Управление сетевым экраном в командной строке

Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security 12 для Linux

Управление сетевым экраном

Управление сетевым экраном в командной строке

20 августа 2024

ID 197674

В командной строке вы можете настраивать управление сетевым экраном с помощью предустановленной задачи Управление сетевым экраном (Firewall_Management).

По умолчанию задача Управление сетевым экраном не запущена. Вы можете запускать и останавливать эту задачу вручную.

Вы можете настраивать параметры управления сетевым экраном, изменяя параметры предустановленной задачи с помощью команды управления параметрами задач.

Вы также можете настраивать параметры управления сетевым экраном с помощью команд управления сетевым экраном:

Создавать и удалять сетевые пакетные правила и изменять приоритет их выполнения.
Формировать список IP-адресов или подсетей в сетевых зонах.

Просматривать созданные в приложении Kaspersky Endpoint Security правила сетевого экрана с помощью команды kesl-control -F --query.

Параметры задачи Управление сетевым экраном

Параметр	Описание	Значения

`DefaultIncomingAction`	Действие по умолчанию, применяемое ко входящему соединению, если другие сетевые правила не применяются к этому виду соединения.	`Allow` (значение по умолчанию) – разрешать входящие соединения. `Block` – запрещать входящие соединения.
`DefaultIncomingPacketAction`	Действие по умолчанию, применяемое ко входящему пакету, если другие сетевые пакетные правила не применяются к этому виду соединения.	`Allow` (значение по умолчанию) – разрешать входящие пакеты. `Block` – запрещать входящие пакеты.
`OpenNagentPorts`	Добавление динамических правил для Агента администрирования в пакетные правила.	`Yes` (значение по умолчанию) – добавлять динамические правила для Агента администрирования в пакетные правила. `No` – не добавлять динамические правила для Агента администрирования в пакетные правила.
Секция [PacketRules.item_#] содержит сетевые пакетные правила для задачи Управление сетевым экраном. Вы можете указать несколько секций `[PacketRules.item_#]` в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания. Каждая секция `[PacketRules.item_#]` содержит следующие параметры:
`Name`	Имя сетевого пакетного правила.	Значение по умолчанию: `Packet rule #<n>`, где n – это индекс.
`FirewallAction`	Действие, применяемое к соединениям, указанным в сетевом пакетном правиле.	`Allow` (значение по умолчанию) – разрешать сетевые соединения. `Block` – запрещать сетевые соединения.
`Protocol`	Тип протокола, для которого необходим мониторинг сетевой активности.	`Any` (значение по умолчанию) – задача Управление сетевым экраном контролирует всю сетевую активность. `TCP` `UDP` `ICMP` `ICMPv6` `IGMP` `GRE`
`RemotePorts`	Номера портов удаленных устройств, соединение между которыми отслеживается. Вы можете указать значение в виде целого числа или в виде интервала. Этот параметр можно указать, только если для параметра `Protocol` установлено значение `TCP` или `UDP`.	`Any` (значение по умолчанию) – контролировать все удаленные порты. `0` – `65535`.
`LocalPorts`	Номера портов локальных устройств, соединение между которыми отслеживается. Вы можете указать значение в виде целого числа или в виде интервала. Этот параметр можно указать, только если для параметра `Protocol` установлено значение `TCP` или `UDP`.	`Any` (значение по умолчанию) – контролировать все локальные порты. `0` – `65535`.
`ICMPType`	Тип пакета ICMP. Этот параметр можно указать, только если для параметра `Protocol` установлено значение `ICMP` или `ICMPv6`.	`Any` (значение по умолчанию) – контролировать все типы пакетов ICMP. Целое число согласно спецификации протокола передачи данных.
`ICMPCode`	Код пакета ICMP. Этот параметр можно указать, только если для параметра `Protocol` установлено значение `ICMP` или `ICMPv6`.	`Any` (значение по умолчанию) – контролировать все коды пакетов ICMP. Целое число согласно спецификации протокола передачи данных.
`Direction`	Направление отслеживаемой сетевой активности.	`IncomingOutgoing` или `InOut` (значение по умолчанию) – контролировать как входящие, так и исходящие соединения. `Incoming` или `In` – контролировать входящие соединения. `Outgoing` или `Out` – контролировать исходящие соединения. `IncomingPacket` или `InPacket` – контролировать входящие пакеты. `OutgoingPacket` или `OutPacket` – контролировать исходящие пакеты. `IncomingOutgoingPacket` или `InOutPacket` – контролировать как входящие, так и исходящие пакеты.
`RemoteAddress`	Сетевые адреса удаленных устройств, которые могут передавать и получать сетевые пакеты.	`Any` (значение по умолчанию) – контролируется отправка и / или получение сетевых пакетов удаленными устройствами с любым IP-адресом. `Trusted` – заданная сетевая зона для доверенных сетей. `Local` – заданная сетевая зона для локальных сетей. `Public` – заданная сетевая зона для публичных сетей. `d.d.d.d` – адреса IPv4, где d – десятичное число от 0 до 255. `d.d.d.d/p` – подсеть адресов IPv4, где p – число от 0 до 32. `x:x:x:x:x:x:x:x` – адреса IPv6, где x – шестнадцатеричное число от 0 до ffff. `x:x:x:x::0/p` – подсеть адресов IPv6, где p – число от 0 до 64.
`LocalAddress`	Сетевые адреса устройств с установленным приложением Kaspersky Endpoint Security, которые могут передавать и получать сетевые пакеты.	`Any` (значение по умолчанию) – контролируется отправка и / или получение сетевых пакетов локальными устройствами с любым IP-адресом. `d.d.d.d` – адреса IPv4, где d – десятичное число от 0 до 255. `d.d.d.d/p` – подсеть адресов IPv4, где p – число от 0 до 32. `x:x:x:x:x:x:x:x` – адреса IPv6, где x – шестнадцатеричное число от 0 до ffff. `x:x:x:x::0/p` – подсеть адресов IPv6, где p – число от 0 до 64.
`LogAttempts`	Включение записи в отчет действия сетевого правила.	`Yes` – записывать действия в отчет. `No` (значение по умолчанию) – не записывать действия в отчет.
Секция [NetworkZonesPublic] содержит сетевые адреса, связанные с публичными сетями. Вы можете указать несколько IP-адресов или IP-подсетей.
`Address.item_#`	Указывает IP-адрес или IP-подсеть.	`d.d.d.d` – адреса IPv4, где d – десятичное число от 0 до 255. `d.d.d.d/p` – подсеть адресов IPv4, где p – число от 0 до 32. `x:x:x:x:x:x:x:x` – адреса IPv6, где x – шестнадцатеричное число от 0 до ffff. `x:x:x:x::0/p` – подсеть адресов IPv6, где p – число от 0 до 64. Значение по умолчанию: "" (в этой зоне нет сетевых адресов).
Секция [NetworkZonesLocal] содержит сетевые адреса, связанные с локальными сетями. Вы можете указать несколько IP-адресов или IP-подсетей.
`Address.item_#`	Указывает IP-адрес или IP-подсеть.	`d.d.d.d` – адреса IPv4, где d – десятичное число от 0 до 255. `d.d.d.d/p` – подсеть адресов IPv4, где p – число от 0 до 32. `x:x:x:x:x:x:x:x` – адреса IPv6, где x – шестнадцатеричное число от 0 до ffff. `x:x:x:x::0/p` – подсеть адресов IPv6, где p – число от 0 до 64. Значение по умолчанию: `""` (в этой зоне нет сетевых адресов).
Секция [NetworkZonesTrusted] содержит сетевые адреса, связанные с доверенными сетями. Вы можете указать несколько IP-адресов или IP-подсетей.
`Address.item_#`	Указывает IP-адрес или IP-подсеть.	`d.d.d.d` – адреса IPv4, где d – десятичное число от 0 до 255. `d.d.d.d/p` – подсеть адресов IPv4, где p – число от 0 до 32. `x:x:x:x:x:x:x:x` – адреса IPv6, где x – шестнадцатеричное число от 0 до ffff. `x:x:x:x::0/p` – подсеть адресов IPv6, где p – число от 0 до 64. Значение по умолчанию: `""` (в этой зоне нет сетевых адресов).

В этом разделе

Настройка списка сетевых пакетных правил в командной строке

Настройка сетевых зон в командной строке

Kaspersky Endpoint Security для Linux — надежная защита без ущерба для производительности

Обнаруживает и блокирует даже продвинутые угрозы. Купите в составе Endpoint Security для бизнеса Расширенный.

Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов

Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!