Da vi i denne artikel forklarede, hvordan du opretter generiske sikkerhedspolitikker/firewallregler, vil vi bruge denne artikel her til at give dig nyttig indsigt og tips og tricks om opsætning af den perfekte firewall -strategi for at beskytte dig og dine kunder!
1. Top til bund!
Sikkerhedspolitikker eller politikker generelt på vores sikkerhedsportefølje kører cyklisk, hvilket betyder, at den første regel anvendes, efterfulgt af den anden osv.
Dette giver mulighed for en let og logisk indsigt i sikkerhedspolitikkerne, når du ser politiktabellen.
Helt i bunden kan du se en standardregel, som som standard nægter alt. Så det betyder, at al trafik er blokeret, medmindre der er defineret en undtagelse over denne standardregel. Som standard har vi masser af regler, der allerede er forudkonfigureret for at sikre gnidningsløs kommunikation fra interne netværk, men stadig tilbyder et godt sæt beskyttelse.
2. Bordsortering og filtrering
Overvældet af den store mængde politikregler, du har oprettet, og søger efter en meget specifik regel? Ingen bekymringer, med filterkategorierne kan du let finde den regel, du søger efter (eller finde ud af, at reglen mangler) med et blik. For at gøre dette skal du trykke på "Vis filter" øverst i menuen til politikstyring - dette vil skjule filtermenuen:
I filtermenuen kan du nu søge efter regler, der matcher de parametre, du har defineret ovenfor. I ovenstående eksempel vil vi finde ud af, om vi har regler, der definerer WAN-adgang til vores enhed (ZyWall) på Port 443. Da vi tilføjede 443 til Service Object-Group "Default_Allow_WAN_to_ZyWall", kan wen se alle regler, som følg disse parametre. Når vi kigger dybere, kan vi se, at vi faktisk tillod 443 fra WAN - det er nu op til os at beslutte, om dette er ønsket eller betragtes som et sikkerhedsproblem, som vi vil løse. Men dette eksempel viser kraften ved hurtig filtrering.
3. Gør dit liv lettere, brug zoner!
Normalt defineres adgangskontrollister eller firewallregler eller i vores tilfælde sikkerhedspolitikker via IP -kilden og destinationsadresserne i kombination med andre faktorer som porte osv.
Men forestil dig, at du har fem netværk med spredte undernet, og du vil tillade adgang mellem dem alle til hinanden. Med en generisk, stiv firewall -opsætning står du tilbage med at oprette 5 regler for det første netværk, 4 tilbage for det næste subnet, 3 for det tredje subnet, 2 for det fjerde subnet og en anden regel for det femte subnet til at dække hvert enkelt mulig opsætning. Det ville efterlade dig med 15 firewall -regler at oprette! Tilføjelse af et andet subnet ville endda betyde større problemer ... ikke særlig muligt, ikke?
Med vores firewall -apparater, intet problem! Vores firewall har såkaldte zoner - det er objektreferencer, hvor du kan tilføje grænseflader. Ved at tilføje f.eks. Nyoprettede VLAN10 og VLAN20 til deres egen zone kan du få de samme firewallregler anvendt på begge netværk.
Dette kan gøres ved at oprette en ny zone og trække over de netværk, du vil være inden for zonen via
Configuration > Object > Zone
Derefter kan du tildele zonen til firewallregler:
Så i dette eksempel tillader vi begge VLAN'er at tillade både sig selv, det andet VLAN, ethvert andet LAN, selve enheden, internettet ved to enkle regler. Praktisk, ikke sandt?
4. Sikkerhedens magt - tilføjelse af UTM -funktioner
Den virkelige magi ved vores firewall -apparater ligger imidlertid ikke inden for den normale firewall -opsætning, men UTM -profilerne. Mange af UTM-funktionerne følger imidlertid også en objektorienteret programmeringsstrøm, så ligesom adresse-, service- og zoneobjekter oprettes de dybest set ét sted og venter på at blive integreret i en firewallregel:
Mere om dette emne findes i videnbaseartiklerne, der eksplicit er skræddersyet til disse tjenester, f.eks. (Blandt mange andre):
Oprettelse af en grundlæggende indholdsfilterprofil på USG
App Patrol -profiler - Grundlæggende opsætning
ANSVARSFRASKRIVELSE:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Ikke al tekst oversættes muligvis nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysninger i den oversatte version, bedes du læse den originale artikel her: Originalversion
Kommentarer
0 kommentarerLog ind for at kommentere.