Mivel ebben a cikkben elmagyaráztuk az általános biztonsági házirendek/tűzfalszabályok létrehozásának módját, ezt a cikket szeretnénk felhasználni, hogy néhány hasznos betekintést és tippeket adjunk a tökéletes tűzfalstratégia beállításához az Ön és ügyfelei védelme érdekében!
1. Fentről lefelé!
A biztonsági irányelvek vagy általában a biztonsági átjáró portfóliónkra vonatkozó irányelvek ciklikusan futnak, vagyis az első szabályt alkalmazzák, majd a másodikat stb.
Ez egyszerű és logikus betekintést nyújt a biztonsági házirendekbe, amint meglátja a házirendtáblát.
A legalján egy alapértelmezett szabály látható, amely alapértelmezés szerint alapvetően mindent tagad. Ez azt jelenti, hogy minden forgalom blokkolva van, kivéve, ha ezen alapértelmezett szabály fölött nincs megadva kivétel. Alapértelmezés szerint rengeteg, előre konfigurált szabályunk van a belső hálózatok zökkenőmentes kommunikációjának biztosítására, de továbbra is jó védelmet nyújt.
2. Táblázatok rendezése és szűrése
Túlterheltek a rengeteg házirend -szabályon, amelyeket beállított, és egy nagyon konkrét szabályra keres? Ne aggódjon, használja a szűrőkategóriákat, és egy pillantással könnyen megtalálhatja a keresett szabályt (vagy megtudhatja, hogy a szabály hiányzik). Ehhez nyomja meg a házirend -vezérlő menü tetején található "Szűrő megjelenítése" gombot - ez összecsukja a szűrőmenüt:
A szűrő menüben most kereshet olyan szabályokat, amelyek megfelelnek a fent meghatározott paramétereknek. A fenti példában azt szeretnénk megtudni, hogy vannak-e olyan szabályaink, amelyek meghatározzák a WAN-hozzáférést az eszközünkhöz (a ZyWall) a Port 443. oldalon. Mivel hozzáadtuk a 443-at a "Default_Allow_WAN_to_ZyWall" szolgáltatásobjektum-csoporthoz, a wen minden olyan szabályt láthat, amely kövesse ezeket a paramétereket. Ha alaposabban megvizsgáljuk, láthatjuk, hogy valójában engedélyeztük a 443 -at a WAN -ról - most rajtunk áll, hogy eldöntsük, hogy ez kívánatos -e, vagy nem biztonsági probléma, amelyet meg akarunk oldani. De ez a példa a gyors szűrés erejét mutatja be.
3. Könnyítsd meg az életed, használd a Zónákat!
Általában a hozzáférés -vezérlési listákat vagy a tűzfalszabályokat, vagy esetünkben a biztonsági házirendeket az IP -forrás és a célcímek határozzák meg, más tényezőkkel, például portokkal stb.
De képzelje el, hogy öt hálózata van szétszórt alhálózattal, és szeretné engedélyezni a hozzáférést mindegyikük között. Általános, merev tűzfal -beállítás esetén 5 szabályt kell létrehoznia az első hálózathoz, 4 -et a következő alhálózathoz, 3 -at a harmadik alhálózathoz, 2 -et a negyedik alhálózathoz, és egy másik szabályt az ötödik alhálózathoz, amely minden egyes esetet lefed. lehetséges beállítás. Így 15 tűzfalszabályt kell létrehoznia! Egy másik alhálózat hozzáadása még nagyobb gondot jelentene ... nem túl kivitelezhető, ugye?
Tűzfalkészülékeinkkel nincs probléma! Tűzfalunk úgynevezett zónákkal rendelkezik - ezek objektum -hivatkozások, amelyekben felületeket adhat hozzá. Ha például frissen létrehozott VLAN10 -et és VLAN20 -at ad a saját zónájához, ugyanazokat a tűzfalszabályokat alkalmazhatja mindkét hálózatra.
Ezt úgy teheti meg, hogy új zónát hoz létre, és áthúzza azokat a hálózatokat, amelyeken keresztül szeretne a zónán belül lenni
Configuration > Object > Zone
Ezt követően hozzárendelheti a zónát a tűzfal szabályaihoz:
Tehát ebben a példában két egyszerű szabály szerint megengedjük, hogy mindkét VLAN engedélyezze mindkettőt, a másik VLAN -t, bármely más LAN -t, magát az eszközt és az internetet. Kényelmes, nem?
4. A biztonság ereje - UTM funkciók hozzáadása
Tűzfalkészülékeink igazi varázsa azonban nem a normál tűzfalbeállításokban rejlik, hanem az UTM -profilokban. Az UTM-szolgáltatások nagy része azonban objektum-orientált programozási folyamatot is követ, így a cím-, szolgáltatás- és zónaobjektumokhoz hasonlóan ezek is alapvetően egy helyen jönnek létre, és várják a tűzfalszabályba való beágyazást:
Erről a témáról bővebben a tudásbázis cikkeiben találhatók kifejezetten ezekre a szolgáltatásokra szabva, például (többek között):
Alap tartalomszűrő profil létrehozása az USG -n
App Patrol Profilok - Alapbeállítás
NYILATKOZAT:
Tisztelt vásárló! Kérjük, vegye figyelembe, hogy gépi fordítást használunk a helyi nyelvű cikkek megjelenítéséhez. Nem minden szöveget lehet pontosan lefordítani. Ha kérdései vagy eltérései vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti verzió
Hozzászólások
0 hozzászólás
Hozzászólások írásához jelentkezzen be.