|
Компонент использует параметры конфигурации, заданные в секции [LinuxFirewall] объединенного конфигурационного файла продукта Dr.Web для почтовых серверов UNIX.
В секции представлены следующие параметры:
LogLevel
{уровень подробности}
|
Уровень подробности ведения журнала компонента.
Если значение параметра не указано, используется значение параметра DefaultLogLevel из секции [Root].
Значение по умолчанию: Notice
|
Log
{тип журнала}
|
Метод ведения журнала
|
ExePath
{путь к файлу}
|
Путь к исполняемому файлу компонента.
Значение по умолчанию: <opt_dir>/bin/drweb-firewall
•Для Linux, Solaris: /opt/drweb.com/bin/drweb-firewall •Для FreeBSD: /usr/local/libexec/drweb.com/bin/drweb-firewall |
XtablesLockPath
{путь к файлу}
|
Путь к файлу блокировки таблиц iptables (NetFilter). Если значение параметра не указано, проверяются пути /run/xtables.lock и /var/run/xtables.lock. Если файл блокировок не обнаружен по указанному пути или путям по умолчанию, при запуске компонента происходит ошибка.
Значение по умолчанию: (не задано)
|
InspectHttp
{On | Off}
|
Проверять данные, передаваемые по протоколу HTTP.
Реальная проверка данных будет осуществляться в соответствии с заданными правилами проверки (см. ниже).
Значение по умолчанию: On
|
InspectSmtp
{On | Off}
|
Проверять данные, передаваемые по протоколу SMTP (использует компонент Dr.Web MailD, если установлен).
Реальная проверка данных будет осуществляться в соответствии с заданными правилами проверки (см. ниже).
Значение по умолчанию: Off
|
InspectPop3
{On | Off}
|
Проверять данные, передаваемые по протоколу POP3 (использует компонент Dr.Web MailD, если установлен).
Реальная проверка данных будет осуществляться в соответствии с заданными правилами проверки (см. ниже).
Значение по умолчанию: Off
|
InspectImap
{On | Off}
|
Проверять данные, передаваемые по протоколу IMAP (использует компонент Dr.Web MailD, если установлен).
Реальная проверка данных будет осуществляться в соответствии с заданными правилами проверки (см. ниже).
Значение по умолчанию: Off
|
InputDivert
{Off | Auto(interface:<i_name> protected:<p_list>)}
|
Настройки перенаправления входящих соединений в SpIDer Gate для проверки.
Возможные значения:
•Off – перенаправление входящих соединений отключено. •Auto(interface:<i_name> protected:<p_list>) – перенаправление входящих соединений в автоматическом режиме. Правилами управляет Dr.Web Firewall для Linux. Контролируются соединения, входящие через указанный сетевой интерфейс <i_name> на указанный список портов <p_list>. Номера портов в списке <p_list> указываются через запятую. Пример: Auto(interface:eth0 protected:80,8080). Значение по умолчанию: Off
|
OutputDivert
{Off | Auto}
|
Настройки перенаправления исходящих соединений в SpIDer Gate для проверки.
Возможные значения:
•Off – перенаправление исходящих соединений отключено. •Auto – перенаправление исходящих соединений в автоматическом режиме, правилами управляет Dr.Web Firewall для Linux. Значение по умолчанию: Auto
|
ExcludedProc
{путь к файлу}
|
Список процессов, который может быть использован в качестве белого списка процессов, т.е. списка процессов, сетевая активность которых не должна контролироваться.
Может иметь список значений. Значения в списке указываются через запятую (каждое значение – в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).
Пример: Добавить в список процессы wget и curl.
1.Добавление значений в файл конфигурации. •Два значения в одной строке
[LinuxFirewall]
ExcludedProc = "/usr/bin/wget", "/usr/bin/curl"
|
•Две строки (по одному значению в строке)
[LinuxFirewall]
ExcludedProc = /usr/bin/wget
ExcludedProc = /usr/bin/curl
|
2.Добавление значений через команду drweb-ctl cfset.
# drweb-ctl cfset LinuxFirewall.ExcludedProc -a /usr/bin/wget
# drweb-ctl cfset LinuxFirewall.ExcludedProc -a /usr/bin/curl
|
|
Реальное использование списка процессов, указанного в данном параметре, зависит от того, как он используется в правилах проверки, заданных для Dr.Web Firewall для Linux.
В перечне правил, заданных по умолчанию (см. ниже), гарантируется, что трафик всех процессов, указанных в этом списке пропускается без какой-либо проверки.
|
Значение по умолчанию: (не задано)
|
SniCheckAddress
{логический}
|
Выполнять проверку SNI узла, с которым выполняется соединение, на этапе «SSL handshake» с целью проверить, находится он в черном списке или в блокируемых категориях, без вскрытия SSL.
|
В текущей реализации значение данной переменной не оказывает никакого влияния на проверку защищенного трафика. Для реального управления проверкой нужно создать правила, в которых содержатся условия sni_host in и sni_category in (см. ниже).
Если значение параметра изменять через команду cfset утилиты drweb-ctl или через веб-интерфейс управления, то зависимые правила будут перестраиваться автоматически.
|
Значение по умолчанию: No
|
UnwrapSsl
{логический}
|
Выполнять проверку зашифрованного трафика, передаваемого через SSL.
|
В текущей реализации значение данной переменной не оказывает никакого влияния на проверку защищенного трафика. Для реального управления проверкой нужно создать правило, в котором содержится действие SET Unwrap_SSL = true/false (см. ниже).
Если значение параметра изменять через команду cfset утилиты drweb-ctl или через веб-интерфейс управления, то зависимые правила будут перестраиваться автоматически.
|
Значение по умолчанию: No
|
HttpSafeSearch
{логический}
|
Использовать опцию «Безопасный поиск» поисковых машин, которые поддерживают данный режим.
Значение по умолчанию: No
|
BlockInfectionSource
{логический}
|
Блокировать попытки подключения к сайтам, содержащим вредоносное ПО (входящим в категорию InfectionSource).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: Yes
|
BlockNotRecommended
{логический}
|
Блокировать попытки подключения к не рекомендуемым сайтам (входящим в категорию NotRecommended).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: Yes
|
BlockAdultContent
{логический}
|
Блокировать попытки подключения к сайтам, содержащим материалы для взрослых (входящим в категорию AdultContent).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockViolence
{логический}
|
Блокировать попытки подключения к сайтам, содержащим сцены насилия (входящим в категорию Violence).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockWeapons
{логический}
|
Блокировать попытки подключения к сайтам, посвященным оружию (входящим в категорию Weapons).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockGambling
{логический}
|
Блокировать попытки подключения к сайтам, посвященным азартным играм и играм на деньги (входящим в категорию Gambling).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockDrugs
{логический}
|
Блокировать попытки подключения к сайтам, посвященным наркотикам (входящим в категорию Drugs).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockObsceneLanguage
{логический}
|
Блокировать попытки подключения к сайтам, содержащим нецензурную лексику (входящим в категорию ObsceneLanguage).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockChats
{логический}
|
Блокировать попытки подключения к сайтам чатов (входящим в категорию Chats).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockTerrorism
{логический}
|
Блокировать попытки подключения к сайтам, посвященным терроризму (входящим в категорию Terrorism).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockFreeEmail
{логический}
|
Блокировать попытки подключения к сайтам бесплатных почтовых служб (входящим в категорию FreeEmail).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockSocialNetworks
{логический}
|
Блокировать попытки подключения к сайтам социальных сетей (входящим в категорию SocialNetworks).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockDueToCopyrightNotice
{логический}
|
Блокировать попытки подключения к сайтам, ссылки на которые были добавлены по обращению правообладателей (входящим в категорию DueToCopyrightNotice).
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
|
Значение по умолчанию: No
|
Whitelist
{список доменов}
|
Список доменов, который может быть использован в качестве белого списка (т.е. списка доменов, подключение к которым должно быть разрешено пользователям, даже если эти домены относятся к блокируемым категориям веб-ресурсов. При этом доступ пользователей будет разрешаться и ко всем поддоменам доменов, указанных в этом списке).
Значения в списке указываются через запятую (каждое значение – в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).
Пример: Добавить в список домены example.com и example.net.
1.Добавление значений в файл конфигурации. •Два значения в одной строке
[LinuxFirewall]
Whitelist = "example.com", "example.net"
|
•Две строки (по одному значению в строке)
[LinuxFirewall]
Whitelist = example.com
Whitelist = example.net
|
2.Добавление значений через команду drweb-ctl cfset.
# drweb-ctl cfset LinuxFirewall.Whitelist -a example.com
# drweb-ctl cfset LinuxFirewall.Whitelist -a example.net
|
|
Реальное использование списка доменов, указанного в данном параметре, зависит от того, как он используется в правилах проверки, заданных для Dr.Web Firewall для Linux.
В перечне правил, заданных по умолчанию (см. ниже), гарантируется, что доступ к доменам (и их поддоменам) из данного списка будет обеспечен, даже если там будут находиться домены из блокируемых категорий веб-ресурсов, но только если производится запрос к узлу с использованием протокола HTTP. Кроме этого набор правил по умолчанию гарантирует, что данные, загружаемые с доменов из белого списка, будут проверяться на наличие угроз (так как данные возвращаются в ответе, и переменная direction имеет значение response).
|
Значение по умолчанию: (не задано)
|
Blacklist
{список доменов}
|
Список доменов, который может быть использован в качестве черного списка (т.е списка доменов, подключение к которым должно быть запрещено пользователям, даже если эти домены не относятся к блокируемым категориям веб-ресурсов. При этом доступ пользователей будет запрещаться и ко всем поддоменам доменов, указанных в этом списке).
Значения в списке указываются через запятую (каждое значение – в кавычках). Допускается повторение параметра в секции (в этом случае все значения объединяются в единый список).
Пример: Добавить в список домены example.com и example.net.
1.Добавление значений в файл конфигурации. •Два значения в одной строке
[LinuxFirewall]
Blacklist = "example.com", "example.net"
|
•Две строки (по одному значению в строке)
[LinuxFirewall]
Blacklist = example.com
Blacklist = example.net
|
2.Добавление значений через команду drweb-ctl cfset.
# drweb-ctl cfset LinuxFirewall.Blacklist -a example.com
# drweb-ctl cfset LinuxFirewall.Blacklist -a example.net
|
|
Реальное использование списка доменов, указанного в данном параметре, зависит от того, как он используется в правилах проверки, заданных для Dr.Web Firewall для Linux.
В перечне правил, заданных по умолчанию (см. ниже), гарантируется, что доступ к доменам (и их поддоменам) из данного списка по протоколу HTTP будет запрещен всегда. Если домен добавлен одновременно в список Whitelist и список Blacklist, то правила, заданные по умолчанию, гарантируют, что доступ пользователей к нему по протоколу HTTP будет заблокирован.
|
Значение по умолчанию: (не задано)
|
ScanTimeout
{интервал времени}
|
Устанавливает тайм-аут на проверку одного файла по запросу SpIDer Gate.
Может быть указано значение в диапазоне от 1s до 1h.
Значение по умолчанию: 30s
|
HeuristicAnalysis
{On | Off}
|
Определяет, использовать ли эвристический анализ для поиска возможных неизвестных угроз при проверке файла, инициированной по запросу SpIDer Gate. Использование эвристического анализа повышает надежность проверки, но увеличивает её длительность.
Реакция на срабатывание эвристического анализа задается в параметре BlockSuspicious.
Возможные значения:
•On – Использовать эвристический анализ при проверке. •Off – Не использовать эвристический анализ. Значение по умолчанию: On
|
PackerMaxLevel
{целое число}
|
Устанавливает максимальный уровень вложенности объектов при проверке запакованных объектов. Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке файла, инициированной по запросу SpIDer Gate.
Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.
Значение по умолчанию: 8
|
ArchiveMaxLevel
{целое число}
|
Устанавливает максимальный уровень вложенности объектов при проверке архивов. Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке файла, инициированной по запросу SpIDer Gate.
Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.
Значение по умолчанию: 8
|
MailMaxLevel
{целое число}
|
Устанавливает максимальный уровень вложенности объектов при проверке почтовых сообщений и почтовых ящиков (mailboxes). Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке файла, инициированной по запросу SpIDer Gate.
Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.
Значение по умолчанию: 8
|
ContainerMaxLevel
{целое число}
|
Устанавливает максимальный уровень вложенности объектов при проверке прочих контейнеров (таких, как HTML-страницы). Все объекты, уровень вложенности которых больше указанного, будут пропускаться при проверке файла, инициированной по запросу SpIDer Gate.
Может быть указано значение в диапазоне от 0 до 60. Значение 0 указывает, что вложенные объекты не проверяются.
Значение по умолчанию: 8
|
MaxCompressionRatio
{целое число}
|
Устанавливает максимальную допустимую степень сжатия запакованных объектов (отношение сжатого объема к несжатому). Если степень сжатия объекта превысит указанную величину, он будет пропущен при проверке файла, инициированной по запросу SpIDer Gate.
Величина степени сжатия должна быть не менее 2.
Значение по умолчанию: 500
|
BlockKnownVirus
{логический}
|
Блокировать получение или передачу данных, если они содержат известную угрозу.
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
|
Значение по умолчанию: Yes
|
BlockSuspicious
{логический}
|
Блокировать получение или передачу данных, если они содержат неизвестную угрозу, обнаруженную эвристическим анализатором.
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
|
Значение по умолчанию: Yes
|
BlockAdware
{логический}
|
Блокировать получение или передачу данных, если они содержат рекламную программу.
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
|
Значение по умолчанию: Yes
|
BlockDialers
{логический}
|
Блокировать получение или передачу данных, если они содержат программу дозвона.
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
|
Значение по умолчанию: Yes
|
BlockJokes
{логический}
|
Блокировать получение или передачу данных, если они содержат программу-шутку.
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockRiskware
{логический}
|
Блокировать получение или передачу данных, если они содержат потенциально опасную программу.
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockHacktools
{логический}
|
Блокировать получение или передачу данных, если они содержат программу взлома.
Для реальной блокировки следует убедиться, что в настройках также присутствует правило вида (см. ниже):
threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
|
Значение по умолчанию: No
|
BlockUnchecked
{логический}
|
Блокировать получение или передачу данных, если они не могут быть проверены.
|
Значение этого параметра влияет на обработку правил, в которых невозможно определить истинность или ложность условия вследствие ошибки: в случае No правило будет пропущено как не сработавшее, а в случае Yes – будет выполнено действие BLOCK as BlackList.
|
Значение по умолчанию: No
|
|
Изменения, внесенные в настройки проверки соединений, не влияют на проверку соединений, которые уже были установлены приложениями до внесения изменений. Если необходимо применить их для уже запущенных приложений, необходимо заставить их разорвать и повторно установить сетевое соединение, например, путем перезапуска этих приложений.
|
Правила проверки трафика и блокировки доступа
В дополнение к параметрам, перечисленным выше, в секции присутствует 11 наборов правил RuleSet* (RuleSet0, …, RuleSet10), непосредственно управляющих проверкой трафика и блокировкой доступа пользователей к веб-ресурсам, а также загрузкой контента из Интернет. Для некоторых значений в условиях (например – диапазоны IP-адресов, перечни категорий сайтов, черные и белые списки веб-ресурсов и т.п.) предусмотрена подстановка значений, загружаемых из текстовых файлов, а также извлеченных из внешних источников данных через LDAP (используется компонентDr.Web LookupD). При обработке соединений все правила проверяются в порядке сверху вниз, единым списком, до момента нахождения сработавшего правила, содержащего финальную резолюцию. Пропуски в списке правил, если встречаются, игнорируются.
Подробно правила рассмотрены в разделе Правила проверки трафика Приложения Г.
Просмотр и редактирование правил
Для удобства редактирования списка правил, по умолчанию в списке оставлены «пустоты», т.е. наборы RuleSet<i>, не содержащие правил. и удаления их оттуда (где <i> – номер набора RuleSet). Обратите внимание, что вы не можете добавлять элементы списка, отличные от уже имеющихся RuleSet<i>, но имеете возможность добавить и удалить любое правило в любом элементе RuleSet<i>. Просмотр и редактирование правил могут осуществляться любым из нижеуказанных способов:
•путем просмотра и изменения (в любом текстовом редакторе) файла конфигурации (помните, что в этом файле сохраняются только те параметры, значение которых отличается от значений по умолчанию); •через веб-интерфейс управления продуктом (если установлен); •через интерфейс командной строки Dr.Web Ctl (команды drweb-ctl cfshow и drweb-ctl cfset).
|
Если вы редактировали правила, внося изменения в файл конфигурации, для применения внесенных изменений необходимо перезапустить программный комплекс. Для этого воспользуйтесь командой drweb-ctl reload.
|
Использование команды drweb-ctl cfshow для просмотра правил.
Для просмотра содержимого набора правил LinuxFirewall.RuleSet1 используйте команду.
# drweb-ctl cfshow LinuxFirewall.RuleSet1
|
Использование команды drweb-ctl cfset для редактирования правил (здесь и далее <правило> – текст правила).
•Замена всех правил в наборе правил LinuxFirewall.RuleSet1 на новое правило:
# drweb-ctl cfset LinuxFirewall.RuleSet1 '<правило>'
|
•Добавление еще одного правила в набор правил LinuxFirewall.RuleSet1:
# drweb-ctl cfset -a LinuxFirewall.RuleSet1 '<правило>'
|
•Удаление конкретного правила из набора правил LinuxFirewall.RuleSet1:
# drweb-ctl cfset -e LinuxFirewall.RuleSet1 '<правило>'
|
•Возврат набора правил LinuxFirewall.RuleSet1 к состоянию по умолчанию:
# drweb-ctl cfset -r LinuxFirewall.RuleSet1
|
При использовании утилиты drweb-ctl для редактирования правил заключайте строку добавляемого правила <правило> в одинарные или двойные кавычки, а внутренние кавычки, если они встречаются в правиле, экранируйте символом обратной косой черты '\'.
Важно помнить, следующие особенности хранения правил в переменных конфигурации RuleSet<i>:
•При добавлении безусловных правил условная часть и двоеточие могут быть опущены, однако такие правила всегда сохраняются в списке правил в виде строки ' : <действие>'; •При добавлении правил, содержащих несколько действий (правила вида '<условие> : <действие 1>, <действие 2>'), такие правила будут преобразованы в цепочку элементарных правил '<условие> : <действие 1>' и '<условие> : <действие 2>'. •Так как в записи правил не предусмотрено дизъюнкции (логическое «ИЛИ») условий в условной части, для реализации логического «ИЛИ» следует записать цепочку правил, в условии каждого из которых будет указано условие-дизъюнкт. Чтобы добавить в набор правил LinuxFirewall.RuleSet1 правило безусловного пропуска (действие PASS), достаточно выполнить команду:
# drweb-ctl cfset -a LinuxFirewall.RuleSet1 'PASS'
|
Однако, чтобы удалить это правило из указанного набора правил, необходимо выполнить команду:
# drweb-ctl cfset -e LinuxFirewall.RuleSet1 ' : PASS'
|
Чтобы добавить в набор правил LinuxFirewall.RuleSet1 правило, изменяющее для соединений, следующих с неразрешенных адресов, путь к стандартным шаблонам и выполняющее блокировку, достаточно выполнить команду:
# drweb-ctl cfset -a LinuxFirewall.RuleSet1 'src_ip not in file("/etc/trusted_ip") : set http_template_dir = "mytemplates", BLOCK'
|
Однако, эта команда добавит два правила в указанный набор правил, поэтому, чтобы удалить их, необходимо выполнить две команды:
# drweb-ctl cfset -e LinuxFirewall.RuleSet1 'src_ip not in file("/etc/trusted_ip") : set http_template_dir = "mytemplates"'
# drweb-ctl cfset -e LinuxFirewall.RuleSet1 'src_ip not in file("/etc/trusted_ip") : BLOCK'
|
Чтобы добавить в набор правил LinuxFirewall.RuleSet1 правило вида «Осуществить блокировку, если обнаружен вредоносный объект типа KnownVirus или URL из категории Terrorism», необходимо добавить в этот набор сразу два правила:
# drweb-ctl cfset -a LinuxFirewall.RuleSet1 'threat_category in (KnownVirus) : BLOCK as _match'
# drweb-ctl cfset -a LinuxFirewall.RuleSet1 'url_category in (Terrorism) : BLOCK as _match'
|
Для их удаления их также потребуется две команды, как в примере выше.
Набор правил по умолчанию
По умолчанию задан следующий набор правил, управляющих блокировкой:
RuleSet0 =
RuleSet1 = divert output : set HttpTemplatesDir = "output"
RuleSet1 = divert output : set MailTemplatesDir = "firewall"
RuleSet1 = divert input : set HttpTemplatesDir = "input"
RuleSet1 = divert input : set MailTemplatesDir = "server"
RuleSet1 = proc in "LinuxFirewall.ExcludedProc" : PASS
RuleSet1 = : set Unwrap_SSL = false
RuleSet2 =
RuleSet3 =
RuleSet4 =
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList
RuleSet5 = protocol in (Http), direction request, url_host in "LinuxFirewall.Whitelist" : PASS
RuleSet6 =
RuleSet7 = protocol in (Http), direction request, url_category in "LinuxFirewall.BlockCategory" : BLOCK as _match
RuleSet8 =
RuleSet9 = protocol in (Http), divert input, direction request, threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
RuleSet9 = protocol in (Http), direction response, threat_category in "LinuxFirewall.BlockThreat" : BLOCK as _match
RuleSet9 = protocol in (Smtp), threat_category in "LinuxFirewall.BlockThreat" : REJECT
RuleSet9 = protocol in (Smtp), url_category in "LinuxFirewall.BlockCategory" : REJECT
RuleSet9 = protocol in (Smtp), total_spam_score gt 0.80 : REJECT
RuleSet9 = protocol in (Pop3, Imap), threat_category in "LinuxFirewall.BlockThreat" : REPACK as _match
RuleSet9 = protocol in (Pop3, Imap), url_category in "LinuxFirewall.BlockCategory" : REPACK as _match
RuleSet9 = protocol in (Pop3, Imap), total_spam_score gt 0.80 : REPACK as _match
RuleSet10 =
|
Первое правило указывает, что если соединение устанавливается процессом, указанным в параметре ExcludedProc (см. выше), то соединение пропускается без проверки каких-либо дополнительных условий. Следующее правило (срабатывает безусловно) запрещает вскрытие содержимого защищенных соединений. Это правило, как и все нижележащие, будет анализироваться только если соединение не связано с исключаемым процессом. Кроме того, поскольку все последующие правила зависят от определения типа протокола, то, если вскрытие содержимого защищенных соединений запрещено, а соединение защищенное, в этом случае все они не сработают из-за невозможности определить истинность условий.
Последующие пять нижележащих правил посвящены обработке исходящих HTTP-соединений:
1.Если узел, с которым производится попытка установить соединение, включен в черный список, соединение блокируется по причине попадания в черный список, дальнейшие проверки не производятся. 2.Если узел находится в белом списке, соединение пропускается, дальнейшие проверки не производятся. 3.Если URL, к которому обращается клиент, находится в категориях веб-ресурсов, отмеченных как нежелательные для посещения, то соединение блокируется по причине попадания URL в запрещенную к посещению категорию, дальнейшие проверки не производятся. 4.Если ответ, поступивший от удаленного узла по HTTP, содержит угрозу, относящуюся к категориям, которые следует блокировать, то соединение блокируется по причине обнаружения угрозы, дальнейшие проверки не производятся. 5.Если данные, передаваемые с локального узла на удаленный сервер, содержат угрозу, относящуюся к категориям, которые следует блокировать, то соединение блокируется по причине обнаружения угрозы, дальнейшие проверки не производятся. Эти пять правил будут работать только в том случае, если параметр InspectHttp имеет значение On. В противном случае ни одно из них не сработает.
Следующие шесть правил, указанных в RuleSet9, предназначены для проверки данных, передаваемых по протоколам электронной почты, и срабатывают, если будет обнаружено, что передается сообщение электронной почты (по протоколу SMTP, POP3 или IMAP), содержащее вложения, или URL, относящиеся к категориям, которые следует блокировать, либо оцененные как спам (с оценкой достоверности не менее 0,8). При этом к письмам, передаваемым по протоколу SMTP, применяется действие, блокирующее передачу письма (т.е. его отправку или прием), а для протоколов IMAP и POP3 производится обработка письма, заключающаяся в удалении из него вредоносного содержимого («перепаковка»).
|
Если компонент проверки сообщений электронной почты на наличие признаков спама Dr.Web ASE отсутствует в составе продукта, то проверка писем на наличие признаков спама не производится. В этом случае правила, содержащие проверку порога спама (переменную total_spam_score) отсутствуют.
|
Обратите внимание, что правила проверки электронной почты будут работать только в том случае, если соответствующие разрешающие параметры Inspect<EmailProtocol> имеют значение On. В противном случае ни одно из них не сработает. Кроме того, для физического исследования передаваемого письма на предмет обнаружения в нем вредоносных вложений должен быть установлен дополнительный компонент проверки электронной почты – Dr.Web MailD. Если он не установлен, передаваемые сообщения будут блокироваться по причине ошибки «Невозможно проверить». Чтобы разрешить прохождение писем, которые невозможно проверить, установите параметр BlockUnchecked в значение No (см. выше). Кроме того, при отсутствии компонента проверки электронной почты рекомендуется установить значение No для параметров InspectSmtp, InspectPop3 и InspectImap.
|
Обратите внимание, что набор правил по умолчанию может автоматически изменяться при изменении значений параметров SniCheckAddress и UnwrapSsl.
|
Примеры правил проверки трафика и блокировки доступа
1.Разрешить для пользователей с диапазона IP-адресов 10.10.0.0 – 10.10.0.254 доступ по протоколу HTTP к сайтам любых категорий, кроме категории Chats:
protocol in (HTTP), src_ip in (10.10.0.0/24), url_category not in (Chats) : PASS
|
Обратите внимание, что если правило
protocol in (HTTP), url_host in "LinuxFirewall.Blacklist" : BLOCK as BlackList
|
разместить в списке правил выше (т.е. раньше) указанного правила, то доступ к доменам из черного списка, т.е. доменам, перечисленным в параметре LinuxFirewall.Blacklist, будет блокироваться и для пользователей с диапазона IP-адресов 10.10.0.0 – 10.10.0.254. А если это правило разместить ниже (т.е. позже), то пользователям с диапазона IP-адресов 10.10.0.0 – 10.10.0.254 будут доступны также и сайты из черного списка.
Так как резолюция PASS является конечной, более никакие правила не проверяются, следовательно, проверка загружаемых данных на вирусы производиться также не будет. Чтобы разрешить пользователям с диапазона IP-адресов 10.10.0.0 – 10.10.0.254 доступ к сайтам любых категорий, кроме категории Chats, если они не находятся в черном списке, но при этом не разрешать загрузку угроз, используйте следующее правило:
protocol in (HTTP), url_category not in (Chats), url_host not in "LinuxFirewall.Blacklist", threat_category not in "LinuxFirewall.BlockCategory" : PASS
|
2.Не выполнять проверку содержимого загружаемых из Интернет видео-файлов (т.е. данных с типом MIME 'video/*', где * соответствует любому типу MIME-класса video):
direction response, content_type in ("video/*") : PASS
|
Обратите внимание, что выгружаемые с локального компьютера файлы (в том числе и с типом MIME 'video/*') будут проверяться, так как они передаются в запросах, а не ответах, т.е. для них переменная direction имеет значение request.
|
