О правилах сетевого экрана

Правила сетевого экрана разделяются на служебные и пользовательские. Kaspersky IoT Secure Gateway 1000 поддерживает правила для протоколов TCP и UDP (только IPv4). Для этих протоколов включена инспекция сетевых пакетов с хранением состояния (англ. Stateful Packet Inspection). Дополнительно сетевой экран Kaspersky IoT Secure Gateway 1000 проверяет сетевой трафик на совпадение со списками запрещенных и разрешенных IP-адресов.

Служебные правила сетевого экрана

Служебные правила поставляются в составе Kaspersky IoT Secure Gateway 1000 и обеспечивают полноценную работу сетевого экрана Kaspersky IoT Secure Gateway 1000. Вы не можете изменять эти правила, и они не отображаются в Kaspersky Security Center 14.2 Web Console. Служебные правила разрешают следующие типы соединений Kaspersky IoT Secure Gateway 1000:

• исходящие соединения с Kaspersky Security Center 14.2 Web Console по протоколу TCP;
• входящие соединения с локальным веб-сервером по протоколу HTTPS;
• исходящие соединения с сервером Syslog по протоколам TCP, UDP;
• исходящие и входящие соединения с источниками MQTT-данных по протоколу TCP;
• исходящие и входящие соединения с внешними и внутренними серверами DNS по протоколу UDP;
• исходящие и входящие соединения с устройствами, объединенными в сетевой кластер (если активирован и настроен).

Пользовательские правила сетевого экрана

Вы можете создавать пользовательские правила сетевого экрана вручную, а также изменять или удалять правила этого типа. Изменения в конфигурации пользовательских правил применяются к системе после синхронизации Kaspersky IoT Secure Gateway 1000 и Kaspersky Security Center. Пользовательские правила сетевого экрана выполняются в заданном в Kaspersky Security Center 14.2 Web Console порядке сверху вниз. Вы можете создать до 512 пользовательских правил сетевого экрана. События о создании, изменении и удалении пользовательских правил, а также о достижении их предельного количества фиксируются в журнале событий.

Пользовательские правила также могут поставляться от сторонних средств обнаружения вторжений, с которыми интегрирован Kaspersky IoT Secure Gateway 1000 с помощью Kaspersky Security Center OpenAPI™.

Kaspersky IoT Secure Gateway 1000 не может самостоятельно обнаруживать атаки из внешней сети. Для этого требуется интеграция со сторонними средствами обнаружения вторжений. Kaspersky IoT Secure Gateway 1000 и средства обнаружения вторжений должны быть подключены к одному Серверу администрирования Kaspersky Security Center.

При обнаружении подозрительной сетевой активности или возможного вторжения из внешней сети сторонняя система обнаружения вторжений передает в Kaspersky IoT Secure Gateway 1000 правило для блокировки источника подозрительной сетевой активности. Kaspersky IoT Secure Gateway 1000 создает это правило в сетевом экране и на основании этого правила блокирует источник по IP-адресу.

Созданное правило действует бессрочно. При необходимости вы можете удалить правило вручную.

Вы можете просмотреть таблицу пользовательских правил сетевого экрана в Kaspersky Security Center 14.2 Web Console в разделе Сеть → Сетевой экран. Для каждого правила отображается следующая информация:

• Статус правила – статус активности пользовательского правила: Включено или Выключено.
• Действие – действие, применяемое к проходящему через сетевой экран трафику: Разрешить или Запретить.
• Область – область применения пользовательского правила: Внутренняя сеть или Внешняя сеть.
• IP-адрес (источник) – IP-адрес источника сетевого трафика.
• Порт (источник) – порт источника сетевого трафика.
• IP-адрес (получатель) – IP-адрес получателя сетевого трафика.
• Порт (получатель) – порт получателя сетевого трафика.
• Протокол – протокол, используемый при проверке сетевого трафика: TCP, UDP.

Существуют следующие ограничения для пользовательских правил сетевого экрана Kaspersky IoT Secure Gateway 1000:

• Не допускается в качестве IP-адреса источника и получателя сетевого трафика указывать доменное имя устройства (в том числе localhost – стандартное доменное имя для частных IP-адресов).
• Не допускается в качестве порта источника и получателя использовать служебные порты, зарезервированные системой: 53, 67, 68, 443, 13294, 1883, 8883, 514.