Skip to main content

Руководство пользователя

Межсетевой экран

Для защиты вашей локальной сети от атак и проникновения злоумышленников из интернета в роутерах серии Netcraze по умолчанию работает межсетевой экран.

В большинстве случаев настроек по умолчанию достаточно для обеспечения безопасности и не требуется дополнительная настройка межсетевого экрана. Но если это необходимо для решения определенных задач, интернет-центр предоставляет гибкие возможности по настройке правил сетевого экрана. Пользовательскими настройками можно изменять параметры безопасности: разрешать или, наоборот, запрещать доступ к конкретным хостам или сервисам сети.

Важно

По умолчанию домашняя сеть защищена от атак извне и доступ к управлению роутером (к веб-конфигуратору) из интернета заблокирован.

Упрощенно, сетевой экран можно представить как набор преднастроенных и пользовательских фильтров, причем, правила, настроенные пользователем, имеют более высокий приоритет выполнения.

Правила сетевого экрана выполняются в порядке их указания по списку: первое верхнее и далее вниз. Для любого правила должен быть определён интерфейс (подключение), на котором они будут выполняться.

В каждом из правил должны быть указаны:

  • сети источника трафика и его назначения (IP-адреса хостов или подсетей);

  • протокол, для которого будет действовать настройка (TCP, UDP, ICMP и др.);

  • для протоколов TCP и UDP обязательно должен быть указан номер порта;

  • действие, которое нужно выполнить над пакетом: Запретить или Разрешить.

    Важно

    В роутерах Netcraze правила сетевого экрана обрабатываются после правил трансляции сетевых адресов (NAT). Поэтому при создании правил межсетевого экрана необходимо указывать IP-адрес хоста уже после трансляции адресов.

Веб-конфигуратор интернет-центра предлагает наиболее удобный способ управления правилами межсетевого экрана.

Важно

Созданные через веб-конфигуратор правила применяются только к входящему трафику публичного (WAN) или локального (LAN) интерфейса.

Через интерфейс командной строки (CLI) интернет-центра возможно создавать правила для любого направления.

Настройка правил сетевого экрана производится на странице Межсетевой экран.

Чтобы добавить правило межсетевого экрана, выберите вкладку протокола IPv4 или IPv6, и нажмите Добавить правило. Правила применяются в том порядке, в каком они расположены в списке. Чтобы изменить порядок правил, перетащите строки в таблице.

Важно

Правила следует создавать для интерфейса, на котором фильтруемый трафик является входящим (инициирующим сессию).

firewall_01-en.png

В появившемся окне Правило межсетевого экрана выберите действие, которое нужно выполнить для входящих пакетов, и укажите условия, при которых это действие должно быть выполнено. В нашем примере для LAN-интерфейса Домашняя сеть создадим запрещающее правило, в котором укажем IP-адрес источника (IP-адрес компьютера, которому будет запрещен доступ). В результате этого правила будет заблокирован доступ в интернет только для одного хоста локальной сети с IP-адресом 192.168.1.35.

firewall_02-en.png

В поле Действие выберите действие — Разрешить прохождение трафика или Запретить, и далее указываются критерии-условия, при совпадении которых эти действия будут выполняться.

В поле Расписание работы можно добавить расписание, по которому будет работать данное правило.

Важно

При создании отсеивающих фильтров, разрешающие правила должны располагаться выше запрещающих.

В нашем примере было создано следующее запрещающее правило для интерфейса Домашняя сеть:

firewall_03-en.png

Чтобы добавить правила межсетевого экрана для протокола IPv6, перейдите на соответствующую вкладку и нажмите Добавить правило.

firewall_04-en.png

Пример разрешающего правила для внешнего WAN-интерфейса Ethernet-подключение:

firewall_05-en.png

Подсказка

Рекомендуем ознакомиться с инструкциями: