Palomuurisäännön/suojauskäytännön lisääminen ATP/USG FLEX/USG/ZyWall-Gateway

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä ilmoitus:
Hyvä asiakas, huomaa, että käytämme konekäännöstä toimittaaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei voi kääntää oikein. Jos käännetyn version tietojen oikeellisuudesta on kysymyksiä tai ristiriitaisuuksia, tutustu alkuperäiseen artikkeliin tästä: Alkuperäinen versio

Firewall tai "turvakäytäntö", kuten kutsumme sitä uudemman sukupolven laitteissamme, on laitteidemme ydin. Tämän opetusohjelman on tarkoitus antaa sinulle perusymmärrys Firewall-laitteemme toimintatavoista ja valmistaa sinut ottamaan ensimmäiset askeleet omien palomuurisääntöjen luomisessa!

 

Liitännät, vyöhykkeet ja suojauskäytännöt

Liitännät

Ennen kuin sukeltaamme syvälle kokoonpanoon, meidän on ensin puhuttava lyhyesti palomuurimme rakenteesta - joita kutsumme luettavuuden vuoksi vain edelleen nimellä "USG" tai "ATP". USG koostuu useista liitännöistä WAN-porteista LAN-portteihin ja kaikkiin muihin laitteessa luomiin virtuaalisiin liitäntöihin.

Liitännät ovat periaatteessa itsenäisiä verkkosegmenttejä yhdyskäytävässä ja ne löytyvät valikkopolusta

Configuration > Network > Interface

Tässä esimerkissä kuvakaappaus ATP200:n oletusarvoisista ethernet-liitännöistä:

mceclip0.png

 

Alueet

Nyt kun ymmärrämme rajapintojen ydinkonseptin, siirrytään vyöhykkeisiin, koska varsinkin vyöhykkeistä tulee tärkeitä palomuurisäännöillemme / tietoturvakäytännöillemme. Useimmissa tapauksissa USG tai ATP koostuu useista LAN-verkoista, useista VLAN-verkoista ja/tai useista WAN-verkoista. Mitä tulee palomuurin sääntöihin, sinulla saattaa olla joukko liitäntöjä, joihin haluat soveltaa samoja sääntöjä - todennäköisesti haluat, että kaikilla LAN-ryhmillä on samat oikeudet koko verkossa tai haluat käsitellä useita WAN-porttejasi. sama. Tässä tapauksessa Zones ovat täydellinen säiliö liitäntöille. Jos saatat ihmetellä, mitä tällä lausunnolla tarkoitetaan - tämän pitäisi toivottavasti selvitä hyvin pian.

Zone-valikossa kautta

Configuration > Object > Zone

Löydät eri oletusvyöhykkeet ja käyttöliittymämääritykset näihin vyöhykkeisiin:

mceclip1.png

Samalla tavalla kuin sinulla on useita ns. "Objekteja" vyöhykkeessä, voit luoda myös useita osoiteobjekteja, palveluobjekteja ja monia muita erilaisia objekteja.

 

Objektit

Koska tämän tutoriaalin on tarkoitus pikemminkin antaa kuva palomuurin sääntöjen/suojauskäytäntöjen luomisesta, pidetään tämä luku lyhyenä: USG/ATP-sarjat toimivat ns. objektien kanssa. Objektit ovat nimensä mukaisesti tietokannan objekteja, esim. osoiteobjekteja, palveluobjekteja (portteja ja protokollia) monien muiden objektien joukossa. Näillä objekteilla sinänsä ei ole toimintoa ja ne ovat vain tietokanta. Todellinen taika tapahtuu, kun sijoitamme nämä objektit käytäntöihin, kuten turvallisuuspolitiikkaan (palomuurisääntö).

Esimerkkinä tässä kuvakaappaus palveluobjektien luettelosta, joka löytyy kautta

Configuration > Object > Service

mceclip2.png

Kuten saatat nähdä, käytännöissä on paljon objekteja, jotka on jo valmistettu suoraan käytettäväksi.

 

Suojauskäytännöt / Firewall säännöt

Nyt kun olemme käyneet läpi rajapintojen, vyöhykkeiden ja objektien ymmärtämisen edellytykset, voimme nyt siirtyä itse palomuurisääntöjen luomiseen. Tämän valikon löydät osoitteesta

Configuration > Security Policy > Policy Control

ja se näyttää tältä:

mceclip3.png

Suurin osa Firewall-säännöistä, jotka normaalisti integroit verkkoosi, on valmiiksi määritetty oletusarvoisesti, esimerkiksi täysi pääsy verkkosi ulkopuolelta (WAN) sisälle (LAN) on tietysti estetty haitallisten hyökkäysten estämiseksi. Internetissä. Myös esimerkiksi LAN-WAN-yhteytesi on toisaalta rajoittamaton, koska se on käyttäjän mieltymys, jos haluat estää joitain portteja LAN-asiakkaillesi.

Käytäntösäännöissä on nyt erilaisia sarakkeita:

  • Prioriteetti: Firewall-säännön järjestys - palomuurisäännöt suoritetaan ylhäältä alas, kyseisessä järjestyksessä
  • Tila: näyttää, onko sääntö aktiivinen - keltainen on päällä, harmaa ei
  • Nimi: Palomuurisäännön nimi
  • From: Viittaa vyöhykkeeseen, jolta liikennettä tulee
  • Vastaanottaja: Viittaa vyöhykkeeseen, jolle liikenne virtaa
  • IPv4-lähde: Viittaa osoiteobjektiin, helpottaa palomuurisääntöjen hienosäätämistä tiettyihin IPv4-lähteisiin
  • IPv4-kohde: Viittaa osoiteobjektiin, helpottaa palomuurisääntöjen hienosäätämistä tiettyihin IPv4-kohteisiin
  • Palvelu: Viittaa palveluobjektiin, mahdollistaa säännön luomisen, joka koskee vain yhtä porttia/protokollaa tai porttien/protokollien ryhmää
  • Käyttäjä: Sallii palomuurin säännön hienosäädön koskemaan vain käyttäjäobjekteja/käyttäjäryhmiä
  • Aikataulu: Tämä mahdollistaa palomuurin määrittämisen aktivoitumaan vain tietyn ajan kuluessa (hyödyllinen vanhempien valvonnassa, koulusovelluksissa jne.)
  • Toiminto: Määrittää, sallitaanko kaikkia yllä olevia parametreja vastaava liikenne kulkea vai kielletään
  • Loki: Tässä voit määrittää, haluatko lokimerkinnän siltä varalta, että vastaava liikenne kulkee palomuurin läpi
  • Profiili: Tässä segmentissä voit lisätä UTM-palveluita ja niitä vastaavia profiileja (esimerkiksi sisältösuodatinprofiileja jne.)

Nyt kun olemme havainneet, mitä eri asioita voidaan määrittää käytäntöjen hallinnassa, tehdään vain esimerkki kokoonpanosta:

Tavoite: Haluamme estää LAN1:stä LAN2:een, mutta kaikkea muuta sekä LAN1:n että LAN2:n ulottuvuutta ei saa estää.

Oletuksena LAN1 ja LAN2 saavat yksinkertaisesti käyttää mitä tahansa: LAN1 :stä (tai LAN2:sta) mihin tahansa (paitsi ZyWall ) sallii molempien LAN-verkkojen yhteyden toisiinsa. Estäksemme tämän, voimme yksinkertaisesti "katkaista" sallitun palomuurisäännön avulla, joka on asetettu ylhäältä, ja estää yhden tietyn suunnan. Esimerkissämme emme salli LAN2:sta LAN1:een. Koska viestintä on kaksisuuntainen, tämän pitäisi myös keskeyttää kaikki yritykset päästä LAN1:stä LAN2:een:

mceclip0.png

Asetamme toimenpiteen kieltäväksi. Tämä toiminto yksinkertaisesti pudottaa paketin, muu kuin hylkäysvaihtoehto , lähettää takaisin pääsyä käyttävälle laitteelle tiedon, miksi se ei saa käyttää verkkoa. Hylkäystoimintoon perustuvia tietoja voidaan helposti käyttää laitteen sieppaamiseen ja hakkerointiin, joten sitä ei useimmissa tapauksissa suositella.

Asetamme myös "loki estetty liikenne" lokihälytykseksi . Tämä näyttää meille punaisin kirjaimin merkinnän lokiin, kun joku yrittää silti päästä verkkoon.

Kun olet määrittänyt tämän säännön, sinun pitäisi voida nähdä lokimerkinnät heti, kun joku yrittää kirjautua palomuurisääntösi mukaisesti.

Tässä esimerkki siitä, miltä nämä lokit voisivat näyttää (erilainen sääntö kuin yllä luomamme LAN1 --> LAN2-sääntömme, vain demonstration-tarkoituksiin:

Monitor > Log


mceclip1.png

 

Näiden ensimmäisen vaiheen ohjeiden pitäisi auttaa sinua luomaan ensimmäiset palomuurisäännöt turvayhdyskäytävälaitteillesi!

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
14/20 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.