Профили контроля приложений
Настройка профилей контроля приложений для подготовки к обновлению на NGFW версии 18.Х.
В 18 версии Ideco NGFW все правила из раздела Правила трафика -> Контроль приложений будут доступны только для просмотра!
Чтобы подготовиться к изменениям, обновите версию до 17.5 (если у вас 17.4 и ниже), создайте профили в разделе Профили безопасности -> Профили контроля приложений и выберите их в правилах Файрвола.
Созданные профили не будут влиять на работу правил Файрвола в 17 версии, но начнут работать после обновления на 18 версию, если применены в правилах Файрвола.
Будьте внимательны! Несмотря на то, что в 17 версии профили Контроля приложений не применяются, выбранное в Файрволе действие работает (Разрешить/Запретить). В связи с этим до обновления на 18 версию рекомендуем временно отключить правила, созданные с применением профилей контроля приложений.
Что изменится с появлением профилей контроля приложений
В версиях ⩽ 17 весь FORWARD-трафик сначала проходит модуль Контроль приложений, а затем Файрвол.
В 18 версии в модуль Контроль приложений отправится только тот трафик, который попадает под разрешающее правило Файрвола с включенной проверкой через профиль контроля приложений согласно настройкам. Очередность обработки трафика в версиях ⩽ 17 и в ⩾ 18 версии:
1. DNS;
2. Захват трафика для DPI:
Контроль приложений;
Ограничение скорости;
Система предотвращения вторжений.
3. Захват трафика для фильтрации (прокси-сервер):
Контент-фильтр;
Антивирус веб-трафика.
4. Файрвол.
Принцип создания Профилей контроля приложений в 18 версии Ideco NGFW аналогичен принципу создания правил Контроля приложений в более ранних версиях: все протоколы и приложения, которые не были запрещены, остаются разрешены.
Почему мы отказались от автоматической миграции
От автоматической миграции решили отказаться из-за вероятности появления дубликатов правил FORWARD и усложнения администрирования таблицы:
Контроль приложений мог бы некорректно определить условия фильтрации, заданные администратором в 17 версии, и для одного правила в таблице FORWARD создать несколько профилей;
Все автоматически созданные профили безопасности были бы применены к существующим правилам FORWARD. А так как одному правилу Файрвола может соответствовать только один профиль безопасности, появились бы дубликаты.
Создание профиля и добавление в правила Файрвола
Модуль Контроль приложений НЕ БУДЕТ обрабатывать трафик в версии 18.Х, если в модуле Файрвол для этого трафика нет разрешающего правила (действие Разрешить) с указанным профилем контроля приложений. Проверьте, что для соответствующего трафика добавлен профиль безопасности.
Рекомендуем объединить пользователей в несколько групп/подгрупп (например, в соответствии с организационной структурой компании) и настроить профиль контроля приложений отдельно для каждой группы.
Пример. Необходимо ограничить доступ к социальным сетям пользователям группы "Бухгалтерия".
Создание профиля контроля приложений
1. Перейдите в раздел Профили безопасности -> Профили контроля приложений и нажмите Добавить.
2. Заполните Название и Комментарий (необязательно):
К неизвестным источникам по умолчанию применяется действие Разрешить (доступно для редактирования).
4. Нажмите Сохранить.
Добавление профиля в правила Файрвола
1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.
2. Заполните поля:
Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать с помощью профиля контроля приложений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить;
3. Включите опцию Контроль приложений и в разделе Профили для фильтрации из раскрывающегося списка выберите профиль, запрещающий социальные сети сотрудникам бухгалтерии.
4. Включите правило или оставьте его выключенным.
5. Нажмите Сохранить.
С 18 версии NGFW правила Файрвола, которые блокировали трафик за счет перехвата DNS в предыдущих версиях, не смогут его блокировать. Чтобы это исправить, создайте правила с профилями IPS и DPI в разделе Правила трафика -> Файрвол -> INPUT.
ВАЖНО: Чтобы через модуль Контроль приложений проходил трафик, для которого нет разрешающего правила в таблице FORWARD, рекомендуем создать в Файрволе правило с источником Локальные интерфейсы и назначением Любой, разместив его в конец таблицы.
Один из вариантов корректного применения политик безопасности к вложенной структуре пользователей - построение иерархической структуры Профилей контроля приложений:
Профили для самой большой группы пользователей запрещают наибольшее количество протоколов и приложений;
Профили для более мелких групп пользователей повторяют запрет для самой большой группы пользователей, но точечно разрешают определенные приложения и протоколы для конкретных подгрупп;
Профили для конкретных пользователей разрешают опеределенные протоколы и приложения, необходимые этим конкретным пользователям. В этих профилях также остаются запреты, которые должны сохраниться для этих пользователей.
С 18 версии NGFW правила Файрвола, которые блокировали трафик за счет перехвата DNS в предыдущих версиях, не смогут его блокировать. Чтобы это исправить, создайте правила с профилями IPS и DPI в разделе Правила трафика -> Файрвол -> INPUT.
Last updated