Firewall или сетевой экран – комплекс программных средств, осуществляющий контроль и фильтрацию передаваемых через него сетевых пакетов в соответствии с заданными правилами, что необходимо для защиты устройства от несанкционированного доступа. На устройстве может быть до 32 профилей.
Правила брандмауэра не будут работать на ограничение доступа по протоколам HTTP/HTTPS, SSH, Telnet, SNMP, FTP. Для ограничения доступа по этим протоколам воспользуйтесь списком разрешённых IP адресов (раздел 3.1.8.6"Список разрешённый IP-адресов") и настройками активации сервисов на сетевых интерфейсах (раздел 3.1.5.3 "Сетевые интерфейсы").
Профили firewall
Для создания, редактирования и удаления профилей firewall используется меню «Объекты» -
«Добавить объект», «Объекты» «Редактировать объект» и «Объекты» «Удалить объект», а также кнопки:
- «Добавить»;
- «Редактировать»;
- «Удалить».
...
Программное обеспечение позволяет настроить правила firewall для входящего, исходящего и транзитного трафика, а также для определенных сетевых интерфейсов. Общее количество правил firewall едино на все профили и составляет 1000 правил.
Безопасность –> Статический брандмауэр –> «Добавить»
При создании правила настраиваются следующие параметры:
...
Меню правила firewall в зависимости выбора типа правила
- Источник пакета – определяет сетевой адрес источника пакетов, либо для всех адресов, либо для конкретного IP-адреса или сети:
- любой – для всех адресов (флаг установлен);
- IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
- Порты источника – ТСР/UDP порт или диапазон портов (указывается через тире «-») источника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP;
- Адрес назначения – определяет сетевой адрес приемника пакетов, либо для всех адресов, либо для конкретного IP-адреса или сети:
- любой – для всех адресов (флаг установлен);
- IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге
...
- флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
- Порты назначения – ТСР/UDP порт или диапазон портов (указывается через тире «-») приемника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP;
- Протокол – протокол, для которого будет использоваться правило: UDP, TCP, ICMP, либо TCP/UDP;
- Тип сообщения (ICMP) – тип сообщения протокола ICMP, для которого используется правило.
...
- Данное поле активно, если в поле «Протокол» выбран ICMP;
- Действие – действие выполняемое данным правилом:
- ACCEPT – пакеты, попадающие под данное правило, будут пропущены сетевым экраном firewall
- DROP – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall без какого либо информирования стороны передавшей пакет
- REJECT – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall, стороне, передавшей пакет, будет отправлен либо пакет TCP RST либо ICMP destination unreachable;
- Страна – выбор страны, к которой принадлежит адрес. Поле отображается только для правила типа "GeoIP";
- Содержимое – строка, которая должна содержаться в пакете. Строка будет искаться по содержимому пакета с учётом регистра. Поле отображается только для правила типа "String".
Созданное правило попадет в соответствующий раздел: «Правиладлявходящеготрафика»,«Правиладляисходящеготрафика» либо «Правиладлятранзитного трафика».
Также в профиле firewall возможно указать сетевые интерфейсы, для которых будут использоваться правила данного профиля.
Каждый сетевой интерфейс может одновременно использоваться только в одном профиле firewall. При попытке назначения сетевого интерфейса в новый профиль из старого он будет удален.
Для применения правил необходимо нажать на кнопку «Применить», которая появится, если в настройках firewall были сделаны изменения.