Межсетевой экран

Для защиты вашей локальной сети от атак и проникновения злоумышленников из Интернета в роутерах серии Keenetic по умолчанию работает межсетевой экран.

В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана. Пользовательскими настройками можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети. 

NOTE: Важно! По умолчанию домашняя сеть защищена от атак извне и доступ к управлению интернет-центром (к веб-конфигуратору) из Интернета заблокирован.

Упрощенно, сетевой экран можно представить как набор преднастроенных и пользовательских фильтров, причем, правила, настроенные пользователем, имеют более высокий приоритет выполнения.

Правила сетевого экрана выполняются в порядке их указания по списку: первое верхнее и далее вниз. Для любого правила должен быть определён интерфейс (подключение), на котором они будут выполняться.

В каждом из правил должны быть указаны:

— сети источника трафика и его назначения (IP-адреса хостов или подсетей);
— протокол, для которого будет действовать настройка (TCP, UDP, ICMP и др.);
— для протоколов TCP и UDP обязательно должен быть указан номер порта;
— действие, которое нужно выполнить над пакетом: Запретить или Разрешить.

NOTE: Важно! В интернет-центрах Keenetic правила сетевого экрана обрабатываются после правил трансляции сетевых адресов (NAT). Поэтому при создании правил межсетевого экрана необходимо указывать IP-адрес хоста уже после трансляции адресов. 

Веб-конфигуратор интернет-центра предлагает наиболее удобный способ управления правилами межсетевого экрана.

NOTE: Важно! Созданные через веб-конфигуратор правила применяются только к входящему трафику публичного (WAN) или локального (LAN) интерфейса.
Через интерфейс командной строки (CLI) интернет-центра возможно создавать правила для любого направления.

Настройка правил сетевого экрана производится на странице "Межсетевой экран".

Чтобы добавить правило межсетевого экрана, выберите из списка интерфейс, на котором будет отслеживаться входящий трафик, и нажмите "Добавить правило". Правила применяются в том порядке, в каком они расположены в списке. Чтобы изменить порядок правил, перетащите строки в таблице. 

NOTE: Важно! Правила следует создавать для интерфейса, на котором фильтруемый трафик является входящим (инициирующим сессию).

firewall01.png

В появившемся окне "Правило межсетевого экрана" выберите действие, которое нужно выполнить для входящих пакетов, и укажите условия, при которых это действие должно быть выполнено. В нашем примере для интерфейса "Домашняя сеть" создадим запрещающее правило, в котором укажем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ). В результате этого правила будет заблокирован доступ в Интернет только для одного хоста локальной сети с IP-адресом 192.168.1.35.

firewall02.png

В поле "Действие" выберите действие — "Разрешить" прохождение трафика или "Запретить", и далее указываются критерии-условия, при совпадении которых эти действия будут выполняться.

В поле "Расписание работы" можно добавить расписание, по которому будет работать данное правило.

NOTE: Важно! При создании отсеивающих фильтров, разрешающие правила должны располагаться выше запрещающих.

В нашем примере было создано следующее запрещающее правило для интерфейса "Домашняя сеть":

firewall03.png

TIP: Совет: Рекомендуем ознакомиться с инструкциями:

С версии KeeneticOS 2.14.A.2.0-2 в веб-конфигураторе реализовано групповое копирование, перемещение и удаление правил межсетевого экрана: "Копирование, перемещение и удаление нескольких правил межсетевого экрана"

"Как реализован межсетевой экран?"

"Примеры использования правил межсетевого экрана"

"В каких случаях следует использовать правила переадресации портов и межсетевого экрана?"

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 6

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 4
  • Очень хотелось бы увидеть IDS вроде Suricata как у Synology (статистика, интерфейс настройки правил и все дела) на ваших роутерах. Уже более 10 лет выбираем ваши роутеры для SOHO и в 2019 реально не хватает расширенной безопасности в дополнении к обычному фаерволу.

    0
    Действия с комментариями Постоянная ссылка
  • Спасибо большое за выбор нашей продукции и за предложения по улучшению. Мы постоянно работаем над внедрением новых функций и современных протоколов. Что касается ваших предложений, конкретизируйте, пожалуйста, каких именно не хватает функций расширенной безопасности в наших роутерах и подробнее это распишите. О пожеланиях и предложениях по внедрению новых возможностей вы можете написать в службу технической поддержки или на форум наших разработчиков. Будем вам очень признательны за соучастие в развитии интернет-центров Keenetic.

    0
    Действия с комментариями Постоянная ссылка
  • Прошу рассмотреть возможность при создании правил межсетевого экрана добавить поля что-то вроде "Название правила" и "Примечания", т.к. правила создаются, а спустя много времени уже не помнишь для чего они и приходится тратить много времени на выяснение этого. Спасибо!

    0
    Действия с комментариями Постоянная ссылка
  • Спасибо за идею! Добавление такого поля действительно будет полезным. Ваше пожелание передадим разработчикам.

    0
    Действия с комментариями Постоянная ссылка

Войдите в службу, чтобы оставить комментарий.