Использование удаленного интерфейса

2. Использование удаленного интерфейса

В этой главе рассказывается о работе удаленного графического интерфейса.

Принцип работы системы удаленного управления межсетевым экраном Aker

Межсетевой экран Aker можно удаленно конфигурировать и администрировать с любого хоста; для этого хост должен иметь доступ к межсетевому экрану, работать под управлением операционной системы, для которой реализован удаленный интерфейс и поддерживать стек протоколов TCP/IP. Более того, удаленное управление предоставляет возможность менеджеру с одной рабочей станции контролировать и настраивать несколько межсетевых экранов .

Удаленное управление позволяет сберечь ресурсы, поскольку хост с работающим межсетевым экраном теперь не нуждается в мониторе и других внешних устройствах.

Каким образом Aker обеспечивает удаленное управление?

Для поддержки удаленного управления на межсетевом экране запускается процесс, обеспечивающий установление соединения, проверку прав пользователей и выполнение задач пользователя. Когда пользователь начинает сеанс удаленного управления, графический интерфейс устанавливает соединение с модулем удаленного управления межсетевого экрана и поддерживает это соединение открытым, пока пользователь не завершит сеанс.

Все взаимодействие между удаленным интерфейсом и межсетевым экраном осуществляется по защищенному с помощью криптографии и аутентификации пользователей каналу. Для каждой сессии генерируются свои ключи. Кроме того, используются дополнительные меры безопасности для защиты от атак с проигрыванием параметров.

Необходимо сделать несколько важных замечаний по поводу удаленного управления:

Для того чтобы удаленный хост мог взаимодействовать с межсетевым экраном, необходимо добавить правило, разрешающее доступ по TCP протоколу к порту 1020 с хоста, с которого необходим доступ Подробная информация об этом содержится в главе Пакетный фильтр с контролем состояния
Одновременно может использоваться только один удаленный интерфейс. Попытки открыть другую удаленную сессию будут отклонены с сообщением о том, что одна активная административная сессия уже открыта.
Пользователь, использующий удаленный интерфейс, должен быть зарегистрирован в системе. Инсталляционная программа может автоматически создать менеджера с полномочиями по регистрации других менеджеров. Если вы удалили описание такого менеджера или потеряли его пароль, необходимо использовать локальный интерфейс командной строки для создания нового менеджера. Более детальное описание можно найти в главе Управление пользователями межсетевого экрана.

Как пользоваться интерфейсом Windows 95 или NT

Интерфейс Windows прост в использовании благодаря тому, что большинство пользователей привыкли к этой среде. Однако, обратите внимание на следующее:

Левые и правые кнопки на корпусе мыши имеют различные функции в интерфейсе. Левая кнопка применяется для выделения опций в списках и для ввода с использование мыши. Правая кнопка показывает всплывающее меню для некоторых списков. Большинство этих опций доступны также из инструментального меню в верхней части окна.

2.1 Запуск удаленного интерфейса

Для запуска графического интерфейса вы должны выполнить следующие действия:

Выберите меню Start , в нем группу Aker Firewall , внутри нее нажмите кнопку Aker Firewall 3.0

Вы увидите следующее окно:

Показанное выше окно является главным окном межсетевого экрана Aker, из которого доступы все опции настройки. Оно состоит из 7 меню, которые описываются ниже:

Session
Меню Session содержит опции, касающиеся установления соединений и управления пользователями.

Register
Это меню содержит опции, необходимые для регистрации объектов, используемых в других частях межсетевого экрана. Их описание будет приведено ниже.

Edit
Меню Edit содержит все конфигурационные параметры межсетевого экрана за исключением опций настройки proxy серверов и регистрации профилей объектов и доступа. Их описание будет приведено ниже.

Proxies
Меню Proxies позволяет изменять параметры прозрачных и непрозрачных proxy-серверов межсетевого экрана.

View
Меню View содержит опции, позволяющие администратору контролировать работу межсетевого экрана.

Tools
Это меню позволяет настраивать дополнительные функции управления межсетевого экрана. Его опции будут рассмотрены ниже в главе Использование средств графического интерфейса.

Help
Меню Help предназначено для доступа к описанию системы Aker и подсказок по работе с ним. В самом начале все опции в меню недоступны за исключением опций Connect и Exit в меню Session и опций Help и About в меню Help. Для доступа к основным опциям необходимо установить удаленную сессию с межсетевым экраном, администрированием которого Вы хотите заняться. Вы должны выполнить следующие действия:

Выберите меню Session в главном окне выберите опцию Connect
Окно меню Connection
После выбора опции Connection появится следующее окно:

В поле Remote Connection необходимо ввести IP адрес или имя хоста, который необходимо администрировать, в поле Login - имя пользователя, в поле Password - пароль пользователя ( на экране пароль будет высвечиваться в виде звездочек "*").
После заполнения всех полей нажмите клавишу OK для установления соединения. Если все в порядке, через несколько секунд будет установлено соединение, и менеджер сможет выполнить все необходимые операции. В этом случае появится окно, содержащее все данные о соединении.
Если вам не удается установить соединение, на экране появится окно с указанием ошибки. В этом случае возможен целый ряд сообщений. Приведем список наиболее частых сообщений :

Aker is being administrated by another interface
Aker позволяет проводить только одну удаленную сессию одновременно. Если такое сообщение появилось, это означает, что с межсетевым экраном уже установлено удаленное соединение или на нем используется локальный модуль управления.

Name resolution error
Это сообщение означает, что не удается разрешить имя запрашиваемого хоста в DNS. Убедитесь, что имя написано правильно и DNS на машине, откуда устанавливается удаленное соединение, настроен.

Network error or connection closed by the server
Эта общая ошибка может порождаться рядом причин. Наиболее общей причиной является неправильный ввод с клавиатуры имени пользователя или пароля. Если пользователь не зарегистрирован в системе или пароль неверен, сервер оборвет соединение. Убедитесь, что ваше имя и пароль введены правильно. В случае, если ошибка еще останется, проделайте следующие действия:

Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #ps -ax | grep fwconfd | grep -v grep. Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду #/etc/firewall/fwconfd от имени root и попытайтесь установить новое соединение.

Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу Управление пользователями межсетевого экрана).

Проверьте правильность работы сети. Одним из способов сделать это является использование команды ping ( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста. Чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту.

Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния ).

2.2 Завершение удаленного управления

Существуют два пути завершения удаленного управления: закрытие сессии или окончание работы удаленного графического интерфейса.

Для завершения сессии необходимо проделать следующие шаги:
Будет открыто следующее окно, содержащее запрос о подтверждении конца сеанса:

Выберите меню Session в главном окне

Выберите опцию Exit

Нажмите Yes для окончания сессии или No для ее сохранения.

Для окончания работы программы Вам необходимо:

Выберите меню Session в главном окне

Выберите опцию Exit

Если сессия установлена, программа запросит подтверждение на ее завершение. Вам необходимо нажать Yes для закрытия сессии и выхода из программы или No для ее сохранения. Если активных сессий больше нет, программа завершит работу без последующего подтверждения.

2.3 Изменение паролей пользователей

Все пользователи межсетевого экрана Aker могут менять свои пароли по мере необходимости. Для этого сначала следует открыть сессию управления (как показано в параграфе Запуск удаленного интерфейса) и затем выполнить следующие действия:

	Выбрать опцию Sessionв главном окне
	Выбрать пункт Change Password

Появится следующее окно:

Вы должны ввести старый пароль в поле Old password, новый пароль в поле New password и в поле Confirm password (пароль будет высвечиваться в виде звездочек "*").

После заполнения полей нажмите кнопку OK для изменения пароля или кнопку Cancel в случае если Вы не хотите его менять.

2.4 Просмотр информации о сессии

В любой момент Вы можете просмотреть информацию об активном сеансе управления. Для этого существует окно, содержащее полезную информацию, например, такую как имя регистрации, полное имя и права пользователя, который управляет межсетевым экраном, номер версии и реализации межсетевого экрана. Показывается также время соединения и период его активизации. Чтобы открыть это окно, необходимо выполнить следующие действия:

	Выберите опцию Session в главном окне
	Выберите пункт Information about the Session

2.5 Использование помощи в режиме он-лайн

Межсетевой экран Aker имеет систему помощи, работающую в режиме on-line. Все окна, кроме предназначенных для подтверждения, имеют кнопку Help. При активизации эта кнопка открывает специальное окно помощи.

Кроме такой специальной помощи в каждом окне можно перемещаться по структуре справочного документа, аналогично тому как Вы делаете в этом Руководстве. Для этого надо проделать следующие действия:

Выберите опцию Help в главном меню

Выберите пункт Help

В системе помощи существуют ссылки, как в этом Руководстве. При выборе на такую ссылку будет высвечено соответствующее окно.

Назад | Содержание | Вперед

	Session Меню Session содержит опции, касающиеся установления соединений и управления пользователями.
	Register Это меню содержит опции, необходимые для регистрации объектов, используемых в других частях межсетевого экрана. Их описание будет приведено ниже.
	Edit Меню Edit содержит все конфигурационные параметры межсетевого экрана за исключением опций настройки proxy серверов и регистрации профилей объектов и доступа. Их описание будет приведено ниже.
	Proxies Меню Proxies позволяет изменять параметры прозрачных и непрозрачных proxy-серверов межсетевого экрана.
	View Меню View содержит опции, позволяющие администратору контролировать работу межсетевого экрана.
	Tools Это меню позволяет настраивать дополнительные функции управления межсетевого экрана. Его опции будут рассмотрены ниже в главе Использование средств графического интерфейса.
	Help Меню Help предназначено для доступа к описанию системы Aker и подсказок по работе с ним. В самом начале все опции в меню недоступны за исключением опций Connect и Exit в меню Session и опций Help и About в меню Help. Для доступа к основным опциям необходимо установить удаленную сессию с межсетевым экраном, администрированием которого Вы хотите заняться. Вы должны выполнить следующие действия:
	Выберите меню Session в главном окне выберите опцию Connect Окно меню Connection После выбора опции Connection появится следующее окно:

	Aker is being administrated by another interface Aker позволяет проводить только одну удаленную сессию одновременно. Если такое сообщение появилось, это означает, что с межсетевым экраном уже установлено удаленное соединение или на нем используется локальный модуль управления.
	Name resolution error Это сообщение означает, что не удается разрешить имя запрашиваемого хоста в DNS. Убедитесь, что имя написано правильно и DNS на машине, откуда устанавливается удаленное соединение, настроен.
	Network error or connection closed by the server Эта общая ошибка может порождаться рядом причин. Наиболее общей причиной является неправильный ввод с клавиатуры имени пользователя или пароля. Если пользователь не зарегистрирован в системе или пароль неверен, сервер оборвет соединение. Убедитесь, что ваше имя и пароль введены правильно. В случае, если ошибка еще останется, проделайте следующие действия: Убедитесь, что процесс, отвечающий за удаленное соединение, запущен на межсетевом экране (откройте окно с интерпретатором shell на межсетевом экране и наберите команду #`ps -ax \| grep fwconfd \| grep -v grep`. Если появится строка, содержащая слово fwconfd, необходимый процесс запущен, если нет - наберите команду `#/etc/firewall/fwconfd` от имени root и попытайтесь установить новое соединение. Проверьте, зарегистрирован ли в системе пользователь, пытающийся установить соединение, и правилен ли его пароль (чтобы это сделать, воспользуйтесь локальным модулем управления. Загляните в главу Управление пользователями межсетевого экрана). Проверьте правильность работы сети. Одним из способов сделать это является использование команды ping ( не забудьте прописать на межсетевом экране правило, разрешающее использование ICMP ECHO-REQUEST и ECHO-REPLAY сервисов для тестируемого хоста. Чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния). Если сеть все-таки не работает, значит в ней есть проблемы и их надо устранить перед тем как пытаться установить удаленное управление. Если сеть работает, переходите к следующему пункту. Просмотрите, прописано ли правило, разрешающее доступ с хоста, с которого вы хотите установить соединение с межсетевым экраном (TCP, порт 1020). Если такого правила нет, создайте его (чтобы узнать, как это делается, смотрите главу Пакетный фильтр с контролем состояния ).

	Выберите меню Session в главном окне
	Выберите опцию Exit

	Выберите меню Session в главном окне
	Выберите опцию Exit

	Выберите опцию Help в главном меню
	Выберите пункт Help