В этом руководстве описана процедура настройки политик безопасности на шлюзах серии Zywall/USG/VPN/ATP.
Политики безопасности (правила файрвола) в шлюзах ZYXEL используются для контроля и фильтрации проходящих через него сетевых пакетов в соответствии с заданными правилами. В частности, политики безопасности применяются для разрешения или запрещения работы сервисов, которые используют статические номера портов tcp/udp.
Обращаем ваше внимание, что при определении направления трафика в правилах политик безопасности используются зоны. Зоны (Zone) представляют собой объекты, в которых указаны определенные интерфейсы (в зоне может быть указан один или более интерфейсов). Таким образом, перед началом настройки правил политик безопасности нужно обязательно определить, в каких зонах находятся интерфейсы. Интерфейс может быть использован только в одной зоне.
Перед настройкой политик безопасности необходимо убедиться, что используемые интерфейсы принадлежат к предустановленным или созданным зонам. Настройка зон выполняется в разделе Configuration > Object > Zone
Зоны используются в качестве определения направления при настройке правил политик безопасности:
В устройстве существуют предустановленные зоны с интерфейсами (используются в правилах политик безопасности по умолчанию и доступны для редактирования). Если необходимо создать свою зону и включить в нее определенные интерфейсы, необходимо сначала исключить этот интерфейс из других зон.
Для редактирования зон перейдите в раздел Configuration > Object > Zone , выберите нужную зону из списка System Default и нажмите Edit для ее редактирования.
В окне Edit Zone в разделе Member List в списке Member найдите интерфейс, который необходимо исключить из предустановленной зоны (в нашем примере это интерфейс opt), и переведите его в список Available.
Затем создайте новую зону. В меню Configuration > Object > Zone в разделе User Configuration нажмите Add. В окне Add Zone выберите из списка Available нужный интерфейс (в нашем примере это интерфейс opt) и добавьте его в список Member.
Внимание! Если вы создали новую зону, она автоматически не будет представлена в предустановленных правилах политик безопасности и, соответственно, прохождение трафика из этой зоны (или в эту зону) будет зависеть от настроенных правил по умолчанию, где в поле From или To будет значение any или any (Еxcluding ZyWALL), или по последнему правилу Default.
2. Настройка правил политик безопасности
Настройка правил выполняется в разделе Configuration > Security Policy > Policy Control.
Правила настраиваются по направлениям – зонам, куда входят определенные интерфейсы.
Предустановленные правила включают в себя правило по умолчанию Default, которое находится внизу списка правил (в разделе Firewall Rule Summary) – его нельзя удалить или деактивировать. Для правила по умолчанию Default можно только установить значение в поле Access, то есть необходимое действие (allow/deny/reject), которое нужно применить к сетевым пакетам, попадающим под действие этого правила. Так как правила политик безопасности обрабатываются устройством по очереди, под это правило попадут те пакеты, которые не попали ни под одно другое правило, находящееся выше по списку.
В разделе Configuration > Security Policy > Policy Control, Policy параметр Enable Policy Control служит для включения/выключения политик безопасности устройства (файрволла шлюза).
Параметр Allow Asymmetrical Route служит для разрешения/запрещения треугольных асимметричных маршрутов (для включения установите галочку в поле Allow Asymmetrical Route).
Для создания нового правила политик безопасности в разделе Configuration > Security Policy > Policy Control нажмите Add.
Рассмотрим назначение полей в окне Add Firewall Rule, которые необходимо настроить при создании нового правила Firewall.
Для создания объектов и для их добавления в правило политик безопасности нажмите сверху на кнопку Create New Object.
Установите галочку в поле Enable для активации правила.
В поле Name - задайте имя правила, которое будет отображено в списке политик безопасности
В поле Description - задайте описание правила (опционально)
В поле From (откуда) укажите исходящее направление (зона), по которому создается правило.
В поле To (куда) укажите входящее направление (зона), по которому создается правило.
В поле Source можно указать IP адрес источника пакетов, к которому должно применяться правило.
В поле Destination можно указать IP адрес назначения пакетов, к которому должно применяться правило.
В поле Schedule можно указать объект расписания (созданный ранее в разделе Configuration > Object > Schedule). Этот объект определяет расписание работы. В этом случае правило будет работать в соответствии с ним.
В поле User можно выбрать имя пользователя или группу пользователей. Правило будет применяться только к авторизованным пользователям или группам пользователей, если пользователь или группа указаны в этом поле. В остальных случаях оставьте это поле по умолчанию.
В поле Service можно указать предустановленный или созданный Сервис, к которому должно применяться правило.
В поле Access укажите действие, которое будет применяться к сетевому пакету, если он попал под условия правила (allow - разрешить прохождение пакета, deny – отбросить пакет, reject – отбросить пакет с уведомлением на адрес источника).
В поле Log можно указать, нужно ли в системные логи делать записи по работе этого правила.
Внимание! Порядковый номер правил Firewall определяет приоритетность (очередность) их выполнения.
Если нужно поменять приоритетность (порядковый номер) правила, используйте элемент Move для изменения порядкового номера.
Чтобы изменить нумерацию правила, выберите нужное правило, нажмите на элемент Move, укажите новый номер, который вы хотите установить для данного правила, и затем нажмите клавишу Enter.
Нажмите в этом же разделе на Show Filter чтобы раскрыть фильтр по политикам безопасности и найти подходящее под фильтр правило.
При создании правила и в списке To Zone существует направление ZyWALL – это направление к самому устройству(шлюзу), то есть это трафик, который направляется (адрес назначения) на интерфейс аппаратного шлюза. При этом, т.к. для входящего трафика (Интернет) политики безопасности действуют после правила проброса портов, пакеты после трансляции адресов (DNAT) уже не будут попадать под это направление, т.к. адрес назначения будет транслирован в локальный адрес сервера. Трафик, который идет на адрес интерфейса ZyWALL и для которого нет правил DNAT, будет определяться как направление To ZyWALL.
Также существует направление any (Excluding ZyWALL). Оно определяет направление трафика на любую зону, кроме трафика на само устройство.
В поле From отсутствует направление для блокировки трафика ZyWALL, т.е. трафик от самого шлюза заблокировать правилами политик безопасности невозможно.
KB-2631
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.