Управление правилами в InJoy Firewall18 февраля 2006 00:18, комментариев нет

InJoy Firewall

Моя предыдущая обзорная статья вызвала некоторый неожиданный для меня резонанс, поэтому я решил более подробно остановиться на особенностях реализации правил в InJoy Firewall 3.0.

InJoy Firewall вместо привычной для других файрволов одной очереди правил, применяемых последовательно сверху вниз, имеет целых пять, работающих с разным приоритетом. Порядок обработки правил такой: Whitelist rules, Blacklist rules, User rules, System rules, Traffic shape.

Кроме этого, в InJoy Firewall существует динамический файрвол, который можно назвать шестой очередью правил. Работает он на основе очереди системных правил (System rules). Суть динамического файрвола заключается в оперативном реагировании на изменения трафика.

Например, какая-то редиска пытается провести сканирование IP-портов вашего шлюза на предмет открытости. Динамический файрвол тут же загоняет его IP-адрес в черный список (Black List), и ваш хост для него вообще исчезает в тумане. Или же другой умник терпеливо долбит какой-то определенный порт, скажем 139 (они это любят). Динамический файрвол после определенного количества попыток опять же загоняет его IP в черный список с тем же результатом. При желании, можно назначить такое правило, которое включает специальную систему наблюдения в случае конкретно оговоренного антиобщественного поведения какого-нибудь IP-адреса.

Разберем несколько типичных практических примеров применения такого гибкого и достаточно необычного механизма обработки правил.

Запрет выхода в Интернет для некоторых адресов

Допустим, вам требуется разрешить выход в Интернет только для определенных IP-адресов, а всех остальных отправить нюхать цветы.

Для этого требуется создать правило типа NAT в очереди White List для нужных IP-адресов, а в очереди Black List запретить выход для всех других. В таком случае очередь Whitelist rules будет применяться только для разрешенных адресов, а очередь Blacklist rules - только для запрещенных. То же самое справедливо и для частичного открытия портов (например, кого-то надо пускать только за почтой).

Разрешение входа из внешней сети (порт мапинг)

Бывают случаи, когда необходимо разрешить доступ из сети Интернет к какому-либо внутреннему ресурсу, например, вебсерверу. Для этого требуется создать правило типа Allow в очереди White List, разрешающее доступ к внешнему IP-адресу шлюза (Destination - MyIP) по 80-му порту с двусторонним направлением (Bidirectional). В дополнение к этому нужно включить переадресацию (Redirect) на IP-адрес вебсервера внутри сети. Внешний и внутренний порты могут не совпадать.

Использование расписаний

InJoy Firewall позволяет создавать и более сложные конфигурации, например, микширование правил любых очередей с помощью расписаний. Один из вариантов применения расписаний такой - доступ в Интернет необходим определенным IP-адресам только в рабочее время. В вечернее и ночное время может потребоваться другая комбинация правил или некоторые компьютеры должны иметь выход в Интернет круглосуточно и независимо от других действующих правил.

Реагирование на адреса посещаемых сайтов

Файрвол предоставляет возможность отслеживать URL каждого конкретного сайта, посещенного пользователем изнутри сети. Эту возможность можно использовать для запрета посещения определенных сайтов, отслеживания посещения каких-либо запрещенных сайтов или сохранения полного журнала посещенных пользователями сети сайтов в циклическом файле.

Разделение трафика по приоритетам

Для некоторых сетей, особенно с большим трафиком, очень важно разделять проходящий через интернет-шлюз трафик по важности. Для этого в InJoy Firewall существует специальная очередь правил, именуемая Traffic shape. Она применяется к проходящему трафику последней. Суть правил Traffic shape в том, чтобы разделить разные виды трафика по группам и определить для них приоритеты. Например, компания активно пользуется электронной почтой, простой которой может нанести финансовый ущерб деятельности компании. В этом случае почтовому трафику назначается наивысший приоритет, что гарантирует бесперебойную работу почты даже в случае перегрузки интернет-канала.

Дополнительно

Инструмент управления правилами имеет два режима - Simple и Advanced. Они различаются количеством видимых настроек очередей правил и переключаются контекстным меню непосредственно в дереве правил. Все более-менее сложные операции с правилами делаются в режиме Advanced.

Методы управления правилами не зависят от того, локально вы управляете файрволом или удаленно.

Добавьте свой комментарий

К этой статье пока нет комментариев. Но если вам есть, что сказать, вы можете оставить здесь и свой комментарий. Поля имя и почтовый адрес обязательны для заполнения. Адрес на сайте не публикуется.

Цитаты оформляются так: /* Цитируемый текст */.