История страницы

...

Шаг	Описание	Команда	Ключи
1	Указать local в качестве метода аутентификации.	esr(config)# aaa authentication login { default \| <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации: local – аутентификация с помощью локальной базы пользователей; tacacs – аутентификация по списку TACACS-серверов; radius – аутентификация по списку RADIUS-серверов; ldap – аутентификация по списку LDAP-серверов.
2	Указать enable в качестве способа аутентификации повышения привилегий пользователей.	esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации: local – аутентификация с помощью локальной базы пользователей; tacacs – аутентификация по списку TACACS-серверов; radius – аутентификация по списку RADIUS-серверов; ldap – аутентификация по списку LDAP-серверов.
3	Указать способ перебора методов аутентификации в случае отказа (необязательно).	esr(config)# aaa authentication mode <MODE>	<MODE> – способы перебора методов: chain – если сервер вернул FAIL, перейти к следующему в цепочке методу аутентификации; break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами. Значение по умолчанию: chain.
4	Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно).	esr(config)# aaa authentication attempts max-fail <COUNT> <TIME>	<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535]; <TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535]. Значение по умолчанию: <COUNT> – 5; <TIME> – 300.
5	Включить запрос на смену пароля по умолчанию для пользователя admin (необязательно).	esr(config)# security passwords default-expired
6	Включить режим запрета на использование ранее установленных паролей локальных пользователей (необязательно).	esr(config)# security passwords history <COUNT>	<COUNT> – количество паролей, сохраняемых в памяти маршрутизатора. Принимает значение в диапазоне [1..15]. Значение по умолчанию: 0.
7	Установить время действия пароля локального пользователя (необязательно).	esr(config)# security passwords lifetime <TIME>	<TIME> – интервал времени действия пароля в днях. Принимает значение в диапазоне [1..365]. По умолчанию: время действия пароля локального пользователя не ограничено.
8	Установить ограничение на минимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).	esr(config)# security passwords min-length <NUM>	<NUM> – минимальное количество символов в пароле. Принимает значение в диапазоне [8..128]. Значение по умолчанию: 0.
9	Установить ограничение на максимальную длину пароля локального пользователя и ENABLE-пароля (необязательно).	esr(config)# security passwords max-length <NUM>	<NUM> – максимальное количество символов в пароле. Принимает значение в диапазоне [8..128]. Значение по умолчанию: не ограничено.
10	Установить минимальное количество типов символов, которые должны присутствовать в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords symbol-types <COUNT>	<COUNT> – минимальное количество типов символов в пароле. Принимает значение в диапазоне [1..4]. Значение по умолчанию: 1.
11	Установить минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords lower-case <COUNT>	<COUNT> – минимальное количество строчных букв в пароле локального пользователя и ENABLE-пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
12	Установить минимальное количество прописных (заглавных) букв в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords upper-case <COUNT>	<COUNT> – минимальное количество прописных (заглавных) букв в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
13	Установить минимальное количество цифр в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords numeric-count <COUNT>	<COUNT> – минимальное количество цифр в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
14	Установить минимальное количество специальных символов в пароле локального пользователя и ENABLE-пароле (необязательно).	esr(config)# security passwords special-case <COUNT>	<COUNT> – минимальное количество специальных символов в пароле. Принимает значение в диапазоне [0..128]. Значение по умолчанию: 0.
15	Добавить пользователя в локальную базу и перейти в режим настройки параметров пользователя.	esr(config)# username <NAME>	<NAME> – имя пользователя, задаётся строкой до 31 символа.
16	Установить пароль пользователя.	esr(config-user)# password { <CLEAR-TEXT> \| encrypted <HASH_SHA512> }	<CLEAR-TEXT> – пароль, задаётся строкой [8 .. 32] символов, принимает значения [0-9a-fA-F]; <HASH_SHA512> – хеш пароля по алгоритму sha512, задаётся строкой из 110 символов.
17	Установить уровень привилегий пользователя (необязательно).	esr(config-user)# privilege <PRIV>	<PRIV> – необходимый уровень привилегий. Принимает значение [1..15]. Значение по умолчанию: 1.
18	Установить режим работы учетной записи пользователя (необязательно).	esr(config-user)# mode <MODE>	<MODE> – режим работы учетной записи пользователя. Может принимать значения: cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства; techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки; sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.
19	Указать метод аутентификации SSH-сессий для пользователя (необязательно).	esr(config-user)# ssh authentication method <METHOD>	<METHOD> – метод аутентификации SSH-сессий. Может принимать значения: password – аутентификация пользователя при открытии SSH-сессий может быть произведена только по паролю; pubkey – аутентификация пользователя при открытии SSH-сессий может быть произведена только по публичному ключу; both – аутентификация пользователя при открытии SSH-сессий может быть произведена как по паролю, так и по публичному ключу.
1920	Указать имя файла публичного ключа, который будет использован при аутентификации SSH-сессии пользователя (необязательно).	esr(config-user)# ssh pubkey <NAME>	<NAME> – имя файла публичного ключа, расположенного в разделе crypto:public-key, задаётся строкой до 31 символа.
21	Отключить авторизацию для предустановленного пользователя admin (необязательно).	esr(config)# no admin login enable
2220	Перейти в режим конфигурирования соответствующего терминала.	esr(config)# line console или esr(config)# line telnet или esr(config)# line ssh
2123	Активировать список аутентификации входа пользователей в систему.	esr(config-line-ssh)# login authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа.
2224	Активировать список аутентификации повышения привилегий пользователей.	esr(config-line-ssh)# enable authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа.
2325	Задать интервал, по истечении которого будет разрываться бездействующая сессия.	esr(config-line-ssh)# exec-timeout <SEC>	<SEC> – период времени в минутах, принимает значения [1..65535].

...

Шаг	Описание	Команда	Ключи
1	Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов RADIUS-сервера (необязательно).	esr(config)# radius-server dscp <DSCP>	<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. Значение по умолчанию: 63.
2	Задать глобальное значение количества перезапросов к последнему активному RADIUS-серверу (необязательно).	esr(config)# radius-server retransmit <COUNT>	<COUNT> – количество перезапросов к RADIUS-серверу, принимает значения [1..10]. Значение по умолчанию: 1.
3	Задать глобальное значение интервала, по истечении которого маршрутизатор считает, что RADIUS-сервер недоступен (необязательно).	esr(config)# radius-server timeout <SEC>	<SEC> – период времени в секундах, принимает значения [1..30]. Значение по умолчанию: 3 секунды.
4	Добавить RADIUS-сервер в список используемых серверов и перейти в режим его конфигурирования.	esr(config)# radius-server host { <IP-ADDR> \| <IPV6-ADDR> } [ vrf <VRF> ]	<IP-ADDR> – IP-адрес RADIUS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес RADIUS-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF] <VRF> – имя экземпляра VRF, задается строкой до 31 символа.
5	Задать описание конфигурируемого RADIUS-сервера (необязательно).	esr(config-radius-server)# description <description>	<description> – описание RADIUS-сервера, задается строкой до 255 символов.
6	Указать количество неудачных попыток аутентификации для блокировки логина пользователя и времени блокировки (необязательно).	esr(config-radius-server)# aaa authentication attempts max-fail <COUNT> <TIME>	<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535]; <TIME> – интервал времени в секундах, на который будет заблокирован пользователь, принимает значения [1..65535]. Значение по умолчанию: <COUNT> – 5; <TIME> – 300.
7	Задать пароль для аутентификации на удаленном RADIUS-сервере.	esr(config-radius-server)# key ascii-text { <TEXT> \| encrypted <ENCRYPTED-TEXT> }	<TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
8	Задать приоритет использования удаленного RADIUS-сервера (необязательно).	esr(config-radius-server)# priority <PRIORITY>	<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535]. Чем ниже значение, тем приоритетнее сервер. Значение по умолчанию: 1.
9	Задать интервал, по истечении которого маршрутизатор считает, что данный RADIUS-сервер недоступен (необязательно).	esr(config-radius-server)# timeout <SEC>	<SEC> – период времени в секундах, принимает значения [1..30]. Значение по умолчанию: используется значение глобального таймера.
10	Задать IPv4/IPv6-адрес, который будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.	esr(config-radius-server)# source-address { <ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> }	<ADDR> – IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.
11	Задать интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых RADIUS-пакетах.	esr(config-radius-server)# source-interface { <IF> \| <TUN> }	<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора; <TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
12	Указать radius в качестве метода аутентификации.	esr(config)# aaa authentication login { default \| <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации: local – аутентификация с помощью локальной базы пользователей; tacacs – аутентификация по списку TACACS-серверов; radius – аутентификация по списку RADIUS-серверов; ldap – аутентификация по списку LDAP-серверов.
13	Указать radius в качестве способа аутентификации повышения привилегий пользователей.	esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка строка до 31 символа; default – имя списка по умолчанию. <METHOD> – способы аутентификации: enable – аутентификация с помощью enable-паролей; tacacs – аутентификация по протоколу TACACS; radius – аутентификация по протоколу RADIUS; ldap – аутентификация по протоколу LDAP.
14	Указать способ перебора методов аутентификации в случае отказа (необязательно).	esr(config)# aaa authentication mode <MODE>	<MODE> – способы перебора методов: chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации; break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами. Значение по умолчанию: chain.
15	Сконфигурировать radius в списке способов учета сессий пользователей (необязательно).	esr(config)# aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]	<METHOD> – способы учета: tacacs – учет сессий по протоколу TACACS; radius – учет сессий по протоколу RADIUS.
16	Перейти в режим конфигурирования соответствующего терминала.	esr(config)# line <TYPE>	<TYPE> – тип консоли: console – локальная консоль; ssh – защищенная удаленная консоль.
17	Активировать список аутентификации входа пользователей в систему.	esr(config-line-console)# login authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 8.
18	Активировать список аутентификации повышения привилегий пользователей.	esr(config-line-console)# enable authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 9.

...

Шаг	Описание	Команда	Ключи
1	Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов TACACS-сервера (необязательно).	esr(config)# tacacs-server dscp <DSCP>	<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. Значение по умолчанию: 63.
2	Задать глобальное значение интервала, по истечении которого маршрутизатор считает, что TACACS-сервер недоступен (необязательно).	esr(config)# tacacs-server timeout <SEC>	<SEC> – период времени в секундах, принимает значения [1..30]. Значение по умолчанию: 3 секунды.
3	Добавить TACACS-сервер в список используемых серверов и перейти в режим его конфигурирования.	esr(config)# tacacs -server host { <IP-ADDR> \| <IPV6-ADDR> } [ vrf <VRF> ]	<IP-ADDR> – IP-адрес TACACS-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255] <IPV6-ADDR> – IPv6-адрес TACACS -сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF] <VRF> – имя экземпляра VRF, задается строкой до 31 символа.
4	Задать описание конфигурируемого TACACS-сервера (необязательно).	esr(config-tacacs-server)# description <description>	<description> – описание TACACS-сервера, задается строкой до 255 символов.
5	Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно)	esr(config-tacacs-server)# aaa authentication attempts max-fail <COUNT> <TIME>	<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535]; <TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535]. Значение по умолчанию: <COUNT> – 5; <TIME> – 300.
6	Задать пароль для аутентификации на удаленном TACACS-сервере	esr(config-tacacs-server)# key ascii-text { <TEXT> \| encrypted <ENCRYPTED-TEXT> }	<TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
7	Задать номер порта для обмена данными c удаленным TACACS-сервером (необязательно).	esr(config-tacacs-server)# port <PORT>	<PORT> – номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535]. Значение по умолчанию: 49 для TACACS-сервера.
8	Задать приоритет использования удаленного TACACS сервера (необязательно).	esr(config-tacacs-server)# priority <PRIORITY>	<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535]. Чем ниже значение, тем приоритетнее сервер. Значение по умолчанию: 1.
9	Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых TACACS-пакетах.	esr(config-tacacs-server)# source-address { <ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> }	<ADDR> – IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.
10	Задать интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых TACACS-пакетах.	esr(config-tacacs-server)# source-interface { <IF> \| <TUN> }	<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора; <TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
11	Указать TACACS в качестве способа аутентификации повышения привилегий пользователей.	esr(config)# aaa authentication enable <NAME><METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка строка до 31 символа; default – имя списка по умолчанию. <METHOD> – способы аутентификации: enable – аутентификация с помощью enable-паролей; tacacs – аутентификация по протоколу TACACS; radius – аутентификация по протоколу RADIUS; ldap – аутентификация по протоколу LDAP.
12	Указать способ перебора методов аутентификации в случае отказа (необязательно).	esr(config)# aaa authentication mode <MODE>	<MODE> – способы перебора методов: chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации; break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами. Значение по умолчанию: chain.
13	Сконфигурировать список способов учета команд, введённых в CLI (необязательно).	esr(config)# aaa accounting commands stop-only tacacs
14	Сконфигурировать tacacs в списке способов учета сессий пользователей (необязательно).	esr(config)# aaa accounting login start-stop <METHOD 1> [ <METHOD 2> ]	<METHOD> – способы учета: tacacs – учет сессий по протоколу TACACS; radius – учет сессий по протоколу RADIUS.
15	Перейти в режим конфигурирования соответствующего терминала.	esr(config)# line <TYPE>	<TYPE> – тип консоли: console – локальная консоль; ssh – защищенная удаленная консоль.
16	Активировать список аутентификации входа пользователей в систему.	esr(config-line-console)# login authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 7.
17	Активировать список аутентификации повышения привилегий пользователей.	esr(config-line-console)# enable authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 8.

...

Шаг	Описание	Команда	Ключи
1	Задать базовый DN (Distinguished name), который будет использоваться при поиске пользователей.	esr(config)# ldap-server base-dn <NAME>	<NAME> – базовый DN, задается строкой до 255 символов.
2	Задать интервал, по истечении которого устройство считает, что LDAP-сервер недоступен (необязательно).	esr(config)# ldap-server bind timeout <SEC>	<SEC> – период времени в секундах, принимает значения [1..30]. Значение по умолчанию: 3 секунды.
3	Задать DN (Distinguished name) пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.	esr(config)# ldap-server bind authenticate root-dn <NAME>	<NAME> – DN пользователя с правами администратора, задается строкой до 255 символов.
4	Задать пароль пользователя с правами администратора, под которым будет происходить авторизация на LDAP-сервере при поиске пользователей.	esr(config)# ldap-server bind authenticate root-password ascii-text { <TEXT> \| encrypted <ENCRYPTED-TEXT> }	<TEXT> – строка [8..16] ASCII-символов; <ENCRYPTED-TEXT> – зашифрованный пароль, размером [8..16] байт, задаётся строкой [16..32] символов.
5	Задать имя класса объектов, среди которых необходимо выполнять поиск пользователей на LDAP-сервере (необязательно).	esr(config)# ldap-server search filter user-object-class <NAME>	<NAME> – имя класса объектов, задаётся строкой до 127 символов. Значение по умолчанию: posixAccount.
6	Задать область поиска пользователей в дереве LDAP-сервера (необязательно).	esr(config)# ldap-server search scope <SCOPE>	<SCOPE> – область поиска пользователей на LDAP-сервере, принимает следующие значения: onelevel – выполнять поиск в объектах на следующем уровне после базового DN в дереве LDAP-сервера; subtree – выполнять поиск во всех объектах поддерева базового DN в дереве LDAP-сервера. Значение по умолчанию: subtree.
7	Задать интервал, по истечении которого устройство считает, что LDAP-сервер не нашел записей пользователей, подходящих под условие поиска (необязательно).	esr(config)# ldap-server search timeout <SEC>	<SEC> – период времени в секундах, принимает значения [0..30] Значение по умолчанию: 0 – устройство ожидает завершения поиска и получения ответа от LDAP-сервера.
8	Задать имя атрибута объекта, со значением которого идет сравнение имени искомого пользователя на LDAP-сервере (необязательно).	esr(config)# ldap-server naming-attribute <NAME>	<NAME> – имя атрибута объекта, задаётся строкой до 127 символов. Значение по умолчанию: uid.
9	Задать имя атрибута объекта, значение которого будет определять начальные привилегии пользователя на устройстве (необязательно).	esr(config)# ldap-server privilege-level-attribute <NAME>	<NAME> – имя атрибута объекта, задаётся строкой до 127 символов. Значение по умолчанию: priv-lvl.
10	Задать глобальное значение кода DSCP для использования в IP-заголовках исходящих пакетов LDAP-сервера (необязательно).	esr(config)# ldap-server dscp <DSCP>	<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63]. Значение по умолчанию: 63.
11	Добавить LDAP-сервер в список используемых серверов и перейти в режим его конфигурирования.	esr(config)# ldap-server host { <IP-ADDR> \| <IPV6-ADDR> } [ vrf <VRF> ]	<IP-ADDR> – IP-адрес LDAP-сервера, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255] <IPV6-ADDR> – IPv6-адрес LDAP-сервера, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF] <VRF> – имя экземпляра VRF, задается строкой до 31 символа.
12	Задать описание конфигурируемого LDAP-сервера (необязательно).	esr(config-ldap-server)# description <description>	<description> – описание LDAP-сервера, задается строкой до 255 символов.
1213	Указать количество неудачных попыток аутентификации для блокировки логина пользователя и время блокировки (необязательно).	esr(config-ldap-server)# aaa authentication attempts max-fail <COUNT> <TIME>	<COUNT> – количество неудачных попыток аутентификации, после которых произойдет блокировка пользователя, принимает значения [1..65535]; <TIME> – интервал времени в минутах, на который будет заблокирован пользователь, принимает значения [1..65535]. Значение по умолчанию: <COUNT> – 5; <TIME> – 300.
1314	Задать номер порта для обмена данными c удаленным LDAP-сервером (необязательно).	esr(config-ldap-server)# port <PORT>	<PORT> – номер TCP-порта для обмена данными c удаленным сервером, принимает значения [1..65535]. Значение по умолчанию: 389 для LDAP-сервера.
1415	Задать приоритет использования удаленного LDAP-сервера (необязательно).	esr(config-ldap-server)# priority <PRIORITY>	<PRIORITY> – приоритет использования удаленного сервера, принимает значения [1..65535]. Чем ниже значение, тем приоритетнее сервер. Значение по умолчанию: 1.
1516	Задать IPv4/IPv6-адрес, который будет использоваться в качестве IP/IPv6-адреса источника в отправляемых LDAP-пакетах.	esr(config-ldap-server)# source-address { <ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> }	<ADDR> – IP-адрес источника, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.
1617	Задать интерфейс или туннель маршрутизатора, IPv4/IPv6-адрес которого будет использоваться в качестве IPv4/IPv6-адреса источника в отправляемых LDAP-пакетах.	esr(config-ldap-server)# source-interface { <IF> \| <TUN> }	<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора; <TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора.
1718	Указать LDAP в качестве метода аутентификации.	esr(config)# aaa authentication login { default \| <NAME> } <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка, задаётся строкой до 31 символа. Способы аутентификации: local – аутентификация с помощью локальной базы пользователей; tacacs – аутентификация по списку TACACS-серверов; radius – аутентификация по списку RADIUS-серверов; ldap – аутентификация по списку LDAP-серверов.
1819	Указать LDAP в качестве способа аутентификации повышения привилегий пользователей.	esr(config)# aaa authentication enable <NAME> <METHOD 1> [ <METHOD 2> ] [ <METHOD 3> ] [ <METHOD 4> ]	<NAME> – имя списка строка до 31 символа; default – имя списка по умолчанию. <METHOD> – способы аутентификации: enable – аутентификация с помощью enable-паролей; tacacs – аутентификация по протоколу TACACS; radius – аутентификация по протоколу RADIUS; ldap – аутентификация по протоколу LDAP.
1920	Указать способ перебора методов аутентификации в случае отказа.	esr(config)# aaa authentication mode <MODE>	<MODE> – способы перебора методов: chain – если сервер вернул FAIL, переход к следующему в цепочке методу аутентификации; break – если сервер вернул FAIL, прекратить попытки аутентификации. Если сервер недоступен, продолжить попытки аутентификации следующими в цепочке методами. Значение по умолчанию: chain.
2021	Перейти в режим конфигурирования соответствующего терминала.	esr(config)# line <TYPE>	<TYPE> – тип консоли: console – локальная консоль; ssh – защищенная удаленная консоль.
2122	Активировать список аутентификации входа пользователей в систему.	esr(config-line-console)# login authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 14.
2223	Активировать список аутентификации повышения привилегий пользователей.	esr(config-line-console)# enable authentication <NAME>	<NAME> – имя списка, задаётся строкой до 31 символа. Создано на шаге 15.

...

group> -

Шаг	Описание	Команда	Ключи
1	Включить защиту от ICMP flood-атак.	esr(config)# ip firewall screen dos-defense icmp-threshold { <NUM> }	<NUM> – количество ICMP-пакетов в секунду, задается в диапазоне [1..10000].
2	Включить защиту от land-атак.	esr(config)# firewall screen dos-defense land
3	Включить ограничение числа пакетов, отправляемых за одну секунду на один адрес назначения	esr(config)# ip firewall screen dos-defense limit-session-destination { <NUM> }	<NUM> – ограничение числа IP-пакетов в секунду, задается в диапазоне [1..10000].
4	Включить ограничение числа пакетов, отправляемых за одну секунду с единого адреса источника	esr(config)# ip firewall screen dos-defense limit-session-source { <NUM> }	<NUM> – ограничение числа IP-пакетов в секунду, задается в диапазоне [1..10000].
5	Включить защиту от SYN flood-атак.	esr(config)# ip firewall screen dos-defense syn-flood { <NUM> } [src-dsr]	<NUM> – максимальное количество TCP-пакетов с установленным флагом SYN в секунду, задается в диапазоне [1..10000]. src-dst – ограничение количества TCP-пакетов с установленным флагом SYN на основании адреса источника и адреса назначения.
6	Включить защиту от UDP flood-атак.	esr(config)# ip firewall screen dos-defense udp-threshold { <NUM> }	<NUM> – максимальное количество UDP-пакетов в секунду, задается в диапазоне [1..10000].
7	Включить защиту от winnuke-атак.	esr(config)# ip firewall screen dos-defense winnuke
8	Включить блокировку TCP-пакетов с установленным флагом FIN и не установленным флагом ACK.	esr(config)# ip firewall screen spy-blocking fin-no-ack
9	Включить блокировку ICMP-пакетов различных типов.	esr(config)# ip firewall screen spy-blocking icmp-type	<TYPE> – тип ICMP, может принимать значения: destination-unreachable echo-request reserved source-quench time-exceeded
10	Включить защиту от IP sweep-атак.	esr(config)# ip firewall screen spy-blocking ip-sweep { <NUM> }	<NUM> – интервал выявления ip sweep атаки, задается в миллисекундах [1..1000000].
11	Включить защиту от port scan-атак.	esr(config)# ip firewall screen spy-blocking port-scan { <threshold> } [ <TIME> ]	<threshold> – интервал в секундах, в течение которого будет фиксироваться port scan-атака [1..10000]. <TIME> – время блокировки в миллисекундах [1..1000000].
12	Включить защиту от IP spoofing-атак.	esr(config)# ip firewall screen spy-blocking spoofing
13	Исключить из защиты от IP-spoofing атак указанную Object Group.	esr(config)# ip firewall screen spy-blocking spoofing exclude <object-group>	<object-	group> – список разрешённых для spoofing подсетей.
14	Включить блокировку TCP-пакетов, с установленными флагами SYN и FIN.	esr(config)# ip firewall screen spy-blocking syn-fin
15	Включить блокировку TCP-пакетов, со всеми флагами или с набором флагов: FIN, PSH, URG. Данной командой обеспечивается защита от атаки XMAS.	esr(config)# ip firewall screen spy-blocking tcp-all-flag
16	Включить блокировку TCP-пакетов, с нулевым полем flags.	esr(config)# ip firewall screen spy-blocking tcp-no-flag
17	Включить блокировку фрагментированных ICMP-пакетов.	esr(config)# ip firewall screen suspicious-packets icmp-fragment
18	Включить блокировку фрагментированных IP-пакетов.	esr(config)# ip firewall screen suspicious-packets ip-fragment
19	Включить блокировку ICMP-пакетов длиной более 1024 байт.	esr(config)# ip firewall screen suspicious-packets icmp-fragment
20	Включить блокировку фрагментированных TCP-пакетов, с флагом SYN.	esr(config)# ip firewall screen suspicious-packets syn-fragment
21	Включить блокировку фрагментированных UDP-пакетов.	esr(config)# ip firewall screen suspicious-packets udp-fragment
22	Включить блокировку пакетов, с ID протокола в заголовке IP равном 137 и более.	esr(config)# ip firewall screen suspicious-packets unknown-protocols
23	Установить частоту оповещения (по SNMP, syslog и в CLI) об обнаруженных и отраженных сетевых атаках.	esr(config)# ip firewall logging interval <NUM>	<NUM> – интервал времени в секундах [30 .. 2147483647].
24	Включить более детальный вывод сообщений по обнаруженным и отраженным сетевым атакам в CLI.	esr(config)# logging firewall screen detailed	25	Включить механизм обнаружения и механизм обнаружения и логирования DoS-атак через CLI, Syslog и по SNMP.	esr(config)# logging firewall screen dos-defense <ATACK_TYPE>	<ATACK_TYPE> – тип DoS-атаки, принимает значения: icmp-threshold, land, limit-session-destination, limit-session-source, syn-flood, udp-threshold, winnuke.
2625	Включить механизм обнаружения и логирования шпионской активности через CLI, Syslog и по SNMP.	esr(config)# logging firewall screen spy-blocking { <ATACK_TYPE> \| icmp-type <ICMP_TYPE> }	<ATACK_TYPE> – тип шпионской активности, принимает значения: fin-no-ack, ip-sweep, port-scan, spoofing, syn-fin, tcp-all-flag, tcp-no-flag. <ICMP_TYPE> – тип ICMP, принимает значения: destination-unreachable, echo-request, reserved, source-quench, time-exceeded.
2726	Включить механизм обнаружения нестандартных пакетов и логирования через CLI, Syslog и по SNMP.	esr(config)# logging firewall screen suspicious-packets <PACKET_TYPE>	<PACKET_TYPE> – тип нестандартных пакетов, принимает значения: icmp-fragment, ip-fragment, large-icmp, syn-fragment, udp-fragment, unknown-protocols.

...

Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Алгоритм настройки

allow-unknown

<TYPE> – тип аргумента, устанавливаемый в качестве порта:

object-group – указать имя профиля;
port-range – указать диапазон портов;
any – установить в качестве порта любой порт.

<PORT-SET-NAME> – задаётся строкой до 31 символа;

<FROM-PORT> – начальный порт диапазона;

<TO-PORT> – конечный порт диапазона.

Установить профиль приложений, которые будут использоваться в механизме DPI match application <OBJ-GROUP-NAME>

Шаг

Описание

Команда

Ключи

1

Создать зоны безопасности.

esr(config)# security zone <zone-name1>

esr(config)# security zone <zone-name2>

<zone-name> – до 12 символов.

Имена all, any и self зарезервированы.

2

Задать описание зоны безопасности.

esr(config-security-zone)# description <description>

<description> – до 255 символов.

3

Указать экземпляр VRF, в котором будет работать данная зона безопасности (необязательно).

esr(config- security-zone)# ip vrf forwarding <VRF>

<VRF> – имя VRF, задается строкой до 31 символа.

4

Включить счетчики сессий для NAT и Firewall (необязательно, снижает производительность).

esr(config)# ip firewall sessions counters

5

Отключить фильтрацию пакетов, для которых не удалось определить принадлежность к какому-либо известному соединению и которые не являются началом нового соединения (необязательно, снижает производительность).

esr(config)# ip firewall sessions

unknown <ACTION>

<ACTION> – правило обработки неизвестных сессий для межсетевого экрана:

permit – разрешить неизвестные сессии;
deny – отбрасывать неизвестные сессии;
reject – отбрасывать неизвестные сессии и отправлять обратно пакет с ошибкой.

6

Выбрать режим работы межсетевого экрана (необязательно).

В режиме stateful проверяется только первый пакет сессии, и если «прямой» трафик разрешён, «ответный» трафик разрешается автоматически.

В режиме stateless происходит проверка каждого пакета. «Прямой» и «ответный» трафики требуется разрешать в соответствующих zone-pair (см. шаг 29).

Работа межсетевого экрана по списку приложений возможна только в режиме stateless.

esr(config)# ip firewall mode <MODE>

<MODE> – режим работы межсетевого экрана, может принимать значения: stateful, stateless.

Значение по умолчанию: stateful.

7

Определить время жизни сессии для неподдерживаемых протоколов (необязательно).

esr(config)# ip firewall sessions generic-timeout <TIME>

<TIME> – время жизни сессии для неподдерживаемых протоколов, принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

8

Определить время жизни ICMP-сессии, по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions icmp-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

9

Определить время жизни ICMPv6-сессии, по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions icmpv6-timeout <TIME>

<TIME> – время жизни ICMP-сессии, принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

10

Определить размер таблицы сессий, ожидающих обработки (необязательно).

esr(config)# ip firewall sessions max-expect <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].

По умолчанию: 256.

11

Определить размер таблицы отслеживаемых сессий (необязательно).

esr(config)# ip firewall sessions max-tracking <COUNT>

<COUNT> – размер таблицы, принимает значения [1..8553600].
По умолчанию: 512000.

12

Определить время жизни TCP-сессии в состоянии «соединение устанавливается», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions tcp-connect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение устанавливается», принимает значения в секундах [1..8553600].

По умолчанию: 60 секунд.

13

Определить время жизни TCP-сессии в состоянии «соединение закрывается», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions tcp-disconnect-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение закрывается» принимает значения в секундах [1..8553600].
По умолчанию: 30 секунд.

14

Определить время жизни TCP-сессии в состоянии «соединение установлено», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions tcp-established-timeout <TIME>

<TIME> – время жизни TCP-сессии в состоянии «соединение установлено», принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

15

Определить время ожидания, по истечении которого происходит фактическое удаление закрытой TCP-сессии из таблицы отслеживаемых сессий (необязательно).

esr(config)# ip firewall sessions tcp-latecome-timeout <TIME>

<TIME> – время ожидания, принимает значения в секундах [1..8553600].

По умолчанию: 120 секунд.

16

Включить функцию отслеживания сессий уровня приложений для отдельных протоколов (необязательно).

esr(config)# ip firewall sessions tracking

<PROTOCOL> – протокол уровня приложений [ftp, h323, pptp, netbios-ns, tftp], сессии которого должны отслеживаться.

<OBJECT-GROUP-SERVICE> – имя профиля TCP/UDP-портов sip-сессии, задаётся строкой до 31 символа. Если группа не указана, то отслеживание сессий sip будет осуществляться для порта 5060.

Вместо имени отдельного протокола можно использовать ключ «all», который включает функцию отслеживания сессий уровня приложений для всех доступных протоколов.

По умолчанию – отключено для всех протоколов.

17

Определить время жизни UDP-сессии в состоянии «соединение подтверждено», по истечении которого она считается устаревшей (необязательно).

esr(config)# ip firewall sessions udp-assured-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии «соединение подтверждено», принимает значения в секундах [1..8553600].

По умолчанию: 180 секунд.

18

Определить время жизни UDP-сессии в состоянии «соединение не подтверждено», по истечении которого она считается устаревшей.

esr(config)# ip firewall sessions udp-wait-timeout <TIME>

<TIME> – время жизни UDP-сессии в состоянии «соединение не подтверждено», принимает значения в секундах [1..8553600].

По умолчанию: 30 секунд.

19

Создать списки MAC-адресов, которые будут использоваться при фильтрации.

esr(config)# object-group mac <obj-group-name>

<obj-group-name> – до 31 символа.

20

Задать описание списка MAC-адресов (необязательно).

esr(config-object-group-mac)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

21

Внести необходимые MAC-адреса в список.

esr(config-object-group-mac)# mac address <ADDR> <WILDCARD>

<ADDR> – МАС-адрес, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

22

Создать списки IP-адресов, которые будут использоваться при фильтрации.

esr(config)# object-group network <obj-group-name>

<obj-group-name> – до 31 символа.

23

Задать описание списка IP-адресов (необязательно).

esr(config-object-group-network)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

24

Внести необходимые IPv4/IPv6-адреса в список.

esr(config-object-group-network)# ip prefix <ADDR/LEN> [ unit <ID> ]

<ADDR/LEN> – подсеть, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ip address-range
<FROM-ADDR>-<TO-ADDR> [ unit <ID> ]

<FROM-ADDR> – начальный IP-адрес диапазона адресов;

<TO-ADDR> – конечный IP-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IP-адрес.

Адреса задаются в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ipv6 prefix <IPV6-ADDR/LEN> [ unit <ID> ]

<IPV6-ADDR/LEN> – IP-адрес и маска подсети, задаётся в виде X:X:X:X::X/EE, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и EE принимает значения [1..128].

<ID> – номер юнита, принимает значения [1..2].

esr(config-object-group-network)# ipv6 address-range
<FROM-ADDR>-<TO-ADDR> [ unit <ID> ]

<FROM-ADDR> – начальный IPv6-адрес диапазона адресов;

<TO-ADDR> – конечный IPv6-адрес диапазона адресов, опциональный параметр. Если параметр не указан, то командой задаётся одиночный IPv6-адрес.

Адреса задаются в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF].

<ID> – номер юнита, принимает значения [1..2].

25

Создать списки сервисов, которые будут использоваться при фильтрации.

esr(config)# object-group service <obj-group-name>

<obj-group-name> – имя профиля сервисов, задается строкой до 31 символа.

26

Задать описание списка сервисов (необязательно).

esr(config-object-group-service)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

27

Внести необходимые сервисы (tcp/udp-порты) в список.

esr(config-object-group-service)# port-range <port>

<port> – принимает значение [1..65535].

Можно указать несколько портов перечислением через запятую «,» либо указать диапазон портов через «-».

28

Создать списки приложений, которые будут использоваться в механизме DPI.

esr(config)# object-group application <NAME>

<NAME> – имя профиля приложений, задается строкой до 31 символа.

29

Задать описание списка приложений (необязательно).

esr(config-object-group-application)# description <description>

<description> – описание профиля, задается строкой до 255 символов.

30

Внести необходимые приложения в списки.

esr(config-object-group-application)# application < APPLICATION >

<APPLICATION> – указывает приложение, попадающее под действие данного профиля.

31Включить

Создать список доменных имен, которые будут использоваться при фильтрации.

esr(config)# object-group domain-name <NAME>

<NAME> – имя профиля доменных имен, задается строкой до 31 символа.

32

Задать описание списка доменных имен (необязательно интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо).

esr(config-object-ifgroup-domain-giname)# security-zone <zone-name>

<zone-name> – до 12 символов.

description <description>

<description> – описание профиля, задается строкой до 255 символов.

33

Внести необходимые доменные имена в списки.

esr(config-object-group-domain-name)# domain <DOMAIN>

<DOMAIN> – доменное имя, строка длинной от 1 до 253 символов.

34

Включить интерфейсы (физические, логические, E1/Multilink и подключаемые), сервер удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) в зоны безопасности (если необходимо).

esr(config-if-gi)# security-zone <zone-name>

<zone-name> – до 12 символов.

Отключить функции Отключить функции Firewall на сетевом интерфейсе (физические, логические, E1/Multilink и подключаемые), сервере удаленного доступа (l2tp, openvpn, pptp) или туннели (gre, ip4ip4, l2tp, lt, pppoe, pptp) (если необходимо).

esr(config-if-gi)# ip firewall disable

Отключить функции Firewall глобально на всех сетевых сущностях (если необходимо).

esr(config)# ip firewall disable

3532

Создать набор правил межзонового взаимодействия.

На маршрутизаторе всегда существует зона безопасности с именем «self»«self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self»«self».

Очерёдность обработки трафика для разных zone-pair описана в примечании.

esr(config)# security zone-pair <src-zone-name1> <dst-zone-name2>

<src-zone-name> – до 12 символов.

<dst-zone-name> – до 12 символов.

3336

Создать правило межзонового взаимодействия.

esr(config-security-zone-pair)# rule <rule-number>

<rule-number> – 1..10000.

3437

Задать описание правила (необязательно).

esr(config-security-zone-pair)# description <description>

<description> – до 255 символов.

3538

Указать действие данного правила.

esr(config-security-zone-pair-rule)# action <action> [ log ]

<action> – permit/deny/reject/netflow-sample/sflow-sample/rate-limit/session-limit

Примечание
Ключ session-limit применим только на моделях ESR-30/ESR-31/ESR-3100/ESR-3200/ESR-3200L/ESR-3250, ESR-3300, ESR-3350.

log – ключ для активации логирования сессий, устанавливающимися согласно данному правилу.

3639

Установить имя или номер IP-протокола, для которого должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] protocol <protocol-type>

<protocol-type> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.

При указании значения «any» правило будет срабатывать для любых протоколов.

esr(config-security-zone-pair-rule)# match [not] protocol-id <protocol-id>

<protocol-id> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].

3740

Установить профиль IP-адресов адрес отправителя, для которых должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] source-address <TYPE> { <FROM-ADDR> - <TO ADDR> | <OBJ-GROUP-NAME> | <ADDR/LEN>}

<TYPE> – тип аргумента, устанавливаемый в качестве адреса:

address-range – указать диапазон IPv4/IPv6 адресов;
object-group – указать имя профиля;
prefix – указать адрес подсети и префикс;
any – установить в качестве адреса любой адрес.

<FROM-ADDR> – начальный IP-адрес диапазона;
<TO-ADDR> – конечный IP-адрес диапазона;

<OBJ-GROUP-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа;

<ADDR/LEN> – IP-адрес и маска подсети.

38

Установить профиль IP-адресов получателя, для которых должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] destination-address <TYPE> {<FROM-ADDR> - <TO ADDR> | <OBJ-GROUP-NAME> | <ADDR/LEN>}

39

Установить MAC-адрес отправителя, для которого должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] source-mac {<mac-addr> | <OBJ-GROUP-NAME>}

<mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<OBJ-GROUP-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа.

40

Установить MAC-адрес получателя, для которого должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)# match [not] destination-mac {<mac-addr> | <OBJ-GROUP-NAME>}

address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group { network <OBJ-GROUP-NETWORK-NAME> | domain-name <OBJ-GROUP-DOMAIN-NAME> } | any }

address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];

prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];

object-group network <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа;

object-group domain-name <OBJ-GROUP-DOMAIN-NAME> – имя профиля доменных имен, задаётся строкой до 31 символа.

При указании значения any правило будет срабатывать для любого IP-адреса получателя.

41

Установить IP-адрес получателя, для которых должно срабатывать правило (необязательно

41

Установить профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило (если указан протокол).

esr(config-security-zone-pair-rule)# match [not] sourcedestination-port <TYPE> address { <PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } |
object-group { network <OBJ-GROUP-NETWORK-NAME> | domain-name <OBJ-GROUP-DOMAIN-NAME> } | any }

42

Установить MAC-адрес отправителя, для которого должно срабатывать правило (необязательно

42

Установить профиль TCP/UDP-портов получателя, для которых должно срабатывать правило (если указан протокол).

esr(config-security-zone-pair-rule)# match [not] destinationsource-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}

43

mac {<mac-addr> | <OBJ-GROUP-NAME>}

<mac-addr> – задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF].

<OBJ-GROUP-NAME> – имя профиля MAC-адресов, задаётся строкой до 31 символа.

43

Установить MAC-адрес получателя, для которого должно срабатывать правило (необязательно).

esr(config-security-zone-pair-rule)#

match [not]

destination-mac {<mac-addr> | <OBJ-GROUP-NAME>

– имя профиля приложений, задаётся строкой до 31 символа.

}

44

Установить тип и код сообщений протокола ICMPTCP/UDP-порт отправителя, для которых которого должно срабатывать правило (если в качестве протокола выбран ICMP) (необязательноуказан протокол).

esr(config-security-zone-pair-rule)# match [not] icmp <ICMP_TYPE> <ICMP_CODE>

<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.

source-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}

<TYPE> – тип аргумента, устанавливаемый в качестве порта:

object-group – указать имя профиля;
port-range – указать диапазон портов;
any – установить в качестве порта любой порт.

<PORT-SET-NAME> – задаётся строкой до 31 символа;

<FROM-PORT> – начальный порт диапазона;

<TO-PORT> – конечный порт диапазона.

45

Установить TCP/UDP-порт получателя, для которого должно срабатывать правило (если указан протокол)

45

Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.

esr(config-security-zone-pair-rule)# match [not] destination-nat-port <TYPE> {<PORT-SET-NAME> | <FROM-PORT> - <TO-PORT>}

46

Установить фильтрацию только для фрагментированных IP-пакетов (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> any)профиль приложений, который будет использоваться в механизме DPI.

esr(config-security-zone-pair-rule)# match match [not] fragmentapplication <OBJ-GROUP-NAME>

<OBJ-GROUP-NAME> – имя профиля приложений, задаётся строкой до 31 символа.

47

Установить фильтрацию для IP-пакетов, содержащих ip-option (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> anyтип и код сообщений протокола ICMP, для которых должно срабатывать правило (если в качестве протокола выбран ICMP) (необязательно).

esr(config-security-zone-pair-rule)# match [not] ip-option icmp <ICMP_TYPE> <ICMP_CODE>

<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0..255];

<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.

48

Установить тип и код сообщений протокола ICMPv6, для которых должно срабатывать правило (если в качестве протокола выбран ICMP)

48

Включить правило межзонового взаимодействия.

esr(config-security-zone-pair-rule)# enable

49

Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (необязательно).

esr(config-bridge)# ports firewall enable

...

-security-zone-pair-rule)# match [not] icmpv6 <ICMP_TYPE> <ICMP_CODE>	<ICMP_TYPE> – тип сообщения протокола ICMPv6, принимает значения [0..255]; <ICMP_CODE> – код сообщения протокола ICMPv6, принимает значения [0..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP.
49	Установить ограничение, при котором правило будет срабатывать только для трафика, измененного сервисом трансляции IP-адресов и портов получателя.	esr(config-security-zone-pair-rule)# match [not] destination-nat
50	Установить фильтрацию только для фрагментированных IP-пакетов (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).	esr(config-security-zone-pair-rule)# match [not] fragment
51	Установить фильтрацию для IP-пакетов, содержащих ip-option (необязательно, доступно только для zone-pair any self и zone-pair <zone-name> any).	esr(config-security-zone-pair-rule)# match [not] ip-option
52	Включить правило межзонового взаимодействия.	esr(config-security-zone-pair-rule)# enable
53	Активировать фильтрацию и режим отслеживания сессий при прохождении пакетов между участниками одной Bridge-группы (необязательно).	esr(config-bridge)# ports firewall enable

Якорь

	Firewall_zonepair
	Firewall_zonepair

Порядок обработки транзитного трафика правилами firewall

Трафик проверяется правилами zone-pair user-zone any.
Если трафик

...

Порядок обработки транзитного трафика правилами firewall

Трафик проверяется правилами zone-pair user-zone any.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Если трафик передаётся с одного интерфейса на другой в пределах одной зоны (user-zone), то он проверяется правилами zone-pair user-zone user-zone.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Если трафик передаётся с одного интерфейса на другой в разных зонах, то он проверяется правилами zone-pair user-zone1 user-zone2.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Если трафик передаётся с одного интерфейса на другой в пределах одной зоны (user-zone), то он проверяется правилами zone-pair user-zone user-zone.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Если трафик передаётся с одного интерфейса на другой в разных зонах, то он проверяется правилами zone-pair user-zone1 user-zone2.
Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу.
Трафик проверяется правилами zone-pair any any.
Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасывается.

...

Более подробная информация о командах для настройки межсетевого экрана содержится в справочнике команд CLI.scroll-pagebreak

Пример настройки Firewall

...

Блок кода

esr(config)# object-group network WAN
esr(config-object-group-network)# ip address-range 192.168.23.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN
esr(config-object-group-network)# ip address-range 192.168.12.2
esr(config-object-group-network)# exit
esr(config)# object-group network LAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.12.1
esr(config-object-group-network)# exit
esr(config)# object-group network WAN_GATEWAY
esr(config-object-group-network)# ip address-range 192.168.23.3
esr(config-object-group-network)# exit

...

Для пропуска трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, разрешающее проходить ICMP-трафику от R1 к R2. Действие правил разрешается командой enable:

...

Блок кода
esr# show ip firewall sessions

Пример настройки

...

Firewall по доменным именам

Задача:

Фиксировать обращения на ресурсы компании Yandex из локальной сети в Syslog:

Примечание

Использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из-за необходимости проверки определенного объема пакетов в каждой сессии. Производительность снижается с ростом количества выбранных приложений для фильтрации. Механизм фильтрации приложений работает только для транзитных пакетов и только в режиме черного списка (запрет прохождения трафика для указанных приложений).

Задача:

Блокировать доступ пользователей в локальной сети к Telegram, Facebook Messenger и Skype.

Scroll Pagebreak

Решение:

Для каждой сети ESR создадим свою зону безопасностиСоздадим зоны безопасности для локальной сети и uplink-интерфейса в сторону интернет-провайдера:

Блок кода
esr# configure esr(config)# security zone LAN esr(config-security-zone)# exit esr(config)# security zone WAN esr(config-security-zone)# exit

...

Блок кода

esr(config)# interface gi1/0/1
esr(config-if-gi)# ip address 10.0.0.1/24
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# exit
esr(config)# interface gi1/0/2
esr(config-if-te)# ip address 192.168.0.1/24
esr(config-if-te)# security-zone LAN 
esr(config-if-te)# exit

Настроим маршрут по умолчанию в сторону интернет-провайдера:Для настройки правил зон безопасности потребуется создать профиль приложений, которые необходимо будет блокировать.

Блок кода

esr(config)# ip object-group application BLACKLIST
esr(config-object-group-application)# application telegram 
esr(config-object-group-application)# application facebook-messenger 
esr(config-object-group-application)# application skype-teams
esr(config-object-group-application)# exit

Для установки правил прохождения трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, запрещающее проходить трафику приложений, и правило, разрешающее проходить остальному трафику. Действие правил разрешается командой enable:

route 0.0.0.0/0 10.0.0.254

Настроим систему разрешения доменных имен, её настройка необходима для работы Firewall по доменным именам:

Блок кода
esr(config)# domain lookup enable esr(config)# domain nameserver 10.0.0.254

Настроим простую конфигурацию Source-NAT для любого транзитного через ESR трафика:

Блок кода

esr(config)# nat source
esr(config-snat)# ruleset SNAT
esr(config-snat-ruleset)# to zone WAN

Блок кода

esr(config)# security zone-pair WAN LAN 
esr(config-securitysnat-zone-pairruleset)# rule 1
esr(config-security-zone-pairsnat-rule)# action deny
esr(config-security-zone-pair-rule)# match application BLACKLISTsource-nat interface
esr(config-securitysnat-zone-pair-rule)# enable
esr(config-securitysnat-zone-pair-rule)# exit
esr(config-securitysnat-zone-pairruleset)# rule 2exit
esr(config-security-zone-pair-rulesnat)# action permit
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

Scroll Pagebreak

...

exit

Scroll Pagebreak

Создадим профиль доменных имен, включающий в себя популярные домены компании "Яндекс":

Информация

ESR также позволяет работать с интернационализованными доменными именами (домены, использующие символы национальных алфавитов). Для использования интернационализованного доменного имени в конфигурации ESR его нужно преобразовать к виду ASCII-compatible encoding при помощи любого Punycode-преобразователя. Т. е. получим:
яндекс.рф → xn--d1acpjx3f.xn–p1ai

президент.рф → xn--d1abbgf6aiiy.xn–p1ai

И уже ASCII-compatible encoding вариант доменного имени можно указывать в конфигурации ESR.

Блок кода

esr(config)# securityobject-group zonedomain-pairname LAN WANYANDEX
esr(config-object-securitygroup-zonedomain-pairname)# ruledomain 1ya.ru
esr(config-securityobject-zonegroup-pairdomain-name)# domain yandex.ru
esr(config-object-group-domain-name)# domain dzen.ru
esr(config-object-group-domain-name)# domain xn--d1acpjx3f.xn--p1ai
esr(config-object-group-domain-name)# exit

Разрешим прохождение трафика из зоны «LAN» в зону «WAN» и отдельно создадим правило, которое будет фиксировать в Syslog обращения на домены компании "Яндекс":

Блок кода

esr(config)# security zone-pair LAN WAN 
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action permit logrule)# action deny
esr(config-security-zone-pair-rule)# match application BLACKLIST destination-address object-group domain-name YANDEX
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# rule 2
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

...

Блок кода
esr# show ip firewall sessions

Настройка списков доступа (ACL)

Access Control List или ACL — список контроля доступа, содержит правила, определяющие прохождение трафика через интерфейс.

Алгоритм настройки

...

esr(config)# ip access-list extended <NAME>

...

esr(config-acl)# description <DESCRIPTION>

...

Создать правило и перейти в режим его конфигурирования.

Правила обрабатываются маршрутизатором в порядке возрастания их номеров.

...

esr(config-acl)# rule <ORDER>

...

esr(config-acl-rule)# action <ACT>

...

<ACT> – назначаемое действие:

permit – прохождение трафика разрешается;
deny – прохождение трафика запрещается.

...

esr(config-acl-rule)# match protocol <TYPE>

...

esr(config-acl-rule)# match protocol-id <ID>

...

6

...

Установить IP-адреса отправителя, для которых должно срабатывать правило (необязательно).

...

esr(config-acl-rule)# match source-address { <ADDR> <MASK> | any }

...

<ADDR> – IP-адрес отправителя, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<MASK> – маска IP-адреса, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске.

При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя.

...

7

...

Установить IP-адреса получателя, для которых должно срабатывать правило (необязательно).

...

esr(config-acl-rule)# match destination-address { <ADDR> <MASK> | any }

...

8

...

Установить MAC-адреса отправителя, для которых должно срабатывать правило (необязательно).

...

esr(config-acl-rule)# match source-mac <ADDR><WILDCARD>

...

<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF];

<WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.

...

9

...

Установить MAC-адреса получателя, для которых должно срабатывать правило (необязательно).

...

esr(config-acl-rule)# match destination-mac <ADDR><WILDCARD>

...

10

...

Установить номер TCP/UDP-порта отправителя, для которого должно срабатывать правило (если указан протокол).

...

esr(config-acl-rule)# match source-port <TYPE> {<FROM-PORT> - <TO-PORT> | <PORT>}

...

<TYPE> – тип аргумента, устанавливаемый в качестве порта:

port-range – указать диапазон портов;
any – установить в качестве порта любой порт.

<FROM-PORT> – начальный порт диапазона;

<TO-PORT> – конечный порт диапазона;

<PORT> - Указание единичного порта

...

11

...

Установить номер TCP/UDP-порта получателя, для которого должно срабатывать правило (если указан протокол).

...

esr(config-acl-rule)# match destination-port <TYPE> {<FROM-PORT> - <TO-PORT> | <PORT>}

...

12

...

Установить значение 802.1p приоритета, для которого должно срабатывать правило (необязательно).

...

esr(config-acl-rule)# match сos <COS>

...

<COS> – значение 802.1p приоритета, принимает значения [0..7].

...

13

...

Установить значение кода DSCP, для которого должно срабатывать правило (необязательно). Невозможно использовать совместно с IP Precedence.

...

esr(config-acl-rule)# match dscp <DSCP>

...

<DSCP> – значение кода DSCP, принимает значения [0..63].

...

14

...

Установить значение кода IP Precedence, для которого должно срабатывать правило (необязательно). Невозможно использовать совместно с DSCP.

...

esr(config-acl-rule)# match ip-precedence <IPP>

...

<IPP> – значение кода IP Precedence, принимает значения [0..7].

...

15

...

Установить значение идентификационного номера VLAN, для которого должно срабатывать правило (необязательно).

...

esr(config-acl-rule)# match vlan <VID>

...

<VID> – идентификационный номер VLAN, принимает значения [1..4094].

...

16

...

Активировать правило.

...

esr(config-acl-rule)# enable

...

17

...

Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика.

...

esr(config-if-gi)# service-acl input <NAME>

...

<NAME> – имя списка контроля доступа, задаётся строкой до 31 символа.

...

Также списки доступа могут использоваться для организации политик QoS.

Пример настройки списка доступа

Задача:

Разрешить прохождения трафика только из подсети 192.168.20.0/24.

Решение:

Настроим список доступа для фильтрации по подсетям:

Блок кода

esr# configure
esr(config)# ip access-list extended white
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit 
esr(config-acl-rule)# match source-address 192.168.20.0 255.255.255.0
esr(config-acl-rule)# enable 
esr(config-acl-rule)# exit
esr(config-acl)# exit

Применим список доступа на интерфейс Gi1/0/19 для входящего трафика:

Блок кода
esr(config)# interface gigabitethernet 1/0/19 esr(config-if-gi)# service-acl input white

...

Посмотреть кэш DNS можно с помощью команд:

Блок кода
esr# show dns records esr# show dns records negative

Пример сообщения Syslog при срабатывании правила:

Блок кода
<190>1 2025-07-07T17:40:10+07:00 esr firewalld - - - %FIREWALL-I-LOG: zone-pair 'LAN WAN' rule 1 permitted tcp 192.168.0.21:45574 (gi1/0/2) -> 77.88.44.55:443 dscp 48

Пример настройки фильтрации приложений (DPI)

Примечание

Использование механизма фильтрации приложений многократно снижает производительность маршрутизатора из-за необходимости проверки определенного объема пакетов в каждой сессии. Производительность снижается с ростом количества выбранных приложений для фильтрации. Механизм фильтрации приложений работает только для транзитных пакетов и только в режиме черного списка (запрет прохождения трафика для указанных приложений).

Задача:

Блокировать доступ пользователей в локальной сети к Telegram, Facebook Messenger и Skype.

Image Added

Решение:

Для каждой сети ESR создадим свою зону безопасности:

Блок кода
esr# configure esr(config)# security zone LAN esr(config-security-zone)# exit esr(config)# security zone WAN esr(config-security-zone)# exit

Настроим сетевые интерфейсы и определим их принадлежность к зонам безопасности:

Блок кода

esr(config)# interface gi1/0/1
esr(config-if-gi)# ip address 10.0.0.1/24
esr(config-if-gi)# security-zone WAN
esr(config-if-gi)# exit
esr(config)# interface gi1/0/2
esr(config-if-te)# ip address 192.168.0.1/24
esr(config-if-te)# security-zone LAN 
esr(config-if-te)# exit

Для настройки правил зон безопасности потребуется создать профиль приложений, которые необходимо будет блокировать:

Блок кода

esr(config)# object-group application BLACKLIST
esr(config-object-group-application)# application telegram 
esr(config-object-group-application)# application facebook-messenger 
esr(config-object-group-application)# application skype-teams
esr(config-object-group-application)# exit

Для установки правил прохождения трафика из зоны «WAN» в зону «LAN» создадим пару зон и добавим правило, запрещающее проходить трафику приложений, и правило, разрешающее проходить остальному трафику. Действие правил разрешается командой enable:

Блок кода

esr(config)# security zone-pair WAN LAN 
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action deny
esr(config-security-zone-pair-rule)# match application BLACKLIST
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# rule 2
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

Для установки правил прохождения трафика из зоны «LAN» в зону «WAN» создадим пару зон и добавим правило, запрещающее прохождение трафика приложений, и правило, разрешающее прохождение всего остального трафика. Действие правил разрешается командой enable:

Блок кода

esr(config)# security zone-pair LAN WAN
esr(config-security-zone-pair)# rule 1
esr(config-security-zone-pair-rule)# action deny
esr(config-security-zone-pair-rule)# match application BLACKLIST
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# rule 2
esr(config-security-zone-pair-rule)# action permit
esr(config-security-zone-pair-rule)# enable
esr(config-security-zone-pair-rule)# exit
esr(config-security-zone-pair)# exit

Посмотреть членство портов в зонах можно с помощью команды:

Блок кода
esr# show security zone

Посмотреть пары зон и их конфигурацию можно с помощью команд:

Блок кода
esr# show security zone-pair esr# show security zone-pair configuration

Посмотреть активные сессии можно с помощью команд:

Блок кода
esr# show ip access-list white

Scroll Pagebreak

...

firewall sessions

Настройка списков доступа (ACL)

Access Control List или ACL — список контроля доступа, содержит правила, определяющие прохождение трафика через интерфейс.

Алгоритм настройки

Шаг	Описание	Команда	Ключи
1	Создать список контроля доступа и перейти в режим его конфигурирования.	esr(config)# ip access-list extended <NAME>	<NAME> – имя создаваемого списка контроля доступа, задаётся строкой до 31 символа.
2	Указать описание конфигурируемого списка контроля доступа

Примечание
Данная функция активируется только при наличии лицензии.

IPS/IDS (Intrusion Prevention System/Intrusion Detection System) – система предотвращения вторжений – программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Работа системы основана на сигнатурном анализе трафика. Сигнатуры для систем IPS/IDS принято называть правилами. Устройства ESR позволяют скачивать актуальные правила с открытых источников в сети Интернет или с корпоративного сервера. Также с помощью CLI можно создавать свои специфические правила.

Алгоритм базовой настройки

Задать описание политики ips-policyЗадать профиль IP-адресов, которые будет защищать IPS/IDSips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>Задать профиль IP-адресов, внешних для IPS/IDS (необязательно)ipspolicy external network-group <OBJ-GROUP-NETWORK_NAME>Использовать все ресурсы ESR для IPS/IDS ips perfomance max <IPV6-ADDR> – IPv6-адрес X:X:X:X::X в шестнадцатеричном формате FFFF];

<TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения:

TCP – передача данных осуществляется по протоколу TCP;
UDP – передача данных осуществляется по протоколу UDP.

<PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514;

<SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты;

<IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты;

<NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.

Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (ips logging update-interval <INTERVAL>Установить размер виртуальных очередей ips queue-limit <QUEUE-LIMIT><QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди в диапазоне 324096

Размер очереди по умолчанию 1024

Шаг	Описание	Команда	Ключи
1	Создать политику безопасности IPS/IDS.	esr(config)# security ips policy <NAME>	<NAME> – имя политики безопасности, задаётся строкой до 32 символов.
2	(необязательно).	esr(config-	acl)# description <DESCRIPTION>	<DESCRIPTION> – описание списка контроля доступа, задаётся строкой до 255 символов.
3	Создать правило и перейти в режим его конфигурирования. Правила обрабатываются маршрутизатором в порядке возрастания их номеров.	esr(config-acl)# rule <ORDER>	<ORDER> – номер правила, принимает значения [1...4094].
4	Указать действие, которое должно быть применено для трафика, удовлетворяющего заданным критериям	<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.	4	.	esr(config-	acl-	rule)#	<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.	5	Перейти в режим конфигурирования IPS/IDS.	esr(config)# security ips
6	Назначить политику безопасности IPS/IDS.	esr(config-ips)# policy <NAME>	<NAME> – имя политики безопасности, задаётся строкой до 32 символов.
action <ACT>	<ACT> – назначаемое действие: permit – прохождение трафика разрешается; deny – прохождение трафика запрещается.
5	Установить имя/номер протокола, для которого должно срабатывать правило	7	(необязательно).	esr(config-acl-	rule)#	По умолчанию для IPS/IDS отдается половина доступных ядер процессора.	match protocol <TYPE>	<TYPE> – тип протокола, принимает значения: esp, icmp, icmp6, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rsvp, l2tp, gre. При указании значения «any» правило будет срабатывать для любых протоколов.
5		esr(config-acl-rule)# match protocol-id <ID>	(необязательно).	<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
6	Установить IP-адреса отправителя, для которых должно срабатывать правило	8	Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (необязательно).	esr(config-acl- ips)# logging remote-server { <ADDR> \| <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ rule)# match source-address { <SRC-ADDR> \| <IPV6-SRC-ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> } ]<ADDR> – <ADDR> <MASK> \| any }	<ADDR> – IP-адрес отправителя, задаётся в виде	AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];	<MASK> – маска IP-адреса, задаётся в виде	AAA.BBB.CCC.DDD, где каждая часть принимает значения	[0..	255]. Биты маски, установленные в 0, задают биты IP-адреса, исключаемые из сравнения при поиске. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя/получателя.
7	Установить IP-адреса получателя, для которых должно срабатывать правило (необязательно).	esr(config-acl-rule)# match destination-address { <ADDR> <MASK> \| any }			<ADDR> – IP-адрес отправителя, задаётся в виде		<MASK> – маска IP-адреса, задаётся в виде	AAA.BBB.CCC.DDD, где каждая часть принимает значения	[0..
8	Установить MAC-адреса отправителя, для которых должно срабатывать правило (необязательно).	esr(config-acl-rule)# match source-mac <ADDR><WILDCARD>	<ADDR> – МАС-адрес отправителя, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]; <WILDCARD> – маска МАС-адреса, задаётся в виде XX:XX:XX:XX:XX:XX, где каждая часть принимает значения [00..FF]. Биты маски, установленные в 0, задают биты MAC-адреса, исключаемые из сравнения при поиске.
9	Установить MAC-адреса получателя, для которых должно срабатывать правило (	9		необязательно).	esr(config-acl-	rule)#	<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.	match destination-mac <ADDR><WILDCARD>
10	Установить номер TCP/UDP-порта отправителя, для которого должно срабатывать правило (если указан протокол).	esr(config-acl-rule)# match source-port <TYPE> {<FROM-PORT> - <TO-PORT> \| <PORT>}	<TYPE> – тип аргумента, устанавливаемый в качестве порта: port-range – указать диапазон портов; any – установить в качестве порта любой порт. <FROM-PORT> – начальный порт диапазона; <TO-PORT> – конечный порт диапазона; <PORT> – указание единичного порта.
11	Установить номер TCP/UDP-порта получателя, для которого должно срабатывать правило (если указан протокол	10		Заблокировать передачу трафика при начальной загрузке до запуска сервиса IPS/IDS и загрузки хотя бы одного настроенного или существующего правила (необязательно ).	esr(config- ips acl-rule)# fail-close enable match destination-port <TYPE> {<FROM-PORT> - <TO-PORT> \| <PORT>}
12	Установить значение 802.1p приоритета, для которого должно срабатывать правило	11	(необязательно).	esr(config-	acl-rule)#	match сos <COS>	<COS> – значение 802.1p приоритета, принимает значения	[	0..	7].	12	Активировать сервис IPS.	esr(config-ips)# enable
13	Установить значение кода DSCP, для которого должно срабатывать правило (необязательно). Невозможно использовать совместно с IP Precedence	13	Активировать IPS/IDS на интерфейсе.	esr(config-ifacl-girule)# service-ips { inline \| monitor }	inline – этот режим устанавливается, когда ESR с сервисом IPS/IDS ставится в разрыв сети. monitor – этот режим устанавливается, когда ESR с сервисом IPS/IDS мониторит зеркалируемый трафик.

Алгоритм настройки автообновления правил IPS/IDS из внешних источников

Задать имя внешнего хранилища скачиваемых правил (необязательно)ips# storage-path { usb://<USB-NAME>:/ | mmc://<MMC-NAME>:/ }Задать описание пользовательского сервера обновлений (необязательно)ips-upgrade-user-server)# description <DESCRIPTION>

Шаг	Описание	Команда	Ключи
match dscp <DSCP>	<DSCP> – значение кода DSCP, принимает значения [0..63].
14	Установить значение кода IP Precedence, для которого должно срабатывать правило (необязательно). Невозможно использовать совместно с DSCP
1	.	esr(config-acl-	rule)	# match ip-precedence <IPP>	<IPP> – значение кода IP Precedence, принимает значения [0..7].
15	Установить значение идентификационного номера VLAN, для которого должно срабатывать правило (необязательно).	esr(config-acl-rule)# match vlan <VID>	<VID> – идентификационный номер VLAN, принимает значения [1..4094].
16	Активировать правило	<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb; <MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc. Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.	2	Перейти в режим конфигурирования автообновлений.	esr(config-ipsacl-rule)# auto-upgradeenable
17	Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации входящего трафика	3	Задать имя и перейти в режим конфигурирования пользовательского сервера обновлений.	esr(config-ipsif-auto-upgradegi)# user-server <WORD>service-acl input <NAME>	<NAME> – имя списка контроля доступа<WORD> – имя сервера, задаётся строкой до 32 символов31 символа.	4
18	Указать список контроля доступа к конфигурируемому интерфейсу для фильтрации исходящего трафика.	esr(config-	<DESCRIPTION> – описание задаётся строкой до 255 символов.
5	Задать URL.	esr(config-ips-upgrade-user-server)# url <URL>	<URL> – текстовое поле, содержащее URL-ссылку длиной от 8 до 255 символов. В качестве URL-ссылки может быть указан: файл правил с расширение .rule; файл классификатора правил с именем classification.config; каталог на сервере содержащий файлы правил и/или файл классификатора правил.
6	Задать частоту проверки обновлений (необязательно).	esr(config-ips-upgrade-user-server)# upgrade interval <HOURS>	<HOURS> – интервал обновлений в часах, от 1 до 240. Значение по умолчанию: 24 часа.
7	Активизировать пользовательский сервер обновлений.	esr(config-ips-upgrade-user-server)# enable

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

ESR-1X – 25 МБ;
ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Scroll Pagebreak

Пример настройки списка доступа

Задача:

Разрешить прохождения трафика только из подсети 192.168.20.0/24.

Scroll Pagebreak

Решение:

Настроим список доступа для фильтрации по подсетям:

Блок кода

esr# configure
esr(config)# ip access-list extended white
esr(config-acl)# rule 1
esr(config-acl-rule)# action permit 
esr(config-acl-rule)# match source-address 192.168.20.0 255.255.255.0
esr(config-acl-rule)# enable 
esr(config-acl-rule)# exit
esr(config-acl)# exit

Применим список доступа на интерфейс Gi1/0/19 для входящего трафика:

Блок кода
esr(config)# interface gigabitethernet 1/0/19 esr(config-if-gi)# service-acl input white

Просмотреть детальную информацию о списке доступа возможно через команду:

Блок кода
esr# show ip access-list white

Scroll Pagebreak

Якорь
Настройка IPS/IDS
Настройка IPS/IDS
Настройка IPS/IDS

Примечание
Данная функция активируется только при наличии лицензии.

IPS/IDS (Intrusion Prevention System/Intrusion Detection System) – система предотвращения вторжений – программная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Работа системы основана на сигнатурном анализе трафика. Сигнатуры для систем IPS/IDS принято называть правилами. Устройства ESR позволяют скачивать актуальные правила с открытых источников в сети Интернет или с корпоративного сервера. Также с помощью CLI можно создавать свои специфические правила.

Алгоритм базовой настройки

Шаг	Описание	Команда	Ключи
1	Создать политику безопасности IPS/IDS.	esr(config)# security ips policy <NAME>	<NAME> – имя политики безопасности, задаётся строкой до 32 символов.
2	Задать описание политики (необязательно).	esr(config-ips-policy)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
3	Задать профиль IP-адресов, которые будет защищать IPS/IDS.	esr(config-ips-policy)# protect network-group <OBJ-GROUP-NETWORK_NAME>	<OBJ-GROUP-NETWORK-NAME> – имя профиля защищаемых IP-адресов, задается строкой до 32 символов.
4	Задать профиль IP-адресов, внешних для IPS/IDS (необязательно).	esr(config-ips-policy)# external network-group <OBJ-GROUP-NETWORK_NAME>	<OBJ-GROUP-NETWORK-NAME> – имя профиля внешних IP-адресов, задается строкой до 32 символов.
5	Перейти в режим конфигурирования IPS/IDS.	esr(config)# security ips
6	Назначить политику безопасности IPS/IDS.	esr(config-ips)# policy <NAME>	<NAME> – имя политики безопасности, задаётся строкой до 32 символов.
7	Использовать все ресурсы ESR для IPS/IDS (необязательно).	esr(config-ips)# perfomance max	По умолчанию для IPS/IDS отдается половина доступных ядер процессора.
8	Задать параметры удаленного сервера для отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (необязательно).	esr(config-ips)# logging remote-server { <ADDR> \| <IPV6-ADDR> } [ <TRANSPORT> ] [ <PORT> ] [ source-address { <SRC-ADDR> \| <IPV6-SRC-ADDR> \| object-group <NETWORK_OBJ_GROUP_NAME> } ]	<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF]; <TRANSPORT> – протокол передачи данных, по умолчанию – UDP, принимает значения: TCP – передача данных осуществляется по протоколу TCP; UDP – передача данных осуществляется по протоколу UDP. <PORT> – номер TCP/UDP-порта, опциональный параметр, принимает значения [1..65535], по умолчанию 514; <SRC-ADDR> – IPv4-адрес маршрутизатора, который будет использоваться в качестве IP-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv4-адрес интерфейса, с которого отправляются пакеты; <IPV6-SRC-ADDR> – IPv6-адрес маршрутизатора, который будет использоваться в качестве IPv6-адреса источника в отправляемых syslog-пакетах, по умолчанию – IPv6-адрес интерфейса, с которого отправляются пакеты; <NETWORK_OBJ_GROUP_NAME> – список адресов, которые будут использоваться в качестве source address.
9	Установить интервал отправки статистики работы сервиса IPS/IDS в формате EVE (elasticsearch) (необязательно).	esr(config-ips)# logging update-interval <INTERVAL>	<INTERVAL> – интервал отправки статистики работы сервиса IPS/IDS, задаётся в минутах.
10	Заблокировать передачу трафика при начальной загрузке до запуска сервиса IPS/IDS и загрузки хотя бы одного настроенного или существующего правила (необязательно).	esr(config-ips)# fail-close enable
11	Установить размер виртуальных очередей (необязательно).	esr(config-ips)# queue-limit <QUEUE-LIMIT>	<QUEUE-LIMIT> – предельное количество пакетов в виртуальной очереди, принимает значения в диапазоне [32..4096] Размер очереди по умолчанию 1024
12	Активировать сервис IPS.	esr(config-ips)# enable
13	Активировать IPS/IDS на интерфейсе.	esr(config-if-gi)# service-ips { inline \| monitor }	inline – этот режим устанавливается, когда ESR с сервисом IPS/IDS ставится в разрыв сети. monitor – этот режим устанавливается, когда ESR с сервисом IPS/IDS мониторит зеркалируемый трафик.

Алгоритм настройки автообновления правил IPS/IDS из внешних источников

Шаг	Описание	Команда	Ключи
1	Задать имя внешнего хранилища скачиваемых правил (необязательно).	esr(config-ips)# storage-path { usb://<USB-NAME>:/ \| mmc://<MMC-NAME>:/ }	<USB-NAME> – имя подключенного USB-носителя. Имя можно узнать в выводе команды show storage-devices usb; <MMC-NAME> – имя подключенного MMC-носителя. Имя можно узнать в выводе команды show storage-devices mmc. Для использования с системой IPS/IDS на внешнем носителе должен быть создан раздел файловой системы в формате exFAT.
2	Перейти в режим конфигурирования автообновлений.	esr(config-ips)# auto-upgrade
3	Задать имя и перейти в режим конфигурирования пользовательского сервера обновлений.	esr(config-ips-auto-upgrade)# user-server <WORD>	<WORD> – имя сервера, задаётся строкой до 32 символов.
4	Задать описание пользовательского сервера обновлений (необязательно).	esr(config-ips-upgrade-user-server)# description <DESCRIPTION>	<DESCRIPTION> – описание задаётся строкой до 255 символов.
5	Задать URL.	esr(config-ips-upgrade-user-server)# url <URL>	<URL> – текстовое поле, содержащее URL-ссылку длиной от 8 до 255 символов. В качестве URL-ссылки может быть указан: файл правил с расширение .rule; файл классификатора правил с именем classification.config; каталог на сервере содержащий файлы правил и/или файл классификатора правил.
6	Задать частоту проверки обновлений (необязательно).	esr(config-ips-upgrade-user-server)# upgrade interval <HOURS>	<HOURS> – интервал обновлений в часах, от 1 до 240. Значение по умолчанию: 24 часа.
7	Активизировать пользовательский сервер обновлений.	esr(config-ips-upgrade-user-server)# enable

Предупреждение

Для правил IPS/IDS, загружаемых из внешних источников, на маршрутизаторах ESR выделена отдельная область энергозависимой памяти.

Размер этой области зависит от модели ESR:

ESR-1X – 25 МБ;
ESR-2X – 50 МБ;

Для всех остальных моделей – 100 МБ.

Если настроить слишком много источников правил или загружать правила, превышающие указанные лимиты, то маршрутизатор будет выдавать сообщения об ошибке %STORAGE_IPS_MGR-I-ERR: There no free space in rules directory.
В этом случае стоит уменьшить объем запрашиваемых правил или использовать внешнее хранилище.

Пример настройки IPS/IDS с автообновлением правил

Задача:

Организовать защиту локальной сети с автообновлением правил из открытых источников.

192.168.1.0/24 – локальная сеть.

Решение:

Создадим профиль адресов защищаемой локальной сети:

Блок кода
esr(config)# object-group network LAN esr(config-object-group-network)# ip prefix 192.168.1.0/24 esr(config-object-group-network)# exit

Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:

Блок кода
esr(config)# domain lookup enable esr(config)# domain nameserver 8.8.8.8

...

.1.0/24 – локальная сеть.

Решение:

Создадим профиль адресов защищаемой локальной сети:

Блок кода
esr(config)# security ips policy OFFICE esr(config-ips-policy)# description "My Policy" esr(config-ips-policy)# protect network-group LAN

Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:

Блок кода
esr(config)# bridge 1object-group network LAN esr(config-bridge)# service-ips inline

Настроим параметры IPS/IDS:

Блок кода

esr(config)# security ips
esr(config-ipsobject-group-network)# loggingip remote-serverprefix 192.168.101.10/24
esr(config-ips)# logging update-interval 15
esr(config-ips)# policy OFFICE
esr(config-ips)# enable

Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:

Блок кода
esr(config-ips)# perfomance max

Scroll Pagebreak

...

object-group-network)# exit

Настроим на ESR DNS-клиента для разрешения имен источников обновления правил IPS/IDS:

Блок кода
esr(config)# domain lookup enable esr(config)# domain nameserver 8.8.8.8

Создадим политику безопасности IPS/IDS:

Блок кода

esr(config-ips)# auto-upgrade
esr(config-auto-upgrade)# user-server ET-Open security ips policy OFFICE
esr(config-ips-upgrade-user-serverpolicy)# description "emerging threats open rulesMy Policy"
esr(config-ips-upgrade-user-serverpolicy)# url https://rules.emergingthreats.net/open/suricata-4.0/emerging-all.rules
esr(config-ips-upgrade-user-server)# enableprotect network-group LAN

Разрешим работу IPS/IDS на интерфейсе локальной сети bridge 1:

Блок кода
esr(config)# bridge 1 esr(config-ips-upgrade-user-server)# exitbridge)# service-ips inline

Настроим параметры IPS/IDS:

Блок кода

esr(config)# security ips
esr(config-auto-upgradeips)# logging userremote-server Aggressive192.168.10.1
esr(config-ips-upgrade-user-server)# description "Etnetera aggressive IP blacklist"logging update-interval 15
esr(config-ips-upgrade-user-server)# url https://security.etnetera.cz/feeds/etn_aggressive.rulespolicy OFFICE
esr(config-ips)# enable

Устройство будет использоваться только как шлюз безопасности, по этому отдадим сервису IPS/IDS все доступные ресурсы:

Блок кода
-upgrade-user-server)# upgrade interval 4 esr(config-ips-upgrade-user-server)# perfomance max

Scroll Pagebreak

Настроим автообновление правил с сайтов etnetera.cz и Abuse.ch:

Блок кода

 enable
esr(config-ips-upgrade-user-server)# exitauto-upgrade
esr(config-auto-upgrade)# user-server SSL-BlackListAggressive
esr(config-ips-upgrade-user-server)# description "Abuse.ch SSL BlacklistEtnetera aggressive IP blacklist"
esr(config-ips-upgrade-user-server)# url https://sslblsecurity.abuseetnetera.chcz/blacklistfeeds/sslblacklistetn_aggressive.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit
esr(config-auto-upgrade)# user-server C2SSL-BotnetBlackList
esr(config-ips-upgrade-user-server)# description "Abuse.ch Botnet C2SSL IP Blacklist"
esr(config-ips-upgrade-user-server)# url https://sslbl.abuse.ch/blacklist/sslipblacklistsslblacklist_tls_cert.rules
esr(config-ips-upgrade-user-server)# upgrade interval 4
esr(config-ips-upgrade-user-server)# enable
esr(config-ips-upgrade-user-server)# exit

...

Пример настройки базовых пользовательских правил

Задача:

Написать правило для защиты сервера с IP 192.168.1.10 от DOS-атаки ICMP-пакетами большого размера.

Решение:

Создадим набор пользовательских правил:

...

Scroll Pagebreak
Пример настройки расширенных пользовательских правил

Задача:

Написать правило, детектирующее атаку типа Slowloris.

Решение:

Создадим набор пользовательских правил:

...

Пример настройки правил контентной фильтрации

Задача:

Запретить доступ к https-сайтам, относящимся к категориям addictive-substances, addictive-substances narcotics, scam, gambling casino из локальной сети 192.168.1.0/24.

draw.io Diagram

border	true
viewerToolbar	true

fitWindow	false
diagramName	ESR-Antispam-Usage
simpleViewer	false
width
diagramWidth	931
revision	1

Решение:

На устройстве предварительно должны быть настроены интерфейсы и правила firewall.

Scroll Pagebreak

...

Блок кода
esr(config)# security ips-category user-defined USER

Scroll Pagebreak

Создадим правило:

Блок кода
esr(config-ips-category)# rule 10 esr(config-ips-category-rule)# description "Content-Filter Block"

...

Дерево страниц

История страницы

Сравнение версий

Старая версия 2

Новая версия Текущий

Ключ

Алгоритм настройки

Пример настройки Firewall

Пример настройки

Firewall по доменным именам

Задача:

Задача:

Решение:

Настройка списков доступа (ACL)

Алгоритм настройки

Пример настройки списка доступа

Задача:

Решение:

Пример настройки фильтрации приложений (DPI)

Задача:

Решение:

Настройка списков доступа (ACL)

Алгоритм настройки

Алгоритм базовой настройки

Алгоритм настройки автообновления правил IPS/IDS из внешних источников

Scroll Pagebreak

Рекомендуемые открытые источники обновления правил

Пример настройки списка доступа

Задача:

Решение:

ЯкорьНастройка IPS/IDSНастройка IPS/IDSНастройка IPS/IDS

Алгоритм базовой настройки

Алгоритм настройки автообновления правил IPS/IDS из внешних источников

Рекомендуемые открытые источники обновления правил

SSL Blacklist

Feodo Tracker

Travis Green

Etnetera Core

Пример настройки IPS/IDS с автообновлением правил

Задача:

Решение:

Решение:

Пример настройки базовых пользовательских правил

Задача:

Решение:

Scroll PagebreakПример настройки расширенных пользовательских правил

Задача:

Решение:

Пример настройки правил контентной фильтрации

Задача:

Решение:

Якорь
Настройка IPS/IDS
Настройка IPS/IDS
Настройка IPS/IDS

Scroll Pagebreak
Пример настройки расширенных пользовательских правил