ATP/USG FLEX/USG/ZyWall-Gateway'inize bir güvenlik duvarı kuralı / güvenlik politikası ekleme

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Önemli Uyarı:
Değerli müşterimiz, yerel dilinizde makaleler sağlamak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru bir şekilde çevrilemeyebilir. Tercüme edilmiş versiyondaki bilgilerin doğruluğu hakkında sorularınız veya tutarsızlıklar varsa, lütfen orijinal makaleyi buradan inceleyin: Orijinal Versiyon

Firewall veya yeni nesil cihazlarımızda dediğimiz şekliyle "Güvenlik Politikası" cihazlarımızın çekirdeğini oluşturmaktadır. Bu öğreticinin size Firewall cihazımızın çalışma yöntemleri hakkında temel bir anlayış vermesi ve kendi güvenlik duvarı kurallarınızı oluşturmada ilk adımlarınızı atmanız için sizi hazırlaması gerekiyor!

 

Arayüzler, Bölgeler ve Güvenlik Politikaları

Arayüzler

Konfigürasyonun derinliklerine dalmadan önce, kısaca güvenlik duvarlarımızı nasıl yapılandırdığımız hakkında konuşmalıyız - okuma kolaylığı adına bundan sonra "USG" veya "ATP" olarak adlandıracağız. USG'miz, WAN bağlantı noktalarından LAN bağlantı noktalarına ve ünitede oluşturduğunuz diğer tüm sanal arabirimlere kadar birden çok arabirimden oluşur.

Arayüzler temelde ağ geçidindeki bağımsız ağ bölümleridir ve menü yolu içinde bulunabilirler.

Configuration > Network > Interface

Bu örnekte, bir ATP200'deki varsayılan ethernet arayüzlerinin ekran görüntüsü:

mceclip0.png

 

Bölgeler

Arayüzlerin temel kavramını anladığımıza göre, özellikle Bölgeler güvenlik duvarı kurallarımız / güvenlik politikalarımız için önemli hale geleceğinden Bölgelere geçelim. Çoğu durumda, bir USG veya ATP, birden çok LAN'dan, birden çok VLAN'dan ve/veya birden çok WAN'dan oluşacaktır. Güvenlik duvarı kuralları söz konusu olduğunda, aynı kuralların geçerli olmasını istediğiniz bir arabirim grubunuz olabilir - büyük olasılıkla tüm LAN gruplarının ağ genelinde aynı haklara sahip olmasını istersiniz veya birden çok WAN bağlantı noktanızın ele alınmasını istersiniz. aynısı. Bu durumda, Bölgeler arayüzler için mükemmel bir kapsayıcıdır. Merak ediyorsanız, bu ifadenin ne anlama geldiğini - bu umarım çok yakında netleşir.

Bölge menüsünde aracılığıyla

Configuration > Object > Zone

farklı varsayılan bölgeleri ve bu bölgelere yönelik arayüz atamalarını bulabilirsiniz:

mceclip1.png

Bölgede birden çok "Nesne"niz olduğu gibi, aynı zamanda birden çok Adres nesnesi, hizmet nesnesi ve daha birçok farklı nesne türü oluşturabilirsiniz.

 

nesneler

Bu eğitimin daha çok güvenlik duvarı kuralları/güvenlik politikaları oluşturma hakkında bir resim vermesi gerektiği için, bu bölümü kısa tutalım: USG / ATP serisi nesnelerle çalışır. Nesneler, adından da anlaşılacağı gibi, diğer birçok nesnenin yanı sıra bir veritabanı içindeki nesnelerdir, örneğin adres nesneleri, hizmet nesneleri (portlar ve protokoller). Bu nesnelerin kendi başlarına hiçbir işlevi yoktur ve yalnızca bir veritabanıdır. Gerçek sihir, bu nesneleri güvenlik ilkesi (güvenlik duvarı kuralı) gibi ilkelerin içine yerleştirdiğimizde gerçekleşir.

Örnek olarak, burada servis nesnesi listesinin ekran görüntüsü aracılığıyla bulunabilir.

Configuration > Object > Service

mceclip2.png

Gördüğünüz gibi, politikalar içinde doğrudan kullanım için hazırlanmış birçok nesne var.

 

Güvenlik Politikaları / Firewall kuralları

Arayüzleri, Bölgeleri ve Nesneleri anlamanın ön koşullarından geçtiğimize göre, artık güvenlik duvarı kuralları oluşturmaya geçebiliriz. Bunun için menü şuradan bulunabilir:

Configuration > Security Policy > Policy Control

ve şuna benziyor:

mceclip3.png

Normalde ağınıza entegre edeceğiniz Firewall kurallarının büyük çoğunluğu varsayılan olarak önceden yapılandırılmıştır; örneğin, ağınızın dışından (WAN) içine (LAN) tam erişim, elbette, kötü niyetli saldırılara karşı koymak için engellenir. internet. Ayrıca, örneğin LAN'dan WAN'a erişiminiz sınırsızdır, çünkü LAN istemcileriniz için bazı bağlantı noktalarını engellemek istiyorsanız bu bir kullanıcı tercihidir.

Artık politika kurallarında farklı sütunlar görüyoruz:

  • Öncelik: Firewall kuralının sırası - güvenlik duvarı kuralları yukarıdan aşağıya, belirli bir sırayla çalışır
  • Durum: kuralın etkin olup olmadığını gösterir - sarı açık, gri kapalı
  • Ad: Güvenlik duvarı kuralının adı
  • Kimden: Geliyorsa trafiğin geldiği Bölgeyi ifade eder.
  • Kime: Trafiğin akacağı Bölgeyi ifade eder.
  • IPv4 Kaynağı: Bir Adres Nesnesine atıfta bulunur, güvenlik duvarı kurallarını belirli IPv4-Kaynaklarına göre ayarlamayı kolaylaştırır
  • IPv4 Hedefi: Bir Adres Nesnesine atıfta bulunur, güvenlik duvarı kurallarını belirli IPv4-Hedeflerine ayarlamayı kolaylaştırır
  • Hizmet: Bir hizmet nesnesine atıfta bulunur, yalnızca tek bir bağlantı noktası/protokol veya bir grup bağlantı noktası/protokol için geçerli olan bir kural oluşturmaya izin verir.
  • Kullanıcı: Güvenlik duvarı kuralının yalnızca kullanıcı nesnelerine/kullanıcı gruplarına uygulanabilmesi için ince ayar yapılmasına izin verir
  • Zamanlama: Bu, güvenlik duvarının yalnızca belirli bir zaman çizelgesinde aktif hale gelmesi için ayarlanmasına izin verir (ebeveyn kontrolü, okul uygulamaları vb. için kullanışlıdır).
  • Eylem: Yukarıdaki tüm parametrelerle eşleşen trafiğin geçmesine izin verilip verilmediğini veya reddedilip reddedilmediğini tanımlar
  • Günlük: Burada, güvenlik duvarından eşleşen trafik akışı olması durumunda bir günlük girişi isteyip istemediğinizi ayarlayabilirsiniz.
  • Profil: Bu segmentte UTM Servislerini ve ilgili profillerini (örneğin içerik filtre profilleri vb.)

Politika kontrolü içinde ayarlanabilecek farklı şeyleri keşfettiğimize göre, şimdi bir konfigürasyon için bir örnek oluşturalım:

Hedef: LAN1'i LAN2'ye engellemek istiyoruz, ancak hem LAN1 hem de LAN2'nin ulaştığı diğer her şey engellenmeyecek.

Varsayılan olarak, LAN1 ve LAN2'nin herhangi bir şeye erişmesine izin verilir: LAN1'den (veya bu konuda LAN2'ye) Herhangi birine (ZyWall Hariç ) her iki LAN ağının da birbirine erişmesine izin verir. Buna izin vermemek için, belirli bir yöne izin vermeyerek, en üste ayarlanmış bir güvenlik duvarı kuralı aracılığıyla ödeneği basitçe "kesebiliriz". Örneğimizde, LAN2'den LAN1'e izin vermeyeceğiz. İletişim iki yönlü bir yol olduğundan, bu aynı zamanda LAN1'den LAN2'ye erişim sağlama girişimlerini de kesintiye uğratmalıdır:

mceclip0.png

Eylemi reddetmek için ayarlıyoruz. Bu eylem sadece paketi bırakacaktır, reddetme seçeneği dışında, erişen cihaza neden ağa erişmesine izin verilmediğine ilişkin bilgileri geri gönderecektir. Reddetme eylemine dayalı bilgiler, cihazı ele geçirmek ve hacklemek için kolayca kullanılabilir, bu nedenle çoğu durumda önerilmez.

Ayrıca "günlük reddedildi trafiği" günlük uyarısı olarak ayarladık, bu bize kırmızı harflerle biri ağa erişmeye çalıştığında günlükte bir giriş gösterecektir.

Bu kuralı ayarladıktan sonra, güvenlik duvarı kuralınıza göre biri girmeye çalıştığında günlük girişlerini görebilmelisiniz.

İşte bu günlüklerin nasıl görünebileceğine dair bir örnek (yalnızca demonstration amaçları için yukarıda oluşturduğumuz LAN1 --> LAN2 kuralımızdan farklı kural:

Monitor > Log


mceclip1.png

 

Bu ilk adım talimatları, güvenlik ağ geçidi cihazlarınızda ilk güvenlik duvarı kurallarınızı oluşturmaya kolayca başlamanızı sağlayacaktır!

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
20 kişi içerisinden 14 kişi bunun yardımcı olduğunu düşündü
Paylaş

Yorumlar

0 yorum

Yorum yazmak için lütfen oturum açın: oturum aç.