Порядок обработки веб-трафика в Ideco UTM
Порядок обработки веб-трафика:
1. DNS.
2. Захват трафика для DPI:
Контроль приложений;
Ограничение скорости;
Система предотвращения вторжений.
3. Захват трафика для фильтрации (прокси-сервер):
Контент-фильтр;
Антивирус веб-трафика.
4. Файрвол.
INPUT-правила Файрвола обрабатывают трафик раньше прокси-сервера.
Как проверить, что заблокирует трафик первым: Контроль приложений или система Предотвращения вторжений?
Для примера заблокируем WeChat для User1.
1. Перейдите в раздел Контроль приложений и создайте правило, блокирующее протокол WeChat для User1:
2. Убедитесь, что в разделе Предотвращение вторжений активно правило блокировки GeoIP cтран Юго-Восточной Азии:
3. Авторизуйте User1 с устройства на Windows и попробуйте зайти на сайт https://www.wechatapp.com/
.
4. Перейдите в Управление сервером -> Терминал для просмотра логов Контроля приложений/системы Предотвращение вторжений и выполните команду:
Номер локального интерфейса можно узнать в Терминале, выполнив команду ip a
.
В логах Контроля приложений появятся записи о блокировке протокола WeChat:
В Правила трафика -> Предотвращение вторжений -> Журнал записей о срабатывании правила GeoIP cтран Юго-Восточной Азии нет. Значит, Контроль приложений обрабатывает трафик приоритетнее, чем система Предотвращения вторжений.
Подробнее о расшифровке передаваемых логов системы Предотвращения вторжений и Контроля приложений в статье Syslog.
Как проверить, что система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол?
Для примера создадим GeoIP-правила для системы Предотвращения вторжений и Файрвола, блокирующие запросы к сайтам Бразилии.
1. В разделе Правила трафика -> Файрвол создаем правило, блокирующее запросы к сайтам Бразилии:
2. Переводим ползунок Счетчик срабатываний над таблицей в положение включен, чтобы отследить, было ли срабатывание правила.
3. Переходим во вкладку Логирование, создаем правило логирования:
4. Проверяем, что в разделе Предотвращения вторжений включён блок правил блокировки стран Южной Америки по GeoIP:
5. Авторизуем пользователя и заходим на любой сайт, находящийся в Бразилии, например, www.gov.br
. Сайт не должен открыться.
6. В разделе Правила трафика -> Предотвращение вторжений -> Журнал появится запись о блокировке GeoIP Бразилии:
7. Переходим в раздел Файрвол для просмотра счетчика срабатываний. Он должен быть равен нулю.
Если отключить систему Предотвращения вторжений и снова перейти на сайт cbf.com.br, то в логах срабатывания Файрвола начали появляться записи о блокировке:
Счётчик срабатываний запрещающего правила начал расти, так как трафик, будучи не заблокированным выключенной системой Предотвращения вторжений, пошёл далее по приоритету и начал блокироваться Файрволом:
Система Предотвращения вторжений обрабатывает трафик приоритетнее, чем Файрвол.
Как проверить, что контент-фильтр обрабатывает трафик приоритетнее, чем антивирус веб-трафика?
Для примера использовался тестовый файл с Eicar, доступный для скачивания по ссылке и создан Пользователь 1.
1. Переходим Правила трафика -> Контент фильтр -> Пользовательские категории.
2. Нажимаем Добавить для создания пользовательской категории и заполняем, как на изображении:
3. Переходим во вкладку Правила и создаем два правила для Пользователя 1:
Правило расшифровки всех HTTPS-запросов, чтобы антивирус мог работать с HTTPS-трафиком;
Правило блокировки созданной пользовательской категории:
4. Убедимся, что раздел Антивирусы веб-трафика переведен в положение Включен:
5. Авторизуем пользователя и переходим по ссылке на скачивание Eicar. Откроется страница блокировки контент-фильтра:
Контент-фильтр обрабатывает трафик приоритетнее, чем антивирусы. Просмотреть информацию о срабатывании правил Контент-фильтра можно в Отчеты -> Трафик -> Топ сайтов.
Last updated