Управление сетевым экраном

Во время работы в локальных сетях и интернете устройство подвержено не только заражению вирусами и другими вредоносными приложениями, но и различного рода атакам, использующим уязвимости операционных систем и программного обеспечения. Сетевой экран операционной системы защищает данные, которые хранятся на устройстве пользователя, блокируя большую часть угроз для операционной системы, когда устройство подключено к интернету или локальной сети.

Сетевой экран операционной системы позволяет обнаружить все сетевые соединения на устройстве пользователя и предоставить список их IP-адресов. Компонент Управление сетевым экраном позволяет задать статус этих сетевых соединений при помощи настройки сетевых пакетных правил.

С помощью сетевых пакетных правил вы можете задать нужный уровень защиты устройства, от полной блокировки доступа в интернет для всех приложений до разрешения неограниченного доступа. Все исходящие соединения по умолчанию разрешены за исключением случаев, когда указаны соответствующие запрещающие правила компонента Управление сетевым экраном.

По умолчанию компонент Управление сетевым экраном выключен.

Перед включением компонента Управление сетевым экраном рекомендуется выключить другие средства управления сетевым экраном операционной системы.

При включении компонента Управление сетевым экраном приложение Kaspersky Embedded Systems Security автоматически удаляет все пользовательские правила, настроенные для сетевого экрана средствами операционной системы. После выключения компонента эти правила не восстанавливаются. Если требуется, сохраните пользовательские правила сетевого экрана до включения компонента Управление сетевым экраном.

Если управление сетевым экраном включено, Kaspersky Embedded Systems Security проверяет сетевой экран операционной системы и блокирует любую попытку изменить параметры сетевого экрана, например, когда какое-либо приложение или утилита пытается добавить или удалить какое-либо правило сетевого экрана. Kaspersky Embedded Systems Security проверяет сетевой экран операционной системы каждые 60 секунд и, если требуется, восстанавливает набор правил сетевого экрана, созданных с помощью приложения. Периодичность проверки изменить невозможно.

В некоторых операционных системах, основанных на кодовой базе Red Hat Enterprise Linux, правила сетевого экрана, созданные в приложении Kaspersky Embedded Systems Security, можно просмотреть только с помощью команд управления (команда kess-control -F --query).

Kaspersky Embedded Systems Security по-прежнему проверяет сетевой экран операционной системы, когда управление сетевым экраном выключено. Это позволяет приложению восстанавливать динамические правила.

Вы можете включать и выключать управление сетевым экраном, а также настраивать следующие параметры:

• Настраивать список сетевых пакетных правил, которые приложение Kaspersky Embedded Systems Security будет применять при обнаружении попытки установить сетевое соединение. Вы можете добавлять и удалять сетевые пакетные правила, а также изменять приоритет выполнения сетевого пакетного правила.
• Выбирать действия по умолчанию, применяемые к входящим соединениям и пакетам, если другие сетевые пакетные правила не применяются к этому виду соединений.
• Устанавливать соответствие сетевых адресов предустановленным сетевым зонам. Вы можете добавлять IP-адреса или подсети в сетевые зоны и удалять адреса из сетевых зон.
• Включать и выключать автоматическое добавление разрешающих правил для портов Агента администрирования.

Во избежание возможных проблем на системах с nftables приложение Kaspersky Embedded Systems Security использует системные утилиты iptables и iptables-restore при добавлении правил для сетевого экрана операционной системы. Приложение создает специальную разрешающую цепочку правил kess_bypass и добавляет ее первой в список таблицы mangle утилит iptables и ip6tables. Правила цепочки kess_bypass позволяют исключать трафик из проверки приложением Kaspersky Embedded Systems Security. Изменение правил в этой цепочке выполняется средствами операционной системы. При удалении приложения цепочка правил kess_bypass в iptables и ip6tables удаляется, только если она была пустая.