Файрвол
Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.
Название службы раздела Файрвол: ideco-firewall-backend
.
Список имен служб для других разделов доступен по ссылке.
Принцип работы файрвола заключается в проведении анализа заголовков пакетов, проходящих через интерфейсы сервера.
Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP. Поэтому файрвол хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.
Настройка файрвола производится в разделе веб-интерфейса Правила трафика -> Файрвол.
Файрвол Ideco NGFW использует для фильтрации трафика как отдельные интерфейсы, так и зоны - логические объединения сетевый интерфейсов.
Преимущества такого подхода:
Можно гибко управлять правилами при большом количестве интерфейсов.
При добавлении/удалении интерфейсов нет необходимости копировать/удалять большое количество правил, достаточно изменить состав нужной зоны.
Можно выбрать удобные названия для зон - “Разработчики“, “Гости“ и т. д., что сделает правила файрвола более читаемыми.
Для обеспечения защиты в NGFW есть преднастроенные и автоматически включаемые системные правила. Используйте пользовательские правила для фильтрации трафика локальной сети и публикации ресурсов.
Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети интернет исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи, обычно касающиеся веб-трафика, решаются с помощью модуля Контент-фильтр.
Для блокировки веб-трафика используйте модуль Контент-фильтр.
Включение режима удаленного помощника изменяет таблицу правил файрвола. При этом становится доступно подключение по SSH из локальных и внешних сетей.
В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.
При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.
При использовании зон в файрволе учтите, что одна зона не может содержать более 64 интерфейсов. Под интерфейсом понимается сетевой интерфейс, настроенный в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключения.
В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW), отключите пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол (введя цифру 8) и нажмите Enter:
Автоматический SNAT локальных сетей и счетчик срабатываний
Включите опцию Автоматический SNAT локальных сетей для автоматического преобразования адреса трафика, уходящего во внешнюю зону, если источник равен 10.0.0.0/8
, 172.16.0.0/12
, 192.168.0.0/16
, и адресов, которые прописаны на вкладке SNAT, если выбрано действие SNAT. Таким образом, не нужно создавать правила вручную и изменять их при добавлении или изменении локальных сетей.
Можно создать правила SNAT вручную для тех, кому он необходим, и отключить (правилом "не SNAT") для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.
Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил файрвола. После включения опции в таблице появится соответствующий столбец:
Last updated