Сервисы

ID статьи: 1101
Последнее обновление: 05 фев, 2025
Documentation:
Product: NGFW
Version: 7.x

Раздел Сервисы содержит список общеизвестных сервисов, основанных на протоколах TCP/IP, например, таких как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил NGFW. Первоначальный список сервисов поставляется вместе с NGFW.

Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового сервиса необходимо выполнить следующие шаги:

1. В веб-консоли администратора перейти в раздел Библиотеки ➜ Сервисы и нажать кнопку Добавить.  

2. В открывшемся окне свойств сервиса указать название и его краткое описание (опционально):

3. Нажать кнопку Добавить, выбрать необходимый сетевой протокол и указать порты сервиса. Порты можно указывать диапазонами, например, 33333-33355:

При выборе сетевых протоколов TCP или UDP можно также выбрать шлюз прикладного уровня (Application Layer Gateway — ALG).

Некоторые протоколы используют раздельные потоки для обмена сигнальной информацией и передачи данных. Примерами таких протоколов являются FTP, SIP или H.323. Параметры установления потока передачи данных (например, IP-адреса или порты) у таких протоколов не настраиваются заранее, а согласуются при обмене сигнальными сообщениями между устройствами на этапе активации сервиса. Для управления такими протоколами в NGFW используются шлюзы прикладного уровня (ALG). 

ALG работает как посредник между сетью и сервером приложений, который "понимает" прикладной протокол. Например, ALG может разрешать клиентским приложениям использовать динамические порты TCP/UDP для взаимодействия с известными портами, используемыми серверными приложениями, даже в тех случаях, когда настройки межсетевого экрана разрешают трафик только через ограниченное число портов. Без ALG порты будут блокироваться, либо администраторам придётся открывать в межсетевом экране большое количество портов, что ослабляет безопасность сети и открывает возможность для потенциальных атак через эти порты. Также ALG может распознавать конкретные команды приложения и получать адресную информацию сетевого уровня, которая находится в пэйлоаде пакетов приложения. ALG может синхронизировать несколько потоков или сеансов между хостами.

При создании нового сервиса с протоколом TCP можно выбрать шлюзы прикладного уровня для следующих протоколов:

  • FTP;

  • SIP;

  • H.323.

При создании нового сервиса с протоколом UDP можно выбрать шлюзы прикладного уровня для протоколов:

  • SIP;

  • TFTP.

FTP использует несколько потоков для передачи файлов — первичный сигнальный поток и вторичные потоки данных для списков каталогов и передачи файлов. Поскольку эти потоки данных могут подключаться к любому порту, сложно создать статическую политику межсетевого экрана, которая бы разрешала эти потоки данных и при этом обеспечивала адекватную защиту. FTP ALG автоматически решает эту проблему путём мониторинга сигнального потока FTP, поиска команд порта FTP, которые указывают, какие порты источника и назначения запрашиваются. ALG динамически открывает определённую комбинацию IP-портов источника и назначения в политике межсетевого экрана, которая позволяет установить сессию. Как только сессия завершена, шлюз немедленно закрывается. В случае, если FTP-сессия проходит через NAT,  ALG анализирует пакеты на прикладном уровне, заменяя внутренний IP на адрес интерфейса NAT.

SIP ALG — шлюз прикладного уровня, который позволяет голосовому VoIP-трафику (RTP) проходить через устройство с функцией NAT. Если на межсетевом экране присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика. Для беспрепятственного прохождения SIP-трафика через устройство с NAT необходимо транслировать адресацию в SIP-пакетах. SIP-пакет анализируется на прикладном уровне, и в нем изменяются IP-адреса. Так SIP ALG позволяет реализовать услуги SIP-телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств. 

H.323 ALG поддерживает набор протоколов H.225.0 и H.245 для обеспечения сеанса аудиовизуальной связи в сети. ALG позволяет трафику проходить через устройство с функцией NAT, анализируя пакеты на уровне приложения, и заменяя в них IP-адреса.

По умолчанию шлюзы прикладного уровня отключены в настройках устройства. Включить их можно в интерфейсе командной строки (CLI) с помощью следующей команды: 

Admin@nodename# set settings device <sip|h323|tp-alg> on

Подробнее в статье Настройка параметров устройства

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 1101
Последнее обновление: 05 фев, 2025
Ревизия: 4
Просмотры: 4605
Комментарии: 0
Теги