Czuwanie nad bezpieczeństwem sieci komputerowej i filtrowanie wychodzącego/przychodzącego ruchu sieciowego hostów łączących się z siecią rozległą Internet; wymaga wcześniejszego podłączenia wybranych hostów to sieci globalnej.
W tym celu należy skonfigurować interfejs sieciowy urządzenia Hillstone tak, aby stał się bramą sieciową.
W poniższym przykładzie skonfigurujemy urządzenie Hillstone do udostępniania połączenia z Internetem według proponowanego schematu:
1. Podłączenie Hillstone do Internetu
Aby urządzenie Hillstone mogło udostępniać połączenie internetowe, najpierw należy je skonfigurować tak, aby samo miało do niego dostęp. Opis tutaj: Podłączenie urządzenia Hillstone do Internetu (zabezpieczenia.it)
2.Wyznaczenie stref bezpieczeństwa
Aby firewall mógł w pełni kontrolować i zabezpieczać ruch w sieci lokalnej, jak i komunikację wychodzącą/przychodzącą z siecią globalną; należy mu zdefiniować logiczne jednostki bezpieczeństwa zwane strefami (Zone). Więcej o strefach w podręczniku: Zone (zabezpieczenia.it) i w poradniku: Wyznaczanie stref (zabezpieczenia.it).
2a. Strefa dla interfejsu łączącego się z siecią globalną
Wybieramy zakładkę Network -> Zone [1], następnie naciskamy New i w oknie Zone Configuration uzupełniamy pola:
– Zone [2] – nazwa strefy (obowiązkowa; tu: „Strefa WAN”)
– Virtual Router [3]– router wirtualny (tu: „trust-vr”; domyślny)
– Binding Interface [4] – interfejs powiązany z strefą (tu: „ethernet0/3”) (jeśli interfejs nie ma połączenia z Internetem, należy go skonfigurować wg instrukcji, o której mowa w pkt.1.
W sekcji Advanced włączamy opcje „WAN Zone” oraz „Application Identification” (opcjonalnie)
Założoną strefę zatwierdzamy przyciskiem OK
2b. Strefa dla interfejsu łączącego się z siecią lokalną
Wybieramy zakładkę Network -> Zone [1], następnie naciskamy New i w oknie Zone Configuration uzupełniamy pola:
– Zone [2] – nazwa strefy (obowiązkowa; tu: „Strefa LAN”)
– Virtual Router [3] – router wirtualny (tu: „trust-vr”; domyślny)
– Binding Interface [4]– interfejs powiązany z strefą (tu: „ethernet0/5”)
Założoną strefę zatwierdzamy przyciskiem OK
3. Ustalenie źródła translacji adresów sieciowych
Aby skonfigurować SNAT (Source Network Address Translation), wybieramy zakładkę Policy -> NAT -> SNAT (1) , potem New, a następnie w oknie SNAT Configuration ustawiamy pola:
– Virtual Router [2] – router wirtualny (tu: „trust-vr”; domyślny)
– Source Address [3] – adres źródłowy (tu: „Address Entry” / „Any”; dowolny)
– Destination Address [4] – adres docelowy (tu: „Address Entry” / „Any”; dowolny)
– Egress [5] – interfejs sieciowy z dostępem do Internetu. z którego przeprowadzamy translację adresów (tu: „Egress Interface” / „ethernet0/3”)
Całość zatwierdzamy przyciskiem OK.
4. Otwarcie sieci lokalnej
Wybieramy zakładkę Network -> Interface [1], zaznaczamy interfejs wybrany na bramę nowej, wewnętrznej sieci (tu: „ethernet0/5) i naciskamy Edit.
W oknie Ethernet Interface ustawiamy pola:
– Binding Zone – typ strefy powiązanej (tu: „Layer 3 Zone”) [2]
– Zone – nazwa strefy (tu: „Strefa LAN”) [3]
W sekcji IP Configuration:
– Type – typ adresowania (tu: “Static IP”) [4]
– IP Address – główny (bramowy) adres nowej sieci (tu: “192.168.50.1”) [5]
– Netmask – maska sieciowa (tu: “255.255.255.0”; 24-bitowa) [6]
– Management – wybrane protokoły sieciowe, z których zamierzamy korzystać na naszym interfejsie w celu zarządzania urządzeniem [7]
Ustawienia interfejsu zatwierdzamy przyciskiem OK.
5. Włączenie usługi DHCP
Wybieramy zakładkę Network -> DHCP [1], następnie New i w oknie DHCP Configuration ustawiamy następujące pola:
– Interface – interfejs, na którym zamierzamy uruchomić usługę DHCP (tu: „ethernet 0/5) [2]
– Gateway – brama sieciowa (tu: „192.168.50.1”) [3]
– Netmask – maska sieci (tu: „255.255.255.0””; 24-bitowa) [4]
– DNS 1, DNS 2 – adresy serwerów DNS (tu: dwa powszechnie znane)
– Address pool – przedział (pula) adresów przyznawanych przez DHCP [5]
– Reserved Address – podzbiór powyższego, przedział (pula) adresów zarezerwowanych (opcjonalny) [6]
– IP – MAC Binding – powiązanie wybranych adresów IP z wybranymi adresami MAC (opcjonalne) [7]
Konfigurację DHCP zatwierdzamy przyciskiem OK.
6. Ustalenie polityki bezpieczeństwa dla połączenia
Aby umożliwić obustronny ruch sieciowy między siecią lokalną a globalną, konieczne jest zdefiniowanie polityki bezpieczeństwa, która na takowy ruch zezwala.
W tym celu definiujemy politykę między strefami, które zdefiniowaliśmy w pkt.2.
Wybieramy zakładkę Policy -> Security Policy -> Policy Configuration [1], naciskamy New, a następnie w polu Policy Configuration ustawiamy pola:
– Name – nazwa polityki (tu: „polityka_udostepniania”) [2]
– Source Zone – strefa źródłowa ruchu sieciowego (tu: „Strefa LAN”) [3]
– Destination Zone – strefa docelowa ruchu sieciowego (tu: „Strefa WAN”) [4]
Politykę bezpieczeństwa zatwierdzamy przyciskiem OK.
7. Podłączenie stacji roboczej do sieci lokalnej
Ustawiamy interfejs (kartę sieciową) w komputerze PC widocznym na schemacie. Poniżej przykładowa konfiguracja dla polskojęzycznej wersji środowiska Windows:
– Adres IP – zaznaczamy opcję: „Uzyskaj adres IP automatycznie”
– DNS – zaznaczamy opcję: „Uzyskaj adres serwera DNS automatycznie”
Ustawienia akceptujemy przyciskiem OK.
Poprawność ustawień możemy sprawdzić poleceniem „ipconfig” w systemowym wierszu poleceń (cmd):