Aggiunta di una regola del firewall/politica di sicurezza sul gateway ATP/USG FLEX/USG/ZyWall

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso IMPORTANTE:
Gentile cliente, tieni presente che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo può essere tradotto accuratamente. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, consultare l'articolo originale qui: Versione originale

La Firewall, o "Politica di sicurezza", come la chiamiamo nei dispositivi di nuova generazione, è il cuore dei nostri dispositivi. Questo tutorial dovrebbe darti una comprensione di base del modo di lavorare della nostra appliance Firewall e dovrebbe prepararti a fare i primi passi nella creazione delle tue regole firewall!

 

Interfacce, zone e politiche di sicurezza

Interfacce

Prima di approfondire la configurazione, dobbiamo prima parlare brevemente di come strutturiamo i nostri firewall, che per semplicità di lettura chiameremo semplicemente "USG" o "ATP". Il nostro USG è costituito da più interfacce, dalle porte WAN alle porte LAN a tutte le altre interfacce virtuali create sull'unità.

Le interfacce sono fondamentalmente segmenti di rete indipendenti sul gateway e si trovano all'interno del percorso del menu

Configuration > Network > Interface

In questo esempio, uno screenshot delle interfacce ethernet predefinite su un ATP200:

mceclip0.png

 

Zone

Ora che comprendiamo il concetto fondamentale delle interfacce, passiamo alle Zone, poiché in particolare le Zone diventeranno importanti per le nostre regole firewall/politiche di sicurezza. Nella maggior parte dei casi, un USG o un ATP sarà composto da più LAN, più VLAN e/o anche più WAN. Quando si tratta di regole del firewall, potresti avere un gruppo di interfacce a cui vuoi applicare le stesse regole - molto probabilmente vuoi che tutti i gruppi LAN abbiano gli stessi diritti in tutta la rete, o vuoi che le tue porte WAN multiple siano trattate lo stesso. In questo caso, le Zone sono un contenitore perfetto per le interfacce. Nel caso ti starai chiedendo, cosa si intende con questa affermazione - si spera che questo dovrebbe diventare chiaro molto presto.

Nel menu Zona tramite

Configuration > Object > Zone

puoi trovare le diverse zone predefinite e le assegnazioni dell'interfaccia verso queste zone:

mceclip1.png

Allo stesso modo in cui hai più cosiddetti "Oggetti" nella Zona, puoi creare anche più oggetti Indirizzo, oggetti di servizio e molti altri tipi diversi di oggetti.

 

Oggetti

Dato che questo tutorial dovrebbe fornire piuttosto un'immagine sulla creazione di regole firewall/politiche di sicurezza, manteniamo questo capitolo breve: la serie USG / ATP funziona con i cosiddetti oggetti. Gli oggetti sono, come dice il nome, oggetti all'interno di un database, ad esempio oggetti indirizzo, oggetti di servizio (porte e protocolli), tra molti altri oggetti. Questi oggetti di per sé non hanno alcuna funzione e sono solo un database. La vera magia si verifica quando posizioniamo questi oggetti all'interno di politiche, come la politica di sicurezza (regola del firewall).

A titolo di esempio, qui uno screenshot dell'elenco degli oggetti di servizio, che può essere trovato tramite

Configuration > Object > Service

mceclip2.png

Come puoi vedere, ci sono molti oggetti già preparati per l'uso diretto all'interno delle politiche.

 

Norme di sicurezza / Firewall regole

Ora che abbiamo esaminato i prerequisiti per comprendere Interfacce, Zone e Oggetti, ora possiamo passare alla creazione effettiva delle regole del firewall. Il menu per questo può essere trovato tramite

Configuration > Security Policy > Policy Control

e si presenta così:

mceclip3.png

La stragrande maggioranza delle regole Firewall che normalmente integreresti nella tua rete sono già preconfigurate per impostazione predefinita, ad esempio l'accesso completo dall'esterno (WAN) all'interno (LAN) della tua rete ovviamente è bloccato per contrastare gli attacchi dannosi da la rete. Inoltre, ad esempio, l'accesso da LAN a WAN d'altra parte è illimitato, perché è una preferenza dell'utente se si desidera bloccare alcune porte per i client LAN.

Ora vediamo nelle regole dei criteri diverse colonne:

  • Priorità: ordine della regola Firewall - le regole del firewall vengono eseguite dall'alto verso il basso, in quell'ordine specifico
  • Stato: mostra se la regola è attiva - giallo acceso, grigio spento
  • Nome: nome della regola del firewall
  • Da: si riferisce alla Zona da cui proviene il traffico
  • A: si riferisce alla zona in cui scorrerà il traffico
  • Sorgente IPv4: fa riferimento a un oggetto indirizzo, semplifica l'ottimizzazione delle regole del firewall su sorgenti IPv4 specifiche
  • Destinazione IPv4: si riferisce a un oggetto indirizzo, semplifica l'ottimizzazione delle regole del firewall per specifiche destinazioni IPv4
  • Servizio: si riferisce a un oggetto-servizio, consente di creare una regola applicabile solo a una singola porta/protocollo o a un gruppo di porte/protocollo
  • Utente: consente la regolazione fine della regola del firewall in modo che sia applicabile solo agli oggetti utente/gruppi di utenti
  • Pianificazione: consente di impostare il firewall in modo che diventi attivo solo durante una pianificazione temporale specifica (utile per il controllo genitori, le applicazioni scolastiche ecc.)
  • Azione: Definisce se il traffico che corrisponde a tutti i parametri precedenti può passare o viene negato
  • Registro: qui è possibile impostare se si desidera una voce di registro nel caso in cui il traffico corrispondente fluisca attraverso il firewall
  • Profilo: in questo segmento è possibile aggiungere i Servizi UTM e i rispettivi profili (ad esempio profili filtro contenuti ecc.)

Ora che abbiamo scoperto le diverse cose che si possono impostare all'interno del controllo delle policy, facciamo solo un esempio per una configurazione:

Obiettivo: vogliamo bloccare da LAN1 a LAN2, ma tutto il resto sia LAN1 che LAN2 non deve essere bloccato.

Per impostazione predefinita, LAN1 e LAN2 possono semplicemente accedere a qualsiasi cosa: Da LAN1 (o LAN2, se è per questo) A qualsiasi (escluso ZyWall) consente a entrambe le reti LAN di accedere l'una all'altra. Per non consentire ciò, possiamo semplicemente "tagliare" l'indennità tramite una regola del firewall impostata in alto, impedendo una direzione specifica. Nel nostro esempio, non consentiremo LAN2 a LAN1. Poiché la comunicazione è a doppio senso, anche questo dovrebbe interrompere qualsiasi tentativo di accesso da LAN1 a LAN2:

mceclip0.png

Stiamo impostando l'azione per negare. Questa azione rilascerà semplicemente il pacchetto, a parte l'opzione di rifiuto , invierà informazioni al dispositivo di accesso sul motivo per cui non è autorizzato ad accedere alla rete. Le informazioni basate sull'azione di rifiuto possono essere facilmente utilizzate per intercettare e hackerare il dispositivo, quindi non è raccomandato nella maggior parte dei casi.

Abbiamo anche impostato il "traffico di registro negato" come avviso di registro , questo ci mostrerà in lettere rosse una voce nel registro quando qualcuno tenta ancora di accedere alla rete.

Dopo aver impostato questa regola, dovresti essere in grado di vedere le voci di registro non appena qualcuno tenta di entrare in base alla tua regola del firewall.

Ecco un esempio di come potrebbero apparire questi registri (regola diversa dalla nostra regola LAN1 --> LAN2 che abbiamo creato sopra, solo per scopi di demonstration:

Monitor > Log


mceclip1.png

 

Queste prime istruzioni dovrebbero aiutarti a creare facilmente le tue prime regole firewall sui tuoi dispositivi gateway di sicurezza!

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 14 su 20
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.