Настройка правил фильтрации через командную строку

Вы можете настраивать и просматривать правила фильтрации трафика с помощью командной строки, используя семейство команд pf и mf. Описание семейств команд и ссылку на полный список команд для настройки работы Kaspersky NGFW вы можете найти в разделе Управление Kaspersky NGFW с помощью командной строки.

Фильтрация по MAC-адресам

Kaspersky NGFW поддерживает механизм предварительной фильтрации сетевых кадров на основе MAC-адресов отправителя и получателя. Настройка выполняется в командной строке, используя семейство команд mf, вне модуля фильтрации PF.

В зависимости от параметров фильтрация по MAC-адресам имеет следующие особенности:

• Фильтрация применяется до обработки NAT и PF.
• Сессия не создаётся при срабатывании правила.
• Проверка правил выполняется сверху вниз.
• Максимальное количество правил 100.
• Фильтрация работает на основе информации из заголовков протокола канального уровня.

Каждое правило может содержать:

• src-mac – MAC-адрес отправителя. Если не указан, применяется значение any.
• dst-mac – MAC-адрес получателя. Если не указан, применяется значение any.
• action – действие, allow (по умолчанию) или block.

В одном правиле можно указать только один MAC-адрес отправителя и только один MAC-адрес получателя. Диапазоны и списки не поддерживаются.

Дополнительные поля, описание и возможность перемещения правил отсутствуют.

Пример создания правила:

mac-filter <имя правила> src-mac <MAC-адрес отправителя> dst-mac <MAC-адрес получателя> action block.

Фильтрация HTTP методов

Kaspersky NGFW поддерживает возможность фильтрации HTTP методов в трафике, проходящем через правило фильтрации с включенным профилем антивируса.

Фильтрация поддерживается:

• В протоколе HTTP.
• В протоколе HTTP, при условии, что включена расшифровка SSL.

По умолчанию фильтрация по методам HTTP выключена.

Чтобы настроить включить фильтрацию трафика по HTTP методам:

1. Включите глобальный HTTP-фильтр, выполнив команду в командной строке:

   http-methods-filter> enable

2. Укажите список HTTP методов, которые необходимо блокировать, выполнив команду в командной строке:

   block-http-methods <список HTTP методов>

   Указанный список будет включен в фильтрацию.

Поддерживаются стандартные методы get, head, post, put, delete, connect, options, trace. Нестандартные методы не фильтруются и не блокируются.

Отправка пользовательских событий при фильтрации HTTP методов

При срабатывании фильтрации HTTP методов создается пользовательское событие. События отправляются только при включенной фильтрации и при срабатывании блокировки. Отправка события регулируется параметрами профиля антивируса в правиле фильтрации, к которому оно применяется.

Событие регистрируется в Журнал потокового и объектного антивируса.

Особенности пользовательского события:

Пользовательские события

Поле	Значение
msg	Название HTTP-метода
cs4	Low
cat	Unknown
fsize	-
cs1	-
cs3

В начало