В разделе Firewall поддерживается только настройка пакетной фильтрации – подраздел Access Rules.
В подразделе Access Rules поддерживается блокирование/разрешение прохождения пакетов по следующим признакам:
Source, Destination, Subnet
весь IP-трафик или конкретные предустановленные протоколы
для UDP и TCP протоколов допускается задание отдельных портов и диапазонов портов.
При создании правил пакетной фильтрации следует использовать рекомендуемые настройки и учитывать некоторые ограничения:
не поддерживается перечисление портов и диапазонов портов
не допускается фильтрация по отдельным типам ICMP сообщений, только протокол ICMP целиком
перечисление в одном правиле нескольких сервисов (поле
Services), принадлежащих UDP или TCP протоколу приведет к ошибке (например,
HTTP и HTTPS, SNMP и SNMP-TRAP). Рекомендуется создавать отдельные правила
для каждого из протоколов.
Сочетание сервисов, основанных на разных протоколах (например, HTTP, IPSec-ESP,
SNMP) допустимо, но рекомендуется вообще отказаться от перечисления нескольких
сервисов в одном правиле;
при создании или редактировании своего сервиса следует соблюдать следующие ограничения:
не следует задавать типы ICMP сообщений
для UDP и TCP протоколов:
допускается задать единичный номера порта
допускается задать один диапазон портов
допускается слово any для обозначения всего диапазона портов
не допускается перечисление портов и диапазонов портов
не допускаются модификаторы lt, gt, neq. Модификатор eq допускается, но его писать не обязательно.
при добавлении и редактировании Access Rule не следует менять следующие настройки Advanced:
Traffic Direction допускается только “In” (значение по умолчанию: для исходящего трафика будут работать неявные правила, симметричные правилам для входящего трафика);
не поддерживаются никакие дополнительные опции: Enable Logging (IOS), Options (IOS) – Fragment и Established и т.п.