Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Firewall или сетевой экран – комплекс программных средств, осуществляющий контроль и фильтрацию передаваемых через него сетевых пакетов в соответствии с заданными правилами, что необходимо для защиты устройства от несанкционированного доступа. На устройстве может быть до 32 профилей.


Правила брандмауэра не будут работать на ограничение доступа по протоколам HTTP/HTTPS, SSH, Telnet, SNMP, FTP. Для ограничения доступа по этим протоколам воспользуйтесь списком разрешённых IP адресов (раздел "Список разрешённый IP-адресов") и настройками активации сервисов на сетевых интерфейсах (раздел "Сетевые интерфейсы").


Профили firewall

Для создания, редактирования и удаления профилей firewall используется меню «Объекты» «Добавить объект», «Объекты» «Редактировать объект» и «Объекты» «Удалить объект», а также кнопки:

  • «Добавить»;
  • «Редактировать»;
  • «Удалить».



Программное обеспечение позволяет настроить правила firewall для входящего, исходящего и транзитного трафика, а также для определенных сетевых интерфейсов. Общее количество правил firewall едино на все профили и составляет 1000 правил.

При создании правила настраиваются следующие параметры:

  • Имя – имя правила;
  • Использовать – определяет, будет ли использоваться правило. Если флаг не установлен, то правило будет неактивно;
  • Тип трафика – тип трафика, для которого создается правило:
    • входящий – предназначенный для SBC;
    • исходящий – отправляемый SBC;
  • Тип правила – может принимать значения:
    • Обычное – правило с проверкой IP-адресов и портов;
    • GeoIP – правило с проверкой адреса по базе GeoIP;
    • String – правило с проверкой вхождения строки в пакет;


Меню правила firewall в зависимости выбора типа правила

  • Источник пакета – определяет сетевой адрес источника пакетов, либо для всех адресов, либо для конкретного IP-адреса или сети:
    • любой – для всех адресов (флаг установлен);
    • IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
  • Порты источника – ТСР/UDP порт или диапазон портов (указывается через тире «-») источника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP;
  • Адрес назначения – определяет сетевой адрес приемника пакетов, либо для всех адресов, либо для конкретного IP-адреса или сети:
    • любой – для всех адресов (флаг установлен);
    • IP адрес/маска – для конкретного IP-адреса или сети. Поле активно при снятом флаге «любой». Для сети обязательно указывается маска, для IP-адреса указание маски не обязательно;
  • Порты назначения – ТСР/UDP порт или диапазон портов (указывается через тире «-») приемника пакетов. Данный параметр используется только для протоколов TCP и UDP, поэтому, чтобы данное поле стало активным, необходимо выбрать в поле протокол UDP, TCP, либо TCP/UDP;
  • Протокол – протокол, для которого будет использоваться правило: UDP, TCP, ICMP, либо TCP/UDP;
  • Тип сообщения (ICMP) – тип сообщения протокола ICMP, для которого используется правило. Данное поле активно, если в поле «Протокол» выбран ICMP;
  • Действие – действие выполняемое данным правилом:
    • ACCEPT – пакеты, попадающие под данное правило, будут пропущены сетевым экраном firewall
    • DROP – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall без какого либо информирования стороны передавшей пакет
    • REJECT – пакеты, попадающие под данное правило, будут отброшены сетевым экраном firewall, стороне, передавшей пакет, будет отправлен либо пакет TCP RST либо ICMP destination unreachable;
  • Страна – выбор страны, к которой принадлежит адрес. Поле отображается только для правила типа "GeoIP";
  • Содержимое – строка, которая должна содержаться в пакете. Строка будет искаться по содержимому пакета с учётом регистра. Поле отображается только для правила типа "String".

Созданное правило попадет в соответствующий раздел: «Правила для входящего трафика», «Правила для исходящего трафика» либо «Правила для транзитного трафика».




Также в профиле firewall возможно указать сетевые интерфейсы, для которых будут использоваться правила данного профиля.

 Каждый сетевой интерфейс может одновременно использоваться только в одном профиле firewall. При попытке назначения сетевого интерфейса в новый профиль из старого он будет удален.

Для применения правил необходимо нажать на кнопку «Применить», которая появится, если в настройках firewall были сделаны изменения.





  • Нет меток
Написать комментарий...