Порядок обработки веб-трафика в Ideco NGFW
Порядок обработки веб-трафика:
1. DNS.
2. Захват трафика для DPI:
Контроль приложений;
Ограничение скорости;
Система предотвращения вторжений.
3. Захват трафика для фильтрации (прокси-сервер):
Контент-фильтр;
Антивирус веб-трафика.
4. Файрвол.
INPUT-правила Файрвола обрабатывают трафик раньше прокси-сервера.
Как проверить, что заблокирует трафик первым: Контроль приложений или система Предотвращения вторжений?
Для примера заблокируем TunnelBear для User1.
1. Перейдите в раздел Контроль приложений и создайте правило, блокирующее протокол TunnelBear для User1:
2. Убедитесь, что в разделе Предотвращение вторжений активно правило блокировки Анонимайзеры:
3. Авторизуйте User1 с устройства на Windows и попробуйте зайти на сайт https://www.tunnelbear.com/.
4. Перейдите в Управление сервером -> Терминал для просмотра логов Контроля приложений/системы Предотвращение вторжений и выполните команду:
Номер локального интерфейса можно узнать в Терминале, выполнив команду ip a .
В логах Контроля приложений появятся записи о блокировке протокола TunnelBear:
В Правила трафика -> Предотвращение вторжений -> Журнал записей о срабатывании правила Анонимайзеры нет. Значит, Контроль приложений обрабатывает трафик приоритетнее, чем система Предотвращения вторжений.
Подробнее о расшифровке передаваемых логов системы Предотвращения вторжений и Контроля приложений в статье Syslog.
Как проверить, что система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол?
Для примера создайте GeoIP-правила для системы Предотвращения вторжений и Файрвола, блокирующие запросы к сайтам Польши.
1. В разделе Правила трафика -> Файрвол создайте правило, блокирующее запросы к сайтам Польши:
2. Переведите ползунок Счетчик срабатываний в Отображении данных в положение Включен, чтобы отследить, было ли срабатывание правила.
3. Перейдите на вкладку Логирование, создайте правило логирования:
4. Проверьте, что в разделе Предотвращения вторжений включен блок правил блокировки стран Восточной Европы по GeoIP:
5. Авторизуйте пользователя и зайдите на любой польский сайт, например, www.gov.pl. Сайт не должен открыться.
6. В разделе Правила трафика -> Предотвращение вторжений -> Журнал появится запись о блокировке GeoIP Польши:
7. Перейдите в раздел Файрвол для просмотра счетчика срабатываний. Он должен быть равен нулю.
Если отключить систему Предотвращения вторжений и снова перейти на сайт www.gov.pl, то в логах срабатывания Файрвола начнут появляться записи о блокировке:
Информацию о том, как просмотреть логи срабатывания Файрвола, можно найти по ссылке.
Счетчик срабатываний запрещающего правила начал расти, так как трафик, будучи не заблокированным выключенной системой Предотвращения вторжений, пошел далее по приоритету и начал блокироваться Файрволом:
Система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол.
Как проверить, что Контент-фильтр обрабатывает трафик приоритетнее, чем Антивирус веб-трафика?
Для примера использовался тестовый файл с Eicar, доступный для скачивания по ссылке.
1. Перейдите в раздел Правила трафика -> Контент фильтр -> Пользовательские категории. Нажмите Добавить.
3. Перейдите на вкладку Правила и создайте два правила для User1:
Правило расшифровки всех HTTPS-запросов, чтобы антивирус мог работать с HTTPS-трафиком;
Правило блокировки созданной пользовательской категории:
4. Убедитесь, что опция Антивирусы веб-трафика переведена в положение Включен:
5. Авторизуйте пользователя и перейдите по ссылке на скачивание Eicar. Откроется страница блокировки Контент-фильтра:
Контент-фильтр обрабатывает трафик приоритетнее, чем антивирусы. Просмотреть информацию о срабатывании правил Контент-фильтра можно в Отчеты -> Трафик -> Топ сайтов.
Last updated
