Полный цикл обработки трафика в Ideco NGFW
Last updated
Was this helpful?
Last updated
Was this helpful?
Статья описывает цикл, который проходят пакеты трафика в Ideco NGFW, в зависимости от сценария.
Обработку трафика условно можно разделить на три стадии:
Предварительная;
Файрвол;
Завершающая.
К Предварительной стадии можно отнести Аппаратную и Предварительную фильтрацию, Ограничение скорости, расшифровку VPN/IPsec-трафика. Также на этой стадии трафик помечается для логирования, если он подпадает под правило в разделе Файрвол -> Логирование. После этого при необходимости у пакета подменяется IP-адрес назначения (DNAT), он проходит маршрутизацию и балансировку.
На второй стадии трафик проходит либо таблицу INPUT, либо таблицу FORWARD Файрвола:
В первом случае - одно из двух:
Трафик проходит таблицу INPUT (системные и пользовательские правила, L7-фильтрацию) и направляется в локальные сервисы NGFW (например, DNS, NTP);
Трафик направляется в Прокси или Обратный прокси, обрабатывается соответствующими модулями и направляется в таблицу FORWARD (от Прокси) или в OUTPUT (от Обратного прокси).
Во втором случае трафик проходит таблицу FORWARD (системные и пользовательские правила, L7-фильтрацию).
На Завершающей стадии трафик после обработки зашифровывается (при необходимости) и направляется получателю.
Трафик на обработку Предотвращением вторжений и Контролем приложений из Файрвола передается через NFQUEUE.
NFQUEUE - это технология интеграции файрвола linux с userspace-процессами, выполняющими инспекцию. Она позволяет выполнять L7-инспекции после L3-правил Файрвола:
1. Трафик пользователя попадает на Ideco NGFW, проходит Аппаратную и Предварительную фильтрацию, Ограничение скорости (если трафик подпадает под их правила - он может быть заблокирован и дальше не пойдет).
2. Если пользователь подключился через VPN, трафик будет расшифрован.
3. Будет проверена DNAT-талица Файрвола: если трафик подпадет под правила - IP-адрес или порт назначения будет заменен.
4. Веб-трафик направляется в Прокси для веб-авторизации, проверки Контент-фильтром и Антивирусом веб-трафика.
5. Трафик направляется в FORWARD-таблицу Файрвола:
Если трафик подпадает под запрещающее правило, он блокируется;
Если трафик подпадает под разрешающее правило, он направляется на L7-инспекцию (Предотвращение вторжений, Контроль приложений).
6. Трафик проверяется на соответствие правилам таблицы SNAT. При необходимости подменяется IP-адрес источника.
7. Если пользователь подключился через VPN, трафик будет зашифрован.
1. Трафик пользователя попадает на Ideco NGFW, проходит Аппаратную и Предварительную фильтрацию, Ограничение скорости (если трафик подпадает под их правила - он может быть заблокирован и дальше не пойдет).
2. Будет проверена DNAT-талица Файрвола: если трафик подпадет под правила - IP-адрес или порт назначения будет заменен.
3. Трафик направляется в таблицу INPUT, веб-трафик оттуда захватывается Прокси, где обрабатывается Контент-фильтром и Антивирусом веб-трафика. Пользователь проходит веб-авторизацию (если она настроена).
4. Трафик направляется в FORWARD-таблицу Файрвола:
Если трафик подпадает под запрещающее правило, он блокируется;
Если трафик подпадает под разрешающее правило, он направляется на L7-инспекцию (Предотвращение вторжений, Контроль приложений).
5. Запрос направляется ресурсу, на который обратился пользователь, ответ направляется пользователю (трафик вновь проходит п. 1 - п. 4).
1. Трафик из внешней сети попадает на Ideco NGFW, проходит Аппаратную и Предварительную фильтрацию (если трафик подпадает под их правила, то он может быть заблокирован и дальше не пойдет).
2. Будет проверена DNAT-талица Файрвола: если трафик подпадет под правила - IP-адрес или порт назначения будет заменен.
3. Трафик направляется в таблицу INPUT Файрвола:
Если трафик подпадает под запрещающее правило, он блокируется;
Если трафик подпадает под разрешающее правило, он направляется на L7-инспекцию (Предотвращение вторжений, Контроль приложений).
3. Трафик попадает в Обратный прокси, где проходит через Web Application Firewall. Если трафик подпадает под правила WAF, он может быть отброшен.
4. Трафик направляется ресурсу в локальной сети, который был опубликован через Обратный прокси, и возвращает ответ.
1. Трафик пользователя попадает на Ideco NGFW, проходит Аппаратную и Предварительную фильтрацию, Ограничение скорости (если трафик подпадает под их правила - он может быть заблокирован и дальше не пойдет).
2. Если пользователь подключился через VPN, трафик будет расшифрован.
3. Будет проверена DNAT-талица Файрвола: если трафик подпадет под правила - IP-адрес или порт назначения будет заменен.
4. Трафик, минуя стадию авторизации, пройдет таблицу FORWARD и не будет отброшен вне зависимости от созданных там правил фильтрации.
