Differences

This shows you the differences between two versions of the page.

--- tssltd:сценарий_применения_межсетевого_экрана [2022/11/02 13:51] – r.krestianinov
+++ tssltd:сценарий_применения_межсетевого_экрана [2024/03/11 14:26] (current) – old revision restored (2023/05/25 15:10) n.ganenkov
@@ Line 47: / Line 47: @@
 На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 9). На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 10).
+{{ :tssltd:10е.png |}}
 Рисунок 9 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»
 На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 10).
+{{ :tssltd:11е.png |}}
 Рисунок 10 – Положение вкладки «Действие» и опции «Accept»
 Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 11). Аналогичным образом необходимо создать правило фильтрации для протокола ssh – протокол TCP, сетевой порт назначения 22.
+{{ :tssltd:12е.png |}}
 Рисунок 11 – Сохранение правил фильтрации
 После задания разрешающих правил фильтрации необходимо создать запрещающее правило фильтрации для остального трафика. Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 12). После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 13).
+{{ :tssltd:13е.png |}}
 Рисунок 12 – Положение вкладки «Действие»
+{{ :tssltd:14е.png |}}
 Рисунок 13 – Сохранение правил фильтрации
@@ Line 74: / Line 74: @@
 При создании защищенного соединения одно устройство МКСЗ Diamond VPN/FW работает в режиме сервера и прослушивает сетевой порт на заданном сетевом интерфейсе. Второе устройство МКСЗ Diamond VPN/FW работает в режиме клиента инициализирует соединение на заданный адрес и сетевой порт (см. рисунок 14).
+{{ :tssltd:15е.png |}}
 Рисунок 14 – Схема фильтрации защищенного соединения
@@ Line 82: / Line 82: @@
 Для создания разрешающего правила фильтрации для входящего соединения от устройства МКСЗ Diamond VPN/FW – клиент необходимо в главном меню выбрать пункт «Межсетевой экран». Для добавления правила необходимо выбрать цепочку «input» и нажать на кнопку «Добавить правило» (см. рисунок 15).
+{{ :tssltd:saverule.png |}}
 Рисунок 15 – Создание разрешающего правила фильтрации для входящего соединения
 В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес 192.168.1.1, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 16).
+{{ :tssltd:17е.png |}}
 Рисунок 16 – Окно «Создание правила фильтрации»
 На вкладке «Протокол» в поле «Протокол» необходимо выбрать протокол UDP, в поле «Порт назначения» необходимо задать сетевой порт 12968 (см. рисунок 17).
+{{ :tssltd:18е.png |}}
 Рисунок 17 – Настройка вкладки «Протокол»
 На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 18). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Accept» (см. рисунок 19). После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 20).
+{{ :tssltd:19е.png |}}
 Рисунок 18 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»
+{{ :tssltd:20е.png |}}
 Рисунок 19 – Положение вкладки «Действие»
+{{ :tssltd:makerule.png |}}
 Рисунок 20 – Сохранение настроек
@@ Line 110: / Line 110: @@
 Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 21). После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 22).
+{{ :tssltd:22е.png |}}
 Рисунок 21 – Положение вкладки «Действие»
+{{ :tssltd:makerule2.png |}}
 Рисунок 22 – Сохранение правил фильтрации
@@ Line 123: / Line 123: @@
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает весь трафик с устройства с ip-адресом 192.168.16.14/24 на устройство с ip-адресом 172.16.16.150/24 (см. рисунок  23).
+{{ :tssltd:24е.png |}}
 Рисунок 23 – Схема фильтрации по ip-адресу
 Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 24 ).
+{{ :tssltd:25е.png |}}
 Рисунок 24 – Создание правила фильтрации
 Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «IP» в поле «Адрес источника» необходимо задать ip-адрес источника сетевого трафик 192.168.16.14, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес назначения сетевого трафика 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 25). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 26).
+{{ :tssltd:26е.png |}}
 Рисунок 25 – Окно «Создание правила фильтрации»
+{{ :tssltd:27е.png |}}
 Рисунок 26 – Положение вкладки «Действие»
 Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 27).
+{{ :tssltd:28е.png |}}
 Рисунок 27 – Сохранение правил фильтрации
@@ Line 147: / Line 150: @@
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено запрещающее правило фильтрации для протокола UDP (см. рисунок 28).
+{{ :tssltd:29е.png |}}
 Рисунок 28 – Схема фильтрации по протоколу UDP
 Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 29).
+{{ :tssltd:30е.png |}}
 Рисунок 29 – Создание правил фильтрации
 Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол UDP (см. рисунок 30). При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола UDP доступны следующие опции: сетевой порт источника и сетевой порт назначения. На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 31). Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации» (см. рисунок 32). После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить». Данное правило фильтрации запрещает сетевой трафик по протоколу UDP.
+{{ :tssltd:31е.png |}}
 Рисунок 30 – Добавление правил фильтрации
+{{ :tssltd:32е.png |}}
 Рисунок 31 – Положение поля «Действие»
+{{ :tssltd:33е.png |}}
 Рисунок 32 – Сохранение правил фильтрации
@@ Line 171: / Line 174: @@
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP с порта 18654 на порт 4415 с установленным битом syn с устройства с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 (см. рисунок 33).
+{{ :tssltd:34е.png |}}
 Рисунок 33 – Схема фильтрации по протоколу TCP
 Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 34).
+{{ :tssltd:35е.png |}}
 Рисунок 34 – Создание правила фильтрации
@@ Line 181: / Line 185: @@
 После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 37).
+{{ :tssltd:36е.png |}}
 Рисунок 35 – Выбор типа протокола
+{{ :tssltd:37е.png |}}
 Рисунок 36 – Положение вкладки «Действие»
+{{ :tssltd:38е.png |}}
 Рисунок 37 – Сохранение правила фильтрации
@@ Line 195: / Line 200: @@
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP на порт 80 с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 c 9 до 18 часов по будням (см. рисунок 38).
+{{ :tssltd:39е.png |}}
 Рисунок 38 – Схема фильтрации по расписанию
 Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 39).
+{{ :tssltd:40е.png |}}
 Рисунок 39 – Создание правила фильтрации
 Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт назначения» необходимо задать 80 порт. На вкладке «Расписание» необходимо создать расписание для правила фильтрации. Для создания расписание необходимо нажать на кнопку «Добавить расписание» (см. рисунок 40).
+{{ :tssltd:41е.png |}}
 Рисунок 40 – Положение вкладки «Расписание» и кнопки «Добавить расписание»
 В новом окне необходимо установить флаг «Часы диапазон», в поле «Часы» необходимо задать время работы правила фильтрации и задать дни недели (см. рисунок 41). После задания расписания его можно изменить или удалить с помощью дополнительных кнопок «Обновить расписание» и «Удалить расписание» (см. рисунок 42). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 43).
+{{ :tssltd:42е.png |}}
 Рисунок 41 – Настройка расписания
+{{ :tssltd:43е.png |}}
 Рисунок 42 – Вкладка «Расписание»
+{{ :tssltd:44е.png |}}
 Рисунок 43 – Положение вкладки «Действие»
 Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации».
 После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 44). Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.
+{{ :tssltd:45е.png |}}
 Рисунок 44 – Сохранение правила фильтрации
@@ Line 228: / Line 234: @@
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415. Весь остальной сетевой трафик необходимо заблокировать с помощью запрещающего правила фильтрации с включенной опцией логирования (см. рисунок 45).
+{{ :tssltd:46е.png |}}
 Рисунок 45 – Схема логирование правила фильтрации
 Необходимо самостоятельно создать разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415 в цепочке для транзитного трафика. Для создания запрещающего правила фильтрации с опцией логирования необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» и нажать на кнопку «Добавить правило» (см. рисунок 46). В новом окне на вкладе «Действие» необходимо установить флаг «Логирование правила фильтрации», в поле «Префикс» необходимо задать префикс, который будет закреплен за данным правилом, в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 47).  Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 48).
+{{ :tssltd:47е.png |}}
 Рисунок 46 – Создание правила фильтрации
+{{ :tssltd:48е.png |}}
 Рисунок 47 – Положение вкладки «Действие» и кнопки «Логирование правила фильтрации»
+{{ :tssltd:49е.png |}}
 Рисунок 48 – Сохранение правила фильтрации
@@ Line 244: / Line 251: @@
 Для просмотра журнала событий для межсетевого экрана необходимо в главном меню выбрать пункт «Журнал событий – Журнал межсетевого экрана» (см. рисунок 49).
+{{ :tssltd:50е.png |}}
 Рисунок 49 – Просмотр «Журнала событий»
@@ Line 251: / Line 258: @@
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным (см. рисунок 50).
+{{ :tssltd:51е.png |}}
 Рисунок 50 – Схема фильтрации на уровне L2
 Для создания правила фильтрации на уровне L2 стандартной сетевой модели необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 51).
+{{ :tssltd:52е.png |}}
 Рисунок 51 – Положение кнопки «Добавить таблицу»
 В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 52).
+{{ :tssltd:53е.png |}}
 Рисунок 52 – Окно «Добавить таблицу»
 Далее необходимо выбрать новую таблицу «bridge»  и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 53).
+{{ :tssltd:54е.png |}}
 Рисунок 53 – Кнопка «Добавить цепочку»
 В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 54).
+{{ :tssltd:55е.png |}}
 Рисунок 54 – Окно добавить цепочку
 После создания цепочки с типом «forward» необходимо создать правила фильтрации. Для создания правила фильтрации необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 55).
+{{ :tssltd:56е.png |}}
 Рисунок 55 – Создание правил фильтрации
 В новом окне необходимо задать параметры фильтрации и нажать на кнопку «ОК». Для примера, создано запрещающее правило фильтрации для протокола ICMP (см. рисунок 56). Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить».
+{{ :tssltd:57е.png |}}
 Рисунок 56 – Сохранение правила фильтрации
 ==== Фильтрация на основе VLAN ID ====
@@ Line 289: / Line 295: @@
 С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для поля VLAN ID для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным. По сценарию разрешен сетевой трафик с метками VLAN ID 17/58/113 и запрещен трафик с метками VLAN ID 24/230 (см. рисунок 57).
+{{ :tssltd:58е.png |}}
 Рисунок 57 – Схема фильтрации по меткам VLAN ID
 Для создания правила фильтрации для метки VLAN ID необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 58).
+{{ :tssltd:59е.png |}}
 Рисунок 58 – Положение кнопки «Добавить таблицу»
 В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 59).
+{{ :tssltd:60е.png |}}
 Рисунок 59 – Окно «Добавить таблицу»
 Далее необходимо выбрать новую таблицу «bridge» и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 60).
+{{ :tssltd:61е.png |}}
 Рисунок 60 – Положение кнопки «Добавить цепочку »
 В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 61).
+{{ :tssltd:62е.png |}}
 Рисунок 61 – Окно «Добавить цепочку»
 После создания цепочки с типом «forward» необходимо создать правила фильтрации для метки VLAN ID. Для создания запрещающего правила фильтрации для метки VLAN ID 24 и 230 необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 62). В новом окне на вкладке «IEEE 802.1Q» в поле «Номер VLAN» необходимо задать номер VLAN ID 24 (см. рисунок 63). На вкладке «Действие» в поле «Действие» необходимо задать «Drop» (см. рисунок 64). После задания параметров фильтрации необходимо нажать на кнопку «ОК». Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 65).
+{{ :tssltd:63е.png |}}
 Рисунок 62 – Создание правила фильтрации
+{{ :tssltd:64е.png |}}
 Рисунок 63 – Положение вкладки «IEEE 802.1Q»
+{{ :tssltd:65е.png |}}
 Рисунок 64– Положение вкладки «Действие»
+{{ :tssltd:66е.png |}}
 Рисунок 65 – Сохранение правила фильтрации
 Аналогичным образом необходимо создать запрещающее правило фильтрации для метки VLAN ID 230 и разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113 (см. рисунок 66).
+{{ :tssltd:67е.png |}}
 Рисунок 66 – Разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113
+==== Сохранение и загрузка правил из файла ====
+Diamond VPN/FW позволяет сохранить конфиг правил межсетевого экрана. Сделать это можно с помощью команды:
+nft -s list ruleset >> /etc/nftables.conf
+Эти правила межсетевого экрана сохранятся в файл nftables.conf
+{{:tssltd:снимок_экрана_2023-05-25_150706.png?direct |}}
+Также есть возможность загрузить правила из файла с помощью команды:
+nft -f /etc/nftables.conf
+{{:tssltd:снимок_экрана_2023-05-25_150820.png?direct |}}