Файрвол

FORWARD правила действуют на трафик, проходящий между Data Plane интерфейсами сервера. Это основная таблица, в которую могут быть добавлены правила, ограничивающие трафик пользователей.

Важно! Трафик, обрабатываемый Файрволом, по умолчанию не попадает в обработку службы предотвращения вторжений.

Для настройки FORWARD правил в веб-интерфейсе:

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

• Описание правила - введине Название правила и Комментарий;

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Если выбран Любой, трафик не будет фильтроваться по какому-либо типу интерфейса или зоны;

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов Файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем.

Назначение

• Зона назначения - интерфейс или группа интерфейсов, в которые входит трафик;

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, Файрвол автоматически это учтет);

• Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

• Запретить - запрещает трафик;

• Разрешить - разрешает трафик или направляет его в модули фильтрации трафика.

Профили безопасности

• Расшифровка трафика - выберите профиль TLS/SSL-инспекции для расшифровки трафика и его передачи на проверку модулям Контент-фильтра, Контроля приложений, Предотвращения вторжений;

• Контроль приложений - выберите профиль Контроля приложений, которым требуется фильтровать трафик;

• Контент-фильтр - выберите профиль Контент-фильтра, которым требуется фильтровать трафик;

• Предотвращение вторжений - выберите профиль системы Предотвращения вторжений, которым требуется фильтровать трафик.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах.

3. Нажмите Добавить.

Для настройки DNAT правила в веб-интерфейсе:

1. Перейдите в раздел Правила трафика -> Файрвол -> DNAT и нажмите Добавить.

2. Заполните поля:

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Если выбран Любой, трафик не будет фильтроваться по какому-либо типу интерфейса или зоны;

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов Файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем.

Назначение

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, Файрвол автоматически это учтет);

• Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах;

• Сменить IP-адрес назначения - при указании диапазона адресов пакет будет перенаправлен на любой из них;

• Сменить порт назначения - при указании диапазона портов пакет будет перенаправлен в порт с тем же номером, на который он пришел, если этот порт попадает в указанный диапазон.

Действия

• DNAT - транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. В поле Сменить IP-адрес назначения можно указать один IP-адрес или диапазон (при указании диапазона IP-адресов пакет будет перенаправлен на любой из них). Аналогично, если при создании правила были указаны протоколы TCP или UDP, то появится поле Сменить порт назначения. С помощью этой возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт;

• Не производить DNAT - отменяет действие DNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

• Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

3. Нажмите Добавить для сохранения правила.

INPUT правила управляют входящим трафиком на Control Plane интерфейс сервера для служб сервера.

Для настройки INPUT правил в веб-интерфейсе:

1. Перейдите в раздел Правила трафика -> Файрвол -> INPUT и нажмите Добавить.

2. Заполните поля:

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Зона источника - интерфейс или группа интерфейсов, из которых приходит трафик. Если выбран Любой, трафик не будет фильтроваться по какому-либо типу интерфейса или зоны;

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов Файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем.

Назначение

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, Файрвол автоматически это учтет);

• Порт назначения - указывается при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

• Запретить - запрещает трафик;

• Разрешить - разрешает трафик или направляет его в модули фильтрации трафика.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

• Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

3. Нажмите Добавить для сохранения правила.

Для настройки SNAT правил в веб-интерфейсе:

1. Перейдите в раздел Правила трафика -> Файрвол -> SNAT и нажмите Добавить.

2. Заполните поля:

• Протокол - протокол передачи данных (UDP/TCP/ICMP/GRE/ESP/AH, либо Любой).

Источник

• Инвертировать источник - позволяет использовать в правиле все объекты, кроме выбранных в строке Источник;

• Адрес - IP-адрес источника трафика (src), проходящего через шлюз. В этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов Файрвол автоматически это учтет);

• Порты источника - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах. Указывать не рекомендуем;

• Сменить IP-адрес источника - заполняется, только если на сетевом интерфейсе несколько IP-адресов и необходим SNAT от конкретного IP-адреса.

Назначение

• Зона назначения - интерфейс или группа интерфейсов, в которые входит трафик;

• Инвертировать назначение - позволяет использовать в правиле все объекты, кроме выбранных в строке Адрес;

• Адрес - в этом поле могут быть указаны IP-адреса, диапазоны IP-адресов, сети, домены (раздел Объекты), страны или пользователи и группы (при смене их IP-адресов, Файрвол автоматически это учтет);

• Порты назначения - указываются при создании правила с протоколами TCP/UDP. Это может быть отдельный порт, список портов или диапазон портов, определенных в Объектах.

Действия

• SNAT - транслирует адреса источника;

• Не производить SNAT - отменяет действие SNAT для трафика, удовлетворяющего критериям правила.

Дополнительно

• Включить правило - опция позволяет выбрать, будет ли правило включено или выключено при создании. По умолчанию правило выключено;

• Время действия - время действия правила. Указываются временные промежутки (например, рабочее время), которые определяются в Объектах;

• Комментарий - произвольный текст, поясняющий цель действия правила. Значение не должно быть длиннее 255 символов.

3. Нажмите Добавить для сохранения правила.