Definování pravidel síťových paketů v jazyce XML
Firewall umožňuje exportovat pravidla síťových paketů ve formátu XML. Pak můžete soubor upravit, například přidat velké množství pravidel stejného typu.
Soubor XML obsahuje dva hlavní uzly: Rules a Resources. V uzlu Rules jsou uvedena pravidla síťových paketů. Tento uzel obsahuje pravidla nakonfigurovaná ve výchozím nastavení (předdefinovaná pravidla) i pravidla přidaná uživatelem (vlastní pravidla).
Kódování pravidel síťových paketů
<key name="0000">
<tDWORD name="RuleId">100</tDWORD>
<tDWORD name="RuleState">1</tDWORD>
<tDWORD name="RuleTypeId">4</tDWORD>
<tQWORD name="AppIdEx">0</tQWORD>
<tDWORD name="ResIdEx">812</tDWORD>
<tDWORD name="ResIdEx2">0</tDWORD>
<tDWORD name="AccessFlag">2</tDWORD>
</key>
Nastavení pravidla síťových paketů ve formátu XML
Parametr
|
Popis
|
Hodnota
|
<key name="0000">
|
Priorita pravidla. Čím nižší hodnota, tím vyšší priorita.
|
Celé číslo
Hodnota priority se musí skládat ze 4 číslic. Uzly v souboru XML musí být uspořádány podle hodnoty priority, počínaje hodnotou 0000.
|
RuleId
|
ID pravidla.
|
Předdefinovaná pravidla
100 – Požadavky na server DNS přes protokol TCP.
101 – Požadavky na server DNS přes protokol UDP.
102 – Odesílání e-mailových zpráv.
110 – Jakákoli síťová aktivita (Důvěryhodné sítě).
125 – Jakákoli síťová aktivita (Místní sítě).
130 – Síťová aktivita vzdálené plochy.
131 – Připojení TCP přes místní porty.
132 – Připojení UDP přes místní porty.
133 – Příchozí datový proud TCP.
134 – Příchozí datový proud UDP.
137 – Příchozí reakce na zprávu ICMP Cíl nedostupný.
138 – Příchozí pakety odpovědi na odezvu ICMP.
140 – Příchozí odezvy na zprávu ICMP Čas překročen.
142 – Příchozí datový proud ICMP.
266 – Příchozí pakety požadavku na odezvu ICMPv6.
|
RuleState
|
Stav pravidla.
|
0 – předdefinované pravidlo je zakázáno
1 – předdefinované pravidlo je povoleno
2 – vlastní pravidlo je zakázáno
3 – vlastní pravidlo je povoleno
|
RuleTypeId
|
ID typu pravidla.
|
4 – Pravidla síťových paketů.
|
AppIdEx
|
ID aplikace, ke které pravidlo síťového paketu patří.
|
Pokud pravidlo nepatří k žádné aplikaci, hodnota je 0.
|
ResIdEx
|
Hlavní ID prostředku s nastavením pravidel. Pomocí tohoto identifikátoru můžete vyhledávat blok s nastavením pravidel v uzlu Resources.
|
Celé číslo
|
ResIdEx2
|
ID typu sítě.
|
0 – Jakákoliv adresa.
50 – Důvěryhodné sítě.
51 – Místní sítě.
52 – Veřejné sítě.
<Network Identifier> – Adresy ze seznamu (adresy jsou definovány ručně).
|
AccessFlag
|
Hodnota parametru Akce.
|
0 – Povolit.
2 – Podle pravidel aplikace.
3 – Blokovat.
4 – Povolit a Protokolovat události.
6 – Podle pravidel aplikace a Protokolovat události.
7 – Blokovat a Protokolovat události.
|
</key>
|
|
|
Uzel Resources obsahuje nastavení pravidel síťových paketů. Nastavení vlastních pravidel síťových paketů je uvedeno v bloku <key name="0004">.
Kódování vlastních pravidel síťových paketů
<key name="0026">
<key name="Data">
<key name="RemotePorts"> </key>
<key name="LocalPorts"> </key>
<key name="AdapterBindings">
<key name="0000">
<key name="IpAddresses">
<key name="0000">
<key name="IP">
<key name="V6">
<tQWORD name="Hi">0</tQWORD>
<tQWORD name="Lo">0</tQWORD>
<tDWORD name="Zone">0</tDWORD>
<tSTRING name="ZoneStr"/>
</key>
<tBYTE name="Version">4</tBYTE>
<tDWORD name="V4">16909060</tDWORD>
<tBYTE name="Mask">32</tBYTE>
</key>
<key name="AddressIP"> </key>
<tSTRING name="Address"/>
</key>
</key>
<key name="MacAddresses">
<key name="0000">
<tDWORD name="Type">0</tDWORD>
<tQWORD name="AddressData0">1108152157446</tQWORD>
<tQWORD name="AddressData1">0</tQWORD>
</key>
</key>
<tSTRING name="AdapterName">ADAPTER TEST 123</tSTRING>
<tDWORD name="InterfaceType">3</tDWORD>
</key>
</key>
<tTYPE_ID name="unique">3213697024</tTYPE_ID>
<tBYTE name="Proto">2</tBYTE>
<tBYTE name="Direction">2</tBYTE>
<tBYTE name="IcmpType">0</tBYTE>
<tBYTE name="IcmpCode">0</tBYTE>
<tDWORD name="Flags">1</tDWORD>
<tBYTE name="TTL">255</tBYTE>
</key>
<key name="Childs"> </key>
<tDWORD name="Id">1073747214</tDWORD>
<tDWORD name="ParentID">7</tDWORD>
<tDWORD name="Flags">38</tDWORD>
<tSTRING name="Name">TEST1</tSTRING>
</key>
Nastavení vlastních pravidel síťových paketů
Parametr
|
Popis
|
Hodnota
|
<key name="Data">
|
ID bloku parametrů.
|
Celé číslo
|
RemotePorts
|
Hodnota parametru Vzdálené porty.
|
Seznam rozsahů vzdálených portů.
|
LocalPorts
|
Hodnota parametru Místní porty.
|
Seznam rozsahů místních portů.
|
AdapterBindings
|
Hodnota parametru Síťové adaptéry.
|
IpAddresses – hodnota parametru IP adresy.
MacAddresses – hodnota parametru Adresy MAC.
AdapterName – název síťového adaptéru.
InterfaceType – hodnota parametru Typ rozhraní:
0 – Ostatní.1 – Zpětná smyčka.2 – Kabelová síť (Ethernet).3 – Bezdrátová síť (Wi-Fi).4 – Tunelové propojení.5 – PPP připojení.6 – PPPoE připojení.7 – VPN připojení.8 – Modemové připojení.
|
unique
|
Interní ID struktury.
|
Celé číslo
Doporučujeme ponechat tento parametr beze změny.
|
Proto
|
Hodnota parametru Protokol.
|
0 – zakázáno.
1 – ICMP.
2 – IGMP.
6 – TCP.
17 – UDP.
47 – GRE.
58 – ICMPv6.
|
Direction
|
Hodnota parametru Směr.
|
1 – Příchozí (paket).
2 – Odchozí (paket).
3 – Příchozí/odchozí.
4 – Příchozí.
5 – Odchozí.
|
IcmpType
|
Hodnota parametru Typ ICMP.
|
Protokol ICMP
0 – Odpověď odezvy (ICMP) nebo zakázáno.
3 – Cíl nedostupný (ICMP).
4 – Zdroj vyčerpán.
5 – Přesměrovat.
6 – Alternativní adresa hostitele.
8 – Požadavek odezvy.
9 – Inzerování směrovače.
10 – Oslovení směrovače.
11 – Čas překročen.
12 – Chybný parametr.
13 – Timestamp.
14 – Odpověď časové značky.
15 – Požadavek na informace.
16 – Odpověď s informacemi.
17 – Požadavek masky adresy.
18 – Odpověď masky adresy.
30 – Traceroute.
31 – Chyba převodu datagramu.
32 – Přesměrování mobilního hostitele.
33 – IPv6 Where-Are-You.
34 – IPv6 I-Am-Here.
35 – Požadavek mobilní registrace.
36 – Odpověď mobilní registrace.
37 – Žádost o název domény.
38 – Odpověď na název domény.
40 – Photuris.
Protokol ICMPv6
1 – Cíl nedostupný.
2 – Paket je příliš velký.
3 – Čas překročen.
4 – Chybný parametr.
128 – Požadavek odezvy.
129 – Odpověď odezvy.
130 – Dotaz posluchače vícesměrového vysílání.
131 – Zpráva posluchače vícesměrového vysílání.
132 – Posluchač vícesměrového vysílání dokončen.
133 – Oslovení směrovače.
134 – Inzerování směrovače.
135 – Oslovení souseda.
136 – Inzerování souseda.
137 – Zpráva o přesměrování.
138 – Přečíslování směrovače.
139 – Dotaz na informace o uzlu ICMP.
141 – Zpráva oslovení inverzního protokolu Neighbor Discovery.
142 – Zpráva inzerování inverzního protokolu Neighbor Discovery.
143 – Verze 2 zprávy posluchače vícesměrového vysílání.
144 – Zpráva požadavku adresáře adresy domácího agenta.
145 – Zpráva odpovědi adresáře adresy domácího agenta.
146 – Oslovení mobilní předpony.
147 – Inzerování mobilní předpony.
148 – Zpráva oslovení cesty k certifikátu.
149 – Zpráva inzerování cesty k certifikátu.
151 – Inzerování směrovače vícesměrového vysílání.
152 – Oslovení směrovače vícesměrového vysílání.
153 – Ukončení směrovače vícesměrového vysílání.
|
IcmpCode
|
Hodnota parametru Kód ICMP.
|
0 – Kód 0 nebo zakázáno.
1 – Kód 1.
2 – Kód 2.
|
Flags
|
Ukazatel atributu struktury.
|
Celé číslo
Doporučujeme ponechat tento parametr beze změny.
|
TTL
|
Hodnota parametru Doba života (TTL).
|
Hodnota v sekundách. Je-li tato možnost zakázána, hodnota je 0.
|
</key>
|
|
|
Id
|
Hlavní ID prostředku (viz uzel Pravidla).
|
Celé číslo
|
ParentID
|
ID nadřazené skupiny.
|
Celé číslo
Doporučujeme ponechat tento parametr beze změny.
|
Flags
|
Stav pravidla.
|
6 – pravidlo je zakázáno.
38 – pravidlo je povoleno.
|
Name
|
Název pravidla síťových paketů.
|
Řetězec
|
Začátek stránky