Одной из основных функций ARMA Стена является фильтрация трафика с помощью встроенного межсетевого экрана. С помощью МЭ возможно установить правила для блокировки, отклонения или разрешения входящего, исходящего и локального трафика.
Для перехода в раздел «Межсетевой экран» необходимо выполнить следующие действия:
В списке источников открыть карточку необходимого источника «NGFW».
В МЭ реализованы две политики фильтрации сетевого трафика:
Стандартная политика на основе системных наборов правил.
Системные наборы правил представляют собой предопределённые пакеты правил, входящие в состав МЭ. В зависимости от направления и назначения сетевого трафика, применяются следующие системные наборы правил:
«Input» - набор правил для фильтрации входящего IPv4/IPv6-трафика, адресованного самой системе ARMA Стена.
«Output» - набор правил для фильтрации исходящего IPv4/IPv6-трафика, инициированного самой системой ARMA Стена, например, ответы на внешние запросы (SSH, ICMP и др.).
«Forward» - набор правил для фильтрации транзитного IPv4/IPv6-трафика, проходящего через устройство ARMA Стена.
Политика на основе зон сети.
В рамках архитектуры, основанной на зонах безопасности, сетевые интерфейсы объединяются в логические группы — зоны, в соответствии с их функциональным или сегментационным назначением. Правила фильтрации трафика между зонами определяются кастомными наборами правил, назначенными для каждой пары взаимодействующих зон. Такой подход обеспечивает гибкое и детализированное управление доступом, позволяя задавать различные уровни разрешений и политик безопасности для каждой конкретной зоны и межзонового взаимодействия.
Примечание
Стандартная политика фильтрации трафика имеет приоритет над политикой на основе зон сети и применяется по умолчанию.
По умолчанию сетевой трафик сначала обрабатывается на уровне системных наборов правил. Для использования исключительно политики на основе зон необходимо разрешить весь трафик на уровне системных наборов правил. Это осуществляется путём установки параметра «Действие по умолчанию» в значение «Разрешить (accept)» и удаления (или отключения) всех правил в каждом из системных наборов Input, Output и Forward.
Некоторые настройки МЭ являются глобальными и влияют на всю систему. Для настройки глобальных параметров необходимо перейти в подраздел «Настройки межсетевого экрана» - «Глобальные настройки» (см. Рисунок – Глобальные настройки).
Отвечать на echo-запросы ICMPv4 - разрешить или запретить приём ICMP-запросов (ping) на входящие соединения на устройстве ARMA Стена. По умолчанию устройство отвечает на все виды ICMP-запросов.
Отвечать на широковещательные запросы ICMPv4 - разрешить или запретить ответы на широковещательные ICMP сообщения. По умолчанию ответы на широковещательные ICMP сообщения запрещены.
Обработка IPv4 пакетов, содержащих информацию об исходном маршруте - принимать или игнорировать IPv4-пакеты, в которых заданы параметры маршрутизации источника (например, LSRR — Loose Source and Record Route или SSRR — Strict Source and Record Route). Эти параметры позволяют отправителю указать конкретный маршрут, по которому должны проходить пакеты через сеть. Это может быть использовано в контексте атак типа «man-in-the-middle», когда злоумышленник пытается перехватить трафик, перенаправляя его через свой узел. По умолчанию такие пакеты игнорируются.
Обработка IPv6 пакетов, содержащих информацию об исходном маршруте - принимать или игнорировать IPv6-пакеты, в которых заданы параметры маршрутизации источника. По умолчанию такие пакеты игнорируются.
Обработка входящих перенаправляющих сообщений ICMPv4 - разрешить или запретить возможность приёма сообщений ICMPv4 Redirect. ICMPv4 Redirect представляет собой протокол сетевого уровня, используемый для передачи информации о более эффективных маршрутах к целевым узлам. Маршрутизатор может отправить такое сообщение хосту, чтобы указать на более оптимальный путь для достижения конечной точки. Эта функция может быть полезна для оптимизации маршрутизации в некоторых сетевых конфигурациях. Однако, с точки зрения информационной безопасности, ICMP Redirect-сообщения могут представлять угрозу, так как они могут быть использованы злоумышленниками для модификации таблицы маршрутизации клиента. По умолчанию приём ICMPv4 Redirect-сообщений отключён.
Обработка входящих перенаправляющих сообщений ICMPv6 - разрешить или запретить возможность приёма сообщений ICMPv6 Redirect. По умолчанию приём ICMPv6 Redirect-сообщений отключён.
Использование перенаправляющих сообщений ICMPv4 - разрешить или запретить возможность отправки ICMP Redirect-сообщений через IPv4. По умолчанию устройство отправляет ICMP Redirect-сообщения другим хостам, если обнаружит более оптимальный путь.
Логирование марсианских IPv4 пакетов - включить или отключить регистрацию пакетов с некорректными или подозрительными IP-адресами источника или назначения, известных как «марсианские» пакеты (martian packets). По умолчанию логирование включено.
Проверка IPv4-адресов источников по обратному пути - включить или отключить проверку источников по обратному пути. Возможно указать следующие варианты проверок:
Строгая - осуществляется проверку того, что маршрут до исходного IPv4-адреса проходит через тот же сетевой интерфейс, с которого был получен пакет;
Мягкая - проверяется наличие маршрута до исходного IPv4-адреса, независимо от его соответствия интерфейсу, через который поступил пакет;
Отключена - Проверка отключена. Используется по умолчанию.
Проверка IPv6-адресов источников по обратному пути - включить или отключить проверку источников по обратному пути. Возможно указать следующие варианты проверок:
Строгая - осуществляется проверку того, что маршрут до исходного IPv6-адреса проходит через тот же сетевой интерфейс, с которого был получен пакет;
Мягкая - проверяется наличие маршрута до исходного IPv6-адреса, независимо от его соответствия интерфейсу, через который поступил пакет;
Отключена - Проверка отключена. Используется по умолчанию.
IPv4 TCP SYN Cookies - включить или отключить механизм SYN-cookies в МЭ. Механизм SYN-cookies представляет собой метод защиты от атак типа «SYN flood», при которых злоумышленник отправляет значительное количество SYN-пакетов с целью исчерпания ресурсов сервера. По умолчанию данный механизм активирован.
Защита от угрозы прерывания по времени в TCP - включить или отключить защиту от угроз, связанных с Time-Wait Assault (TWA). По умолчанию отключено.
Установленные соединения (established connections) - блок настройки политики обработки уже установленных соединений в МЭ:
Обработка пакетов - определяет, как система должна обрабатывать входящий трафик, который является частью уже установленного и разрешённого TCP/IP-соединения. Возможно выбрать следующие значения:
Разрешить (accept) - принимать весь трафик, относящийся к установленным соединениям. Используется по умолчанию.
Отбросить (drop) - отбрасывать установленные соединения без отправки какого-либо ответа.
Отклонить (reject) - отбрасывать трафик с отправкой ICMP или TCP RST сообщения.
Примечание
При выборе значения «Отбросить (drop)» или «Отклонить (reject)» управление данным устройством станет недоступным.
Логирование действий над пакетами установленных соединений - определяет, будут ли записываться в журнал событий все пакеты, принадлежащие уже существующим, установленным соединениям. По умолчанию логирование отключено.
Уровень логов - настроить уровень детализации логирования установленных соединений в МЭ. Возможно выбрать следующие значения:
Аварийный (emerg);
Тревожный (alert);
Критический (crit);
Ошибка (err);
Предупреждение (warn) - используется по умолчанию;
Уведомление (notice);
Информация (info);
Отладка (debug).
Примечание
Блок «Установленные соединения (established connections)» доступен только для просмотра и не поддерживает редактирование через графический интерфейс. Настройка параметров данного блока возможна исключительно с использованием командной строки (CLI).
Недействительные соединения (invalid connections) - блок настройки обработки недопустимых (invalid) сетевых пакетов в МЭ. Конфигурация этого раздела аналогична параметрам, применяемым к политике обработки уже установленных соединений.
Порождённые соединения (related connections) - блок настройки обработки связанных (related) сетевых соединений в МЭ. Конфигурация этого раздела аналогична параметрам, применяемым к политике обработки уже установленных соединений.
Передача широковещательных IPv4 пакетов - включить или отключить обработку направленных широковещательных пакетов (directed broadcast) в МЭ. По умолчанию обработка широковещательных пакетов включена.
Кэшировать результаты преобразования имён - включить или отключить кэширование результатов преобразования DNS-имён, используемых при работе с правилами МЭ, содержащими доменные имена. По умолчанию кэширование отключено.
Интервал преобразования имён - установить значения интервала в секундах для обновления разрешения DNS-имён. Возможно указание значения в диапазоне от «10» до «3600». При использовании FQDN в группах «Домены» или правилах МЭ функция разрешения доменных имён будет выполняться с указанной периодичностью для актуализации связанных IP-адресов, при этом результаты могут кэшироваться, если включена глобальная опция «Кэшировать результаты преобразования имен».
Для сохранения внесённых изменений в глобальные настройки МЭ необходимо нажать кнопку «Сохранить» (см. Рисунок – Глобальные настройки).
Группы представляют собой удобный инструмент для объединения множества сетей, хостов и портов с целью их дальнейшего использования в правилах межсетевого экрана (МЭ) и других настройках ARMA Стена. Применение групп позволяет улучшить читаемость правил МЭ, а также ускорить процесс добавления новых или изменения существующих правил.
Для просмотра списка назначенных групп необходимо выполнить следующие действия:
«Наименование» - должно быть уникальным в рамках своего типа, не превышать «31» символа, начинаться только с латинской буквы или цифры, не может начинаться с символов «-» или «!», и не должно содержать символы «|», «;», «:», «&», «$», «<», «>»;
«Тип» - тип группы. Возможно выбрать из списка: «IPv4 адреса», «IPv4 сети», «IPv6 адреса», «IPv6 сети», «Порты», «Домены», «MAC-адреса», «Интерфейсы», «Динамические группы». В зависимости от выбранного типа в окне откроются дополнительные поля для ввода параметров;
Примечание
Настройка наполнения элементами в динамической группе осуществляется через правила МЭ.
Группы <тип_группы> - позволяет выбрать одну или несколько существующих групп аналогичного типа из выпадающего списка. Данная функция позволяет вложить одну группу в другую для удобной организации правил фильтрации трафика. Параметр не доступен для типов групп «Домены» и «Динамические группы».
«Описание» - максимально допустимая длина значения поля «127» символов.
Для копирования группы необходимо выполнить следующие действия:
Выбрать одну группу, установив флажок в чек-боксе слева от наименования группы, и нажать кнопку «Копировать».
В открывшейся боковой панели «Копирование группы» ввести новое наименование группы. Значение поля «Тип» наследуется от копируемого группы и недоступно для изменений.
При попытке удаления группы, используемой в правилах NAT или МЭ, отобразится предупреждение о невозможности её удаления (см. Рисунок – Удаление группы невозможно).
В зависимости от принадлежности трафика существуют следующие наборы правил:
«Input» - набор правил для фильтрации IPv4 и IPv6 трафика, предназначенного для самой ARMA Стена, и используется для её защиты.
«Output» - набор правил для фильтрации IPv4 и IPv6 трафика, исходящего от самой ARMA Стена. Например, ответ на попытку входа по SSH в ARMA Стену.
«Forward» - набор правил для фильтрации IPv4 и IPv6 трафика, проходящего транзитом через ARMA Стена.
«Name» - кастомный набор правил. Используется во всех вариантах работы МЭ, включая системные наборы «Input», «Output» и «Forward», реализуемый через действия правила «Перейти (jump)».
ARMA Стена по умолчанию содержит шесть системных наборов правил: три набора «Input», «Output» и «Forward» для фильтрации IPv4 трафика и три набора «Input», «Output» и «Forward» для фильтрации IPv6 трафика.
Набор правил содержит действие по умолчанию, которое применяется к сетевому пакету, если ни одно из правил в наборе не сработало.
Для системных наборов правил «Input», «Output» и «Forward» возможно установить следующие значения действия по умолчанию:
«Разрешить (accept)» - значение по умолчанию;
«Отбросить (drop)».
Для кастомных наборов правил возможно установить следующие значения действия по умолчанию:
«Действие по умолчанию» - действие применится в случае, если ни одно из установленных правил в наборе не было применено.
Примечание
При использовании действия «Перейти (jump)» не допускается создание бесконечных циклов, когда набор перенаправляет сам на себя или через несколько переходов возвращается к себе.
Для назначения кастомного набора правил на трафик между зонами сети необходимо нажать кнопку «+Добавить» в блоке «Назначение на трафик между зонами сети» и заполнить необходимые поля (см. Рисунок – Назначение на трафик между зонами сети):
«Зона отправителя» - выбор из списка зоны отправителя;
«Интерфейсы зоны отправителя» - поле отображает интерфейсы, входящие в выбранную зону отправителя. Поле заблокировано для редактирования;
«Зона получателя» - выбор из списка зоны получателя;
«Интерфейсы зоны отправителя» - поле отображает интерфейсы, входящие в выбранную зону получателя. Поле заблокировано для редактирования.
Для редактирования набора правил необходимо нажать ЛКМ на строку с нужным набором и в открывшейся боковой панели внести корректировки. По завершению нажать кнопку «Сохранить».
Для копирования кастомных наборов правил необходимо выполнить следующие действия:
Выбрать один или несколько кастомных наборов правил, установив флажок в чек-боксе слева от наименования набора, и нажать кнопку «Копировать».
В открывшейся боковой панели «Копирование набора» ввести новое наименование набора. Параметр «Тип» наследуется от копируемого набора и заблокирован для изменений.
При удалении системного набора правил удаляются только правила, входящие в состав этого набора; сам набор из списка не удаляется.
Примечание
Если удаляемый кастомный набор правил назначен на направление трафика между зонами сети или используется в других наборах и правилах для переадресации на них, то появится предупреждающее окно с запретом на удаление (см. Рисунок – Удаление невозможно).
Фильтрация трафика происходит с помощью правил МЭ. Каждое правило пронумеровано, имеет действие, которое следует применить, если правило соответствует, и критерии соответствия. Пакеты данных проходят по правилам от «1» до «999999», при первом совпадении будет выполнено действие правила, далее обработка пакета не производится.
Правилами МЭ предусмотрены следующие действия над сетевыми пакетами:
«Отбросить (drop)» - отбросить пакет.
«Перейти (jump)» - перейти к кастомному набору правил.
«Вернуться (return)» - вернуться из кастомного набора правил и перейти к следующему правилу.
«Отклонить (reject)» - отклонить пакет.
«Разрешить (accept)» - разрешить пакет.
«Продолжить (continue)» - продолжить проверку следующего правила.
«В очередь (queue)» - отправляет пакет в пользовательское пространство для дальнейшей обработки.
Данный оператор отправляет пакет в пространство пользователя с использованием функции nfnetlink_queue. Пакет помещается в очередь, идентифицируемую по 16-разрядному номеру. Пользовательское пространство может при необходимости просмотреть и изменить пакет. Затем пользовательское пространство должно удалить пакет или повторно отправить его в ядро. Также предусмотрена возможность активации опции обхода, которая позволит не выполнять операцию записи пакета в пользовательское пространство, если в очереди нет приложений, ожидающих обработки пакета. В таком случае правило будет действовать аналогично действию «Разрешить (accept)», если не обнаружено приложений, ожидающих пакет.
«Разгрузить (offload)» - определяет, какие потоки добавляются в таблицу потоков.
Таблицы потоков позволяют ускорить передачу пакетов в программном обеспечении (и в аппаратном обеспечении, если сетевой адаптер поддерживает эту функцию) за счёт обхода сетевого стека на основе conntrack. Записи представляются в виде кортежа, состоящего из входного интерфейса, адреса источника и назначения, порта источника и назначения, а также протоколов уровня 3/4. Каждая запись также кэширует информацию об интерфейсе назначения и адресе шлюза (для обновления адреса назначения на канальном уровне) с целью пересылки пакетов. Поля TTL и hoplimit также декрементируются. Таким образом, таблицы потоков обеспечивают альтернативный путь, позволяющий пакетам обойти классический путь пересылки. После установления состояния потоки разгружаются. Это означает, что первый ответный пакет обычно создаёт запись в таблице потоков. Для приёма исходного трафика требуется правило межсетевого экрана. Выражение потока в прямой цепочке должно соответствовать обратному трафику из исходного соединения. Следует иметь в виду, что обратный маршрут определяется на основе пакета, который создаёт запись в таблице потоков. Если используются определённые правила IP, необходимо убедиться, что они соответствуют как трафику ответного пакета, так и исходному трафику.
«Synproxy» - соединения synproxy.
Сетевой фильтр Synproxy перехватывает новые TCP-соединения и обрабатывает начальное трёхстороннее подтверждение связи по протоколу TCP, используя syncookies вместо conntrack для установления соединения. Таким образом, запуск SynProxy на порту прослушивающего сервера предотвращает использование ограниченных ресурсов conntrack при атаках типов SYN, SYN-ACK, ACK Flood на этот порт, при которых сервер подвергается воздействию большого количества syn-пакетов. Данное действие требует отслеживания соединения, поскольку необходимо передать порядковые номера. Принцип работы: сервер вычисляет значение на основе текущего состояния и отправляет его в SYN+ACK-пакете. Когда клиент возвращает ACK-пакет, сервер извлекает значение для аутентификации. Если значение верно, соединение считается установленным.
Примечание
Каждое правило МЭ должно принадлежать какому-либо набору правил.
«Набор» - набор правил, к которому будет принадлежать создаваемое правило. В зависимости от выбранного набора правил откроются дополнительные поля настройки;
«Тип» - версии интернет-протокола. Значение наследуется от выбранного набора правил;
«Приоритет» - номер приоритета правила. Возможно указать значение в диапазоне от «1» до «999999». Параметр должен быть уникальным в рамках выбранного набора правил и определяет последовательность выполнения правил;
В случае выбора действия «Разгрузить (offload)» необходимо указать таблицу потоков, в которую необходимо экспортировать данный поток. Для этого в поле «Потоковая таблица» следует выбрать из выпадающего списка соответствующую таблицу потоков.
В случае выбора действия «Synproxy» необходимо дополнительно указать следующие параметры:
MSS - максимальный размер полезного блока данных в байтах для TCP-пакета (сегмента). Возможно указать значение в диапазоне от «501» до «65535».
Коэффициент масштабирования окна - коэффициент масштабирования окна для TCP-соединения. Возможно указать значение в диапазоне от «1» до «14».
Примечание
Для действия «Synproxy» необходимо выбрать протокол «TCP».
При выборе действия «Перейти (jump)» последующая проверка пакета осуществляется в кастомном наборе, указанном в дополнительном поле «Переадресация».
Примечание
При использовании действия «Перейти (jump)» не допускается создание бесконечных циклов, когда набор перенаправляет сам на себя или через несколько переходов возвращается к себе.
В случае выбора действия «В очередь (queue)» необходимо дополнительно указать следующие параметры:
Очередь - номер очереди, в которую будут направлены пакеты, соответствующие заданному правилу. Возможно указать значение в диапазоне от «0» до «65535» или диапазон значений через дефис в формате X-Y.
Исключать из очереди - исключать пакеты из очереди и пропускать их через МЭ, если ни одно приложение в пользовательском пространстве не подключено к данной очереди.
Распределение - распределять пакеты между несколькими очередями. Распределение возможно включить, только если указан диапазон очередей.
«Входящий интерфейс» - назначить входящий интерфейс или группу интерфейсов (псевдоним). При выборе значения «Интерфейсы» необходимо указать имя физического или виртуального интерфейса «ARMA Стена». Допустимо использование подстановочного знака «*». Поддерживается указание входящего интерфейса в качестве критерия соответствия для наборов правил: «name», «input», «forward»;
«Исходящий интерфейс» - назначить исходящий интерфейс или группу интерфейсов (псевдоним). При выборе значения «Интерфейсы» необходимо указать имя физического или виртуального интерфейса «ARMA Стена». Допустимо использование подстановочного знака «*». Поддерживается указание исходящего интерфейса в качестве критерия соответствия для наборов правил: «name», «output», «forward»;
«Транспортный протокол» - значение транспортного протокола. Возможно указать значение номером или именем протокола:
«Номер» - номер протокола в соответствии с документом IANA. Возможно указать значение в диапазоне от «0» до «255»;
«Название» - выбор транспортного протокола из выпадающего списка.
«Вид отправителя» - выбор отправителя из списка:
«IP-адрес» - IP-адрес отправителя в формате IPv4 или IPv6;
«Диапазон адресов» - указать диапазон IP-адресов отправителя в соответствующих полях;
«Сеть» - указать сеть отправителя: IP-адрес и маску подсети;
«Псевдоним IP-адреса» - выбрать псевдоним из списка;
«Псевдоним Сети» - выбрать псевдоним из списка.
«Порты» - указать порт отправителя вручную или выбрать псевдоним. Для ручного ввода порта необходимо выбрать значение «Порты», после чего станут доступны следующие варианты указания порта: «Номер порта», «Диапазон портов», «Протокол». Поле становится доступным, если в блоке «Транспортный протокол» указано одно из значений: имя «TCP», имя «TCP и UDP», имя «UDP», номер «6» или «17»;
«IP-адрес» - IP-адрес получателя в формате IPv4/IPv6;
«Диапазон адресов» - указать диапазон IP-адресов получателя в соответствующих полях;
«Сеть» - указать сеть получателя: IP-адрес и маску подсети;
«Псевдоним IP-адреса» - выбрать псевдоним из списка;
«Псевдоним Сети» - выбрать псевдоним из списка.
«Порты» - указать порт получателя вручную или выбрать псевдоним. Для ручного ввода порта необходимо выбрать значение «Порты», после чего станут доступны следующие варианты указания порта: «Номер порта», «Диапазон портов», «Протокол». Поле становится доступным, если в блоке «Транспортный протокол» указано одно из значений: имя «TCP», имя «TCP и UDP», имя «UDP», номер «6» или «17»;
«Сообщения ICMP» - компонент доступен для заполнения только при условии, что в блоке «Транспортный протокол» указано имя «ICMP» / номер «1» для IPv4 или имя «IPv6-ICMP» / номер «58» для IPv6;
«Тип» - номер типа ICMP в диапазоне от «0» до «255»;
«Код» - номер кода ICMP в диапазоне от «0» до «255»;
«Имя» - имя типа ICMP, выбор из выпадающего списка;
«Анализ фрагментов IP» - сопоставление пакетов на основе критерия фрагмента IP;
«IPsec» - соответствие пакетов на основе критериев IPsec. В системном наборе правил «output» фильтрация пакетов на основе IPsec не применяется;
«Ограничение скорости» - блок компонентов для настройки ограничения частоты срабатывания правила. Правило проверяется до тех пор, пока не будет достигнут указанный предел пакетов;
«Количество пакетов» - целое положительное число от «1». Предельное значение зависит от выбранной единицы времени из расчёта: «10000» на секунду, «600000» на минуту, «36000000» на час, «864000000» на день;
«Единица времени» - выбор единицы измерения времени из списка;
«Допустимое превышение лимита» - максимальное количество пакетов, разрешаемое при превышении скорости. Возможно указать значение в диапазоне от «1» до «10000». По умолчанию используется значение «1»;
«Сопоставление отправителей пакетов» - блок компонентов для настройки критерия срабатывания правила на основании частоты принимаемых пакетов от одного отправителя;
«Количество» - число последних пакетов от одного отправителя. Возможно указать значение в диапазоне от «1» до «255»;
«Время» - интервал времени в секундах, за которое будут сверяться отправители пакетов. Возможно указать значение в диапазоне от «1» до «4294967295»;
«Типы соединений» - правило проверяется только на указанные состояния соединений;
«Расписание» - блок предназначен для определения временных интервалов активности правила в соответствии с системным временем устройства ARMA Стена;
«Флаги TCP» - правило будет проверять только те TCP-пакеты, значения проверяемых флагов которых, совпадает с настроенным. Блок и его дочерние компоненты доступны при условии, что в блоке «Транспортный протокол» выбрано имя «TCP» или номер «6»;
«Число прыжков» - блок и его дочерние компоненты доступны для заполнения только при условии, что правило относится к типу «IPv6». В дополнительном поле «Число прыжков» возможно ввести целочисленное значение в диапазоне от «0» до «255».
Для редактирования правила необходимо нажать ЛКМ на строке с нужным правилом и в открывшейся боковой панели внести корректировки в атрибуты правила. По завершению нажать кнопку «Сохранить».
Если удаляемое правило входит в набор правил назначенный на интерфейс или зону сети и оно единственное в этом наборе, то появится предупреждающее окно с запретом на удаление (см. Рисунок – Удаление невозможно).
В архитектуре безопасности, основанной на зонах, сетевые интерфейсы группируются в зоны, которые определяются на основе их функционального или логического сходства. Трафик, проходящий через зону, регулируется назначенными кастомными наборами правил. Данный подход обеспечивает более детальный и целенаправленный контроль над сетевым трафиком, позволяя применять различные уровни доступа и защиты в зависимости от конкретных требований каждой зоны.
В МЭ на основе зон реализована новая концепция, дополнительно к стандартным входящим и исходящим потокам трафика был добавлен локальный поток. Он предназначен для входящего и исходящего трафика ARMA Стена (см. Рисунок – Схема направления трафика в зонах сети **МЭ**). Это предоставляет возможность установить дополнительные правила МЭ, которые будут защищать сам брандмауэр от внешних угроз сети, дополняя уже существующие входящие и исходящие правила МЭ.
Рисунок – Схема направления трафика в зонах сети МЭ
Примечание
Создать локальную зону возможно исключительно через интерфейс командной строки.
Основные тезисы:
интерфейс может быть назначен только одной зоне;
в пределах зоны разрешён весь входящий и исходящий трафик интерфейса;
трафик между зонами зависит от существующих политик;
трафик не может передаваться между интерфейсом-участником зоны и любым интерфейсом, который не является участником этой зоны;
для каждого направления трафика необходимо задать отдельную политику.
В общем случае алгоритм настройки работы МЭ на основе зон сети выглядит следующим образом:
Создать кастомные наборы правил **МЭ**, в которых будут содержаться правила.
Создать правила **МЭ**, указать в них критерии соответствия, действия с сетевыми пакетами и привязать эти правила к кастомным наборам.
Объединить интерфейсы в зоны.
Создать два направления трафика между зонами сети (входящий и исходящий трафик) и назначить на них созданные кастомные наборы правил.
Для просмотра и настройки зоны сети необходимо перейти в подраздел «Межсетевой экран» - «Настройки межсетевого экрана» - «Зоны сети» (см. Рисунок – Зоны сети).
Для создания новой зоны необходимо нажать кнопку «+Добавить» и в открывшейся боковой панели внести значения в поля (см. Рисунок – Добавление зоны сети):
«Наименование» - максимальная длина значения - «18» символов. Значение должно начинаться с латинской буквы или цифры. Допустимо использование символов латинского алфавита, цифр и специальных символов, за исключением: «-», «|», «;», «:»,«&», «$», «<», «>», «!», «?», «/», «\», «%», «"», «'», «#», «@», «*», «(», «)», «{», «}», «[», «]». Пробелы не допускаются.
«Действие по умолчанию» - действие по умолчанию для входящего трафика: «блокировать» или «отклонить»;
«Интерфейс» - выбор физических и виртуальных интерфейсов. Список отображает только те интерфейсы, на которые не назначен ни один набор правил;
«Описание» - максимально допустимая длина значения поля «127» символов.
При добавлении зоны на интерфейс происходит полное блокирование всего транзитного трафика, проходящего через этот интерфейс, в соответствии с политикой действий по умолчанию.
Для редактирования зоны сети необходимо нажать ЛКМ на строку с нужной зоной и в открывшейся боковой панели внести корректировки. По завершению нажать кнопку «Сохранить».
Для удаления зон сети необходимо выбрать одну или несколько зон, установив флажок в чек-боксе слева от наименования зоны, и нажать кнопку «Удалить». В открывшемся окне, подтвердить удаление нажатием кнопки «Удалить». Если зона назначена в качестве зоны отправителя, программа выдаст уведомительное окно о невозможности удаления этой зоны.
Назначения на направления трафика между зонами сети
Для добавления направления трафика между зонами сети необходимо выполнить следующие действия:
Перейти в подраздел «Межсетевой экран» - «Настройки межсетевого экрана» - «Назначения на направления трафика между зонами сети» и нажать кнопку «+Добавить»
В открывшейся боковой панели внести значения в поля:
«Зона отправителя» - выбор из списка зоны отправителя;
«Интерфейсы зоны отправителя» - отображает интерфейсы, входящие в выбранную зону отправителя. Поле заблокировано для редактирования;
«Зона получателя» - выбор из списка зоны получателя;
«Интерфейсы зоны получателя» - отображает интерфейсы, входящие в выбранную зону получателя. Поле заблокировано для редактирования;
«Действие по умолчанию» - значение наследуется из настройки зоны получателя;
«Набор IPv4» - выбор из списка набора правил с типом IPv4;
«Перейти к списку наборов» - открывает окно выбора набора правил IPv4 с возможностью просмотра и редактирования входящих в них правил (см. Рисунок – Выбор набора правил);
«Набор IPv6» - выбор из списка набора правил с типом IPv6;
«Перейти к списку наборов» - открывает окно выбора набора правил IPv6 с возможностью просмотра и редактирования входящих в них правил.
Рисунок – Добавление направления трафика между зонами
Для редактирования направления трафика между зонами сети необходимо нажать ЛКМ на строку с нужным набором и в открывшейся боковой панели внести корректировки. По завершению нажать кнопку «Сохранить».
Для удаления направления необходимо выбрать одно или несколько направлений, установив флажок в чек-боксе слева от наименования направления, и нажать кнопку «Удалить». В открывшемся окне, подтвердить удаление нажатием кнопки «Удалить».
В настоящем разделе представлено описание раздела меню «Логи межсетевого экрана», предназначенного для просмотра и фильтрации событий, связанных со срабатыванием правил МЭ.
Для доступа к журналу событий МЭ необходимо выполнить переход в подраздел «Логи межсетевого экрана» из раздела «Настройки межсетевого экрана» (см. Рисунок – Журнал событий МЭ)
Подраздел меню позволяет просматривать события в формате таблицы, состоящей из следующих столбцов:
«Дата и время» - временная метка события, соответствующая моменту срабатывания правила.
«Тип трафика» - версия IP-протокола: IPv4 или IPv6.
«Набор и правило» - содержит наименование набора правил и приоритетного номера правила, которые были использованы для создания соответствующей записи. В случае отсутствия приоритетного номера правила, запись формируется на основе действия, назначенного по умолчанию для указанного набора правил.
«Примененное действие» - действие, применённое к пакету данных.
«Вх. интерфейс» - наименование сетевого интерфейса, через который был получен пакет. При наличии настроенных политик зон дополнительно указывается принадлежность интерфейса к определённой зоне.
«Исх. интерфейс» - наименование сетевого интерфейса, через который был отправлен пакет. При наличии настроенных политик зон дополнительно указывается принадлежность интерфейса к определённой зоне.
«Протокол» - протокол, в контексте которого было применено правило обработки пакета.
Подраздел меню позволяет настроить отображение столбцов таблицы. Для настройки отображения столбцов необходимо нажать кнопку «Настройка столбцов» и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.
Обновление списка событий может выполняться двумя способами:
вручную, с помощью соответствующей кнопки на панели инструментов таблицы;
автоматически, с установленной периодичностью — 1 раз в 10 секунд.
При включении режима автоматического обновления ручное обновление становится недоступным. Кнопки управления обновлением находятся на панели инструментов таблицы «Журнал» (см. Рисунок – Обновление списка событий).
Для получения подробной информации о выбранном событии МЭ необходимо в таблице «Логи межсетевого экрана» нажать ЛКН на строке , соответствующей данному событию. После нажатия откроется боковое окно «Запись лога», содержащее развёрнутую информацию о событии (см. Рисунок – Просмотр детализированной информации о событии).
Рисунок – Просмотр детализированной информации о событии
Блок фильтрации предназначен для отбора событий МЭ в соответствии с заданными пользователем критериями. По умолчанию блок фильтрации содержит следующие поля (см. Рисунок – Блок фильтрации):
Сквозной поиск по полям таблицы осуществляется с помощью ввода искомого значения в поле параметра «Поиск». Поиск осуществляется по всем столбцам таблицы. Регистр вводимых символов учитывается при выполнении поиска.
Фильтрация по полю «С» позволяет отфильтровать записи по дате и времени события и задаёт начальный временной диапазон. После ввода даты и времени в таблице отобразятся лишь те события, где «Дата и время» совпадает или больше введённых в фильтр.
Фильтрация по полю «По» позволяет отфильтровать записи по дате и времени события и задаёт конечный временной диапазон. После ввода даты и времени в таблице отобразятся лишь те события, где «Дата и время» совпадает или меньше введённых в фильтр.
Фильтрация по полю «Тип трафика» позволяет отфильтровать записи событий МЭ по версии IP-протокола.
Фильтрация по полю «Примененное действие» позволяет отфильтровать записи событий МЭ по виду действия, применённого к пакету данных.
Фильтрация по полю «Протокол» позволяет отфильтровать записи событий МЭ по протоколу, в контексте которого было применено правило обработки пакета.
Сброс всех установленных фильтров осуществляется нажатием кнопки «Сбросить фильтры».
Примечание
Сбор логов осуществляется в обратном порядке, начиная с самых новых записей. При наличии фильтра по дате и времени, сбор логов производится начиная с указанного момента, до достижения заданного количества записей или максимального предела в 10 000 записей.
и выбрать в выпадающем списке необходимые столбцы. По умолчанию в таблице отображаются все столбцы.
