В этом разделе
•Настройки перенаправления соединений
•Настройка параметров проверки
|
Данная возможность доступна только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux. |
Для защиты веб-сервера, работающего на том же узле, на который установлен Dr.Web для интернет-шлюзов UNIX, необходимо активировать проверку всех поступающих на веб-сервер данных Dr.Web Firewall для Linux в мониторе SpIDer Gate.
Настройки перенаправления соединений
Чтобы настроить защиту веб-сервера, установите в конфигурационном файле для параметров в секции [LinuxFirewall] следующие значения:
Параметр |
Требуемое значение |
|---|---|
InspectHttp |
On |
AutoconfigureIptables |
Yes |
AutoconfigureRouting |
Yes |
LocalDeliveryMark |
Auto |
ClientPacketsMark |
Auto |
ServerPacketsMark |
Auto |
TproxyListenAddress |
127.0.0.1:0 Если для работы Dr.Web Firewall для Linux используется особый IP-адрес или порт, укажите их здесь |
InputDivertEnable |
Yes |
InputDivertNfqueueNumber |
Auto |
InputDivertConnectTransparently |
Yes |
Для просмотра и изменения настроек Dr.Web Firewall для Linux вы можете воспользоваться:
•утилитой управления из командной строки Dr.Web Ctl (используйте команды drweb-ctl cfshow и drweb-ctl cfset).
Например, команда:
# drweb-ctl cfset LinuxFirewall.InputDivertEnable Yes |
настроит Dr.Web Firewall для Linux таким образом, чтобы все входящие данные проходили проверку в мониторе SpIDer Gate, если используется протокол HTTP и если значение параметра InspectHttp установлено в On;
•веб-интерфейсом управления Dr.Web для интернет-шлюзов UNIX (по умолчанию доступ через браузер по адресу https://127.0.0.1:4443/).
Чтобы обеспечить проверку данных, передаваемых с использованием безопасного протокола HTTPS, дополнительно:
•Включите проверку трафика, передаваемого через SSL/TLS, с помощью команды:
# drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes |
Рекомендуется использовать команду cfset утилиты drweb-ctl или веб-интерфейс управления, т. к. в этом случае также будут автоматически изменены правила проверки, зависящие от данного параметра.
•Экспортируйте сертификат, который Dr.Web для интернет-шлюзов UNIX будет использовать для встраивания в защищенные каналы SSL/TLS, выполнив команду:
$ drweb-ctl certificate > <cert_name>.pem |
Необходимо указать имя файла, в который будет сохранен сертификат в формате PEM.
•Добавьте полученный сертификат в системный перечень доверенных сертификатов, и пропишите его в качестве доверенного у веб-клиентов (браузеров) и веб-сервера. Подробнее см. в разделе Приложение Д. Генерация сертификатов SSL.
В конфигурационном файле, в секции настроек Dr.Web Firewall для Linux (секция [LinuxFirewall]) установите значения следующих параметров:
1.Параметры сканирования передаваемых данных (ScanTimeout, HeuristicAnalysis, PackerMaxLevel, ArchiveMaxLevel, MailMaxLevel, ContainerMaxLevel, MaxCompressionRatio), ограничивающие длительность и ресурсоемкость их проверки. Если детальная настройка не требуется, сохраните значения по умолчанию.
2.Параметры Block*, предназначенные для блокировки нежелательных URL и нежелательного содержимого.
3.Параметр BlockUnchecked для определения действий со стороны SpIDer Gate в случае, когда проверка полученных данных невозможна.
Для более детальной настройки правил фильтрации сообщений HTTP (в зависимости от условий) отредактируйте Lua-процедуру либо правила RuleSet.
После внесения изменений в настройки перезапустите Dr.Web для интернет-шлюзов UNIX, выполнив команду:
# drweb-ctl reload |
Также вы можете перезапустить демон управления конфигурацией Dr.Web ConfigD с помощью команды:
# service drweb-configd restart |