Вы можете создать до 20 000 правил фильтрации. При достижении этого ограничения отображается предупреждение.
Чтобы создать правило фильтрации:
В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисы → NGFW.
Откроется вкладка Политика.
В разделе Сетевой экран выберите Правила фильтрации.
В верхней части рабочей области нажмите на кнопку Создать.
Откроется окно создания правила фильтрации.
Новому правилу автоматически присваивается уникальный номер – UUID.
Перейдите в раздел Общее и выполните следующие действия:
Если вы хотите применить правило сразу после добавления, оставьте переключатель Статус в положении Вкл. Чтобы правило не применялось, установите переключатель в положение Выкл. По умолчанию переключатель установлен в положение Вкл.
При необходимости включите запись в журнал события о начале или завершении сессии. Если запись в журнал включена, то событие о начале или завершении сессии, которая попадает под это правило фильтрации, записывается в хранилище в SIEM-системе. Запись в журнал события о начале и завершении сессий может быть использована для расследования инцидентов.
По умолчанию запись в журнал выключена.
В поле Название введите название нового правила.
Название правила должно быть уникальным в списке правил. Максимальная длина – 128 символов.
При необходимости в поле Описание введите произвольное описание правила.
Максимальная длина – 256 символов.
Если вы хотите изменить приоритет создаваемого правила, в поле Приоритет задайте позицию правила в таблице.
По умолчанию правило сохраняется в конце таблицы перед предустановленным правилом.
Выберите действие, которое будет применяться к трафику, соответствующему критериям этого правила:
Разрешать – разрешить весь трафик.
Блокировать – блокировать трафик, пакеты этой сессии не пропускаются.
Проверять – разрешить и включить проверку трафика механизмами безопасности.
Сбросить соединение в обе стороны – блокировать трафик и отправлять TCP RST в сторону клиента и в сторону сервера для TCP-сессий.
По умолчанию в новом правиле применяется действие Блокировать.
Проверка механизмами безопасности выполняется, только если в правиле фильтрации выбрано действие Проверять.
Вы можете изменить выбранное действие позже при изменении правила.
Если вы выбрали действие Проверять, в блоке Механизмы безопасности станет доступен раскрывающийся список групп профилей безопасности. Выберите группу профилей безопасности, которая будет применяться к трафику для этого правила. Вы можете выбрать ранее созданную группу либо создать новую, нажав на кнопку Создать.
По умолчанию применяется предустановленная группа профилей безопасности, в которую входят предустановленные профили механизмов безопасности.
Если вы хотите, чтобы правило работало только в определенные дни недели в определенные часы или в установленный период, в блоке Расписание выберите тип и название расписания. Вы можете выбрать ранее созданное расписание либо создать новое.
Если вы хотите настроить фильтрацию по квалификатору источника, перейдите в раздел Источник и выполните следующие действия:
Настройте параметры квалификатора, выбрав вариант Выбранные.
По умолчанию выбран вариант Все.
Перейдите на вкладку типа источника, который вы хотите добавить:
Адреса. Вы можете добавить и при необходимости изменить существующий адрес, а также создать новый:
Чтобы добавить в правило существующий адрес, установите переключатель рядом с необходимым адресом в положение Вкл. Вы можете изменить существующий адрес, установив флажок рядом с ним и нажав на кнопку Изменить.
Чтобы добавить несколько существующих адресов, установите флажки рядом с нужными адресами и нажмите Использовать в правиле.
Чтобы создать новый адрес, нажмите Создать. Выберите тип адреса: хост, диапазон адресов или подсеть и введите необходимые IP-адреса. Затем нажмите Создать.
Подробнее о создании и изменении адресов см. в разделе о работе с адресами.
Соответствующий адрес отобразится или изменится в списке адресов на вкладке Адреса.
Зоны безопасности. Вы можете добавить и при необходимости изменить существующую зону безопасности, а также создать новую:
Чтобы добавить в правило предустановленную или существующую зону безопасности, установите переключатель рядом с необходимой зоной безопасности в положение Вкл. Вы можете изменить существующую зону безопасности, установив флажок рядом с ней и нажав на кнопку Изменить. Для предустановленных зон безопасности вы можете изменить только описание.
Чтобы добавить несколько существующих зон безопасности, установите флажки рядом с нужными зонами безопасности и нажмите Использовать в правиле.
Чтобы создать новую зону безопасности, нажмите Создать. Введите название и описание. Затем нажмите Создать.
Вы можете добавить в правило не более 1000 зон безопасности.
Соответствующая зона безопасности отобразится или изменится в таблице в разделе Зоны безопасности.
Вы можете добавить только зоны безопасности одного типа – L2 или L3. Если вы добавили в правило одну или несколько зон безопасности одного типа (в разделе Источник или в разделе Назначение), в таблице будут отображаться только зоны безопасности того же типа (например, только зоны типа L2). Зоны другого типа будут скрыты. Вы не сможете добавить их в правило, пока не удалите из правила все зоны безопасности другого типа. Это ограничение применяется, только если вы выбрали вариант Выбранные для настройки параметров квалификатора.
Правило будет применено к трафику только если исходный интерфейс устройства добавлен в зону, указанную в правиле в качестве источника, а целевой интерфейс добавлен в зону, указанную в правиле в качестве назначения.
Пользователи и группы. Вы можете настроить фильтрацию, выбрав в качестве источника пользователя или группу пользователей.
Для добавления пользователя или группы пользователей нажмите Добавить и в открывшемся окне в параметре Тип выберите Пользователь или Группа. В поле Имя введите имя пользователя или группы пользователей точно так, как указано в Active Directory.
В одно правило вы можете добавить до 16 записей разных типов.
Если вы хотите настроить фильтрацию по квалификатору назначения, перейдите в раздел Назначение. Настройка параметров адресов и зон безопасности в разделе аналогичны разделу Источник.
Также в квалификаторе назначения вы можете настроить фильтрацию по FQDN (полным доменным именам). Вы можете добавить и при необходимости изменить существующее доменное имя:
Чтобы добавить в правило существующее доменное имя, установите переключатель рядом с необходимым именем в положение Вкл. Вы можете изменить существующее доменное имя, установив флажок рядом с ним и нажав на кнопку Изменить.
Чтобы добавить несколько существующих доменных имен, установите флажки рядом с нужными именами и нажмите Использовать в правиле.
Чтобы создать новое доменное имя, нажмите Создать. Введите название, описание, адрес DNS-сервера, название VRF и доменные имена. Затем нажмите Создать.
В одно правило вы можете добавить до 16 записей разных типов.
Если вы хотите настроить фильтрацию по квалификатору сервисов, перейдите в раздел Сервисы и выполните следующие действия:
Настройте параметры квалификатора, выбрав вариант Выбранные.
По умолчанию выбран вариант Все.
Добавьте из списка существующий сервис, создайте новый или измените существующий:
Чтобы добавить в правило существующий сервис, в строке с необходимым сервисом включите переключатель в столбце Используется в правиле. Вы можете изменить существующий сервис, нажав на его название.
Чтобы добавить несколько существующих сервисов, установите флажки рядом с нужными сервисами и нажмите Использовать в правиле.
Чтобы создать новый сервис, нажмите Создать. Введите название, описание, добавьте необходимый протокол, настройте обязательные параметры протокола и нажмите Создать.
В одно правило вы можете добавить до 16 сервисов.
Подробнее о создании и изменении сервисов см. в разделе Сервисы.
Соответствующий сервис отобразится или изменится в списке сервисов на вкладке Сервисы.
Если вы хотите настроить фильтрацию по квалификатору приложения, перейдите в раздел Приложения и укажите следующие критерии фильтрации по приложениям:
Если вы хотите указать прикладные протоколы, в раскрывающемся списке Прикладные протоколы выберите нужные протоколы. Kaspersky NGFW также поддерживает фильтрацию VPN-протоколов, например OpenVPN, IPSec IKEv1/v2, WireGuard и DNS tunnel, которые доступны для выбора в раскрывающемся списке.
В сессиях, в которых передача трафика осуществляется через протокол QUIC, невозможно определить прикладные сервисы или клиентское приложение.
Если вы хотите указать клиентские приложения, в раскрывающемся списке Клиентские приложения выберите нужные приложения.
Если вы хотите указать сервисы приложений, в блоке Прикладные сервисы выберите вариант Выбрать в списке и установите флажки рядом с отдельными сервисами или категориями сервисов. Для быстрого поиска нужного сервиса вы можете воспользоваться строкой поиска.
Сервисы разделены на тематические категории. Каждый сервис может входить в одну или несколько категорий.
Вы можете добавить один или несколько параметров в качестве фильтров протоколов, приложений и прикладных сервисов.
Если вы настраиваете фильтрацию по нераспознанным приложениям, в раскрывающихся списках Прикладные протоколы, Клиентские приложения или Прикладные сервисы выберите Unknown. К нераспознанным приложениям будет применено действие, указанное в правиле фильтрации.
Подробнее о работе фильтрации по приложениям см. в разделе Контроль приложений.
Сохраните правило, нажав Создать.
Новое правило будет добавлено в список.
Примените изменения к политике OSMP, нажав на кнопку Применить и отправить.
Новое правило фильтрации не применяется к сессиям, установленным до создания этого правила фильтрации.