В этом разделе
•Настройка параметров проверки
|
Данная возможность доступна только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux. |
Для защиты локальной сети от угроз, распространяемых в интернете, если на интернет-шлюзе отсутствует прокси-сервер HTTP, который мог бы быть сопряжен с Dr.Web для интернет-шлюзов UNIX через ICAP или посредством протокола ClamAV (используя непосредственно компонент Dr.Web ClamD), необходимо настроить Dr.Web Firewall для Linux таким образом, чтобы данные, поступающие на интернет-шлюз, на котором установлен Dr.Web для интернет-шлюзов UNIX, проходили проверку в мониторе SpIDer Gate (режим «прозрачного» прокси).
Чтобы настроить защиту веб-сервера, установите в конфигурационном файле для параметров в секции [LinuxFirewall] следующие значения:
Параметр |
Требуемое значение |
|---|---|
InspectHttp |
On |
AutoconfigureIptables |
Yes |
AutoconfigureRouting |
Yes |
LocalDeliveryMark |
Auto |
ClientPacketsMark |
Auto |
ServerPacketsMark |
Auto |
TproxyListenAddress |
127.0.0.1:0 Если для работы Dr.Web Firewall для Linux используется особый IP-адрес или порт, укажите их здесь |
ForwardDivertEnable |
Yes |
FrowardDivertNfqueueNumber |
Auto |
ForwardDivertConnectTransparently |
Yes |
Для просмотра и изменения настроек Dr.Web Firewall для Linux вы можете воспользоваться:
•утилитой управления из командной строки Dr.Web Ctl (используйте команды drweb-ctl cfshow и drweb-ctl cfset).
Например, команда:
# drweb-ctl cfset LinuxFirewall.ForwardDivertEnable Yes |
настроит Dr.Web Firewall для Linux таким образом, чтобы данные, следующие через узел, проходили проверку в мониторе SpIDer Gate, если используется протокол HTTP и если параметр InspectHttp имеет значение On.
•веб-интерфейсом управления Dr.Web для интернет-шлюзов UNIX (по умолчанию доступ через браузер осуществляется по адресу https://127.0.0.1:4443).
Чтобы обеспечить проверку данных, передаваемых с использованием протокола HTTPS:
•Включите проверку трафика, передаваемого через SSL/TLS:
# drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes |
Рекомендуется использовать команду cfset утилиты drweb-ctl или веб-интерфейс управления, т. к. в этом случае также будут автоматически изменены правила проверки, зависящие от данного параметра.
•Экспортируйте сертификат, который Dr.Web для интернет-шлюзов UNIX будет использовать для встраивания в защищенные каналы SSL/TLS, выполнив команду:
$ drweb-ctl certificate > <cert_name>.pem |
Необходимо указать имя файла, в который будет сохранен сертификат в формате PEM.
•Добавьте полученный сертификат в системный перечень доверенных сертификатов, и пропишите его в качестве доверенного у веб-клиентов (браузеров) и веб-сервера. Подробнее см. в разделе Приложение Д. Генерация сертификатов SSL.
В конфигурационном файле, в секции настроек Dr.Web Firewall для Linux (секция [LinuxFirewall]) установите значения следующих параметров:
1.Параметры сканирования передаваемых данных (ScanTimeout, HeuristicAnalysis, PackerMaxLevel, ArchiveMaxLevel, MailMaxLevel, ContainerMaxLevel, MaxCompressionRatio), ограничивающие длительность и ресурсоемкость их проверки. Если детальная настройка не требуется, сохраните значения по умолчанию.
2.Параметры Block*, предназначенные для блокировки нежелательных URL и нежелательного содержимого.
3.Параметр BlockUnchecked для определения действий со стороны SpIDer Gate в случае, когда проверка полученных данных невозможна.
Для более детальной настройки правил фильтрации сообщений HTTP (в зависимости от условий) отредактируйте Lua-процедуру либо правила RuleSet.
После внесения изменений в настройки перезапустите Dr.Web для интернет-шлюзов UNIX, выполнив команду:
# drweb-ctl reload |
Также вы можете перезапустить демон управления конфигурацией Dr.Web ConfigD с помощью команды:
# service drweb-configd restart |