Перейти к основному содержимому

How-To Guide: настройка Firewall

Введение

Цель

Этот документ описывает процесс настройки политики IP Firewall на оборудовании SNR Wi-Fi AP.

Аудитория

Документ предназначен для сетевых администраторов, инженеров и технических специалистов, ответственных за настройку беспроводной сети и политик фильтрации трафика.

Термины и определения

IP Firewall — механизм фильтрации сетевого трафика на основе заданных правил. Он позволяет контролировать прохождение пакетов через устройство, разрешая или запрещая их в зависимости от указанных условий.

IP Firewall Policy — политика IP Firewall, которая объединяет набор правил фильтрации и применяется к профилю или конкретному устройству.

Rule — правило фильтрации внутри политики IP Firewall.

Action — действие, которое применяется к трафику при совпадении с правилом: разрешить, запретить или записать событие в журнал.

Override — ситуация, когда политика задана и на уровне профиля, и на уровне устройства. В этом случае приоритет имеет политика, применённая на уровне устройства.

Обзор и важные замечания

  • IP Firewall используется для повышения безопасности сети, ограничения доступа к сервисам и управления трафиком между сегментами сети.

  • Правила внутри политики обрабатываются в порядке, который задаётся номером правила.

  • В правиле обязательно указываются номер и действие. Остальные поля можно не указывать. В этом случае их значение интерпретируется как any.

  • К одному профилю или устройству можно применить только одну политику IP Firewall.

  • Если политика применена одновременно на уровне профиля и на уровне устройства, приоритет имеет политика уровня устройства.

  • Перед применением политики проверьте порядок правил, чтобы случайно не заблокировать служебный или пользовательский трафик.

Подготовка

  1. Убедитесь, что точки доступа подключены к сети.

  2. Убедитесь, что все устройства работают на рекомендованной версии прошивки.

  3. Определите, где должна применяться политика: на уровне профиля или на уровне конкретного устройства.

  4. Подготовьте список правил фильтрации: номер правила, IP-адрес источника, IP-адрес назначения, протокол, порт назначения и действие.

  5. Проверьте, не применяется ли к устройству другая политика IP Firewall, которая может переопределить настройки профиля.

Настройка IP Firewall

Настройка через интерфейс командной строки

Создание политики IP Firewall

  1. Перейдите в режим глобальной конфигурации:
configure terminal
  1. Создайте политику IP Firewall и укажите её имя:
ip firewall policy (имя)
  1. Создайте необходимые правила фильтрации:
rule (номер) src-ip (адрес|any) dst-ip (адрес|any) protocol (протокол|any) dst-port (порт|any) action (permit|deny|log)

Параметры правила:

ПараметрОписание
ruleномер правила, который определяет порядок обработки
src-ipIP-адрес источника входящих пакетов
dst-ipIP-адрес назначения входящих пакетов
protocolтранспортный протокол входящих пакетов
dst-portпорт назначения входящих пакетов
actionдействие правила
permitразрешить трафик
denyзапретить трафик
logзаписать событие в журнал

Если поле не указано, оно интерпретируется как any.

Например, короткая запись:

rule 10 action log

эквивалентна правилу:

rule 10 src-ip any dst-ip any protocol any dst-port any action log
  1. При необходимости удалите правило с помощью аргумента отрицания no:
no rule (номер)
  1. Примените настройки и сохраните их в память:
commit write
  1. При необходимости удалите политику:
no ip firewall policy (имя)

Пример настройки политики:

configure terminal

ip firewall policy Guest_Filter
 rule 10 src-ip 192.168.10.50 dst-ip 192.168.1.10 protocol tcp dst-port 22 action deny
 rule 20 action permit
 commit write

Применение политики на уровне профиля

  1. Перейдите в режим глобальной конфигурации:
configure terminal
  1. Перейдите в нужный профиль:
profile (тип) (имя)
  1. Примените политику IP Firewall:
use ip firewall policy (имя)
  1. Для отмены применения политики используйте:
no use ip firewall policy
  1. Примените настройки и сохраните их в память:
commit write

Пример применения политики к профилю:

configure terminal

profile snr-ap622-i DEFAULT
 use ip firewall policy Guest_Filter
 commit write

Применение политики на уровне устройства

  1. Перейдите в режим глобальной конфигурации:
configure terminal
  1. Перейдите в режим конфигурации нужного устройства:
device (ID устройства)
  1. Примените политику IP Firewall:
use ip firewall policy (имя)
  1. Для отмены применения политики используйте:
no use ip firewall policy
  1. Примените настройки и сохраните их в память:
commit write

Пример применения политики к устройству:

configure terminal

device ap622-i-63-41-86
 use ip firewall policy Guest_Filter
 commit write

Настройка через веб-интерфейс

  1. Подключитесь к устройству. См. Быстрый старт.

  2. Перейдите в раздел настройки политик IP Firewall.

Политика IP Firewall

  1. Создайте новую политику или откройте существующую для редактирования.

Создание политики IP Firewall

  1. Укажите имя политики.

Создание политики IP Firewall укажите имя

  1. Добавьте правило фильтрации и заполните его параметры:

  • номер правила;

  • IP-адрес источника;

  • IP-адрес назначения;

  • протокол;

  • порт назначения;

  • действие правила.

    форма добавления правила IP Firewall

  1. При необходимости добавьте или удалит дополнительные правила и проверьте их порядок.

изменение правила IP Firewall

удаление правила IP Firewall

  1. Сохраните политику.

сохраните политику IP Firewall

  1. Перейдите к настройкам профиля или устройства и примените созданную политику IP Firewall.

    применение политики IP Firewall на уровне профиля

    применение политики IP Firewall на уровне устройства

  2. Примените конфигурацию.

    применение конфигурации

Справочная информация

Ссылки на документацию и полезные ресурсы:

Быстрый старт

Руководство по настройке DHCP

Руководство по настройке NAT