Имеется возможность настроить действия (общие правила), которые межсетевой экран будет использовать по умолчанию для трафика между различными зонами межсетевого экрана. Для некоторых хостов или типов трафика общие правила могут быть заменены на специфические правила маршрутизации на странице Правила межсетевого экрана.
Настройка правил по умолчанию
| • | Перейдите по ссылке Firewall в разделе Безопасность главного меню, |
| • | Нажмите ссылку Общие правила (policy). |
Вид страницы перечня общих правил приведен на рисунке ниже.
На странице просмотра перечня общих правил для каждого правила выводятся следующие сведения:
| • | Зона-источник – Из какой зоны следует трафик. |
| • | Зона назначения – В какую зону следует трафик. |
| • | Правило – Действие, применяемое к трафику данного направления. |
| • | Уровень Syslog – Уровень важности, используемый при записи о срабатывании данного правила в системный журнал. |
| • | Границы трафика – Границы разрешенной интенсивности трафика по данному маршруту. |
При помощи пиктограмм, размещенных в списке, можно управлять порядком следования правил в списке:
|
Перемещение правила на одну позицию в списке наверх |
|
Перемещение правила на одну позицию в списке вниз |
|
Добавление в список нового правила на позицию выше текущего |
|
Добавление в список нового правила на позицию ниже текущего |
|
Список правил просматривается межсетевым экраном сверху вниз до первого подходящего правила. Поэтому наиболее общие правила (типа Any |
По умолчанию в межсетевом экране Dr.Web Office Shield настроены следующие общие правила:
| • | Разрешается трафик из зоны firewall во все сетевые зоны. |
| • | Разрешается трафик из зоны LAN в зоны firewall и VPN. |
| • | Разрешается трафик из зоны VPN в зоны LAN и firewall. |
| • | Разрешается трафик из любой зоны в зону DMZ. |
| • | Трафик из любой зоны в любую, не попавший под ранее перечисленные правила, отклоняется, о чем делается запись в системном журнале. |
Добавление нового общего правила
| 1. | Нажмите ссылку Добавить новое общее правило. На экране откроется страница добавления нового правила. |
| 2. | Задайте следующие параметры правила: |
| • | Выберите зону–источник трафика из выпадающего списка Зона-источник и зону назначения трафика из выпадающего списка Зона назначения (<Firewall> означает зону межсетевого экрана, а <Any> – любую зону). |
| • | Укажите Правило, применяемое к трафику этого маршрута. Доступен следующий перечень действий: |
Параметр |
Описание |
|---|---|
ACCEPT |
Пропустить трафик по маршруту |
REJECT |
Отклонить пакеты |
DROP |
Удалить пакеты |
CONTINUE |
Не принимать никакого решения, продолжить просматривать список правил |
| • | Укажите, требуется ли вносить в системный журнал запись о срабатывании правила, выбрав из списка Уровень Syslog уровень важности события (выбор пункта <Запись отключена> отключает фиксацию срабатывания правила в журнале). |
| • | Укажите, следует ли учитывать интенсивность трафика по маршруту, выбрав соответствующий переключатель в поле границы трафика. При выборе None интенсивность трафика не учитывается, в противном случае необходимо указать границу и интервал интенсивности для срабатывания правила. |
| 3. | Нажмите кнопку Сохранить. |
Вид страницы добавления нового сетевого интерфейса показан на рисунке ниже.
Редактирование общих правил
Для редактирования общего правила нажмите на его зону-источник в списке, после чего на экране откроется страница редактирования правила, аналогичная странице добавления нового правила.
Чтобы применить внесенные изменения, нажмите кнопку Сохранить. Чтобы удалить общее правило, нажмите кнопку Удалить.
Удаление общих правил
Для удаления общего правила выделите его в списке, активировав флажок в строке списка возле его зоны-источника. При необходимости можно выделить несколько правил, активировав соответствующие флажки. Дополнительные возможности выделения:
| • | Щелчок по ссылке Выделить все выделяет все правила в списке, |
| • | Щелчок по ссылке Инвертировать выделение инвертирует выделение, делая не выбранные элементы списка выбранными, и наоборот. |
Для удаления выбранных правил необходимо нажать кнопку Удалить выбранное.
|
Удаление общих правил – необратимая операция. В случае если удаленное правило потребуется в дальнейшем, его придется создать и настроить заново. |
Ручная правка файла общих правил Shorewall
Имеется возможность отредактировать файл Shorewall, хранящий список общих правил. Для редактирования вручную файла Shorewall, расположенного в /etc/shorewall/, нажмите Редактировать файл вручную. После этого на экране откроется страница редактирования содержимого файла. Введите список правил в текстовое поле в формате, используемом Shorewall (одна строка – одно правило, поля разделяются пробелом или табуляцией).
Нажатие кнопки Сохранить сохраняет внесенные изменения в файл общих правил, а нажатие кнопки Отменить позволяет отказаться от внесения изменений в файл.
|
Обратите внимание, что при редактировании файла общих правил Shorewall вручную не производится проверка синтаксиса и корректности введенного текста. Неправильное заполнение файла может привести к сбросу списка общих правил Shorewall. |