Перейти к содержанию

Примеры настройки

Примеры настройки#

Примеры 1-5 Соответствуют настройке межсетевого экрана 'Edge1', как показано на рисунке ниже.

1

Настройка межсетевого экрана для примеров 1-5

Примеры 6-9 Соответствуют настройке межсетевого экрана 'edge', как показано на рисунке ниже.

2

Настройка межсетевого экрана для примеров 6-9

Пример 1. Фильтрация по IP-адресу отправителя#

В примере ниже выполняется определение политики межсетевого экранирования, состоящей из одного правила для фильтрации только по IP-адресу отправителя. Это правило будет отклонять пакеты, приходящие с маршрутизатора 'Edge2'. Затем политика межсетевого экранирования применяется ко входящим пакетам на интерфейсе eth1.

Для создания политики для фильтрации по IP-адресу отправителя выполните следующие действия в режиме настройки:

  1. Определение фильтра трафика, отправителем которого является 192.168.20.1:
    [edit]
    admin@Edge1# set filter FWTEST-1 rule 10 source address 192.168.20.1
    
  2. Определение политики межсетевого экранирования FW1:
    [edit]
    admin@Edge1# set policy firewall FW1
    
  3. Создание узла конфигурации для межсетевого экрана FW1 и его правила rule 10. Это правило отклоняет трафик, соответствующий фильтру FWTEST-1:
    1
    2
    3
    4
    [edit]
    admin@Edge1# set policy firewall FW1 rule 10 action drop
    [edit]
    admin@Edge1# set policy firewall FW1 rule 10 match filter FWTEST-1
    
  4. Установка для межсетевого экрана FW1 действия по умолчанию. Пакеты будут приниматься и пересылаться по умолчанию:
    [edit]
    admin@Edge1# set policy firewall FW1 default-action accept
    
  5. Применение FW1 ко входящим пакетам на интерфейсе eth1:
    [edit]
    admin@Edge1# set interfaces ethernet eth1 policy in firewall FW1
    
  6. Фиксация настройки:
    [edit]
    admin@Edge1# commit
    

Пример 2. Фильтрация по IP-адресам отправителя и получателя#

В примере ниже определяется ещё одна политика межсетевого экранирования. Она состоит из одного правила для фильтрации на основе IP-адресов как отправителя, так и получателя. Это правило принимает пакеты, исходящие из маршрутизатора 'Edge4' через интерфейс eth1 с адресом 192.168.10.1 и предназначенные адресу 192.168.110.100. Затем политика применяется к пакетам, исходящим из виртуального интерфейса vif 10 на интерфейсе eth2.

Для создания политики для фильтрации по IP-адресу отправителя и получателя выполните следующие действия в режиме настройки:

  1. Определение фильтра трафика, отправителем которого является 192.168.10.1:
    [edit]
    admin@Edge1# set filter FWTEST-2 rule 10 source address 192.168.10.1
    
  2. Уточнение фильтра трафика – определение получателя сетевого трафика - 192.168.110.100:
    [edit]
    admin@Edge1# set filter FWTEST-2 rule 10 destination address 192.168.110.100
    
  3. Применение фильтра FWTEST-2 к политике межсетевого экрана FW2:
    [edit]
    admin@Edge1# set policy firewall FW2 rule 10 match filter FWTEST-2
    
  4. Создание узла конфигурации для межсетевого экрана FW2 и его правила rule 10. Это правило разрешает прохождение трафика, соответствующего фильтру FWTEST-2:
    [edit]
    admin@Edge1# set policy firewall FW2 rule 10 action accept
    
  5. Применение FW2 к исходящим пакетам на интерфейсе eth2 vif 10:
    [edit]
    admin@Edge1# set interfaces ethernet eth2 vif 10 policy out firewall FW2
    
  6. Фиксация настройки:
    [edit]
    admin@Edge1# commit
    

Пример 3. Фильтрация по IP-адресу отправителя и порту получателя#

В примере ниже определяется правило межсетевого экрана для фильтрации по IP-адресу отправителя и порту получателя. Это правило разрешает пакеты TCP, исходящие с адреса 192.168.10.1 (маршрутизатор 'Edge4') и предназначенные для порта telnet на 'Edge1'. Политика применяется к локальным пакетам (то есть пакетам, предназначенным для данного маршрутизатора 'Edge1'), приходящим через eth2. Для создания политики для фильтрации по IP-адресу отправителя и протоколу получателя выполните следующие действия в режиме настройки:

  1. Определение фильтра трафика FWTEST-3:
    [edit]
    admin@Edge1# set filter FWTEST-3
    
  2. Фильтр FWTEST-3 определяет трафик, отправителем которого является 192.168.10.1:
    [edit]
    admin@Edge1# set filter FWTEST-3 rule 10 source address 192.168.10.1
    
  3. Фильтр FWTEST-3 определяет трафик, относящийся к протоколу TCP:
    [edit]
    admin@Edge1# set filter FWTEST-3 rule 10 protocol tcp
    
  4. Фильтр FWTEST-3 определяет трафик, предназначенный для службы Telnet:
    [edit]
    admin@Edge1# set filter FWTEST-3 rule 10 destination port telnet
    
  5. Создание узла конфигурации для политики межсетевого экранирования FW3 и его правила rule 10. Это правило разрешает прохождение трафика, соответствующего только указанным критериям:
    [edit]
    admin@Edge1# set policy firewall FW3 rule 10 action accept
    
  6. Применение фильтра FWTEST-3 к политике межсетевого экрана FW3:
    [edit]
    admin@Edge1# set policy firewall FW3 rule 10 match filter FWTEST-3
    
  7. Применение FW3 к пакетам, предназначенным для данного маршрутизатора и приходящим на eth2:
    [edit]
    admin@Edge1# set interfaces ethernet eth2 policy local firewall FW3
    
  8. Фиксация настройки:
    [edit]
    admin@Edge1# commit
    

Пример 4. Фильтрация по подсетям отправителя и получателя#

В примере выполняется создание межсетевого пакетного фильтра, разрешающего пакеты, исходящие из 192.168.110/24 и предназначенные для 192.168.20.0/24. Затем экземпляр межсетевого фильтра применяется ко входящим пакетам с виртуального интерфейса vif 10 на интерфейсе eth2.

Для создания межсетевого фильтра выполните следующие действия в режиме настройки:

  1. Создание фильтра сетевого трафика FWTEST-4:
    [edit]
    admin@Edge1# set filter FWTEST-4
    
  2. Фильтр FWTEST-4 определяет трафик, приходящий из сети 192.168.110.0/24:
    [edit]
    admin@Edge1# set filter FWTEST-4 rule 10 source address 192.168.110.0/24
    
  3. Фильтр FWTEST-4 определяет трафик, предназначенный для сети 192.168.20.0/24:
    [edit]
    admin@Edge1# set filter FWTEST-4 rule 10 destination address 192.168.20.0/24
    
  4. Создание узла конфигурации политики межсетевого экранирования FW4 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
    [edit]
    admin@Edge1# set policy firewall FW4 rule 10 action accept
    
  5. Применение фильтра FWTEST-4 к политике межсетевого экрана FW4:
    [edit]
    admin@Edge1# set policy firewall FW4 rule 10 match filter FWTEST-4
    
  6. Применение политики межсетевого экранирования FW4 к пакетам, предназначенным для данного маршрутизатора и приходящим через виртуальный интерфейс vif 10 на eth2:
    [edit]
    admin@Edge1# set interfaces ethernet eth2 vif 10 policy in firewall FW4
    
  7. Фиксация настройки:
    [edit]
    admin@Edge1# commit
    

Пример 5. Фильтрация по MAC-адресу отправителя#

В примере ниже выполняется определение политики межсетевого экранирования, состоящей из одного правила для фильтрации только по MAC-адресу отправителя. Это правило будет разрешать пакеты, приходящие с конкретного компьютера, определяемого по его MAC-адресу, а не по IP-адресу. Политика межсетевого экранирования применяется ко входящим пакетам на интерфейсе eth1.

Для создания политики для фильтрации по MAC-адресу отправителя выполните следующие действия в режиме настройки:

  1. Задание параметров фильтра трафика FWTEST-5 – фильтр определяет сетевой трафик отправитель которого имеет MAC-адрес 0c:c4:7a:7b:8f:e5:
    [edit]
    admin@Edge1# set filter FWTEST-5 rule 10 source mac-address 0c:c4:7a:7b:8f:e5
    
  2. Создание узла конфигурации для политики межсетевого экранирования FW5 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
    [edit]
    admin@Edge1# set policy firewall FW5 rule 10 action accept
    
  3. Применение фильтра FWTEST-5 к политике межсетевого экрана FW5:
    [edit]
    admin@Edge1# set policy firewall FW5 rule 10 match filter FWTEST-5
    
  4. Применение политики FW5 ко входящим пакетам на интерфейсе eth1:
    [edit]
    admin@Edge1# set interfaces ethernet eth1 policy in firewall FW5
    
  5. Фиксация настройки:
    [edit]
    admin@Edge1# commit
    

Пример 6. Исключение адреса#

Правило межсетевого экрана, показанное в примере ниже, разрешает весь трафик из сети 192.168.10.0/24, за исключением того, который предназначен серверу 192.168.20.100.

Для создания политики для исключения адреса выполните следующие действия в режиме настройки:

  1. Задание параметров фильтра трафика FWTEST-6 – фильтр определяет сетевой трафик отправитель которого имеет ip-адрес из сети 192.168.10.0/24:
    [edit]
    admin@edge# set filter FWTEST-6 rule 10 source address 192.168.10.0/24
    
  2. Задание параметров фильтра трафика FWTEST-6 – фильтр определяет сетевой трафик, предназначенный для любого узла назначения, КРОМЕ 192.168.20.100. Трафик, не соответствующий правилу, вызывает переход к правилу по умолчанию «reject all»:
    [edit]
    admin@edge# set filter FWTEST-6 rule 10 destination address !192.168.20.100
    
  3. Создание узла конфигурации для политики межсетевого экранирования NEGATED-EXAMPLE и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
    [edit]
    admin@edge# set policy firewall NEGATED-EXAMPLE rule 10 action accept
    
  4. Применение фильтра FWTEST-6 к политике межсетевого экрана NEGATED-EXAMPLE:
    admin@edge# set policy firewall NEGATED-EXAMPLE rule 10 match filter FWTEST-6
    
  5. Применение политики межсетевого экранирования NEGATED-EXAMPLE ко входящему трафику на eth2:
    [edit]
    admin@edge# set interfaces ethernet eth2 policy in firewall NEGATED-EXAMPLE
    
  6. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  7. Вывод настройки:
    [edit]
    admin@edge# show policy firewall
       NEGATED-EXAMPLE {
          rule 10 {
             match filter FWTEST-6
                action accept
             }
          }   
    
    [edit]
    admin@edge# show filter
       FWTEST-6 {
          rule 10 {
             destination {
                address !192.168.20.100
             }
             source {
                address 192.168.10.0/24
             }
          }
       }
    [edit]
    admin@edge# show interfaces ethernet eth2
       address 192.168.10.254/24
       policy {
          in {
             firewall NEGATED-EXAMPLE
          }
       }
    

Пример 7. Активация в течение указанных периодов времени#

Numa Edge поддерживает фильтрацию с учетом даты и времени. Для правил политики межсетевого экранирования существует возможность указать время, которое будет определять период действия правила.

Правило политики межсетевого экранирования, показанное в примере 7, ограничивает время активности правила, настроенного в примере 6, интервалом с 9:00 до 17:00 по рабочим дням. для добавления ограничения к правилу выполните следующие действия в режиме настройки:

  1. Установка времени начала действия на 9:00:
    [edit]
    admin@edge# set filter FWTEST-6 rule 10 time starttime 09:00:00
    
  2. Установка времени окончания действия на 17:00:
    [edit]
    admin@edge# set filter FWTEST-6 rule 10 time stoptime 17:00:00
    
  3. Установка дней недели:
    [edit]
    admin@edge# set filter FWTEST-6 rule 10 time weekdays Mon,Tue,Wed,Thu,Fri
    
  4. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  5. Вывод настройки:
    [edit]
    admin@edge# show policy firewall
       NEGATED-EXAMPLE {
          rule 10 {
             match filter FWTEST-6
             action accept
          }
       }
    [edit]
    admin@edge# show filter
       FWTEST-6 {
          rule 10 {
             destination {
                address !192.168.1.100
             }
             source {
                address 192.168.10.0/24
             }
             time {
                starttime 09:00:00
                stoptime 17:00:00
                weekdays Mon,Tue,Wed,Thu,Fri
             }      }
       }
    [edit]
    admin@edge# show interfaces ethernet eth2
       address 192.168.10.254/24
       policy {
          in {
             firewall NEGATED-EXAMPLE
          }
       }
    

Пример 8. Проверка соответствия имен типов ICMP#

Межсетевой экран Numa Edge позволяет фильтровать пакеты по именам типов ICMP. Например, для создания правила, разрешающего прохождение пакетов эхо-запросов ICMP на интерфейсе eth2 межсетевого экрана 'edge' в сторону подсети 192.168.20.0/24, выполните следующие действия в режиме настройки:

  1. Задание параметров фильтра трафика ICMP-NAME – фильтр определяет сетевой трафик, соответствующий протоколу ICMP:
    [edit]
    admin@edge# set filter ICMP-NAME rule 10 protocol icmp
    
  2. Задание параметров фильтра трафика ICMP-NAME – установка типа пакетов ICMP для проверки совпадения:
    [edit]
    admin@edge# set filter ICMP-NAME rule 10 icmp type echo-request
    
  3. Создание узла конфигурации для политики межсетевого экранирования FW7 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
    [edit]
    admin@edge# set policy firewall FW7 rule 10 action accept
    
  4. Применение фильтра ICMP-NAME - к политике межсетевого экрана FW7:
    [edit]
    admin@edge# set policy firewall FW7 rule 10 match filter ICMP-NAME
    
  5. Применение политики FW7 к исходящим пакетам на интерфейсе eth2:
    [edit]
    admin@edge# set interfaces ethernet eth2 policy out firewall FW7
    
  6. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  7. Вывод настройки:
    [edit]
    admin@edge# show filter ICMP-NAME
       rule 10 {
          icmp {
             type echo-request
          }
          protocol icmp
       }
    [edit]
    admin@edge# show policy firewall FW7
       rule 10 {
          action accept
          match {
             filter ICMP-NAME
          }
       }
    [edit]
    admin@edge# show interfaces ethernet eth2
       address 192.168.20.254/24
       policy {
          out {
             firewall FW7
          }
       }
    

Пример 9. Ограничение скоростей передачи трафика#

Для ограничения скорости прохождения входящих пакетов можно использовать правило политики межсетевого экранирования, включающее фильтр TBF (Token Bucket Filter), работающий по алгоритму маркерного ведра. Частота проходящих пакетов ограничивается административно установленным значением, но возможно ее превышение для небольших групп пакетов в короткий промежуток времени.

Правило политики межсетевого экранирования, показанное в примере 9, ограничивает частоту пакетов эхо-запросов ICMP, настроенных в примере 8, до двух в секунду (но дающего возможность кратковременного превышения этой частоты без игнорирования пакетов).

Для создания политики для ограничения скорости передачи трафика выполните следующие действия в режиме настройки:

  1. Установка требуемой частоты в 2 пакета в секунду:
    [edit]
    admin@edge# set filter ICMP-NAME rule 10 limit packet-rate rate 2/second
    
  2. Установка размера группы в 5 пакетов:
    [edit]
    admin@edge# set filter ICMP-NAME rule 10 limit packet-rate burst 5
    
  3. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  4. Вывод настройки:
    [edit]
    admin@edge# show filter ICMP-NAME
       rule 10 {
          icmp {
             type echo-request
          }
          limit {
             packet-rate {
                burst 5
                rate 2/second
             }
          }
          protocol icmp
       }
    [edit]
    admin@edge# show policy firewall
       FW7 {
          rule 10 {
             match filter ICMP-NAME
             action accept
          }
       }
    [edit]
    admin@edge# show interfaces ethernet eth2
       address 192.168.20.254/24
       policy {
          out {
             firewall FW7
          }
       }
    

Пример 10. Проверка соответствия флагов TCP#

Numa Edge поддерживает фильтрацию по флагам TCP внутри пакетов TCP. Например, чтобы создать правило для принятия пакетов с установленным флагом SYN и снятыми флагами ACK, FIN и RST, выполните следующие действия в режиме настройки:

  1. Установка TCP в качестве протокола-образца для проверки совпадения:
    [edit]
    admin@edge# set filter TCP-FLAGS rule 10 protocol tcp
    
  2. Установка флагов TCP для проверки совпадения:
    [edit]
    admin@edge# set filter TCP-FLAGS rule 10 tcp flags SYN,!ACK,!FIN,!RST
    
  3. Создание узла конфигурации для политики межсетевого экранирования FW8 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
    [edit]
    admin@edge# set policy firewall FW8 rule 10 action accept
    
  4. Применение фильтра TCP-FLAGS к политике межсетевого экрана FW8:
    [edit]
    admin@edge# set policy firewall FW8 rule 10 match filter TCP-FLAGS
    
  5. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  6. Вывод настройки:
    [edit]
    admin@edge# show filter TCP-FLAGS
       rule 10 {
          protocol tcp
          tcp {
             flags SYN,!ACK,!FIN,!RST
          }
       }
    [edit]
    admin@edge# show policy firewall
       rule 10 {
          action accept
          match {
             filter TCP-FLAGS
          }
       }
    

Пример 11. Проверка соответствия групп#

Межсетевой экран Numa Edge позволяет определить группы адресов, портов и сетей для осуществления над ними аналогичной фильтрации. Например, для создания правила, отклоняющего трафик на группу адресов и портов из группы сетей, выполните следующие действия в режиме настройки:

  1. Добавление диапазона адресов в группу адресов:
    [edit]
    admin@# set groups address-group SERVERS address 192.168.10.100-192.168.10.105
    
  2. Добавление еще одного адреса в группу адресов:
    [edit]
    admin@edge# set groups address-group SERVERS address 192.168.10.107
    
  3. Добавление сети в группу сетей:
    [edit]
    admin@edge# set groups network-group NETWORKS network 192.168.20.0/24
    
  4. Добавление порта в группу портов:
    [edit]
    admin@edge# set groups port-group PORTS port 22
    
  5. Добавление имени порта в группу портов:
    [edit]
    admin@edge# set groups port-group PORTS port ftp
    
  6. Добавление диапазона портов в группу портов:
    [edit]
    admin@edge# set groups port-group PORTS port 1000-2000
    
  7. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  8. Вывод настройки:
    [edit]
    admin@edge# show groups 
       address-group SERVERS {
          address 192.168.10.100-192.168.10.105
          address 192.168.10.107
       }
    [edit]
    admin@edge# show groups
       network-group NETWORKS {
          network 192.168.20.0/24
       }
    [edit]
    admin@edge# show groups
       port-group PORTS {
          port 22
          port ftp
          port 1000-2000
       }
    
  9. Указание группы адресов получателей в качестве образца для проверки совпадения:
    [edit]
    admin@edge# set filter REJECT-GROUPS rule 10 destination address-group SERVERS
    
  10. Указание группы портов получателей в качестве образца для проверки совпадения:
    [edit]
    admin@edge# set filter REJECT-GROUPS rule 10 destination port-group PORTS
    
  11. Указание группы сетей отправителей в качестве образца для проверки совпадения:
    [edit]
    admin@edge# set filter REJECT-GROUPS rule 10 source network-group NETWORKS
    
  12. Создание узла конфигурации для политики межсетевого экранирования FW10 и его правила rule 10. Это правило запрещает трафик, соответствующий указанным критериям:
    [edit]
    admin@edge# set policy firewall FW10 rule 10 action reject
    
  13. Применение фильтра REJECT-GROUPS к политике межсетевого экрана FW10:
    [edit]
    admin@edge# set policy firewall FW10 rule 10 match filter REJECT-GROUPS
    
  14. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  15. Вывод настройки:
    [edit]
    admin@edge# show policy firewall FW10
       rule 10 {
          action reject
          match {
             filter REJECT-GROUPS
          }
       }
    [edit]
    admin@edge# show filter REJECT-GROUPS
       rule 10 {
          destination {
             address-group SERVERS
             port-group PORTS
          }
          source {
             network-group NETWORKS
          }
       }
    

Пример 12. Проверка соответствия недавно встречавшихся отправителей#

Команда recent может использоваться для предотвращения атак с целью взлома пароля перебором ("brute force"), когда внешнее устройство открывает непрерывный поток подключений (например, к порту SSH) в попытке взломать систему. В таких случаях адрес внешнего отправителя может быть неизвестен; тем не менее, данная команда делает возможным проверку соответствия по поведению внешнего узла без изначальной необходимости в знании его IP-адреса.

Например, для создания правила, ограничивающего число попыток внешних подключений по SSH с одного и того же узла тремя в течение 30 секунд, выполните следующие действия в режиме настройки:

  1. Задание параметров фильтра трафика STOP-BRUTE – фильтр определяет сетевой трафик, соответствующий протоколуTCP:
    [edit]
    admin@edge# set filter STOP-BRUTE rule 10 protocol tcp
    
  2. Проверка порта назначение на совпадение с 22 (т.е. ssh):
    [edit]
    admin@edge# set filter STOP-BRUTE rule 10 destination port 22
    
  3. Проверка числа попыток подключения:
    [edit]
    admin@edge# set filter STOP-BRUTE rule 10 state new enable
    
  4. Проверка трехкратного повторения адресов отправителя:
    [edit]
    admin@edge# set filter STOP-BRUTE rule 10 recent count 3
    
  5. ... в течение 30 секунд:
    [edit]
    admin@edge# set filter STOP-BRUTE rule 10 recent time 30
    
  6. Создание узла конфигурации для политики межсетевого экранирования FW11 и его правила rule 10. Это правило запрещает трафик, соответствующий указанным критериям:
    [edit]
    admin@edge# set policy firewall FW11 rule 10 action drop
    
  7. Применение фильтра STOP-BRUTE к политике межсетевого экрана FW11:
    [edit]
    admin@edge# set policy firewall FW11 rule 10 match filter STOP-BRUTE
    
  8. Фиксация настройки:
    [edit]
    admin@edge# commit
    
  9. Вывод настройки:
    admin@edge# show policy firewall FW11
       rule 10 {
          action drop
          match {
             filter STOP-BRUTE
          }
       }
    [edit]
    admin@edge# show filter STOP-BRUTE
       rule 10 {
          destination {
             port 22
          }
          protocol tcp
          recent {
             count 3
             time 30
          }
          state {
             new enable
          }
       }