Скачать PDF

Файрвол

В статье рассказывается про работу, настройку и особенности Файрвола в Ideco NGFW.

Название службы раздела Файрвол: ideco-firewall-backend. Список имен служб для других разделов доступен по ссылке.

Файрвол - средство управления трафиком на сервере (межсетевой экран). Поддерживает фильтрацию пакетов с контролем состояния соединений (Stateful Inspection) - решение о блокировке принимается на все соединение.

Файрвол анализирует заголовки IP-пакетов и TCP-сегментов, проходящих через интерфейсы сервера, и фильтрует трафик на основании параметров заголовков (IP-адреса, TCP/UDP-порты и IP-протокол).

С помощью Файрвола можно создавать наборы правил, которые разграничивают трафик между различными сетями: локальными, VPN и публичными (интернет). В Ideco NGFW предусмотрены преднастроенные и автоматически включаемые системные правила. Пользовательские правила используются для фильтрации трафика локальной сети и публикации ресурсов.

Рекомендуем выпускать весь пользовательский трафик через Ideco NGFW для оптимальной работы политик безопасности (модулей Контроль приложений и Предотвращение вторжений).

Файрвол не предназначен для решения задач контроля доступа к ресурсам по URL, доменному имени или типу контента на веб-сайтах. Эти задачи решаются с помощью Контент-фильтра.

Фильтрация трафика

Файрвол использует для фильтрации трафика как отдельные интерфейсы, так и зоны - логические объединения сетевых интерфейсов. Преимущества такого подхода:

  • Гибкость управления правилами при большом количестве интерфейсов;

  • Упрощение процесса добавления/удаления интерфейсов без необходимости редактирования множества правил;

  • Возможность выбора удобных названий для зон (например, Разработчики, Гости), что делает правила более читаемыми.

Для работы DPI/IPS в правилах Файрвола можно подключить Профили безопасности, создав разрешающее правило с включенной проверкой через Контроль приложений и/или систему Предотвращения вторжений. Профили настраиваются в разделе Профили безопасности.

Настройка и управление правилами

Настройка производится в разделе веб-интерфейса Правила трафика -> Файрвол. На вкладках раздела добавляются правила управления трафиком, которые отображаются в таблицах Файрвола. При наличии большого количества правил используйте кнопку Фильтры.

Если необходимо добавить большое количество правил, можно использовать API. Эти правила не будут отображаться в веб-интерфейсе, но будут работать значительно быстрее.

Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил Файрвола. После включения опции в таблице появится соответствующий столбец:

Особенности

  • Включение режима удаленного помощника изменяет таблицу правил Файрвола, разрешая подключение по SSH из локальных и внешних сетей.

  • В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для других протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.

  • При использовании зон в Файрволе следует учесть, что одна зона не может содержать более 64 интерфейсов, настроенных в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключений.

Устранение проблем

В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW) в локальном меню сервера выберите пункт Отключить пользовательский файрвол и нажмите Enter:

При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.

Полезные ссылки

Настройка Файрвола

Профили безопасности

PreviousПравила трафикаNextТаблицы файрвола (FORWARD, DNAT, INPUT и SNAT)

Last updated

Was this helpful?