Lägga till en brandväggsregel/säkerhetspolicy på din ATP/USG FLEX/USG/ZyWall-Gateway

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, tänk på att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. All text kanske inte översätts korrekt. Om det finns frågor eller avvikelser om riktigheten av informationen i den översatta versionen, läs originalartikeln här: Originalversion

Firewall, eller "Säkerhetspolicy" som vi kallar det i vår nyare generations enheter, är kärnan i våra enheter. Denna handledning är tänkt att ge dig en grundläggande förståelse för hur vår Firewall fungerar och bör göra dig redo att ta dina första steg för att skapa dina egna brandväggsregler!

 

Gränssnitt, zoner och säkerhetspolicyer

Gränssnitt

Innan vi dyker djupt ner i konfigurationen måste vi först kort prata om hur vi strukturerar våra brandväggar – som vi för enkelhetens skull bara kommer att referera till som "USG" eller "ATP". Vår USG består av flera gränssnitt, från WAN-portar till LAN-portar till alla andra virtuella gränssnitt du skapar på enheten.

Gränssnitt är i grunden oberoende nätverkssegment på gatewayen och kan hittas inom menysökvägen

Configuration > Network > Interface

I det här exemplet, en skärmdump av standard Ethernet-gränssnitt på en ATP200:

mceclip0.png

 

Zoner

Nu när vi förstår själva kärnkonceptet för gränssnitten, låt oss gå över till Zoner, eftersom särskilt Zonerna kommer att bli viktiga för våra brandväggsregler/säkerhetspolicyer. I de flesta fall kommer en USG eller ATP att bestå av flera LAN, flera VLAN och/eller flera WAN också. När det gäller brandväggsregler kan du ha en grupp gränssnitt som du vill ha samma regler som gäller - troligen vill du att alla LAN-grupper ska ha samma rättigheter i hela nätverket, eller så vill du att dina flera WAN-portar ska behandlas det samma. I det här fallet är zonerna en perfekt behållare för gränssnitt. Om du kanske undrar vad som menas med detta uttalande - detta borde förhoppningsvis bli klart mycket snart.

I menyn Zon via

Configuration > Object > Zone

du kan hitta de olika standardzonerna och gränssnittstilldelningarna mot dessa zoner:

mceclip1.png

På samma sätt som om du har flera så kallade "objekt" i zonen, kan du också skapa flera adressobjekt, serviceobjekt och många fler olika typer av objekt.

 

Objekt

Eftersom denna handledning snarare är tänkt att ge en bild av hur man skapar brandväggsregler/säkerhetspolicyer, låt oss hålla detta kapitel kort: USG/ATP-serien fungerar med så kallade objekt. Objekt är, som namnet säger, objekt i en databas, t.ex. adressobjekt, tjänsteobjekt (portar och protokoll), bland många andra objekt. Dessa objekt i sig har ingen funktion och är bara en databas. Den verkliga magin inträffar när vi placerar dessa objekt inom policyer, såsom säkerhetspolicyn (brandväggsregeln).

Bara som ett exempel, här en skärmdump av tjänsteobjektlistan, som kan hittas via

Configuration > Object > Service

mceclip2.png

Som du kanske ser finns det många objekt som redan är förberedda för direkt användning inom policyerna.

 

Säkerhetspolicyer / Firewall regler

Nu, när vi har gått igenom förutsättningarna för att förstå gränssnitt, zoner och objekt, kan vi nu gå över till att faktiskt skapa brandväggsregler. Menyn för detta hittar du via

Configuration > Security Policy > Policy Control

och det ser ut så här:

mceclip3.png

De allra flesta Firewall regler som du normalt skulle integrera i ditt nätverk är redan förkonfigurerade som standard, till exempel är den fullständiga åtkomsten från utsidan (WAN) till insidan (LAN) av ditt nätverk naturligtvis blockerad för att motverka skadliga attacker från internet. Också, till exempel, din LAN till WAN-åtkomst å andra sidan är obegränsad, eftersom det är en användarpreferens om du vill blockera vissa portar för dina LAN-klienter.

Vi ser nu i policyreglerna olika kolumner:

  • Prioritet: Ordning enligt Firewall-regeln - brandväggsregler körs uppifrån och ned, i den specifika ordningen
  • Status: visar om regeln är aktiv - gul är på, grå är av
  • Namn: Namnet på brandväggsregeln
  • Från: Avser den zon från vilken trafik kommer
  • Till: Avser den zon som trafiken kommer att flöda till
  • IPv4-källa: hänvisar till ett adressobjekt, gör det lättare att finjustera brandväggsreglerna till specifika IPv4-källor
  • IPv4-destination: hänvisar till ett adressobjekt, gör det lättare att finjustera brandväggsregler till specifika IPv4-destinationer
  • Tjänst: hänvisar till ett tjänsteobjekt, gör det möjligt att skapa en regel som endast är tillämplig på en enda port/protokoll eller en grupp av portar/protokoll
  • Användare: Tillåter finjustering av brandväggsregeln så att den endast kan tillämpas på användarobjekt/användargrupper
  • Schema: Detta gör det möjligt att ställa in brandväggen så att den bara blir aktiv under ett specifikt tidsschema (användbart för föräldrakontroll, skolapplikationer etc.)
  • Åtgärd: Definierar om trafiken som matchar alla ovanstående parametrar tillåts passera eller nekas
  • Logg: Här kan du ställa in om du vill ha en loggpost ifall matchande trafik flyter genom brandväggen
  • Profil: I det här segmentet kan du lägga till UTM-tjänster och deras respektive profiler (till exempel innehållsfilterprofiler etc.)

Nu, när vi har upptäckt de olika sakerna man kan ställa in inom policykontroll, låt oss bara hitta på ett exempel för en konfiguration:

Mål: Vi vill blockera LAN1 till LAN2, men allt annat som både LAN1 och LAN2 når ut ska inte blockeras.

Som standard tillåts LAN1 och LAN2 helt enkelt åtkomst till vad som helst: Från LAN1 (eller LAN2, för den delen) Till vilket som helst (exklusive ZyWall ) tillåter båda LAN-nätverken att komma åt varandra. För att inte tillåta detta kan vi helt enkelt "klippa av" ersättningen via en brandväggsregel som är uppställd på toppen, vilket inte tillåter en specifik riktning. I vårt exempel kommer vi inte att tillåta LAN2 till LAN1. Eftersom kommunikation är en dubbelriktad gata, bör detta också avbryta alla försök att få åtkomst från LAN1 till LAN2:

mceclip0.png

Vi ställer in åtgärden att förneka. Denna åtgärd kommer helt enkelt att släppa paketet, annat än avvisa alternativet, kommer att skicka tillbaka information till den åtkomstande enheten om varför den inte är tillåten att komma åt nätverket. Informationen baserad på avvisningsåtgärden kan enkelt användas för att fånga upp och hacka enheten, så det rekommenderas inte i de flesta fall.

Vi ställer också in "logg nekad trafik" som loggvarning , detta kommer att visa oss med röda bokstäver en post i loggen när någon försöker fortfarande komma åt nätverket.

Efter att ha ställt in den här regeln bör du kunna se loggposter så snart någon försöker komma in enligt din brandväggsregel.

Här är ett exempel på hur dessa loggar kan se ut (annan regel än vår LAN1 --> LAN2-regel som vi skapade ovan, bara för demonstrationsändamål:

Monitor > Log


mceclip1.png

 

Dessa instruktioner för första steget bör göra det enkelt för dig att skapa dina första brandväggsregler på dina säkerhetsgateway-enheter!

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
14 av 20 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.