Порядок обработки веб-трафика в Ideco NGFW
Порядок обработки веб-трафика:
1. DNS.
2. Захват трафика для DPI:
Контроль приложений;
Ограничение скорости;
Система предотвращения вторжений.
3. Захват трафика для фильтрации (прокси-сервер):
Контент-фильтр;
Антивирус веб-трафика.
4. Файрвол.
INPUT-правила Файрвола обрабатывают трафик раньше прокси-сервера.
Как проверить, что заблокирует трафик первым: Контроль приложений или система Предотвращения вторжений?
Для примера заблокируем WeChat для User1.
1. Перейдите в раздел Контроль приложений и создайте правило, блокирующее протокол WeChat для User1:
2. Убедитесь, что в разделе Предотвращение вторжений активно правило блокировки GeoIP cтран Юго-Восточной Азии:
3. Авторизуйте User1 с устройства на Windows и попробуйте зайти на сайт https://www.wechatapp.com/.
4. Перейдите в Управление сервером -> Терминал для просмотра логов Контроля приложений/системы Предотвращение вторжений и выполните команду:
Номер локального интерфейса можно узнать в Терминале, выполнив команду ip a .
В логах Контроля приложений появятся записи о блокировке протокола WeChat:
В Правила трафика -> Предотвращение вторжений -> Журнал записей о срабатывании правила GeoIP cтран Юго-Восточной Азии нет. Значит, Контроль приложений обрабатывает трафик приоритетнее, чем система Предотвращения вторжений.
Подробнее о расшифровке передаваемых логов системы Предотвращения вторжений и Контроля приложений в статье Syslog.
Как проверить, что система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол?
Для примера создайте GeoIP-правила для системы Предотвращения вторжений и Файрвола, блокирующие запросы к сайтам Бразилии.
1. В разделе Правила трафика -> Файрвол создайте правило, блокирующее запросы к сайтам Бразилии:
2. Переведите ползунок Счетчик срабатываний в Отображении данных в положение включен, чтобы отследить, было ли срабатывание правила.
3. Перейдите во вкладку Логирование, создайте правило логирования:
4. Проверьте, что в разделе Предотвращения вторжений включен блок правил блокировки стран Южной Америки по GeoIP:
5. Авторизуйте пользователя и зайдите на любой сайт, находящийся в Бразилии, например, www.gov.br. Сайт не должен открыться.
6. В разделе Правила трафика -> Предотвращение вторжений -> Журнал появится запись о блокировке GeoIP Бразилии:
7. Перейдите в раздел Файрвол для просмотра счетчика срабатываний. Он должен быть равен нулю.
Если отключить систему Предотвращения вторжений и снова перейти на сайт www.gov.br, то в логах срабатывания Файрвола начнут появляться записи о блокировке:
Счетчик срабатываний запрещающего правила начал расти, так как трафик, будучи не заблокированным выключенной системой Предотвращения вторжений, пошел далее по приоритету и начал блокироваться Файрволом:
Система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол.
Как проверить, что Контент-фильтр обрабатывает трафик приоритетнее, чем Антивирус веб-трафика?
Для примера использовался тестовый файл с Eicar, доступный для скачивания по ссылке и создан User1.
1. Перейдите в раздел Правила трафика -> Контент фильтр -> Пользовательские категории.
3. Перейдите во вкладку Правила и создайте два правила для User1:
Правило расшифровки всех HTTPS-запросов, чтобы антивирус мог работать с HTTPS-трафиком;
Правило блокировки созданной пользовательской категории:
4. Убедитесь, что раздел Антивирусы веб-трафика переведен в положение Включен:
5. Авторизуйте пользователя и перейдите по ссылке на скачивание Eicar. Откроется страница блокировки контент-фильтра:
Контент-фильтр обрабатывает трафик приоритетнее, чем антивирусы. Просмотреть информацию о срабатывании правил Контент-фильтра можно в Отчеты -> Трафик -> Топ сайтов.
Last updated
