Предварительная фильтрация

Статья описывает процесс настройки предварительной фильтрации трафика в Ideco NGFW.

PreviousТестирование правил NextАппаратная фильтрация

Last updated 17 days ago

Was this helpful?

Предварительная фильтрация

Статья описывает процесс настройки предварительной фильтрации трафика в Ideco NGFW.

Вкладка Предварительная фильтрация позволяет заблокировать весь трафик, попадающий под условия таблицы, до просмотра таблиц Файрвола (например, FORWARD или INPUT). Используйте этот раздел, если требуется фильтрация пакетов на уровне TCP/IP.

Включение хотя бы одного правила Предварительной фильтрации может привести к снижению сетевой производительности NGFW примерно на 20%. При выключении правила производительность сразу восстановится.

Создание правил

1. Перейдите на вкладку Правила трафика -> Файрвол -> Предварительная фильтрация и нажмите Добавить.

2. Заполните поля правила:

Расшифрока полей

Протокол - укажите номер протокола из таблицы. Номер может быть в диапазоне от 0 до 146 включительно;
Источник:
- IP-адрес - укажите IP-адрес источника;
- Порт - укажите порт источника;
Назначение:
- IP-адрес - укажите IP-адрес назначения;
- Порт - укажите порт назначения;
TCP-флаги:
- Флаги для проверки - укажите флаги TCP, которые будут проверяться. В этом поле могут быть указаны флаги: SYN, ACK, FIN, RST, URG, PSH;
- Флаги для блокировки - укажите флаги TCP, которые будут заблокированы. Флаг будет доступен для блокировки, только если он содержится в поле Флаги для проверки;
Дополнительно:
- Размер пакета, Байт - укажите размер пакета в байтах с учетом TCP- и IP-заголовков (40 + N, где N - размер полезных данных в пакете). Пакет указанного размера будет заблокирован;
- Комментарий.

3. Нажмите Добавить.

Устранение проблем

При неправильно созданных правилах доступ к веб-интерфейсу может быть заблокирован (например, блокировка протокола TCP c проверкой и блокировкой флага SYN). Для возвращения доступа к веб-интерфейсу воспользуйтесь инструкцией или включите режим Разрешить интернет всем.

PreviousТестирование правил NextАппаратная фильтрация

Last updated 17 days ago

Was this helpful?

Создание правил

1. Перейдите на вкладку Правила трафика -> Файрвол -> Предварительная фильтрация и нажмите Добавить.

2. Заполните поля правила:

Расшифрока полей

Протокол - укажите номер протокола из таблицы. Номер может быть в диапазоне от 0 до 146 включительно;
Источник:
- IP-адрес - укажите IP-адрес источника;
- Порт - укажите порт источника;
Назначение:
- IP-адрес - укажите IP-адрес назначения;
- Порт - укажите порт назначения;
TCP-флаги:
- Флаги для проверки - укажите флаги TCP, которые будут проверяться. В этом поле могут быть указаны флаги: SYN, ACK, FIN, RST, URG, PSH;
- Флаги для блокировки - укажите флаги TCP, которые будут заблокированы. Флаг будет доступен для блокировки, только если он содержится в поле Флаги для проверки;
Дополнительно:
- Размер пакета, Байт - укажите размер пакета в байтах с учетом TCP- и IP-заголовков (40 + N, где N - размер полезных данных в пакете). Пакет указанного размера будет заблокирован;
- Комментарий.

3. Нажмите Добавить.