Файрвол

Файрвол - средство управления трафиком на сервере (межсетевой экран). Поддерживает фильтрацию пакетов с контролем состояния соединений (Stateful Inspection).

Принцип работы

Файрвол анализирует заголовки IP-пакетов и TCP-сегментов, проходящих через интерфейсы сервера, и фильтрует трафик на основании параметров заголовков (IP-адреса, TCP/UDP-порты и флаги).

С помощью Файрвола можно создавать наборы правил, которые разграничивают трафик между различными сетями: локальными, VPN и публичными (интернет). Рекомендуется указывать IP-адрес Ideco NGFW в роли шлюза на клиентских устройствах для оптимальной работы политик безопасности (модулей Контроль приложений и Предотвращение вторжений).

Фильтрация трафика

Для обеспечения защиты в Ideco NGFW предусмотрены преднастроенные и автоматически включаемые системные правила. Пользовательские правила используются для фильтрации трафика локальной сети и публикации ресурсов.

Для фильтрации трафика Файрвол использует как отдельные интерфейсы, так и зоны - логические объединения сетевых интерфейсов. Преимущества такого подхода:

• Гибкость управления правилами при большом количестве интерфейсов;

• Упрощение процесса добавления/удаления интерфейсов без необходимости редактирования множества правил;

• Возможность выбора удобных названий для зон (например, Разработчики, Гости), что делает правила более читаемыми.

Инспекции DPI/IPS

Для работы инспекций DPI/IPS правилах Файрвола можно подключить Профили фильтрации трафика, создав разрешающее правило с включенной проверкой через Контроль приложений и/или систему Предотвращения вторжений. Профили настраиваются в разделе Профили безопасности.

Настройка и управление правилами

Настройка производится в разделе веб-интерфейса Правила трафика -> Файрвол. На вкладках раздела добавляются правила управления трафиком, которые отображаются в таблицах Файрвола. При наличии большого количества правил используйте кнопку Фильтры.

Если необходимо добавить большое количество правил, можно использовать отдельное API. Эти правила не будут отображаться в веб-интерфейсе, но будут работать значительно быстрее.

Ограничения и особенности

Сетевой экран не предназначен для решения задач контроля доступа к ресурсам по URL, доменному имени или типу контента на веб-сайтах. Эти задачи решаются с помощью Контент-фильтра.

Подключение по SSH

Включение режима удаленного помощника изменяет таблицу правил Файрвола, разрешая подключение по SSH из локальных и внешних сетей.

Connection tracking helpers

В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.

Использование зон

При использовании зон в Файрволе следует учесть, что одна зона не может содержать более 64 интерфейсов, настроенных в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключения.

Устранение проблем

В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW) в локальном меню сервера выберите пункт Отключить пользовательский файрвол (введя цифру 8) и нажмите Enter:

Счетчик срабатываний

Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил Файрвола. После включения опции в таблице появится соответствующий столбец: