В данном разделе рассмотрены некоторые особенности обработки трафика межсетевым экраном UserGate NGFW.
Запрещающие правила UG NGFW в целях безопасности имеют некоторые особенности в обработке пакетов — это, в свою очередь, может приводить к ситуации с не очевидной блокировкой пакетов. В качестве примера рассмотрим следующую ситуацию:
Примечание
Параметр fw_established выключен.
В этом примере доступ из сети Trusted не будет работать, поскольку, несмотря на то, что при создании второго правила, автоматически будет добавлено разрешающее правило для входящих пакетов уже установленного соединения, эти пакеты будут заблокированы, поскольку запрещающие правила межсетевого экрана блокируют любой пакет попадающий под их условия, в т.ч. и пакеты уже установленных сессий. Соответственно, ответные пакеты для разрешенных правилами ниже сессий будут также заблокированы, поскольку сначала попадут под действие запрещающего правила.
Таким образом, для корректной работы межсетевого экрана:
-
Первый вариант: необходимо размещать запрещающие правила ниже разрешающих, чтобы сначала отработали разрешающие правила, в т.ч. по пакетам уже установленных соединений, а уже потом вступали в работу запрещающие правила.
В данном случае, все будет работать правильно, поскольку сначала отработают разрешающие правила, и лишь потом будет заблокирован трафик, который не попадет под действие этих правил.
-
Второй вариант: начиная с 6-й версии возможно через CLI установить значение fw_established в true – это создаст общее разрешающее правило для пакетов уже установленной сессии выше всех правил МЭ.
Примечание
Этот вариант является менее предпочтительным, поскольку это может привести к проблемам в журналировании всех пакетов и некорректной работе блокировки по приложениям.
Примечание
Вариант с fw_established обычно имеет смысл при большом количестве правил, и только в том случае, если вышеуказанные проблемы являются для вас несущественными.