Как разрешить доступ к ресурсам в ограниченной сети
Представленные примеры актуальны в случае, когда необходимо максимально ограничить доступ в интернет, но разрешить доступ к конкретным ресурсам.
Last updated
Was this helpful?
Представленные примеры актуальны в случае, когда необходимо максимально ограничить доступ в интернет, но разрешить доступ к конкретным ресурсам.
Last updated
Was this helpful?
Пример. Необходимо ограничить доступ ко всем внутренним ресурсам Ideco NGFW, кроме веб-интерфеса администратора Ideco NGFW.
1. В разделе Правила трафика -> Файрвол -> INPUT создайте разрешающее правило, заполнив поля:
Протокол - протокол транспортного уровня TCP;
Зона источника - можно выбрать только один источник, для каждого источника создается отдельное правило. Выберите значение Локальные интерфейсы, чтобы разрешить доступ из локальной сети;
Адрес источника - при необходимости укажите учетную запись пользователя или IP-адрес, которому необходимо разрешить доступ к веб-интерфейсу Ideco NGFW;
Порт - 8443.
Включите правило и нажмите Добавить.
2. Если Ideco NGFW используется как DNS-сервер или включен перехват пользовательских DNS-запросов, необходимо в таблице INPUT создать правила для протоколов TCP и UDP, разрешающие подключение из локальной сети на порт 53:
3. Создайте запрещающее весь трафик правило INPUT. При создании правила доступна опция Включить правило в разделе Дополнительно. Не включайте его, пока не убедитесь, что в таблице разрешающее правило находится выше запрещающего.
При потере доступа к веб-интерфейсу Ideco NGFW воспользуйтесь опцией Включить режим 'Разрешить интернет всем'.
Пример. Необходимо ограничить весь транзитный трафик всем пользователям, но разрешить доступ к внешним почтовым сервисам пользователю user.
1. В разделе Правила трафика -> Файрвол -> FORWARD создайте разрешающее правило, заполнив поля:
Протокол - протокол транспортного уровня TCP;
Адрес источника - user;
Порты назначения - IMAP, POP3, MAIL (порты, используемые для передачи почты по протоколам POP3, IMAP, SMTP и их защищенных версий).
Включите правило и нажмите Добавить.
2. Создайте запрещающее весь трафик правило FORWARD. В таблице поместите разрешающее правило выше запрещающего.
Пример. Необходимо ограничить весь транзитный трафик, но разрешить трафик из локальной во внешнюю сеть. При этом нужно запретить доступ пользователям к приложениям удаленного доступа AnyDesk и TeamViewer.
1. В разделе Профили безопасности -> Контроль приложений создайте профиль, запрещающий доступ к AnyDesk и TeamViewer:
2. В разделе Правила трафика -> Файрвол -> FORWARD создайте разрешающее правило, заполнив поля:
Протокол - при добавлении правила можно выбрать только один протокол, при необходимости создайте несколько правил;
Зона источника - Локальные интерфейсы, чтобы разрешить доступ из локальной сети;
Зона назначения - Внешние интерфейсы, чтобы разрешить доступ во внешнюю сеть;
Профили безопасности - профиль Контроля приложений, созданный в шаге 1.
Включите правило и нажмите Добавить.
3. Создайте запрещающее весь трафик правило FORWARD. В таблице поместите разрешающее правило выше запрещающего.
