Профили контроля приложений

Настройка профилей контроля приложений для подготовки к обновлению на NGFW версии 18.Х.

В 18 версии Ideco NGFW все правила из раздела Правила трафика -> Контроль приложений будут доступны только для просмотра!

Чтобы подготовиться к изменениям, обновите версию до 17.5 (если у вас 17.4 и ниже), создайте профили в разделе Профили безопасности -> Профили контроля приложений и выберите их в правилах Файрвола.

Созданные профили не будут влиять на работу правил Файрвола в 17 версии, но начнут работать после обновления на 18 версию, если применены в правилах Файрвола.

Будьте внимательны! Несмотря на то, что в 17 версии профили Контроля приложений не применяются, выбранное в Файрволе действие работает (Разрешить/Запретить). В связи с этим до обновления на 18 версию рекомендуем временно отключить правила, созданные с применением профилей контроля приложений.

Что изменится с появлением профилей контроля приложений

В версиях ⩽ 17 весь FORWARD трафик сначала проходит модуль Контроль приложений, а затем Файрвол.

В 18 версии в модуль Контроль приложений отправится только тот трафик, который попадает под разрешающее правило Файрвола с включенной проверкой через профиль контроля приложений согласно настройкам. Очередность обработки трафика в версиях ⩽ 17 и в ⩾ 18 версии:

1. DNS;

2. Захват трафика для DPI:

Контроль приложений;
Ограничение скорости;
Система предотвращения вторжений.

3. Захват трафика для фильтрации (прокси-сервер):

Контент-фильтр;
Антивирус веб-трафика.

4. Файрвол.

Принцип создания Профилей контроля приложений в 18 версии Ideco NGFW аналогичен принципу создания правил Контроля приложений в более ранних версиях: все протоколы и приложения, которые не были запрещены, остаются разрешены.

Почему мы отказались от автоматической миграции

От автоматической миграции решили отказаться из-за вероятности появления дубликатов правил FORWARD и усложнения администрирования таблицы:

Контроль приложений мог бы некорректно определить условия фильтрации, заданные администратором в 17 версии, и для одного правила в таблице FORWARD создать несколько профилей;
Все автоматически созданные профили безопасности были бы применены к существующим правилам FORWARD. А так как одному правилу Файрвола может соответствовать только один профиль безопасности, появились бы дубликаты.

Создание профиля и добавление в правила Файрвола

Модуль Контроль приложений НЕ БУДЕТ обрабатывать трафик в версии 18.Х, если в модуле Файрвол для этого трафика нет разрешающего правила (действие Разрешить) с указанным профилем контроля приложений. Проверьте, что для соответствующего трафика добавлен профиль безопасности.

Рекомендуем объединить пользователей в несколько групп/подгрупп (например, в соответствии с организационной структурой компании) и настроить профиль контроля приложений отдельно для каждой группы.

Пример. Необходимо ограничить доступ к социальным сетям пользователям группы "Бухгалтерия".

Создание профиля контроля приложений

1. Перейдите в раздел Профили безопасности -> Профили контроля приложений и нажмите Добавить.

2. Заполните Название и Комментарий (необязательно):

3. После добавления профиля нажмите в столбце Управление на , а затем Доступ к приложениям. Выберите Социальные сети и примените действие Запретить к группе приложений, нажав на соответствующую кнопку в правом верхнем углу:

К неизвестным источникам по умолчанию применяется действие Разрешить (доступно для редактирования).

4. Нажмите Сохранить.

Добавление профиля в правила Файрвола

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать с помощью профиля контроля приложений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить;

3. Включите опцию Контроль приложений и в разделе Профили для фильтрации из раскрывающегося списка выберите профиль, запрещающий социальные сети сотрудникам бухгалтерии.

4. Включите правило или оставьте его выключенным.

5. Нажмите Сохранить.

С 18 версии NGFW правила Файрвола, которые блокировали трафик за счет перехвата DNS в предыдущих версиях, не смогут его блокировать. Чтобы это исправить, создайте правила с профилями IPS и DPI в разделе Правила трафика -> Файрвол -> INPUT.

ВАЖНО: Чтобы через модуль Контроль приложений проходил трафик, для которого нет разрешающего правила в таблице FORWARD, рекомендуем создать в Файрволе правило с источником Локальные интерфейсы и назначением Любой, разместив его в конец таблицы.

Один из вариантов корректного применения политик безопасности к вложенной структуре пользователей - построение иерархической структуры Профилей контроля приложений:

Профили для самой большой группы пользователей запрещают наибольшее количество протоколов и приложений;
Профили для более мелких групп пользователей повторяют запрет для самой большой группы пользователей, но точечно разрешают определенные приложения и протоколы для конкретных подгрупп;
Профили для конкретных пользователей разрешают опеределенные протоколы и приложения, необходимые этим конкретным пользователям. В этих профилях также остаются запреты, которые должны сохраниться для этих пользователей.

Пример создания иерархической структуры профилей контроля приложений и правил Файрвола

Пример. Необходимо настроить профили контроля приложений в соответствии с требованиями:

Всем пользователям запрещены компьютерные игры, контент для взрослых, майнинг и криптовалюты;
Доступ к социальным сетям разрешен только Отделу продвижения;
Доступ к стриминговым сервисам разрешен только Отделу маркетинга;
Доступ к музыкальным приложениям разрешен только Федору Федорову из Отдела маркетинга.

В описанном примере Федор Федоров - сотрудник Отдела маркетинга, а Отдел маркетинга - структурное поздразделение Отдела продвижения:

1. Создайте профиль, запрещающий доступ к социальным сетям, стриминговым сервисам, музыкальным приложениям, компьютерным играм, контенту для взрослых, майнингу и криптовалютам. Для этого перейдите в раздел Профили безопасности -> Профили контроля приложений, нажмите Добавить и введите название профиля:

2. После добавления профиля нажмите в столбце Управление на , а затем Доступ к приложениям. Выберите группы приложений, которые необходимо запретить (перечислены в пункте 1), установите настройку Запретить и нажмите Применить в правом верхнем углу. После применения действия нажмите Сохранить в левом нижнем углу:

3. Создайте профиль для Отдела продвижения, разрешающий доступ к социальным сетям. Для этого клонируйте созданный профиль, нажав на в столбце Управление.

4. Отредактируйте клонированный профиль: поменяйте название (например, на Для Отдела продвижения) и настройки доступа к приложениям (разрешите доступ к социальным сетям).

5. Аналогично создайте профиль для Отдела маркетинга, разрешающий доступ к стриминговым сервисам. Для этого клонируйте профиль Для Отдела продвижения, введите название (например, Для Отдела маркетинга) и разрешите в нем доступ к стриминговым сервисам.

6. Создайте профиль для Федора Федорова, разрешающий доступ к музыкальным сервисам. Для этого клонируйте профиль Для Отдела маркетинга и установите необходимые настройки.

В итоге должен получиться набор профилей, учитывающий настройки, описанные в примере:

Теперь необходимо создать правила в Файрволе, чтобы применить настройки для конкретных групп пользователей и установить приоритет прохождения трафика.

7. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

8. Заполните поля:

В поле Адрес раздела Источник выберите группу Все.
Выберите действие Разрешить.
В профилях фильтрации трафика включите опцию Контроль приложений и выберите профиль Запрет приложений.
Включите правило.

9. Нажмите Сохранить.

10. Аналогично создайте правила для каждого профиля. При создании правила Файрвола укажите соответствующий профилю адрес источника. Например, при создании правила с профилем фильтрации Для Отдела маркетинга выберите в поле Адрес раздела Источник группу Отдел маркетинга:

11. Чтобы трафик проходил в соответствии с условиями примера, установите в Файрволе следующую последовательность правил:

Чем выше в таблице стоит правило, тем выше его приоритет. Разрешающее правило для сотрудника не сработает, если выше в таблице Файрвола находится правило, запрещающее трафик для отдела, в котором работает этот сотрудник.

Фильтрация с помощью профиля контроля приложений трафика, для которого в таблице FORWARD нет правил

Сначала создайте профиль контроля приложений, соответствующий нужным правилам. Для этого:

1. Перейдите в раздел Профили безопасности -> Профили контроля приложений и нажмите Добавить.

2. Введите Название профиля и Комментарий.

3. После добавления профиля нажмите в столбце Управление на , а затем Доступ к приложениям. Выберите протоколы или группы протоколов и действия (Запретить или Разрешить), которые будут к ним применяться.

4. Нажмите Сохранить.

Теперь необходимо создать правило Файрвола с созданным профилем контроля приложений. Для этого:

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

Протокол - выберите Любой;
Источник:
- Зона источника - выберите Локальные интерфейсы;
- При необходимости укажите Адрес и HIP-профиль источника трафика.
Назначение:
- Зона назначения - выберите Любой;
- При необходимости укажите Адрес назначения трафика;
Действие - выберите Разрешить.

3. Включите опцию Контроль приложений и из раскрывающегося списка выберите созданный ранее профиль.

4. Включите правило.

5. Нажмите Добавить.

6. Поместите правило в конец таблицы Файрвола. Если в таблице есть правило, запрещающее все, поместите правило с Профилем контроля приложений над ним.

PreviousПрофили безопасности NextСервисы

Last updated 1 day ago