Настройка правил фильтрации через командную строку

Вы можете настраивать и просматривать правила фильтрации трафика с помощью командной строки, используя семейства команд pf и mf. Описание семейств команд для настройки работы Kaspersky NGFW вы можете найти в документе Управление Kaspersky NGFW с помощью командной строки.

Фильтрация по MAC-адресам

Kaspersky NGFW поддерживает механизм предварительной фильтрации сетевых кадров на основе MAC-адресов отправителя и получателя. Настройка выполняется в командной строке с помощью семейства команд mf без использования модуля фильтрации PF.

В зависимости от параметров фильтрация по MAC-адресам имеет следующие особенности:

• Фильтрация применяется до обработки модулями NAT и PF.
• Сессия не создается при срабатывании правила.
• Проверка правил выполняется сверху вниз.
• Максимальное количество правил 100.
• Фильтрация работает на основе информации из заголовков протокола канального уровня.

Каждое правило может содержать одно из следующих значений:

• src-mac – MAC-адрес отправителя. Если значение не указано, применяется значение any.
• dst-mac – MAC-адрес получателя. Если значение не указано, применяется значение any.
• action – действие allow (по умолчанию) или block.

В одном правиле можно указать только один MAC-адрес отправителя и только один MAC-адрес получателя. Диапазоны и списки не поддерживаются.

Дополнительные поля, описание и возможность перемещения правил отсутствуют.

Пример создания правила: mac-filter <имя правила> src-mac <MAC-адрес отправителя> dst-mac <MAC-адрес получателя> action block.

Фильтрация HTTP-методов

Kaspersky NGFW поддерживает возможность фильтрации HTTP-методов в трафике, проходящем через правило фильтрации с включенным профилем Антивируса.

Фильтрация поддерживается:

• В протоколе HTTP, если включен Объектный антивирус.
• В протоколе HTTPS, если включена расшифровка SSL.

По умолчанию фильтрация HTTP-методов выключена.

Чтобы включить фильтрацию HTTP-методов:

1. Включите глобальный HTTP-фильтр, выполнив в командной строке следующую команду:

   http-methods-filter> enable

2. Укажите список HTTP-методов, которые необходимо блокировать, выполнив в командной строке следующую команду:

   block-http-methods <список HTTP-методов>

Указанный список будет включен в фильтрацию.

Поддерживаются стандартные HTTP-методы get, head, post, put, delete, connect, options, trace. Нестандартные HTTP-методы не фильтруются и не блокируются.

Отправка пользовательских событий при фильтрации HTTP-методов

При срабатывании фильтрации HTTP-методов создается пользовательское событие. События регистрируются в журнале Потокового и Объектного антивируса только при включенной фильтрации и при срабатывании блокировки. Регистрация события определяется параметрами профиля Антивируса, который применяется к правилу фильтрации HTTP-методов.

В таблице ниже описаны параметры пользовательского события.

Пользовательские события

Поле	Значение
msg	Название HTTP-метода
cs4	Low
cat	Unknown
fsize	–
cs1	–
cs3	–

В начало