Различия

Показаны различия между двумя версиями страницы.

--- dpi:dpi_options:opt_firewall:start [2023/10/10 08:25] – внешнее изменение 127.0.0.1
+++ dpi:dpi_options:opt_firewall:start [Дата неизвестна] (текущий) – удалено - внешнее изменение (Дата неизвестна) 127.0.0.1
@@ Строка 1: / Строка 1: @@
-====== Мини Firewall ======
-{{indexmenu_n>15}}
-Услуга предназначена для повышения защищенности от взлома оборудования абонентов с белыми((В случае серых адресов роль своеобразной защиты играет NAT)) адресами (IPv4 и IPv6).
-На адрес абонента закрываются все входящие запросы на порты ниже указанного порога (обычно 1024 - на все системные порты),
-но при этом некоторые порты можно оставить открытыми, например, для доступа к домашнему NAS.
-Также можно заблокировать некоторую вредоносную активность, исходящую от абонента, например если в результате анализа netflow или получения abuse
-выяснилось, что абонент занимается спамом, то можно закрыть ему исходящие порты, связанные с почтовой рассылкой.
-<note important>Нужно учитывать, что часто в этом случае абонент не виновен, просто его компьютер заражен вирусом или является частью чужой ботнет-сети.
-В этом случае рекомендуется показать абоненту страницу уведомления с помощью услуги 6 с описанием проблемы и предложением подписки на антивирус,
-и тем самым повысить продажи доп. услуг. В дальнейшем этот сервис планируется еще больше автоматизировать в QoE Store/Маркетинговых кампаниях
-в части диагностики заражения, блокирования вредоносной активности и автоматической выдачи оповещения.</note>
-Управление данным сервисом на уровне отдельных абонентов осуществляется с помощью [[dpi:dpi_components:platform:subscriber_management:subsman_cmd:start|fdpi_ctrl]]
-Формат команды:
-<code>
-fdpi_ctrl команда --service 13 [список_опций] [список_IP или Login]
-</code>
-Подробнее синтаксис команд и способы задания IP адресов описаны в разделе [[dpi:dpi_components:platform:subscriber_management:subsman_cmd:start|Команды управления]]
-Примеры:
-активировать мини Firewall для конкретного абонента с именованным (заранее сконфигурированным) профилем
-<code>
-fdpi_ctrl load profile --service 13 --profile.name полный_firewall --profile.json '{  "max_port" : 1024, "port_holes" : [ 80, 8080 ], "out_port" : [ 25, 465 ] }'
-fdpi_ctrl load --service 13 --profile.name полный_firewall --login ivan.ivanovich
-</code>
-где в формате json задаются следующие настройки профиля\\
-max_port - номер порта, ниже которого блокируется доступ\\
-port_holes - список портов, к которым разрешается доступ в обход ограничения max_port\\
-out_port - список портов, на которые закрыт исходящий трафик
-Подключение абоненту мини Firewall с анонимным профилем (профиль без имени, который существует до отключения услуги у абонента)
-<code>
-fdpi_ctrl load --service 13 --profile.json '{  "max_port" : 1024, "port_holes" : [ 80, 8080 ], "out_port" : [ 25, 465 ] }' --login ivan.ivanovich
-</code>
-Поиск абонентов, которым подключен мини Firewall с заданным именем профиля
-<code>
-fdpi_ctrl list all --service 13 --profile.name полный_firewall
-</code>
-Удаление именованного профиля (не должно быть абонентов, которые его используют)
-<code>
-fdpi_ctrl del profile --service 13  --profile.name полный_firewall
-</code>
-Изменение настроек (профиля) услуги (новые настройки применятся ко всем абонентам с заданным профилем услуги)
-<code>
-fdpi_ctrl load profile --service 13 --profile.name полный_firewall --profile.json '{  "max_port" : 1024, "port_holes" : [ 80 ] }'
-</code>
-Максимальное количество профилей для мини Firewall задается настроечным параметром в /etc/dpi/fastdpi.conf
-<code> max_profiles_frwl=24</code>
-где 24 значение по умолчанию (максимально возможное значение 65535)
-<note warning>Это холодный параметр и его изменение требует рестарта.</note>

Аккаунт

Настройки

Различия