Защита локального веб-сервера

В этом разделе

Настройки перенаправления соединений

Настройка параметров проверки

Данная возможность доступна только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux.

Для защиты веб-сервера, работающего на том же узле, на который установлен Dr.Web для интернет-шлюзов UNIX, необходимо активировать проверку всех поступающих на веб-сервер данных Dr.Web Firewall для Linux в мониторе SpIDer Gate.

Настройки перенаправления соединений

Чтобы настроить защиту веб-сервера, установите в конфигурационном файле для параметров в секции [LinuxFirewall] следующие значения:

Параметр

Требуемое значение

InspectHttp

On

AutoconfigureIptables

Yes

AutoconfigureRouting

Yes

LocalDeliveryMark

Auto

ClientPacketsMark

Auto

ServerPacketsMark

Auto

TproxyListenAddress

127.0.0.1:0

Если для работы Dr.Web Firewall для Linux используется особый IP-адрес или порт, укажите их здесь

InputDivertEnable

Yes

InputDivertNfqueueNumber

Auto

InputDivertConnectTransparently

Yes

Для просмотра и изменения настроек Dr.Web Firewall для Linux вы можете воспользоваться:

утилитой управления из командной строки Dr.Web Ctl (используйте команды drweb-ctl cfshow и drweb-ctl cfset).

Например, команда:

# drweb-ctl cfset LinuxFirewall.InputDivertEnable Yes

настроит Dr.Web Firewall для Linux таким образом, чтобы все входящие данные проходили проверку в мониторе SpIDer Gate, если используется протокол HTTP и если значение параметра InspectHttp установлено в On;

веб-интерфейсом управления Dr.Web для интернет-шлюзов UNIX (по умолчанию доступ через браузер осуществляется по адресу https://127.0.0.1:4443).

Чтобы обеспечить проверку данных, передаваемых с использованием безопасного протокола HTTPS, дополнительно:

Включите проверку трафика, передаваемого через SSL/TLS, с помощью команды:

# drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes

Рекомендуется использовать команду cfset утилиты drweb-ctl или веб-интерфейс управления, т. к. в этом случае также будут автоматически изменены правила проверки, зависящие от данного параметра.

Экспортируйте сертификат, который Dr.Web для интернет-шлюзов UNIX будет использовать для встраивания в защищенные каналы SSL/TLS, выполнив команду:

$ drweb-ctl certificate > <cert_name>.pem

Необходимо указать имя файла, в который будет сохранен сертификат в формате PEM.

Добавьте полученный сертификат в системный перечень доверенных сертификатов, и пропишите его в качестве доверенного у веб-клиентов (браузеров) и веб-сервера. Подробнее см. в разделе Приложение Д. Генерация сертификатов SSL.

Настройка параметров проверки

В конфигурационном файле, в секции настроек Dr.Web Firewall для Linux (секция [LinuxFirewall]) установите значения следующих параметров:

1.Параметры сканирования передаваемых данных (ScanTimeout, HeuristicAnalysis, PackerMaxLevel, ArchiveMaxLevel, MailMaxLevel, ContainerMaxLevel, MaxCompressionRatio), ограничивающие длительность и ресурсоемкость их проверки. Если детальная настройка не требуется, сохраните значения по умолчанию.

2.Параметры Block*, предназначенные для блокировки нежелательных URL и нежелательного содержимого.

3.Параметр BlockUnchecked для определения действий со стороны SpIDer Gate в случае, когда проверка полученных данных невозможна.

Для более детальной настройки правил фильтрации сообщений HTTP (в зависимости от условий) отредактируйте Lua-процедуру либо правила RuleSet.

После внесения изменений в настройки перезапустите Dr.Web для интернет-шлюзов UNIX, выполнив команду:

# drweb-ctl reload

Также вы можете перезапустить демон управления конфигурацией Dr.Web ConfigD с помощью команды:

# service drweb-configd restart