Особенности создания профилей

PreviousКонтроль приложений NextПример создания иерархической структуры

Last updated 25 days ago

Was this helpful?

Особенности создания профилей

Принцип создания профилей Контроля приложений - все протоколы и приложения, которые не были запрещены, остаются разрешены.

Для удобства настройки модуля фильтрации рекомендуем объединить пользователей в несколько групп/подгрупп (например, в соответствии с организационной структурой компании) и настроить профиль Контроля приложений отдельно для каждой группы.

Создание профилей и добавление в правила Файрвола

Пример. Необходимо ограничить доступ к социальным сетям пользователям группы "Бухгалтерия".

Создание профиля Контроля приложений

1. Перейдите в раздел Профили безопасности -> Контроль приложений и нажмите Добавить.

2. Заполните Название, Комментарий (необязательно) и добавьте профиль:

4. Выберите Социальные сети (при необходимости используйте поиск). Появится строка с выбором действия:

5. Примените действие Запретить рядом со строкой поиска и нажмите Применить. Действие применится к выбранным приложениям:

К неизвестным источникам по умолчанию применяется действие Разрешить (доступно для редактирования).

6. Нажмите Сохранить.

Добавление профиля в правила Файрвола

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать с помощью профиля Контроля приложений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить.

3. Включите опцию Контроль приложений и в разделе Профили для фильтрации из раскрывающегося списка выберите профиль, запрещающий социальные сети сотрудникам бухгалтерии.

4. Включите правило или оставьте его выключенным.

5. Нажмите Добавить.

6. Если в разделе Сервисы -> Защита и управление DNS включена опция Перехват пользовательских DNS-запросов, создайте правило INPUT для протоколов TCP и UDP с тем же профилем безопасности, источником и портом 53 в разделе Назначение. Это необходимо для инспекции перехваченного DNS-трафика, поскольку он направляется в INPUT.

Иерархическая структура Профилей контроля приложений

Один из вариантов корректного применения политик безопасности к вложенной структуре пользователей - построение иерархической структуры профилей Контроля приложений:

Профили для самой большой группы пользователей запрещают наибольшее количество протоколов и приложений;
Профили для более мелких групп пользователей повторяют запрет для самой большой группы пользователей, но точечно разрешают определенные приложения и протоколы для конкретных подгрупп;
Профили для конкретных пользователей разрешают определенные протоколы и приложения, необходимые этим конкретным пользователям. В этих профилях также остаются запреты, которые должны сохраниться для этих пользователей.

Чтобы настроить фильтрацию трафика, для которого в таблице FORWARD нет правил, воспользуйтесь инструкцией:

PreviousКонтроль приложений NextПример создания иерархической структуры

Last updated 25 days ago

Was this helpful?

Создание профилей и добавление в правила Файрвола

Пример. Необходимо ограничить доступ к социальным сетям пользователям группы "Бухгалтерия".

Создание профиля Контроля приложений

1. Перейдите в раздел Профили безопасности -> Контроль приложений и нажмите Добавить.

2. Заполните Название, Комментарий (необязательно) и добавьте профиль:

3. Нажмите в столбце Управление на , затем Доступ к приложениям.

4. Выберите Социальные сети (при необходимости используйте поиск). Появится строка с выбором действия:

К неизвестным источникам по умолчанию применяется действие Разрешить (доступно для редактирования).

6. Нажмите Сохранить.

Добавление профиля в правила Файрвола

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

Протокол - выберите протокол, соответствующий трафику, который требуется фильтровать с помощью профиля Контроля приложений;
Источник - выберите Адрес, Зону и HIP-профиль источника трафика;
Назначение - выберите Адрес и Зону назначения трафика;
Действие - выберите Разрешить.

4. Включите правило или оставьте его выключенным.

5. Нажмите Добавить.

Иерархическая структура Профилей контроля приложений

Профили для самой большой группы пользователей запрещают наибольшее количество протоколов и приложений;
Профили для более мелких групп пользователей повторяют запрет для самой большой группы пользователей, но точечно разрешают определенные приложения и протоколы для конкретных подгрупп;
Профили для конкретных пользователей разрешают определенные протоколы и приложения, необходимые этим конкретным пользователям. В этих профилях также остаются запреты, которые должны сохраниться для этих пользователей.

Пример создания иерархической структуры

Чтобы настроить фильтрацию трафика, для которого в таблице FORWARD нет правил, воспользуйтесь инструкцией:

Настройка фильтрации трафика, для которого в таблице FORWARD нет правил