Файрвол

Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.

Название службы раздела Файрвол: ideco-firewall-backend. Список имен служб для других разделов доступен по ссылке.

Принцип работы файрвола заключается в проведении анализа заголовков пакетов, проходящих через интерфейсы сервера.

Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP. Поэтому файрвол хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.

Настройка файрвола производится в разделе веб-интерфейса Правила трафика -> Файрвол.

Файрвол Ideco NGFW использует для фильтрации трафика как отдельные интерфейсы, так и зоны - логические объединения сетевый интерфейсов.

Преимущества такого подхода:

  • Можно гибко управлять правилами при большом количестве интерфейсов.

  • При добавлении/удалении интерфейсов нет необходимости копировать/удалять большое количество правил, достаточно изменить состав нужной зоны.

  • Можно выбрать удобные названия для зон - “Разработчики“, “Гости“ и т. д., что сделает правила файрвола более читаемыми.

Для обеспечения защиты в NGFW есть преднастроенные и автоматически включаемые системные правила. Используйте пользовательские правила для фильтрации трафика локальной сети и публикации ресурсов.

Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети интернет исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи, обычно касающиеся веб-трафика, решаются с помощью модуля Контент-фильтр.

Для блокировки веб-трафика используйте модуль Контент-фильтр.

Включение режима удаленного помощника изменяет таблицу правил файрвола. При этом становится доступно подключение по SSH из локальных и внешних сетей.

В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.

При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.

При использовании зон в файрволе учтите, что одна зона не может содержать более 64 интерфейсов. Под интерфейсом понимается сетевой интерфейс, настроенный в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключения.

В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW), отключите пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол (введя цифру 8) и нажмите Enter:

Автоматический SNAT локальных сетей и счетчик срабатываний

Включите опцию Автоматический SNAT локальных сетей для автоматического преобразования адреса трафика, уходящего во внешнюю зону, если источник равен 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, и адресов, которые прописаны на вкладке SNAT, если выбрано действие SNAT. Таким образом, не нужно создавать правила вручную и изменять их при добавлении или изменении локальных сетей.

Можно создать правила SNAT вручную для тех, кому он необходим, и отключить (правилом "не SNAT") для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.

Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил файрвола. После включения опции в таблице появится соответствующий столбец:

Last updated