Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

  • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

  • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

  • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

  • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

  • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

  • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

  • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

  • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем;

• HIP-профили - профиль, соответствующий устройству, от которого исходит трафик.

Назначение

• Зона назначения - интерфейс или группа интерфейсов, в которые входит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы;

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

• Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

• Запретить - запрещает трафик;

• Разрешить - разрешает трафик или направляет его в модули фильтрации трафика.

Профили фильтрации трафика

• Контроль приложений - выберите профиль Контроля приложений, которым требуется фильтровать трафик;

• Предотвращение вторжений - выберите профиль системы Предотвращения вторжений, которым требуется фильтровать трафик.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

• Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

  • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

  • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

  • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

  • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

  • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

  • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

  • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

  • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем.

Назначение

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

• Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах;

• Сменить IP-адрес назначения - при указании диапазона адресов пакет будет перенаправлен на любой из них;

• Сменить порт назначения - при указании диапазона портов пакет будет перенаправлен в порт с тем же номером, на который он пришел, если этот порт попадает в указанный диапазон.

Действия

• DNAT - транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. Ниже в поле Изменить IP-адрес назначения можно указать один IP-адрес или диапазон (при указании диапазона IP-адресов пакет будет перенаправлен на любой из них). Аналогично, если при создании правила были указаны протоколы TCP или UDP, то появится поле Сменить порт назначения. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт;

• Не производить DNAT - отменяет действие DNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

• Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

  • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

  • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

  • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

  • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

  • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

  • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

  • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

  • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем.

Назначение

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

• Порт назначения - указывается при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

• Запретить - запрещает трафик;

• Разрешить - разрешает трафик или направляет его в модули фильтрации трафика.

Профили фильтрации трафика

• Контроль приложений - выберите профиль Контроля приложений, которым требуется фильтровать трафик;

• Предотвращение вторжений - выберите профиль системы Предотвращения вторжений, которым требуется фильтровать трафик.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

• Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Источник;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем;

• Сменить IP-адрес источника - заполняется, только если на сетевом интерфейсе несколько IP-адресов и необходим SNAT от конкретного IP-адреса.

Назначение

• Зона назначения - интерфейс или группа интерфейсов, в которые входит трафик. Можно выбрать отдельные Сетевые интерфейсы, созданные пользователем зоны или Специальные типы:

  • Внешние интерфейсы - все интерфейсы, используемые для подключения к интернету;

  • Внешние Ethernet-интерфейсы - все Ethernet-интерфейсы, используемые для подключения к интернету;

  • Внешние VPN-интерфейсы - все внешние VPN-интерфейсы (PPPoE, PPTP, L2TP), используемые для подключения к интернету;

  • IPsec-интерфейсы - все IPsec-интерфейсы, используемые для site-to-site-подключений к удаленным офисам;

  • Локальные интерфейсы - все интерфейсы, используемые для подключения к клиентам в локальной сети;

  • Исходящий трафик устройства - используется для фильтрации исходящего трафика самого устройства Ideco NGFW;

  • Клиентский VPN-трафик - используется для фильтрации трафика, идущего от клиентов, подключившихся к NGFW по VPN;

  • Любой - не фильтровать трафик по какому-либо типу интерфейса или зоны.

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, файрвол автоматически это учтет);

• Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

• SNAT - транслирует адреса источника;

• Не производить SNAT - отменяет действие SNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

• Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.