Перейти к содержанию

Команды межсетевого экрана на основе зон#

Команды настройки#

Команда Описание команды
zone-policy zone <зона-получатель> Определение зоны безопасности.
zone-policy zone <зона-получатель> default-action <действие> Определение действия по умолчанию для трафика, приходящего в зону безопасности.
zone-policy zone <зона-получатель> description <описание> Ввод описания для зоны безопасности.
zone-policy zone <зона-получатель> from <зона-отправитель> Определение имени зоны-источника трафика, к которому применяется данная политика.
zone-policy zone <зона-получатель> from <зона-отправитель> policy <тип_политики> <имя> Применение указанной политики к трафику, приходящему из указанной зоны-“отправителя”.
zone-policy zone <зона-получатель> interface <имя_интерфейса> Добавление интерфейса в зону безопасности.
zone-policy zone <зона-получатель> local-zone Выделение зоны в качестве “локальной”.

zone-policy zone <зона-получатель>#

Определение зоны безопасности.

Синтаксис#
1
2
3
set zone-policy zone <зона-получатель>
delete zone-policy zone <зона-получатель>
show zone-policy zone
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
zone-policy {
   zone зона-получатель {
   }
}
Параметры#

зона-получатель

Множественный узел. Название зоны безопасности. Можно определить несколько зон безопасности, создав несколько узлов конфигурации zone-policy zone.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для создания зоны безопасности.

В Numa Edge зона определяется как группа интерфейсов с одинаковым уровнем безопасности. После определения зоны к трафику, передаваемому между зонами, можно применить политику фильтрации. По умолчанию трафик в зону игнорируется, если не определена политика для зоны, отправляющей трафик. Трафик, передаваемый внутри зоны, не фильтруется.

При определении зон следует помнить следующие моменты:

  • Интерфейс может быть членом только одной зоны.
  • К интерфейсу, являющемуся членом зоны, не может быть непосредственно применена политика межсетевого экранирования.
  • Трафик на интерфейсах, не приписанных к зоне, по умолчанию не фильтруется. К этим интерфейсам могут быть непосредственно применены наборы правил.

Форма set этой команды используется для определения зоны безопасности.

Форма delete этой команды используется для удаления зоны безопасности.

Форма show этой команды используется для просмотра настройки зоны безопасности.

zone-policy zone <зона-получатель> default-action <действие>#

Определение действия по умолчанию для трафика, приходящего в зону безопасности.

Синтаксис#
1
2
3
set zone-policy zone <зона-получатель> default-action <действие>
delete zone-policy zone <зона-получатель> default-action
show zone-policy zone <зона-получатель> default-action
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
zone-policy {
   zone зона-получатель {
      default-action действие
   }
}
Параметры#

зона-получатель

Множественный узел. Название зоны безопасности. Можно определить несколько зон безопасности, создав несколько узлов конфигурации zone-policy zone.

действие

Действие, которое должно быть выполнено для трафика, приходящего в зону безопасности. Допустимые значения:

  • accept: трафик разрешен;
  • drop: трафик игнорируется без каких-либо действий и сообщений;
  • reject: трафик игнорируется с выдачей сообщения ICMP о недоступности.
Значение по умолчанию#

Трафик игнорируется без каких-либо действий и сообщений.

Указания по использованию#

Эта команда используется для указания действия по умолчанию в отношении трафика, приходящего в зону безопасности. Это действие, которое будет выполнено для всего трафика, приходящего из зон, для которых политика не определена. Это означает, что если необходимо разрешить прохождение трафика из определенной зоны, то необходимо явно определить политику, разрешающую прохождение трафика из этой зоны.

Форма set этой команды используется для установки действия по умолчанию.

Форма delete этой команды используется для восстановления поведения по умолчанию.

Форма show этой команды используется для просмотра настройки действия по умолчанию.

zone-policy zone <зона-получатель> description <описание>#

Ввод описания для зоны безопасности.

Синтаксис#
1
2
3
set zone-policy zone <зона-получатель> description <описание>
delete zone-policy zone <зона-получатель> description
show zone-policy zone <зона-получатель> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
zone-policy {
   zone зона-получатель {
      description описание
   }
}
Параметры#

зона-получатель

Множественный узел. Название зоны безопасности. Можно определить несколько зон безопасности, создав несколько узлов конфигурации zone-policy zone.

описание

Строка, содержащая краткое описание зоны безопасности. Если в строке есть пробелы, её следует заключить в двойные кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для записи краткого описания зоны безопасности.

Форма set этой команды используется для ввода описания.

Форма delete этой команды используется для удаления описания.

Форма show этой команды используется для просмотра настройки описания.

zone-policy zone <зона-получатель> from <зона-отправитель>#

Определение имени зоны-источника трафика, к которому применяется данная политика.

Синтаксис#
1
2
3
set zone-policy zone <зона-получатель> from <зона-отправитель>
delete zone-policy zone <зона-получатель> from <зона-отправитель>
show zone-policy zone <зона-получатель> from
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
zone-policy {
   zone зона-получатель {
      from зона-отправитель {
      } 
   }
}
Параметры#

зона-получатель

Множественный узел. Название зоны безопасности. Можно определить несколько зон безопасности, создав несколько узлов конфигурации zone-policy zone.

зона-отправитель

Имя зоны, из которой приходит трафик.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для указания зоны, из которой будет приходить трафик (зоны-“отправителя”). Политика фильтрации пакетов для этой зоны-“отправителя” применяется ко всему трафику, приходящему из этой зоны.

Форма set этой команды используется для ввода описания.

Форма delete этой команды используется для удаления описания.

Форма show этой команды используется для просмотра настройки описания.

zone-policy zone <зона-получатель> from <зона-отправитель> policy <тип_политики> <имя>#

Применение указанной политики к трафику, приходящему из указанной зоны-“отправителя”.

Синтаксис#
1
2
3
set zone-policy zone <зона-получатель> from <зона-отправитель> policy <тип_политики> <имя>
delete zone-policy zone <зона-получатель from <зона-отправитель> policy <тип_политики> [<имя>]
show zone-policy zone <зона-получатель from <зона-отправитель> policy <тип_политики>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
zone-policy {
   zone зона-получатель {
      from зона-отправитель {
         policy {
            тип_политики имя
         } 
      }             
   }
}
Параметры#

зона-получатель

Множественный узел. Название зоны безопасности. Можно определить несколько зон безопасности, создав несколько узлов конфигурации zone-policy zone.

зона-отправитель

Имя зоны, из которой приходит трафик.

тип_политики

Указывает тип политики, применяемый к трафику из указанной зоны. Допустимые значения представлены в таблице ниже.

Значение Описание
clone Политика клонирования трафика IPv4
clone-ipv6 Политика клонирования трафика IPv6
firewall Политика межсетевого экранирования IPv4
firewall-ipv6 Политика межсетевого экранирования IPv6
modify Политика модификации трафика IPv4
modify-ipv6 Политика модификации трафика IPv6

имя

Имя политики указанного типа, которая применяется к трафику от зоны-"отправителя".

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для применения политик к любому трафику, приходящему из зоны-“отправителя”.

Форма set этой команды используется для указания политики для зоны-“отправителя”.

Форма delete этой команды используется для удаления политики для зоны-“отправителя”.

Форма show используется для вывода политик, примененных к зоне-“отправителю” (если таковые имеются).

zone-policy zone <зона-получатель> interface <имя_интерфейса>#

Добавление интерфейса в зону безопасности.

Синтаксис#
1
2
3
set zone-policy zone <зона-получатель> interface <имя_интерфейса>
delete zone-policy zone <зона-получатель> interface <имя_интерфейса>
show zone-policy zone <зона-получатель> interface
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
zone-policy {
   zone зона-получатель {
      interface имя_интерфейса
   }
}
Параметры#

зона-получатель

Множественный узел. Название зоны безопасности. Можно определить несколько зон безопасности, создав несколько узлов конфигурации zone-policy zone.

имя_интерфейса

Множественный узел. Имя интерфейса, добавляемого в состав указанной зоны, например: eth0, wan1 или ppp1.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для добавления интерфейса в зону безопасности. У всех интерфейсов в зоне безопасности уровень безопасности один и тот же; трафик, приходящий на эти интерфейсы из других зон, обрабатывается одинаковым образом. Трафик, передаваемый между интерфейсами в одной зоне безопасности, не фильтруется.

Форма set этой команды используется для добавления интерфейса в зону.

Форма delete этой команды используется для удаления интерфейса из зоны.

Форма show этой команды используется для просмотра списка интерфейсов, являющихся членами этой зоны.

zone-policy zone <зона-получатель> local-zone#

Выделение зоны в качестве “локальной”.

Синтаксис#
1
2
3
set zone-policy zone <зона-получатель> local-zone
delete zone-policy zone <зона-получатель> local-zone
show zone-policy zone <зона-получатель>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
zone-policy {
   zone зона-получатель {
      local-zone
   }
}
Параметры#

Отсутствуют.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для выделения зоны безопасности в качестве “локальной” зоны.

Локальная зона – это особая зона, относящаяся к самому локальному устройству под управлением Numa Edge. Если указать зону безопасности как локальную, то политики межсетевого экрана, указанные для этой зоны, будут фильтровать пакеты, предназначенные для самого Numa Edge. По умолчанию разрешается весь трафик, предназначенный для маршрутизатора и инициированный маршрутизатором. В качестве локальной может быть выделена только одна зона.

Форма set этой команды используется для выделения зоны безопасности в качестве локальной зоны.

Форма delete этой команды используется для прекращения использования зоны безопасности в качестве локальной зоны.

Форма show этой команды используется для просмотра настройки зоны безопасности.