Previous 

Протокол REGEXP в службах

Next

Протокол REGEXP в службах предназначен для установки произвольных фильтров на основе символьных строк и регулярных выражений. Фильтр протокола REGEXP исследует наличие символьной строки или регулярных выражений в передаваемом пакете, начиная с IP-заголовка и заканчивая передаваемыми данными прикладного протокола.

При выборе в добавлении/изменении службы типа протокола REGEXP появляется блок со списком регулярных выражений, по умолчанию пустой:

regexp1img30092020

В список "Регулярные выражения" службы должны быть добавлены символьные строки или регулярные выражения, которые межсетевой экран будет искать в IP-пакете, начиная с IP-заголовка и заканчивая данными прикладного протокола.

Для добавления новой символьной строки или регулярного выражения в список службы нажмите кнопку "Добавить" или клавишу <Ins>. В появившемся окне требуется указать следующие опции:

regexp2img30092020

Поле ввода под названием окна Добавить - символьную строку или регулярное выражение, обязательная опция. Поле не должно быть пустым. Именно на наличие в IP-пакете указанной в поле символьной строке/регулярном выражении межсетевой экран будет исследовать передаваемые пакеты. Количество символов в поле ограничено 1024. Символьная строка ищется в кодировке cp866. Если требуется искать символьную строку в другой кодировке, то следует использовать запись в кодах Unicode через символ "\u" с включенной опцией Регулярное выражение. Например, для поиска сочетания латинской буквы А с латинской буквой B (символьной строки AB) следует написать в поле значение "\u0041\u0042".

Пакеты от клиента -  опция, указывает на то, что символьную строку/регулярное выражение стоит искать только в пакетах, передающихся от инициатора соединения (клиенту) к принимающей соединение стороне (сервера).

Пакеты от сервера - опция, указывает на то, что символьную строку/регулярное выражение стоит искать только в пакетах, передающихся от принимающей соединение стороны (сервера) к инициатору соединения (клиенту).

ОБРАТИТЕ ВНИМАНИЕ!: должна быть задействована хотя бы одна из опций Пакеты от клиента или Пакеты от сервера (могут быть задействованы обе)!

Строка с учетом регистра - необязательная опция. Указывает на то, что в анализируемой символьной строке важен регистр (прописные или ЗАГЛАВНЫЕ символы).

Регулярное выражение - необязательная опция. Указывает на то, что в поле ввода указана не символьная строка, а регулярное выражение. Используются регулярные выражения библиотеки glibc (подробнее можно посмотреть в официальной документации на регулярные выражения glibc, https://www.gnu.org/software/libc/manual/html_node/Regular-Expressions.html). Включение опции Регулярное выражение отключает опцию Строка с учетом регистра.

Для выхода и возвращения в окно "Добавить службу" с сохранением выполненных настроек, нажмите кнопку <Сохранить (F2)> или клавишу <F2>.

Для выхода из окна и без внесения в конфигурацию сделанных изменений, нажмите кнопку <Отмена> или клавишу <Esc>.

После выхода с сохранением выполненных настроек, в списке "Регулярные выражения" окна Добавить службу появится новая запись:

regexp3img30092020

Новая запись содержит следующие условные обозначения:

Символ "<" - указатель на включенную опцию Пакеты от клиента;

Символ ">" - указатель на включенную опцию Пакеты от сервера;

Символы "cS" - указатель на включенную опцию Строка с учетом регистра;

Символы "??" - указатель на включенную опцию Регулярное выражение;

Текст после условных обозначений - символьная строка или регулярное выражение записи списка.

В одну службу с типом протокола REGEXP можно добавить 255 записей символьных строк или регулярных выражений. В этом случае будет анализироваться наличие в IP-пакете хотя бы одной из перечисленных символьных строк/регулярных выражений. Для удаления выбранной курсором записи нажмите клавишу <Del>.

Применение протокола REGEXP для частично или полной блокировки приложений.

Фильтр на основе протокола REGEXP может быть использован для частичной или полной блокировки прикладного программного обеспечения, которое использует в сетевых взаимодействиях характерный для него идентификатор на основе символьной строки.

Например:

Для блокировки сетевой работы браузера Mozilla Firefox следует создать следующие два активных правила фильтрации трафика по содержимому:

1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами:

regexp4img30092020

2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса "OPTS":

regexp8img01102020

Для блокировки сетевой работы браузера Google Chrome следует создать следует создать следующие два активных правила фильтрации трафика по содержимому:

1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами:

regexp7img30092020

2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса "SIZE":

regexp9img01102020

Примеры для частичной блокировки работы приложения:

Для частичной блокировки сетевой работы почтового клиента Dreammail, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами:

regexp5img30092020

Для частичной блокировки сетевой работы почтового клиента Thunderbird, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами:

regexp6img30092020