¶ Создание списка доступа ACL
Для создания списка правил фильтрации необходимо в главном меню выбрать пункт «Межсетевой экран – Списки правил ACL». В таблице «Список правил ACL» представлены текущие списки доступа. Для создания нового списка доступа необходимо нажать на кнопку “Добавить”. Для удаления списка доступа необходимо выбрать его и нажать на кнопку “Удалить”.
По умолчанию список доступа создается с название “ACLi”, где i - это порядковый номер списка. Для переименования списка доступа необходимо дважды нажать на его название, в появившемся поле ввести новое название и нажать клавишу «Enter».
Правила фильтрации сохраняются в список доступа. Для просмотра текущих правил фильтрации для списка доступа необходимо в таблице “Список правил ACL” выбрать нужный список доступа, тогда в таблице “Правила фильтрации” отобразятся текущие правила фильтрации для заданного списка доступа. Для добавления правила фильтрации необходимо в таблице “Список правил ACL” выбрать нужный список доступа и в таблице “Правила фильтрации” нажать на кнопку “Добавить”. В новом окне необходимо задать параметры для правила фильтрации. После задания всех параметров для сохранения правила фильтрации необходимо нажать на кнопку “Сохранить”. Для удаления правила фильтрации необходимо выбрать его и нажать на кнопку “Удалить”.
Правила фильтрации в списке доступа выполняются в порядке следования сверху вниз. При помощи кнопки “Переместить вверх” и “Переместить вниз” можно изменить позицию правила фильтрации в общем списке. После изменения позиции необходимо сохранить изменения.
¶ Создание правила фильтрации
Для создания правила фильтрации необходимо в таблице “Список правил ACL” выбрать нужный список доступа, а в таблице “Правила фильтрации” нажать на кнопку “Добавить”. В новом окне “Настроить правило фильтрации” необходимо задать параметры для правила фильтрации.
Доступные параметры и их описание представлены в таблице ниже:
| Название раздела | Название параметра / доступные значения | Описание | |
| Ethernet | Физический адрес источника | MAC-адрес (Media Access Control) — это уникальный 48-битный (6-байтовый) идентификатор сетевого интерфейса источника, записываемый в шестнадцатеричном формате. Каждый байт может принимать значение от 00 до FF. | |
| Физический адрес назначения | MAC-адрес (Media Access Control) — это уникальный 48-битный (6-байтовый) идентификатор сетевого интерфейса назначения, записываемый в шестнадцатеричном формате. Каждый байт может принимать значение от 00 до FF. | ||
| Минимальная длина пакета | Параметр позволяет осуществлять фильтрацию по минимальному размеру сетевого пакета. | ||
| Максимальная длина пакета | Параметр позволяет осуществлять фильтрацию по максимальному размеру сетевого пакета. | ||
| Тип протокола | Тип протокола или EtherType определяет, какой сетевой протокол (L3) или служебный механизм используется в payload фрейма. Доступны следующие варианты: ipv4, arp, ipv6, vlan, rarp, lacp, other. Значение “other" позволяет ввести значение типа в шестнадцатеричном формате. | ||
| Приоритет | При выборе значения "EtherType" - “vlan” доступна возможность фильтровать данные по метке класса обслуживания “CoS”. Доступны следующие значения: BK, BE, EE, CA, VI, VO, IC, NC. | ||
| Номер Vlan | При выборе значения "EtherType" - “vlan” доступна возможность фильтровать данные по метке VLAN ID из расширенного диапазон от 0 до 4094. | ||
| IP | IP адрес источника | Параметр позволяет осуществлять фильтрацию по сетевому адресу источника. Данные необходимо задавать в формате ip адреса подсети и маски в формате префикса. | |
| Диапазон адресов источника | Параметр позволяет осуществлять фильтрацию по диапазону сетевых адресов источника. | ||
| IP адрес назначения | Параметр позволяет осуществлять фильтрацию по сетевому адресу назначения. Данные необходимо задавать в формате ip адреса подсети и маски в формате префикса. | ||
| Диапазон адресов назначения | Параметр позволяет осуществлять фильтрацию по диапазону сетевых адресов назначения. | ||
| Группа назначения | Параметр позволяет осуществлять фильтрацию по группе сетевых адресов. Группа сетевых адресов может использоваться как группа адресов источников, так и адресов назначения. | ||
| Протокол | ANY | Параметр позволяет осуществлять фильтрацию без учета протокола Layer4. | |
| TCP | Сетевой порт источника | Параметр позволяет осуществлять фильтрации на основе сетевого порта источника для протокола TCP. | |
| Группа сетевых портов источника | Параметр позволяет осуществлять фильтрацию на основе группы сетевых портов источников для протокола TCP. | ||
| Сетевой порт назначения | Параметр позволяет осуществлять фильтрации на основе сетевого порта назначения для протокола TCP. | ||
| Группа сетевых портов назначения | Параметр позволяет осуществлять фильтрацию на основе группы сетевых портов назначения для протокола TCP. | ||
| Флаги | Параметр позволяет осуществлять фильтрацию на основе флагов для протокола TCP. | ||
| UDP | Сетевой порт источника | Параметр позволяет осуществлять фильтрации на основе сетевого порта источника для протокола UDP. | |
| Группа сетевых портов источника | Параметр позволяет осуществлять фильтрацию на основе группы сетевых портов источников для протокола UDP. | ||
| Сетевой порт назначения | Параметр позволяет осуществлять фильтрации на основе сетевого порта назначения для протокола UDP. | ||
| Группа сетевых портов назначения | Параметр позволяет осуществлять фильтрацию на основе группы сетевых портов назначения для протокола UDP. | ||
| ICMP | ICMP тип | Параметр позволяет осуществить фильтрацию на основе поля ICMP тип. | |
| ICMP код | Параметр позволяет осуществить фильтрацию на основе поля ICMP код. | ||
| Действие | Permit | Действие позволяет пропускать сетевой трафик в режиме фильтрации без отслеживания соединения. | |
| Drop | Действие позволяет блокировать сетевой трафик в режиме фильтрации без отслеживания соединения. | ||
| Permit+Reflect | FTP |
Действие позволяет пропускать сетевой трафик в режиме фильтрации с отслеживанием соединения. Набор вспомогательных механизмов для отслеживания состояний соединений для протокола FTP, TFTP, PPTP, которые помогают анализировать и отслеживать сложные протоколы, требующие дополнительной обработки для корректной работы stateful-фильтрации. |
|
| TFTP | |||
| PPTP | |||
| Логирование | Периодически | Механизм позволяет фиксировать в журнале событий срабатывание правила фильтрации на периодической основе. При постоянной передаче сетевого трафика в журнал событий записывается одно событие раз в 30 секунд. | |
| Начало сессии | Механизм позволяет фиксировать в журнале событий срабатывание правила фильтрации при начале сессии. | ||
| Конец сессии | Механизм позволяет фиксировать в журнале событий срабатывание правила фильтрации при окончании сессии. | ||
| Начало и конец сессии | Механизм позволяет фиксировать в журнале событий срабатывание правила фильтрации при начале и окончании сессии. | ||
| Все | Механизм позволяет фиксировать в журнале событий срабатывание правила фильтрации для каждого сетевого пакета. Механизм может создавать сильную нагрузку на устройство и рекомендуется к использованию только на этапе отладки. | ||
| Комментарий | Параметр позволяет зафиксировать текстовое сообщение для заданного правила фильтрации. | ||
После создания правила фильтрации его параметры можно отредактировать. Для этого необходимо в таблице “Список правил ACL” выбрать заданные список доступа, в таблице “Правила фильтрации” выбрать заданное правило фильтрации и нажать на кнопку “Редактировать”.