v18
Скачать PDF

Контроль приложений

Что изменится с появлением профилей контроля приложений

В версиях 17.X трафик сначала проходит модуль Контроль приложений, а затем Файрвол.

В 18 версии в модуль Контроль приложений отправится только тот трафик, который попадает под разрешающее правило Файрвола с включенной проверкой через профиль Контроля приложений. Очередность обработки трафика в версиях 17.X и в 18.Х версии:

1. Захват трафика для DPI:

  • Контроль приложений;

  • Ограничение скорости;

  • Система предотвращения вторжений.

2. DNS;

3. Захват трафика для фильтрации (прокси-сервер):

  • Контент-фильтр;

  • Антивирус веб-трафика.

4. Файрвол.

Принцип создания профилей Контроля приложений в 18 версии NGFW аналогичен принципу создания правил в Правилах трафика -> Контроль приложений в более ранних версиях: все протоколы и приложения, которые не были запрещены, остаются разрешены.

Чтобы трафик фильтровался модулем Контроль приложений, необходимо для всех локальных интерфейсов создать правило FORWARD, содержащее необходимый профиль безопасности. Если в разделе Сервисы -> DNS -> Внешние DNS-серверы включена опция Перехват пользовательских DNS-запросов (по умолчанию включена), нужно также создать аналогичное правило INPUT:

В предыдущих версиях FORWARD- и INPUT-трафик сначала проходит модуль Контроль приложений, а затем Файрвол. В 18 версии в модуль Контроль приложений отправляется трафик, соответствующий только разрешающему правилу Файрвола с включенной проверкой через профиль Контроля приложений.

Файрвол NGFW анализирует трафик для поиска подходящего правила и применяет его. Если в списке есть несколько правил с одними и теми же условиями, применяется правило, стоящее выше по списку. Запрещающие правила Файрвола сразу блокируют соответствующий трафик и не проходит дополнительную проверку в модуле Контроль приложений.

Чтобы через модуль Контроль приложений проходил трафик, для которого нет разрешающего правила в таблице FORWARD или INPUT, рекомендуем создать и включить в Файрволе правило с источником Локальные интерфейсы и назначением Любой, разместив его в конец таблицы. В этом случае трафик, который не был найден в правилах Файрвола, пройдет проверку Контролем приложений. Трафик, не учтенный правилами Файрвола, но запрещенный профилями Контроля приложений, будет заблокирован.

Почему мы отказались от автоматической миграции

При обновлении с 17 версии Ideco NGFW на 18 версию раздел Правила трафика -> Контроль приложений будет доступен только для просмотра. Это поможет создать профили Контроля приложений в соответствии с ранее созданными правилами.

В версии 18.1 раздел Правила трафика -> Контроль приложений полностью исчезнет. Подробнее о профилях Контроля приложений в статье.

От автоматической миграции решили отказаться из-за вероятности появления дубликатов правил FORWARD и усложнения администрирования таблицы:

  • Контроль приложений мог бы некорректно определить условия фильтрации, заданные администратором в 17 версии, и для одного правила в таблице FORWARD создать несколько профилей;

  • Все автоматически созданные профили безопасности были бы применены к существующим правилам FORWARD. А так как одному правилу Файрвола может соответствовать только один профиль безопасности, появились бы дубликаты.

PreviousАнтивирусы веб-трафикаNextПредотвращение вторжений

Last updated