Параметры доступа, правила трафика межсетевого экрана > Службы
Previous 

Протокол REGEXP в службах

 Next

Протокол REGEXP в службах предназначен для установки произвольных фильтров на основе символьных строк и регулярных выражений. Фильтр протокола REGEXP исследует наличие символьной строки или регулярных выражений в передаваемом пакете, начиная с IP-заголовка и заканчивая передаваемыми данными прикладного протокола.

При добавлении/изменении службы выбор протокола REGEXP в настройках службы активирует блок со списком регулярных выражений, по умолчанию пустой:

В список «Регулярные выражения» службы должны быть добавлены символьные строки или регулярные выражения, которые межсетевой экран будет искать в IP-пакете, начиная с IP-заголовка и заканчивая данными прикладного протокола.

Для добавления новой символьной строки или регулярного выражения в список службы нажмите кнопку «Добавить» или клавишу <Ins>. В появившемся окне требуется указать следующие опции:

Поле ввода окна «Добавить» - символьная строка или регулярное выражение, не должно быть пустым, количество символов ограничено 1024, обязательная опция. Межсетевой экран исследует передаваемые пакеты на наличие в IP-пакете символьной строки/регулярного выражения, указанных в поле ввода. Символьная строка ищется в кодировке cp866, если требуется искать символьную строку в другой кодировке, то следует использовать запись в кодах Unicode через символ «\u» с включенной опцией Регулярное выражение. Например, для поиска сочетания латинской буквы А с латинской буквой B (символьной строки AB) следует написать в поле значение «\u0041\u0042».

Пакеты от клиента - опция, указывает на то, что символьную строку/регулярное выражение следует искать только в пакетах, передающихся от инициатора соединения (клиента) к принимающей соединение стороне (серверу).

Пакеты от сервера - опция, указывает на то, что символьную строку/регулярное выражение следует искать только в пакетах, передающихся от принимающей соединение стороны (сервера) к инициатору соединения (клиенту).

ВНИМАНИЕ! Должна быть задействована хотя бы одна из опций «Пакеты от клиента» или «Пакеты от сервера» (могут быть задействованы обе)!

Строка с учетом регистра - необязательная опция. Указывает на то, что в анализируемой символьной строке важен регистр (прописные или ЗАГЛАВНЫЕ символы).

Регулярное выражение - необязательная опция. Указывает на то, что в поле ввода указана не символьная строка, а регулярное выражение. Используются регулярные выражения библиотеки glibc (подробнее можно посмотреть в официальной документации на регулярные выражения glibc, https://www.gnu.org/software/libc/manual/html_node/Regular-Expressions.html). Включение опции «Регулярное выражение» отключает опцию «Строка с учетом регистра».

Для сохранения настроек окна «Добавить» и возврата в окно «Добавить службу», нажмите кнопку «Сохранить (F2») или клавишу <F2>. Для выхода из окна «Добавить» без сохранения изменений используйте кнопку «Отмена» или клавишу <Esc>. После сохранения новая запись появится в списке «Регулярные выражения» окна «Добавить службу».

Новая запись содержит следующие условные обозначения:

символ «<» - указатель на включенную опцию «Пакеты от клиента»;

символ «>» - указатель на включенную опцию «Пакеты от сервера»;

символы «cS» - указатель на включенную опцию «Строка с учетом регистра»;

символы «??» - указатель на включенную опцию «Регулярное выражение»;

текст после условных обозначений - символьная строка или регулярное выражение записи списка.

В одну службу с типом протокола REGEXP можно добавить до 255 записей символьных строк или регулярных выражений. В этом случае будет анализироваться IP-пакет на совпадение с любым из перечисленных символьных строк/регулярных выражений. Для удаления выбранной курсором записи нажмите клавишу <Del>.

Применение протокола REGEXP для частичной или полной блокировки приложений

Фильтр на основе протокола REGEXP может быть использован для частичной или полной блокировки сетевого трафика прикладного программного обеспечения, которое использует в сетевых взаимодействиях характерный для него идентификатор на основе символьной строки.

Например:

Для блокировки сетевой работы браузера Mozilla Firefox следует создать следующие два активных правила фильтрации трафика по содержимому:

1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами:

2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса «OPTS»:

Для блокировки сетевой работы браузера Google Chrome следует создать следует создать следующие два активных правила фильтрации трафика по содержимому:

1) правило с основным действием Drop или Reject, протоколом HTTP и службой REGEXP со следующими параметрами:

2) правило с основным действием Drop или Reject, протоколом FTP c дополнительным анализом по наличию FTP-запроса «SIZE»:

Примеры для частичной блокировки работы приложения:

Для частичной блокировки сетевой работы почтового клиента Dreammail, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами:

Для частичной блокировки сетевой работы почтового клиента Thunderbird, запрета работы по протоколу SMTP, следует создать активное правило трафика межсетевого экрана с запретительным основным действием (Drop или Reject) и службой REGEXP со следующими параметрами: