Особенности работы межсетевого экрана UserGate

В данном разделе рассмотрены некоторые особенности обработки трафика межсетевым экраном UserGate NGFW.

Запрещающие правила UG NGFW в целях безопасности имеют некоторые особенности в обработке пакетов — это, в свою очередь, может приводить к ситуации с не очевидной блокировкой пакетов. В качестве примера рассмотрим следующую ситуацию:

В этом примере доступ из сети Trusted не будет работать, поскольку, несмотря на то, что при создании второго правила, автоматически будет добавлено разрешающее правило для входящих пакетов уже установленного соединения, эти пакеты будут заблокированы, поскольку запрещающие правила межсетевого экрана блокируют любой пакет попадающий под их условия, в т.ч. и пакеты уже установленных сессий. Соответственно, ответные пакеты для разрешенных правилами ниже сессий будут также заблокированы, поскольку сначала попадут под действие запрещающего правила.

Таким образом, для корректной работы межсетевого экрана:

Первый вариант: необходимо размещать запрещающие правила ниже разрешающих, чтобы сначала отработали разрешающие правила, в т.ч. по пакетам уже установленных соединений, а уже потом вступали в работу запрещающие правила.

В данном случае, все будет работать правильно, поскольку сначала отработают разрешающие правила, и лишь потом будет заблокирован трафик, который не попадет под действие этих правил

Второй вариант: начиная с 6 версии возможно через cli установить значение fw_established в true – это создаст общее разрешающее правило для пакетов уже установленной сессии, выше всех правил FW.