Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
handbook:security:firewall [2017/06/08 09:06] tpor |
handbook:security:firewall [2017/06/14 13:14] (текущий) tpor |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== Настройка Firewall в Askozia ====== | ====== Настройка Firewall в Askozia ====== | ||
+ | |||
+ | [[handbook:security|Обратно к перечню инструкций]] | ||
Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой, что значительно снижает угрозу атаки на АТС.\\ | Askozia предоставляет свой собственный внутренний брандмауэр. Firewall обеспечивает дополнительную защиту АТС, позволяет **блокировать** внешние соединения с системой, что значительно снижает угрозу атаки на АТС.\\ | ||
Строка 5: | Строка 7: | ||
1. Перейдите на вкладку **Соединения** -> **Firewall** и активируйте брандмауэр.\\ {{ :handbook:security:1yava1.png |}}\\ | 1. Перейдите на вкладку **Соединения** -> **Firewall** и активируйте брандмауэр.\\ {{ :handbook:security:1yava1.png |}}\\ | ||
- | 2. Можете выбрать один из существующих **шаблонов** по установке **правил блокировок**, либо установить правила блокировки самостоятельно.\\ | + | 2. Можете выбрать один из существующих **шаблонов** по установке **правил блокировок**, либо установить их самостоятельно. Под **шаблоном** понимаются заранее определенные правила блокировки соединений. Если АТС находится в частной сети, то воспользуйтесь шаблоном **"на своей железке"**. Шаблон **"в облаке"** рекомендуется использовать для защиты АТС, расположенной на внешнем сервере.\\ |
{{ :handbook:security:12.png |}}\\ | {{ :handbook:security:12.png |}}\\ | ||
- | 3. Правила блокировки позволяют запретить доступ по определённым портам трём видам подсетей: | + | 3. Возможные параметры безопасности разделены на три зоны сети:\\ |
- | - Подсеть, указанная в настройках Askozia на вкладке **Соединения** -> **Сеть**\\ {{ :handbook:security:14.png |}} \\ Эта же подсеть указана в настройках сети Firewall. \\ {{ :handbook:security:13.png |}} \\ | + | - **Локальная** сеть. Эта подсеть определяется в **настройках Askozia** на вкладке **Соединения** -> **Сеть**\\ {{ :handbook:security:14.png |}} \\ Эта же подсеть указана в настройках сети Firewall. \\ {{ :handbook:security:13.png |}} \\ |
- | - Локальная подсеть, которая указывается в настройках сети самого Firewall. \\ {{ :handbook:security:13.1.png |}}\\ | + | - Сеть **Intranet** - внутрикорпоративная локальная или территориально распределенная сеть. Она указывается в настройках сети самого Firewall. \\ {{ :handbook:security:13.1.png |}}\\ |
- | - сеть **Интернет** | + | - Сеть **Internet** |
4. Напротив каждого блокируемого сервиса необходимо выбрать способ блокировки: | 4. Напротив каждого блокируемого сервиса необходимо выбрать способ блокировки: | ||
- | * Блокировка **подсети** | + | * Блокировка подсети - блокировка **локальной** подсети |
- | * Блокировка **локальных** соединений | + | * Блокировка локальных соединений - блокировка сети **Intranet** |
- | * Блокировка **Интернет** соединения | + | * Блокировка Интернет соединения - блокировка сети **Internet** |
^ Объект блокировки ^ Описание ^ Диапазон портов ^ | ^ Объект блокировки ^ Описание ^ Диапазон портов ^ | ||
Строка 32: | Строка 34: | ||
Пример задания правил блокировок представлен на рисунке ниже:\\ {{ :handbook:security:15.png |}}\\ | Пример задания правил блокировок представлен на рисунке ниже:\\ {{ :handbook:security:15.png |}}\\ | ||
+ | <note important>Обязательно укажите **резервный IP-адрес**, для которого **всегда** будет доступно подключение к **web-интерфейсу**! Что делать, если заблокирован Ваш IP к web-интерфейсу? Подробности [[handbook:security:access|здесь]]. </note> | ||
__Пример задания правил блокировок для AMI__\\ | __Пример задания правил блокировок для AMI__\\ | ||
Строка 38: | Строка 41: | ||
Для порта **5038** в колонке **target** видим запрет **DROP** на подсеть **192.168.1.0/24**:\\ {{ :handbook:security:18.png |}} | Для порта **5038** в колонке **target** видим запрет **DROP** на подсеть **192.168.1.0/24**:\\ {{ :handbook:security:18.png |}} | ||
- | 5. Если обращения с какого либо ip **не блокируются**, то возможно заблокировать адрес **вручную**, для этого в настройках Firewall следует добавить строку блокировки адреса в поле **"Расширенные правила"**.\\ | + | 5. Если обращения с какого либо ip **не блокируются**, то возможно заблокировать адрес **вручную**, для этого в настройках Firewall следует добавить строку блокировки адреса в поле **"Расширенные правила"**. Пользовательские правила всегда имеют более **высокий приоритет**.\\ |
{{ :handbook:security:19.png |}} | {{ :handbook:security:19.png |}} | ||
+ | [[handbook:security|Обратно к перечню инструкций]] | ||
| | ||