Особенности создания профилей
Last updated
Last updated
Принцип создания профилей Контроля приложений в Ideco NGFW VPP: все протоколы и приложения, которые не были запрещены, остаются разрешены.
Для удобства настройки модуля фильтрации рекомендуем объединить пользователей в несколько групп/подгрупп (например, в соответствии с организационной структурой компании) и настроить профиль Контроля приложений отдельно для каждой группы.
Пример. Необходимо ограничить доступ к социальным сетям пользователям группы "Бухгалтерия".
1. Перейдите в раздел Профили безопасности -> Контроль приложений и нажмите Добавить.
2. Заполните Название и Комментарий (необязательно):
3. Выберите Социальные сети (при необходимости используйте поиск). Появится строка с выбором действия:
4. Примените действие Запретить рядом со строкой поиска и нажмите Применить. Действие применится к выбранным приложениям:
К неизвестным источникам по умолчанию применяется действие Разрешить (доступно для редактирования).
5. Нажмите Сохранить.
1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.
2. Заполните поля:
Описание правила - введите Название правила и Комментарий;
Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать с помощью профиля Контроля приложений;
Источник - выберите Адрес и Зону источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить.
3. Включите опцию Контроль приложений и в разделе Профили фильтрации трафика из раскрывающегося списка выберите профиль, запрещающий социальные сети сотрудникам бухгалтерии.
4. Нажмите Добавить.
Один из вариантов корректного применения политик безопасности к вложенной структуре пользователей - построение иерархической структуры профилей Контроля приложений:
Профили для самой большой группы пользователей запрещают наибольшее количество протоколов и приложений;
Профили для более мелких групп пользователей повторяют запрет для самой большой группы пользователей, но точечно разрешают определенные приложения и протоколы для конкретных подгрупп;
Профили для конкретных пользователей разрешают определенные протоколы и приложения, необходимые этим конкретным пользователям. В этих профилях также остаются запреты, которые должны сохраниться для этих пользователей.
Чтобы настроить фильтрацию трафика, для которого в таблице FORWARD нет правил, воспользуйтесь инструкцией:
