Een firewallregel / beveiligingsbeleid toevoegen aan uw ATP/USG FLEX/USG/ZyWall-Gateway

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we machinevertaling gebruiken om artikelen in uw lokale taal aan te bieden. Niet alle tekst is mogelijk nauwkeurig vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, lees dan het originele artikel hier: Originele versie

De Firewall, of "Beveiligingsbeleid", zoals we het noemen in onze nieuwere generatie apparaten, is de kern van onze apparaten. Deze tutorial is bedoeld om je een basiskennis te geven van de manier van werken van ons Firewall-apparaat en zou je klaar moeten maken om je eerste stappen te zetten in het maken van je eigen firewallregels!

 

Interfaces, zones en beveiligingsbeleid

Interfaces

Voordat we diep in de configuratie duiken, moeten we het eerst even hebben over hoe we onze firewalls structureren - die we voor de leesbaarheid gewoon verder zullen aanduiden als "USG" of "ATP". Onze USG bestaat uit meerdere interfaces, van WAN-poorten tot LAN-poorten tot alle andere virtuele interfaces die u op het apparaat maakt.

Interfaces zijn in feite onafhankelijke netwerksegmenten op de gateway en zijn te vinden in het menupad

Configuration > Network > Interface

In dit voorbeeld een screenshot van de standaard ethernet-interfaces op een ATP200:

mceclip0.png

 

Zones

Nu we het kernconcept van de interfaces begrijpen, gaan we over naar Zones, omdat vooral de Zones belangrijk zullen worden voor onze firewallregels / beveiligingsbeleid. In de meeste gevallen zal een USG of ATP ook uit meerdere LAN's, meerdere VLAN's en/of meerdere WAN's bestaan. Als het gaat om firewallregels, hebt u mogelijk een groep interfaces waarop u dezelfde regels wilt toepassen - hoogstwaarschijnlijk wilt u dat alle LAN-groepen dezelfde rechten hebben in het hele netwerk, of wilt u dat uw meerdere WAN-poorten worden behandeld hetzelfde. In dit geval zijn de Zones een perfecte container voor interfaces. Voor het geval je je afvraagt, wat wordt bedoeld met deze verklaring - dit zou hopelijk heel snel duidelijk moeten worden.

In het Zone-menu via

Configuration > Object > Zone

u kunt de verschillende standaardzones en de interfacetoewijzingen voor deze zones vinden:

mceclip1.png

Net zoals u meerdere zogenaamde "Objecten" in de Zone heeft, kunt u ook meerdere adresobjecten, serviceobjecten en nog veel meer verschillende soorten objecten maken.

 

Voorwerpen

Aangezien deze tutorial eerder een beeld moet geven van het maken van firewallregels / beveiligingsbeleid, laten we dit hoofdstuk kort houden: de USG / ATP-serie werkt met zogenaamde objecten. Objecten zijn, zoals de naam al zegt, objecten binnen een database, bijvoorbeeld adresobjecten, serviceobjecten (poorten en protocollen), naast vele andere objecten. Deze objecten hebben op zich geen functie en zijn slechts een database. De echte magie gebeurt wanneer we deze objecten binnen beleidsregels plaatsen, zoals het beveiligingsbeleid (firewallregel).

Als voorbeeld, hier een screenshot van de lijst met serviceobjecten, te vinden via

Configuration > Object > Service

mceclip2.png

Zoals u wellicht ziet, zijn er binnen de polissen al tal van objecten voorbereid voor direct gebruik.

 

Beveiligingsbeleid / Firewall regels

Nu we de vereisten hebben doorlopen om interfaces, zones en objecten te begrijpen, kunnen we nu overgaan tot het maken van firewallregels. Het menu hiervoor vind je via

Configuration > Security Policy > Policy Control

en het ziet er zo uit:

mceclip3.png

De overgrote meerderheid van de Firewall-regels die u normaal gesproken in uw netwerk zou integreren, is standaard al vooraf geconfigureerd, bijvoorbeeld de volledige toegang van buiten (WAN) naar de binnenkant (LAN) van uw netwerk is natuurlijk geblokkeerd om kwaadwillende aanvallen van het internet. Ook is bijvoorbeeld uw LAN naar WAN-toegang aan de andere kant onbeperkt, omdat het een gebruikersvoorkeur is als u sommige poorten voor uw LAN-clients wilt blokkeren.

We zien nu in de beleidsregels verschillende kolommen:

  • Prioriteit: volgorde van de Firewall-regel - firewallregels worden van boven naar beneden uitgevoerd, in die specifieke volgorde
  • Status: geeft aan of de regel actief is - geel is aan, grijs is uit
  • Naam: Naam van de firewallregel
  • Van: verwijst naar de zone van waaruit het verkeer komt
  • Naar: verwijst naar de zone waarnaar het verkeer zal stromen
  • IPv4-bron: verwijst naar een adresobject, maakt het eenvoudiger om firewallregels af te stemmen op specifieke IPv4-bronnen
  • IPv4-bestemming: verwijst naar een adresobject, maakt het eenvoudiger om firewallregels af te stemmen op specifieke IPv4-bestemmingen
  • Service: verwijst naar een service-object, maakt het mogelijk om een regel te maken die alleen van toepassing is op een enkele poort/protocol of een groep poorten/protocollen
  • Gebruiker: staat fijnafstelling van de firewallregel toe om alleen van toepassing te zijn op gebruikersobjecten/gebruikersgroepen
  • Schema: Hiermee kan de firewall zo worden ingesteld dat deze alleen actief wordt tijdens een specifiek tijdschema (handig voor ouderlijk toezicht, schooltoepassingen enz.)
  • Actie: bepaalt of het verkeer dat aan alle bovenstaande parameters voldoet, mag passeren of wordt geweigerd
  • Log: hier kunt u instellen of u een logboekinvoer wilt voor het geval dat overeenkomend verkeer door de firewall stroomt
  • Profiel: In dit segment kunt u UTM-services en hun respectievelijke profielen toevoegen (bijvoorbeeld inhoudfilterprofielen enz.)

Nu we de verschillende dingen hebben ontdekt die je kunt instellen binnen beleidsbeheer, laten we een voorbeeld bedenken voor een configuratie:

Doel: we willen LAN1 naar LAN2 blokkeren, maar al het andere dat zowel LAN1 als LAN2 bereiken, wordt niet geblokkeerd.

Standaard hebben LAN1 en LAN2 gewoon toegang tot alles: Van LAN1 (of LAN2, wat dat betreft) To any (exclusief ZyWall) staan beide LAN-netwerken toegang tot elkaar toe. Om dit niet toe te staan, kunnen we de toestemming eenvoudig "afsnijden" via een firewallregel die helemaal bovenaan is ingesteld, waarbij een specifieke richting wordt verboden. In ons voorbeeld zullen we LAN2 tot LAN1 niet toestaan. Aangezien communicatie tweerichtingsverkeer is, zou dit ook elke poging om toegang te krijgen van LAN1 naar LAN2 moeten onderbreken:

mceclip0.png

We stellen de actie in op ontkennen. Deze actie zal gewoon het pakket laten vallen, behalve de weigeroptie , zal informatie terugsturen naar het toegangsapparaat over waarom het geen toegang tot het netwerk mag krijgen. De informatie op basis van de afwijzingsactie kan eenvoudig worden gebruikt om het apparaat te onderscheppen en te hacken, dus het wordt in de meeste gevallen niet aanbevolen.

We hebben ook de "log geweigerd verkeer" ingesteld als log alert , dit zal ons in rode letters een vermelding in het logboek laten zien wanneer iemand nog steeds probeert toegang te krijgen tot het netwerk.

Nadat u deze regel heeft ingesteld, zou u logboekvermeldingen moeten kunnen zien zodra iemand probeert binnen te komen volgens uw firewallregel.

Hier een voorbeeld van hoe deze logs eruit zouden kunnen zien (andere regel dan onze LAN1 --> LAN2-regel die we hierboven hebben gemaakt, alleen voor demonstration-doeleinden:

Monitor > Log


mceclip1.png

 

Met deze instructies voor de eerste stap kunt u gemakkelijk uw eerste firewallregels maken op uw beveiligingsgateway-apparaten!

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 14 van 20
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.