Köznet végponti routereken előre beállított szűrési szabályok

Az alábbi szabályok 2013. május elejétől kezdve implementálásra kerülnek a végponti routerekben.

Tűzfal szabályokat által érintett szegmensek

A végpontokon a számítógépek 3 szegmens valamelyikébe tartozhatnak: Publikus, Privát, Védett.

A szegmensek leírása:

  • Publikus szegmens: ide javasolt elhelyezni a közvetlen nyilvános szolgáltatásokat nyújtó szervereket, pl. az intézményi web, levelező és e-napló szervert.

  • Privát szegmens: ide javasolt elhelyezni a felhasználói munkaállomásokat, nyomtatókat, olyan belső intézményi szervereket (pl. file szerver) amelyek nem igényelnek külső elérést

  • Védett szegmens: ide olyan olyan kiemelt munkaállomásokat célszerű helyezni, melyek a másik két szegmens felől is védelmet igényelnek

Általános tűzfal szabályok és elvek

A különböző szegmensekbe helyezett berendezésekre különböző tűzfal szabályok érvényesek. Általános szabály, hogy minden szegmensből csak olyan forrás IP című csomag engedélyezett, ami az adott szegmenshez tartozó IP tartományba tartozik.

A Privát és Védett szegmenseken privát IP címek vannak használatban, ez a tény önmagában megakadályozza, hogy az Internetről ezen szegmensek felé kapcsolatot lehessen kezdeményezni.

A felhasználó saját maga további szűréseket végezhet a saját eszközeivel.

Publikus szegmensre érvényes tűzfal szabályok

A Publikus szegmensben publikus IP címek vannak, az Internetről a Publikus szegmens felé a következő típusú adatkapcsolatokat lehet kezdeményezni:


protokoll

cél port

szolgáltatás

TCP

80

HTTP, WEB

TCP

443

HTTPS

TCP

25

SMTP


Továbbá engedélyezettek az Internet felől a Publikus szegmens felé a következő típusú ICMP üzenetek: echo, echo-reply, time-exceeded, packet-too-big, unreachable. A Publikus szegmensből az Internet felé engedélyezettek a felsorolt ICMP üzenetekre válaszként küldött ICMP csomagok.

Minden szegmensre érvényes tűzfal szabályok és tiltások

A Publikus, Privát és Védett szegmensekből kifele (az Internet és a többi helyi szegmens felé) a következő szabályok a következő táblázatban vannak összefoglalva. Az engedélyezett forgalomra válaszul (az Internetről, vagy másik helyi szegmensből) kapott csomagok is engedélyezettek.

protokoll

cél port

cél IP cím

Szolgáltatás

státusz

UDP

53

*

DNS

ENGEDÉLYEZVE

TCP

53

*

DNS

ENGEDÉLYEZVE

*

*

193.224.163.0/24

NIIF szerverek

ENGEDÉLYEZVE

*

*

195.199.255.33

NIIF szerverek

ENGEDÉLYEZVE

TCP

7

*

ECHO

TILTVA

UDP

7

*

ECHO

TILTVA

TCP

9

*

ECHO

TILTVA

UDP

9

*

ECHO

TILTVA

TCP

12

*

 

TILTVA

UDP

12

*

 

TILTVA

TCP

19

*

CHARGEN

TILTVA

UDP

19

*

CHARGEN

TILTVA

UDP

69

*

TFTP

TILTVA

TCP

111

*

SUNRPC

TILTVA

UDP

111

*

SUNRPC

TILTVA

UDP

161

*

SNMP

TILTVA

TCP

135

*

MS EPMAP

TILTVA

UDP

137

*

NetBIOS Name Service

TILTVA

UDP

138

*

NetBIOS Datagram Service

TILTVA

TCP

138

*

NetBIOS Datagram Service

TILTVA

TCP

139

*

NetBIOS Session Service

TILTVA

TCP

369

*

Rpc2portmap

TILTVA

UDP

369

*

Rpc2portmap

TILTVA

TCP

445

*

Microsoft-DS Active Directory, Windows shares

TILTVA

TCP

512

*

Remote Process Execution

TILTVA

TCP

513

*

rlogin

TILTVA

TCP

515

*

Line Printer Daemon

TILTVA

UDP

515

*

 

TILTVA

TCP

593

*

HTTP RPC Ep Map

TILTVA

TCP

631

*

IPP

TILTVA

UDP

631

*

IPP

TILTVA

TCP

901

*

Samba Web Administration Tool

TILTVA

TCP

1025

*

NFS/IIS/Terradata

TILTVA

TCP

1080

*

SOCKS

TILTVA

TCP

1433-1434

*

MSSQL

TILTVA

TCP

2745

*

 

TILTVA

TCP

3127-3128

*

 

TILTVA

TCP

4444

*

I2P HTTP/S proxy

TILTVA

TCP

4899

*

Radmin remote administration tool

TILTVA

TCP

5000

*

 

TILTVA

TCP

6129

*

DameWare Remote Control

TILTVA

TCP

6588

*

 

TILTVA

TCP

6777

*

 

TILTVA

TCP

10080

*

 

TILTVA

TCP

12345

*

NetBus

TILTVA

TCP

17300

*

 

TILTVA

TCP

20168

*

 

TILTVA

TCP

27374

*

Sub7

TILTVA

TCP

25

*

SMTP

ENGEDÉLYEZVE

Minden egyéb

*

 

ENGEDÉLYEZVE

Privát és védett szegmens közötti szabályok

Engedélyezett továbbá a Védett szegmensből a Privát szegmens felé kezdeményezett minden adatkapcsolat.

Hogyan lehetséges ettől eltérő tűzfal szabályokat kérni?

Akkor kell a router tűzfalán portnyitást kérni, ha azt akarjuk, hogy a publikus szegmensen elhelyezett fix IP címmel rendelkező szerverünket elérjék kívülről, azaz az Internet felől. Webserver esetén a TCP/80-as (www), és TCP/443-as (https) portokon felül további portok nyitását lehet kérni. Levelező server üzemeltetéséhez a TCP/25-ös (SMTP)-on felül szükséges lehet egyéb portokra a TCP/587 (Submission), a TCP/110-es (POP3), TCP/995 (POP3S) , TCP/993-as (IMAPS) és a TCP/143-as (IMAP) port. FTP server üzemeltetéséhez szükséges portok a TCP/20-as és TCP/21-es. SSH szerver üzemeltetéséhez szükséges port a TCP/22-es. A fent szereplő tiltott portokat nyitását a felhasználó érdekében jelenleg nem engedéyezzük. Az eltérő szabályokat az ügyfélszolgálaton kell kérni.