2.0 Использование удаленного интерфейса

Принцип работы системы удаленного управления межсетевым экраном Aker

Межсетевой экран Aker можно удаленно конфигурировать и администрировать с любого хоста; для этого хост должен иметь доступ к межсетевому экрану, работать под управлением операционной системы, для которой реализован удаленный интерфейс и поддерживать стек протоколов TCP/IP. Более того, удаленное управление предоставляет возможность менеджеру с одной рабочей станции контролировать и настраивать несколько межсетевых экранов .

Удаленное управление позволяет сберечь ресурсы, поскольку хост с работающим межсетевым экраном теперь не нуждается в мониторе и других внешних устройствах.

Каким образом Aker обеспечивает удаленное управление?

Для поддержки удаленного управления на межсетевом экране запускается процесс, обеспечивающий установление соединения, проверку прав пользователей и выполнение задач пользователя. Когда пользователь начинает сеанс удаленного управления, графический интерфейс устанавливает соединение с модулем удаленного управления межсетевого экрана и поддерживает это соединение открытым, пока пользователь не завершит сеанс.

Все взаимодействие между удаленным интерфейсом и межсетевым экраном осуществляется по защищенному с помощью криптографии и аутентификации пользователей каналу. Для каждой сессии генерируются свои ключи. Кроме того, используются дополнительные меры безопасности для защиты от атак с проигрыванием параметров.

Необходимо сделать несколко важных замечаний по поводу удаленного управления:

  1. Для того чтобы удаленный хост мог взаимодействовать с межсетевым экраном, необходимо добавить правило, разрешающее доступ по TCP протоколу к порту 1020 с хоста, с которого необходим доступ Подробная информация об этом содержится в главе 6 Пакетный фильтр с контролем состояния
  2. Одновременно может использоваться только один удаленный интерфейс. Попытки открыть другую удаленную сессию будут отклонены с сообщением о том, что одна активная административная сессия уже открыта.
  3. Пользователь, использующий удаленный интерфейс, должен быть зарегистрирован в системе. Инсталляционная программа может автоматически создать менеджера с полномочиями по регистрации других менеджеров. Если вы удалили описание такого менеджера или потеряли его пароль, необходимо использовать локальный интерфейс командной строки для создания нового менеджера. Более детальное описание можно найти в главе 3 Управление пользователями межсетевого экрана.

Как пользоваться интерфейсом Windows 95 или NT

Интерфейс Windows прост в использовании благодаря тому, что большинство пользователей привыкли к этой среде. Однако, обратите внимание на следующее:

2-1 Запуск удаленного интерфейса

Для запуска графического интерфейса вы должны выполнить следующие действия:

Меню Соединение содержит опции, касающиеся установления соединений и управления пользователями.

Это меню содержит опции, необходимые для регистрации объектов, используемых в других частях межсетевого экрана. Их описание будет приведено ниже.

Меню Настройка содержит все конфигурационные параметры межсетевого экрана за исключением опций настройки proxy серверов и регистрации профилей объектов и доступа. Их описание будет приведено ниже.

Меню Сервера позволяет изменять параметры прозрачных и непрозрачных proxy-серверов межсетевого экрана.

Меню Вид содержит опции, позволяющие администратору контролировать работу межсетевого экрана.

Это меню позволяет настраивать допонительные функции управления межсетевого экрана. Его опции будут рассмотрены ниже в главе 20 Использование средств графического интерфейса.

Меню Помощь предназначено для доступа к описанию системы Aker и подсказок по работе с ним.

В самом начале все опции в меню недоступны за исключением опций Соединениеt и Выход в меню Соединение и опций Помощь и Об Aker в меню Помощь. Для доступа к основным опциям необходимо установить удаленную сессию с межсетевым экраном, администрированием которго Вы хотите заняться. Вы должны выполнить следующие действия:

Окно меню Соединение

После выбора опции Соединение появится следующее окно:

  

В поле Удаленное соединение необходимо ввести IP адрес или имя хоста, который необходимо администрировать, в поле Регистрационное имя -  имя пользователя, в поле Пароль - пароль пользователя ( на экране пароль будет высвечиваться в виде звездочек "*").

После заполнения всех полей нажмите клавишу Да для установления соединения. Если все в порядке, через несколько секунд будет установлено соединение, и менеджер сможет выполнить все необходимые операции. В этом случае появится окно, содержащее все данные о соединении.

Если вам не удается установить соединение, на экране появится окно с указанием ошибки. В этом случае возможен целый ряд сообщений. Приведем список наиболее частых сообщений :

Aker управляется через другой интерфейс

Aker позволяет проводить только одну удаленную сессию одновременно. Если такое сообщение появилось, это означает, что с межсетевым экраном уже установлено удаленное соединение или на нем используется локальный модуль управления.

Это сообщение означает, что не удается разрешить имя запрашиваемого хоста в DNS. Убедитесь, что имя написано правильно и DNS на машине, откуда устанавливатся удаленное соединение, настроен.

Эта общая ошибка может порождаться рядом причин. Наиболее общей причиной является неправильный ввод с клавиатуры имени пользователя или пароля. Если пользователь не зарегистрирован в системе или пароль неверен, сервер оборвет соединение. Убедитесь, что ваше имя и пароль введены правильно. В случае, если ошибка еще останется, проделайте следующие действия:
    1. Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #ps -ax | grep fwconfd | grep -v grep. Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду #/etc/firewall/fwconfd от имени root и попытайтесь установить новое соединение.
    2. Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу 6 Пакетный фильтр с контролем состояния).
    3. Проверьте правильность работы сети. Одним из способов сделать это является использование команды ping( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста. Чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту.
    4. Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу 6 Пакетный фильтр с контролем состояния).

2-2 Завершение удаленного управления

Существуют два пути завершения удаленного управления: закрытие сессии или окончание работы удаленного графического интерфейса.

Для завершения сессии необходимо проделать следующие шаги:

Будет открыто следующее окно, содержащее запрос о подтверждении конца сеанса:

Нажмите Да для окончания сессии или Нет для ее сохранения.

Для окончания работы программы Вам необходимо:

Выберите меню Сессии в главном окне

Если сессия установлена, программа запросит подтверждение на ее завершение. Вам необходимо нажать Да для закрытия сессии и выхода из программы или Нет для ее сохранения. Если активных сессий больше нет, программа завершит работу без последующего подтверждения.

2-3 Изменение паролей пользователей

Все пользователи межсетевого экрана Aker могут менять свои пароли  по мере необходимости. Для этого сначала следует открыть сессию управления (как показано в параграфе 2-1 Запуск удаленного интерфейса) и затем выполнить следующие действия:

Появится следующее окно

Вы должны ввести старый пароль в поле Старый пароль, новый пароль в поле Новый пароль и в поле Подтверждение паролья (пароль будет высвечиваться в виде звездочек "*").

После заполнения полей нажмите кнопку Да для изменения пароля или кнопку Отменить в случае если Вы не хотите его менять.

2-4 Просмотр информации о сессии

В любой момент Вы можете просмотреть информацию об активном сеансе управления. Для этого существует окно, содержащее полезную информацию, например, такую как имя регистрации, полное имя и права пользователя, который управляет межсетевым экраном, номер версии и реализации межсетевого экрана. Показывается также время соединения и период его активизации. Чтобы открыть это окно, необходимо выполнить следующие действия:

Вы увидите следующее окошко

2-5 Использование помощи в режиме он-лайн

Межсетевой экран Aker имеет  систему помощи, работающую в режиме on-line. Все окна, кроме предназначенных для подтверждения, имеют кнопку Помощь. При активизации эта кнопка открывает специальное окно помощи.

Кроме такой специальной помощи в каждом окне можно перемещаться по структуре справочного документа, аналогично тому как Вы делаете в этом Руководстве. Для этого надо проделать следующие действия:

Выберите опцию Помощь в главном меню

В системе помощи существуют ссылки, как в этом Руководстве. При выборе на такую ссылку будет высвечено соответствующее окно.