Добавяне на правило за защитна стена / политика за сигурност на вашия ATP/USG FLEX/USG/ZyWall-Gateway

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно съобщение:
Уважаеми клиенти, имайте предвид, че ние използваме машинен превод , за да предоставяме статии на вашия местен език. Не всеки текст може да бъде преведен точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Firewall или „Политика за сигурност“, както я наричаме в нашите устройства от по-ново поколение, е ядрото на нашите устройства. Този урок трябва да ви даде основно разбиране за начина на работа на нашия Firewall уред и трябва да ви подготви да направите първите си стъпки в създаването на ваши собствени правила за защитна стена!

 

Интерфейси, зони и политики за сигурност

Интерфейси

Преди да се потопим дълбоко в конфигурацията, първо трябва да поговорим накратко за това как структурираме нашите защитни стени - които за по-лесно четене просто ще наричаме "USG" или "ATP". Нашата USG се състои от множество интерфейси, от WAN портове до LAN портове до всички други виртуални интерфейси, които създавате на устройството.

Интерфейсите са основно независими мрежови сегменти на шлюза и могат да бъдат намерени в пътя на менюто

Configuration > Network > Interface

В този пример екранна снимка на Ethernet интерфейсите по подразбиране на ATP200:

mceclip0.png

 

Зони

Сега, след като разбираме основната концепция на интерфейсите, нека преминем към зоните, тъй като най-вече зоните ще станат важни за нашите правила за защитна стена / политики за сигурност. В повечето случаи USG или ATP ще се състои от множество LAN, множество VLAN и/или множество WAN. Що се отнася до правилата на защитната стена, може да имате група интерфейси, за които искате да се прилагат едни и същи правила - най-вероятно искате всички LAN групи да имат еднакви права в цялата мрежа или искате вашите множество WAN портове да бъдат третирани същото. В този случай зоните са перфектен контейнер за интерфейси. В случай, че може би се чудите какво се има предвид с това твърдение - надяваме се, това трябва да стане ясно много скоро.

В менюто Зона чрез

Configuration > Object > Zone

можете да намерите различните зони по подразбиране и назначенията на интерфейса към тези зони:

mceclip1.png

В същия смисъл, както имате множество така наречени „обекти“ в зоната, можете да създадете също множество адресни обекти, обслужващи обекти и много повече различни типове обекти.

 

Обекти

Тъй като този урок по-скоро трябва да даде картина за създаване на правила за защитна стена / политики за сигурност, нека запазим тази глава кратка: серията USG / ATP работи с така наречените обекти. Обектите са, както казва името, обекти в база данни, например адресни обекти, обслужващи обекти (портове и протоколи), сред много други обекти. Тези обекти сами по себе си нямат функция и са просто база данни. Истинската магия се случва, когато поставим тези обекти в политики, като политиката за сигурност (правило за защитна стена).

Само като пример, тук е екранна снимка на списъка с обекти на услугата, който може да бъде намерен чрез

Configuration > Object > Service

mceclip2.png

Както можете да видите, има много обекти, които вече са подготвени за директна употреба в рамките на политиките.

 

Правила за сигурност / Firewall правила

Сега, след като преминахме през предпоставките за разбиране на интерфейси, зони и обекти, сега можем да преминем към действително създаване на правила за защитна стена. Менюто за това можете да намерите чрез

Configuration > Security Policy > Policy Control

и изглежда така:

mceclip3.png

По-голямата част от правилата Firewall, които обикновено бихте интегрирали във вашата мрежа, вече са предварително конфигурирани по подразбиране, например пълният достъп отвън (WAN) към вътрешния (LAN) на вашата мрежа, разбира се, е блокиран, за да се противодейства на злонамерени атаки от Интернетът. Също така, например, вашият LAN към WAN достъп от друга страна е неограничен, защото това е потребителско предпочитание, ако искате да блокирате някои портове за вашите LAN клиенти.

Сега виждаме различни колони в правилата на политиката:

  • Приоритет: Ред на правилото Firewall - правилата на защитната стена се изпълняват отгоре надолу, в този конкретен ред
  • Статус: показва дали правилото е активно - жълтото е включено, сивото е изключено
  • Име: Име на правилото на защитната стена
  • От: Отнася се за зоната, от която идва трафикът
  • До: Отнася се за зоната, към която ще тече трафикът
  • IPv4 източник: Отнася се до адресен обект, улеснява финото настройване на правилата на защитната стена към конкретни IPv4 източници
  • IPv4 дестинация: Отнася се за адресен обект, улеснява финото настройване на правилата на защитната стена към конкретни IPv4-дестинации
  • Услуга: Отнася се за сервизен обект, позволява да се създаде правило, което е приложимо само за един порт/протокол или група от портове/протоколи
  • Потребител: Позволява фина настройка на правилото на защитната стена, за да бъде приложимо само към потребителски обекти/потребителски групи
  • График: Това позволява настройката на защитната стена да става активна само по време на определен график (полезно за родителски контрол, училищни приложения и др.)
  • Действие: Определя дали трафикът, съответстващ на всички горепосочени параметри, е разрешен или е отказан
  • Дневник: Тук можете да зададете дали искате запис в журнала, в случай че съвпадащият трафик преминава през защитната стена
  • Профил: В този сегмент можете да добавите UTM услуги и съответните им профили (например профили за филтриране на съдържание и т.н.)

Сега, след като открихме различните неща, които човек може да настрои в контрола на правилата, нека просто измислим пример за конфигурация:

Цел: Искаме да блокираме LAN1 към LAN2, но всичко останало, до което достигат LAN1 и LAN2, няма да бъде блокирано.

По подразбиране на LAN1 и LAN2 просто е разрешен достъп до всичко: От LAN1 (или LAN2, за този въпрос) До всеки (С изключение на ZyWall ) позволява на двете LAN мрежи да имат достъп една до друга. За да забраним това, можем просто да "отрежем" разрешението чрез правило на защитната стена, зададено на самия връх, забранявайки една конкретна посока. В нашия пример ще забраним LAN2 към LAN1. Тъй като комуникацията е двупосочна улица, това също трябва да прекъсне всеки опит за получаване на достъп от LAN1 до LAN2:

mceclip0.png

Задаваме действието да откаже. Това действие просто ще пусне пакета, различно от опцията за отхвърляне , ще изпрати обратно информация на устройството за достъп защо не му е разрешен достъп до мрежата. Информацията, базирана на действието за отхвърляне, може лесно да се използва за прихващане и хакване на устройството, така че в повечето случаи не се препоръчва.

Също така задаваме „дневник за отказан трафик“ като предупреждение за журнал , това ще ни покаже с червени букви запис в журнала, когато някой се опита да получи достъп до мрежата.

След като настроите това правило, трябва да можете да виждате записи в журнала веднага щом някой се опита да влезе според правилото на вашата защитна стена.

Ето пример за това как могат да изглеждат тези регистрационни файлове (различно правило от нашето LAN1 --> LAN2 правило, което създадохме по-горе, само за demonstration цели:

Monitor > Log


mceclip1.png

 

Тези инструкции за първа стъпка трябва да ви помогнат лесно да създадете първите си правила за защитна стена на вашите устройства за шлюз за сигурност!

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
14 от 20 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.