Примеры настройки

Примеры настройки#

Примеры 1-5 Соответствуют настройке межсетевого экрана 'Edge1', как показано на рисунке ниже.

Настройка межсетевого экрана для примеров 1-5

Примеры 6-9 Соответствуют настройке межсетевого экрана 'edge', как показано на рисунке ниже.

Настройка межсетевого экрана для примеров 6-9

Пример 1. Фильтрация по IP-адресу отправителя#

В примере ниже выполняется определение политики межсетевого экранирования, состоящей из одного правила для фильтрации только по IP-адресу отправителя. Это правило будет отклонять пакеты, приходящие с маршрутизатора 'Edge2'. Затем политика межсетевого экранирования применяется ко входящим пакетам на интерфейсе eth1.

Для создания политики для фильтрации по IP-адресу отправителя выполните следующие действия в режиме настройки:

Определение фильтра трафика, отправителем которого является 192.168.20.1:
1 2
[edit] admin@Edge1# set filter FWTEST-1 rule 10 source address 192.168.20.1
Определение политики межсетевого экранирования FW1:
1 2
[edit] admin@Edge1# set policy firewall FW1
Создание узла конфигурации для межсетевого экрана FW1 и его правила rule 10. Это правило отклоняет трафик, соответствующий фильтру FWTEST-1:
1 2 3 4
[edit] admin@Edge1# set policy firewall FW1 rule 10 action drop [edit] admin@Edge1# set policy firewall FW1 rule 10 match filter FWTEST-1
Установка для межсетевого экрана FW1 действия по умолчанию. Пакеты будут приниматься и пересылаться по умолчанию:
1 2
[edit] admin@Edge1# set policy firewall FW1 default-action accept
Применение FW1 ко входящим пакетам на интерфейсе eth1:
1 2
[edit] admin@Edge1# set interfaces ethernet eth1 policy in firewall FW1
Фиксация настройки:
1 2
[edit] admin@Edge1# commit

Пример 2. Фильтрация по IP-адресам отправителя и получателя#

В примере ниже определяется ещё одна политика межсетевого экранирования. Она состоит из одного правила для фильтрации на основе IP-адресов как отправителя, так и получателя. Это правило принимает пакеты, исходящие из маршрутизатора 'Edge4' через интерфейс eth1 с адресом 192.168.10.1 и предназначенные адресу 192.168.110.100. Затем политика применяется к пакетам, исходящим из виртуального интерфейса vif 10 на интерфейсе eth2.

Для создания политики для фильтрации по IP-адресу отправителя и получателя выполните следующие действия в режиме настройки:

Определение фильтра трафика, отправителем которого является 192.168.10.1:
1 2
[edit] admin@Edge1# set filter FWTEST-2 rule 10 source address 192.168.10.1
Уточнение фильтра трафика – определение получателя сетевого трафика - 192.168.110.100:
1 2
[edit] admin@Edge1# set filter FWTEST-2 rule 10 destination address 192.168.110.100
Применение фильтра FWTEST-2 к политике межсетевого экрана FW2:
1 2
[edit] admin@Edge1# set policy firewall FW2 rule 10 match filter FWTEST-2
Создание узла конфигурации для межсетевого экрана FW2 и его правила rule 10. Это правило разрешает прохождение трафика, соответствующего фильтру FWTEST-2:
1 2
[edit] admin@Edge1# set policy firewall FW2 rule 10 action accept
Применение FW2 к исходящим пакетам на интерфейсе eth2 vif 10:
1 2
[edit] admin@Edge1# set interfaces ethernet eth2 vif 10 policy out firewall FW2
Фиксация настройки:
1 2
[edit] admin@Edge1# commit

Пример 3. Фильтрация по IP-адресу отправителя и порту получателя#

В примере ниже определяется правило межсетевого экрана для фильтрации по IP-адресу отправителя и порту получателя. Это правило разрешает пакеты TCP, исходящие с адреса 192.168.10.1 (маршрутизатор 'Edge4') и предназначенные для порта telnet на 'Edge1'. Политика применяется к локальным пакетам (то есть пакетам, предназначенным для данного маршрутизатора 'Edge1'), приходящим через eth2. Для создания политики для фильтрации по IP-адресу отправителя и протоколу получателя выполните следующие действия в режиме настройки:

Определение фильтра трафика FWTEST-3:
1 2
[edit] admin@Edge1# set filter FWTEST-3
Фильтр FWTEST-3 определяет трафик, отправителем которого является 192.168.10.1:
1 2
[edit] admin@Edge1# set filter FWTEST-3 rule 10 source address 192.168.10.1
Фильтр FWTEST-3 определяет трафик, относящийся к протоколу TCP:
1 2
[edit] admin@Edge1# set filter FWTEST-3 rule 10 protocol tcp
Фильтр FWTEST-3 определяет трафик, предназначенный для службы Telnet:
1 2
[edit] admin@Edge1# set filter FWTEST-3 rule 10 destination port telnet
Создание узла конфигурации для политики межсетевого экранирования FW3 и его правила rule 10. Это правило разрешает прохождение трафика, соответствующего только указанным критериям:
1 2
[edit] admin@Edge1# set policy firewall FW3 rule 10 action accept
Применение фильтра FWTEST-3 к политике межсетевого экрана FW3:
1 2
[edit] admin@Edge1# set policy firewall FW3 rule 10 match filter FWTEST-3
Применение FW3 к пакетам, предназначенным для данного маршрутизатора и приходящим на eth2:
1 2
[edit] admin@Edge1# set interfaces ethernet eth2 policy local firewall FW3
Фиксация настройки:
1 2
[edit] admin@Edge1# commit

Пример 4. Фильтрация по подсетям отправителя и получателя#

В примере выполняется создание межсетевого пакетного фильтра, разрешающего пакеты, исходящие из 192.168.110/24 и предназначенные для 192.168.20.0/24. Затем экземпляр межсетевого фильтра применяется ко входящим пакетам с виртуального интерфейса vif 10 на интерфейсе eth2.

Для создания межсетевого фильтра выполните следующие действия в режиме настройки:

Создание фильтра сетевого трафика FWTEST-4:
1 2
[edit] admin@Edge1# set filter FWTEST-4
Фильтр FWTEST-4 определяет трафик, приходящий из сети 192.168.110.0/24:
1 2
[edit] admin@Edge1# set filter FWTEST-4 rule 10 source address 192.168.110.0/24
Фильтр FWTEST-4 определяет трафик, предназначенный для сети 192.168.20.0/24:
1 2
[edit] admin@Edge1# set filter FWTEST-4 rule 10 destination address 192.168.20.0/24
Создание узла конфигурации политики межсетевого экранирования FW4 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
1 2
[edit] admin@Edge1# set policy firewall FW4 rule 10 action accept
Применение фильтра FWTEST-4 к политике межсетевого экрана FW4:
1 2
[edit] admin@Edge1# set policy firewall FW4 rule 10 match filter FWTEST-4
Применение политики межсетевого экранирования FW4 к транзитным пакетам, приходящим через виртуальный интерфейс vif 10 на eth2:
1 2
[edit] admin@Edge1# set interfaces ethernet eth2 vif 10 policy in firewall FW4
Фиксация настройки:
1 2
[edit] admin@Edge1# commit

Пример 5. Фильтрация по MAC-адресу отправителя#

В примере ниже выполняется определение политики межсетевого экранирования, состоящей из одного правила для фильтрации только по MAC-адресу отправителя. Это правило будет разрешать пакеты, приходящие с конкретного компьютера, определяемого по его MAC-адресу, а не по IP-адресу. Политика межсетевого экранирования применяется ко входящим пакетам на интерфейсе eth1.

Для создания политики для фильтрации по MAC-адресу отправителя выполните следующие действия в режиме настройки:

Задание параметров фильтра трафика FWTEST-5 – фильтр определяет сетевой трафик отправитель которого имеет MAC-адрес 0c:c4:7a:7b:8f:e5:
1 2
[edit] admin@Edge1# set filter FWTEST-5 rule 10 source mac-address 0c:c4:7a:7b:8f:e5
Создание узла конфигурации для политики межсетевого экранирования FW5 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
1 2
[edit] admin@Edge1# set policy firewall FW5 rule 10 action accept
Применение фильтра FWTEST-5 к политике межсетевого экрана FW5:
1 2
[edit] admin@Edge1# set policy firewall FW5 rule 10 match filter FWTEST-5
Применение политики FW5 ко входящим пакетам на интерфейсе eth1:
1 2
[edit] admin@Edge1# set interfaces ethernet eth1 policy in firewall FW5
Фиксация настройки:
1 2
[edit] admin@Edge1# commit

Пример 6. Исключение адреса#

Правило межсетевого экрана, показанное в примере ниже, разрешает весь трафик из сети 192.168.10.0/24, за исключением того, который предназначен серверу 192.168.20.100.

Для создания политики для исключения адреса выполните следующие действия в режиме настройки:

Задание параметров фильтра трафика FWTEST-6 – фильтр определяет сетевой трафик отправитель которого имеет ip-адрес из сети 192.168.10.0/24:
1 2
[edit] admin@edge# set filter FWTEST-6 rule 10 source address 192.168.10.0/24
Задание параметров фильтра трафика FWTEST-6 – фильтр определяет сетевой трафик, предназначенный для любого узла назначения, КРОМЕ 192.168.20.100. Трафик, не соответствующий правилу, вызывает переход к правилу по умолчанию «reject all»:
1 2
[edit] admin@edge# set filter FWTEST-6 rule 10 destination address !192.168.20.100
Создание узла конфигурации для политики межсетевого экранирования NEGATED-EXAMPLE и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
1 2
[edit] admin@edge# set policy firewall NEGATED-EXAMPLE rule 10 action accept
Применение фильтра FWTEST-6 к политике межсетевого экрана NEGATED-EXAMPLE:
1
admin@edge# set policy firewall NEGATED-EXAMPLE rule 10 match filter FWTEST-6
Применение политики межсетевого экранирования NEGATED-EXAMPLE ко входящему трафику на eth2:
1 2
[edit] admin@edge# set interfaces ethernet eth2 policy in firewall NEGATED-EXAMPLE
Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

[edit]
admin@edge# show policy firewall
   NEGATED-EXAMPLE {
      rule 10 {
         match filter FWTEST-6
            action accept
         }
      }   

[edit]
admin@edge# show filter
   FWTEST-6 {
      rule 10 {
         destination {
            address !192.168.20.100
         }
         source {
            address 192.168.10.0/24
         }
      }
   }
[edit]
admin@edge# show interfaces ethernet eth2
   address 192.168.10.254/24
   policy {
      in {
         firewall NEGATED-EXAMPLE
      }
   }

Пример 7. Активация в течение указанных периодов времени#

Numa Edge поддерживает фильтрацию с учетом даты и времени. Для правил политики межсетевого экранирования существует возможность указать время, которое будет определять период действия правила.

Правило политики межсетевого экранирования, показанное в примере 7, ограничивает время активности правила, настроенного в примере 6, интервалом с 9:00 до 17:00 по рабочим дням. для добавления ограничения к правилу выполните следующие действия в режиме настройки:

Установка времени начала действия на 9:00:

1 2	`[edit] admin@edge# set filter FWTEST-6 rule 10 time starttime 09:00:00`

Установка времени окончания действия на 17:00:
1 2
[edit] admin@edge# set filter FWTEST-6 rule 10 time stoptime 17:00:00

Установка дней недели:

1 2	`[edit] admin@edge# set filter FWTEST-6 rule 10 time weekdays Mon,Tue,Wed,Thu,Fri`

Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

[edit]
admin@edge# show policy firewall
   NEGATED-EXAMPLE {
      rule 10 {
         match filter FWTEST-6
         action accept
      }
   }
[edit]
admin@edge# show filter
   FWTEST-6 {
      rule 10 {
         destination {
            address !192.168.1.100
         }
         source {
            address 192.168.10.0/24
         }
         time {
            starttime 09:00:00
            stoptime 17:00:00
            weekdays Mon,Tue,Wed,Thu,Fri
         }      }
   }
[edit]
admin@edge# show interfaces ethernet eth2
   address 192.168.10.254/24
   policy {
      in {
         firewall NEGATED-EXAMPLE
      }
   }

Пример 8. Проверка соответствия имен типов ICMP#

Межсетевой экран Numa Edge позволяет фильтровать пакеты по именам типов ICMP. Например, для создания правила, разрешающего прохождение пакетов эхо-запросов ICMP на интерфейсе eth2 межсетевого экрана 'edge' в сторону подсети 192.168.20.0/24, выполните следующие действия в режиме настройки:

Задание параметров фильтра трафика ICMP-NAME – фильтр определяет сетевой трафик, соответствующий протоколу ICMP:
1 2
[edit] admin@edge# set filter ICMP-NAME rule 10 protocol icmp
Задание параметров фильтра трафика ICMP-NAME – установка типа пакетов ICMP для проверки совпадения:
1 2
[edit] admin@edge# set filter ICMP-NAME rule 10 icmp type echo-request
Создание узла конфигурации для политики межсетевого экранирования FW7 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
1 2
[edit] admin@edge# set policy firewall FW7 rule 10 action accept
Применение фильтра ICMP-NAME - к политике межсетевого экрана FW7:
1 2
[edit] admin@edge# set policy firewall FW7 rule 10 match filter ICMP-NAME
Применение политики FW7 к исходящим пакетам на интерфейсе eth2:
1 2
[edit] admin@edge# set interfaces ethernet eth2 policy out firewall FW7
Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

[edit]
admin@edge# show filter ICMP-NAME
   rule 10 {
      icmp {
         type echo-request
      }
      protocol icmp
   }
[edit]
admin@edge# show policy firewall FW7
   rule 10 {
      action accept
      match {
         filter ICMP-NAME
      }
   }
[edit]
admin@edge# show interfaces ethernet eth2
   address 192.168.20.254/24
   policy {
      out {
         firewall FW7
      }
   }

Пример 9. Ограничение скоростей передачи трафика#

Для ограничения скорости прохождения входящих пакетов можно использовать правило политики межсетевого экранирования, включающее фильтр TBF (Token Bucket Filter), работающий по алгоритму маркерного ведра. Частота проходящих пакетов ограничивается административно установленным значением, но возможно ее превышение для небольших групп пакетов в короткий промежуток времени.

Правило политики межсетевого экранирования, показанное в примере 9, ограничивает частоту пакетов эхо-запросов ICMP, настроенных в примере 8, до двух в секунду (но дающего возможность кратковременного превышения этой частоты без игнорирования пакетов).

Для создания политики для ограничения скорости передачи трафика выполните следующие действия в режиме настройки:

Установка требуемой частоты в 2 пакета в секунду:
1 2
[edit] admin@edge# set filter ICMP-NAME rule 10 limit packet-rate rate 2/second

Установка размера группы в 5 пакетов:

1 2	`[edit] admin@edge# set filter ICMP-NAME rule 10 limit packet-rate burst 5`

Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

[edit]
admin@edge# show filter ICMP-NAME
   rule 10 {
      icmp {
         type echo-request
      }
      limit {
         packet-rate {
            burst 5
            rate 2/second
         }
      }
      protocol icmp
   }
[edit]
admin@edge# show policy firewall
   FW7 {
      rule 10 {
         match filter ICMP-NAME
         action accept
      }
   }
[edit]
admin@edge# show interfaces ethernet eth2
   address 192.168.20.254/24
   policy {
      out {
         firewall FW7
      }
   }

Пример 10. Проверка соответствия флагов TCP#

Numa Edge поддерживает фильтрацию по флагам TCP внутри пакетов TCP. Например, чтобы создать правило для принятия пакетов с установленным флагом SYN и снятыми флагами ACK, FIN и RST, выполните следующие действия в режиме настройки:

Установка TCP в качестве протокола-образца для проверки совпадения:
1 2
[edit] admin@edge# set filter TCP-FLAGS rule 10 protocol tcp

Установка флагов TCP для проверки совпадения:

1 2	`[edit] admin@edge# set filter TCP-FLAGS rule 10 tcp flags SYN,!ACK,!FIN,!RST`

Создание узла конфигурации для политики межсетевого экранирования FW8 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
1 2
[edit] admin@edge# set policy firewall FW8 rule 10 action accept
Применение фильтра TCP-FLAGS к политике межсетевого экрана FW8:
1 2
[edit] admin@edge# set policy firewall FW8 rule 10 match filter TCP-FLAGS
Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

[edit]
admin@edge# show filter TCP-FLAGS
   rule 10 {
      protocol tcp
      tcp {
         flags SYN,!ACK,!FIN,!RST
      }
   }
[edit]
admin@edge# show policy firewall
   rule 10 {
      action accept
      match {
         filter TCP-FLAGS
      }
   }

Пример 11. Проверка соответствия групп#

Межсетевой экран Numa Edge позволяет определить группы адресов, портов и сетей для осуществления над ними аналогичной фильтрации. Например, для создания правила, отклоняющего трафик на группу адресов и портов из группы сетей, выполните следующие действия в режиме настройки:

Добавление диапазона адресов в группу адресов:

1 2	`[edit] admin@# set groups address-group SERVERS address 192.168.10.100-192.168.10.105`

Добавление еще одного адреса в группу адресов:
1 2
[edit] admin@edge# set groups address-group SERVERS address 192.168.10.107

Добавление сети в группу сетей:

1 2	`[edit] admin@edge# set groups network-group NETWORKS network 192.168.20.0/24`

Добавление порта в группу портов:

1 2	`[edit] admin@edge# set groups port-group PORTS port 22`

Добавление имени порта в группу портов:
1 2
[edit] admin@edge# set groups port-group PORTS port ftp
Добавление диапазона портов в группу портов:
1 2
[edit] admin@edge# set groups port-group PORTS port 1000-2000
Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

[edit]
admin@edge# show groups 
   address-group SERVERS {
      address 192.168.10.100-192.168.10.105
      address 192.168.10.107
   }
[edit]
admin@edge# show groups
   network-group NETWORKS {
      network 192.168.20.0/24
   }
[edit]
admin@edge# show groups
   port-group PORTS {
      port 22
      port ftp
      port 1000-2000
   }

Указание группы адресов получателей в качестве образца для проверки совпадения:
1 2
[edit] admin@edge# set filter REJECT-GROUPS rule 10 destination address-group SERVERS
Указание группы портов получателей в качестве образца для проверки совпадения:
1 2
[edit] admin@edge# set filter REJECT-GROUPS rule 10 destination port-group PORTS
Указание группы сетей отправителей в качестве образца для проверки совпадения:
1 2
[edit] admin@edge# set filter REJECT-GROUPS rule 10 source network-group NETWORKS
Создание узла конфигурации для политики межсетевого экранирования FW9 и его правила rule 10. Это правило запрещает трафик, соответствующий указанным критериям:
1 2
[edit] admin@edge# set policy firewall FW9 rule 10 action reject
Применение фильтра REJECT-GROUPS к политике межсетевого экрана FW9:
1 2
[edit] admin@edge# set policy firewall FW9 rule 10 match filter REJECT-GROUPS
Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

[edit]
admin@edge# show policy firewall FW9
   rule 10 {
      action reject
      match {
         filter REJECT-GROUPS
      }
   }
[edit]
admin@edge# show filter REJECT-GROUPS
   rule 10 {
      destination {
         address-group SERVERS
         port-group PORTS
      }
      source {
         network-group NETWORKS
      }
   }

Пример 12. Проверка соответствия недавно встречавшихся отправителей#

Команда recent может использоваться для предотвращения атак с целью взлома пароля перебором ("brute force"), когда внешнее устройство открывает непрерывный поток подключений (например, к порту SSH) в попытке взломать систему. В таких случаях адрес внешнего отправителя может быть неизвестен; тем не менее, данная команда делает возможным проверку соответствия по поведению внешнего узла без изначальной необходимости в знании его IP-адреса.

Например, для создания правила, ограничивающего число попыток внешних подключений по SSH с одного и того же узла тремя в течение 30 секунд, выполните следующие действия в режиме настройки:

Задание параметров фильтра трафика STOP-BRUTE – фильтр определяет сетевой трафик, соответствующий протоколуTCP:
1 2
[edit] admin@edge# set filter STOP-BRUTE rule 10 protocol tcp
Проверка порта назначение на совпадение с 22 (т.е. ssh):
1 2
[edit] admin@edge# set filter STOP-BRUTE rule 10 destination port 22

Проверка числа попыток подключения:

1 2	`[edit] admin@edge# set filter STOP-BRUTE rule 10 state new enable`

Проверка трехкратного повторения адресов отправителя:
1 2
[edit] admin@edge# set filter STOP-BRUTE rule 10 recent count 3

... в течение 30 секунд:

1 2	`[edit] admin@edge# set filter STOP-BRUTE rule 10 recent time 30`

Создание узла конфигурации для политики межсетевого экранирования FW10 и его правила rule 10. Это правило запрещает трафик, соответствующий указанным критериям:
1 2
[edit] admin@edge# set policy firewall FW10 rule 10 action drop
Применение фильтра STOP-BRUTE к политике межсетевого экрана FW10:
1 2
[edit] admin@edge# set policy firewall FW10 rule 10 match filter STOP-BRUTE
Фиксация настройки:
1 2
[edit] admin@edge# commit

Вывод настройки:

admin@edge# show policy firewall FW10
   rule 10 {
      action drop
      match {
         filter STOP-BRUTE
      }
   }
[edit]
admin@edge# show filter STOP-BRUTE
   rule 10 {
      destination {
         port 22
      }
      protocol tcp
      recent {
         count 3
         time 30
      }
      state {
         new enable
      }
   }

Пример 13. Фильтрация по стране отправителя (GeoIP)#

В примере выполняется создание межсетевого пакетного фильтра IPv4, запрещающего пакеты по принадлежности к стране (адресами источника – Украина). Затем экземпляр межсетевого фильтра применяется ко входящим пакетам на интерфейсе eth1, обращенному в сторону провайдера.

Примечание

Обращаем внимание, что использование в фильтрах трафика правил с принадлежностью по стране не гарантирует крайне высокой точности срабатывания и в первую очередь зависит от используемой базы адресов GeoIP и ее актуальности.

Для создания межсетевого фильтра выполните следующие действия в режиме настройки:

Создание фильтра сетевого трафика FWTEST-11:
1 2
[edit] admin@edge# set filter FWTEST-11
Фильтр FWTEST-11 определяет трафик со страной источника Украиной:
1 2
[edit] admin@edge# set filter FWTEST-11 rule 10 source country UA
Создание узла конфигурации политики межсетевого экранирования FW11 и его правила rule 10. Это правило разрешает трафик, соответствующий указанным критериям:
1 2
[edit] admin@edge# set policy firewall FW11 rule 10 action accept
Применение фильтра FWTEST-11 к политике межсетевого экрана FW11:
1 2
[edit] admin@edge# set policy firewall FW11 rule 10 match filter FWTEST-11
Применение политики межсетевого экранирования FW11 для транзитного трафика, приодящего на интерфейс eth1:
1 2
[edit] admin@edge# set interfaces ethernet eth1 policy in firewall FW11
Фиксация настройки:
1 2
[edit] admin@edge# commit