Ideco NGFW
Скачать PDF
vpp-v18
vpp-v18
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
    • Интеграция с Active Directory/Samba DC
      • Импорт пользователей
      • Аутентификация пользователей AD/Samba DC
        • Настройка сервера Active Directory
        • Настройка клиентских машин
    • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Ограничение скорости
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Системный журнал
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Обновления
        • Настройка кластера
      • Бэкапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 18.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Профили безопасности
  3. Контроль приложений

Пример создания иерархической структуры

PreviousОсобенности создания профилейNextНастройка фильтрации трафика, для которого в таблице FORWARD нет правил

Last updated 5 months ago

Was this helpful?

Пример. Необходимо настроить профили Контроля приложений в соответствии с требованиями:

  • Всем пользователям запрещены компьютерные игры, контент для взрослых, майнинг и криптовалюты;

  • Доступ к социальным сетям разрешен только Отделу продвижения;

  • Доступ к стриминговым сервисам разрешен только Отделу маркетинга;

  • Доступ к музыкальным приложениям разрешен только Федору Федорову из Отдела маркетинга.

В описанном примере Федор Федоров - сотрудник Отдела маркетинга, а Отдел маркетинга - структурное подразделение Отдела продвижения:

Создайте профили в соответствии с условиями примера:

1. Перейдите в раздел Профили безопасности -> Контроль приложений, чтобы создать профиль, запрещающий доступ к социальным сетям, стриминговым сервисам, музыкальным приложениям, компьютерным играм, контенту для взрослых, майнингу и криптовалютам. Нажмите Добавить и введите название профиля:

2. Настройте добавленный профиль:

  • Выберите группы приложений, которые необходимо запретить (перечислены в описании примера);

  • Установите настройку Запретить и нажмите Применить в правом верхнем углу;

  • После применения действия нажмите Сохранить в левом нижнем углу.

3. Создайте профиль для Отдела продвижения, разрешающий доступ к социальным сетям. Для этого:

  • Отредактируйте клонированный профиль: поменяйте название (например, на Для Отдела продвижения) и настройки доступа к приложениям (разрешите доступ к социальным сетям).

4. Аналогично создайте профиль для Отдела маркетинга, разрешающий доступ к стриминговым сервисам. Для этого клонируйте профиль Для Отдела продвижения, введите название (например, Для Отдела маркетинга) и разрешите в нем доступ к стриминговым сервисам.

5. Создайте профиль для Федора Федорова, разрешающий доступ к музыкальным сервисам. Для этого клонируйте профиль Для Отдела маркетинга и установите необходимые настройки.

В итоге должен получиться набор профилей, учитывающий настройки, описанные в примере:

Теперь необходимо создать и включить правила в Файрволе, чтобы применить настройки для конкретных групп пользователей и установить приоритет прохождения трафика:

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

  • Введите Название правила и Комментарий;

  • В поле Адрес раздела Источник выберите группу Все;

  • Выберите действие Разрешить;

  • В профилях безопасности включите опцию Контроль приложений и выберите профиль Запрет приложений;

  • Включите правило.

3. Нажмите Добавить.

4. Аналогично создайте правила для каждого профиля. При создании правила Файрвола укажите соответствующий профилю адрес источника. Например, при создании правила с профилем фильтрации Для Отдела маркетинга выберите в поле Адрес раздела Источник группу Отдел маркетинга:

5. Чтобы трафик проходил в соответствии с условиями примера, установите в Файрволе следующую последовательность правил:

Чем выше в таблице стоит правило, тем выше его приоритет. Разрешающее правило для сотрудника не сработает, если выше в таблице Файрвола находится правило, запрещающее трафик для отдела, в котором работает этот сотрудник.

Нажмите в столбце Управление на , а затем Доступ к приложениям;

Клонируйте созданный профиль, нажав на в столбце Управление;