О правилах сетевого экрана
Правила сетевого экрана разделяются на служебные и пользовательские. Kaspersky IoT Secure Gateway 1000 поддерживает правила для протоколов TCP и UDP (только IPv4). Для этих протоколов включена инспекция сетевых пакетов с хранением состояния (англ. Stateful Packet Inspection). Дополнительно сетевой экран Kaspersky IoT Secure Gateway 1000 проверяет сетевой трафик на совпадение со списками запрещенных и разрешенных IP-адресов.
Служебные правила сетевого экрана
Служебные правила поставляются в составе Kaspersky IoT Secure Gateway 1000 и обеспечивают полноценную работу сетевого экрана Kaspersky IoT Secure Gateway 1000. Вы не можете изменять эти правила, и они не отображаются в Kaspersky Security Center 14.2 Web Console. Служебные правила разрешают следующие типы соединений Kaspersky IoT Secure Gateway 1000:
- исходящие соединения с Kaspersky Security Center 14.2 Web Console по протоколу TCP;
- входящие соединения с локальным веб-сервером по протоколу HTTPS;
- исходящие соединения с сервером Syslog по протоколам TCP, UDP;
- исходящие и входящие соединения с источниками MQTT-данных по протоколу TCP;
- исходящие и входящие соединения с внешними и внутренними серверами DNS по протоколу UDP;
- исходящие и входящие соединения с устройствами, объединенными в сетевой кластер (если активирован и настроен).
Пользовательские правила сетевого экрана
Вы можете создавать пользовательские правила сетевого экрана вручную, а также изменять или удалять правила этого типа. Изменения в конфигурации пользовательских правил применяются к системе после синхронизации Kaspersky IoT Secure Gateway 1000 и Kaspersky Security Center. Пользовательские правила сетевого экрана выполняются в заданном в Kaspersky Security Center 14.2 Web Console порядке сверху вниз. Вы можете создать до 512 пользовательских правил сетевого экрана. События о создании, изменении и удалении пользовательских правил, а также о достижении их предельного количества фиксируются в журнале событий.
Пользовательские правила также могут поставляться от сторонних средств обнаружения вторжений, с которыми интегрирован Kaspersky IoT Secure Gateway 1000 с помощью Kaspersky Security Center OpenAPI™.
Kaspersky IoT Secure Gateway 1000 не может самостоятельно обнаруживать атаки из внешней сети. Для этого требуется интеграция со сторонними средствами обнаружения вторжений. Kaspersky IoT Secure Gateway 1000 и средства обнаружения вторжений должны быть подключены к одному Серверу администрирования Kaspersky Security Center.
При обнаружении подозрительной сетевой активности или возможного вторжения из внешней сети сторонняя система обнаружения вторжений передает в Kaspersky IoT Secure Gateway 1000 правило для блокировки источника подозрительной сетевой активности. Kaspersky IoT Secure Gateway 1000 создает это правило в сетевом экране и на основании этого правила блокирует источник по IP-адресу.
Созданное правило действует бессрочно. При необходимости вы можете удалить правило вручную.
Вы можете просмотреть таблицу пользовательских правил сетевого экрана в Kaspersky Security Center 14.2 Web Console в разделе Сеть → Сетевой экран. Для каждого правила отображается следующая информация:
- Статус правила – статус активности пользовательского правила: Включено или Выключено.
- Действие – действие, применяемое к проходящему через сетевой экран трафику: Разрешить или Запретить.
- Область – область применения пользовательского правила: Внутренняя сеть или Внешняя сеть.
- IP-адрес (источник) – IP-адрес источника сетевого трафика.
- Порт (источник) – порт источника сетевого трафика.
- IP-адрес (получатель) – IP-адрес получателя сетевого трафика.
- Порт (получатель) – порт получателя сетевого трафика.
- Протокол – протокол, используемый при проверке сетевого трафика: TCP, UDP.
Существуют следующие ограничения для пользовательских правил сетевого экрана Kaspersky IoT Secure Gateway 1000:
- Не допускается в качестве IP-адреса источника и получателя сетевого трафика указывать доменное имя устройства (в том числе localhost – стандартное доменное имя для частных IP-адресов).
- Не допускается в качестве порта источника и получателя использовать служебные порты, зарезервированные системой: 53, 67, 68, 443, 13294, 1883, 8883, 514.