Файрвол

Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.

Название службы раздела Файрвол: ideco-firewall-backend. Список имен служб для других разделов доступен по ссылке.

Принцип работы Файрвола – анализ заголовков IP-пакетов и TCP-сегментов, проходящих через интерфейсы сервера, и дальнейшая фильтрация трафика на основании параметров заголовков (IP-адреса, TCP/UDP-порты и флаги).

С помощью Файрвола можно создать наборы правил, которые будут разграничивать трафик между различными сетями: локальными, VPN и публичными (интернет). На клиентских устройствах в сетевых параметрах рекомендуется указывать в роли шлюза IP-адрес Ideco NGFW для оптимальной работы политик безопасности (модулей Контроль приложений и Предотвращение вторжений).

Файрвол Ideco NGFW использует для фильтрации трафика как отдельные интерфейсы, так и зоны - логические объединения сетевых интерфейсов.

Преимущества такого подхода:

  • Можно гибко управлять правилами при большом количестве интерфейсов;

  • При добавлении/удалении интерфейсов нет необходимости копировать/удалять большое количество правил, достаточно изменить состав нужной зоны;

  • Можно выбрать удобные названия для зон (например, Разработчики, Гости), что сделает правила Файрвола более читаемыми.

Настройка производится в разделе веб-интерфейса Правила трафика -> Файрвол. На вкладках раздела добавляются правила управления трафиком, которые отображаются в таблицах Файрвола. При наличии большого количества правил в таблицах Файрвола воспользуйтесь кнопкой Фильтры.

Для обеспечения защиты в NGFW есть преднастроенные и автоматически включаемые системные правила. Используйте пользовательские правила для фильтрации трафика локальной сети и публикации ресурсов.

Для работы инспекций DPI/IPS в правилах Файрвола можно подключить Профили фильтрации трафика - создать в Файрволе разрешающее правило с включенной проверкой через Контроль приложений и/или систему Предотвращения вторжений. Сами профили настраиваются в разделе Профили безопасности.

Сетевой экран не предназначен для решения связанных с контролем доступа к ресурсам задач исходя из:

  • адреса URL;

  • доменного имени;

  • типа контента на веб-сайтах.

Эти задачи, обычно касающиеся веб-трафика, решаются с помощью Контент-фильтра.

Включение режима удаленного помощника изменяет таблицу правил Файрвола. При этом становится доступно подключение по SSH из локальных и внешних сетей.

В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.

При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.

При использовании зон в Файрволе следует учесть, что одна зона не может содержать более 64 интерфейсов. Под интерфейсом понимается сетевой интерфейс, настроенный в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключения.

В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW), отключите пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол (введя цифру 8) и нажмите Enter:

Автоматический SNAT локальных сетей и счетчик срабатываний

Включите опцию Автоматический SNAT локальных сетей для автоматического преобразования адреса трафика, уходящего во внешнюю зону, если источник равен 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, и адресов, которые прописаны на вкладке SNAT, если выбрано действие SNAT. Таким образом, не нужно создавать правила вручную и изменять их при добавлении или изменении локальных сетей.

Можно создать правила SNAT вручную и отключить (правилом "не SNAT") для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.

Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил Файрвола. После включения опции в таблице появится соответствующий столбец:

Last updated