В этом разделе
•Настройки перенаправления соединений
•Настройка параметров проверки
|
Данная возможность доступна только в составе дистрибутивов, предназначенных для ОС семейства GNU/Linux. |
Для защиты веб-сервера, работающего на том же узле, на котором установлен Dr.Web Gateway Security Suite, необходимо активировать проверку всех поступающих на веб-сервер данных Dr.Web Firewall для Linux в мониторе SpIDer Gate.
Настройки перенаправления соединений
Чтобы настроить защиту веб-сервера, установите в конфигурационном файле для параметров в секции [LinuxFirewall] следующие значения:
Параметр |
Требуемое значение |
|---|---|
InspectHttp |
On |
AutoconfigureIptables |
Yes |
AutoconfigureRouting |
Yes |
LocalDeliveryMark |
Auto |
ClientPacketsMark |
Auto |
ServerPacketsMark |
Auto |
TproxyListenAddress |
127.0.0.1:0 Если для работы Dr.Web Firewall для Linux используется особый IP-адрес или порт, укажите их здесь |
InputDivertEnable |
Yes |
InputDivertNfqueueNumber |
Auto |
InputDivertConnectTransparently |
Yes |
Чтобы просмотреть или изменить настройки Dr.Web Firewall для Linux, используйте:
•Утилиту управления из командной строки Dr.Web Ctl (используйте команды drweb-ctl cfshow и drweb-ctl cfset).
Например, команда:
# drweb-ctl cfset LinuxFirewall.InputDivertEnable Yes |
настроит Dr.Web Firewall для Linux таким образом, чтобы все входящие данные проходили проверку в мониторе SpIDer Gate, если используется протокол HTTP и если значение параметра InspectHttp установлено в On.
•Веб-интерфейс управления Dr.Web Gateway Security Suite (по умолчанию доступ через браузер осуществляется по адресу https://127.0.0.1:4443).
Чтобы обеспечить проверку данных, передаваемых с использованием безопасного протокола HTTPS, дополнительно:
•Включите проверку трафика, передаваемого через SSL/TLS, с помощью команды:
# drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes |
Рекомендуется использовать команду cfset утилиты drweb-ctl или веб-интерфейс управления, т. к. в этом случае также будут автоматически изменены правила проверки, зависящие от данного параметра.
•Экспортируйте сертификат, который Dr.Web Gateway Security Suite будет использовать для встраивания в защищенные каналы SSL/TLS, выполнив команду:
$ drweb-ctl certificate > <cert_name>.pem |
Необходимо указать имя файла, в который будет сохранен сертификат в формате PEM.
•Добавьте полученный сертификат в системный перечень доверенных сертификатов и пропишите его в качестве доверенного у веб-клиентов (браузеров) и веб-сервера (подробнее см. в разделе Приложение Д. Генерация сертификатов SSL).
В конфигурационном файле в секции настроек Dr.Web Firewall для Linux (секция [LinuxFirewall]) установите значения следующих параметров:
1.Параметры сканирования передаваемых данных (ScanTimeout, HeuristicAnalysis, PackerMaxLevel, ArchiveMaxLevel, MailMaxLevel, ContainerMaxLevel, MaxCompressionRatio), ограничивающие длительность и ресурсоемкость их проверки. Если детальная настройка не требуется, сохраните значения по умолчанию.
2.Параметры Block*, предназначенные для блокировки нежелательных URL и нежелательного содержимого.
3.Параметр BlockUnchecked для определения действий со стороны SpIDer Gate в случае, когда проверка полученных данных невозможна.
Для более детальной настройки правил фильтрации сообщений HTTP (в зависимости от условий) отредактируйте Lua-процедуру либо правила RuleSet.
После внесения изменений в настройки перезагрузите конфигурацию Dr.Web Gateway Security Suite, выполнив команду:
# drweb-ctl reload |
Вы также можете перезапустить Dr.Web Gateway Security Suite, перезапустив демон управления конфигурацией Dr.Web ConfigD с помощью команды:
# service drweb-configd restart |