Dodawanie reguły zapory / polityki bezpieczeństwa do ATP / USG FLEX / USG / ZyWall-Gateway

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna uwaga:
Szanowny Kliencie, pamiętaj, że używamy tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie każdy tekst może zostać przetłumaczony dokładnie. W przypadku pytań lub rozbieżności co do dokładności informacji w przetłumaczonej wersji zapoznaj się z oryginalnym artykułem tutaj: Wersja oryginalna

Firewall lub „Polityka bezpieczeństwa”, jak nazywamy to w naszych urządzeniach nowszej generacji, jest rdzeniem naszych urządzeń. Ten samouczek ma dać Ci podstawowe zrozumienie sposobów działania naszego urządzenia Firewall i powinien przygotować Cię do zrobienia pierwszych kroków w tworzeniu własnych reguł zapory!

 

Interfejsy, strefy i polityki bezpieczeństwa

Interfejsy

Zanim zagłębimy się w konfigurację, najpierw musimy krótko porozmawiać o tym, jak ustrukturyzujemy nasze zapory ogniowe – które dla ułatwienia czytania będziemy dalej określać jako „USG” lub „ATP”. Nasz USG składa się z wielu interfejsów, od portów WAN przez porty LAN po wszystkie inne wirtualne interfejsy, które tworzysz na urządzeniu.

Interfejsy są zasadniczo niezależnymi segmentami sieci na bramce i można je znaleźć w ścieżce menu

Configuration > Network > Interface

W tym przykładzie zrzut ekranu domyślnych interfejsów Ethernet w ATP200:

mceclip0.png

 

Strefy

Teraz, gdy rozumiemy podstawową koncepcję interfejsów, przejdźmy do Stref, ponieważ szczególnie Strefy staną się ważne dla naszych reguł zapory/polityki bezpieczeństwa. W większości przypadków USG lub ATP składa się z wielu sieci LAN, wielu sieci VLAN i/lub wielu sieci WAN. Jeśli chodzi o reguły zapory, możesz mieć grupę interfejsów, do których chcesz mieć te same reguły dotyczące - najprawdopodobniej chcesz, aby wszystkie grupy LAN miały te same prawa w całej sieci lub chcesz, aby wiele portów WAN było traktowanych ten sam. W tym przypadku Strefy są idealnym pojemnikiem na interfejsy. Jeśli zastanawiasz się, co oznacza to stwierdzenie - miejmy nadzieję, że wkrótce stanie się to jasne.

W menu Strefa przez

Configuration > Object > Zone

możesz znaleźć różne domyślne strefy i przypisania interfejsów do tych stref:

mceclip1.png

W tym samym sensie, w jakim masz wiele tak zwanych "Obiektów" w Strefie, możesz również tworzyć wiele obiektów Adresowych, obiektów usługowych i wiele innych różnych typów obiektów.

 

Obiekty

Ponieważ ten samouczek ma raczej dać obraz tworzenia reguł / polityk bezpieczeństwa zapory, skróćmy ten rozdział: seria USG / ATP pracuje z tzw. obiektami. Obiekty to, jak sama nazwa wskazuje, obiekty w obrębie bazy danych, np. obiekty adresowe, obiekty usługowe (porty i protokoły), wśród wielu innych obiektów. Obiekty te same w sobie nie pełnią żadnej funkcji i są tylko bazą danych. Prawdziwa magia dzieje się, gdy umieszczamy te obiekty w politykach, takich jak polityka bezpieczeństwa (reguła zapory).

Jako przykład, tutaj zrzut ekranu z listą obiektów usług, który można znaleźć poprzez

Configuration > Object > Service

mceclip2.png

Jak widać, istnieje wiele obiektów już przygotowanych do bezpośredniego użycia w ramach polityk.

 

Polityki bezpieczeństwa / zasady Firewall

Teraz, gdy przeszliśmy przez wymagania wstępne dotyczące zrozumienia interfejsów, stref i obiektów, możemy teraz przejść do faktycznego tworzenia reguł zapory. Menu do tego można znaleźć poprzez

Configuration > Security Policy > Policy Control

i wygląda to tak:

mceclip3.png

Zdecydowana większość reguł Firewall, które normalnie integrujesz ze swoją siecią, jest już wstępnie skonfigurowana domyślnie, na przykład pełny dostęp z zewnątrz (WAN) do wnętrza (LAN) Twojej sieci jest oczywiście zablokowany, aby przeciwdziałać złośliwym atakom z internet. Również, na przykład, dostęp z sieci LAN do WAN z drugiej strony jest nieograniczony, ponieważ jest to preferencja użytkownika, jeśli chcesz zablokować niektóre porty dla klientów sieci LAN.

W zasadach zasad widzimy teraz różne kolumny:

  • Priorytet: Kolejność reguły Firewall - reguły zapory działają od góry do dołu, w tej określonej kolejności
  • Status: pokazuje, czy reguła jest aktywna - żółty jest włączony, szary jest wyłączony
  • Nazwa: Nazwa reguły zapory
  • Od: odnosi się do strefy, z której nadchodzi ruch
  • Do: Odnosi się do strefy, do której będzie płynął ruch
  • Źródło IPv4: Odnosi się do obiektu adresu, co ułatwia dostosowanie reguł zapory do określonych źródeł IPv4
  • Miejsce docelowe IPv4: Odnosi się do obiektu adresu, co ułatwia dostosowanie reguł zapory do określonych miejsc docelowych IPv4
  • Usługa: Odnosi się do obiektu usługi, pozwala utworzyć regułę, która ma zastosowanie tylko do pojedynczego portu/protokołu lub grupy portów/protokołów
  • Użytkownik: umożliwia dostrojenie reguły zapory tak, aby miała zastosowanie tylko do obiektów użytkowników/grup użytkowników
  • Harmonogram: Pozwala to na skonfigurowanie zapory, aby była aktywna tylko w określonym harmonogramie (przydatne do kontroli rodzicielskiej, aplikacji szkolnych itp.)
  • Akcja: Określa, czy ruch pasujący do wszystkich powyższych parametrów jest dozwolony, czy zabroniony
  • Log: Tutaj możesz ustawić, czy chcesz wpis w dzienniku na wypadek, gdyby pasujący ruch przepływał przez zaporę
  • Profil: W tym segmencie możesz dodać Usługi UTM i ich odpowiednie profile (na przykład profile filtrów treści itp.)

Teraz, gdy odkryliśmy różne rzeczy, które można skonfigurować w ramach kontroli polityk, stwórzmy przykład konfiguracji:

Cel: Chcemy zablokować LAN1 do LAN2, ale wszystko inne, do którego dociera zarówno LAN1, jak i LAN2, nie powinno być blokowane.

Domyślnie LAN1 i LAN2 mają po prostu dostęp do wszystkiego: od LAN1 (lub LAN2, jeśli o to chodzi) do dowolnego (z wyjątkiem ZyWall ) pozwala obu sieciom LAN na wzajemny dostęp. Aby temu zapobiec, możemy po prostu „odciąć” przydział za pomocą reguły zapory ustawionej na samej górze, nie zezwalając na jeden konkretny kierunek. W naszym przykładzie zabronimy LAN2 do LAN1. Ponieważ komunikacja jest drogą dwukierunkową, powinno to również przerwać wszelkie próby uzyskania dostępu z LAN1 do LAN2:

mceclip0.png

Ustawiamy akcję na odmowę. Ta akcja po prostu odrzuci pakiet, poza opcją odrzucenia , odeśle informacje do urządzenia uzyskującego dostęp, dlaczego nie ma dostępu do sieci. Informacje oparte na akcji odrzucenia można łatwo wykorzystać do przechwycenia i włamania się do urządzenia, więc w większości przypadków nie jest to zalecane.

Ustawiliśmy również „logowanie odrzuconego ruchu” jako alert dziennika , który pokaże nam czerwonymi literami wpis w dzienniku, gdy ktoś nadal próbuje uzyskać dostęp do sieci.

Po skonfigurowaniu tej reguły powinieneś być w stanie zobaczyć wpisy w dzienniku, gdy tylko ktoś spróbuje wejść zgodnie z regułą zapory.

Oto przykład, jak te logi mogą wyglądać (inna reguła niż nasza reguła LAN1 --> LAN2, którą stworzyliśmy powyżej, tylko dla celów demonstration:

Monitor > Log


mceclip1.png

 

Te instrukcje pierwszego kroku powinny ułatwić Ci tworzenie pierwszych reguł zapory sieciowej na urządzeniach bram bezpieczeństwa!

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 14 z 20
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.