Правила фильтрации (Firewall)

Для фильтрации входящего и исходящего трафика настройте правила межсетевого экрана. Фильтрация трафика выполняется в зависимости от направления, по которому этот трафик проходит через сетевой интерфейс

• local - трафик, который приходит непосредственно на адрес сетевого интерфейса

• in - трафик, входящий на сетевой интерфейс

• out - трафик, исходящий с сетевого интерфейса

Для настройки фильтрации трафика создайте набор правил и примените его к сетевому интерфейсу.

Для настройки правил фильтрации трафика выполните следующие команды:

# Создание группы объектов для правил межсетевого экрана
set firewall group network-group LAN-NET description 'LAN network'
set firewall group network-group LAN-NET network '172.16.100.0/24'
set firewall group network-group DMZ-NET description 'DMZ network'
set firewall group network-group DMZ-NET network '10.150.0.0/24'

# Настройка работы межсетевого экрана в режиме контроля состояния сессий
set firewall receive-redirects 'disable'
set firewall send-redirects 'disable'

# Создание набора правил для фильтрации входящего трафика на внешний интерфейс
set firewall name WAN-IN default-action 'drop'

# Создание набора правил для фильтрации локального трафика на внешнем интерфейсе
set firewall name WAN-LOCAL default-action 'drop'

# Создание набора правил для фильтрации исходящего с внешнего интерфейса трафика
set firewall name WAN-OUT default-action 'drop'
set firewall name WAN-OUT rule 10 action 'accept'
set firewall name WAN-OUT rule 10 source group network-group LAN-NET
set firewall name WAN-OUT rule 10 destination address 0.0.0.0/24
set firewall name WAN-OUT rule 10 description 'Allow LAB-NET to Internet'
set firewall name WAN-OUT rule 20 action 'accept'
set firewall name WAN-OUT rule 20 source group network-group DMZ-NET
set firewall name WAN-OUT rule 20 destination address 0.0.0.0/24
set firewall name WAN-OUT rule 20 destination port 'https, http'
set firewall name WAN-OUT rule 20 protocol 'tcp'
set firewall name WAN-OUT rule 20 description 'Allow DMZ-NET to Internet'

# Применение набора правил к сетевому интерфейсу
set interfaces ethernet eth2 firewall in name 'WAN-IN'
set interfaces ethernet eth2 firewall local name 'WAN-LOCAL'
set interfaces ethernet eth2 firewall out name 'WAN-OUT'

Для получения подробной информации о настройке правил фильтрации обратитесь к разделу Межсетевой экран.