Управление сетевым экраном в командной строке
В командной строке вы можете настраивать управление сетевым экраном с помощью предустановленной задачи Управление сетевым экраном (Firewall_Management).
По умолчанию задача Управление сетевым экраном не запущена. Вы можете запускать и останавливать эту задачу вручную.
Вы можете настраивать параметры управления сетевым экраном, изменяя параметры предустановленной задачи с помощью команды управления параметрами задач.
Вы также можете настраивать параметры управления сетевым экраном с помощью команд управления сетевым экраном:
- Создавать и удалять сетевые пакетные правила и изменять приоритет их выполнения.
- Формировать список IP-адресов или подсетей в сетевых зонах.
- Просматривать созданные в приложении Kaspersky Endpoint Security правила сетевого экрана с помощью команды
kesl-control -F --query
.Параметры задачи Управление сетевым экраном
Параметр
Описание
Значения
DefaultIncomingAction
Действие по умолчанию, применяемое ко входящему соединению, если другие сетевые правила не применяются к этому виду соединения.
Allow
(значение по умолчанию) – разрешать входящие соединения.Block
– запрещать входящие соединения.DefaultIncomingPacketAction
Действие по умолчанию, применяемое ко входящему пакету, если другие сетевые пакетные правила не применяются к этому виду соединения.
Allow
(значение по умолчанию) – разрешать входящие пакеты.Block
– запрещать входящие пакеты.OpenNagentPorts
Добавление динамических правил для Агента администрирования в пакетные правила.
Yes
(значение по умолчанию) – добавлять динамические правила для Агента администрирования в пакетные правила.No
– не добавлять динамические правила для Агента администрирования в пакетные правила.Секция [PacketRules.item_#] содержит сетевые пакетные правила для задачи Управление сетевым экраном. Вы можете указать несколько секций
[PacketRules.item_#]
в любом порядке. Приложение будет обрабатывать области по индексу в порядке возрастания.Каждая секция
[PacketRules.item_#]
содержит следующие параметры:Name
Имя сетевого пакетного правила.
Значение по умолчанию:
Packet rule #<n>
, где n – это индекс.FirewallAction
Действие, применяемое к соединениям, указанным в сетевом пакетном правиле.
Allow
(значение по умолчанию) – разрешать сетевые соединения.Block
– запрещать сетевые соединения.Protocol
Тип протокола, для которого необходим мониторинг сетевой активности.
Any
(значение по умолчанию) – задача Управление сетевым экраном контролирует всю сетевую активность.TCP
UDP
ICMP
ICMPv6
IGMP
GRE
RemotePorts
Номера портов удаленных устройств, соединение между которыми отслеживается. Вы можете указать значение в виде целого числа или в виде интервала.
Этот параметр можно указать, только если для параметра
Protocol
установлено значениеTCP
илиUDP
.Any
(значение по умолчанию) – контролировать все удаленные порты.0
–65535
.LocalPorts
Номера портов локальных устройств, соединение между которыми отслеживается. Вы можете указать значение в виде целого числа или в виде интервала.
Этот параметр можно указать, только если для параметра
Protocol
установлено значениеTCP
илиUDP
.Any
(значение по умолчанию) – контролировать все локальные порты.0
–65535
.ICMPType
Тип пакета ICMP.
Этот параметр можно указать, только если для параметра
Protocol
установлено значениеICMP
илиICMPv6
.Any
(значение по умолчанию) – контролировать все типы пакетов ICMP.Целое число согласно спецификации протокола передачи данных.
ICMPCode
Код пакета ICMP.
Этот параметр можно указать, только если для параметра
Protocol
установлено значениеICMP
илиICMPv6
.Any
(значение по умолчанию) – контролировать все коды пакетов ICMP.Целое число согласно спецификации протокола передачи данных.
Direction
Направление отслеживаемой сетевой активности.
IncomingOutgoing
илиInOut
(значение по умолчанию) – контролировать как входящие, так и исходящие соединения.Incoming
илиIn
– контролировать входящие соединения.Outgoing
илиOut
– контролировать исходящие соединения.IncomingPacket
илиInPacket
– контролировать входящие пакеты.OutgoingPacket
илиOutPacket
– контролировать исходящие пакеты.IncomingOutgoingPacket
илиInOutPacket
– контролировать как входящие, так и исходящие пакеты.RemoteAddress
Сетевые адреса удаленных устройств, которые могут передавать и получать сетевые пакеты.
Any
(значение по умолчанию) – контролируется отправка и / или получение сетевых пакетов удаленными устройствами с любым IP-адресом.Trusted
– заданная сетевая зона для доверенных сетей.Local
– заданная сетевая зона для локальных сетей.Public
– заданная сетевая зона для публичных сетей.d.d.d.d
– адреса IPv4, где d – десятичное число от 0 до 255.d.d.d.d/p
– подсеть адресов IPv4, где p – число от 0 до 32.x:x:x:x:x:x:x:x
– адреса IPv6, где x – шестнадцатеричное число от 0 до ffff.x:x:x:x::0/p
– подсеть адресов IPv6, где p – число от 0 до 64.LocalAddress
Сетевые адреса устройств с установленным приложением Kaspersky Endpoint Security, которые могут передавать и получать сетевые пакеты.
Any
(значение по умолчанию) – контролируется отправка и / или получение сетевых пакетов локальными устройствами с любым IP-адресом.d.d.d.d
– адреса IPv4, где d – десятичное число от 0 до 255.d.d.d.d/p
– подсеть адресов IPv4, где p – число от 0 до 32.x:x:x:x:x:x:x:x
– адреса IPv6, где x – шестнадцатеричное число от 0 до ffff.x:x:x:x::0/p
– подсеть адресов IPv6, где p – число от 0 до 64.LogAttempts
Включение записи в отчет действия сетевого правила.
Yes
– записывать действия в отчет.No
(значение по умолчанию) – не записывать действия в отчет.Секция [NetworkZonesPublic] содержит сетевые адреса, связанные с публичными сетями. Вы можете указать несколько IP-адресов или IP-подсетей.
Address.item_#
Указывает IP-адрес или IP-подсеть.
d.d.d.d
– адреса IPv4, где d – десятичное число от 0 до 255.d.d.d.d/p
– подсеть адресов IPv4, где p – число от 0 до 32.x:x:x:x:x:x:x:x
– адреса IPv6, где x – шестнадцатеричное число от 0 до ffff.x:x:x:x::0/p
– подсеть адресов IPv6, где p – число от 0 до 64.Значение по умолчанию: "" (в этой зоне нет сетевых адресов).
Секция [NetworkZonesLocal] содержит сетевые адреса, связанные с локальными сетями. Вы можете указать несколько IP-адресов или IP-подсетей.
Address.item_#
Указывает IP-адрес или IP-подсеть.
d.d.d.d
– адреса IPv4, где d – десятичное число от 0 до 255.d.d.d.d/p
– подсеть адресов IPv4, где p – число от 0 до 32.x:x:x:x:x:x:x:x
– адреса IPv6, где x – шестнадцатеричное число от 0 до ffff.x:x:x:x::0/p
– подсеть адресов IPv6, где p – число от 0 до 64.Значение по умолчанию:
""
(в этой зоне нет сетевых адресов).Секция [NetworkZonesTrusted] содержит сетевые адреса, связанные с доверенными сетями. Вы можете указать несколько IP-адресов или IP-подсетей.
Address.item_#
Указывает IP-адрес или IP-подсеть.
d.d.d.d
– адреса IPv4, где d – десятичное число от 0 до 255.d.d.d.d/p
– подсеть адресов IPv4, где p – число от 0 до 32.x:x:x:x:x:x:x:x
– адреса IPv6, где x – шестнадцатеричное число от 0 до ffff.x:x:x:x::0/p
– подсеть адресов IPv6, где p – число от 0 до 64.Значение по умолчанию:
""
(в этой зоне нет сетевых адресов).