О правилах сетевого экрана

Правила сетевого экрана разделяются на служебные и пользовательские. Kaspersky IoT Secure Gateway 1000 поддерживает правила для протоколов TCP и UDP (только IPv4). Для этих протоколов включена инспекция сетевых пакетов с хранением состояния (англ. Stateful Packet Inspection). Дополнительно сетевой экран Kaspersky IoT Secure Gateway 1000 проверяет сетевой трафик на совпадение со списками запрещенных и разрешенных IP-адресов.

Служебные правила сетевого экрана

Служебные правила поставляются в составе Kaspersky IoT Secure Gateway 1000 и обеспечивают полноценную работу сетевого экрана Kaspersky IoT Secure Gateway 1000. Вы не можете изменять эти правила, и они не отображаются в Kaspersky Security Center 14.2 Web Console. Служебные правила разрешают следующие типы соединений Kaspersky IoT Secure Gateway 1000:

• исходящие соединения с Kaspersky Security Center 14.2 Web Console по протоколу TCP;
• входящие соединения с локальным веб-сервером по протоколу HTTPS;
• исходящие соединения с сервером Syslog по протоколам TCP, UDP;
• исходящие и входящие соединения с источниками MQTT-данных по протоколу TCP;
• исходящие и входящие соединения с внешними и внутренними серверами DNS по протоколу UDP;
• исходящие и входящие соединения с устройствами, объединенными в сетевой кластер (если активирован и настроен).

Пользовательские правила сетевого экрана

Вы можете создавать пользовательские правила сетевого экрана вручную, а также изменять или удалять правила этого типа. Изменения в конфигурации пользовательских правил применяются к системе после синхронизации Kaspersky IoT Secure Gateway 1000 и Kaspersky Security Center. Пользовательские правила сетевого экрана выполняются в заданном в Kaspersky Security Center 14.2 Web Console порядке сверху вниз. Вы можете создать до 512 пользовательских правил сетевого экрана. События о создании, изменении и удалении пользовательских правил, а также о достижении их предельного количества фиксируются в журнале событий.

Пользовательские правила также могут поставляться от сторонних средств обнаружения вторжений, с которыми интегрирован Kaspersky IoT Secure Gateway 1000 с помощью Kaspersky Security Center OpenAPI™.

Kaspersky IoT Secure Gateway 1000 не может самостоятельно обнаруживать атаки из внешней сети. Для этого требуется интеграция со сторонними средствами обнаружения вторжений. Kaspersky IoT Secure Gateway 1000 и средства обнаружения вторжений должны быть подключены к одному Серверу администрирования Kaspersky Security Center.

При обнаружении подозрительной сетевой активности или возможного вторжения из внешней сети сторонняя система обнаружения вторжений передает в Kaspersky IoT Secure Gateway 1000 правило для блокировки источника подозрительной сетевой активности. Kaspersky IoT Secure Gateway 1000 создает это правило в сетевом экране и на основании этого правила блокирует источник по IP-адресу.

Созданное правило действует бессрочно. При необходимости вы можете удалить правило вручную.

Вы можете просмотреть таблицу пользовательских правил сетевого экрана в Kaspersky Security Center 14.2 Web Console в разделе Сеть → Сетевой экран. Для каждого правила отображается следующая информация:

• Статус правила – статус активности пользовательского правила: Включено или Выключено.
• Действие – действие, применяемое к проходящему через сетевой экран трафику: Разрешить или Запретить.
• Область – область применения пользовательского правила: Внутренняя сеть или Внешняя сеть.
• IP-адрес (источник) – IP-адрес источника сетевого трафика.
• Порт (источник) – порт источника сетевого трафика.
• IP-адрес (получатель) – IP-адрес получателя сетевого трафика.
• Порт (получатель) – порт получателя сетевого трафика.
• Протокол – протокол, используемый при проверке сетевого трафика: TCP, UDP.

Существуют следующие ограничения для пользовательских правил сетевого экрана Kaspersky IoT Secure Gateway 1000:

• Не допускается в качестве IP-адреса источника и получателя сетевого трафика указывать доменное имя устройства (в том числе localhost – стандартное доменное имя для частных IP-адресов).
• Не допускается в качестве порта источника и получателя использовать служебные порты, зарезервированные системой. В таблице ниже перечислены служебные порты и их назначение в Kaspersky IoT Secure Gateway 1000.

  Служебные порты, используемые Kaspersky IoT Secure Gateway 1000

  Служебный порт	Назначение
  53	Используется службой DNS.
  67	Используется службой DHCP.
  68	Используется службой DHCP.
  443	Зарезервирован для встроенного веб-сервера и по умолчанию используется для подключения к веб-интерфейсу Kaspersky IoT Secure Gateway 1000.
  514	Зарезервирован для встроенного клиента, передающего журналы событий на Syslog-сервер (если используется). Вы можете настроить параметры отправки событий на Syslog-сервер.
  1883	Зарезервирован для встроенного MQTT-брокера и используется для подключения по внутреннему сегменту сети.
  8883	Зарезервирован для встроенного MQTT-брокера и используется для синхронизации с облачными сервисами.
  13294	Используется для подключения к Серверу администрирования Kaspersky Security Center.
  25014	Зарезервирован для создания и отладки приложений и доступен для управления только в специальной версии Kaspersky IoT Secure Gateway 1000 для разработчика. Версия Kaspersky IoT Secure Gateway 1000 для разработчика поставляется в комплекте поставки Kaspersky IoT Secure Gateway 1000 SDK. Подробнее см. в справке Kaspersky IoT Secure Gateway 1000 SDK.

Правила сетевого экрана и правила фильтрации применяются для анализа трафика только в момент установления соединения по протоколу TCP.

В начало