Strefa bezpieczeństwa, zwana dalej “strefą”, jest podstawową jednostką logiczną, porządkującą w firewallu zasady bezpieczeństwa; zwane krócej “politykami”.
Do strefy można przypisać jeden lub więcej interfejsów sieciowych, zwanych “interfejsami” i jest to zależność “jeden do wielu” – interfejs może być przypisany do maksymalnie jednej strefy.
Hillstone posiada predefiniowane, domyślne strefy bezpieczeństwa (ich lista jest widoczna po wybraniu zakładki Network->Zone).
Są one przydatne podstawowych elementów konfiguracji, prostych lub tymczasowych zastosowań bądź np. celów testowo-diagnostycznych.
Do właściwego, zaawansowanego i szczegółowego administrowania bezpieczeństwem w ruchu sieciowym są one jednak niewystarczające.
Aby w pełni wykorzystać możliwości systemu bezpieczeństwa Hillstone, przydatne a wręcz konieczne jest definiowanie własnych stref, dedykowanych konkretnym potrzebom.
Kompleksowe podejście do zakładania strefy, przedstawia niniejszy przykład.
W praktyce, większość stref to dużo prostsze instrumenty służące do panowania nad bezpieczeństwem, niewymagające konfigurowania wszystkich poniżej opisanych opcji.
1. Konfiguracja strefy
Wybieramy zakładkę Network -> Zone [1], naciskamy New, a następnie w oknie Zone Configuration ustawiamy następujące pola:
– Zone [2] – nazwa strefy, obowiązkowa (tu: „Nowa_Strefa”; zalecane, aby nazwa oddawała docelowe przeznaczenie strefy)
– Type [3] – typ strefy, gdzie wskazujemy na:
—– Layer 2 Zone – jeśli chcemy zdefiniować strefę komunikującą się na warstwie drugiej modelu OSI (adresami MAC)
—– Layer 3 Zone – jeśli chcemy zdefiniować strefę komunikującą się na warstwie trzeciej modelu OSI (adresami IP)
—– TAP – jeśli chcemy zdefiniować strefę z interfejsem lub interfejsami pracującą w trybie monitoringu/nasłuchu
– VSwitch/Virtual Router [4] – switch wirtualny (dla warstwy drugiej) lub router wirtualny (dla warstwy trzeciej) – ustawiamy „vswitch1” lub „trust-vr” (predefiniowane, domyślne) (*)
– Binding Interfaces [5] – tu wskazujemy interfejsy, które chcemy podłączyć do naszej strefy (tu, przykładowo: ethernet0/3 (fizyczny), tunnel2 (do VPN), ethernet 0/7.1, ethernet 0/7.2 (pomocnicze do VLAN))
(*) wirtualny, istniejący logicznie sprzęt sieciowy – inny niż domyślny, przydatny jest w znacznie bardziej zaawansowanych scenariuszach konfiguracyjnych
Sekcja Advanced
– Application Identification [5] – włączamy sygnaturową identyfikację aplikacji (zalecane)
– WAN Zone [6] – włączamy, gdy ustawiamy strefę do łączenia się z Internetem lub większą siecią lokalną („umownym WAN-em”)
– NetBIOS over TCP/IP (NBT) Cache [7] – opcjonalnie włączamy, gdy zamierzamy wyznaczyć strefę dla hostów wzajemnie zaufanych, widocznych dla siebie i komunikujących się w ramach jednej sieci lokalnej.
Sekcja Threat Protection (**)
– Anti Virus [8] – ochrona antywirusowa. Po włączeniu możemy wybrać jeden z profili predefiniowanych (tu: „predef_middle”) lub zdefiniować własny (więcej tutaj: Anti-Virus (zabezpieczenia.it) )
– IPS [9] – system zapobiegania włamaniom (ang. Intrusion Prevention System). Po włączeniu możemy wybrać jeden z profili predefiniowanych (tu: „Windows-server”) lub zdefiniować własny (więcej tutaj: Intrusion Prevention System (zabezpieczenia.it) ).
– Antispam [10] – filtr antyspamowy przeznaczony do poczty elektronicznej (***). Po włączeniu możemy wybrać jeden z profili predefiniowanych (tu: „full_log”) lub zdefiniować własny (więcej tutaj: Antispam (zabezpieczenia.it))
– Botnet Prevention [11] – moduł zapobiegający działaniom sieci typu BotNet. Domyślnie wyłączony. Więcej tutaj: Botnet Prevention (zabezpieczenia.it)
– Attack Defense [12] – wbudowany zestaw narzędzi do obrony przed atakami, po włączeniu naciskamy Configure aby przejść do ustawień szczegółowych (szczegóły w pkt. 2)
– Abnormal Behavior Detection [13] – system wykrywania zachowań nieprawidłowych (****), gdzie w ramach opcjonalnej, dodatkowej obrony hosta możemy uruchomić zaawansowane zabezpieczenia (m. in. przed atakami DDoS) oraz inteligentną analizę śledczą.
– Advanced Threat Detection [14] – system zaawansowanego wykrywania zagrożeń (****), używający algorytmów z sztuczną inteligencją do analizy podejrzanego ruchu w sieci; z opcjonalnym przechwytywaniem pakietów „Capture Packets”
– URL Filtering [15] – filtr adresów URL kontrolujący dostęp do stron internetowych. Po włączeniu możemy włączyć jeden z profili predefiniowanych (tu: „full_log”) lub zdefiniować własny (więcej tutaj: URL Filtering (zabezpieczenia.it)).
– Sandbox [16] – mechanizm kierowania plików (z uwzględnieniem protokołów) to sprawdzenia w środowisku izolowanym (piaskownicy). Po włączeniu możemy wybrać jeden z profil1 predefiniowanych (tu: „predef_middle”) lub zdefiniować własny (więcej tutaj: Sandbox (zabezpieczenia.it)).
(**) Jeśli strefa nie będzie potrzebowała modułów ochronnych lub zamierzamy użyć potrzebnych modułów, dostępnych także z poziomu polityk bezpieczeństwa – możemy częściowo lub całościowo pominąć tę sekcję.
(***) Tylko seria A oraz T
(****) Tylko seria T
Sekcja Data Security
– Web Content [17] – kontrola zawartości sieci Web. Po włączeniu, domyślnie nieaktywna (profil: “no-contentfilter”). Aby ją zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Web Content – (zabezpieczenia.it)).
– Web Posting [18] – kontrola publikacji treści w sieci Web. Po włączeniu, domyślnie nieaktywna (profil: “no-webpost”). Aby ją zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Web Posting – (zabezpieczenia.it)).
– Email Filter [19] – filtr wiadomości e-mail. Po włączeniu, domyślnie nieaktywny (profil: “no-mail”). Aby go zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Email Filter – (zabezpieczenia.it)).
– APP Behavior Control [20] – kontrola zachowania aplikacji sieciowych. Po włączeniu, domyślnie nieaktywna (profil: “no-behavior”). Aby ją zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: APP Behavior Control – (zabezpieczenia.it).
– Network Behavior Record [21] – zapis zachowania w sieci. Po włączeniu, domyślnie nieaktywny (profil: “no-nbr”). Aby go zastosować, konieczne jest zdefiniowanie własnego profilu (więcej tutaj: Network Behavior Control – (zabezpieczenia.it)).
– Description [22] – opcjonalny opis. Zalecane, aby opis oddawał rzeczywiste przeznaczenie opisywanej strefy.
2. Attack Defense – obrona przed atakami
W sekcji Threat Protection włączamy moduł Attack Defense, naciskamy Configure, a następnie w oknie Attack Defense ustawiamy opcje:
– Whitelist – po naciśnięciu Configure edytujemy listę, do której możemy dodać adresy zaufane.
– Enable All – zalecane włączenie wszystkich mechanizmów obrony przed standardowymi, znanymi atakami sieciowymi. W zależności od potrzeb, można je jednak włączać lub wyłączać wybiórczo.