Вопрос: Что такое межсетевой экран - файрвол (Firewall) и как его настраивать у Интернет-маршрутизаторов серии DI-XXX?

Ответ: 

Файрвол - или, по-другому "фильтр пакетов" - это дополнительная возможность интернет- маршрутизаторов серии DI-XXX , предназначенная для ограничения прохождения пакетов IP-протокола через интернет- маршрутизатор. Похожие функции реализуются на закладке "Filter" , но только для ограничения исходящего трафика. Чаще всего дополнительно настраивать файрвол нет необходимости, так как имеющиеся в его настройках правила "по умолчанию" обеспечивают нужные функции защиты. Также имеющийся у интернет- маршрутизаторов данной серии сервис NAT обеспечивает хороший уровень защищенности.

Но иногда требуется более гибкое конфигурирование ограничений. Как пример, рассмотрим настройку правил файрвола для разрешения доступа к внутреннему web-серверу (предоставляемому через функцию "Virtual Server") только компьютерам из определенной подсети (например, подсеть филиала).

Для настройки правил файрвола сперва нужно настроить подключение к интернет-маршрутизатору по локальной сети, подключиться web-браузером по IP-адресу интернет-маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).

После этого перейти на закладку Advanced -> Firewall .

(далее шаги настройки и снимки экрана приводятся на примере DI-604HV F/W V3.06 , для других устройств все настраивается аналогичным образом).

Увидим следующую страничку (рис.1)


I) В списке видим правило, созданное автоматически в момент конфигурирования виртуального сервера. Три других правила, расположенных ниже, - правила "по умолчанию" и удаляться или редактироваться не могут. Для решения нашей задачи (ограничение списка компьютеров, имеющих доступ к web-серверу) нужно нажать значок редактирования, расположенный справа в соответствующей правилу строке. Картинка измениться на следующую (рис.2):


  1. После нажатия кнопки редактирования все параметры выбранного правила отобразились в полях вверху страницы. При этом все они серого цвета и недоступны для редактирования. Это говорит о том, что редактировать эти параметры нужно на вкладке "Virtual Server" , где создавался web-сервер и в результате чего автоматически сгенерировалось данное правило для разрешения доступа к нему. Единственные поля, доступные для редактирования - выделенные красным прямоугольником, причем в поле "IP Start" первоначально стоял символ " * ", а поле "IP End" было пустым. Это означало, что ограничений по IP-адресу источника нет. Для введения ограничения согласно нашей задачи отредактируем эти поля, указав в них диапазон адресов компьютеров, которым разрешено иметь доступ к web-серверу. В качестве примера разрешено иметь доступ только 6 компьютерам с адресами 10.20.30.40-45. Всем остальным в доступе будет отказано.
  2. Нажимаем кнопку "Apply" - после этого появляется сообщение о перезагрузке, после чего через некоторое время снова появляется эта страничка. После этого необходимо перезагрузить устройство по питанию.

Поздравляем, настройка завершена.

Проверить правильность настроек можно, обратившись из Интернет по адресу http://10.10.10.10, где 10.10.10.10 - заменить на внешний адрес вашего маршрутизатора (адрес WAN-порта). При обращении с разрешенных адресов будет видна начальная страничка web-сервера, при обращении с других адресов доступа к web-серверу не будет.