Файрвол
В статье рассказывается про работу Файрвола в Ideco NGFW, его настройку и особенности.
Файрвол - средство управления трафиком на сервере (межсетевой экран). Поддерживает фильтрацию пакетов с контролем состояния соединений (Stateful Inspection).
Название службы раздела Файрвол: ideco-firewall-backend
.
Список имен служб для других разделов доступен по ссылке.
Принцип работы
Файрвол анализирует заголовки IP-пакетов и TCP-сегментов, проходящих через интерфейсы сервера, и фильтрует трафик на основании параметров заголовков (IP-адреса, TCP/UDP-порты и флаги).
С помощью Файрвола можно создавать наборы правил, которые разграничивают трафик между различными сетями: локальными, VPN и публичными (интернет). Рекомендуется указывать IP-адрес Ideco NGFW в роли шлюза на клиентских устройствах для оптимальной работы политик безопасности (модулей Контроль приложений и Предотвращение вторжений).
Фильтрация трафика
Для обеспечения защиты в Ideco NGFW предусмотрены преднастроенные и автоматически включаемые системные правила. Пользовательские правила используются для фильтрации трафика локальной сети и публикации ресурсов.
Для фильтрации трафика Файрвол использует как отдельные интерфейсы, так и зоны - логические объединения сетевых интерфейсов. Преимущества такого подхода:
Гибкость управления правилами при большом количестве интерфейсов;
Упрощение процесса добавления/удаления интерфейсов без необходимости редактирования множества правил;
Возможность выбора удобных названий для зон (например, Разработчики, Гости), что делает правила более читаемыми.
Инспекции DPI/IPS
Для работы инспекций DPI/IPS правилах Файрвола можно подключить Профили фильтрации трафика, создав разрешающее правило с включенной проверкой через Контроль приложений и/или систему Предотвращения вторжений. Профили настраиваются в разделе Профили безопасности.
Настройка и управление правилами
Настройка производится в разделе веб-интерфейса Правила трафика -> Файрвол. На вкладках раздела добавляются правила управления трафиком, которые отображаются в таблицах Файрвола. При наличии большого количества правил используйте кнопку Фильтры.
Если необходимо добавить большое количество правил, можно использовать отдельное API. Эти правила не будут отображаться в веб-интерфейсе, но будут работать значительно быстрее.
Ограничения и особенности
Сетевой экран не предназначен для решения задач контроля доступа к ресурсам по URL, доменному имени или типу контента на веб-сайтах. Эти задачи решаются с помощью Контент-фильтра.
Подключение по SSH
Включение режима удаленного помощника изменяет таблицу правил Файрвола, разрешая подключение по SSH из локальных и внешних сетей.
Connection tracking helpers
В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.
Использование зон
При использовании зон в Файрволе следует учесть, что одна зона не может содержать более 64 интерфейсов, настроенных в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключения.
Устранение проблем
В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW) в локальном меню сервера выберите пункт Отключить пользовательский файрвол (введя цифру 8) и нажмите Enter:
Счетчик срабатываний
Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил Файрвола. После включения опции в таблице появится соответствующий столбец:
Last updated
Was this helpful?