Frissítettük SSO-nkat (Single Sign On) – Jelentkezzen be az összes Zyxel rendszerbe MyZyxel fiókkal! Tudjon meg többet!

Cikk megnyitása
Magyar Български Čeština Dansk Deutsch English Español Suomi Français Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Tűzfalszabály/biztonsági szabályzat hozzáadása az ATP/USG FLEX/USG/ZyWall-Gateway-hez Tűzfal icon

Avatar
  • Frissítve
Vissza a tetejére

Fontos figyelmeztetés:
Tisztelt Ügyfelünk! Kérjük, vegye figyelembe, hogy gépi fordítást használunk a cikkek az Ön nyelvén való biztosításához. Nem minden szöveg fordítható le pontosan. Ha kérdései vagy eltérései vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti verzió

A Firewall vagy "Biztonsági szabályzat", ahogyan az újabb generációs eszközeinkben hívjuk, az eszközeink magja. Ennek az oktatóanyagnak a célja, hogy alapvető ismereteket nyújtson Firewall készülékünk működési módjáról, és felkészítse Önt arra, hogy megtegye első lépéseit saját tűzfalszabályai létrehozásában!

 

Interfészek, zónák és biztonsági szabályzatok

Interfészek

Mielőtt mélyen belemerülnénk a konfigurációba, először röviden beszélnünk kell arról, hogyan építjük fel tűzfalainkat – amit a könnyebb olvashatóság kedvéért csak "USG"-nek vagy "ATP-nek" fogunk nevezni. USG-nk több interfészből áll, a WAN-portoktól a LAN-portokon át az egységen létrehozott összes többi virtuális interfészig.

Az interfészek alapvetően független hálózati szegmensek az átjárón, és a menüútvonalon belül találhatók

Configuration > Network > Interface

Ebben a példában egy képernyőkép az ATP200 alapértelmezett ethernet interfészeiről:

mceclip0.png

 

Zónák

Most, hogy megértettük az interfészek lényegét, térjünk át a zónákra, mivel különösen a zónák lesznek fontosak tűzfalszabályaink/biztonsági szabályzataink szempontjából. A legtöbb esetben egy USG vagy ATP több LAN-ból, több VLAN-ból és/vagy több WAN-ból is áll. Ami a tűzfalszabályokat illeti, előfordulhat, hogy van egy csoportja interfészeknek, amelyekre ugyanazokat a szabályokat szeretné alkalmazni – valószínűleg azt szeretné, hogy az összes LAN-csoport azonos jogokkal rendelkezzen a hálózaton belül, vagy több WAN-portot szeretne kezelni. ugyanaz. Ebben az esetben a zónák tökéletes konténerek az interfészek számára. Abban az esetben, ha esetleg kíváncsi lenne, mit jelent ez a kijelentés – ez remélhetőleg hamarosan világossá válik.

A Zóna menüben keresztül

Configuration > Object > Zone

megtalálhatja a különböző alapértelmezett zónákat és az ezekhez a zónákhoz tartozó interfész-hozzárendeléseket:

mceclip1.png

Ugyanabban az értelemben, ahogy több úgynevezett "objektum" van a zónában, több címobjektumot, szolgáltatási objektumot és sok más típusú objektumot is létrehozhat.

 

Objektumok

Mivel ennek az oktatóanyagnak inkább a tűzfalszabályok / biztonsági szabályzatok létrehozásáról kellene képet adnia, maradjunk röviden ebben a fejezetben: az USG / ATP sorozat úgynevezett objektumokkal dolgozik. Az objektumok, ahogy a neve is mondja, az adatbázison belüli objektumok, pl. címobjektumok, szolgáltatásobjektumok (portok és protokollok), sok más objektum mellett. Ezek az objektumok önmagukban nem rendelkeznek funkcióval, és csak egy adatbázis. Az igazi varázslat akkor következik be, amikor ezeket az objektumokat a házirendekbe, például a biztonsági szabályzatba (tűzfalszabály) helyezzük el.

Példaként itt egy képernyőkép a szolgáltatásobjektum-listáról, amely a következőn keresztül érhető el

Configuration > Object > Service

mceclip2.png

Amint láthatja, rengeteg objektum van már előkészítve közvetlen használatra a házirendeken belül.

 

Biztonsági szabályzatok / Firewall szabályok

Most, hogy átestünk az interfészek, zónák és objektumok megértésének előfeltételein, áttérhetünk a tűzfalszabályok tényleges létrehozására. Az ehhez tartozó menü a címen található

Configuration > Security Policy > Policy Control

és így néz ki:

mceclip3.png

A Firewall szabályok túlnyomó többsége, amelyeket általában a hálózatába integrálna, alapértelmezés szerint már előre be van állítva, például a hálózaton kívülről (WAN) belülről (LAN) való teljes hozzáférés természetesen blokkolva van, hogy megakadályozza a rosszindulatú támadásokat. az internet. Másrészt például a LAN-WAN hozzáférése korlátlan, mivel ez a felhasználói preferencia, ha blokkolni szeretne néhány portot a LAN-kliensek számára.

Az irányelvszabályokban most különböző oszlopokat látunk:

  • Prioritás: a Firewall szabály sorrendje – a tűzfalszabályok fentről lefelé futnak, ebben a sorrendben
  • Állapot: azt mutatja, hogy a szabály aktív - a sárga be, a szürke ki van kapcsolva
  • Név: A tűzfalszabály neve
  • From: Arra a zónára utal, ahonnan a forgalom érkezik
  • Címzett: Arra a zónára utal, amelybe a forgalom áramlik
  • IPv4-forrás: Címobjektumra hivatkozik, megkönnyíti a tűzfalszabályok finomhangolását adott IPv4-forrásokhoz
  • IPv4-cél: címobjektumra utal, megkönnyíti a tűzfalszabályok finomhangolását adott IPv4-célokhoz
  • Szolgáltatás: Szolgáltatásobjektumra hivatkozik, lehetővé teszi olyan szabály létrehozását, amely csak egyetlen portra/protokollra vagy portok/protokollok csoportjára vonatkozik.
  • Felhasználó: Lehetővé teszi a tűzfalszabály finomhangolását, hogy csak felhasználói objektumokra/felhasználói csoportokra vonatkozzon
  • Ütemezés: Ez lehetővé teszi a tűzfal beállítását, hogy csak egy adott időpontban legyen aktív (hasznos szülői felügyelethez, iskolai alkalmazásokhoz stb.)
  • Művelet: Meghatározza, hogy az összes fenti paraméternek megfelelő forgalom engedélyezve van-e vagy megtagadva
  • Napló: Itt beállíthatja, hogy kíván-e naplóbejegyzést készíteni arra az esetre, ha a tűzfalon áthaladna a megfelelő forgalom
  • Profil: Ebben a szegmensben hozzáadhatja az UTM-szolgáltatásokat és a hozzájuk tartozó profilokat (például tartalomszűrő profilokat stb.)

Most, hogy felfedeztük a házirend-vezérlésen belül beállítható különféle dolgokat, hozzunk létre egy példát egy konfigurációra:

Cél: Szeretnénk blokkolni a LAN1-et a LAN2-re, de minden mást, mind a LAN1-et, mind a LAN2-t nem szabad blokkolni.

Alapértelmezés szerint a LAN1 és a LAN2 egyszerűen hozzáférhet bármihez: LAN1 -től (vagy LAN2-től) bármelyikig (a ZyWall kivételével) lehetővé teszi, hogy mindkét LAN-hálózat hozzáférjen egymáshoz. Ennek letiltásához egyszerűen "levághatjuk" a ráhagyást egy tűzfalszabályon keresztül, amelyet a legfelső szintre állítanak be, egy adott irányt tiltva. Példánkban letiltjuk a LAN2-t a LAN1-re. Mivel a kommunikáció kétirányú, ennek meg kell szakítania minden olyan kísérletet, amely a LAN1-ről a LAN2-re való hozzáférésre irányul:

mceclip0.png

Az akciót elutasításra állítjuk be. Ez a művelet egyszerűen eldobja a csomagot, az elutasítás opción kívül visszaküldi az információt a hozzáférő eszköznek arról, hogy miért nem fér hozzá a hálózathoz. Az elutasítás-akción alapuló információk könnyen felhasználhatók az eszköz lehallgatására és feltörésére, ezért a legtöbb esetben nem ajánlott.

A "naplózás tiltott forgalmát" naplóriasztásként is beállítottuk, ez piros betűkkel jeleníti meg a bejegyzést a naplóban, ha valaki mégis megpróbál hozzáférni a hálózathoz.

A szabály beállítása után látnia kell a naplóbejegyzéseket, amint valaki megpróbál belépni a tűzfalszabálynak megfelelően.

Íme egy példa arra, hogyan nézhetnek ki ezek a naplók (eltérő szabály, mint a fentebb létrehozott LAN1 --> LAN2 szabályunk, csak demonstration célokra):

Monitor > Log


mceclip1.png

 

Ezeknek az első lépéseknek köszönhetően könnyedén elkészítheti első tűzfalszabályait a biztonsági átjáró készülékeken!

Ellenőrizze az opciókat a Támogatással kapcsolatban
Hasznos volt ez a cikk?
7/4 szavazó hasznosnak találta ezt
További kérdései vannak? Kérelem beküldése

Kapcsolódó cikkek

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.