KAWALL работает корректно, но когда я пытаюсь открыть какую-либо страницу в Internet Explorer, страница не грузится. При этом, если смотреть c помощью Netscape, все отображается корректно.

 

Эта проблема связана не с KAWALL, она касается сервера безопасности HTTP. Скорее всего Ваш сервер не поддерживает HTTP1.1 и не открывает страницы.

 

Многие источники советуют в данной ситуации добавить определенный код в файл $FWDIR/conf/objects.C, но это не поможет.

 

Есть два способа обойти эту проблему. Первый: установить SP5, если Вы используете версию 4.0

Либо, если возможно, установить версию 4.1 с SP1 (проблема также существует с версией  4.1 build 41439).

 

 

Наиболее простое решение – настроить соответствующим образом Internet Explorer (пример дан для v. 5.x):

 

ENG: Tools-> Internet Options-> Advanced-> HTTP 1.1 Settings-> снять галочку с пункта Use HTTP 1.1.

РУС:   Сервис->Настройки обозревателя->Дополнительно-> Настройка HTTP 1.1-> Использовать HTTP 1.1

 

 

В логи FireWall-1 записывается много данных о результатах аутентификации между KAWALL и FireWall-1. Как можно заблокировать запись этой информации?

 

 

Проблема заключается в том, что firewall-модули по умолчанию ожидают данных аутентификации от CVP-сервера.

 

Так или иначе, Вы можете изменить файл firewall-модуля $FWDIR/conf/fwopsec.conf

 

Удалите строку

 

server <IP address> 18181 AUTH_OPSEC

 

затем перезагрузите FireWall.

 

 

Когда я скачиваю файл, скачивание идет гораздо медленнее и, где-то после 50% скачивания, все обрывается. Почему так происходит?

 

Для начала следует пояснить принцип работы KAWall.

 

  1. Когда пользователь качает файл, данные сначала проходят от брендмауэра (FireWall Check Point) к CVP-серверу (KAWall) и затем от CVP-сервера к пользователю. Этот двойной трансфер и объясняет падение скорости передачи данных.
  2. При передаче пакетов данных KAWALL удерживает часть данных (обычно конец файла), отдавая остальную часть брендмауэру, и, если в этой части обнаружен вирус, трансфер файла прерывается.

 

Компромисс между безопасностью и удобством пользователя определяется процентом данных, удерживаемых CVP-сервером. Данная опция настраивается в KAWall:

 

Русская версия:

 

Параметры-> HTTP (SMTP/FTP)-> Настройки-> Удержание-> Процент от объекта

 

Английская версия:

 

Parameters-> HTTP (SMTP/FTP)-> Options-> Hold-> Percent

 

Либо в файле конфигурации kawall.cfg (параметр holdfilePER=).0

  

 

 

После установки KAWall письма приходят без вложений – вложения отсекаются. Как это можно исправить?

 

Для решения проблемы нужно сделать следующее:

 

В настройках брендмауэра (SMTP Definition), в закладке Action2 поле «Strip MIME of type» сделать пустым (по умолчанию, туда заносится строка message/partial – ее нужно убрать)

 

 

 

Данный пункт описан в документации, но, на всякий случай, повторим:

 

Если возникает проблема с маршрутизацией пакетов, проверить, связано ли это с KAWall, можно следующим образом:

 

  1. В меню Manage брендмауэра выбрать пункт Resources.
  2. В этом окне выбрать окно настройки брендмауэра для соответствующего протокола (с которым возникли проблемы) и открыть его в режиме правки.
  3. В этом окне, в разделе CVP (настройки CVP-сервера для конкретного протокола) поставьте галочку на «None» вместо «Read Only» или «Read/Write».

 

Если проблема сохранится – она не связана с KAWall. Если проблема исчезнет – она связана с нашим продуктом.

Если все советы, приведенные в данном документе, не решают проблемы, необходимо обратиться в службу технической поддержки Лаборатории Касперского.

 

В информации о проблеме должны быть указаны:

 

  1. Версия FireWall Check Point
  2. Какие SP для FW установлены
  3. Сколько машин работают через FW.
  4. Версия KAWall.

 

 

На базе Windows NT Server 4.0 необходимо установить KAWall для фильтрации http, ftp, smtp трафика

Каковы требования к серверу?

 

 

Стандартные требования таковы:

 

Требуемые системные ресурсы:

- IBM PC или 100% совместимый компьютер,

- процессор Pentium 133 МГц,

- 64 Мб памяти

- 100 Mб на жестком диске (для эффективной работы сервера рекомендуется иметь 500 Mб на жестком диске),

- CD-ROM (если комплект поставляется на CD-дисках, а не на дискетах),

- ОС Windows NT.

 

 

В принципе, здесь все зависит от количества машин, работающих через FW, и от ширины интернет-канала.

Текущая версия может поддерживать максимум 50 машин (в скором времени будет расширено до 200 машин),

 

 

Для разгрузки сервера и для большей пропускной способности можно посоветовать следующее:

 

У Check Point существует такое приложение, называемое CVP Manager, оно позволяет распараллелить проверку трафика через CVP на несколько машин.

 

То есть наш продукт ставиться на несколько компьютеров, а CVP Manager сам думает какому из CVP-сервером отдавать данные на проверку...

 

Или можно просто не использовать ни какой CVP Manager, а просто запустить наш продукт на нескольких машинах (либо запустить на одной машине наш сервис нашего продукта несколько раз - это возможно, так как сервис можно переименовывать), а в правилах FW-1 настроить так, чтобы от одних пользователей трафик передавался одному CVP, а от других другому CVP...