Особенности создания профилей
Last updated
Was this helpful?
Last updated
Was this helpful?
Принцип создания профилей Контроля приложений - все протоколы и приложения, которые не были запрещены, остаются разрешены.
Для удобства настройки модуля фильтрации рекомендуем объединить пользователей в несколько групп/подгрупп (например, в соответствии с организационной структурой компании) и настроить профиль Контроля приложений отдельно для каждой группы.
Пример. Необходимо ограничить доступ к социальным сетям пользователям группы "Бухгалтерия".
1. Перейдите в раздел Профили безопасности -> Контроль приложений и нажмите Добавить.
2. Заполните Название, Комментарий (необязательно) и добавьте профиль:
4. Выберите Социальные сети (при необходимости используйте поиск). Появится строка с выбором действия:
5. Примените действие Запретить рядом со строкой поиска и нажмите Применить. Действие применится к выбранным приложениям:
К неизвестным источникам по умолчанию применяется действие Разрешить (доступно для редактирования).
6. Нажмите Сохранить.
1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.
2. Заполните поля:
Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать с помощью профиля Контроля приложений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить.
3. Включите опцию Контроль приложений и в разделе Профили для фильтрации из раскрывающегося списка выберите профиль, запрещающий социальные сети сотрудникам бухгалтерии.
4. Включите правило или оставьте его выключенным.
5. Нажмите Добавить.
6. Если в разделе Сервисы -> Защита и управление DNS включена опция Перехват пользовательских DNS-запросов, создайте правило INPUT для протоколов TCP и UDP с тем же профилем безопасности, источником и портом 53 в разделе Назначение. Это необходимо для инспекции перехваченного DNS-трафика, поскольку он направляется в INPUT.
Один из вариантов корректного применения политик безопасности к вложенной структуре пользователей - построение иерархической структуры профилей Контроля приложений:
Профили для самой большой группы пользователей запрещают наибольшее количество протоколов и приложений;
Профили для более мелких групп пользователей повторяют запрет для самой большой группы пользователей, но точечно разрешают определенные приложения и протоколы для конкретных подгрупп;
Профили для конкретных пользователей разрешают определенные протоколы и приложения, необходимые этим конкретным пользователям. В этих профилях также остаются запреты, которые должны сохраниться для этих пользователей.
Чтобы настроить фильтрацию трафика, для которого в таблице FORWARD нет правил, воспользуйтесь инструкцией:
3. Нажмите в столбце Управление на , затем Доступ к приложениям.
