12.10.3. Настройка правил инспектирования туннелей

Настройка правил инспектирования туннелей производится на уровне security-policy tunnel-inspection. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Необходимо задать следующие параметры:

Параметр

Описание

OK

PASS

Действие правила инспектирования туннелей:

  • OK -- Инспектировать.

  • PASS -- Не расшифровывать

enabled

Включение/отключение правила:

  • enabled(yes) или enabled(true).

  • enabled(no) или enabled(false).

name

Название правила инспектирования туннелей.

Например: name("Tunnel inspection rule example").

desc

Описание правила.

Например: desc("Tunnel inspection rule example configured via CLI").

service

Тип туннеля:

  • service = gre: инспектирование туннелей GRE.

  • service = gtpu: инспектирование туннелей GTP-U.

  • service = ipsec_null: инспектирование нешифрованных IPsec-туннелей

src.zone

Зона источника трафика.

Для указания зоны источника, например, Trusted: src.zone = Trusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

src.ip

Добавление списков IP-адресов или доменов источника.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

src.geoip

Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).

Коды названий стран доступны по ссылке ISO 3166-1.

dst.zone

Зона назначения трафика, например, dst.zone = "Tunnel inspection zone".

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

dst.ip

Добавление списков IP-адресов или доменов назначения.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов источника: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

dst.geoip

Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU).

Коды названий стран доступны по ссылке ISO 3166-1.