Мы обновили нашу систему единого входа (SSO) — вход во все системы Zyxel с учетной записью MyZyxel! Узнайте больше!

Открыть статью
Русский Български Čeština Dansk Deutsch English Español Suomi Français Hrvatski Magyar Italiano Nederlands Norsk Polski Română Slovenčina svenska Türkçe

Добавление правила/политики безопасности брандмауэра на ваш ATP/USG FLEX/USG/ZyWall-Gateway Файрвол icon

Avatar
  • Обновлено
К началу страницы

Важное замечание:
Уважаемый клиент, имейте в виду, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь: Оригинальная версия

Firewall, или «Политика безопасности», как мы называем ее в устройствах нового поколения, является ядром наших устройств. Это руководство должно дать вам общее представление о способах работы нашего устройства Firewall и подготовить вас к первым шагам по созданию собственных правил брандмауэра!

 

Интерфейсы, зоны и политики безопасности

Интерфейсы

Прежде чем мы углубимся в настройку, мы сначала должны кратко рассказать о том, как мы структурируем наши брандмауэры, которые мы для простоты чтения будем далее называть «USG» или «ATP». Наша универсальная группа безопасности состоит из нескольких интерфейсов, от портов WAN до портов LAN и всех других виртуальных интерфейсов, которые вы создаете на устройстве.

Интерфейсы — это в основном независимые сетевые сегменты на шлюзе, которые можно найти в пути меню.

Configuration > Network > Interface

В этом примере скриншот интерфейсов Ethernet по умолчанию на ATP200:

mceclip0.png

 

Зоны

Теперь, когда мы понимаем основную концепцию интерфейсов, давайте перейдем к Зонам, поскольку именно Зоны станут важными для наших правил/политик безопасности брандмауэра. В большинстве случаев универсальная группа безопасности или ATP будет состоять из нескольких локальных сетей, нескольких виртуальных локальных сетей и/или нескольких глобальных сетей. Когда дело доходит до правил брандмауэра, у вас может быть группа интерфейсов, к которым вы хотите применить одни и те же правила — скорее всего, вы хотите, чтобы все группы LAN имели одинаковые права во всей сети, или вы хотите, чтобы ваши несколько портов WAN обрабатывались одинаковый. В этом случае зоны являются идеальным контейнером для интерфейсов. Если вам интересно, что подразумевается под этим утверждением, надеюсь, это станет ясно очень скоро.

В меню Зоны через

Configuration > Object > Zone

вы можете найти различные зоны по умолчанию и назначения интерфейсов для этих зон:

mceclip1.png

Точно так же, как у вас есть несколько так называемых «Объектов» в Зоне, вы также можете создать несколько адресных объектов, служебных объектов и многих других типов объектов.

 

Объекты

Так как это руководство должно скорее дать представление о создании правил/политик безопасности брандмауэра, давайте не будем сокращать эту главу: серии USG/ATP работают с так называемыми объектами. Объекты — это, как следует из названия, объекты в базе данных, например, адресные объекты, служебные объекты (порты и протоколы) и многие другие объекты. Эти объекты сами по себе не имеют никакой функции и являются просто базой данных. Настоящее волшебство происходит, когда мы помещаем эти объекты в политики, такие как политика безопасности (правило брандмауэра).

Для примера вот скриншот списка сервисных объектов, который можно найти через

Configuration > Object > Service

mceclip2.png

Как видите, существует множество объектов, уже подготовленных для непосредственного использования в рамках политик.

 

Политики безопасности / правила Firewall

Теперь, когда мы выполнили предварительные условия понимания интерфейсов, зон и объектов, мы можем перейти к фактическому созданию правил брандмауэра. Меню для этого можно найти через

Configuration > Security Policy > Policy Control

и это выглядит так:

mceclip3.png

Подавляющее большинство правил Firewall, которые вы обычно интегрируете в свою сеть, уже предварительно настроены по умолчанию, например, полный доступ извне (WAN) к внутренней части (LAN) вашей сети, конечно же, заблокирован для противодействия вредоносным атакам со стороны Интернет. Кроме того, например, доступ из вашей локальной сети в глобальную, с другой стороны, неограничен, потому что это предпочтение пользователя, если вы хотите заблокировать некоторые порты для ваших клиентов локальной сети.

Теперь мы видим в правилах политик разные столбцы:

  • Приоритет: порядок правила Firewall — правила брандмауэра выполняются сверху вниз в указанном порядке.
  • Статус: показывает, активно ли правило — горит желтый, не горит серый.
  • Имя: имя правила брандмауэра.
  • Из: Относится к Зоне, из которой поступает трафик.
  • Кому: относится к зоне, в которую будет проходить трафик.
  • Источник IPv4: относится к объекту адреса, упрощает точную настройку правил брандмауэра для определенных источников IPv4.
  • Назначение IPv4: относится к объекту адреса, упрощает точную настройку правил брандмауэра для конкретных назначений IPv4.
  • Служба: относится к объекту службы, позволяет создать правило, применимое только к одному порту/протоколу или группе портов/протоколов.
  • Пользователь: позволяет точную настройку правила брандмауэра применять только к пользовательским объектам/группам пользователей.
  • Расписание: это позволяет настроить брандмауэр так, чтобы он становился активным только в течение определенного расписания (полезно для родительского контроля, школьных приложений и т. д.).
  • Действие: Определяет, разрешается или запрещается прохождение трафика, соответствующего всем вышеперечисленным параметрам.
  • Журнал: здесь вы можете указать, хотите ли вы запись в журнал в случае, если соответствующий трафик проходит через брандмауэр.
  • Профиль: в этом сегменте вы можете добавить службы UTM и их соответствующие профили (например, профили фильтрации содержимого и т. д.).

Теперь, когда мы обнаружили различные вещи, которые можно настроить в рамках управления политикой, давайте просто создадим пример для конфигурации:

Цель: мы хотим заблокировать LAN1 и LAN2, но все остальное, к чему обращаются LAN1 и LAN2, не должно быть заблокировано.

По умолчанию LAN1 и LAN2 просто разрешен доступ ко всему: из LAN1 (или LAN2, если уж на то пошло) к любому (за исключением ZyWall ) позволяет обеим сетям LAN обращаться друг к другу. Чтобы запретить это, мы можем просто «отрезать» разрешение с помощью правила брандмауэра, установленного в самом верху, запрещающего одно конкретное направление. В нашем примере мы запретим LAN2 для LAN1. Поскольку связь является улицей с двусторонним движением, это также должно прервать любую попытку получить доступ из LAN1 в LAN2:

mceclip0.png

Мы устанавливаем действие для отказа. Это действие просто отбрасывает пакет, кроме варианта отклонения , отправит обратно на устройство доступа информацию о том, почему ему не разрешен доступ к сети. Информация, полученная на основе reject-action, может быть легко использована для перехвата и взлома устройства, поэтому в большинстве случаев это не рекомендуется.

Мы также установили «трафик запрещен в журнале» как предупреждение журнала , это покажет нам красными буквами запись в журнале, когда кто-то все еще пытается получить доступ к сети.

После настройки этого правила вы сможете видеть записи журнала, как только кто-то попытается войти в соответствии с вашим правилом брандмауэра.

Вот пример того, как могут выглядеть эти журналы (правило отличается от нашего правила LAN1 --> LAN2, которое мы создали выше, только для целей demonstration:

Monitor > Log


mceclip1.png

 

Эти инструкции по первому шагу помогут вам легко приступить к созданию первых правил брандмауэра на шлюзах безопасности!

Центр поддержки Zyxel
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 4 из 7
Еще есть вопросы? Отправить запрос

Похожие статьи

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.