Межсетевой экран

Межсетевой экран (Firewall) позволяет контролировать движение трафика на уровне IP-адресов и портов, а также поддерживает NAT. Это первый и главный инструмент, защищающий сети предприятия от угроз извне и контролирующий доступ пользователей за пределы сети.

Модуль «Межсетевой экран» можно открыть двумя способами:

  • в меню Сеть > Межсетевой экран:

  • в меню Защита > Межсетевой экран:

В модуле расположены следующие вкладки:

Межсетевой экран

На данной вкладке отображаются:

  • статус службы (запущен, остановлен, выключенне настроен);
  • кнопка «Включить» («Выключить») — позволяет запустить или остановить службу;
  • журнал последних событий.

Внимание! Выключать межсетевой экран не рекомендуется. Выключая межсетевой экран, вы оставляете сервер без защиты от подключений извне. Кроме того, при включении ИКС именно межсетевой экран генерирует NAT для всех сетей, поэтому, если перезагрузить ИКС с выключенным межсетевым экраном, у всех пользователей пропадет доступ в сеть Интернет.

Настройки

На данной вкладке можно настроить доступ к ИКС при помощи межсетевого экрана.

  1. Если требуется, укажите:
    • адреса и подсети, с которых разрешен доступ к управлению ИКС через веб-интерфейс и к серверу ИКС по SSH;
    • максимальное количество активных соединений — позволяет ограничить количество подключений к ИКС;
    • режим работы межсетевого экрана — позволяет задать порядок запуска служб ipfw и pf, на которых основывается работа межсетевого экрана ИКС. Вариант ipfw -> pf является рекомендованным и выставлен по умолчанию, но может препятствовать корректной работе правил, ограничивающих скорость, а также VPN. В таком случае можно изменить режим на pf -> ipfw.
  2. Нажмите «Сохранить».

Правила

На данной вкладке происходит основная настройка доступа.

Слева расположен список всех интерфейсов ИКС в виде дерева, справа — список правил. При нажатии на интерфейс будут показаны только те правила, которые относятся к данному интерфейсу.

Здесь можно настроить следующие правила:

  • разрешающие — разрешают доступ;
  • запрещающие — запрещают, ограничивают доступ;
  • приоритеты — определяют, какой трафик будет обрабатываться в первую очередь (например, телефония), а какой — в последнюю (например, e-mail);
  • маршруты — определяют, по какому пути трафик отправляется в каждую сеть;
  • ограничения скорости — позволяют задать максимальную скорость для определенных соединений.

По умолчанию в ИКС всегда есть общее запрещающее правило для всего трафика. Это самая популярная политика безопасности в мире: «все, что не разрешено — запрещено».

Разрешающие правила в ИКС всегда приоритетнее запрещающих и используются для того, чтобы открывать доступ только к определенным службам. При установке в ИКС автоматически создаются разрешающие правила для самых популярных служб. Программа предоставляет возможность управлять этими правилами на свое усмотрение (оставить, удалить, модифицировать).

Внимание! Выключение межсетевого экрана оставит работающими только правила NAT. Все правила, ограничивающие доступ извне, будут отключены, что может негативно сказаться на безопасности системы. Отключайте межсетевой экран только при крайней необходимости.

После перезагрузки системы с выключенным межсетевым экраном список правил pf, в том числе и правила NAT, будет полностью очищен и пользователи потеряют доступ во внешнюю сеть по всем протоколам, кроме HTTP.

События

На данной вкладке расположен журнал событий межсетевого экрана.

Журнал является стандартным элементом веб-интерфейса ИКС.

О статье

Идентификатор статьи:
27
Рейтинг :

Меню

Связанные статьи