Tilføjelse af en firewallregel/sikkerhedspolitik på din ATP/USG FLEX/USG/ZyWall-Gateway

Firewall, eller "sikkerhedspolitik", som vi kalder det i vores nyere generation af enheder, er kernen i vores enheder. Denne tutorial skal give dig en grundlæggende forståelse af arbejdsmåderne for vores Firewall apparat og bør gøre dig klar til at tage dine første skridt i at skabe dine egne firewall-regler!

Grænseflader, zoner og sikkerhedspolitikker

Grænseflader

Inden vi dykker dybt ned i konfigurationen, skal vi først kort fortælle om, hvordan vi strukturerer vores firewalls – som vi for overskuelighedens skyld blot videre vil referere til som "USG" eller "ATP". Vores USG består af flere grænseflader, fra WAN-porte til LAN-porte til alle andre virtuelle grænseflader, du opretter på enheden.

Interfaces er grundlæggende uafhængige netværkssegmenter på gatewayen og kan findes i menustien

Configuration > Network > Interface

I dette eksempel er et skærmbillede af standard Ethernet-grænseflader på en ATP200:

Zoner

Nu hvor vi forstår selve kernekonceptet for grænsefladerne, lad os gå over til Zoner, da især Zonerne bliver vigtige for vores firewall regler/sikkerhedspolitikker. I de fleste tilfælde vil en USG eller ATP også bestå af flere LAN'er, flere VLAN'er og/eller flere WAN'er. Når det kommer til firewall-regler, har du måske en gruppe grænseflader, som du vil have de samme regler gældende for - højst sandsynligt vil du have alle LAN-grupper med de samme rettigheder i hele netværket, eller du vil have dine flere WAN-porte behandlet det samme. I dette tilfælde er zonerne en perfekt beholder til grænseflader. Hvis du måske undrer dig over, hvad der menes med denne erklæring - dette skulle forhåbentlig blive klart meget snart.

I menuen Zone via

Configuration > Object > Zone

du kan finde de forskellige standardzoner og grænsefladetildelingerne til disse zoner:

På samme måde som du har flere såkaldte "objekter" i zonen, kan du også oprette flere adresseobjekter, serviceobjekter og mange flere forskellige typer objekter.

Objekter

Da denne tutorial snarere skal give et billede af oprettelse af firewall-regler / sikkerhedspolitikker, lad os holde dette kapitel kort: USG / ATP-serien arbejder med såkaldte objekter. Objekter er, som navnet siger, objekter i en database, fx adresseobjekter, serviceobjekter (porte og protokoller) blandt mange andre objekter. Disse objekter har i sig selv ingen funktion og er blot en database. Den virkelige magi sker, når vi placerer disse objekter inden for politikker, såsom sikkerhedspolitikken (firewall-reglen).

Blot som eksempel her et skærmbillede af serviceobjektlisten, som kan findes via

Configuration > Object > Service

Som du måske kan se, er der masser af genstande allerede forberedt til direkte brug inden for politikkerne.

Sikkerhedspolitikker / Firewall regler

Nu, hvor vi har gennemgået forudsætningerne for at forstå grænseflader, zoner og objekter, kan vi nu gå over til faktisk at skabe firewall-regler. Menuen hertil findes via

Configuration > Security Policy > Policy Control

og det ser sådan ud:

Langt de fleste Firewall regler, som du normalt ville integrere i dit netværk, er allerede prækonfigureret som standard, for eksempel er den fulde adgang fra ydersiden (WAN) til indersiden (LAN) af dit netværk naturligvis blokeret for at modvirke ondsindede angreb fra internettet. Også, for eksempel, er din LAN til WAN-adgang på den anden side ubegrænset, fordi det er en brugerpræference, hvis du vil blokere nogle porte for dine LAN-klienter.

Vi ser nu i de politiske regler forskellige kolonner:

• Prioritet: Rækkefølgen af Firewall-reglen - firewallregler kører fra top til bund i den specifikke rækkefølge
• Status: viser om reglen er aktiv - gul er tændt, grå er slukket
• Navn: Navnet på firewallreglen
• Fra: Refererer til den zone, hvorfra trafik kommer fra
• Til: Refererer til den zone, som trafikken vil flyde til
• IPv4-kilde: Refererer til et adresseobjekt, gør det nemmere at finjustere firewallregler til specifikke IPv4-kilder
• IPv4-destination: Refererer til et adresseobjekt, gør det nemmere at finjustere firewallregler til specifikke IPv4-destinationer
• Service: Refererer til et serviceobjekt, gør det muligt at oprette en regel, som kun gælder for en enkelt port/protokol eller en gruppe af porte/protokoller
• Bruger: Tillader finjustering af firewall-reglen, så den kun gælder for brugerobjekter/brugergrupper
• Tidsplan: Dette gør det muligt at konfigurere firewallen til kun at blive aktiv i løbet af en specifik tidsplan (nyttigt til forældrekontrol, skoleapplikationer osv.)
• Handling: Definerer, om trafikken, der matcher alle ovenstående parametre, får lov til at passere eller nægtes
• Log: Her kan du indstille, om du vil have en logindtastning i tilfælde af, at matchende trafik strømmer gennem firewallen
• Profil: I dette segment kan du tilføje UTM-tjenester og deres respektive profiler (for eksempel indholdsfilterprofiler osv.)

Nu, hvor vi har opdaget de forskellige ting, man kan konfigurere inden for politikkontrol, lad os lige lave et eksempel på en konfiguration:

Mål: Vi ønsker at blokere LAN1 til LAN2, men alt andet, både LAN1 og LAN2 når ud, skal ikke blokeres.

Som standard har LAN1 og LAN2 simpelthen lov til at få adgang til hvad som helst: Fra LAN1 (eller LAN2, for den sags skyld) Til enhver (undtagen ZyWall ) tillader begge LAN-netværk at få adgang til hinanden. For at afvise dette, kan vi simpelthen "afskære" tillægget via en firewall-regel, der er sat helt oppe, og ikke tillade en bestemt retning. I vores eksempel vil vi ikke tillade LAN2 til LAN1. Da kommunikation er en tovejsgade, bør dette også afbryde ethvert forsøg på at få adgang fra LAN1 til LAN2:

Vi indstiller handlingen til at afvise. Denne handling vil ganske enkelt droppe pakken, andet end afvisningsmuligheden , vil sende information tilbage til den adgangsgivende enhed om, hvorfor den ikke har adgang til netværket. Informationen baseret på afvisningshandlingen kan nemt bruges til at opsnappe og hacke enheden, så det anbefales ikke i de fleste tilfælde.

Vi indstiller også "log nægtet trafik" som log-alarm , dette vil vise os med røde bogstaver en post i loggen, når nogen forsøger stadig at få adgang til netværket.

Efter opsætning af denne regel, bør du være i stand til at se logposter, så snart nogen forsøger at komme ind i henhold til din firewall-regel.

Her er et eksempel på, hvordan disse logfiler kunne se ud (en anden regel end vores LAN1 --> LAN2-regel, vi oprettede ovenfor, kun til demonstrationsformål:

Monitor > Log

Disse første trin-instruktioner skulle få dig til nemt at komme i gang med at oprette dine første firewall-regler på dine sikkerhedsgateway-apparater!