Задача №1 - запрещаем весь Интернет-трафик на локальной машине

Необходимо создать политику IPSec, запрещающую весь обмен данными по протоколам HTTP и HTTPS.

Необходимо открыть консоль MMC:

Пуск - Выполнить - mmc

В меню выбрать команду:

Консоль, Добавить или удалить оснастку.

В открывшемся диалоге выбрать:

Добавить, Управление политикой безопасности IP .

В следующем диалоговом окне выбора компьютера указать:

Локальный компьютер.

Последовательно закрыть окна, нажимая кнопки

Готово, Закрыть, ОК.

В левой панели консоли появился узел Политики безопасности IP на ‘Локальный компьютер'.

После нажатия правой кнопкой мыши, выберать команду Управление списками IP-фильтра...

В открывшемся диалоге нажать кнопку Добавить.

Следующим диалоговым окном будет - Список фильтров.

Для удобства работы со списком фильтров нужно заполнить в поле Имя. Например, HTTP, HTTPS.

Нажать кнопку Добавить для  создания фильтра. Если вы не снять флажок Использовать мастер, то процесс создания будет сопровождаться мастером создания фильтра.

Его первую страницу можно пропустить, нажав Далее. На второй странице необходимо указать описание фильтра. Один фильтр может состоять из множества других. Целесообразно последовательно создать два фильтра - один для HTTP, другой для HTTPS. Объединяющий фильтр будет состоять из этих двух фильтров.Для этого:

Указать в поле описания HTTP. Флажок Отраженный оставить включенным - это позволит распространить правила фильтра как в одну сторону пересылки пакетов, так и в обратную с теми же параметрами. Нажимаем Далее.

В следующем диалоге необходимо указать адрес источника IP-трафика. Возможность выбора адреса довольно широка.

В данном случае необходимо указать Мой IP-адрес и нажать Далее.

В следующем окне задаётся адрес назначения.

Выбрать Любой IP-адрес и нажать Далее.

Затем указывается тип протокола.

Выбрать из списка TCP.

Затем задаётся номера портов.

Верхний переключатель оставить в положении Пакеты из любого порта, а нижним в режим Пакеты на этот порт и в поле ввести значение HTTP-порта - 80.

Нажать Готово, закрыв мастер.

В нижнем окне списка появился созданный фильтр.

Проделать теже операции для порта HTTPS - 443. Результат на снимке ниже:

Нажать кнопку ОК. Фильтр создан.

Необходимо определить действия, которые он будет производить.

Переключиться на закладку Управление действиями фильтра и нажать кнопку Добавить.

Снова откроется диалог мастера - нажать Далее.

Указать имя, например Block, и нажать Далее.

В качестве действия выбрать переключатель Блокировать, нажать Далее и Готово.

Теперь необходимо создать политику и назначить ее.

В окне консоли MMC нажать правой кнопкой мыши узел Политики безопасности IP и выбрать команду Создать политику безопасности IP.

В открывшемся окне мастера нажать Далее, затем указать имя для политики. Например - Block Web. Нажать Далее.

Снять флажок Использовать правило по умолчанию, нажать Далее и Готово.

В окне свойств политики нажать кнопку Добавить.

Нажать Далее, оставив переключатель в положении Это правило не определяет туннель.

Тип сети - указать Все сетевые подключения и нажать Далее.

Выбрать созданный фильтр HTTP, HTTPS (слева должна появится точка в кружке) и нажать кнопку Далее.

Таким же образом выбрать действие для фильтра - Block Web, нажать Далее и Готово.

В правой панели консоли MMC появится созданная политика с именем BlockWeb.

Для включения политики - нажать правый кнопкой мыши на названии и выбрать команду Назначить.

Для проверки запустить браузер. Если все было сделано правильно, картина должна быть такой:

Задача №2 - добавляем разрешенные зоны

Чтобы добавить возможность посещения некоторых сайтов необходимо добавть фильтр в созданную политику.

Например, необходимо разрешить браузеру просмотр узла www.pontin.ru.

Для этого в консоли MMC дважды щелкнуть название политики BlockWeb.

В окне свойств нажать кнопку Добавить, затем двойным щелчком выбрать фильтр HTTP, HTTPS.

На вкладке Список фильтров нажать кнопку Добавить.

Указать имя для нового фильтра, например, pontin.ru.

Нажать Добавить, Далее, и качестве источника пакетов оставить Мой IP-адрес.

Нажать кнопку Далее. В качестве адреса назначения выбрать строку Определенное DNS-имя, а в поле Имя узла ввести www.pontin.ru. Нажать Далее.

Появится предупреждение о том, что в фильтре вместо DNS-имени www.pontin.ru будет использован IP-адрес 83.222.31.146. Согласиться, нажав кнопку Да.

Затем указат тип протокола - TCP, выбрать переключатель На этот порт и указать его номер - 80.

Нажать Далее, Готово и ОК.

Затем необходимо определить действие фильтра - перейти на одноименную закладку и выбрать параметр Разрешить.

Теперь политика состоит из двух фильтров - один запрещает весь http-трафик, другой разрешает соединения с определенным IP-адресом. Все это выглядит примерно так:

Осталось закрыть все диалоговые окна и проверить фильтрацию.

Теперь, при переходе на www.pontin.ru (и только!) браузер должен отобразить содержание этого узла.

Подобным же образом можно создать собственные необходимые фильтры и применить их.

Для написания данной статьи использовался следующий источник: http://www.windowsfaq.ru/content/view/661/90/

{jcomments on}