Поскольку в этой статье мы объяснили, как создавать общие политики безопасности / правила брандмауэра, мы хотим использовать эту статью, чтобы предоставить вам полезную информацию, а также советы и рекомендации по настройке идеальной стратегии брандмауэра для защиты вас и ваших клиентов!
1. Сверху вниз!
Политики безопасности или политики в целом в нашем портфеле шлюзов безопасности выполняются циклически, то есть применяется первое правило, за ним следует второе и т. Д.
Это позволяет легко и логично понять политики безопасности, как только вы увидите таблицу политик.
В самом низу вы можете увидеть правило по умолчанию, которое по умолчанию запрещает практически все. Таким образом, это означает, что весь трафик блокируется, если исключение не определено выше этого правила по умолчанию. По умолчанию у нас уже есть множество правил, которые уже настроены для обеспечения бесперебойной связи из внутренних сетей, но при этом предлагают хороший набор защиты.
2. Сортировка и фильтрация таблиц
Вы ошеломлены огромным количеством правил политики, которые вы установили, и ищете очень конкретное правило? Не беспокойтесь, с помощью категорий фильтров вы можете легко найти правило, которое вы ищете (или обнаружить, что правило отсутствует) с одного взгляда. Для этого нажмите «Показать фильтр» в самом верху меню управления политикой - это свернет меню фильтров:
В меню фильтра теперь вы можете искать правила, которые соответствуют параметрам, которые вы определили выше. В приведенном выше примере мы хотим выяснить, есть ли у нас какие-либо правила, которые определяют доступ к WAN для нашего устройства (ZyWall) на Port 443. Поскольку мы добавили 443 в группу объектов службы «Default_Allow_WAN_to_ZyWall», мы можем видеть все правила, которые следуйте этим параметрам. Если присмотреться повнимательнее, мы увидим, что на самом деле мы разрешили 443 из WAN - теперь нам решать, желательно это или нет, или считается ли это проблемой безопасности, которую мы хотим решить. Но этот пример показывает мощь быстрой фильтрации.
3. Облегчите себе жизнь с помощью Зон!
Обычно списки контроля доступа или правила брандмауэра, или в нашем случае политики безопасности, определяются через IP-адреса источника и назначения в сочетании с другими факторами, такими как порты и т. Д.
Но представьте, что у вас есть пять сетей с разбросанными по сети подсетями, и вы хотите разрешить доступ между всеми ними друг к другу. При стандартной жесткой настройке брандмауэра вам останется создать 5 правил для первой сети, 4 оставшихся для следующей подсети, 3 для третьей подсети, 2 для четвертой подсети и еще одно правило для пятой подсети, чтобы охватить каждую отдельную подсеть. возможна настройка. Это оставит вам 15 правил брандмауэра, которые нужно создать! Добавление еще одной подсети означало бы даже большие проблемы ... не очень-то реально, не так ли?
С нашими брандмауэрами проблем нет! В нашем межсетевом экране есть так называемые зоны - это объектные ссылки, в которые можно добавлять интерфейсы. Добавив, например, недавно созданные VLAN10 и VLAN20 в их собственную зону, вы можете применить одни и те же правила брандмауэра к обеим сетям.
Это можно сделать, создав новую зону и перетащив сети, в которые вы хотите попасть, с помощью
Configuration > Object > Zone
После этого вы можете назначить Зону правилам межсетевого экрана:
Итак, в этом примере мы позволяем обеим сетям VLAN разрешать использование обеих сетей, другой VLAN, любой другой локальной сети, самого устройства и Интернета по двум простым правилам. Удобно, правда?
4. Сила безопасности - добавление функций UTM
Однако настоящая магия наших брандмауэров заключается не в обычных настройках брандмауэра, а в профилях UTM. Однако многие функции UTM также следуют потоку объектно-ориентированного программирования, поэтому, как и объекты адреса, службы и зоны, они в основном создаются в одном месте, ожидая включения в правило брандмауэра:
Дополнительную информацию по этой теме можно найти в статьях базы знаний, специально предназначенных для этих служб, таких как (среди многих других):
Создание базового профиля фильтра содержимого в USG
App Patrol Профили - Базовая настройка
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый покупатель, имейте в виду, что мы используем машинный перевод для публикации статей на вашем родном языке. Не весь текст можно перевести точно. Если есть вопросы или неточности относительно точности информации в переведенной версии, просмотрите исходную статью здесь: Исходная версия
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.