Контроль приложений
Last updated
Last updated
В версиях 17.X трафик сначала проходит модуль Контроль приложений, а затем Файрвол.
В 18 версии в модуль Контроль приложений отправится только тот трафик, который попадает под разрешающее правило Файрвола с включенной проверкой через профиль Контроля приложений. Очередность обработки трафика в версиях 17.X и в 18.Х версии:
1. Захват трафика для DPI:
Контроль приложений;
Ограничение скорости;
Система предотвращения вторжений.
2. DNS;
3. Захват трафика для фильтрации (прокси-сервер):
Контент-фильтр;
Антивирус веб-трафика.
4. Файрвол.
Принцип создания профилей Контроля приложений в 18 версии NGFW аналогичен принципу создания правил в Правилах трафика -> Контроль приложений в более ранних версиях: все протоколы и приложения, которые не были запрещены, остаются разрешены.
Чтобы трафик фильтровался модулем Контроль приложений, необходимо для всех локальных интерфейсов создать правило FORWARD, содержащее необходимый профиль безопасности. Если в разделе Сервисы -> DNS -> Внешние DNS-серверы включена опция Перехват пользовательских DNS-запросов (по умолчанию включена), нужно также создать аналогичное правило INPUT:
В предыдущих версиях FORWARD- и INPUT-трафик сначала проходит модуль Контроль приложений, а затем Файрвол. В 18 версии в модуль Контроль приложений отправляется трафик, соответствующий только разрешающему правилу Файрвола с включенной проверкой через профиль Контроля приложений.
Файрвол NGFW анализирует трафик для поиска подходящего правила и применяет его. Если в списке есть несколько правил с одними и теми же условиями, применяется правило, стоящее выше по списку. Запрещающие правила Файрвола сразу блокируют соответствующий трафик и не проходит дополнительную проверку в модуле Контроль приложений.
Чтобы через модуль Контроль приложений проходил трафик, для которого нет разрешающего правила в таблице FORWARD или INPUT, рекомендуем создать и включить в Файрволе правило с источником Локальные интерфейсы и назначением Любой, разместив его в конец таблицы. В этом случае трафик, который не был найден в правилах Файрвола, пройдет проверку Контролем приложений. Трафик, не учтенный правилами Файрвола, но запрещенный профилями Контроля приложений, будет заблокирован.
При обновлении с 17 версии Ideco NGFW на 18 версию раздел Правила трафика -> Контроль приложений будет доступен только для просмотра. Это поможет создать профили Контроля приложений в соответствии с ранее созданными правилами.
В версии 18.1 раздел Правила трафика -> Контроль приложений полностью исчезнет. Подробнее о профилях Контроля приложений в статье.
От автоматической миграции решили отказаться из-за вероятности появления дубликатов правил FORWARD и усложнения администрирования таблицы:
Контроль приложений мог бы некорректно определить условия фильтрации, заданные администратором в 17 версии, и для одного правила в таблице FORWARD создать несколько профилей;
Все автоматически созданные профили безопасности были бы применены к существующим правилам FORWARD. А так как одному правилу Файрвола может соответствовать только один профиль безопасности, появились бы дубликаты.