Přidání pravidla brány firewall / zásad zabezpečení na vaši bránu ATP/USG FLEX/USG/ZyWall-Gateway

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité oznámení:
Vážený zákazníku, uvědomte si prosím, že k poskytování článků ve vašem místním jazyce používáme strojový překlad . Ne všechny texty mohou být přeloženy přesně. Pokud existují dotazy nebo nesrovnalosti ohledně přesnosti informací v přeložené verzi, přečtěte si prosím původní článek zde: Původní verze

Firewall, neboli "Bezpečnostní politika", jak to nazýváme v našich zařízeních novější generace, je jádrem našich zařízení. Tento tutoriál vám má poskytnout základní pochopení způsobů práce s naším zařízením Firewall a měl by vás připravit na první kroky při vytváření vlastních pravidel brány firewall!

 

Rozhraní, zóny a bezpečnostní zásady

Rozhraní

Než se ponoříme hlouběji do konfigurace, musíme si nejprve krátce pohovořit o tom, jak strukturujeme naše firewally – které budeme pro snadnější čtení dále označovat jako „USG“ nebo „ATP“. Naše USG se skládá z několika rozhraní, od portů WAN přes porty LAN až po všechna ostatní virtuální rozhraní, která na jednotce vytvoříte.

Rozhraní jsou v podstatě nezávislé segmenty sítě na bráně a lze je nalézt v cestě nabídky

Configuration > Network > Interface

V tomto příkladu je snímek obrazovky výchozích ethernetových rozhraní na ATP200:

mceclip0.png

 

zóny

Nyní, když rozumíme samotnému základnímu konceptu rozhraní, přejděme k zónám, protože zejména zóny se stanou důležitými pro naše pravidla brány firewall / bezpečnostní zásady. Ve většině případů se USG nebo ATP bude skládat z více sítí LAN, více sítí VLAN a/nebo také více sítí WAN. Pokud jde o pravidla brány firewall, můžete mít skupinu rozhraní, pro která chcete mít stejná pravidla - s největší pravděpodobností chcete, aby všechny skupiny LAN měly stejná práva v celé síti, nebo chcete, aby bylo ošetřeno více portů WAN. stejný. V tomto případě jsou zóny dokonalým kontejnerem pro rozhraní. V případě, že by vás mohlo zajímat, co je tímto tvrzením míněno – to by snad mělo být brzy jasné.

V nabídce Zone přes

Configuration > Object > Zone

můžete najít různé výchozí zóny a přiřazení rozhraní k těmto zónám:

mceclip1.png

Ve stejném smyslu, jako máte v zóně více tzv. „Objektů“, můžete také vytvořit více objektů Address, objektů služeb a mnoho dalších různých typů objektů.

 

Objekty

Vzhledem k tomu, že tento tutoriál má spíše podat obrázek o vytváření pravidel firewallu / bezpečnostních politik, nechme tuto kapitolu stručnou: řada USG / ATP pracuje s tzv. objekty. Objekty jsou, jak název napovídá, objekty v databázi, např. objekty adres, objekty služeb (porty a protokoly) a mnoho dalších objektů. Tyto objekty samy o sobě nemají žádnou funkci a jsou pouze databází. Skutečné kouzlo se stane, když tyto objekty umístíme do politik, jako je bezpečnostní politika (pravidlo brány firewall).

Jen jako příklad zde snímek obrazovky seznamu objektů služeb, který lze nalézt přes

Configuration > Object > Service

mceclip2.png

Jak můžete vidět, existuje spousta objektů již připravených k přímému použití v rámci politik.

 

Bezpečnostní zásady / pravidla Firewall

Nyní, když jsme prošli předpoklady porozumění rozhraním, zónám a objektům, můžeme nyní přejít ke skutečnému vytváření pravidel brány firewall. Menu k tomu najdete přes

Configuration > Security Policy > Policy Control

a vypadá to takto:

mceclip3.png

Naprostá většina pravidel Firewall, která byste normálně integrovali do své sítě, je již ve výchozím nastavení předkonfigurována, například úplný přístup zvenčí (WAN) do vnitřku (LAN) vaší sítě je samozřejmě blokován, aby se zabránilo škodlivým útokům ze strany internetu. Také například váš přístup z LAN do WAN na druhé straně je neomezený, protože je to uživatelská preference, pokud chcete blokovat některé porty pro vaše LAN klienty.

Nyní vidíme v pravidlech zásad různé sloupce:

  • Priorita: Pořadí pravidla Firewall - pravidla brány firewall běží shora dolů v tomto konkrétním pořadí
  • Stav: zobrazuje, zda je pravidlo aktivní - žlutá svítí, šedá nesvítí
  • Název: Název pravidla brány firewall
  • From: Týká se zóny, ze které provoz, pokud přichází
  • Komu: Odkazuje na zónu, do které bude provoz proudit
  • Zdroj IPv4: Odkazuje na objekt adresy, usnadňuje doladění pravidel brány firewall pro konkrétní zdroje IPv4
  • Cíl IPv4: Odkazuje na objekt adresy, usnadňuje doladění pravidel brány firewall pro konkrétní cíle IPv4
  • Služba: Odkazuje na objekt služby, umožňuje vytvořit pravidlo, které je použitelné pouze pro jeden port/protokol nebo skupinu portů/protokolů
  • Uživatel: Umožňuje doladit pravidlo brány firewall tak, aby se vztahovalo pouze na uživatelské objekty/skupiny uživatelů
  • Plán: Umožňuje nastavit firewall tak, aby byl aktivní pouze během určitého časového plánu (užitečné pro rodičovskou kontrolu, školní aplikace atd.)
  • Akce: Definuje, zda provoz splňující všechny výše uvedené parametry může projít nebo je zakázán
  • Protokol: Zde můžete nastavit, zda chcete záznam protokolu v případě, že firewallem prochází odpovídající provoz
  • Profil: V tomto segmentu můžete přidat služby UTM a jejich příslušné profily (například profily filtrování obsahu atd.)

Nyní, když jsme objevili různé věci, které lze nastavit v rámci kontroly zásad, pojďme si vytvořit příklad konfigurace:

Cíl: Chceme blokovat LAN1 až LAN2, ale vše ostatní, co LAN1 a LAN2 osloví, nebude blokováno.

Ve výchozím nastavení mají LAN1 a LAN2 jednoduše povolen přístup k čemukoli: Z LAN1 (nebo LAN2, když na to přijde) Do libovolného (kromě ZyWall ) umožňuje oběma sítím LAN vzájemný přístup. Abychom to zakázali, můžeme jednoduše „odříznout“ povolenku pomocí pravidla firewallu nastaveného úplně nahoře a zakázat jeden konkrétní směr. V našem příkladu zakážeme LAN2 až LAN1. Protože komunikace je obousměrná, mělo by to také přerušit jakýkoli pokus o získání přístupu z LAN1 do LAN2:

mceclip0.png

Akci nastavujeme na odmítnutí. Tato akce jednoduše zahodí paket, jiná možnost než možnost odmítnout odešle zpět do přistupujícího zařízení informace o tom, proč nemá povolen přístup k síti. Informace založené na akci odmítnutí lze snadno použít k zachycení a hacknutí zařízení, takže se to ve většině případů nedoporučuje.

Také jsme nastavili "protokol denied traffic" jako log alert , to nám zobrazí červenými písmeny záznam v logu, když se někdo stále pokouší o přístup k síti.

Po nastavení tohoto pravidla byste měli být schopni vidět položky protokolu, jakmile se někdo pokusí vstoupit podle vašeho pravidla brány firewall.

Zde je příklad, jak by tyto protokoly mohly vypadat (jiné pravidlo než naše pravidlo LAN1 --> LAN2, které jsme vytvořili výše, jen pro účely demonstration:

Monitor > Log


mceclip1.png

 

Tyto pokyny k prvnímu kroku by vám měly pomoci snadno vytvořit první pravidla brány firewall na zařízeních bezpečnostních bran!

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 14 z 20
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.