Файрвол
Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.
Название службы раздела Файрвол: ideco-firewall-backend
.
Список имен служб для других разделов доступен по ссылке.
Принцип работы Файрвола – анализ заголовков IP-пакетов и TCP-сегментов, проходящих через интерфейсы сервера, и дальнейшая фильтрация трафика на основании параметров заголовков (IP-адреса, TCP/UDP-порты и флаги).
С помощью Файрвола можно создать наборы правил, которые будут разграничивать трафик между различными сетями: локальными, VPN и публичными (интернет). На клиентских устройствах в сетевых параметрах рекомендуется указывать в роли шлюза IP-адрес Ideco NGFW для оптимальной работы политик безопасности (модулей Контроль приложений и Предотвращение вторжений).
Файрвол Ideco NGFW использует для фильтрации трафика как отдельные интерфейсы, так и зоны - логические объединения сетевых интерфейсов.
Преимущества такого подхода:
Можно гибко управлять правилами при большом количестве интерфейсов;
При добавлении/удалении интерфейсов нет необходимости копировать/удалять большое количество правил, достаточно изменить состав нужной зоны;
Можно выбрать удобные названия для зон (например, Разработчики, Гости), что сделает правила Файрвола более читаемыми.
Настройка производится в разделе веб-интерфейса Правила трафика -> Файрвол. На вкладках раздела добавляются правила управления трафиком, которые отображаются в таблицах Файрвола. При наличии большого количества правил в таблицах Файрвола воспользуйтесь кнопкой Фильтры.
Для обеспечения защиты в NGFW есть преднастроенные и автоматически включаемые системные правила. Используйте пользовательские правила для фильтрации трафика локальной сети и публикации ресурсов.
Для работы инспекций DPI/IPS в правилах Файрвола можно подключить Профили фильтрации трафика - создать в Файрволе разрешающее правило с включенной проверкой через Контроль приложений и/или систему Предотвращения вторжений. Сами профили настраиваются в разделе Профили безопасности.
Сетевой экран не предназначен для решения связанных с контролем доступа к ресурсам задач исходя из:
адреса URL;
доменного имени;
типа контента на веб-сайтах.
Эти задачи, обычно касающиеся веб-трафика, решаются с помощью Контент-фильтра.
Включение режима удаленного помощника изменяет таблицу правил Файрвола. При этом становится доступно подключение по SSH из локальных и внешних сетей.
В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.
При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.
При использовании зон в Файрволе следует учесть, что одна зона не может содержать более 64 интерфейсов. Под интерфейсом понимается сетевой интерфейс, настроенный в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключения.
В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW), отключите пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол (введя цифру 8) и нажмите Enter:
Автоматический SNAT локальных сетей и счетчик срабатываний
Включите опцию Автоматический SNAT локальных сетей для автоматического преобразования адреса трафика, уходящего во внешнюю зону, если источник равен 10.0.0.0/8
, 172.16.0.0/12
, 192.168.0.0/16
, и адресов, которые прописаны на вкладке SNAT, если выбрано действие SNAT. Таким образом, не нужно создавать правила вручную и изменять их при добавлении или изменении локальных сетей.
Можно создать правила SNAT вручную и отключить (правилом "не SNAT") для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.
Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил Файрвола. После включения опции в таблице появится соответствующий столбец:
Last updated