Файрвол

Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.

Название службы раздела Файрвол: ideco-firewall-backend. Список имен служб для других разделов доступен по ссылке.

Принцип работы файрвола заключается в проведении анализа заголовков пакетов, проходящих через интерфейсы сервера.

Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP. Поэтому файрвол хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.

Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети Интернет, исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи, как правило, касающиеся веб-трафика, решаются с помощью модуля Контент фильтр.

Настройка файрвола производится в разделе веб-интерфейса Правила трафика -> Файрвол.

Для обеспечения защиты в UTM есть преднастроенные и автоматически включаемые системные правила. Используйте пользовательские правила для фильтрации трафика локальной сети и публикации ресурсов.

Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети интернет исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи, обычно касающиеся веб-трафика, решаются с помощью модуля Контент фильтр.

Для блокировки веб-трафика используйте модуль Контент фильтра.

Включение режима удаленного помощника изменяет таблицу правил файрвола. При этом становится доступно подключение по SSH из локальных и внешних сетей.

В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.

При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.

В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco UTM), отключите пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол, введя цифру 8 и нажмите Enter.

Автоматический SNAT локальных сетей и счетчик срабатываний

Включите опцию Автоматический SNAT локальных сетей для автоматического преобразования адреса трафика уходящего во внешний интерфейс, если источник равен 10.0.0.0/8, 172.16.0.0/12 192.168.0.0/16 и адресов, которые прописаны во вкладке SNAT, если выбрано действие SNAT. Таким образом, не нужно создавать правила вручную и изменять их при добавлении или изменении локальных сетей.

Вы можете создать правила SNAT вручную для тех, кому он необходим и отключить (правилом «не SNAT») для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.

Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил файрвола. После включения опции в таблице появится соответствующий столбец.

Last updated