Polityka bezpieczeństwa to podstawowa funkcja urządzenia służąca do kontroli ruchu sieciowego między strefami bezpieczeństwa.
Konfiguracja domyślna (bez polityki/polityk bezpieczeństwa) zakłada brak ruchu sieciowego.
Po skonfigurowaniu reguł polityki bezpieczeństwa urządzenie może określić, jaki ruch między strefami będzie dozwolony.
Kompleksowe podejście do ustalania polityki, przedstawia niniejszy przykład.
W praktyce, większość polityk to dużo prostsze instrumenty służące do panowania nad bezpieczeństwem, niewymagające konfigurowania wszystkich poniżej opisanych opcji.
1. Konfiguracja polityki
Wybieramy zakładkę Policy -> Security Policy -> Policy [1], naciskamy New, a następnie w oknie Policy Configuration ustawiamy następujące pola:
– Name [2] – nazwa polityki (tu: “Polityka_Bezpieczna)”; zalecane, aby nazwa oddawała docelowe przeznaczenie polityki)
– Type [3] – standard protokołu IP; IPv4 lub IPv6
– Source Zone [4] – nazwa strefy źródłowej (rozpoczynającej ruch wychodzący). Możemy wybrać jedną z stref predefiniowanych (więcej tutaj: Zone )lub zdefiniować własną: (więcej tutaj: Wyznaczanie strefy)
– Source Address [5] – adres lub zbiór adresów po stronie źródła. Możemy wskazać:
—— Any – adres dowolny (domyślny)
—— IP/Netmask – adres lub grupa adresów mieszczących się ramach maski sieciowej
—— IP/Range – zakres/przedział adresów IP
—— Hostname – nazwa hosta
—— Address Book – adres lub zbiór adresów zdefiniowanych wcześniej w książce adresowej: (więcej tutaj: Address Book – (zabezpieczenia.it))
– Source User [6] – użytkownicy lub grupy użytkowników (do 8-śmu pozycji) po inicjującej stronie polityki. Do wyboru z listy użytkowników uwzględnionych w systemie (więcej tutaj: User – (zabezpieczenia.it))
– Destination Zone [7] – nazwa strefy docelowej (realizującej ruch przychodzący). Możemy wybrać jedną z stref predefiniowanych (więcej tutaj: Zone )lub zdefiniować własną: (więcej tutaj: Wyznaczanie strefy)
– Destination Address [8] – adres lub zbiór adresów po stronie docelowej. Możemy wskazać:
—— Any – adres dowolny (domyślny)
—— IP/Netmask – adres lub grupa adresów mieszczących się ramach maski sieciowej
—— IP/Range – zakres/przedział adresów IP
—— Hostname – nazwa hosta
—— Address Book – adres lub zbiór adresów zdefiniowanych wcześniej w książce adresowej: (więcej tutaj: Address Book – (zabezpieczenia.it))
– Service [9] – usługa lub usługi uwzględnione w ruchu sieciowym w ramach polityki. Do wyporu domyślna (dowolna), predefiniowane lub zdefiniowane w książce usług: (więcej tutaj: Service Book – (zabezpieczenia.it)
– Application [10] – akceptacja ruchu generowanego przez aplikacje sieciowe rozpoznawane po sygnaturach. Aplikacje do wyboru z listy (ok. 5000 pozycji) lub do zdefiniowania w książce aplikacji (więcej tutaj: APP Book (zabezpieczenia.it))
– Action [11] – zamierzane działanie wobec reguł ruchu sieciowego wyszczególnionych w polityce: „Permit” (zezwól), „Deny” (odmów) lub „Secured Connection” (przekierowanie do własnego, zabezpieczonego połączenia). W przypadku akcji zezwalającej, opcjonalnie możemy włączyć przekierowanie do wybranego adresu URL pod warunkiem, że dopuszczony został ruch przez protokół HTTP na liście usług (Service [9]).
Sekcja Protection
– Anti-Virus [12] – ochrona antywirusowa. Po włączeniu możemy wybrać jeden z profili predefiniowanych (tu: “predef_middle”) lub zdefiniować własny (więcej tutaj: Anti-Virus (zabezpieczenia.it) ).
– IPS [13] – system zapobiegania włamaniom (ang. Intrusion Prevention System). Po włączeniu możemy wybrać jeden z profili predefiniowanych (tu: “Windows-server”) lub zdefiniować własny (więcej tutaj: Intrusion Prevention System (zabezpieczenia.it) ).
– Spam Filter [14] – filtr antyspamowy przeznaczony do poczty elektronicznej (*). Po włączeniu możemy wybrać jeden z profili predefiniowanych (tu: “full_log”) lub zdefiniować własny (więcej tutaj: Antispam (zabezpieczenia.it)).
– Botnet Prevention [15] – moduł zapobiegający działaniom sieci typu BotNet. Domyślnie wyłączony. Więcej tutaj: Botnet Prevention (zabezpieczenia.it)
– URL Filtering [16] – filtr adresów URL kontrolujący dostęp do stron internetowych. Po włączeniu możemy włączyć jeden z profili predefiniowanych (tu: “no-url”; nieaktywny) lub zdefiniować własny (więcej tutaj: URL Filtering (zabezpieczenia.it)).
– Sandbox [17] – mechanizm kierowania plików (z uwzględnieniem protokołów) to sprawdzenia w środowisku izolowanym (piaskownicy). Po włączeniu możemy wybrać jeden z profili predefiniowanych (tu: “predef_middle”) lub zdefiniować własny (więcej tutaj: Sandbox (zabezpieczenia.it)).
(*) Tylko seria A oraz T
Sekcja Data Security
– File Filter [18] – filtr plików. Po włączeniu, domyślnie nieaktywny (profil: „no-dlp”). Aby go zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: File Filter (zabezpieczenia.it))
– Network Behavior Record [19] – zapis zachowania w sieci. Po włączeniu, domyślnie nieaktywny (profil: „no-nbr”). Aby go zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Network Behavior Control – (zabezpieczenia.it))
– Web Content [20] – kontrola zawartości sieci Web. Po włączeniu, domyślnie nieaktywna (profil: „no-contentfilter”). Aby ją zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Web Content – (zabezpieczenia.it))
– Web Posting [21] – kontrola publikacji treści w sieci Web. Po włączeniu, domyślnie nieaktywna (profil: „no-webpost”). Aby ją zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Web Posting – (zabezpieczenia.it))
– Email Filter [22] – filtr wiadomości e-mail. Po włączeniu, domyślnie nieaktywny (profil: „no-mail”). Aby go zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Email Filter – (zabezpieczenia.it))
– APP Behavior Control [23] – kontrola zachowania aplikacji sieciowych. Po włączeniu, domyślnie nieaktywna (profil: „no-behavior”). Aby ją zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: APP Behavior Control – (zabezpieczenia.it).
Sekcja Options
– Schedule [24] – ramy czasowe, w których docelowo ma działać polityka. Domyślnie działa permanentnie. O ustalaniu terminarzy w harmonogramie – więcej tutaj: Schedule – (zabezpieczenia.it)
– Log [25] – ustala reguły generowania logów wpisywanych do dziennika:
—— Deny – generuje logi, gdy ruch sieciowy, który jest dopasowany do reguł polityki, jest odrzucany (gdy ustawimy Action [11] na „Deny”).
—— Session start – generuje logi, gdy ruch sieciowy, który jest dopasowany do reguł, rozpoczyna swoją sesję (gdy ustawimy Action [11] na „Permit”).
—— Session end – generuje logi, gdy ruch sieciowy, który jest dopasowany do reguł polityki, kończy swoją sesję (gdy ustawimy Action [11] na „Permit”).
– SSL Proxy [26] – konieczne włączenie i zdefiniowanie własnego profilu serwera pośredniczącego SSL, jeśli polityka ma dotyczyć ruchu sieciowego objętego inspekcją SSL (więcej tutaj: SSL Proxy (zabezpieczenia.it) )
– Policy Assistant [27] – włączenie rejestrowania ruchu sieciowego definiowanej polityki przez asystenta. Przydatne, gdy w przyszłości zajdzie konieczność optymalizacji reguł; (więcej tutaj: Policy Assistant – (zabezpieczenia.it) )
– ACL [28] – włączamy, jeżeli zamierzamy dołączyć listę kontroli dostępu poprzez profil ACL (więcej tutaj: ACL – (zabezpieczenia.it) )
– Aggregate Policy [29] – nazwa docelowo przypisanej polityki scalającej (jeśli takowa jest pożądana i istnieje)
– Position [30] – pozycja, na której znajdzie się polityka po jej zatwierdzeniu; do wyboru:
—— Top – pierwsza pozycja na liście
—— Bottom – ostatnia pozycja na liście
—— Before ID [numer] – jedna pozycja powyżej istniejącej polityki o podanym numerze identyfikacyjnym
—— After ID [numer] – jedna pozycja poniżej istniejącej polityki o podanym numerze identyfikacyjnym
—— Before Name [nazwa] – jedna pozycja powyżej istniejącej polityki o podanej nazwie
—— Afrer Name [nazwa] – jedna pozycja poniżej istniejącej polityki o podanej nazwie
– Description [31] – opcjonalny opis. Zalecane, aby opis oddawał rzeczywiste przeznaczenie opisywanej polityki.
Politykę zatwierdzamy, naciskając OK.