Agregar una regla de firewall/política de seguridad en su ATP/USG FLEX/USG/ZyWall-Gateway

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Noticia importante:
Estimado cliente, tenga en cuenta que utilizamos la traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con precisión. Si hay preguntas o discrepancias sobre la precisión de la información en la versión traducida, revise el artículo original aquí: Versión original

La Firewall, o "Política de seguridad", como la llamamos en nuestros dispositivos de nueva generación, es el núcleo de nuestros dispositivos. Se supone que este tutorial le brindará una comprensión básica de las formas de funcionamiento de nuestro dispositivo Firewall y lo preparará para dar los primeros pasos en la creación de sus propias reglas de firewall.

 

Interfaces, Zonas y Políticas de Seguridad

Interfaces

Antes de profundizar en la configuración, primero tenemos que hablar brevemente sobre cómo estructuramos nuestros cortafuegos, a los que, para facilitar la lectura, nos referiremos como "USG" o "ATP". Nuestro USG consta de múltiples interfaces, desde puertos WAN hasta puertos LAN y todas las demás interfaces virtuales que cree en la unidad.

Las interfaces son básicamente segmentos de red independientes en la puerta de enlace y se pueden encontrar dentro de la ruta del menú

Configuration > Network > Interface

En este ejemplo, una captura de pantalla de las interfaces Ethernet predeterminadas en un ATP200:

mceclip0.png

 

Zonas

Ahora que entendemos el concepto central de las interfaces, pasemos a las Zonas, ya que especialmente las Zonas se volverán importantes para nuestras reglas de firewall/políticas de seguridad. En la mayoría de los casos, un USG o ATP constará de múltiples LAN, múltiples VLAN y/o también múltiples WAN. Cuando se trata de reglas de firewall, es posible que tenga un grupo de interfaces a las que desee que se apliquen las mismas reglas; lo más probable es que desee que todos los grupos LAN tengan los mismos derechos en toda la red, o que desee que se traten sus múltiples puertos WAN lo mismo. En este caso, las Zonas son un contenedor perfecto para las interfaces. En caso de que se esté preguntando qué significa esta declaración, es de esperar que esto quede claro muy pronto.

En el menú Zona a través de

Configuration > Object > Zone

puede encontrar las diferentes zonas predeterminadas y las asignaciones de interfaz hacia estas zonas:

mceclip1.png

Del mismo modo que tiene múltiples "Objetos" en la Zona, también puede crear múltiples objetos de Dirección, objetos de servicio y muchos más tipos diferentes de objetos.

 

Objetos

Dado que se supone que este tutorial ofrece una imagen sobre la creación de reglas de firewall/políticas de seguridad, mantengamos breve este capítulo: la serie USG/ATP funciona con los llamados objetos. Los objetos son, como su nombre lo dice, objetos dentro de una base de datos, por ejemplo, objetos de dirección, objetos de servicio (puertos y protocolos), entre muchos otros objetos. Estos objetos per se no tienen ninguna función y son solo una base de datos. La verdadera magia ocurre cuando colocamos estos objetos dentro de las políticas, como la política de seguridad (regla de firewall).

Solo como ejemplo, aquí una captura de pantalla de la lista de objetos de servicio, que se puede encontrar a través de

Configuration > Object > Service

mceclip2.png

Como puede ver, hay muchos objetos ya preparados para uso directo dentro de las políticas.

 

Políticas de Seguridad / Reglas Firewall

Ahora que hemos pasado por los requisitos previos para comprender las interfaces, las zonas y los objetos, ahora podemos pasar a crear reglas de firewall. El menú para esto se puede encontrar a través de

Configuration > Security Policy > Policy Control

y se ve así:

mceclip3.png

La gran mayoría de las reglas Firewall que normalmente integraría en su red ya están preconfiguradas de forma predeterminada, por ejemplo, el acceso completo desde el exterior (WAN) al interior (LAN) de su red, por supuesto, está bloqueado para contrarrestar los ataques maliciosos de La Internet. Además, por ejemplo, su acceso LAN a WAN por otro lado no está restringido, porque es una preferencia del usuario si desea bloquear algunos puertos para sus clientes LAN.

Ahora vemos en las reglas de política diferentes columnas:

  • Prioridad: Orden de la regla Firewall: las reglas de firewall se ejecutan de arriba a abajo, en ese orden específico
  • Estado: muestra si la regla está activa: el amarillo está encendido, el gris está apagado
  • Nombre: Nombre de la regla de firewall
  • De: Se refiere a la Zona de donde viene el tráfico
  • Hacia: se refiere a la zona a la que fluirá el tráfico
  • Fuente IPv4: se refiere a un objeto de dirección, lo que facilita el ajuste de las reglas del firewall para fuentes IPv4 específicas
  • Destino IPv4: se refiere a un objeto de dirección, facilita el ajuste de las reglas del cortafuegos para destinos IPv4 específicos
  • Servicio: se refiere a un objeto de servicio, permite crear una regla que solo se aplica a un solo puerto/protocolo o un grupo de puertos/protocolos
  • Usuario: permite el ajuste fino de la regla de firewall para que solo se aplique a objetos de usuario/grupos de usuarios
  • Horario: Esto permite configurar el cortafuegos para que solo se active durante un horario específico (útil para control parental, aplicaciones escolares, etc.)
  • Acción: define si el tráfico que coincide con todos los parámetros anteriores puede pasar o se deniega
  • Registro: aquí puede configurar si desea una entrada de registro en caso de que el tráfico coincida con los flujos a través del firewall.
  • Perfil: En este segmento puede agregar Servicios UTM y sus respectivos perfiles (por ejemplo, perfiles de filtro de contenido, etc.)

Ahora que hemos descubierto las diferentes cosas que se pueden configurar dentro del control de políticas, inventemos un ejemplo para una configuración:

Objetivo: Queremos bloquear LAN1 a LAN2, pero todo lo demás que alcancen tanto LAN1 como LAN2 no se bloqueará.

De forma predeterminada, LAN1 y LAN2 simplemente pueden acceder a cualquier cosa: desde LAN1 (o LAN2, para el caso) a cualquiera (excluyendo ZyWall) permite que ambas redes LAN accedan entre sí. Para deshabilitar esto, simplemente podemos "cortar" la asignación a través de una regla de firewall establecida en la parte superior, deshabilitando una dirección específica. En nuestro ejemplo, no permitiremos LAN2 a LAN1. Dado que la comunicación es una calle de doble sentido, esto también debería interrumpir cualquier intento de obtener acceso de LAN1 a LAN2:

mceclip0.png

Estamos configurando la acción para denegar. Esta acción simplemente eliminará el paquete, aparte de la opción de rechazo , enviará información al dispositivo de acceso sobre por qué no se le permite acceder a la red. La información basada en la acción de rechazo se puede usar fácilmente para interceptar y piratear el dispositivo, por lo que no se recomienda en la mayoría de los casos.

También configuramos el "tráfico denegado de registro" como alerta de registro, esto nos mostrará en letras rojas una entrada en el registro cuando alguien intente acceder a la red.

Después de configurar esta regla, debería poder ver las entradas de registro tan pronto como alguien intente ingresar de acuerdo con su regla de firewall.

Aquí hay un ejemplo de cómo podrían verse estos registros (regla diferente a nuestra regla LAN1 --> LAN2 que creamos anteriormente, solo para propósitos de demonstration):

Monitor > Log


mceclip1.png

 

¡Estas instrucciones de primer paso deberían ayudarlo a crear fácilmente sus primeras reglas de firewall en sus dispositivos de puerta de enlace de seguridad!

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 14 de 20
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.