GRANDSTREAM GCC601X(W) One Networking Solution Firewall

მომხმარებლის სახელმძღვანელო

GCC601X(W) Firewall
ამ სახელმძღვანელოში ჩვენ გავაცნობთ GCC601X(W) Firewall მოდულის კონფიგურაციის პარამეტრებს.

დასრულდაVIEW

დასრულდაview გვერდი მომხმარებლებს აძლევს გლობალურ ხედვას GCC Firewall-ის მოდულის შესახებ და ასევე უსაფრთხოების საფრთხეებისა და სტატისტიკის შესახებ.view გვერდი შეიცავს:

• Firewall Service: აჩვენებს firewall-ის სერვისს და პაკეტის სტატუსს მოქმედი და ვადაგასული თარიღებით.
• უსაფრთხოების ყველაზე მაღალი ჟურნალი: აჩვენებს საუკეთესო ჟურნალებს თითოეული კატეგორიისთვის, მომხმარებელს შეუძლია შეარჩიოს კატეგორია ჩამოსაშლელი სიიდან ან დააწკაპუნოს ისრის ხატულაზე, რათა გადამისამართდეს უსაფრთხოების ჟურნალის გვერდზე დამატებითი დეტალებისთვის.
• დაცვის სტატისტიკა: აჩვენებს სხვადასხვა დაცვის სტატისტიკას, არსებობს ყველა სტატისტიკის გასუფთავების ვარიანტი პარამეტრების ხატულაზე დაწკაპუნებით.
• ყველაზე გაფილტრული აპლიკაციები: აჩვენებს საუკეთესო აპლიკაციებს, რომლებიც გაფილტრული იქნა დათვლის ნომრით.
• Ვირუსი Files: აჩვენებს სკანირებულს files და ნაპოვნი ვირუსი fileასევე, ანტი-მავნე პროგრამის ჩართვის/გამორთვისთვის მომხმარებლებს შეუძლიათ დააწკაპუნონ პარამეტრების ხატულაზე.
• საფრთხის დონე: აჩვენებს საფრთხის დონეს კრიტიკულიდან უმნიშვნელომდე ფერის კოდით.
• საფრთხის ტიპი: აჩვენებს საფრთხის ტიპებს ფერის კოდით და გამეორების რაოდენობით, მომხმარებლებს შეუძლიათ მაუსის კურსორი გადაატარონ ფერზე, რათა აჩვენონ სახელი და რიცხვი.
• Top Threat: აჩვენებს მთავარ საფრთხეებს ტიპისა და რაოდენობის მიხედვით.

მომხმარებლებს შეუძლიათ ადვილად შეამჩნიონ ყველაზე მნიშვნელოვანი შეტყობინებები და საფრთხეები.

 

მომხმარებლებს შეუძლიათ დააწკაპუნონ ისრის ხატულაზე ზედა უსაფრთხოების ჟურნალის ქვეშ, რათა გადამისამართდნენ უსაფრთხოების ჟურნალის განყოფილებაში, ან გადაატარონ გადაცემათა კოლოფის ხატულაზე დაცვის სტატისტიკის ქვეშ, სტატისტიკის გასასუფთავებლად ან ვირუსის ქვეშ. files გამორთოთ ანტი-მავნე პროგრამა. საფრთხის დონესა და საფრთხის ტიპში მომხმარებლებს შეუძლიათ აგრეთვე გადაიტანონ დიაგრამებზე მეტი დეტალების საჩვენებლად. გთხოვთ, იხილოთ ზემოთ მოცემული ფიგურები.

Firewall პოლიტიკა

წესების პოლიტიკა

წესების პოლიტიკა საშუალებას გაძლევთ განსაზღვროთ, თუ როგორ გაუმკლავდება GCC მოწყობილობა შემომავალ ტრაფიკს. ეს კეთდება WAN, VLAN და VPN-ით.

• შემომავალი პოლიტიკა: განსაზღვრეთ გადაწყვეტილება, რომელსაც GCC მოწყობილობა მიიღებს WAN ან VLAN-დან დაწყებული ტრაფიკისთვის. ხელმისაწვდომი ვარიანტებია მიღება, უარყოფა და ჩამოგდება.
• IP Masquerading: ჩართეთ IP Masquerading. ეს დაფარავს შიდა ჰოსტების IP მისამართს.
• MSS Clamping: ამ პარამეტრის ჩართვა საშუალებას მისცემს MSS-ს (სეგმენტის მაქსიმალური ზომა) მოლაპარაკება მოხდეს TCP სესიის მოლაპარაკების დროს
• Log Drop / Reject Traffic: ამ პარამეტრის ჩართვა წარმოქმნის ყველა ტრაფიკის ჟურნალს, რომელიც ჩამოიშალა ან უარყოფილია.
• ჩამოაგდეს / უარყო Traffic Log Limit: მიუთითეთ ჟურნალების რაოდენობა წამში, წუთში, საათში ან დღეში. დიაპაზონი არის 1~99999999, თუ ცარიელია, ლიმიტი არ არის.

შემომავალი წესები

GCC601X(W) საშუალებას გაძლევთ გაფილტროთ შემომავალი ტრაფიკი ქსელების ჯგუფში ან WAN პორტში და იყენებს წესებს, როგორიცაა:

• მიღება: ტრაფიკის გავლის საშუალება.
• უარყოფა: პასუხი გაეგზავნება დისტანციურ მხარეს, რომელშიც ნათქვამია, რომ პაკეტი უარყოფილია.
• ჩამოგდება: პაკეტი დაიშლება ყოველგვარი შეტყობინების გარეშე დისტანციურ მხარეს.

 

 

გადაგზავნის წესები

GCC601X(W) გთავაზობთ შესაძლებლობას დაუშვას ტრაფიკი სხვადასხვა ჯგუფებსა და ინტერფეისებს შორის (WAN/VLAN/VPN).
გადამისამართების წესის დასამატებლად გთხოვთ გადახვიდეთ Firewall Module → Firewall Policy → Forwarding Rules, შემდეგ დააწკაპუნეთ ღილაკზე „დამატება“ ახალი გადაგზავნის წესის დასამატებლად ან დააწკაპუნეთ „რედაქტირების“ ხატულაზე წესის რედაქტირებისთვის.

გაფართოებული NAT

NAT ან ქსელის მისამართების თარგმნა, როგორც სახელიდან გვთავაზობს, ეს არის პირადი ან შიდა მისამართების თარგმნა ან რუქა საჯარო IP მისამართებზე ან პირიქით, და GCC601X(W) მხარს უჭერს ორივეს.

• SNAT: წყარო NAT გულისხმობს კლიენტების IP მისამართების (პირადი ან შიდა მისამართები) საჯარო მისამართების რუკს.
• DNAT: დანიშნულების NAT არის SNAT-ის საპირისპირო პროცესი, სადაც პაკეტები გადამისამართდება კონკრეტულ შიდა მისამართზე.

Firewall Advanced NAT გვერდი იძლევა შესაძლებლობას დააყენოთ კონფიგურაცია წყაროსა და დანიშნულების NAT-ისთვის. გადადით Firewall Module → Firewall Policy → Advanced NAT.

SNAT

SNAT-ის დასამატებლად დააწკაპუნეთ ღილაკზე „დამატება“ ახალი SNAT-ის დასამატებლად ან დააწკაპუნეთ „რედაქტირების“ ხატულაზე, რომ შეცვალოთ ადრე შექმნილი. იხილეთ ქვემოთ მოცემული ფიგურები და ცხრილი:

SNAT ჩანაწერის შექმნის ან რედაქტირებისას იხილეთ ქვემოთ მოცემული ცხრილი:

DNAT
DNAT-ის დასამატებლად დააწკაპუნეთ ღილაკზე „დამატება“ ახალი DNAT-ის დასამატებლად ან დააწკაპუნეთ „რედაქტირების“ ხატულაზე ადრე შექმნილის რედაქტირებისთვის. იხილეთ ქვემოთ მოცემული ფიგურები და ცხრილი:

იხილეთ ქვემოთ მოცემული ცხრილი DNAT ჩანაწერის შექმნის ან რედაქტირებისას:

გლობალური კონფიგურაცია

ფლეში კავშირის გადატვირთვა

როდესაც ეს პარამეტრი ჩართულია და firewall-ის კონფიგურაციის ცვლილებები განხორციელდება, არსებული კავშირები, რომლებიც დაშვებული იყო წინა firewall წესებით, შეწყდება.

თუ firewall-ის ახალი წესები არ იძლევა ადრე დამყარებულ კავშირს, ის შეწყდება და ხელახლა დაკავშირებას ვერ შეძლებს. ამ პარამეტრის გათიშვის შემთხვევაში, არსებულ კავშირებს უფლება აქვთ გაგრძელდეს მანამ, სანამ არ დასრულდება, მაშინაც კი, თუ ახალი წესები არ დაუშვებს ამ კავშირის დამყარებას.

უშიშროების დაცვა

DoS დაცვა
ძირითადი პარამეტრები - უსაფრთხოების დაცვა
სერვისზე უარის თქმა არის თავდასხმა, რომლის მიზანია ქსელის რესურსები მიუწვდომელი გახადოს ლეგიტიმური მომხმარებლებისთვის სამიზნე აპარატის დატბორვით ამდენი მოთხოვნით, რაც იწვევს სისტემის გადატვირთვას ან თუნდაც ავარიას ან გათიშვას.

 

 

IP გამონაკლისი

ამ გვერდზე მომხმარებლებს შეუძლიათ დაამატონ IP მისამართები ან IP დიაპაზონები, რომლებიც გამოირიცხება DoS Defense სკანირებიდან. სიაში IP მისამართის ან IP დიაპაზონის დასამატებლად დააჭირეთ ღილაკს „დამატება“, როგორც ეს ნაჩვენებია ქვემოთ:

მიუთითეთ სახელი, შემდეგ გადართეთ სტატუსი ON, რის შემდეგაც მიუთითეთ IP მისამართი ან IP დიაპაზონი.

 

 

Spoofing თავდაცვის

გაყალბების დაცვის განყოფილება გთავაზობთ რამდენიმე საპირისპირო ღონისძიებას გაყალბების სხვადასხვა ტექნიკისთვის. თქვენი ქსელის გაყალბებისგან დასაცავად, გთხოვთ, ჩართოთ შემდეგი ზომები, რათა თავიდან აიცილოთ თქვენი ტრაფიკის ჩაკეტვისა და გაყალბების რისკი. GCC601X(W) მოწყობილობები გვთავაზობენ ზომებს ARP ინფორმაციის, ისევე როგორც IP ინფორმაციის გაყალბების საწინააღმდეგოდ.

ARP გაფუჭების დაცვა

• ARP პასუხების დაბლოკვა არათანმიმდევრული წყაროს MAC მისამართებით: GCC მოწყობილობა გადაამოწმებს კონკრეტული პაკეტის დანიშნულების MAC მისამართს და როდესაც პასუხი მიიღებს მოწყობილობას, ის გადაამოწმებს წყაროს MAC მისამართს და დარწმუნდება, რომ ისინი ემთხვევა. წინააღმდეგ შემთხვევაში, GCC მოწყობილობა არ გააგზავნის პაკეტს.
• ARP პასუხების დაბლოკვა არათანმიმდევრული დანიშნულების MAC მისამართებით: GCC601X(W) გადაამოწმებს წყაროს MAC მისამართს პასუხის მიღებისას. მოწყობილობა გადაამოწმებს დანიშნულების MAC მისამართს და დარწმუნდება, რომ ისინი ემთხვევა.
• წინააღმდეგ შემთხვევაში, მოწყობილობა არ გააგზავნის პაკეტს.
• VRRP MAC-ის ARP ცხრილში უარყოფა: GCC601X(W) შემცირდება ARP ცხრილში ნებისმიერი გენერირებული ვირტუალური MAC მისამართის ჩათვლით.

მავნე პროგრამული უზრუნველყოფის საწინააღმდეგო

ამ განყოფილებაში მომხმარებლებს შეუძლიათ ჩართონ ანტი მავნე პროგრამა და განაახლონ ხელმოწერის ბიბლიოთეკის ინფორმაცია.

კონფიგურაცია

მავნე პროგრამის ჩასართავად, გადადით Firewall მოდულზე → Anti-Malware → Configuration.
მავნე პროგრამების საწინააღმდეგო: გადართეთ ჩართვა/გამორთვა ანტი-მავნე პროგრამის ჩართვის/გამორთვისთვის.

შენიშვნა:
HTTP-ების გასაფილტრად URLგთხოვთ, ჩართოთ „SSL Proxy“.

Spoofing თავდაცვის

ARP გაფუჭების დაცვა

ARP პასუხების დაბლოკვა არათანმიმდევრული წყაროს MAC მისამართებით: GCC მოწყობილობა გადაამოწმებს კონკრეტული პაკეტის დანიშნულების MAC მისამართს და როდესაც პასუხი მიიღებს მოწყობილობას, ის გადაამოწმებს წყაროს MAC მისამართს და დარწმუნდება, რომ ისინი ემთხვევა. წინააღმდეგ შემთხვევაში, GCC მოწყობილობა არ გააგზავნის პაკეტს.

ARP პასუხების დაბლოკვა არათანმიმდევრული დანიშნულების MAC მისამართებით: GCC601X(W) გადაამოწმებს წყაროს MAC მისამართს პასუხის მიღებისას. მოწყობილობა გადაამოწმებს დანიშნულების MAC მისამართს და დარწმუნდება, რომ ისინი ემთხვევა.

წინააღმდეგ შემთხვევაში, მოწყობილობა არ გააგზავნის პაკეტს.
VRRP MAC-ის ARP ცხრილში უარყოფა: GCC601X(W) შემცირდება ARP ცხრილში ნებისმიერი გენერირებული ვირტუალური MAC მისამართის ჩათვლით.

მავნე პროგრამული უზრუნველყოფის საწინააღმდეგო

ამ განყოფილებაში მომხმარებლებს შეუძლიათ ჩართონ ანტი მავნე პროგრამა და განაახლონ ხელმოწერის ბიბლიოთეკის ინფორმაცია.

კონფიგურაცია

მავნე პროგრამის ჩასართავად, გადადით Firewall მოდულზე → Anti-Malware → Configuration.
მავნე პროგრამების საწინააღმდეგო: გადართეთ ჩართვა/გამორთვა ანტი-მავნე პროგრამის ჩართვის/გამორთვისთვის.

მონაცემთა პაკეტის შემოწმების სიღრმე: შეამოწმეთ თითოეული ტრაფიკის პაკეტის შინაარსი კონფიგურაციის მიხედვით. რაც უფრო ღრმაა სიღრმე, მით უფრო მაღალია გამოვლენის სიჩქარე და უფრო მაღალია CPU მოხმარება. არსებობს სიღრმის 3 დონე დაბალი, საშუალო და მაღალი.

სკანირება შეკუმშულია Files: მხარს უჭერს შეკუმშვის სკანირებას files

On Overview გვერდი, მომხმარებლებს შეუძლიათ შეამოწმონ სტატისტიკა და დაასრულონview. ასევე, შესაძლებელია ანტი-მავნე პროგრამის გამორთვა პირდაპირ ამ გვერდიდან პარამეტრების ხატულაზე დაწკაპუნებით, როგორც ეს ნაჩვენებია ქვემოთ:

ასევე შესაძლებელია უსაფრთხოების ჟურნალის შემოწმება დამატებითი დეტალებისთვის

ვირუსის ხელმოწერის ბიბლიოთეკა
ამ გვერდზე მომხმარებლებს შეუძლიათ ხელით განაახლონ ანტი-მავნე პროგრამების ხელმოწერის ბიბლიოთეკის ინფორმაცია, განაახლონ ყოველდღიურად ან შექმნან განრიგი, გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

შენიშვნა:
ნაგულისხმევად, ის განახლდება შემთხვევითი დროის მომენტში (00:00-6:00) ყოველდღე.

შეჭრის პრევენცია

შეჭრის პრევენციის სისტემა (IPS) და შეჭრის გამოვლენის სისტემა (IDS) არის უსაფრთხოების მექანიზმები, რომლებიც აკონტროლებენ ქსელის ტრაფიკს საეჭვო აქტივობებისთვის და არაავტორიზებული წვდომის მცდელობებისთვის. IDS განსაზღვრავს უსაფრთხოების პოტენციურ საფრთხეებს ქსელის პაკეტებისა და ჟურნალების ანალიზით, ხოლო IPS აქტიურად აფერხებს ამ საფრთხეებს რეალურ დროში მავნე ტრაფიკის დაბლოკვით ან შერბილებით. IPS და IDS ერთად უზრუნველყოფენ ფენოვან მიდგომას ქსელის უსაფრთხოების მიმართ, რაც ხელს უწყობს კიბერშეტევებისგან დაცვას და მგრძნობიარე ინფორმაციის დაცვას. ბოტნეტი არის კომპრომეტირებული კომპიუტერების ქსელი, რომელიც ინფიცირებულია მავნე პროგრამით და კონტროლდება მავნე აქტორის მიერ, რომელიც ჩვეულებრივ გამოიყენება ფართომასშტაბიანი კიბერშეტევების ან უკანონო მოქმედებების განსახორციელებლად.

IDS/IPS

ძირითადი პარამეტრები - IDS/IPS
ამ ჩანართზე მომხმარებლებს შეუძლიათ აირჩიონ IDS/IPS რეჟიმი, უსაფრთხოების დაცვის დონე.

IDS/IPS რეჟიმი:

• შეატყობინეთ: გამოავლინეთ ტრაფიკი და შეატყობინეთ მომხმარებლებს მხოლოდ მისი დაბლოკვის გარეშე, ეს უდრის IDS-ს (Intrusion Detection System).
• Notify & Block: ამოიცნობს ან ბლოკავს ტრაფიკს და აცნობებს უსაფრთხოების საკითხს, ეს უდრის IPS-ს (Intrusion Prevention System).
• არანაირი მოქმედება: არანაირი შეტყობინებები ან პრევენცია, IDS/IPS ამ შემთხვევაში გამორთულია.

უსაფრთხოების დაცვის დონე: აირჩიეთ დაცვის დონე (დაბალი, საშუალო, მაღალი, უკიდურესად მაღალი და მორგებული). დაცვის სხვადასხვა დონე შეესაბამება დაცვის სხვადასხვა დონეს. მომხმარებლებს შეუძლიათ შეცვალონ დაცვის ტიპი. რაც უფრო მაღალია დაცვის დონე, მით მეტია დაცვის წესები და Custom მომხმარებლებს საშუალებას მისცემს აირჩიონ, თუ რას აღმოაჩენს IDS/IPS.

ასევე შესაძლებელია აირჩიოთ უსაფრთხოების პერსონალური დაცვის დონე და შემდეგ აირჩიოთ კონკრეტული საფრთხეების სიიდან. გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

შეტყობინებებისა და განხორციელებული მოქმედებების შესამოწმებლად, უსაფრთხოების ჟურნალში აირჩიეთ IDS/IPS ჩამოსაშლელი სიიდან, როგორც ეს ნაჩვენებია ქვემოთ:

IP გამონაკლისი
ამ სიაში IP მისამართები IDS/IPS-ით არ იქნება გამოვლენილი. სიაში IP მისამართის დასამატებლად დააჭირეთ ღილაკს „დამატება“, როგორც ეს ნაჩვენებია ქვემოთ:

შეიყვანეთ სახელი, შემდეგ ჩართეთ სტატუსი და აირჩიეთ ტიპი (წყარო ან დანიშნულება) IP მისამართ(ებ)ისთვის. IP მისამართის დასამატებლად დააწკაპუნეთ "+" ხატულაზე და IP მისამართის წასაშლელად დააწკაპუნეთ "–" ხატულაზე, როგორც ეს ნაჩვენებია ქვემოთ:

ბოტნეტი
ძირითადი პარამეტრები - ბოტნეტი
ამ გვერდზე მომხმარებლებს შეუძლიათ დააკონფიგურირონ ძირითადი პარამეტრები გამავალი Botnet IP-ისა და Botnet-ის დომენის სახელის მონიტორინგისთვის და არსებობს სამი ვარიანტი:
მონიტორი: სიგნალიზაცია იქმნება, მაგრამ არ არის დაბლოკილი.
დაბლოკვა: აკონტროლებს და ბლოკავს გამავალ IP მისამართებს/დომენის სახელებს, რომლებიც წვდებიან ბოტნეტებს.
არა ქმედება: გამავალი ბოტნეტის IP მისამართი/დომენის სახელი არ არის გამოვლენილი.

IP/დომენის გამონაკლისი
ამ სიაში IP მისამართები არ იქნება გამოვლენილი ბოტნეტებისთვის. სიაში IP მისამართის დასამატებლად დააჭირეთ ღილაკს „დამატება“, როგორც ეს ნაჩვენებია ქვემოთ:
შეიყვანეთ სახელი, შემდეგ ჩართეთ სტატუსი. IP მისამართის/დომენის სახელის დასამატებლად დააწკაპუნეთ ხატულაზე „+“ და წაშალეთ IP მისამართი/დომენის სახელი დააწკაპუნეთ „–“ ხატულაზე, როგორც ნაჩვენებია ქვემოთ:

ხელმოწერის ბიბლიოთეკა – ბოტნეტი
ამ გვერდზე მომხმარებლებს შეუძლიათ ხელით განაახლონ IDS/IPS და ბოტნეტის ხელმოწერის ბიბლიოთეკის ინფორმაცია, განაახლონ ყოველდღიურად ან შექმნან განრიგი, გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

შენიშვნა:
ნაგულისხმევად, ის განახლდება შემთხვევითი დროის მომენტში (00:00-6:00) ყოველდღე.

შინაარსის კონტროლი

კონტენტის კონტროლის ფუნქცია მომხმარებლებს აძლევს შესაძლებლობას გაფილტრონ (დაუშვან ან დაბლოკონ) ტრაფიკი DNS-ზე დაყრდნობით, URL, საკვანძო სიტყვები და აპლიკაცია.

DNS ფილტრაცია

DNS-ზე დაფუძნებული ტრაფიკის გასაფილტრად, გადადით Firewall-ის მოდულზე → კონტენტის კონტროლი → DNS ფილტრაცია. დააჭირეთ ღილაკს "დამატება" ახალი DNS ფილტრაციის დასამატებლად, როგორც ეს ნაჩვენებია ქვემოთ:

შემდეგ შეიყვანეთ DNS ფილტრის სახელი, ჩართეთ სტატუსი და აირჩიეთ მოქმედება (დაშვება ან დაბლოკვა), როგორც გაფილტრული DNS-ისთვის, არის ორი ვარიანტი:

მარტივი დამთხვევა: დომენის სახელი მხარს უჭერს მრავალ დონის დომენის დამთხვევას.
Wildcard: საკვანძო სიტყვები და wildcard * შეიძლება შეიყვანოთ, wildcard * შეიძლება დაემატოს მხოლოდ შეყვანილ საკვანძო სიტყვამდე ან მის შემდეგ. მაგample: *.imag, news*, *news*. შუაში * განიხილება როგორც ნორმალური სიმბოლო.

გაფილტრული DNS-ის შესამოწმებლად მომხმარებლებს შეუძლიათ იპოვონ ის Over-ზეview გვერდზე ან უსაფრთხოების ჟურნალის ქვეშ, როგორც ნაჩვენებია ქვემოთ:

Web ფილტრაცია
ძირითადი პარამეტრები - Web ფილტრაცია
გვერდზე მომხმარებლებს შეუძლიათ ჩართონ/გამორთონ გლობალური web ფილტრაცია, შემდეგ მომხმარებლებს შეუძლიათ ჩართონ ან გამორთონ web URL ფილტრაცია, URL კატეგორიის ფილტრაცია და საკვანძო სიტყვების ფილტრაცია დამოუკიდებლად და HTTP-ების გასაფილტრად URLs, გთხოვთ, ჩართოთ „SSL Proxy“.

URL ფილტრაცია
URL ფილტრაცია მომხმარებლებს საშუალებას აძლევს გაფილტრონ URL მისამართები მარტივი შესატყვისის (დომენის სახელი ან IP მისამართი) ან Wildcard-ის გამოყენებით (მაგ. *exampლე*).
შესაქმნელად ა URL ფილტრაცია, გადადით Firewall Module → Content Filtering → Web გვერდის გაფილტვრა → URL ფილტრაციის ჩანართი, შემდეგ დააჭირეთ ღილაკს "დამატება", როგორც ეს ნაჩვენებია ქვემოთ:

მიუთითეთ სახელი, შემდეგ გადართეთ სტატუსი ჩართული, აირჩიეთ მოქმედება (ნება, დაბლოკვა) და ბოლოს მიუთითეთ URL ან დომენის მარტივი სახელის, IP მისამართის (მარტივი შესატყვისი) გამოყენებით ან wildcard-ის გამოყენებით. გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

URL კატეგორიის ფილტრაცია
მომხმარებლებს ასევე აქვთ შესაძლებლობა გაფილტრონ არა მხოლოდ კონკრეტული დომენის/IP მისამართის ან ველური ბარათის მიხედვით, არამედ ასევე გაფილტრონ კატეგორიების მიხედვით ყოფილიample თავდასხმები და საფრთხეები, ზრდასრული და ა.შ.
მთელი კატეგორიის დასაბლოკად ან დასაშვებად დააწკაპუნეთ მწკრივის პირველ ვარიანტზე და აირჩიეთ All Allow ან All Block. ასევე შესაძლებელია დაბლოკვა/დაშვება ქვეკატეგორიების მიხედვით, როგორც ნაჩვენებია ქვემოთ:

საკვანძო სიტყვების ფილტრაცია
საკვანძო სიტყვების გაფილტვრა საშუალებას აძლევს მომხმარებლებს გაფილტრონ ან ჩვეულებრივი გამოხატვის ან Wildcard-ის გამოყენებით (მაგ. *მაგampლე*).
საკვანძო სიტყვების ფილტრაციის შესაქმნელად გადადით Firewall Module → Content Filtering → Web გვერდის გაფილტვრა → საკვანძო სიტყვების ფილტრაციის ჩანართი, შემდეგ დააჭირეთ ღილაკს „დამატება“, როგორც ეს ნაჩვენებია ქვემოთ:

მიუთითეთ სახელი, შემდეგ გადართეთ სტატუსი ON, აირჩიეთ მოქმედება (დაშვება, დაბლოკვა) და ბოლოს მიუთითეთ გაფილტრული შიგთავსი ან ჩვეულებრივი გამოხატვის ან ველური ბარათის გამოყენებით. გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

როდესაც საკვანძო სიტყვების ფილტრაცია ჩართულია და მოქმედება დაყენებულია დაბლოკვაზე. თუ მომხმარებლები ცდილობენ წვდომას ყოფილიampბრაუზერში "YouTube" მათ მოგეთხოვებათ firewall-ის გაფრთხილება, როგორც ეს ნაჩვენებია ქვემოთ:

Exampსაკვანძო სიტყვების_გაფილტვრა ბრაუზერზე
გაფრთხილების შესახებ დამატებითი ინფორმაციისთვის მომხმარებლებს შეუძლიათ ნავიგაცია Firewall-ის მოდულზე → უსაფრთხოების ჟურნალი.

URL ხელმოწერის ბიბლიოთეკა
ამ გვერდზე მომხმარებლებს შეუძლიათ განაახლონ Web ხელმოწერის ბიბლიოთეკის ინფორმაციის ხელით გაფილტვრა, ყოველდღიურად განახლება ან განრიგის შექმნა, გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

შენიშვნა:
ნაგულისხმევად, ის განახლდება შემთხვევითი დროის მომენტში (00:00-6:00) ყოველდღე.

აპლიკაციის ფილტრაცია
ძირითადი პარამეტრები - აპლიკაციის ფილტრაცია
გვერდზე მომხმარებლებს შეუძლიათ ჩართონ/გამორთონ გლობალური აპლიკაციის ფილტრაცია, შემდეგ მომხმარებლებს შეუძლიათ ჩართონ ან გამორთონ აპის კატეგორიების მიხედვით.
გადადით Firewall მოდულზე → Content Control → Application Filtering და ძირითადი პარამეტრების ჩანართზე, ჩართეთ Application Filtering გლობალურად, ასევე შესაძლებელია ჩართოთ AI Recognition უკეთესი კლასიფიკაციისთვის.

შენიშვნა:
როდესაც AI Recognition ჩართულია, AI ღრმა სწავლის ალგორითმები გამოყენებული იქნება აპლიკაციების კლასიფიკაციის სიზუსტისა და სანდოობის ოპტიმიზაციისთვის, რამაც შეიძლება მოიხმაროს მეტი CPU და მეხსიერების რესურსი.

აპლიკაციის ფილტრაციის წესები

აპის ფილტრაციის წესების ჩანართზე მომხმარებლებს შეუძლიათ დაუშვან/დაბლოკონ აპის კატეგორიის მიხედვით, როგორც ეს ნაჩვენებია ქვემოთ:

ფილტრაციის წესების უგულებელყოფა
თუ არჩეულია აპლიკაციის კატეგორია, მომხმარებლებს კვლავ ექნებათ შესაძლებლობა გადალახონ ზოგადი წესი (აპლიკაციის კატეგორია) ფილტრაციის წესების უგულებელყოფის ფუნქციით.
მაგampთუ ბრაუზერების აპლიკაციის კატეგორია დაყენებულია დაბლოკვაზე, მაშინ შეგვიძლია დავამატოთ ფილტრაციის უგულებელყოფის წესი Opera Mini-ს დასაშვებად, ამ გზით ბრაუზერის აპების მთელი კატეგორია დაიბლოკება Opera Mini-ს გარდა.
ფილტრაციის უგულებელყოფის წესის შესაქმნელად დააწკაპუნეთ ღილაკზე „დამატება“, როგორც ეს ნაჩვენებია ქვემოთ:

 

შემდეგ, მიუთითეთ სახელი და გადართეთ სტატუსი ON, დააყენეთ მოქმედება ნებადართული ან დაბლოკვა და ბოლოს აირჩიეთ სიიდან ის აპლიკაციები, რომლებიც დაიშვება ან დაიბლოკება. გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

ხელმოწერის ბიბლიოთეკა - აპლიკაციის გაფილტვრა
ამ გვერდზე მომხმარებლებს შეუძლიათ განაახლონ განაცხადის ფილტრაციის ხელმოწერის ბიბლიოთეკის ინფორმაცია ხელით, განაახლონ ყოველდღიურად ან შექმნან განრიგი, გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

შენიშვნა:
ნაგულისხმევად, ის განახლდება შემთხვევითი დროის მომენტში (00:00-6:00) ყოველდღე.

SSL პროქსი

SSL პროქსი არის სერვერი, რომელიც იყენებს SSL დაშიფვრას კლიენტსა და სერვერს შორის მონაცემთა გადაცემის უზრუნველსაყოფად. ის მუშაობს გამჭვირვალედ, შიფრავს და შიფრავს მონაცემებს გამოვლენის გარეშე. უპირველეს ყოვლისა, ის უზრუნველყოფს სენსიტიური ინფორმაციის უსაფრთხო მიწოდებას ინტერნეტით.
როდესაც SSL Proxy ჩართულია, GCC601x(w) იმოქმედებს როგორც SSL Proxy სერვერი დაკავშირებული კლიენტებისთვის.

ძირითადი პარამეტრები - SSL პროქსი

ჩართეთ ისეთი ფუნქციები, როგორიცაა SSL Proxy, Web გაფილტვრა, ან ანტი-მავნე პროგრამა ეხმარება გამოავლინოს გარკვეული ტიპის თავდასხმები webსაიტები, როგორიცაა SQL injection და cross-site scripting (XSS) შეტევები. ეს თავდასხმები ცდილობენ ზიანი მიაყენონ ან მოიპარონ ინფორმაცია webსაიტები.

როდესაც ეს ფუნქციები აქტიურია, ისინი ქმნიან გაფრთხილების ჟურნალებს უსაფრთხოების ჟურნალში.
თუმცა, როდესაც ეს ფუნქციები ჩართულია, მომხმარებლებმა შეიძლება დაინახონ გაფრთხილებები სერტიფიკატების შესახებ, როდესაც ისინი ათვალიერებენ web. ეს იმიტომ ხდება, რომ ბრაუზერი არ ცნობს გამოყენებული სერთიფიკატს. ამ გაფრთხილებების თავიდან ასაცილებლად, მომხმარებლებს შეუძლიათ დააინსტალირონ სერტიფიკატი ბრაუზერში. თუ სერტიფიკატი არ არის სანდო, ზოგიერთმა აპლიკაციამ შეიძლება არ იმუშაოს სწორად ინტერნეტში წვდომისას
HTTPS ფილტრაციისთვის მომხმარებლებს შეუძლიათ SSL პროქსის ჩართვა Firewall-ის მოდულზე → SSL Proxy → Basic Settings-ზე, შემდეგ გადართე SSL პროქსი, ჩამოსაშლელი სიიდან CA სერთიფიკატის არჩევის ან ღილაკზე „დამატების“ დაჭერის შემდეგ. ახალი CA სერთიფიკატი. გთხოვთ, იხილოთ ქვემოთ მოცემული ფიგურები და ცხრილი:

]

 

იმისათვის, რომ SSL Proxy ამოქმედდეს, მომხმარებლებს შეუძლიათ ხელით ჩამოტვირთოთ CA სერთიფიკატი ჩამოტვირთვის ხატულაზე დაწკაპუნებით, როგორც ეს ნაჩვენებია ქვემოთ:

შემდეგ, CA სერთიფიკატი შეიძლება დაემატოს დანიშნულ მოწყობილობებს სანდო სერთიფიკატების ქვეშ.

 

 

 

წყაროს მისამართი
როდესაც არ არის მითითებული წყაროს მისამართები, ყველა გამავალი კავშირი ავტომატურად გადადის SSL პროქსის მეშვეობით. თუმცა, ახალი წყაროს მისამართების ხელით დამატების შემდეგ, მხოლოდ ის, ვინც კონკრეტულად არის ჩართული, იქნება პროქსიირებული SSL-ის საშუალებით, რაც უზრუნველყოფს მომხმარებლის მიერ განსაზღვრულ კრიტერიუმებზე დაფუძნებულ შერჩევით დაშიფვრას.

 

SSL პროქსის გამონაკლისების სია
SSL პროქსი გულისხმობს კლიენტსა და სერვერს შორის SSL/TLS დაშიფრული ტრაფიკის ჩარევას და შემოწმებას, რაც ჩვეულებრივ კეთდება უსაფრთხოებისა და მონიტორინგის მიზნით კორპორატიულ ქსელებში. თუმცა, არსებობს გარკვეული სცენარი, სადაც SSL პროქსი შეიძლება არ იყოს სასურველი ან პრაქტიკული კონკრეტულისთვის webსაიტები ან დომენები.
გამონაკლისების სია მომხმარებლებს საშუალებას აძლევს, მიუთითონ თავიანთი IP მისამართი, დომენი, IP დიაპაზონი და web კატეგორია, რომელიც გათავისუფლდება SSL პროქსისგან.
დააჭირეთ ღილაკს "დამატება", რომ დაამატოთ SSL გამონაკლისი, როგორც ეს ნაჩვენებია ქვემოთ:

"შინაარსი" ოფციაში მომხმარებლებს შეუძლიათ დაამატონ შინაარსი ღილაკზე "+ ხატულა" დაწკაპუნებით და წაშალონ "– ხატულაზე" დაწკაპუნებით, როგორც ეს ნაჩვენებია ქვემოთ:

უსაფრთხოების ჟურნალი

შესვლა
ამ გვერდზე, უსაფრთხოების ჟურნალები ჩამოთვლილია მრავალი დეტალით, როგორიცაა წყარო IP, წყაროს ინტერფეისი, თავდასხმის ტიპი, მოქმედება და დრო. დააწკაპუნეთ ღილაკზე „განახლება“ სიის გასაახლებლად და ღილაკზე „ექსპორტი“ სიის ადგილობრივ აპარატში ჩამოსატვირთად.

მომხმარებლებს ასევე აქვთ შესაძლებლობა გაფილტრონ ჟურნალები:

1. დრო
შენიშვნა:
ჟურნალები ნაგულისხმევად ინახება 180 დღის განმავლობაში. როდესაც დისკის ადგილი მიაღწევს ზღურბლს, უსაფრთხოების ჟურნალები ავტომატურად წაიშლება.
2. შეტევა
ჟურნალის ჩანაწერების დალაგება:
1. წყარო IP
2. წყაროს ინტერფეისი
3. შეტევის ტიპი
4. მოქმედება

დამატებითი ინფორმაციისთვის დააწკაპუნეთ „ძახილის ხატულაზე“ დეტალების სვეტის ქვეშ, როგორც ეს ნაჩვენებია ზემოთ:
უსაფრთხოების ჟურნალი

 

როდესაც მომხმარებლები დააწკაპუნებენ "ექსპორტის" ღილაკს, Excel file ჩამოიტვირთება მათ ადგილობრივ აპარატზე. გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:

ელ.ფოსტის შეტყობინებები
გვერდზე მომხმარებლებს შეუძლიათ აირჩიონ უსაფრთხოების რა საფრთხეები უნდა მიიღონ ელფოსტის მისამართების გამოყენების შესახებ. აირჩიეთ, რის შესახებაც გსურთ მიიღოთ შეტყობინება სიიდან.
შენიშვნა:
ელ.ფოსტის პარამეტრები ჯერ უნდა იყოს კონფიგურირებული, დააწკაპუნეთ „ელფოსტის პარამეტრებზე“, რათა ჩართოთ და დააკონფიგურიროთ ელ.ფოსტის შეტყობინებები. გთხოვთ, იხილოთ ქვემოთ მოცემული სურათი:
E

სპეციფიკაციები:

• პროდუქტის მოდელი: GCC601X(W) Firewall
• მხარდაჭერა: WAN, VLAN, VPN
• მახასიათებლები: წესების პოლიტიკა, გადაგზავნის წესები, გაფართოებული NAT

---

ხშირად დასმული კითხვები (FAQ)

Q: როგორ შემიძლია გავასუფთავო დაცვის სტატისტიკა?

პასუხი: გადაიტანეთ გადაცემათა კოლოფის ხატულაზე დაცვის სტატისტიკა და დააწკაპუნეთ სტატისტიკის გასასუფთავებლად.

დოკუმენტები / რესურსები

GRANDSTREAM GCC601X(W) One Networking Solution Firewall [pdf] მომხმარებლის სახელმძღვანელო GCC601X W, GCC601X W One Networking Solution Firewall, GCC601X W, One Networking Solution Firewall, Networking Solution Firewall, Solution Firewall, Firewall

ცნობები

• მომხმარებლის სახელმძღვანელო