Правила межсетевого экрана (МЭ) часть 3

Данная категория настроек является основным инструментом управления функциями межсетевого экрана и позволяет настраивать его работу.

2024.05.29              


Правила межсетевого экрана (МЭ) часть 3Правила межсетевого экрана (МЭ) часть 3 В разделе «Дополнительно» существует возможность применения текущего правила межсетевого экрана только для определенных сетевых адаптеров и (или) сетевых профилей. Для редактирования списка адаптеров нужно выбрать из списка соответствующий адаптер и нажать кнопку «Добавить». Удаление производится выбором адаптера из списка и нажатием кнопки «Удалить». Для редактирования списка сетевых профилей правила межсетевого экрананеобходимо отметить сетевые профили.

ДополнительноДополнительно

Задавать очередность исполняемых правил можно посредством назначения приоритетов. Правила с назначенным приоритетом выше, чем у других будут проверяться в первую очередь. После срабатывания правила, проверка правил останавливается.

Например, созданы два правила.

  • Правило 1 запрещает отправку/прием почты по протоколам SMTP/POP3/IMAP.
  • Правило 2 разрешает пользоваться почтой по протоколам SMTP/POP3/IMAP для серверов mx.yandex.ru.м

Рассмотрим случай, когда правила находятся в указанной последовательности. То есть «Правило 1» находится выше «Правила 2», соответственно приоритет первого правила выше. В данном случае прием/отправка почты по указанным протоколам осуществляться не будет.

В случае если приоритет «Правила 2» будет выше приоритета «Правила 1», то тогда работа по указанным протоколам будет осуществляться только через сервер mx.yandex.ru.

Процесс создания нового правила происходит по тем же настройкам, что и корректировка уже готового шаблона. Для создания нового правила нужно нажать правую клавишу мыши на информационной панели и выбрать «Добавить» в контекстном меню или нажать ту же кнопку на панели действий. Все последующие настройки аналогичны настройкам шаблонов.

Рассмотрим пример создания нового правила.

Например, требуется создание правила для запрета передачи IM-Messaging (чат) трафика по протоколу ICQ.

  1. Во вкладке «Межсетевой экран» выбрать категорию «Правила МЭ» и щелкнув правой кнопкой мыши на информационном окне в выпадающем меню выбрать «Добавить».
  2. В разделе «Общие» указывается описание правила и устанавливается действие для правила «Запретить».
  3. Далее в разделе «Протоколы» в списке протоколов указывается нужный тип протокола «TCP […]».
  4. После нажатия кнопки «Добавить» в диалоговом окне необходимо отметить протокол «TCP […]» (ввиду того, что программа ICQ использует исключительно этот транспортный протокол).
  5. Нажать кнопку «ОК». Далее происходит настройка параметров выбранного протокола. Указывается внешний TCP порт «5190, 443», так как ICQ предусматривает работу с серверами по порту 5190 и, в случае безопасного подключения, по порту 443. Для того, чтобы правило не распространялось на HTTPS (SSL) трафик, требуются уточнения. В разделе «Протоколы» дополнительно добавляется протокол IPv4 с указанием «Внешний IPv4» и соответствующий адрес (для того, чтобы получить IP-адрес DNS-имени login.icq.com можно через меню
«Пуск» → «Выполнить» → «nslookup.exe.»

.

  1. Конкретизированное правило будет работать только при точном совпадении указанных настроек. Правило, конкретизированное для протокола ICQ, сервера login.icq.com и клиента Miranda — не будет работать при любом несовпадении. Например, в случае, если используется официальный клиент ICQ, либо какой-то нестандартный сервер или порт. Конкретизированные правила удобны возможностью запретить всю работу по указанному протоколу, разрешая только определенный набор функций. Например, разрешить только работу с официальным сервером ICQ, только определенному пользователю и только с использованием определенного клиента.
  2. При создании такого разрешающего правила с детальными параметрами необходимо следующим правилом или правилом по умолчанию заблокировать трафик с отличными от указанных параметров. IP-адреса, на которые ссылаются DNS-имена, могут изменяться. Также есть ситуации, когда для одного DNS-имени указываются несколько IP-адресов — в этом случае в графе «Внешний IPv4» необходимо указать диапазон адресов, или их перечисление через запятую, например, «217.69.139.70, 94.100.180.70» для DNS-имени www.mail.ru (на момент написания данного руководства).

Примечание. В случае одновременного задания нескольких параметров для одного протокола, например, одновременного задания пар «Локальный IPv4» и “Внешний IPv4” — для срабатывания правила должны выполниться оба условия.

Это актуально и при указании пар «Локальный TCP порт» и «Внешний TCP порт»:

  • при указанном локальном порте 1025 и удаленном 80 правило работает для HTTP(80/TCP) трафика ТОЛЬКО в случае если локальный порт равен 1025.

«Логическое И» действует между параметрами одного протокола, например, в случае протокола IPv4 логическое «И» действует с «Локальным» и «Внешним» адресом, в случае указания портов (TCP или UDP) — точное соответствие локальных и внешних портов (TCP и отдельно между собой UDP соответственно) и т. д.

Для правил «по умолчанию», работоспособность которых зависит от параметра «Доверенные правила МЭ», добавлен индикатор, который указывает на то, будет ли работать данное правило. Черный индикатор указывает на то, что правило работать не будет, так как включены «Доверенные правила МЭ».

Если выключить доверенные правила, индикатор будет зеленым (в случае действия «Разрешить» ) или красным (в случае «Запретить» ).

В других правилах, которые не пересекаются с доверенными, данный индикатор не отображается.

Черный индикатор правила МЭЧерный индикатор правила МЭ