Файрвол

Средство управления трафиком на сервере (межсетевой экран). Помогает ограничивать пользовательский трафик.

Название службы раздела Файрвол: ideco-firewall-backend. Список имен служб для других разделов доступен по ссылке.

Нужна помощь при настройке Ideco NGFW? Получите быстрый ответ от чат-бота нашей документации!

Принцип работы файрвола заключается в проведении анализа заголовков пакетов, проходящих через интерфейсы сервера.

Эта низкоуровневая задача решается шлюзом на основе стека протоколов TCP/IP. Поэтому файрвол хорошо подходит для определения глобальных правил управления трафиком по сетевым протоколам, портам и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.

Настройка файрвола производится в разделе веб-интерфейса Правила трафика -> Файрвол.

Для обеспечения защиты в NGFW есть преднастроенные и автоматически включаемые системные правила. Используйте пользовательские правила для фильтрации трафика локальной сети и публикации ресурсов.

Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети интернет исходя из адреса URL, доменного имени или типа контента на веб-сайтах. Эти задачи, обычно касающиеся веб-трафика, решаются с помощью модуля Контент фильтр.

Для блокировки веб-трафика используйте модуль Контент фильтра.

В Ideco NGFW включены connection tracking helpers для протоколов: ftp, sip, netbios-ns, pptp, h323. Для иных протоколов, использующих несколько портов при установлении соединения, работа через NAT не гарантируется.

При отключении пользовательского файрвола в веб-интерфейсе системные правила продолжают работу.

При использовании зон в файрволе учтите, что одна зона не может содержать более 64 интерфейсов. Под интерфейсом понимается сетевой интерфейс, настроенный в разделе Сервисы -> Сетевые интерфейсы, а также IPsec- и VPN-подключения.

В случае создания некорректных правил (например, запрет доступа в веб-интерфейс Ideco NGFW), отключите пользовательский файрвол из локального меню сервера. Для этого выберите пункт Отключить пользовательский файрвол (введя цифру 8) и нажмите Enter.

Автоматический SNAT локальных сетей и счетчик срабатываний

Включите опцию Автоматический SNAT локальных сетей для автоматического преобразования адреса трафика, уходящего во внешнюю зону, если источник равен 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, и адресов, которые прописаны во вкладке SNAT, если выбрано действие SNAT. Таким образом, не нужно создавать правила вручную и изменять их при добавлении или изменении локальных сетей.

Можно создать правила SNAT вручную для тех, кому он необходим, и отключить (правилом "не SNAT") для тех, кого необходимо допустить в сеть без сетевой трансляции адресов.

Включите опцию Счетчик срабатываний для подсчета количества срабатываний правил файрвола. После включения опции в таблице появится соответствующий столбец.

Last updated