Сетевой экран задача запретить всем и разрешить прокси только браузерам

[RuslanRavil'evi4]

Доброго времени суток. 

KSC 10.5.1781

KES 11.1.1.126

Простая задача которая во встроенном firewall windows решается в 2 действиям:

1 действие - запретить для доменной сети все что не разрешено

2 действие - создать правила разрешения

Все задача решена!

 

Касперский сетевой экран не хочет и все тут.

1. находим exe файл необходимого браузера (реализация шикарная, вышла новая версия браузера, будьте добры найдите exe новой версии и сделайте правило заново)
2. разрешаем прокси тут стандартно IP, port, протокол итд 
3. создаем правило запрета на группу доверенные чтобы запретить всем программам 

Итог: запрет исходящего трафика на прокси для всех и даже браузерам с правилом разрешения. 

KES 11.1.1.126 без подключения к серверу и с необходимыми настройками аналогичные серверным, с задачей справляется 

2 месяца тех поддержка не может дать внятного решения, возможно на форуме что то подскажут 

 

 

[yurasek]

RuslanRavil'evi4, всё верно подмечено по поводу сетевого экрана в KES.

В Вашем случае лучше будет сделать так:
1. В сетевых пакетных правилах сделать два правила: первое, которое разрешает все исходящие соединения по правилам программы или по более жёсткому сценарию только исходящие соединения по конкретному протоколу, на конкретный IP адрес и порт, а также нижним правилом сделать блокирующее всё правило.

2. В сетевых правилах программ для всех встроенных групп включить запрет.

3. В случае использования политики в доверенной группе создать группы производителей браузеров по аналогии с теми, что создались на рабочей станции, и сделать разрешающее правило для прокси. В случае обновления браузера настройка для группы должна сохраниться. Если группа в KES отсутствует, то нужно запустить хотя бы раз тот либо иной браузер.

Если есть желание использовать более жёсткий сценарий с назначением разрешений конкретно на исполняемые файлы браузеров, то тут есть нюанс: если сетевой экран не под политикой, то настройки при обновлении браузера сохранятся для исполняемого файла, но, если используется политика, то при каждом обновлении любого браузера нужно будет делать инвентаризацию, добавляя всё те же исполняемые файлы и настраивая для них правила (по логике Лаборатории хэш у файла изменился, а значит - это уже другая программа, а значит нужно всё настраивать заново, вот только почему, когда политика не применяется к сетевому экрану логика совсем другая - большая загадка).

Если нужно разрешить взаимодействие рабочей станции с KSC и наоборот, то нужно разрешить с рабочей станции исходящие TCP/UDP соединения на IP адрес KSC и порт 13000, а также разрешить на рабочей станции входящие соединения от KSC на UDP порт 15000.

[RuslanRavil'evi4]

RuslanRavil'evi4, всё верно подмечено по поводу сетевого экрана в KES.

Спасибо большое за ответы, сделал так как вы рекомендуете но что то не сработало

Прикладываю скрины настроек (правило разрешения номер 17 для работы клиента с серверами домена и KSC)

 

[RuslanRavil'evi4]

Площадка тестовая и я использую прокси в интернете

[yurasek]

RuslanRavil'evi4, специально для Вас записал видео как (или примерно как) всё нужно настраивать:

- настройка KSC: https://yadi.sk/d/hq_AXyWPIoQ57A

- результат в KES: https://yadi.sk/i/nR2t-3BYwdp2VA

 

 

[RuslanRavil'evi4]

RuslanRavil'evi4, специально для Вас записал видео как (или примерно как) всё нужно настраивать:

- настройка KSC: https://yadi.sk/d/hq_AXyWPIoQ57A

- результат в KES: https://yadi.sk/i/nR2t-3BYwdp2VA

 

 

 

Большое спасибо, работает.

[RuslanRavil'evi4]

RuslanRavil'evi4, специально для Вас записал видео как (или примерно как) всё нужно настраивать:

- настройка KSC: https://yadi.sk/d/hq_AXyWPIoQ57A

- результат в KES: https://yadi.sk/i/nR2t-3BYwdp2VA

 

 

В инструкции очень мало сказано как работает сетевой экран у каспера, как вы поняли, что нужно сделать именно так? Мне даже тех поддержка не смогла объяснить как правильно настроить.

 

[yurasek]

В инструкции очень мало сказано как работает сетевой экран у каспера, как вы поняли, что нужно сделать именно так? Мне даже тех поддержка не смогла объяснить как правильно настроить.

Я не первый день знаком с сетевым экраном KES и не только. Главное - это знание и понимание сетевых основ, а остальное приложится в результате многочисленных проб и ошибок. KES далёк от идеала в плане гибкости и удобства настройки сетевого экрана, а также не лишён разного рода особенностей в своей работе. Техподдержка отвечает не быстро, да и не всегда может понять то, что Вам нужно, а зачастую может и не владеть информацией по интересующему Вас вопросу.