Тестирование правил
В статье описана настройка тестирования правил Файрвола Ideco NGFW.
Last updated
Was this helpful?
В статье описана настройка тестирования правил Файрвола Ideco NGFW.
Last updated
Was this helpful?
На вкладке создаются тесты для проверки работы правил таблицы FORWARD и INPUT.
Тест - это конкретный пример, в котором проверяется доступ до определенного IP-адреса с учетом правил таблицы Файрвола. Во время тестирования NGFW генерирует тестовый пакет с заданным источником и назначением, после чего проверяет, как пакет проходит через Файрвол.
Рекомендуем использовать для источника порты из диапазона 49152 - 65535 (динамически выделяемые или частные порты, которые не регистрируются IANA).
В качестве интерфейса источника можно выбрать:
Тунельный (GRE).
Локальный Ethernet.
Внешний Ethernet.
Внешний Ethernet + PPTP.
Внешний Ethernet + L2TP.
Внешний Ethernet + PPPoE.
Для создания теста выполните действия:
1. Перейдите на вкладку Правила трафика -> Файрвол -> Тестирование правил и нажмите Добавить.
2. Заполните поля:
3. Нажмите Добавить.
Созданные тесты добавляются в таблицу:
Запуск теста не происходит автоматически при его добавлении. Для запуска:
2. Нажмите Запустить тестирование в левом нижнем углу вкладки.
Если тест выключен, то его тестирование запускаться не будет.
При совпадении ожидаемого и фактического действия тестирование считается успешным:
Если у выбранного теста Интерфейс источника был удален (отображается Удалено в столбце Интерфейс), тестирование завершится с фактическим действием Запретить.
В правом нижнем углу вкладки представлены сведения о последнем тестировании: текущий статус (Успешно/Ошибка), время проведения и количество неуспешных тестов (из числа включенных в столбце Управление):
Повторный запуск сбрасывает результаты предыдущего тестирования.
1. Включите нужный тест .
Залогированные правила вида fwd.sys.xxx
, inp.sys.xxx
, out.sys.xxx
в столбце Правило - результат срабатывания системного правила, которое разрешило или запретило прохождение трафика в рамках проверки, если не сработало ни одно пользовательское правило. Это правила Файрвола, которыми нельзя управлять из веб-интерфейса Ideco NGFW, они всегда включены. Правила Forward System и Input System имеют приоритет над пользовательскими правилами Файрвола. Посмотреть системное правило, которое сработало, можно через .
Не рекомендуем включать опцию Блокировать весь трафик в случае неудачного теста, иначе при любом неуспешном результате теста (обозначен ) весь трафик через NGFW будет заблокирован. Единственный способ снятия блокировки - тестирование без ошибок. Отключение опции не сработает: