Коралл-РА 2000-SBC
Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Андрей Ушкаров

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Андрей Ушкаров

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Firewall или сетевой экран – комплекс программных средств, осуществляющий контроль и фильтрацию передаваемых через него сетевых пакетов в соответствии с заданными правилами, что необходимо для защиты устройства от несанкционированного доступа. На устройстве может быть до 32 профилей.

Image Added


Правила брандмауэра не будут работать на ограничение доступа по протоколам HTTP/HTTPS, SSH, Telnet, SNMP, FTP. Для ограничения доступа по этим протоколам воспользуйтесь списком разрешённых IP адресов (раздел 3.1.8.6"Список разрешённый IP-адресов") и настройками активации сервисов на сетевых интерфейсах (раздел 3.1.5.3 "Сетевые интерфейсы").


Профили firewall

Image Added

Для создания, редактирования и удаления профилей firewall используется меню «Объекты» -
 «Добавить объект», «Объекты» «Редактировать объект» и «Объекты» «Удалить объект», а также кнопки:

  • «Добавить»;
  • «Редактировать»;
  • «Удалить».

...



Image Removed
Программное обеспечение позволяет настроить правила firewall для входящего, исходящего и транзитного трафика, а также для определенных сетевых интерфейсов. Общее количество правил firewall едино на все профили и составляет 1000 правил.
Безопасность –> Статический брандмауэр –> «Добавить»
Image Removed

При создании правила настраиваются следующие параметры:

...


Меню правила firewall в зависимости выбора типа правила

Image ModifiedImage ModifiedImage Modified

  • Источник пакета – определяет сетевой адрес источника пакетов, либо для всех адресов, либо для конкретного IP-адреса или сети:
    • любой – для всех адресов (флаг установлен);
    • IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
  • Порты источника – ТСР/UDP порт или диапазон портов (указывается через тире «-») источника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP;
  • Адрес назначения – определяет сетевой адрес приемника пакетов, либо для всех адресов, либо для конкретного IP-адреса или сети:
    • любой – для всех адресов (флаг установлен);
    • IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге

...

    • флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
  • Порты назначения – ТСР/UDP порт или диапазон портов (указывается через тире «-») приемника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP;
  • Протокол – протокол, для которого будет использоваться правило: UDP, TCP, ICMP, либо TCP/UDP;
  • Тип сообщения (ICMP) – тип сообщения протокола ICMP, для которого используется правило.

...

  •  Данное поле активно, если в поле «Протокол» выбран ICMP;
  • Действие – действие выполняемое данным правилом:
    • ACCEPT – пакеты, попадающие под данное правило, будут пропущены сетевым экраном firewall
    • DROP – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall без какого либо информирования стороны передавшей пакет
    • REJECT – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall, стороне, передавшей пакет, будет отправлен либо пакет TCP RST либо ICMP destination unreachable;
  • Страна – выбор страны, к которой принадлежит адрес. Поле отображается только для правила типа "GeoIP";
  • Содержимое – строка, которая должна содержаться в пакете. Строка будет искаться по содержимому пакета с учётом регистра. Поле отображается только для правила типа "String".

Image Removed Созданное правило попадет в соответствующий раздел: «Правиладлявходящеготрафика»,«Правиладляисходящеготрафика» либо «Правиладлятранзитного трафика».




Также в профиле firewall возможно указать сетевые интерфейсы, для которых будут использоваться правила данного профиля.

Image Added

Image Modified Каждый сетевой интерфейс может одновременно использоваться только в одном профиле firewall. При попытке назначения сетевого интерфейса в новый профиль из старого он будет удален.

Для применения правил необходимо нажать на кнопку «Применить», которая появится, если в настройках firewall были сделаны изменения.