Ideco NGFW
Скачать PDF
v19
v19
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования и источники данных Ideco NGFW
      • Выбор аппаратной платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Подготовка платформы к установке
      • Настройка гипервизора
      • Настройка программно-аппаратных комплексов Ideco NGFW
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление учетными записями и группами
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Двухфакторная аутентификация
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
        • Установка и настройка Ideco Client на Linux
        • Настройка Device VPN
        • Создание сертификатов для Device VPN
        • Балансировка VPN-подключений
        • Кастомная настройка Ideco Client
      • Профили устройств
      • Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
          • Настройка сервера Active Directory
          • Настройка клиентских машин
          • Скрипты автоматической разавторизации
      • RADIUS
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Сессии администраторов
      • Сессии пользователей
      • Сессии ЛК
      • Графики загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
      • Netflow
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Примеры создания правил файрвола
        • Логирование
        • Тестирование правил
        • Предварительная фильтрация
        • Аппаратная фильтрация
      • Контент-фильтр
        • Правила
        • Описание категорий контент-фильтра
        • Морфологические словари
        • Настройки
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирус
      • Предотвращение вторжений
        • Группы сигнатур
        • Пользовательские сигнатуры
        • Настройки
      • Исключения
      • Объекты
    • Профили безопасности
      • Web Application Firewall
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
    • Сервисы
      • Сетевые интерфейсы
        • Внешние и локальные интерфейсы
        • Агрегированные интерфейсы (LACP)
        • Туннельные интерфейсы (GRE)
        • VCE-интерфейсы
        • SPAN-интерфейсы
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • ЛК/Портал SSL VPN
      • Защита и управление DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме
        • Подключение Ideco NGFW и Mikrotik по IPsec в транспортном режиме
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW по IPsec в туннельном режиме
        • Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме
        • Подключение Cisco IOS и Ideco NGFW по route-based IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • ГОСТ VPN
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
      • USB-токены
    • Отчеты и журналы
      • Трафик
      • Системный журнал
      • Журнал веб-трафика
      • Журнал трафика
      • События безопасности
      • Действия администраторов
      • Журнал аутентификации
      • Журнал авторизации ЛК
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Ideco Center
      • VCE
      • Кластеризация
        • Настройка кластера
        • Обновление кластера
      • Обновления
      • Бэкапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам и антивирус
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
    • Полный цикл обработки трафика в Ideco NGFW
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Профили безопасности
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Создание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подлючение к серверу по COM-порту и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Как разрешить доступ к ресурсам в ограниченной сети
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка совместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Как Ideco Client осуществляет обработку запросов с редиректом на сервер Ideco NGFW
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
      • Ошибка 400 Bad Request Request Header Or Cookie Too Large при авторизации в браузерах
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление интеграцией с ALD Pro
    • Управление администраторами
    • Управление пользователями
    • Управление Ideco Client
    • Мониторинг и журналы
    • Управление правилами трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
      • Предотвращение вторжений
      • Исключения
    • Управление профилями безопасности
    • Управление сетевыми интерфейсами
    • Управление VPN
    • Управление обратным прокси
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Управление Ideco Center
    • Бэкапы и возврат к предыдущей версии
    • Почтовый релей
      • Расширенные настройки
      • Антиспам и антивирус
      • Правила
      • Почтовая очередь
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 19.X
    • ФСТЭК Ideco UTM 19.X
    • Ideco Center 19.Х
Powered by GitBook
On this page
  • Получение списка правил
  • Управление правилами
  • Счетчик срабатывания правил
  • Проверка прохождения трафика
  • Аппаратная фильтрация
  • Управление правилами аппаратной фильтрации
  • Управление списками ACL

Was this helpful?

  1. API
  2. Управление правилами трафика

Файрвол

Получение статуса службы
GET /firewall/status

Ответ на успешный запрос:

[
   {
      "name": "rules-in-kernel",
      "status": "active" | "activating" | "deactivating" | "failed" | "inactive" | "reloading",
      "msg": [ "string" ]
  },
  {
        "msg": [ "string" ],
        "status": "active",
        "name": "auto-snat"
    }
]
  • msg - список строк, поясняющих текущее состояние.

Получение настроек Файрвола

Включенность пользовательских правил

GET /firewall/state

Ответ на успешный запрос:

{
    "enabled": "boolean"
} 
  • enabled - опция раздела Файрвол: true - включена, false - выключена.

Логирование правил

GET /firewall/settings

Ответ на успешный запрос:

{
    "automatic_snat_enabled": "boolean",
    "log_mode": "nothing" | "all" | "selected",
    "log_actions": [ "accept" | "drop" | "dnat" | "snat" | "mark_log" | "mark_not_log" ]
} 
  • automatic_snat_enabled - включение автоматического SNAT: true - включен, false- выключен;

  • log_mode - режим логирования;

  • log_actions - события, которые будут логироваться.

Изменение настроек
PATCH /firewall/settings

Json-тело запроса:

{
    "automatic_snat_enabled": "boolean",
    "log_mode": "nothing" | "all" | "selected",
    "log_actions": [ "accept" | "drop" | "dnat" | "snat" | "mark_log" | "mark_not_log" ]
} 
  • automatic_snat_enabled - включение автоматического SNAT: true - включен, false- выключен;

  • log_mode - режим логирования;

  • log_actions - события, которые будут логироваться.

Ответ на успешный запрос: 200 ОК

Получение списка правил

Получение списка правил FORWARD и INPUT
  • GET /firewall/rules/forward - раздел FORWARD;

  • GET /firewall/rules/input - раздел INPUT.

Ответ на успешный запрос:

{
    "id": "integer",
    "parent_id": "string",
    "enabled": "boolean",
    "protocol": "string",
    "source_addresses": [ "string" ],
    "source_addresses_negate": "boolean",
    "source_ports": [ "string" ],
    "incoming_interface": "string",
    "destination_addresses": [ "string" ],
    "destination_addresses_negate": "boolean",
    "destination_ports": [ "string" ],
    "outgoing_interface": "string",
    "hip_profiles": [ "string" ],
    "dpi_profile": "string",
    "dpi_enabled": "boolean",
    "ips_profile": "string",
    "ips_enabled": "boolean",
    "timetable": [ "string" ],
    "comment": "string",
    "action": "accept" | "drop"
}
  • id - идентификатор правила.

  • parent_id - идентификатор группы в Ideco Center, в которую входит сервер, или константа f3ffde22-a562-4f43-ac04-c40fcec6a88c (соответствует Корневой группе);

  • enabled - если true, то правило включено, false - выключено;

  • protocol - протокол;

  • source_addresses - адрес источника;

  • source_addresses_negate - инвертировать адрес источника;

  • source_ports - порты источников, список идентификаторов алиасов;

  • incoming_interface - зона источника;

  • destination_addresses - адрес назначения;

  • destination_addresses_negate - инвертировать адрес назначения;

  • destination_ports - порты назначения;

  • outgoing_interface - зона назначения;

  • hip_profiles - HIP-профили;

  • dpi_profile - строка в формате UUID, идентификатор профиля DPI. Не может быть пустой строкой, если dpi_enabled = true;

  • dpi_enabled - если true, то обработка с помощью модуля Контроль приложений включена, false - выключена;

  • ips_profile - строка в формате UUID, идентификатор профиля IPS. Не может быть пустой строкой, если ips_enabled = true;

  • ips_enabled - если true, то обработка с помощью модуля Предотвращение вторжений включена, false - выключена;

  • timetable - время действия;

  • comment - комментарий, может быть пустым;

  • action - действие:

    • accept - разрешить;

    • drop - запретить.

Получение списка правил DNAT
GET /firewall/rules/dnat

Ответ на успешный запрос:

{
    "id": "integer",
    "parent_id": "string",
    "enabled": "boolean",
    "protocol": "string",
    "source_addresses": [ "string" ],
    "source_addresses_negate": "boolean",
    "source_ports": [ "string" ],
    "incoming_interface": "string",
    "destination_addresses": [ "string" ],
    "destination_addresses_negate": "boolean",
    "destination_ports": [ "string" ],
    "timetable": [ "string" ],
    "comment": "string",
    "action": "accept" | "dnat",
    "change_destination_address": "null" | "string",
    "change_destination_port": "null" | "string"
}
  • id - идентификатор правила.

  • parent_id - идентификатор группы в Ideco Center, в которую входит сервер, или константа f3ffde22-a562-4f43-ac04-c40fcec6a88c (соответствует Корневой группе);

  • enabled - если true, то правило включено, false - выключено;

  • protocol - протокол;

  • source_addresses - адрес источника;

  • source_addresses_negate - инвертировать адрес источника;

  • source_ports - порты источников, список идентификаторов алиасов;

  • incoming_interface - зона источника;

  • destination_addresses - адрес назначения;

  • destination_addresses_negate - инвертировать адрес назначения;

  • destination_ports - порты назначения;

  • timetable - время действия;

  • comment - комментарий, может быть пустым;

  • action - действие:

    • accept - разрешить;

    • dnat - производить DNAT.

  • change_destination_address - IP-адрес или диапазон IP-адресов для замены назначения, или null, если action = accept;

  • change_destination_port - порт или диапазон портов для замены значения, или null, если action = accept.

Получение списка правил SNAT
GET /firewall/rules/snat

Ответ на успешный запрос:

{
    "id": "integer",
    "parent_id": "string",
    "enabled": "boolean",
    "protocol": "string",
    "source_addresses": [ "string" ],
    "source_addresses_negate": "boolean",
    "source_ports": [ "string" ],
    "destination_addresses": [ "string" ],
    "destination_addresses_negate": "boolean",
    "destination_ports": [ "string" ],
    "outgoing_interface": "string",
    "timetable": [ "string" ],
    "comment": "string",
    "action": "accept" | "snat",
    "change_source_address": "null" | "string"
}
  • id - идентификатор правила.

  • parent_id - идентификатор группы в Ideco Center, в которую входит сервер, или константа f3ffde22-a562-4f43-ac04-c40fcec6a88c (соответствует Корневой группе);

  • enabled - если true, то правило включено, false - выключено;

  • protocol - протокол;

  • source_addresses - адрес источника;

  • source_addresses_negate - инвертировать адрес источника;

  • source_ports - порты источников, список идентификаторов алиасов;

  • destination_addresses - адрес назначения;

  • destination_addresses_negate - инвертировать адрес назначения;

  • destination_ports - порты назначения;

  • outgoing_interface - зона назначения;

  • timetable - время действия;

  • action - действие:

    • accept - разрешить;

    • snat - производить SNAT.

  • change_destination_address - IP-адрес для замены источника, или null, если action = accept.

Получение списка правил Логирования
GET /firewall/rules/log

Ответ на успешный запрос:

{
    "id": "integer",
    "parent_id": "string",
    "enabled": "boolean",
    "protocol": "string",
    "source_addresses": [ "string" ],
    "source_addresses_negate": "boolean",
    "source_ports": [ "string" ],
    "incoming_interface": "string",
    "destination_addresses": [ "string" ],
    "destination_addresses_negate": "boolean",
    "destination_ports": [ "string" ],
    "outgoing_interface": "string",
    "timetable": [ "string" ],
    "comment": "string",
    "action": "mark_log"
}
  • id - идентификатор правила.

  • parent_id - идентификатор группы в Ideco Center, в которую входит сервер, или константа f3ffde22-a562-4f43-ac04-c40fcec6a88c (соответствует Корневой группе);

  • enabled - если true, то правило включено, false - выключено;

  • protocol - протокол;

  • source_addresses - адрес источника;

  • source_addresses_negate - инвертировать адрес источника;

  • source_ports - порты источников, список идентификаторов алиасов;

  • incoming_interface - зона источника;

  • destination_addresses - адрес назначения;

  • destination_addresses_negate - инвертировать адрес назначения;

  • destination_ports - порты назначения;

  • outgoing_interface - зона назначения;

  • hip_profiles - HIP-профили;

  • dpi_profile - строка в формате UUID, идентификатор профиля DPI. Не может быть пустой строкой, если dpi_enabled = true;

  • dpi_enabled - если true, то обработка с помощью модуля Контроль приложений включена, false - выключена;

  • ips_profile - строка в формате UUID, идентификатор профиля IPS. Не может быть пустой строкой, если ips_enabled = true;

  • ips_enabled - если true, то обработка с помощью модуля Предотвращение вторжений включена, false - выключена;

  • timetable - время действия;

  • comment - комментарий, может быть пустым;

  • action - действие:

    • accept - разрешить;

    • drop - запретить.

Управление правилами

Добавление правила
  • POST /firewall/rules/forward?anchor_item_id=<id правила>&insert_after={true|false} - раздел FORWARD;

  • POST /firewall/rules/input?anchor_item_id=<id правила>&insert_after={true|false} - раздел INPUT;

  • POST /firewall/rules/dnat?anchor_item_id=<id правила>&insert_after={true|false} - раздел DNAT;

  • POST /firewall/rules/snat?anchor_item_id=<id правила>&insert_after={true|false} - раздел SNAT;

  • POST /firewall/rules/log?anchor_item_id=<id правила>&insert_after={true|false} - раздел Логирование.

    • anchor_item_id - идентификатор правила, ниже или выше которого нужно создать новое. Если отсутствует, то новое правило будет добавлено в конец таблицы;

    • insert_after - вставка до или после. Если значение true или отсутствует, то новое правило будет добавлено сразу после указанного в anchor_item_id. Если false - на месте указанного в anchor_item_id.

Ответ на успешный запрос:

{
    "id": "integer"
}
  • id - идентификатор созданного правила.

Редактирование правила
  • PATCH /firewall/rules/forward/<id правила> - раздел FORWARD;

  • PATCH /firewall/rules/input/<id правила> - раздел INPUT;

  • PATCH /firewall/rules/dnat/<id правила> - раздел DNAT;

  • PATCH /firewall/rules/snat/<id правила> - раздел SNAT;

  • PATCH /firewall/rules/log/<id правила> - раздел Логирование.

Ответ на успешный запрос: 200 ОК

Перемещение правила
  • PATCH /firewall/rules/forward/move - раздел FORWARD;

  • PATCH /firewall/rules/input/move - раздел INPUT;

  • PATCH /firewall/rules/dnat/move - раздел DNAT;

  • PATCH /firewall/rules/snat/move - раздел SNAT;

  • PATCH /firewall/rules/log/move - раздел Логирование.

Json-тело запроса:

{
    "params": {
      "id": "integer",
      "anchor_item_id": "integer",
      "insert_after": "boolean"
    }
}
  • id - идентификатор перемещаемого правила;

  • anchor_item_id - идентификатор правила, ниже или выше которого нужно поместить перемещаемое правило;

  • insert_after - вставка до или после. Если true, то вставить правило сразу после указанного в anchor_item_id, если false - на месте указанного в anchor_item_id.

Удаление правила
  • DELETE /firewall/rules/forward/<id правила> - раздел FORWARD;

  • DELETE /firewall/rules/input/<id правила> - раздел INPUT;

  • DELETE /firewall/rules/dnat/<id правила> - раздел DNAT;

  • DELETE /firewall/rules/snat/<id правила> - раздел SNAT;

  • DELETE /firewall/rules/log/<id правила> - раздел Логирование.

Ответ на успешный запрос: 200 ОК

Счетчик срабатывания правил

Проверка включенности счетчика срабатываний правил
GET /firewall/watch

Ответ на успешный запрос:

{
   "enabled": "boolean"
}
  • enabled - если true, то счетчик включен, false - выключен.

Включение/выключение счетчика срабатывания правил
PATCH /firewall/watch

Json-тело запроса:

{
   "enabled": "boolean"
}
  • enabled - true для включения, false для выключения.

Ответ на успешный запрос: 200 ОК

Получение счетчиков по правилам
  • GET /firewall/counters/forward - раздел FORWARD;

  • GET /firewall/counters/input - раздел INPUT;

  • GET /firewall/counters/dnat - раздел DNAT;

  • GET /firewall/counters/snat - раздел SNAT;

  • GET /firewall/rules/log - раздел Логирование.

Ответ на успешный запрос:

[
   {
      "id": "integer",
      "packets": "integer"
   },
   ...
]
  • id - идентификатор правила;

  • packets - сумма сработанных правил.

Проверка прохождения трафика

Получение списка проверок
GET /firewall/checks_packets

Ответ на успешный запрос:

{
    "id": "string",
    "enabled": "boolean",
    "protocol": "tcp" | "udp",
    "src_ip": "string",
    "src_port": "integer",
    "dst_ip": "string",
    "dst_port": "integer",
    "incoming_interface": "string",
    "expected_result": "drop" | "accept",
    "comment": "string"
}
  • id - идентификатор проверки;

  • enabled - включена ли данная проверка;

  • protocol - протокол, используемый в данной проверке. Может быть tcp или udp;

  • src_ip - адрес источника тестовых пакетов;

  • src_port - порт источника тестовых пакетов;

  • dst_ip - адрес назначения тестовых пакетов;

  • dst_port - порт назначения тестовых пакетов;

  • incoming_interface - идентификатор алиаса сетевого интерфейса, на который приходят тестовые пакеты;

  • expected_result - ожидаемый результат выполнения проверки. Может быть drop или accept;

  • comment - комментарий, может быть пустым.

Добавление новых проверок
POST /firewall/checks_packets

Json-тело запроса:

{
    "enabled": "boolean",
    "protocol": "tcp" | "udp",
    "src_ip": "string",
    "src_port": "integer",
    "dst_ip": "string",
    "dst_port": "integer",
    "incoming_interface": "string",
    "expected_result": "drop" | "accept",
    "comment": "string"
}
  • enabled - включена ли данная проверка;

  • protocol - протокол, используемый в данной проверке. Может быть tcp или udp;

  • src_ip - адрес источника тестовых пакетов;

  • src_port - порт источника тестовых пакетов;

  • dst_ip - адрес назначения тестовых пакетов;

  • dst_port - порт назначения тестовых пакетов;

  • incoming_interface - идентификатор алиаса сетевого интерфейса, на который приходят тестовые пакеты;

  • expected_result - ожидаемый результат выполнения проверки. Может быть drop или accept;

  • comment - комментарий, может быть пустым.

Ответ на успешный запрос:

{
    "id": "integer"
}
  • id - идентификатор созданной проверки.

Добавление новой проверки путем копирования существующей
POST /firewall/checks_packets/<id проверки>/copy

Ответ на успешный запрос:

{
  "id": "string"
}
  • id - идентификатор созданной проверки.

Редактирование проверок
PATCH /firewall/checks_packets/<id проверки>

Json-тело запроса:

{
    "enabled": "boolean",
    "protocol": "tcp" | "udp",
    "src_ip": "string",
    "src_port": "integer",
    "dst_ip": "string",
    "dst_port": "integer",
    "incoming_interface": "string",
    "expected_result": "drop" | "accept",
    "comment": "string"
}
  • enabled - включена ли данная проверка;

  • protocol - протокол, используемый в данной проверке. Может быть tcp или udp;

  • src_ip - адрес источника тестовых пакетов;

  • src_port - порт источника тестовых пакетов;

  • dst_ip - адрес назначения тестовых пакетов;

  • dst_port - порт назначения тестовых пакетов;

  • incoming_interface - идентификатор алиаса сетевого интерфейса, на который приходят тестовые пакеты;

  • expected_result - ожидаемый результат выполнения проверки. Может быть drop или accept;

  • comment - комментарий, может быть пустым.

Ответ на успешный запрос: 200 ОК

Удаление проверок
PATCH /firewall/checks_packets/<id проверки>

Ответ на успешный запрос: 200 ОК

Запуск проверок
POST /firewall/checks_start

Ответ на успешный запрос: 200 ОК

Получение результатов проверок
GET /firewall/checks_result

Ответ на успешный запрос:

{
    "block_status": "boolean",
    "in_progress": "boolean",
    "check_datetime": "integer",
    "data": { 
        "check_id": {
                "result": "drop" | "accept",
                "rule_id": "string",
                "verdict": "boolean"
                }
    }
}
  • block_status - текущий статус блокировки трафика, вызванный провалом проверок;

  • in_progress - выполняются ли проверки в данный момент;

  • check_datetime - время выполнения последних проверок в формате YYYYMMDDHMS;

  • data - словарь результатов проверок, ключ - uuid проверки;

  • result - результат выполнения проверки, может быть drop или accept;

  • rule_id - номер отработавшего правила. Например, fwd.ngfw.2;

  • verdict - совпал ли фактический результат с ожидаемым.

Номер правила в поле rule_id будет отсутствовать, если пакет был заблокирован пользовательским правилом INPUT. В этом случае поле rule_id будет иметь вид inp.ngfw.

Получение настроек блокировки трафика в случае неудачных проверок
GET /firewall/checks_settings

Ответ на успешный запрос:

{
    "block_traffic": "boolean"
}
  • block_traffic - настройка блокировки прохождения трафика при провале какой-либо проверки.

Изменение настроек блокировки трафика в случае неудачных проверок
PATCH /firewall/checks_settings

Json-тело запроса:

{
    "block_traffic": "boolean"
}
  • block_traffic - настройка блокировки прохождения трафика при провале какой-либо проверки.

Ответ на успешный запрос: 200 ОК

Аппаратная фильтрация

Получение выбранного режима фильтрации
GET /firewall/hw_settings

Ответ на успешный запрос:

{
    "mode": "string"
}
  • mode - режим фильтрации; допустимые значения:

    • mac - по MAC-адресу источника;

    • src-ip - по IP-адресу источника;

    • dst-ip - по IP-адресу назначения;

    • src-and-dst-ip - по IP-адресу источника и назначения.

Изменение выбранного режима фильтрации
PATCH /firewall/hw_settings

Json-тело запроса:

{
    "mode": "string"
}
  • mode - режим фильтрации; допустимые значения:

    • mac - по MAC-адресу источника;

    • src-ip - по IP-адресу источника;

    • dst-ip - по IP-адресу назначения;

    • src-and-dst-ip - по IP-адресу источника и назначения.

Ответ на успешный запрос: 200 ОК

Управление правилами аппаратной фильтрации

Получение правил фильтрации по MAC-адресу источника
GET /firewall/hw_rules_mac

Ответ на успешный запрос:

[
    {
        "id": "string",
        "mac": "string",
        "protocol": "integer",
        "comment": "string",
        "enabled": "boolean"
        
    },
    ...
]
  • id - уникальный идентификатор правила;

  • mac - MAC-адрес в формате 11:22:33:aa:bb:СС;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов;

  • enabled - true, если правило включено; false - если выключено.

Создание правил фильтрации по MAC-адресу источника
POST /firewall/hw_rules_mac

Json-тело запроса:


{
    "mac": "string",
    "protocol": "integer",
    "comment": "string",
    "enabled": "boolean"    
}
  • mac - MAC-адрес в формате 11:22:33:aa:bb:СС;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов;

  • enabled - true, если правило включено; false - если выключено.

Ответ на успешный запрос:

{
  "id": "string",
}
Редактирование правил фильтрации по MAC-адресу источника
PATCH /firewall/hw_rules_mac/<id правила>

Json-тело запроса (любые поля):


{
    "mac": "string",
    "protocol": "integer",
    "comment": "string",
    "enabled": "boolean"    
}
  • mac - MAC-адрес в формате 11:22:33:aa:bb:СС;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов;

  • enabled - true, если правило включено; false - если выключено.

Ответ на успешный запрос: 200 OK

Удаление правил фильтрации по MAC-адресу источника
DELETE /firewall/hw_rules_mac/<id правила>

Ответ на успешный запрос: 200 OK

Получение правил фильтрации по IP-адресу источника
GET /firewall/hw_rules_src_ip

Ответ на успешный запрос:

[
    {
    "id": "string",
    "enabled": "boolean",
    "source_ip": "string",
    "comment": "string"
    },
    ...
]
  • id - уникальный идентификатор правила;

  • enabled - true, если правило включено; false - если выключено;

  • source_ip - IP-адрес источника без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Создание правил фильтрации по IP-адресу источника
POST /firewall/hw_rules_src_ip

Json-тело запроса:

{
    "enabled": "boolean",
    "source_ip": "string",
    "comment": "string"
}
  • enabled - true, если правило включено; false - если выключено;

  • source_ip - IP-адрес источника без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Ответ на успешный запрос:

{
  "id": "string"
}
Редактирование правил фильтрации по IP-адресу источника
PATCH /firewall/hw_rules_src_ip

Json-тело запроса (любые поля):

{
    "enabled": "boolean",
    "source_ip": "string",
    "comment": "string"
}
  • enabled - true, если правило включено; false - если выключено;

  • source_ip - IP-адрес источника без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Ответ на успешный запрос: 200 OK

Удаление правил фильтрации по IP-адресу источника
DELETE /firewall/hw_rules_src_ip/<id правила>

Ответ на успешный запрос: 200 OK

Получение правил фильтрации по IP-адресу назначения
GET /firewall/hw_rules_dst_ip

Ответ на успешный запрос:

[
    {
    "id": "string",
    "enabled": "boolean",
    "destination_ip": "string",
    "comment": "string"
    },
    ...
]
  • id - уникальный идентификатор правила;

  • enabled - true, если правило включено; false - если выключено;

  • destination_ip - IP-адрес назначения без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Создание правил фильтрации по IP-адресу назначения
POST /firewall/hw_rules_dst_ip

Json-тело запроса:

{
    "enabled": "boolean",
    "destination_ip": "string",
    "comment": "string"
}
  • enabled - true, если правило включено; false - если выключено;

  • destination_ip - IP-адрес назначения без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Ответ на успешный запрос:

{
  "id": "string"
}
Редактирование правил фильтрации по IP-адресу назначения
PATCH /firewall/hw_rules_dst_ip

Json-тело запроса (любые поля):

{
    "enabled": "boolean",
    "destination_ip": "string",
    "comment": "string"
}
  • enabled - true, если правило включено; false - если выключено;

  • destination_ip - IP-адрес назначения без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Ответ на успешный запрос: 200 OK

Удаление правил фильтрации по IP-адресу назначения
DELETE /firewall/hw_rules_dst_ip/<id правила>

Ответ на успешный запрос: 200 OK

Получение правил фильтрации по IP-адресу источника и назначения
GET /firewall/hw_rules_src_dst_ip

Ответ на успешный запрос:

[
    {
    "id": "string",
    "enabled": "boolean",
    "source_ip": "string",
    "destination_ip": "string",
    "comment": "string"
    },
    ...
]
  • id - уникальный идентификатор правила;

  • enabled - true, если правило включено; false - если выключено;

  • source_ip - IP-адрес источника без маски в формате 192.168.1.2

  • destination_ip - IP-адрес назначения без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Создание правил фильтрации по IP-адресу назначения
POST /firewall/hw_rules_dst_ip

Json-тело запроса:

{
    "enabled": "boolean",
    "source_ip": "string",
    "destination_ip": "string",
    "comment": "string"
}
  • enabled - true, если правило включено; false - если выключено;

  • source_ip - IP-адрес источника без маски в формате 192.168.1.2

  • destination_ip - IP-адрес назначения без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Ответ на успешный запрос:

{
  "id": "string"
}
Редактирование правил фильтрации по IP-адресу назначения
PATCH /firewall/hw_rules_src_dst_ip/<id правила>

Json-тело запроса (любые поля):

{
    "enabled": "boolean",
    "source_ip": "string",
    "destination_ip": "string",
    "comment": "string"
}
  • enabled - true, если правило включено; false - если выключено;

  • source_ip - IP-адрес источника без маски в формате 192.168.1.2

  • destination_ip - IP-адрес назначения без маски в формате 192.168.1.1;

  • comment - комментарий к правилу, может быть пустым. Не длиннее 256 символов.

Ответ на успешный запрос: 200 OK

Удаление правил фильтрации по IP-адресу назначения
DELETE /firewall/hw_rules_src_dst_ip/<id правила>

Ответ на успешный запрос: 200 OK

Управление списками ACL

Получение списка ACL правил
GET /acl/rules

Ответ на успешный запрос:

[
    {
        "name": "string",
        "value": [
            {
                "saddr": "string",
                "daddr": "string",
                "proto": "tcp|udp|ip|icmp",
                "sport_min": "integer",
                "sport_max": "integer",
                "dport_min": "integer",
                "dport_max": "integer",
                "action": "allow|deny"
            }
        ],
        "id": "string"
    }, 
    ...
]
Создание ACL правил
POST /acl/rules

Json-тело запроса:

{
    "name": "string",
    "value": [
        {
            "saddr": "string",
            "daddr": "string",
            "proto": "tcp|udp|ip|icmp",
            "sport_min": "integer",
            "sport_max": "integer",
            "dport_min": "integer",
            "dport_max": "integer",
            "action": "allow|deny"
        }
    ]
}
  • name - название правила;

  • saddr - сеть источника, указанная в формате CIDR (адрес сети и префикс маски), пример: 10.11.12.0/24, допустимо 0.0.0.0/0;

  • daddr - сеть назначения, указанная в формате CIDR (адрес сети и префикс маски), пример: 8.8.8.8/32, допустимо 0.0.0.0/0;

  • proto - тип потокола;

  • sport_min - порт источника начальный (0-65535), для протоколов без порта - оставить 0;

  • sport_max - порт источника конечный (0-65535), для протоколов без порта - оставить 0;

  • dport_min - порт назначения начальный (0-65535), для протоколов без порта - оставить 0;

  • dport_max - порт назначения конечный (0-65535), для протоколов без порта - оставить 0;

  • action - блокировать (deny) или пропускать (allow) сетевые пакеты, если для них нет подходящего правила.

Ответ на успешный запрос:

{
    "id": "string"
}
Изменение ACL правил
PATCH /acl/rules/<id правила>

Json-тело запроса:

{
    "name": "string",
    "value": [
        {
            "saddr": "string",
            "daddr": "string",
            "proto": "tcp|udp|ip|icmp",
            "sport_min": "integer",
            "sport_max": "integer",
            "dport_min": "integer",
            "dport_max": "integer",
            "action": "allow|deny"
        }
    ]
}
  • name - название правила;

  • saddr - сеть источника, указанная в формате CIDR (адрес сети и префикс маски), пример: 10.11.12.0/24, допустимо 0.0.0.0/0;

  • daddr - сеть назначения, указанная в формате CIDR (адрес сети и префикс маски), пример: 8.8.8.8/32, допустимо 0.0.0.0/0;

  • proto - тип потокола;

  • sport_min - порт источника начальный (0-65535), для протоколов без порта - оставить 0;

  • sport_max - порт источника конечный (0-65535), для протоколов без порта - оставить 0;

  • dport_min - порт назначения начальный (0-65535), для протоколов без порта - оставить 0;

  • dport_max - порт назначения конечный (0-65535), для протоколов без порта - оставить 0;

  • action - блокировать deny или пропускать allow сетевые пакеты, если для них нет подходящего правила.

Ответ на успешный запрос: 200 ОК

Удаление ACL правил
DELETE /acl/rules/<id правила>

Ответ на успешный запрос: 200 ОК

Получение упорядочного списка ACL правил
GET /acl/acl-order

Ответ на успешный запрос:

{
    "acl_ordered_list": 
    [
        {
            "src": ["string"],
            "hip": ["string"],
            "acl": "string"
        }
    ],
  ...
}
  • src - источник содержит список алиасов групп пользователей или групп безопасности, таких как AD;

  • hip - HIP-профили;

  • acl - идентификатор правил ACL.

Изменение упорядочного списка ACL правил
PATCH /acl/acl-order

Json-тело запроса:

{
    "acl_ordered_list": 
    [
        {
            "src": ["string"],
            "hip": ["string"],
            "acl": "string"
        }
    ]
}
  • src - источник содержит список алиасов групп пользователей или групп безопасности, таких как AD;

  • hip - HIP-профили;

  • acl - идентификатор правил ACL.

Ответ на успешный запрос: 200 ОК

Получение настроек ACL
GET /acl/acl-state

Ответ на успешный запрос:

{
    "enabled": "boolean",
    "default_action": "deny|allow",
    "logging_enabled": "boolean"
}
  • enabled - разрешить true, либо запретить false обработку трафика (при значении false - для всего трафика allow);

  • default_action - блокировать deny, либо пропустить allow сетевые пакеты, если нет подходящего правила;

  • logging_enabled - разрешить true, либо запретить false логирование действий по обработке трафика.

Изменение настроек ACL
PATCH /acl/acl-state

Json-тело запроса:

{
    "enabled": "boolean",
    "default_action": "deny|allow",
    "logging_enabled": "boolean"
}
  • enabled - разрешить true, либо запретить false обработку трафика (при значении false - для всего трафика allow);

  • default_action - блокировать deny, либо пропустить allow сетевые пакеты, если нет подходящего правила;

  • logging_enabled - разрешить true, либо запретить false логирование действий по обработке трафика.

Ответ на успешный запрос: 200 ОК

PreviousУправление правилами трафикаNextКонтроль приложений

Last updated 27 days ago

Was this helpful?

Json-тело запроса: один из объектов описанных в разделе , без поля id.

Json-тело запроса: один из объектов описанных в разделе , без поля id.

Список поддерживаемых сетевых карт доступен в .

protocol - протокола сетевого уровня. Диапазон 1-65535;

protocol - протокола сетевого уровня. Диапазон 1-65535. Не указывайте протокол IPv4 (значение 2048), для фильтрации на сетевом уровне используйте правила По IP-адресу источника, По IP-адресу назначения, По IP-адресу источника и назначения;

protocol - протокола сетевого уровня. Диапазон 1-65535. Не указывайте протокол IPv4 (значение 2048), для фильтрации на сетевом уровне используйте правила По IP-адресу источника, По IP-адресу назначения, По IP-адресу источника и назначения;

статье
номер
номер
номер
Получение списка правил
Получение списка правил