIN DE la seccin mediante el uso de los siguientes controles: SECCIN - Aqu se puede elegir el tipo de registros que desea mostrar. FILTRO - Slo las lneas que contienen esta expresin se muestran. SALTAR A LA FECHA - Muestra directamente las entradas del registro de esta fecha.

IR A LA PGINA - Muestra directamente las entradas del registro de esta pgina en su conjunto de resultados (la cantidad de entradas por pgina se muestran pueden ser configurados en el REGISTROS , CONFIGURACIN DE pgina). ACTUALIZACIN - Al hacer clic en este botn para realizar la bsqueda. EXPORTACIN - Al hacer clic en este botn para exportar las entradas de registro en un archivo de texto. Es posible ver las entradas antiguas y nuevas de los resultados de bsqueda haciendo clic en el ANTIGUO y NUEVOS botones de la derecha por encima de los resultados de bsqueda.

Servicio
Seleccione
LOS REGISTROS DE

la barra de mens en la parte superior de la pantalla, a continuacin,

seleccione SERVICIO en el submen en el lado izquierdo de la pantalla. Los registros de servicio que se puede ver aqu son las de los IDS (Intrusion Detection System), OPENVPN y CLAMAV . Todos estos sitios de registro comparten la misma funcionalidad: FILTRO - Slo las lneas que contienen esta expresin se muestran. SALTAR A LA FECHA - Muestra directamente las entradas del registro de esta fecha. IR A LA PGINA - Muestra directamente las entradas del registro de esta pgina en su conjunto de resultados (la cantidad de entradas por pgina se muestran pueden ser configurados en el REGISTROS , CONFIGURACIN DE pgina). ACTUALIZACIN - Al hacer clic en este botn para realizar la bsqueda. EXPORTACIN - Al hacer clic en este botn para exportar las entradas de registro en un archivo de texto. Es posible ver las entradas antiguas y nuevas de los resultados de bsqueda haciendo clic en el ANTIGUO y NUEVOS botones de la derecha por encima de los resultados de bsqueda.

Cortafuegos
Seleccione seleccione
LOS REGISTROS DE CORTAFUEGOS

la barra de mens en la parte superior de la pantalla, a continuacin,

en el submen en el lado izquierdo de la pantalla.

La bsqueda de registro de firewall se puede controlar, como la bsqueda de registros de servicio de REGISTROS , SERVICIO . Por favor refirase a la seccin para ms detalles.

Apoderado
Seleccione REGISTROS DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione PROXY en el submen en el lado izquierdo de la pantalla. HTTP FILTRO - Slo las lneas que contienen esta expresin se muestran. IP DE ORIGEN - Mostrar slo las entradas de registro de la IP de origen seleccionada. IGNORAR FILTRO - Las lneas que contienen esta expresin no se muestran. ACTIVAR IGNORAR FILTRO - Marque esta casilla si desea utilizar el filtro de ignorar. SALTAR A LA FECHA - Muestra directamente las entradas del registro de esta fecha. IR A LA PGINA - Muestra directamente las entradas del registro de esta pgina en su conjunto de resultados (la cantidad de entradas por pgina se muestran pueden ser configurados en el REGISTROS , CONFIGURACIN DE pgina). RESTAURAR VALORES PREDETERMINADOS - Al hacer clic en este botn para restaurar los parmetros de bsqueda por defecto. ACTUALIZACIN - Al hacer clic en este botn para realizar la bsqueda. EXPORTACIN - Al hacer clic en este botn para exportar las entradas de registro en un archivo de texto. Es posible ver las entradas antiguas y nuevas de los resultados de bsqueda haciendo clic en el ANTIGUO y NUEVOS botones de la derecha por encima de los resultados de bsqueda. Filtro de contenido El FILTRO DE CONTENIDO de bsqueda de registro de proxy puede ser controlado como puede ser la bsqueda de los registros de proxy http en LOS REGISTROS , PROXY , HTTP . Por favor refirase a la seccin para ms detalles. HTTP informe

En esta pgina usted puede activar el generador de anlisis del informe del proxy marcando la ACTIVAR casilla de verificacin y haga clic en GUARDAR despus. Una vez que el generador de informes est activada, puede hacer clic en el INFORME
DIARIO

INFORME SEMANAL

MENSUAL DE INFORME DE

los enlaces de los informes detallados de HTTP.

SMTP El SMTP Proxy bsqueda en el registro se puede controlar, como la bsqueda de registros de servicio de REGISTROS , SERVICIO . Por favor refirase a la seccin para ms detalles. SIP La SIP Proxy bsqueda en el registro se puede controlar, como la bsqueda de registros de servicio de REGISTROS , SERVICIO . Por favor refirase a la seccin para ms detalles.

Configuracin
Seleccione LOS REGISTROS DE la barra de mens en la parte superior de la pantalla, a continuacin, seleccione CONFIGURACIN en el submen en el lado izquierdo de la pantalla. En esta pgina usted puede aplicar una configuracin global para el registro de su Endian

Firewall . Las siguientes opciones se pueden configurar:

NMERO DE LNEAS PARA MOSTRAR - Esto define el nmero de lneas se muestran por pgina de inicio de sesin. CLASIFICAR EN ORDEN CRONOLGICO INVERSO - Si esta opcin est activada los resultados ms recientes se muestran primero. MANTENGA RESMENES DE __ DAS - Esto define por cuntos das resmenes de registros se deben almacenar. NIVEL DE DETALLE - Esto define el nivel de detalle del resumen del registro. HABILITADO (REGISTRO REMOTO) - Marque esta casilla si desea habilitar el registro remoto. SERVIDOR SYSLOG - As se especifica que los registros de servidor remoto ser enviado. El servidor debe soportar los ltimos estndares de IETF protocolo syslog. REGISTRAR LOS PAQUETES CON LA CONSTELACIN DE BAD DE - Si est activado el firewall de registro de los BANDERAS TCP paquetes con una mala constelacin TCP bandera (por ejemplo, todas las etiquetas estn definidas). REGISTRAR CONEXIONES NUEVA SIN SYN - Si est habilitado nuevas conexiones TCP SYN sin bandera se registrarn. REGISTRO ACEPTA LAS CONEXIONES SALIENTES - Si usted quiere registrar todas las conexiones salientes aceptado esta casilla debe estar

marcada. REGISTRO SE NEG PAQUETES - Si habilita esta paquetes se negaron a ser registrados por el firewall. Para guardar la configuracin, haga clic en el GUARDAR botn.