...
Схема работы сетевой защиты Коралл-РА.
На Коралл-РА работает следующий порядок отработки правил динамического и статического брандмауэра, списка запрещенных адресов и ограничения доступа с сетевых интерфейсов:
- Производится отработка правил динамического брандмауэра. На этом этапе происходит сброс запросов от адресов, находящихся в черном списке и списке временных блокировок.
- Отрабатываются ограничения доступа, настраиваемые в разделах Сетевые интерфейсы -> Сервисы и сервисы и Список разрешенных IP-адресов. При неактивном списке разрешённых IP-адресов формируются правила, разрешающие доступ к управлению на адреса сетевых интерфейсов Коралл-РА, у которых есть разрешение на доступ в блоке "Сервисы" Сетевые сервисы. При активном списке разрешённых IP-адресов правила дополняются контролем IP-адреса источника – разрешено подключение только с адресов, указанных в списке.
- Разрешается прочий доступ к сетевым интерфейсам, на которые нет привязки правил статического брэндмауэра.
- Отрабатываются правила статического брандмауэра на тех сетевых интерфейсах, к которым правила привязаны.
...
Обеспечение типовых задач сетевой защиты Коралл-РА.
Ограничение доступа к управлению по протоколам WEB/Telnet/SSH/SNMP.
Для ограничения доступа к управлению следует воспользоваться Сетевые интерфейсы -> Сервисы и Список разрешенных IP-адресов. Сначала на сетевых интерфейсах, куда необходимо разрешить доступ, выставляются флаги протоколов, по которым необходимо разрешить доступ. Таким образом будет выставлено ограничение по адресу назначения. После этого настраивается список разрешённых IP-адресов, который дополнительно выставит ограничение по адресу источника по адресам из списка.
Ограничение доступа к интерфейсам SIP/H.323 определенными адресами и/или географическими локациями.
...
Полное ограничение доступа к Коралл-РА с определенного адреса или подсети.
Для того, чтобы реализовать ограничение доступа к Коралл-РА с определенного адреса или подсети, необходимо активировать динамический брандмауэр (раздел "Динамический брандмауэр") и внести адрес или подсеть в черный список. Обратите внимание, если адресов слишком много, то лучше пойти от обратного и создать правила статического брандмауэра (раздел "Статический брандмауэр") по принципу "сначала разрешить соединение доверенным узлам, затем отбросить всё" и настройками ограничения доступа через список разрешенных IP-адресов.
...
Автоматическая блокировка неудачных запросов/авторизаций.
Автоматическая блокировка неудачных запросов/авторизаций выполняется динамическим брандмауэром (раздел "Динамический брандмауэр"). Для этого следует активировать динамический брандмауэр и настроить условия срабатывания. Также рекомендуется внести в белый список те адреса и подсети, к которым не должны применяться правила автоматической блокировки.