Файрвол
В статье рассказывается про работу, настройку и особенности Файрвола в Ideco NGFW.
Last updated
Was this helpful?
В статье рассказывается про работу, настройку и особенности Файрвола в Ideco NGFW.
Last updated
Was this helpful?
Название службы раздела Файрвол: ideco-firewall-backend.
Список имен служб для других разделов доступен по .
Файрвол - средство управления трафиком на сервере (межсетевой экран). Поддерживает фильтрацию пакетов с контролем состояния соединений (Stateful Inspection) - решение о блокировке принимается на все соединение.
Файрвол анализирует заголовки IP-пакетов и TCP-сегментов, проходящих через интерфейсы сервера, и фильтрует трафик на основании параметров заголовков (IP-адреса, TCP/UDP-порты и IP-протокол).
С помощью Файрвола можно создавать наборы правил, которые разграничивают трафик между различными сетями: локальными, VPN и публичными (интернет). В Ideco NGFW предусмотрены преднастроенные и автоматически включаемые системные правила. Пользовательские правила используются для фильтрации трафика локальной сети и публикации ресурсов.
Рекомендуем выпускать весь пользовательский трафик через Ideco NGFW для оптимальной работы политик безопасности (модулей Контроль приложений и Предотвращение вторжений).
Файрвол не предназначен для решения задач контроля доступа к ресурсам по URL, доменному имени или типу контента на веб-сайтах. Эти задачи решаются с помощью .
Файрвол использует для фильтрации трафика как отдельные интерфейсы, так и зоны - логические объединения сетевых интерфейсов. Преимущества такого подхода:
Гибкость управления правилами при большом количестве интерфейсов;
Упрощение процесса добавления/удаления интерфейсов без необходимости редактирования множества правил;
Возможность выбора удобных названий для зон (например, Разработчики, Гости), что делает правила более читаемыми.
Для работы DPI/IPS в правилах Файрвола можно подключить Профили безопасности, создав разрешающее правило с включенной проверкой через Контроль приложений и/или систему Предотвращения вторжений. Профили настраиваются в разделе .
Настройка производится в разделе веб-интерфейса Правила трафика -> Файрвол. На вкладках раздела добавляются правила управления трафиком, которые отображаются в таблицах Файрвола. При наличии большого количества правил используйте кнопку Фильтры.
Если необходимо добавить большое количество правил, можно использовать . Эти правила не будут отображаться в веб-интерфейсе, но будут работать значительно быстрее.
Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил Файрвола. После включения опции в таблице появится соответствующий столбец:
Включение режима удаленного помощника изменяет таблицу правил Файрвола, разрешая подключение по SSH из локальных и внешних сетей.
В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для других протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.
При использовании зон в Файрволе следует учесть, что одна зона не может содержать более 64 интерфейсов, настроенных в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключений.
В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW) в локальном меню сервера выберите пункт Отключить пользовательский файрвол и нажмите Enter:
;
;
;
;
;
.
;
.
