Ideco NGFW
Скачать PDF
v11
v11
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Пользователи терминального сервера
      • Авторизация пользователей
        • Веб-аутентификация
        • Авторизация через Ideco Agent
        • VPN-подключение
          • Ideco VPN-клиент
          • Подключение по PPTP
          • Подключение по PPPoE
          • IPSec IKEv2
          • SSTP
          • L2TP IPSec
          • Личный кабинет пользователя
          • Особенности маршрутизации и организации доступа
          • Подключение по SSTP Wi-Fi роутеров Keenetic
          • Инструкция по запуску PowerShell скриптов
        • Авторизация по IP-адресу
      • Интеграция с Active Directory
        • Авторизация пользователей Active Directory
        • Ввод сервера в домен
        • Скрипты автоматической авторизации и разавторизации.
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи и VPN пользователи
      • Журналы
        • Защита от brute-force атак
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Интеграция с Zabbix
      • Syslog
    • Правила трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Пользовательские квоты
    • Сервисы
      • Сетевые интерфейсы
        • Внешний Ethernet
        • Ethernet + PPTP
        • Ethernet + PPPoE
        • Подключение по 3G и 4G
        • Настройка подключения по L2TP
      • Балансировка и резервирование
      • Маршрутизация
      • Прокси
        • Прокси сервер
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси сервером
        • Подключение к внешним ICAP-сервисам
      • Обратный прокси
      • DNS
      • DHCP
      • IPSec
        • Филиалы и главный офис
        • Подключение устройств
        • Подключение пользователей
      • Сертификаты
        • Загрузка своего SSL-сертификата на сервер
      • Подключение офисов (site-to-site)
        • PPTP VPN
        • Входящее подключение Cisco IOS к Ideco UTM по IPSec
        • Исходящее подключение Ideco UTM к Cisco IOS по IPSec
        • Входящее подключение pfSense к Ideco UTM по IPsec
        • Исходящее подключение pfSense к Ideco UTM по IPsec
        • Подключение Keenetic по SSTP
        • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение Keenetic по IPSec
    • Отчеты
      • Сайты
      • Журнал авторизации
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Терминал
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные инструкции и диагностика проблем
    • Популярные инструкции
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Ubuntu
        • Создание подключения в Astra Linux
        • Автоматическое создание подключений
        • Создание подключения в Windows 10
        • Создание подключения в Windows 7
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Доступ в удаленные сети через роутер в локальной сети
      • Что делать если ваш IP попал в черные списки DNSBL
      • Что делать если не работает Интернет
      • Как восстановить доступ к Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Перенос данных и настроек на другой сервер
  • Ссылки
    • Статьи по тегам
  • changelog
    • Версия ФСТЭК Ideco UTM 11.Х
    • Версия Ideco UTM 11.X
Powered by GitBook
On this page
  • Принцип работы
  • Автоматический SNAT локальных сетей
  • Таблицы файрвола
  • Протоколы
  • Создание правил
  • Примеры правил и техник

Was this helpful?

  1. Настройка
  2. Правила трафика

Файрвол

PreviousПравила трафикаNextКонтроль приложений

Last updated 3 months ago

Was this helpful?

Принцип работы

Одним из основных средств управления трафиком на сервере является файрвол (межсетевой экран). С его помощью можно по различным критериям ограничивать пользовательский трафик, проходящий:

  • из локальных сетей во внешние через сервер;

  • между разными локальными сетями сервера;

  • на сам сервер Ideco UTM.

Принцип работы файрвола заключается в проведении анализа заголовков пакетов, проходящих через интерфейсы сервера. Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP. Поэтому файрвол хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам, принадлежности к определенным IP-сетям и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.

Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети Интернет, исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи более высокого уровня, как правило, касающиеся веб-трафика, решаются с помощью модуля .

Настройка файрвола производится в разделе веб-интерфейса Правила трафика -> Файрвол.

В Ideco UTM имеются преднастроенные и автоматически включаемые системные правила. Они обеспечивают защиту служб почтового сервера, прокси и обратного прокси-сервера, и других. Как правило, нет необходимости дополнительно настраивать защиту сервера Ideco UTM с помощью пользовательских правил. Используйте их для фильтрации трафика локальной сети и публикации ресурсов. Даже при отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.

В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco UTM), вы можете отключить пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол, введя цифру 8 и нажмите Enter.

Автоматический SNAT локальных сетей

Параметр Автоматический SNAT локальных сетей включает в файрволе автоматическое преобразование адреса для трафика уходящего во внешний интерфейс, если источник равен 10.0.0.0/8, 172.16.0.0/12 192.168.0.0/16 и адресов, которые прописаны во вкладке SNAT, если выбрано Действие SNAT. Таким образом вам не нужно создавать такие правила вручную и изменять их при добавлении или изменении локальных сетей.

Отключите данную настройку, если есть необходимость доступа с внешних сетей (например ведомственных, либо DMZ) до локальной сети Ideco UTM без NAT.

Вы можете создать правила SNAT вручную для тех, кому он необходим и отключить (правилом «не SNAT») для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.

Таблицы файрвола

Для удобства управления правилами в интерфейсе они разбиты на четыре таблицы:

  • FORWARD - правила в данной таблице действуют на трафик, проходящий между интерфейсами сервера, т.е. сетью Интернет и локальной сетью, а также между локальными сетями. Это основная таблица, в которую могут быть добавлены правила, ограничивающие трафик пользователей.

  • DNAT (перенаправление портов) - правила этой таблицы используются для прямого перенаправления портов с внешнего интерфейса на определенные ресурсы в локальной сети. Такие правила часто называются правилами проброса портов (port forwarding, portmapper).

  • INPUT - таблица для правил входящего трафика на интерфейсы сервера. Как правило, это трафик для служб сервера (например, почтового сервера).

  • SNAT - таблица правил для управления трансляцией сетевых адресов.

Настоятельно не рекомендуем создавать FORWARD и INPUT правила, которые запрещают весь трафик.

Протоколы

При создании правила необходимо выбрать протокол передачи данных, на который будет действовать создаваемое вами правило. Если вы выбираете из списка параметр Любой, то правило будет действовать на весь трафик.

Описание протоколов

  • UDP - Является одним из самых простых протоколов транспортного уровня модели OSI. Не гарантирует доставку пакета. Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная способность линий связи или требуется малое время доставки данных;

  • TCP - Выполняет функции протокола транспортного уровня модели OSI. В отличие от UDP, TCP гарантирует доставку пакета;

  • ICMP - В основном используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных;

  • GRE - Назначение протокола – инкапсуляция пакетов сетевого уровня модели OSI в IP-пакеты. Номер протокола в IP – 47. В основном используется при создании VPN (Virtual Private Network);

  • AH - Протокол защиты передаваемых данных в IPsec. Обеспечивает идентификацию, проверку целостности и защиту от воспроизведения информации;

  • ESP - Протокол защиты передаваемых данных в IPsec. Обеспечивает идентификацию, проверку целостности и защиту от воспроизведения информации. Отличие протокола ESP от AH состоит в том, что ESP выполняет шифрование данных. При работе с ESP для шифрования и расшифровки данных обе конечные системы применяют общий ключ.

Создание правил

Для того чтобы создать правила в нужной таблице, нажмите кнопку Добавить в левом верхнем углу экрана.

При создании правил для фильтрации веб-трафика из локальных сетей (80, 443 TCP порты), для полноценной работы правила, в поле Входящий интерфейс должен указываться объект Любой. Если будет указан иной входящий интерфейс, то правило не будет обрабатывать веб-трафик.

Параметры правил

По-умолчанию используется политика РАЗРЕШИТЬ. Если вы не создадите запрещающих правил, все порты и протоколы для пользователей будут разрешены.

Параметры

  • Протокол - Протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH либо Любой);

  • Входящий интерфейс - Интерфейс UTM, в который будет входить трафик;

  • Исходящий интерфейс - Интерфейс UTM, через который будет выходить трафик;

  • Комментарий - Произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов;

  • Действие - Pазрешает или запрещает трафик.

Действия

  • Запретить - Запрещает трафик;

  • Разрешить - Разрешает трафик;

  • DNAT - Транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. Ниже в поле Изменить IP-адрес назначения вы можете указать один IP-адрес или диапазон (при указании диапазона IP-адресов пакет будет перенаправлен на любой из них). Аналогично, если при создании правила вы указали протоколы TCP или UDP, то появится поле Сменить порт назначения. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт;

  • SNAT - Транслирует адреса источника;

  • Не производить SNAT - Отменяет действие SNAT для трафика, удовлетворяющего критериям правила;

  • Не производить DNAT - Отменяет действие DNAT для трафика, удовлетворяющего критериям правила.

Примеры правил и техник

Портмаппинг, DNAT, публикация сервера в локальной сети
Блокировка различных ресурсов средствами файрвола
Массовая блокировка IP-адресов и сетей

1. Нужно сформировать список для блокировки в текстовом файле:

  • Наименование файла обязательно должно быть manual_blocklist.txt.

  • В одной строке следует указывать только один IP-адрес или одну сеть.

  • Формат написания IP-адреса: 1.2.3.4

  • Формат написания сети: 1.2.3.0/24

2. Переместить файл manual_blocklist.txt в каталог /var/opt/ideco/firewall-backend/

3. В терминале Ideco UTM выполнить команду ideco-apply-manual-blocklist

После перезагрузки Ideco UTM IP-адреса и сети из файла будут автоматически блокироваться (дополнительно выполнять команду ideco-apply-manual-blocklist не нужно). При обновлении Ideco UTM, список блокировок сохранится.

Если требуется добавление адресов в список заблокированных, следует добавить адреса в файл /var/opt/ideco/firewall-backend/manual_blocklist.txt и повторно выполнить команду ideco-apply-manual-blocklist.

Для удаления адресов из списка заблокированных, следует удалить необходимые адреса из файла /var/opt/ideco/firewall-backend/manual_blocklist.txt и выполнить команду ideco-apply-manual-blocklist

Доступ до терминального сервера определенному пользователю

1. Во вкладке Forward нажмите Добавить;

2. Заполните следующие поля:

  • Протокол - выберите TCP

  • Источник - выберите пользователя или группу пользователей

  • Назначения - укажите адрес терминального сервера

  • Порты назначения - укажите порт 3389

  • Действие - Разрешить

3. Нажмите Сохранить.

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. .

Правила в таблицах имеют приоритет сверху вниз (т.е. верхнее правило приоритетнее нижнего). Перед созданием правил для сетей, IP-адресов или диапазонов IP-адресов, предварительно создайте их в разделе .

Укажите необходимые параметры и действия правила и нажмите кнопку Сохранить. Правило будет добавлено в конец списка. Если необходимо, измените его приоритет кнопками .

Источник - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети или домены - данные берутся из , заданных пользователем. Также в качестве источника могут использоваться пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

Порт назначения - Указывается при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в ;

Время действия - Время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в ;

Примеры данных настроек подробно описаны в соответствующих статьях в разделе

Вопросы блокировки различных ресурсов: программ удаленного управления (AmmyAdmin и TeamViewer), мессенджеров и другого ПО описаны в разделе .

Читать подробнее
Объекты
Объектов
Объектах
Объектах
Публикация ресурсов.
Блокировка популярных ресурсов
Контент фильтр