Особенности создания профилей
Last updated
Last updated
Модуль Контроль приложений НЕ БУДЕТ обрабатывать трафик в версии 18.Х, если в модуле Файрвол для этого трафика нет разрешающего правила (действие Разрешить) с указанным профилем контроля приложений. Проверьте, что для соответствующего трафика добавлен профиль безопасности.
ВАЖНО: Чтобы через модуль Контроль приложений проходил трафик, для которого нет разрешающего правила в таблице FORWARD, рекомендуем создать в Файрволе правило с источником Локальные интерфейсы и назначением Любой, разместив его в конец таблицы.
С 18 версии NGFW правила Файрвола, которые блокировали трафик за счет перехвата DNS в предыдущих версиях, не смогут его блокировать. Чтобы это исправить, создайте правила с профилями IPS и DPI в разделе Правила трафика -> Файрвол -> INPUT.
Для удобства настройки модуля фильтрации рекомендуем объединить пользователей в несколько групп/подгрупп (например, в соответствии с организационной структурой компании) и настроить профиль контроля приложений отдельно для каждой группы.
Пример. Необходимо ограничить доступ к социальным сетям пользователям группы "Бухгалтерия".
1. Перейдите в раздел Профили безопасности -> Профили контроля приложений и нажмите Добавить.
2. Заполните Название и Комментарий (необязательно):
К неизвестным источникам по умолчанию применяется действие Разрешить (доступно для редактирования).
4. Нажмите Сохранить.
1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.
2. Заполните поля:
Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать с помощью профиля контроля приложений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить;
3. Включите опцию Контроль приложений и в разделе Профили для фильтрации из раскрывающегося списка выберите профиль, запрещающий социальные сети сотрудникам бухгалтерии.
4. Включите правило или оставьте его выключенным.
5. Нажмите Сохранить.
6. При включенной опции Перехват пользовательских DNS-запросов создайте аналогичное правило INPUT.
Один из вариантов корректного применения политик безопасности к вложенной структуре пользователей - построение иерархической структуры Профилей контроля приложений:
Профили для самой большой группы пользователей запрещают наибольшее количество протоколов и приложений;
Профили для более мелких групп пользователей повторяют запрет для самой большой группы пользователей, но точечно разрешают определенные приложения и протоколы для конкретных подгрупп;
Профили для конкретных пользователей разрешают опеределенные протоколы и приложения, необходимые этим конкретным пользователям. В этих профилях также остаются запреты, которые должны сохраниться для этих пользователей.
Чтобы настроить фильтрацию трафика, для которого в таблице FORWARD нет правил, воспользуйтесь инструкцией:
Настройка фильтрации трафика, для которого в таблице FORWARD нет правил3. После добавления профиля нажмите в столбце Управление на , а затем Доступ к приложениям. Выберите Социальные сети и примените действие Запретить к группе приложений, нажав на соответствующую кнопку в правом верхнем углу:
