Adăugarea unei reguli de firewall/politică de securitate pe ATP/USG FLEX/USG/ZyWall-Gateway

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Notă importantă:
Stimate client, vă rugăm să rețineți că folosim traducerea automată pentru a furniza articole în limba dvs. locală. Nu tot textul poate fi tradus cu acuratețe. Dacă există întrebări sau discrepanțe cu privire la acuratețea informațiilor din versiunea tradusă, consultați articolul original aici: Versiunea originală

Firewall, sau „Politica de securitate”, așa cum o numim în dispozitivele noastre de generație nouă, este nucleul dispozitivelor noastre. Acest tutorial ar trebui să vă ofere o înțelegere de bază a modalităților de funcționare a dispozitivului nostru Firewall și ar trebui să vă pregătească să faceți primii pași în crearea propriilor reguli de firewall!

 

Interfețe, zone și politici de securitate

Interfețe

Înainte de a ne aprofunda configurația, mai întâi trebuie să vorbim pe scurt despre modul în care ne structurem firewall-urile - pe care, de dragul ușurinței de citire, le vom numi în continuare „USG” sau „ATP”. USG-ul nostru constă din mai multe interfețe, de la porturi WAN la porturi LAN la toate celelalte interfețe virtuale pe care le creați pe unitate.

Interfețele sunt practic segmente de rețea independente de pe gateway și pot fi găsite în calea meniului

Configuration > Network > Interface

În acest exemplu, o captură de ecran a interfețelor Ethernet implicite pe un ATP200:

mceclip0.png

 

Zonele

Acum că înțelegem conceptul de bază al interfețelor, să trecem la Zone, deoarece în special zonele vor deveni importante pentru regulile/politicile noastre de securitate pentru firewall. În majoritatea cazurilor, un USG sau ATP va consta din mai multe rețele LAN, mai multe VLAN-uri și/sau mai multe WAN-uri. Când vine vorba de regulile firewall, este posibil să aveți un grup de interfețe cărora doriți să se aplice aceleași reguli - cel mai probabil doriți ca toate grupurile LAN să aibă aceleași drepturi în întreaga rețea sau doriți ca porturile dvs. WAN multiple să fie tratate aceeași. În acest caz, Zonele sunt un container perfect pentru interfețe. În cazul în care s-ar putea să vă întrebați, ce se înțelege prin această afirmație - sperăm că acest lucru ar trebui să devină clar foarte curând.

În meniul Zone prin

Configuration > Object > Zone

puteți găsi diferitele zone implicite și alocațiile de interfață către aceste zone:

mceclip1.png

În același sens, cum aveți mai multe așa-numitele „Obiecte” în zonă, puteți crea, de asemenea, mai multe obiecte Adresă, obiecte de serviciu și multe alte tipuri diferite de obiecte.

 

Obiecte

Deoarece acest tutorial ar trebui să ofere mai degrabă o imagine despre crearea regulilor de firewall / politici de securitate, să păstrăm acest capitol scurt: seria USG / ATP funcționează cu așa-numitele obiecte. Obiectele sunt, după cum spune și numele, obiecte dintr-o bază de date, de exemplu obiecte de adresă, obiecte de serviciu (porturi și protocoale), printre multe alte obiecte. Aceste obiecte în sine nu au nicio funcție și sunt doar o bază de date. Adevărata magie se întâmplă atunci când plasăm aceste obiecte în politici, cum ar fi politica de securitate (regula firewall).

Doar ca exemplu, aici o captură de ecran a listei de obiecte de serviciu, care poate fi găsită prin

Configuration > Object > Service

mceclip2.png

După cum puteți vedea, există o mulțime de obiecte deja pregătite pentru utilizare directă în cadrul politicilor.

 

Politici de securitate / reguli Firewall

Acum, că am trecut prin cerințele prealabile pentru înțelegerea interfețelor, zonelor și obiectelor, acum putem trece la crearea efectivă a regulilor de firewall. Meniul pentru aceasta poate fi găsit prin

Configuration > Security Policy > Policy Control

si arata cam asa:

mceclip3.png

Marea majoritate a regulilor Firewall pe care le-ați integra în mod normal în rețeaua dvs. sunt deja preconfigurate în mod implicit, de exemplu, accesul complet din exterior (WAN) la interiorul (LAN) al rețelei dvs. este desigur blocat pentru a contracara atacurile rău intenționate de la internetul. De asemenea, de exemplu, accesul dvs. LAN la WAN, pe de altă parte, este nerestricționat, deoarece este o preferință a utilizatorului dacă doriți să blocați unele porturi pentru clienții dvs. LAN.

Acum vedem în regulile politicii diferite coloane:

  • Prioritate: ordinea regulii Firewall - regulile firewall rulează de sus în jos, în acea ordine specifică
  • Stare: arată dacă regula este activă - galben este pornit, gri este dezactivat
  • Nume: numele regulii firewall
  • De la: Se referă la Zona din care provine trafic
  • Către: Se referă la Zona către care va circula trafic
  • Sursa IPv4: se referă la un obiect de adresă, facilitează ajustarea regulilor firewall-ului la anumite surse IPv4
  • Destinație IPv4: se referă la un obiect de adresă, facilitează ajustarea regulilor de firewall la anumite destinații IPv4
  • Serviciu: Se referă la un obiect-serviciu, permite crearea unei reguli care este aplicabilă doar unui singur port/protocol sau unui grup de porturi/protocoale
  • Utilizator: permite reglarea fină a regulii paravanului de protecție să fie aplicabilă numai obiectelor/grupurilor de utilizatori
  • Programare: Acest lucru permite configurarea paravanului de protecție pentru a deveni activ numai în timpul unui anumit orar (util pentru controlul parental, aplicațiile școlare etc.)
  • Acțiune: Definește dacă traficul care corespunde tuturor parametrilor de mai sus este permis să treacă sau este refuzat
  • Jurnal: Aici puteți seta dacă doriți o intrare de jurnal în cazul în care traficul potrivit trece prin firewall
  • Profil: În acest segment puteți adăuga Servicii UTM și profilurile lor respective (de exemplu profiluri de filtru de conținut etc.)

Acum, că am descoperit diferitele lucruri pe care le puteți configura în cadrul controlului politicii, să facem doar un exemplu pentru o configurație:

Scop: Vrem să blocăm LAN1 la LAN2, dar orice altceva ajunge atât LAN1 cât și LAN2 nu va fi blocat.

În mod implicit, LAN1 și LAN2 au pur și simplu permisiunea de a accesa orice: De la LAN1 (sau LAN2, de altfel) La orice (excluzând ZyWall) permite ambelor rețele LAN să se acceseze una pe cealaltă. Pentru a interzice acest lucru, putem pur și simplu să „tăiem” alocația printr-o regulă de firewall setată în partea de sus, interzicând o anumită direcție. În exemplul nostru, vom interzice LAN2 la LAN1. Deoarece comunicarea este o stradă cu două sensuri, aceasta ar trebui, de asemenea, să întrerupă orice încercare de a obține acces de la LAN1 la LAN2:

mceclip0.png

Setăm acțiunea să nege. Această acțiune pur și simplu va arunca pachetul, în afară de opțiunea de respingere , va trimite înapoi informații către dispozitivul de acces despre motivul pentru care nu este permis accesul la rețea. Informațiile bazate pe acțiunea de respingere pot fi folosite cu ușurință pentru a intercepta și hack dispozitivul, așa că nu este recomandată în majoritatea cazurilor.

Am setat, de asemenea, „jurnalul de trafic refuzat” ca alertă de jurnal , aceasta ne va afișa cu litere roșii o intrare în jurnal atunci când cineva încearcă să acceseze în continuare rețeaua.

După configurarea acestei reguli, ar trebui să puteți vedea intrările de jurnal de îndată ce cineva încearcă să intre în conformitate cu regula dvs. de firewall.

Iată un exemplu despre cum ar putea arăta aceste jurnale (regulă diferită de regula noastră LAN1 --> LAN2 pe care am creat-o mai sus, doar pentru demonstration:

Monitor > Log


mceclip1.png

 

Aceste instrucțiuni de prim pas ar trebui să vă ajute să creați cu ușurință primele reguli de firewall pe dispozitivele dumneavoastră de securitate!

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
14 din 20 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.