Ideco NGFW
Скачать PDF
vpp-v17
vpp-v17
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники обновления данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
      • Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
      • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Журнал событий
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление севером
      • Администраторы
      • Автоматическое обновление
      • Бекапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 17.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page
  • Создание FORWARD правил
  • Создание DNAT правила
  • Создание SNAT правила
  • Создание INPUT правил

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Правила трафика

Файрвол

Для настройки файрвола перейдите в раздел Правила трафика -> Файрвол.

PreviousПравила трафикаNextПредотвращение вторжений

Last updated 1 year ago

Was this helpful?

Правила в таблицах имеют приоритет сверху вниз (т.е. верхнее правило приоритетнее нижнего). По умолчанию создается правило, запрещающее весь трафик. При работе этого правила все протоколы для пользователей будут запрещены.

Особенности обновления с версии NGFW VPP 15.X:

  • При обновлении с версии 15.Х не переносятся правила файрвола.

  • При обновлении удаляется автоматический SNAT. Если необходим SNAT, после обновления добавьте правила вручную.

Создание FORWARD правил

FORWARD правила действуют на трафик, проходящий между Data Plane интерфейсами сервера. Это основная таблица, в которую могут быть добавлены правила, ограничивающие трафик пользователей.

Трафик, обрабатываемый файрволом, по умолчанию не попадает в обработку службы предотвращения вторжений.

Для настройки FORWARD правил в веб-интерфейсе:

  1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD.

  2. Нажмите Добавить.

  3. Заполните необходимые поля настройки правил.

  4. Выберите действие для правила. При действии Запретить трафик не будет обрабатываться службами Контроля приложений и Предотвращения вторжений.

  5. Выберите опцию Контроль приложений или Предотвращение вторжений для дополнительной обработки трафика.

  6. Для обработки трафика модулем контроля приложений нужно указать заранее созданный профиль.

  7. Укажите время применения правила.

Для блокировки набора приложений создайте профиль в разделе Профили безопасности -> Контроль приложений и выберите его в списке после активации опции Контроль приложений. Для обработки трафика службой предотвращения вторжений и модулем контроля приложений может использоваться только действие Разрешить.

Создание DNAT правила

Для настройки DNAT правила в веб-интерфейсе:

  1. Перейдите в раздел Правила трафика -> Файрвол -> DNAT.

  2. Нажмите Добавить.

  3. Заполните поле Протокол или оставьте Любой. При заполнении поля Протокол может понадобиться указать порт назначения (протокол TCP/UDP).

  4. Выберите объект Источник и заполните поле Входящая зона.

  5. Выберите объект Назначение и введите IP-адрес назначения.

  6. Выберите действие для правила.

  7. Нажмите Сохранить для добавления правила.

Создание SNAT правила

Для автоматического SNAT локальных Data Plane сетей NGFW создается системное SNAT правило в разделе Правила трафика -> Файрвол -> SNAT.

Для настройки SNAT правил в веб-интерфейсе:

  1. Перейдите в раздел Правила трафика -> Файрвол -> SNAT.

  2. Нажмите Добавить.

  3. Заполните поле Протокол или оставьте Любой. При заполнии поля Протокол может понадобиться указать порт назначения.

  4. Выберите Источник и заполните поле IP-адрес источника при необходимости SNAT от конкретного IP-адреса.

  5. Выберите Назначение и заполните поле Исходящая зона.

  6. Выберите действие для правила.

  7. Нажмите Сохранить для добавления правила.

Создание INPUT правил

INPUT правила управляют входящим трафиком на Control Plane интерфейс сервера для служб сервера.

Для настройки INPUT правил в веб-интерфейсе:

  1. Перейдите в раздел Правила трафика -> Файрвол -> INPUT.

  2. Нажмите Добавить.

  3. Заполните необходимые поля настройки правила.

  4. Выберите действие для правила.

  5. Укажите время действия для правила или оставьте любой.

Для инвертирования условия по источнику или назначению выберите соответствующую опцию.