Ajout d'une règle de pare-feu / politique de sécurité sur votre ATP/USG FLEX/USG/ZyWall-Gateway

La Firewall, ou "Politique de sécurité" comme nous l'appelons dans nos appareils de nouvelle génération, est au cœur de nos appareils. Ce didacticiel est censé vous donner une compréhension de base du fonctionnement de notre appliance Firewall et devrait vous préparer à faire vos premiers pas dans la création de vos propres règles de pare-feu !

Interfaces, zones et politiques de sécurité

Interfaces

Avant de plonger dans la configuration, nous devons d'abord parler brièvement de la façon dont nous structurons nos pare-feu - que nous appellerons simplement "USG" ou "ATP" pour faciliter la lecture. Notre USG se compose de plusieurs interfaces, des ports WAN aux ports LAN en passant par toutes les autres interfaces virtuelles que vous créez sur l'unité.

Les interfaces sont essentiellement des segments de réseau indépendants sur la passerelle et peuvent être trouvées dans le chemin du menu

Configuration > Network > Interface

Dans cet exemple, une capture d'écran des interfaces Ethernet par défaut sur un ATP200 :

Zones

Maintenant que nous comprenons le concept même de base des interfaces, passons aux zones, car les zones en particulier deviendront importantes pour nos règles de pare-feu/politiques de sécurité. Dans la plupart des cas, un USG ou un ATP comprendra également plusieurs LAN, plusieurs VLAN et/ou plusieurs WAN. En ce qui concerne les règles de pare-feu, vous pouvez avoir un groupe d'interfaces auxquelles vous souhaitez appliquer les mêmes règles - vous souhaitez probablement que tous les groupes LAN aient les mêmes droits sur l'ensemble du réseau, ou vous souhaitez que vos multiples ports WAN soient traités le même. Dans ce cas, les Zones sont un conteneur parfait pour les interfaces. Au cas où vous vous demanderiez ce que signifie cette déclaration - cela devrait, espérons-le, devenir clair très bientôt.

Dans le menu Zone via

Configuration > Object > Zone

vous pouvez trouver les différentes zones par défaut et les affectations d'interface vers ces zones :

Dans le même sens que vous avez plusieurs soi-disant "objets" dans la zone, vous pouvez également créer plusieurs objets d' adresse, des objets de service et de nombreux autres types d'objets différents.

Objets

Étant donné que ce didacticiel est plutôt censé donner une image de la création de règles de pare-feu / politiques de sécurité, restons brefs : les séries USG / ATP fonctionnent avec des objets. Les objets sont, comme leur nom l'indique, des objets au sein d'une base de données, par exemple des objets d'adresse, des objets de service (ports et protocoles), parmi de nombreux autres objets. Ces objets en soi n'ont aucune fonction et ne sont qu'une base de données. La vraie magie se produit lorsque nous plaçons ces objets dans des politiques, telles que la politique de sécurité (règle de pare-feu).

Juste à titre d'exemple, voici une capture d'écran de la liste des objets de service, qui peut être trouvée via

Configuration > Object > Service

Comme vous pouvez le constater, de nombreux objets sont déjà préparés pour une utilisation directe dans les stratégies.

Politiques de sécurité / Règles Firewall

Maintenant que nous avons passé en revue les conditions préalables de compréhension des interfaces, des zones et des objets, nous pouvons maintenant passer à la création de règles de pare-feu. Le menu pour cela peut être trouvé via

Configuration > Security Policy > Policy Control

et ça ressemble à ça :

La grande majorité des règles Firewall que vous intégreriez normalement dans votre réseau sont déjà préconfigurées par défaut, par exemple l'accès complet de l'extérieur (WAN) à l'intérieur (LAN) de votre réseau est bien sûr bloqué pour contrer les attaques malveillantes de l'Internet. De plus, par exemple, votre accès LAN à WAN est illimité, car il s'agit d'une préférence de l'utilisateur si vous souhaitez bloquer certains ports pour vos clients LAN.

Nous voyons maintenant dans les règles de politique différentes colonnes :

• Priorité : Ordre de la règle Firewall - les règles de pare-feu s'exécutent de haut en bas, dans cet ordre spécifique
• Statut : indique si la règle est active - le jaune est allumé, le gris est éteint
• Nom : Nom de la règle de pare-feu
• De : Désigne la zone d'où provient le trafic
• Vers : fait référence à la zone vers laquelle le trafic sera acheminé
• Source IPv4 : fait référence à un objet d'adresse, facilite l'ajustement des règles de pare-feu à des sources IPv4 spécifiques
• Destination IPv4 : fait référence à un objet d'adresse, facilite l'ajustement des règles de pare-feu à des destinations IPv4 spécifiques
• Service : fait référence à un objet de service, permet de créer une règle qui ne s'applique qu'à un seul port/protocole ou à un groupe de ports/protocoles
• Utilisateur : permet d'affiner la règle de pare-feu pour qu'elle ne s'applique qu'aux objets/groupes d'utilisateurs
• Calendrier : Cela permet de configurer le pare-feu pour qu'il ne devienne actif que pendant un horaire spécifique (utile pour le contrôle parental, les applications scolaires, etc.)
• Action : définit si le trafic correspondant à tous les paramètres ci-dessus est autorisé à passer ou est refusé
• Journal : ici, vous pouvez définir si vous souhaitez une entrée de journal au cas où le trafic correspondant passerait par le pare-feu
• Profil : dans ce segment, vous pouvez ajouter des services UTM et leurs profils respectifs (par exemple, des profils de filtrage de contenu, etc.)

Maintenant que nous avons découvert les différentes choses que l'on peut configurer dans le cadre du contrôle des politiques, créons simplement un exemple de configuration :

Objectif : nous voulons bloquer LAN1 vers LAN2, mais tout le reste, à la fois LAN1 et LAN2, ne doit pas être bloqué.

Par défaut, LAN1 et LAN2 sont simplement autorisés à accéder à n'importe quoi : De LAN1 (ou LAN2, d'ailleurs) à n'importe lequel (à l'exception de ZyWall ) permet aux deux réseaux LAN d'accéder l'un à l'autre. Afin d'interdire cela, nous pouvons simplement "couper" l'allocation via une règle de pare-feu définie tout en haut, interdisant une direction spécifique. Dans notre exemple, nous allons interdire LAN2 à LAN1. Étant donné que la communication est une voie à double sens, cela devrait également interrompre toute tentative d'accès de LAN1 à LAN2 :

Nous fixons l'action pour refuser. Cette action supprimera simplement le paquet, autre que l'option de rejet , renverra des informations au périphérique d'accès sur les raisons pour lesquelles il n'est pas autorisé à accéder au réseau. Les informations basées sur l'action de rejet peuvent être facilement utilisées pour intercepter et pirater l'appareil, elles ne sont donc pas recommandées dans la plupart des cas.

Nous définissons également le "trafic refusé dans le journal" comme alerte de journal , cela nous montrera en lettres rouges une entrée dans le journal lorsque quelqu'un essaie toujours d'accéder au réseau.

Après avoir configuré cette règle, vous devriez pouvoir voir les entrées du journal dès que quelqu'un essaie d'entrer conformément à votre règle de pare-feu.

Voici un exemple de la façon dont ces journaux pourraient ressembler (règle différente de notre règle LAN1 --> LAN2 que nous avons créée ci-dessus, uniquement à des fins demonstration :

Monitor > Log

Ces instructions de première étape devraient vous permettre de créer facilement vos premières règles de pare-feu sur vos appliances de passerelle de sécurité !