Файрвол
Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.
Last updated
Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.
Last updated
Название службы раздела Файрвол: ideco-firewall-backend.
Список имен служб для других разделов доступен по ссылке.
Принцип работы файрвола заключается в проведении анализа заголовков пакетов, проходящих через интерфейсы сервера.
Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP. Поэтому файрвол хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.
Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети Интернет, исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи, как правило, касающиеся веб-трафика, решаются с помощью модуля Контент фильтр.
Настройка файрвола производится в разделе веб-интерфейса Правила трафика -> Файрвол.
Для обеспечения защиты в UTM есть преднастроенные и автоматически включаемые системные правила. Используйте пользовательские правила для фильтрации трафика локальной сети и публикации ресурсов.
Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети интернет исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи, обычно касающиеся веб-трафика, решаются с помощью модуля Контент фильтр.
Для блокировки веб-трафика используйте модуль Контент фильтра.
Включение режима удаленного помощника изменяет таблицу правил файрвола. При этом становится доступно подключение по SSH из локальных и внешних сетей.
В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.
При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.
В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco UTM), отключите пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол, введя цифру 8 и нажмите Enter.
Включите опцию Автоматический SNAT локальных сетей для автоматического преобразования адреса трафика уходящего во внешний интерфейс, если источник равен 10.0.0.0/8, 172.16.0.0/12 192.168.0.0/16 и адресов, которые прописаны во вкладке SNAT, если выбрано действие SNAT. Таким образом, не нужно создавать правила вручную и изменять их при добавлении или изменении локальных сетей.
Можно создать правила SNAT вручную для тех, кому он необходим и отключить (правилом «не SNAT») для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.
Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил файрвола. После включения опции в таблице появится соответствующий столбец.
