Параметры доступа, правила трафика межсетевого экрана > Службы
Previous 

Протокол REGEXP в службах

 Next

Протокол REGEXP в службах предназначен для установки произвольных фильтров на основе символьных строк и регулярных выражений. Фильтр протокола REGEXP исследует наличие символьной строки или регулярных выражений в передаваемом пакете, начиная с IP-заголовка и заканчивая передаваемыми данными прикладного протокола.

При выборе в добавлении/изменении службы типа протокола REGEXP появляется блок со списком регулярных выражений, по умолчанию пустой:

В список «Регулярные выражения» службы должны быть добавлены символьные строки или регулярные выражения, которые межсетевой экран будет искать в IP-пакете, начиная с IP-заголовка и заканчивая данными прикладного протокола.

Для добавления новой символьной строки или регулярного выражения в список службы нажмите кнопку «Добавить» или клавишу <Ins>. В появившемся окне требуется указать следующие опции:

Поле ввода окна «Добавить» - символьная строка или регулярное выражение, обязательная опция. Поле не должно быть пустым. Именно на наличие в IP-пакете указанной в поле ввода символьной строки/регулярного выражения межсетевой экран будет исследовать передаваемые пакеты. Количество символов в поле ограничено 1024. Символьная строка ищется в кодировке cp866. Если требуется искать символьную строку в другой кодировке, то следует использовать запись в кодах Unicode через символ «\u» с включенной опцией Регулярное выражение. Например, для поиска сочетания латинской буквы А с латинской буквой B (символьной строки AB) следует написать в поле значение «\u0041\u0042».

Пакеты от клиента - опция, указывает на то, что символьную строку/регулярное выражение стоит искать только в пакетах, передающихся от инициатора соединения (клиента) к принимающей соединение стороне (серверу).

Пакеты от сервера - опция, указывает на то, что символьную строку/регулярное выражение стоит искать только в пакетах, передающихся от принимающей соединение стороны (сервера) к инициатору соединения (клиенту).

ВНИМАНИЕ! Должна быть задействована хотя бы одна из опций «Пакеты от клиента» или «Пакеты от сервера» (могут быть задействованы обе)!

Строка с учетом регистра - необязательная опция. Указывает на то, что в анализируемой символьной строке важен регистр (прописные или ЗАГЛАВНЫЕ символы).

Регулярное выражение - необязательная опция. Указывает на то, что в поле ввода указана не символьная строка, а регулярное выражение. Используются регулярные выражения библиотеки glibc (подробнее можно посмотреть в официальной документации на регулярные выражения glibc, https://www.gnu.org/software/libc/manual/html_node/Regular-Expressions.html). Включение опции «Регулярное выражение» отключает опцию «Строка с учетом регистра».

Для выхода и возвращения в окно «Добавить службу» с сохранением выполненных настроек, нажмите кнопку «Сохранить (F2») или клавишу <F2>.

Для выхода из окна и без внесения в конфигурацию сделанных изменений, нажмите кнопку «Отмена» или клавишу <Esc>.

После выхода с сохранением выполненных настроек, в списке «Регулярные выражения» окна «Добавить службу» появится новая запись:

Новая запись содержит следующие условные обозначения:

Символ «<» - указатель на включенную опцию «Пакеты от клиента»;

Символ «>» - указатель на включенную опцию «Пакеты от сервера»;

Символы «cS» - указатель на включенную опцию «Строка с учетом регистра»;

Символы «??» - указатель на включенную опцию «Регулярное выражение»;

Текст после условных обозначений - символьная строка или регулярное выражение записи списка.

В одну службу с типом протокола REGEXP можно добавить 255 записей символьных строк или регулярных выражений. В этом случае будет анализироваться наличие в IP-пакете хотя бы одной из перечисленных символьных строк/регулярных выражений. Для удаления выбранной курсором записи нажмите клавишу <Del>.

Применение протокола REGEXP для частичной или полной блокировки приложений

Фильтр на основе протокола REGEXP может быть использован для частичной или полной блокировки прикладного программного обеспечения, которое использует в сетевых взаимодействиях характерный для него идентификатор на основе символьной строки.

Например:

Для блокировки сетевой работы браузера Mozilla Firefox следует создать следующие два активных правила фильтрации трафика по содержимому:

1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами:

2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса «OPTS»:

Для блокировки сетевой работы браузера Google Chrome следует создать следует создать следующие два активных правила фильтрации трафика по содержимому:

1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами:

2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса «SIZE»:

Примеры для частичной блокировки работы приложения:

Для частичной блокировки сетевой работы почтового клиента Dreammail, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами:

Для частичной блокировки сетевой работы почтового клиента Thunderbird, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами: