В разделе Firewall поддерживается только настройка пакетной фильтрации – подраздел Access Rules.
В подразделе Access Rules поддерживается блокирование/разрешение прохождения пакетов по следующим признакам:
· Source, Destination, Subnet
· весь IP-трафик или конкретные предустановленные протоколы
· для UDP и TCP протоколов допускается задание отдельных портов и диапазонов портов.
При создании правил пакетной фильтрации следует использовать рекомендуемые настройки и учитывать некоторые ограничения:
· не поддерживается перечисление портов и диапазонов портов
· не допускается фильтрация по отдельным типам ICMP сообщений, только протокол ICMP целиком
· перечисление в одном правиле нескольких сервисов (поле Services), принадлежащих UDP или TCP протоколу приведет к ошибке (например, HTTP и HTTPS, SNMP и SNMP-TRAP). Рекомендуется создавать отдельные правила для каждого из протоколов.
Сочетание сервисов, основанных на разных протоколах (например, HTTP, IPSec-ESP, SNMP) допустимо, но рекомендуется вообще отказаться от перечисления нескольких сервисов в одном правиле;
· при создании или редактировании своего сервиса следует соблюдать следующие ограничения:
· не следует задавать типы ICMP сообщений
· для UDP и TCP протоколов:
· допускается задать единичный номера порта
· допускается задать один диапазон портов
· допускается слово any для обозначения всего диапазона портов
· не допускается перечисление портов и диапазонов портов
· не допускаются модификаторы lt, gt, neq. Модификатор eq допускается, но его писать не обязательно.
· при добавлении и редактировании Access Rule не следует менять следующие настройки Advanced:
· Traffic Direction допускается только “In” (значение по умолчанию: для исходящего трафика будут работать неявные правила, симметричные правилам для входящего трафика);
· не поддерживаются никакие дополнительные опции: Enable Logging (IOS), Options (IOS) – Fragment и Established и т.п.