v17
Скачать PDF

Контроль приложений

Настройка профилей контроля приложений для подготовки к обновлению на NGFW версии 18.Х.

Модуль Контроль приложений в 18 версии Ideco NGFW будет настраиваться в разделе Профили безопасности -> Профили контроля приложений. Все правила из раздела Правила трафика -> Контроль приложений будут доступны только для просмотра.

Чтобы подготовиться к изменениям, обновите версию до 17.5 (если у вас 17.4 и ниже), создайте профили в разделе Профили безопасности -> Профили контроля приложений и выберите их в правилах Файрвола.

При наличии большого количества профилей в таблице воспользуйтесь кнопкой Фильтры.

Созданные профили не будут влиять на работу правил Файрвола в 17 версии, но начнут работать после обновления на 18 версию, если применены в правилах Файрвола.

Будьте внимательны! Несмотря на то, что в 17 версии профили Контроля приложений не применяются, выбранное в Файрволе действие работает (Разрешить/Запретить). В связи с этим до обновления на 18 версию рекомендуем временно отключить правила, созданные с применением профилей контроля приложений.

Что изменится с появлением профилей контроля приложений

В версиях ⩽ 17 трафик сначала проходит модуль Контроль приложений, а затем Файрвол.

В 18 версии в модуль Контроль приложений отправится только тот трафик, который попадает под разрешающее правило Файрвола с включенной проверкой через профиль контроля приложений согласно настройкам. Очередность обработки трафика в версиях ⩽ 17 и в ⩾ 18 версии:

1. Захват трафика для DPI:

  • Контроль приложений;

  • Ограничение скорости;

  • Система предотвращения вторжений.

2. DNS;

3. Захват трафика для фильтрации (прокси-сервер):

  • Контент-фильтр;

  • Антивирус веб-трафика.

4. Файрвол.

Принцип создания Профилей контроля приложений в 18 версии Ideco NGFW аналогичен принципу создания правил Контроля приложений в более ранних версиях: все протоколы и приложения, которые не были запрещены, остаются разрешены.

Чтобы трафик фильтровался модулем Контроль приложений, необходимо для всех локальных интерфейсов создать правило FORWARD, содержащее необходимый профиль безопасности. Если в разделе Сервисы -> DNS -> Внешние DNS-серверы включена опция Перехват пользовательских DNS-запросов (по умолчанию включена), нужно также создать аналогичное правило INPUT:

Почему мы отказались от автоматической миграции

От автоматической миграции решили отказаться из-за вероятности появления дубликатов правил FORWARD и усложнения администрирования таблицы:

  • Контроль приложений мог бы некорректно определить условия фильтрации, заданные администратором в 17 версии, и для одного правила в таблице FORWARD создать несколько профилей;

  • Все автоматически созданные профили безопасности были бы применены к существующим правилам FORWARD. А так как одному правилу Файрвола может соответствовать только один профиль безопасности, появились бы дубликаты.

Особенности создания профилейПример создания иерархической структурыНастройка фильтрации трафика, для которого в таблице FORWARD нет правил
PreviousПрофили безопасностиNextОсобенности создания профилей

Last updated