Межсетевой экран#

Обзор#

Межсетевой экран на маршрутизаторе Факел — это встроенный инструмент анализа и фильтрации трафика. Обеспечивает защиту сети и отслеживает пакеты на всех этапах: с момента попадания на сетевой интерфейс и до передачи целевому приложению или другому устройству.

Более подробно каждая функция описана в соответствующем подразделе.

Список основных функций:

  • фильтрация IPv4- и IPv6-трафика согласно установленным правилам,

  • фильтрация согласно группам межсетевого экрана,

  • фильтрация согласно зонам доступа,

  • фильтрация согласно таблицам потоков,

  • работа в режиме моста,

  • анализ трафика и журналирование событий.

Маршрутизатор Факел распределяет пакеты по потокам — направлениям движения трафика. Существуют три основных потока: INPUT, FORWARD и OUTPUT. INPUT — для трафика, которому будет разрешен доступ во внутреннюю сеть маршрутизатора Факел. OUTPUT — это трафик, который маршрутизатор Факел инициирует сам и отправляет во внешнюю сеть. FORWARD — пропускает трафик мимо межсетевого экрана. Исключением являются зоны доступа, где вместо потока FORWARD используется поток LOCAL, который обозначает приложения, сервисы и процессы, запущенные на маршрутизаторе Факел.

Правила фильтрации настраиваются отдельно для каждого потока. База правил способна хранить до 999999 уникальных фильтрующих значений. В соответствии с заданными правилами пакеты будут допущены во внутреннюю сеть, отброшены или перенаправлены. Поддерживаются протоколы IPv4 и IPv6.

Компоненты межсетевого экрана настраиваются отдельно. Однако есть ряд команд, которые оказывают влияние на все элементы системы и применяются глобально. Этот раздел описывает глобальные команды.

Пример настройки#

Шаг

Команда

Описание

1

set firewall global-options all-ping enable

Включает отправку ответов на служебные ICMP-сообщения, адресованные локальным сервисам

2

set firewall global-options state-policy established action accept

Разрешает во внутреннюю сеть все входящие пакеты от установленных соединений

3

set firewall global-options state-policy invalid action drop

Отбрасывает без оповещения отправителя все входящие пакеты с неправильной информацией о TCP-состоянии

4

set firewall global-options state-policy related action accept

Разрешает все входящие пакеты, которые относятся к уже установленным соединениям, но не но не принадлежат к основному потоку, будут допущены во внутреннюю сеть

Список команд#


Режим «Конфигурирование»#


firewall global-options all-ping [<enable> | <disable>]#

Описание:
Включает или выключает отправку ответов на служебные ICMP-сообщения, адресованные локальным сервисам. Команда не будет иметь эффекта, если на межсетевом экране настроены правила, блокирующие ответы на служебные ICMP-сообщения.

Синтаксис:

  • set firewall global-options all-ping [<enable> | <disable>]

  • delete firewall global-options all-ping [<enable> | <disable>]

  • show firewall global-options all-ping

Аргументы:

  • <enable> — включает или выключает отправку ответов на служебные ICMP-сообщения;

  • <disable> — выключает отправку ответов на служебные ICMP-сообщения.

Режим: «Конфигурирование».

Примечание

Команда работает только на потоке LOCAL.

firewall global-options apply-to-bridged-traffic [<ipv4> | <ipv6>]#

Описание:
Применяет к IPv4- или IPv6-трафику, проходящему через межсетевой экран в режиме моста те же правила, которые применяются и к обычному трафику.

Синтаксис:

  • set firewall global-options apply-to-bridged-traffic [<ipv4> | <ipv6>]

  • delete firewall global-options apply-to-bridged-traffic [<ipv4> | <ipv6>]

  • show firewall global-options apply-to-bridged-traffic

Аргументы:

  • <ipv4> — применяет правила к IPv4-трафику;

  • <ipv6> — применяет правила к IPv6-трафику.

Режим: «Конфигурирование».

firewall global-options broadcast-ping [<enable> | <disable>]#

Описание:
Включает или выключает отправку ответов на широковещательные ICMP-сообщения.
Изменяет следующие параметры: net.ipv4.icmp_echo_ignore_broadcasts.

Синтаксис:

  • set firewall global-options broadcast-ping [<enable> | <disable>]

  • delete firewall global-options broadcast-ping [<enable> | <disable>]

  • show firewall global-options broadcast-ping

Аргументы:

  • <enable> — включает отправку ответов на широковещательные ICMP-сообщения;

  • <disable> — выключает отправку ответов на широковещательные ICMP-сообщения.

Режим: «Конфигурирование».

firewall global-options ip-src-route [<enable> | <disable>]#

Описание:
Включает или выключает маршрутизацию от источника для IPv4-трафика.
Изменяет следующие параметры ядра: net.ipv4.conf.all.accept_source_route.

Синтаксис:

  • set firewall global-options ip-src-route [<enable> | <disable>]

  • delete firewall global-options ip-src-route [<enable> | <disable>]

  • show firewall global-options ip-src-route

Аргументы:

  • <enable> — включает маршрутизацию от источника;

  • <disable> — выключает маршрутизацию от источника.

Режим: «Конфигурирование».

firewall global-options ipv6-src-route [<enable> | <disable>]#

Описание:
Включает или отключает маршрутизацию от источника для IPv6-трафика.
Изменяет следующие параметры ядра: net.ipv6.conf.all.accept_source_route.

Синтаксис:

  • set firewall global-options ipv6-src-route [<enable> | <disable>]

  • delete firewall global-options ipv6-src-route [<enable> | <disable>]

  • show firewall global-options ipv6-src-route

Аргументы:

  • <enable> — включает маршрутизацию от источника;

  • <disable> — выключает маршрутизацию от источника.

Режим: «Конфигурирование».

firewall global-options receive-redirects [<enable> | <disable>]#

Описание:
Включает или выключает прием ICMP-сообщений для перенаправления IPv4-трафика.
Изменяет следующие параметры ядра: net.ipv4.conf.all.accept_source_route.

Синтаксис:

  • set firewall global-options receive-redirects [<enable> | <disable>]

  • delete firewall global-options receive-redirects [<enable> | <disable>]

  • show firewall global-options receive-redirects

Аргументы:

  • <enable> — включает прием ICMP-сообщений для перенаправления IPv4-трафика;

  • <disable> — выключает прием ICMP-сообщений для перенаправления IPv4-трафика.

Режим: «Конфигурирование».

firewall global-options resolver-cache#

Описание:
Сохраняет в локальный кэш IP-адреса, недавно полученные от DNS-преобразователя.

Синтаксис:

  • set firewall global-options resolver-cache

  • delete firewall global-options resolver-cache

  • show firewall global-options

Режим: «Конфигурирование».

firewall global-options resolver-interval <10-3600>#

Описание:
Задает периодичность, с которой межсетевой экран будет обращаться к DNS-преобразователю для получения IP-адреса ресурса.

Синтаксис:

  • set firewall global-options resolver-interval <10-3600>

  • delete firewall global-options resolver-interval <10-3600>

  • show firewall global-options resolver-interval

Аргументы:

  • <10-3600> — временной интервал. Формат: секунды. Диапазон значений: от 10 до 3600. Значение по умолчанию: 300 секунд.

Режим: «Конфигурирование».

firewall global-options ipv6-receive-redirects [<enable> | <disable>]#

Описание:
Включает или выключает прием ICMP-сообщений для перенаправления IPv6-трафика.
Изменяет следующие параметры ядра: net.ipv6.conf.all.accept_source_route.

Синтаксис:

  • set firewall global-options ipv6-receive-redirects [<enable> | <disable>]

  • delete firewall global-options ipv6-receive-redirects [<enable> | <disable>]

  • show firewall global-options ipv6-receive-redirects

Аргументы:

  • <enable> — включает прием ICMP-сообщений для перенаправления IPv6-трафика;

  • <disable> — выключает прием ICMP-сообщений для перенаправления IPv6-трафика.

Режим: «Конфигурирование».

firewall global-options send-redirects [<enable> | <disable>]#

Описание:
Включает или выключает отправку ICMP-сообщений для перенаправления IPv4-трафика.
Изменяет следующие параметры: net.ipv4.conf.all.send_redirects.

Синтаксис:

  • set firewall global-options send-redirects [<enable> | <disable>]

  • delete firewall global-options send-redirects [<enable> | <disable>]

  • show firewall global-options send-redirects

Аргументы:

  • <enable> — включает отправку ICMP-сообщений для перенаправления IPv4-трафика;

  • <disable>— выключает отправку ICMP-сообщений для перенаправления IPv4-трафика.

Режим: «Конфигурирование».

firewall global-options log-martians [<enable> | <disable>]#

Описание:
Включает или выключает журналирование IPv4-пакетов с заведомо некорректными адресами.
Изменяет следующие параметры ядра: net.ipv4.conf.all.log_martians.

Синтаксис:

  • set firewall global-options log-martians [<enable> | <disable>]

  • delete firewall global-options log-martians [<enable> | <disable>]

  • show firewall global-options log-martians

Аргументы:

  • <enable> — включает журналирование IPv4-пакетов с заведомо некорректными адресами;

  • <disable> — выключает журналирование IPv4-пакетов с заведомо некорректными адресами.

Режим: «Конфигурирование».

firewall global-options syn-cookies [<enable> | <disable>]#

Описание:
Включает или выключает механизм защиты SYN-cookie для IPv4 TCP.
Изменяет следующие параметры ядра: net.ipv4.tcp_syncookies.

Синтаксис:

  • set firewall global-options syn-cookies [<enable> | <disable>]

  • delete firewall global-options syn-cookies [<enable> | <disable>]

  • show firewall global-options syn-cookies

Аргументы:

  • <enable> — включает механизм защиты SYN-cookie для IPv4 TCP;

  • <disable> — выключает механизм защиты SYN-cookie для IPv4 TCP.

Режим: «Конфигурирование».

firewall global-options twa-hazards-protection [<enable> | <disable>]#

Описание:
Включает или выключает защиту от атаки в режиме ожидания после закрытия TCP-сессии. Если защита включена, система будет работать в соответствии с требованиями RFC 1337.
Изменяет следующие параметры ядра: net.ipv4.tcp_rfc1337.

Синтаксис:

  • set firewall global-options twa-hazards-protection [<enable> | <disable>]

  • delete firewall global-options twa-hazards-protection [<enable> | <disable>]

  • show firewall global-options twa-hazards-protection

Аргументы:

  • <enable> — включает защиту от атаки в режиме ожидания после закрытия TCP-сессии;

  • <disable> — выключает защиту от атаки в режиме ожидания после закрытия TCP-сессии.

Режим: «Конфигурирование».

firewall global-options state-policy established action [<accept> | <drop> | <reject>]#

Описание:
Включает различные режимы допуска входящих пакетов от установленных соединений.

Синтаксис:

  • set firewall global-options state-policy established action [<accept> | <drop> | <reject>]

  • delete firewall global-options state-policy established action [<accept> | <drop> | <reject>]

  • show firewall global-options state-policy established action [<accept> | <drop> | <reject>]

Аргументы:

  • <accept> — все входящие пакеты от установленных соединений будут допущены во внутреннюю сеть;

  • <drop> — все входящие пакеты от установленных соединений будут отброшены без оповещения отправителя;

  • <reject> — все входящие пакеты от установленных соединений будут отброшены, а отправитель получит сообщение о недоступности адреса назначения.

Режим: «Конфигурирование».

firewall global-options state-policy established log#

Описание:
Включает журналирование для установленных соединений.

Синтаксис:

  • set firewall global-options state-policy established log

  • delete firewall global-options state-policy established log

  • show firewall global-options state-policy established

Режим: «Конфигурирование».

firewall global-options state-policy established log-level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]#

Описание:
Устанавливает, какие события система будет журналировать при поступлении трафика от установленных соединений.

Синтаксис:

  • set firewall global-options state-policy established log-level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • delete firewall global-options state-policy established log-level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • show firewall global-options state-policy established log-level

Аргументы:

  • <emerg> — самый высокий уровень опасности. Система не отвечает. Пример: нарушена безопасность периметра сети, потерян контроль над межсетевым экраном;

  • <alert> — система находится под серьезной угрозой. Немедленно предпримите необходимые действия. Пример: большой наплыв трафика, вероятность DDoS-атаки;

  • <crit> — система находится в критическом состоянии. Если не предпринять действий, состояние системы ухудшится. Пример: классификатор не применился к правилу;

  • <err> — ошибка в работе системы. Система продолжит работать, однако потребует внимания. Пример: заканчивается место на диске;

  • <warn> — предупреждение. Возможно, система столкнулась с проблемой. Пример: большинство входящих пакетов отвергнуты, отредактируйте правила фильтрации;

  • <notice> — уведомление. Состояние системы в норме. Возможно, были изменены некоторые компоненты системы или система была обновлена. Пример: успешно обновлены правила фильтрации;

  • <info> — информационные сообщения о статусе системы. Состояние системы в норме. Пример: межсетевой экран работает в штатном режиме;

  • <debug> — детализированная отладочная информация. Пример: система выводит информацию об IP-адресах, адресах источника и назначения, протоколах передачи и т.д.

Режим: «Конфигурирование».

firewall global-options state-policy invalid action [<accept> | <drop> | <reject>]#

Описание: Устанавливает, какие действия должна предпринять система при обнаружении пакетов с неправильной информацией о TCP-состоянии.

Синтаксис:

  • set firewall global-options state-policy invalid action [<accept> | <drop> | <reject>]

  • delete firewall global-options state-policy invalid action [<accept> | <drop> | <reject>]

  • show firewall global-options state-policy invalid action

Аргументы:

  • <accept> — все входящие пакеты с неправильной информацией о TCP-состоянии будут допущены во внутреннюю сеть;

  • <drop> — все входящие пакеты с неправильной информацией о TCP-состоянии будут отброшены без оповещения отправителя;

  • <reject> — все входящие пакеты с неправильной информацией о TCP-состоянии будут отброшены, а отправитель получит сообщение о недоступности адреса назначения.

Режим: «Конфигурирование».

firewall global-options state-policy invalid log#

Описание:
Включает журналирование недопустимых пакетов.

Синтаксис:

  • set firewall global-options state-policy invalid log

  • delete firewall global-options state-policy invalid log

  • show firewall global-options state-policy invalid

Режим: «Конфигурирование».

firewall global-options state-policy invalid log-level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]#

Описание:
Устанавливает, какие события система будет журналировать при поступлении недопустимых пакетов.

Синтаксис:

  • set firewall global-options state-policy invalid log-level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • delete firewall global-options state-policy invalid log-level [<emerg> | <alert> | <crit> | <err> | <warn> | <notice> | <info> | <debug>]

  • show firewall global-options state-policy invalid log-level

Аргументы:

  • <emerg> — самый высокий уровень опасности. Система не отвечает. Пример: нарушена безопасность периметра сети, потерян контроль над межсетевым экраном;

  • <alert> — система находится под серьезной угрозой. Немедленно предпримите необходимые действия. Пример: большой наплыв трафика, вероятность DDoS-атаки;

  • <crit> — система находится в критическом состоянии. Если не предпринять действий, состояние системы ухудшится. Пример: классификатор не применился к правилу;

  • <err> — ошибка в работе системы. Система продолжит работать, однако потребует внимания. Пример: заканчивается место на диске;

  • <warn> — предупреждение. Возможно, система столкнулась с проблемой. Пример: большинство входящих пакетов отвергнуты, отредактируйте правила фильтрации;

  • <notice> — уведомление. Состояние системы в норме. Возможно, были изменены некоторые компоненты системы или система была обновлена. Пример: успешно обновлены правила фильтрации;

  • <info> — информационные сообщения о статусе системы. Состояние системы в норме. Пример: межсетевой экран работает в штатном режиме;

  • <debug> — детализированная отладочная информация. Пример: система выводит информацию об IP-адресах, адресах источника и назначения, протоколах передачи и т.д.

Режим: «Конфигурирование».