TSSLTD

На рисунке представлена схема сети, на которой устройство МКСЗ Diamond VPN/FW, администратор сети и пользователи находятся в одном сегменте (см. рисунок 149). Необходимо ограничить доступ к устройству МКСЗ Diamond VPN/FW по протоколу https и ssh для всех пользователей, кроме администратора.

Рисунок 1 – Схема сети, где администратор сети и пользователи находятся в одном сегменте

Для настройки правила фильтрации для входящего и исходящего трафика необходимо добавить разрешающее правило для системного интерфейса «l0». Для настройки правила фильтрации для системного интерфейса «l0» необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило» (см. рисунок 2).

Рисунок 2 – Настройка правила фильтрации для системного интерфейса «l0»

В новом окне «Создание правила фильтрации» на вкладке «Мета» в поле «Входящий интерфейс» необходимо задать системный интерфейс «l0» (см. рисунок 3).

Рисунок 3 – Окно «Создание правила фильтрации» и положение вкладки «Мета»

На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 4).

Рисунок 4 – Положение вкладки «Действие» и опции «Ассеpt»

После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 5).

Рисунок 5 – Положение кнопки «Сохранить»

После создания правила фильтрации для системного интерфейса необходимо создать правило фильтрации для протокола https. Для настройки правила фильтрации для протокола https или ssh необходимо в главном меню выбрать пункт «Межсетевой экран». В таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило» (см. рисунок 6).

Рисунок 6 – Настройка правила фильтрации для протокола «https или ssh»

В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес «192.168.1.7» в поле «маска подсети» необходимо задать маску подсети «255.255.255.255», в поле «Адрес назначения» необходимо задать ip-адрес «192.168.1.1», в поле «маска подсети» задать маску подсети «255.255.255.255» (см. рисунок 7).

Рисунок 7 – Окно «Создание правил фильтрации» и положение вкладки «IP»

На вкладке «Протокол» в поле «Протокол» необходимо задать протокол «TCP», в поле «Порт назначения» необходимо задать порт номер 443 для протокола https (см. рисунок рисунок 8).

Рисунок 8 – Положение вкладки «Протокол»

На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 9). На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 10).

Рисунок 9 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»

На вкладке «Действие» в поле «Действие» необходимо выбрать опцию «Accept» (см. рисунок 10).

Рисунок 10 – Положение вкладки «Действие» и опции «Accept»

Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 11). Аналогичным образом необходимо создать правило фильтрации для протокола ssh – протокол TCP, сетевой порт назначения 22.

Рисунок 11 – Сохранение правил фильтрации

После задания разрешающих правил фильтрации необходимо создать запрещающее правило фильтрации для остального трафика. Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 12). После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 13).

Рисунок 12 – Положение вкладки «Действие»

Рисунок 13 – Сохранение правил фильтрации

Данный набор правил фильтрации разрешает сетевой трафик по протоколу https, ssh с рабочего места администратора с ip-адресом 192.168.1.7/32 к устройству МКСЗ Diamond VPN/FW с ip-адресом 192.168.1.1 и запрещает сетевой трафик к устройству МКСЗ Diamond VPN/FW от всех остальных рабочих мест.

При создании защищенного соединения одно устройство МКСЗ Diamond VPN/FW работает в режиме сервера и прослушивает сетевой порт на заданном сетевом интерфейсе. Второе устройство МКСЗ Diamond VPN/FW работает в режиме клиента инициализирует соединение на заданный адрес и сетевой порт (см. рисунок 14).

Рисунок 14 – Схема фильтрации защищенного соединения

На сетевом интерфейсе «eth1» устройства МКСЗ Diamond VPN/FW, которое работает в режиме сервера, установлен ip-адрес 192.168.1.1. На сетевом интерфейсе «eth1» устройства МКСЗ Diamond VPN/FW, которое работает в режиме клиента, установлен ip-адрес 172.16.16.150/24. После установления защищенного соединения в логическом туннеле будет задана новая адресация. Для устройства МКСЗ Diamond VPN/FW, которое работает в режиме сервера, для логического интерфейса будет задан ip-адрес 10.10.10.1/24. Для устройства, МКСЗ Diamond VPN/FW, которое работает в режиме клиента, для логического интерфейса будет задан ip-адрес 10.10.10.2/24. С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, которое работает в режиме сервера, будет настроено правило фильтрации, которое разрешает установление защищенного соединения от другого устройства МКСЗ Diamond VPN/FW и запрещает все новые соединения от других устройств. Устройство МКСЗ Diamond VPN/FW – сервер прослушивает ip-адрес 192.168.1.1/24 и сетевой порт 12968 для протокола UDP. Для создания разрешающего правила фильтрации для входящего соединения от устройства МКСЗ Diamond VPN/FW – клиент необходимо в главном меню выбрать пункт «Межсетевой экран». Для добавления правила необходимо выбрать цепочку «input» и нажать на кнопку «Добавить правило» (см. рисунок 15).

Рисунок 15 – Создание разрешающего правила фильтрации для входящего соединения

В новом окне «Создание правила фильтрации» на вкладке «IP» в поле «Адрес источника» необходимо задать ip-адрес 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес 192.168.1.1, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 16).

Рисунок 16 – Окно «Создание правила фильтрации»

На вкладке «Протокол» в поле «Протокол» необходимо выбрать протокол UDP, в поле «Порт назначения» необходимо задать сетевой порт 12968 (см. рисунок 17).

Рисунок 17 – Настройка вкладки «Протокол»

На вкладке «Отслеживание соединений» необходимо установить флаг «Новое соединение», «Установленное соединение» и «Связанное соединение» (см. рисунок 18). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Accept» (см. рисунок 19). После задания всех параметров необходимо нажать на кнопку «ОК», для сохранения настроек необходимо нажать на кнопку «Сохранить» (см. рисунок 20).

Рисунок 18 – Положение флагов «Новое соединение», «Установленное соединение» и «Связанное соединение»

Рисунок 19 – Положение вкладки «Действие»

Рисунок 20 – Сохранение настроек

Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания разрешающего правила фильтрации необходимо создать запрещающее правило фильтрации для остального трафика. Для создания запрещающего правила фильтрации необходимо в таблице «Локальные правила» необходимо выбрать цепочку с правилами фильтрации для входящего трафика «input» и нажать на кнопку «Добавить правило». На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 21). После задания все полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 22).

Рисунок 21 – Положение вкладки «Действие»

Рисунок 22 – Сохранение правил фильтрации

Данный набор правил фильтрации разрешает сетевой трафик по протоколу UDP на порт номер 12968 с устройства МКСЗ Diamond VPN/FW c ip-адресом 172.16.16.150/32 к устройству МКСЗ Diamond VPN/FW c ip-адресом 192.168.1.1/32 и запрещает весь сетевой трафик для остальных устройств.

С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает весь трафик с устройства с ip-адресом 192.168.16.14/24 на устройство с ip-адресом 172.16.16.150/24 (см. рисунок 23).

Рисунок 23 – Схема фильтрации по ip-адресу

Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 24 ).

Рисунок 24 – Создание правила фильтрации

Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «IP» в поле «Адрес источника» необходимо задать ip-адрес источника сетевого трафик 192.168.16.14, в поле маска подсети необходимо задать маску подсети 255.255.255.255, в поле «Адрес назначения» необходимо задать ip-адрес назначения сетевого трафика 172.16.16.150, в поле маска подсети необходимо задать маску подсети 255.255.255.255 (см. рисунок 25). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 26).

Рисунок 25 – Окно «Создание правила фильтрации»

Рисунок 26 – Положение вкладки «Действие»

Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 27).

Рисунок 27 – Сохранение правил фильтрации

Данное правило фильтрации запрещает весь сетевой трафик с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.

С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено запрещающее правило фильтрации для протокола UDP (см. рисунок 28).

Рисунок 28 – Схема фильтрации по протоколу UDP

Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 29).

Рисунок 29 – Создание правил фильтрации

Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол UDP (см. рисунок 30). При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола UDP доступны следующие опции: сетевой порт источника и сетевой порт назначения. На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 31). Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации» (см. рисунок 32). После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить». Данное правило фильтрации запрещает сетевой трафик по протоколу UDP.

Рисунок 30 – Добавление правил фильтрации

Рисунок 31 – Положение поля «Действие»

Рисунок 32 – Сохранение правил фильтрации

С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP с порта 18654 на порт 4415 с установленным битом syn с устройства с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 (см. рисунок 33).

Рисунок 33 – Схема фильтрации по протоколу TCP

Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 34).

Рисунок 34 – Создание правила фильтрации

Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт источника» необходимо задать порт 18654, в поле «Порт назначения» необходимо задать 4415 порт, в поле «Флаги» необходимо установить флаг «syn» . При выборе типа протокола будут доступны дополнительные опции, которые поддерживает протокол. Для протокола TCP доступны следующие опции: сетевой порт источника и сетевой порт назначения (см. рисунок 35). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 36). Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 37).

Рисунок 35 – Выбор типа протокола

Рисунок 36 – Положение вкладки «Действие»

Рисунок 37 – Сохранение правила фильтрации

Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.

С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено правило фильтрации, которое запрещает трафик для протокола TCP на порт 80 с ip-адресом 192.168.16.14/24 к устройству с ip-адресом 172.16.16.150/24 c 9 до 18 часов по будням (см. рисунок 38).

Рисунок 38 – Схема фильтрации по расписанию

Для создания правила фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» (см. рисунок 39).

Рисунок 39 – Создание правила фильтрации

Для добавления правила фильтрации необходимо нажать на кнопку «Добавить правило». В новом окне на вкладе «Протокол» в поле «Протокол» необходимо выбрать протокол TCP, в поле «Порт назначения» необходимо задать 80 порт. На вкладке «Расписание» необходимо создать расписание для правила фильтрации. Для создания расписание необходимо нажать на кнопку «Добавить расписание» (см. рисунок 40).

Рисунок 40 – Положение вкладки «Расписание» и кнопки «Добавить расписание»

В новом окне необходимо установить флаг «Часы диапазон», в поле «Часы» необходимо задать время работы правила фильтрации и задать дни недели (см. рисунок 41). После задания расписания его можно изменить или удалить с помощью дополнительных кнопок «Обновить расписание» и «Удалить расписание» (см. рисунок 42). На вкладке «Действие» в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 43).

Рисунок 41 – Настройка расписания

Рисунок 42 – Вкладка «Расписание»

Рисунок 43 – Положение вкладки «Действие»

Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов» и «Логирование правила фильтрации». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 44). Данное правило фильтрации запрещает сетевой трафик по протоколу TCP с порта 18654 на порт 4415 с установленным битом «syn» с устройства c ip-адресом 192.168.16.14/32 к устройству c ip-адресом 172.16.16.150/32.

Рисунок 44 – Сохранение правила фильтрации

С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW, будет настроено разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415. Весь остальной сетевой трафик необходимо заблокировать с помощью запрещающего правила фильтрации с включенной опцией логирования (см. рисунок 45).

Рисунок 45 – Схема логирование правила фильтрации

Необходимо самостоятельно создать разрешающее правило фильтрации для протокола TCP с порта 18654 на порт 4415 в цепочке для транзитного трафика. Для создания запрещающего правила фильтрации с опцией логирования необходимо в главном меню выбрать пункт «Межсетевой экран», в окне «Локальные правила» необходимо выбрать цепочку «Forward» и нажать на кнопку «Добавить правило» (см. рисунок 46). В новом окне на вкладе «Действие» необходимо установить флаг «Логирование правила фильтрации», в поле «Префикс» необходимо задать префикс, который будет закреплен за данным правилом, в поле «Действие» необходимо выбрать действие «Drop» (см. рисунок 47). Чтобы проверить работу правила фильтрации можно использовать опцию «Счетчик пакетов». После задания всех полей необходимо нажать на кнопку «ОК», для сохранения правила фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 48).

Рисунок 46 – Создание правила фильтрации

Рисунок 47 – Положение вкладки «Действие» и кнопки «Логирование правила фильтрации»

Рисунок 48 – Сохранение правила фильтрации

Данное правило фильтрации разрешает сетевой трафик для протокола TCP с порта 18654 на порт 4415 и запрещает весь остальной трафик. При срабатывании запрещающего правила фильтрации устройство регистрирует все сетевые пакеты в журнале событий. Для просмотра журнала событий для межсетевого экрана необходимо в главном меню выбрать пункт «Журнал событий – Журнал межсетевого экрана» (см. рисунок 49).

Рисунок 49 – Просмотр «Журнала событий»

С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным (см. рисунок 50).

Рисунок 50 – Схема фильтрации на уровне L2

Для создания правила фильтрации на уровне L2 стандартной сетевой модели необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 51).

Рисунок 51 – Положение кнопки «Добавить таблицу»

В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 52).

Рисунок 52 – Окно «Добавить таблицу»

Далее необходимо выбрать новую таблицу «bridge» и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 53).

Рисунок 53 – Кнопка «Добавить цепочку»

В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 54).

Рисунок 54 – Окно добавить цепочку

После создания цепочки с типом «forward» необходимо создать правила фильтрации. Для создания правила фильтрации необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 55).

Рисунок 55 – Создание правил фильтрации

В новом окне необходимо задать параметры фильтрации и нажать на кнопку «ОК». Для примера, создано запрещающее правило фильтрации для протокола ICMP (см. рисунок 56). Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить».

Рисунок 56 – Сохранение правила фильтрации

С помощью настроек необходимо реализовать сценарий, по которому на устройстве МКСЗ Diamond VPN/FW будет настроено правило фильтрации для поля VLAN ID для второго уровня стандартной сетевой модели. Сетевой трафик на втором уровне стандартной сетевой модели не участвует в процессе маршрутизации и в сетевых пакетах не происходит подмены MAC адресов. Для сторонних устройств МКСЗ Diamond VPN/FW будет прозрачным. По сценарию разрешен сетевой трафик с метками VLAN ID 17/58/113 и запрещен трафик с метками VLAN ID 24/230 (см. рисунок 57).

Рисунок 57 – Схема фильтрации по меткам VLAN ID

Для создания правила фильтрации для метки VLAN ID необходимо в главном меню выбрать пункт «Межсетевой экран – Локальные правила». В таблице «Локальные правила» необходимо нажать на кнопку «Добавить таблицу» (см. рисунок 58).

Рисунок 58 – Положение кнопки «Добавить таблицу»

В новом окне «Добавить таблицу» в поле «Тип таблицы» необходимо выбрать пункт «bridge», в поле «Название таблицы» необходимо задать название таблицы – «bridge» (см. рисунок 59).

Рисунок 59 – Окно «Добавить таблицу»

Далее необходимо выбрать новую таблицу «bridge» и создать в ней цепочку для правил фильтрации. Для создания новой цепочку правил фильтрации необходимо нажать на кнопку «Добавить цепочку» (см. рисунок 60).

Рисунок 60 – Положение кнопки «Добавить цепочку »

В новом окне «Добавить цепочку» в поле «Тип цепочки правил» необходимо выбрать тип «forward» для транзитного трафика, в поле «Название цепочки правил» необходимо задать название – «forward» и нажать на кнопку «ОК» (см. рисунок 61).

Рисунок 61 – Окно «Добавить цепочку»

После создания цепочки с типом «forward» необходимо создать правила фильтрации для метки VLAN ID. Для создания запрещающего правила фильтрации для метки VLAN ID 24 и 230 необходимо выбрать цепочку «forward» в таблице «bridge» и нажать на кнопку «Добавить правило» (см. рисунок 62). В новом окне на вкладке «IEEE 802.1Q» в поле «Номер VLAN» необходимо задать номер VLAN ID 24 (см. рисунок 63). На вкладке «Действие» в поле «Действие» необходимо задать «Drop» (см. рисунок 64). После задания параметров фильтрации необходимо нажать на кнопку «ОК». Для сохранения правил фильтрации необходимо нажать на кнопку «Сохранить» (см. рисунок 65).

Рисунок 62 – Создание правила фильтрации

Рисунок 63 – Положение вкладки «IEEE 802.1Q»

Рисунок 64– Положение вкладки «Действие»

Рисунок 65 – Сохранение правила фильтрации

Аналогичным образом необходимо создать запрещающее правило фильтрации для метки VLAN ID 230 и разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113 (см. рисунок 66).

Рисунок 66 – Разрешающее правило фильтрации для метки VLAN ID 17, 58 и 113