Настройка пакетной фильтрации

В разделе Firewall поддерживается только настройка пакетной фильтрации – подраздел  Access  Rules.

В подразделе Access  Rules  поддерживается блокирование/разрешение прохождения пакетов по следующим признакам:

·       Source, Destination, Subnet

·       весь IP-трафик или конкретные предустановленные протоколы

·       для UDP и TCP протоколов допускается задание отдельных портов и диапазонов портов.

При создании правил пакетной фильтрации следует использовать рекомендуемые настройки и учитывать некоторые ограничения: 

·       не поддерживается перечисление портов и диапазонов портов

·       не допускается фильтрация по отдельным типам ICMP сообщений, только протокол ICMP целиком

·       перечисление в одном правиле нескольких сервисов (поле Services), принадлежащих UDP или TCP протоколу приведет к ошибке (например, HTTP и HTTPS, SNMP и SNMP-TRAP). Рекомендуется создавать отдельные правила для каждого из протоколов.
Сочетание сервисов, основанных на разных протоколах (например, HTTP, IPSec-ESP, SNMP) допустимо, но рекомендуется вообще отказаться от перечисления нескольких сервисов в одном правиле;

·       при создании или редактировании своего сервиса следует соблюдать следующие ограничения:

·       не следует задавать типы ICMP сообщений

·       для UDP и TCP протоколов:

·       допускается задать единичный номера порта

·       допускается задать один диапазон портов

·       допускается слово any для обозначения всего диапазона портов

·       не допускается перечисление портов и диапазонов портов

·       не допускаются модификаторы lt, gt, neq. Модификатор eq допускается, но его писать не обязательно.

·       при добавлении и редактировании Access Rule не следует менять следующие настройки Advanced:

·       Traffic Direction допускается только “In” (значение по умолчанию: для исходящего трафика будут работать неявные правила, симметричные правилам для входящего трафика);

·       не поддерживаются никакие дополнительные опции: Enable Logging (IOS), Options (IOS) – Fragment и Established и т.п.