Pridanie pravidla brány firewall/bezpečnostnej politiky do vašej brány ATP/USG FLEX/USG/ZyWall-Gateway

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležitá poznámka:
Vážený zákazník, uvedomte si, že na poskytovanie článkov vo vašom miestnom jazyku používame strojový preklad . Nie všetky texty môžu byť preložené presne. Ak existujú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si pôvodný článok tu: Pôvodná verzia

Firewall alebo "Bezpečnostná politika", ako ju nazývame v našich zariadeniach novšej generácie, je jadrom našich zariadení. Tento tutoriál vám má poskytnúť základné znalosti o spôsoboch fungovania nášho zariadenia Firewall a mal by vás pripraviť na prvé kroky pri vytváraní vlastných pravidiel brány firewall!

 

Rozhrania, zóny a bezpečnostné zásady

Rozhrania

Predtým, ako sa ponoríme hlboko do konfigurácie, musíme si najskôr v krátkosti povedať, ako štruktúrujeme naše brány firewall – ktoré budeme kvôli prehľadnosti ďalej označovať ako „USG“ alebo „ATP“. Naše USG pozostáva z viacerých rozhraní, od portov WAN cez porty LAN až po všetky ostatné virtuálne rozhrania, ktoré vytvoríte na jednotke.

Rozhrania sú v podstate nezávislé segmenty siete na bráne a možno ich nájsť v rámci ponuky

Configuration > Network > Interface

V tomto príklade je snímka obrazovky predvolených ethernetových rozhraní na ATP200:

mceclip0.png

 

Zóny

Teraz, keď rozumieme samotnej základnej koncepcii rozhraní, prejdime k zónam, pretože najmä zóny sa stanú dôležitými pre naše pravidlá brány firewall / bezpečnostné politiky. Vo väčšine prípadov bude USG alebo ATP pozostávať z viacerých LAN, viacerých VLAN a/alebo viacerých WAN. Pokiaľ ide o pravidlá brány firewall, môžete mať skupinu rozhraní, pre ktoré chcete mať rovnaké pravidlá – s najväčšou pravdepodobnosťou chcete, aby všetky skupiny LAN mali rovnaké práva v celej sieti, alebo chcete, aby boli vaše viaceré porty WAN ošetrené rovnaký. V tomto prípade sú zóny dokonalým kontajnerom pre rozhrania. V prípade, že by vás mohlo zaujímať, čo znamená toto vyhlásenie – toto by sa snáď malo čoskoro objasniť.

V ponuke Zóna cez

Configuration > Object > Zone

môžete nájsť rôzne predvolené zóny a priradenia rozhraní k týmto zónam:

mceclip1.png

V rovnakom zmysle, ako máte viacero takzvaných „Objektov“ v zóne, môžete vytvárať aj viaceré objekty adries, objekty služieb a mnoho ďalších rôznych typov objektov.

 

Objekty

Keďže tento tutoriál má skôr poskytnúť obraz o vytváraní pravidiel firewallu / bezpečnostných politík, nechajme túto kapitolu stručnú: séria USG / ATP pracuje s tzv. objektmi. Objekty sú, ako už názov napovedá, objekty v databáze, napr. objekty adries, objekty služieb (porty a protokoly) a mnoho iných objektov. Tieto objekty ako také nemajú žiadnu funkciu a sú len databázou. Skutočná mágia sa stane, keď umiestnime tieto objekty do politík, ako je bezpečnostná politika (pravidlo brány firewall).

Ako príklad uvádzame snímku obrazovky zoznamu objektov služby, ktorú možno nájsť cez

Configuration > Object > Service

mceclip2.png

Ako môžete vidieť, v rámci politík je už pripravených veľa objektov na priame použitie.

 

Bezpečnostné zásady / pravidlá Firewall

Teraz, keď sme prešli predpokladmi na pochopenie rozhraní, zón a objektov, môžeme prejsť k skutočnému vytváraniu pravidiel brány firewall. Menu k tomu nájdete cez

Configuration > Security Policy > Policy Control

a vyzerá to takto:

mceclip3.png

Veľká väčšina pravidiel Firewall, ktoré by ste normálne integrovali do svojej siete, je už prednastavená, napríklad úplný prístup zvonku (WAN) do vnútra (LAN) vašej siete je samozrejme zablokovaný, aby sa zabránilo škodlivým útokom zo strany internetu. Tiež napríklad váš prístup z LAN do WAN na druhej strane je neobmedzený, pretože je to preferencia používateľa, ak chcete zablokovať niektoré porty pre svojich klientov LAN.

Teraz vidíme v pravidlách pravidiel rôzne stĺpce:

  • Priorita: Poradie pravidla Firewall - pravidlá brány firewall prebiehajú zhora nadol v tomto konkrétnom poradí
  • Stav: zobrazuje, či je pravidlo aktívne – žltá svieti, sivá nesvieti
  • Názov: Názov pravidla brány firewall
  • Z: Vzťahuje sa na zónu, z ktorej premávka prichádza, ak prichádza
  • Komu: Vzťahuje sa na zónu, do ktorej bude smerovať premávka
  • Zdroj IPv4: Vzťahuje sa na objekt adresy, uľahčuje dolaďovanie pravidiel brány firewall pre konkrétne zdroje IPv4
  • Cieľ IPv4: Vzťahuje sa na objekt adresy, uľahčuje dolaďovanie pravidiel brány firewall pre konkrétne miesta určenia IPv4
  • Služba: Vzťahuje sa na objekt služby, umožňuje vytvoriť pravidlo, ktoré je použiteľné iba pre jeden port/protokol alebo skupinu portov/protokolov
  • Používateľ: Umožňuje doladiť pravidlo brány firewall tak, aby sa vzťahovalo iba na objekty používateľov/skupiny používateľov
  • Plán: Umožňuje nastaviť firewall tak, aby sa aktivoval iba počas určitého časového plánu (užitočné pre rodičovskú kontrolu, školské aplikácie atď.)
  • Akcia: Definuje, či je povolený alebo zamietnutý prenos, ktorý vyhovuje všetkým vyššie uvedeným parametrom
  • Protokol: Tu môžete nastaviť, či chcete záznam protokolu v prípade, že cez firewall preteká zhodná prevádzka
  • Profil: V tomto segmente môžete pridať služby UTM a ich príslušné profily (napríklad profily filtrovania obsahu atď.)

Teraz, keď sme objavili rôzne veci, ktoré je možné nastaviť v rámci kontroly politiky, urobme si príklad konfigurácie:

Cieľ: Chceme zablokovať LAN1 až LAN2, ale všetko ostatné, čo LAN1 aj LAN2 dosiahnu, nebude blokované.

V predvolenom nastavení majú LAN1 a LAN2 jednoducho povolený prístup k čomukoľvek: Z LAN1 (alebo LAN2, v tomto prípade) Na ľubovoľnú (okrem ZyWall ) umožňuje obom LAN sieťam vzájomný prístup. Aby sme to nepovolili, môžeme jednoducho „odrezať“ povolený limit pomocou pravidla brány firewall, ktoré je nastavené úplne hore, pričom zakážeme jeden konkrétny smer. V našom príklade zakážeme LAN2 až LAN1. Keďže komunikácia je obojsmerná, malo by to tiež prerušiť akýkoľvek pokus o získanie prístupu z LAN1 do LAN2:

mceclip0.png

Akciu nastavujeme na odmietnutie. Táto akcia jednoducho zahodí paket, iná ako možnosť odmietnutia pošle späť do pristupujúceho zariadenia informácie o tom, prečo nemá povolený prístup k sieti. Informácie založené na odmietnutí sa dajú ľahko použiť na zachytenie a hacknutie zariadenia, takže sa to vo väčšine prípadov neodporúča.

Tiež sme nastavili "log denied traffic" ako log alert , toto nám ukáže červenými písmenami záznam v logu, keď sa niekto pokúsi stále pristupovať k sieti.

Po nastavení tohto pravidla by ste mali vidieť položky denníka, akonáhle sa niekto pokúsi vstúpiť podľa vášho pravidla brány firewall.

Tu je príklad toho, ako by tieto protokoly mohli vyzerať (iné pravidlo ako naše pravidlo LAN1 --> LAN2, ktoré sme vytvorili vyššie, len pre účely demonstration:

Monitor > Log


mceclip1.png

 

Tieto pokyny pre prvý krok by vám mali pomôcť jednoducho vytvoriť prvé pravidlá brány firewall na zariadeniach bezpečnostnej brány!

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
14 z 20 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.