Континент-АП. Базовая настройка МЭ.

Приветствую, уважаемый читатель!

Недавно столкнулся с необходимостью настроить межсетевой экран СКЗИ Континент-АП по принципу белого списка. Задача несложная, но есть некоторые особенности применительно к данному программному продукту. Решил поделиться, вдруг кому пригодится и лень долго читать инструкции.

СКЗИ Континент-АП представляет собой программный VPN-клиент с функцией персонального межсетевого экрана. VPN-клиент подключается к АПКШ "Континент" и далее можно работать в защищаемой сети. Встроенный функционал МЭ очень полезен когда нужно ограничить сетевое взаимодействие и позволяет не использовать другие решения.

На процессе установки Континент-АП подробно останавливаться не буду, а только опишу основные шаги:

1. Во время установки дистрибутива принудительно выбрать установку с МЭ.

2. После завершения установки в трее появится иконка брандмауера Континента (выделена желтым цветом) и для начала его работы необходимо выбрать пункт "Начать сеанс работы...". Пароль по умолчанию - "111111". Иконка станет зеленой.

3. Для настройки правил фильтрации необходимо выбрать пункт "Войти в режим настройки...". Учетные данные по умолчанию: "Администратор" - "111111".

Правила фильтрации МЭ можно настраивать в нескольких режимах, приведены на скриншоте:

"Правила до авторизации" загружаются вместе с операционной системой, "правила фильтрации" и "правила прикладной фильтрации" загружаются после начала сеанса работы с МЭ.

Пример некоторых правил ниже (для режима "правила фильтрации"):

1. Разрешить доступ к конкретному IP-адресу (исходящее или входящее направление):

pass:host 93.187.72.23;

2. Разрешить доступ к конкретному IP-адресу по протоколу HTTP или HTTPS:

pass:(tcp port 80) or (tcp port 443) and (host 93.187.72.23);

3. Разрешить доступ к произвольной сети (93.187.72.0/24) по протоколу TCP с указанием или без указания порта:

pass:(tcp port 80) and (net 93.187.72.0/24);

pass:tcp and net 93.187.72;

4. Разрешить службы DNS и DHCP, протоколы ARP, RARP и ICMP:

pass:(udp port 67) or (udp port 68);

pass:(udp port 53) or (tcp port 53);

pass:arp;

pass:rarp;

pass:icmp;

5. Запретить любую передачу трафика / разрешить передачу любого трафика: 

:;

pass:;

Лирическое отступление: для корректной работы МЭ на компьютере необходимо обязательно прописать несколько правил (разрешить работу протокола ARP и службу DNS), от которых будут зависеть все остальные - pass:arp; и pass:(udp port 53) or (tcp port 53);