Czuwanie nad bezpieczeństwem sieci komputerowej i filtrowanie wychodzącego/przychodzącego ruchu sieciowego hostów łączących się z siecią rozległą Internet; wymaga wcześniejszego podłączenia wybranych hostów to sieci globalnej.
W tym celu należy skonfigurować interfejs sieciowy urządzenia Hillstone tak, aby stał się bramą sieciową.
W poniższym przykładzie skonfigurujemy urządzenie Hillstone do udostępniania połączenia z Internetem według proponowanego schematu:
1. Podłączenie Hillstone do Internetu
Aby urządzenie Hillstone mogło udostępniać połączenie internetowe, najpierw należy je skonfigurować tak, aby samo miało do niego dostęp. Opis tutaj: Podłączenie urządzenia Hillstone do Internetu (zabezpieczenia.it)
2.Wyznaczenie stref bezpieczeństwa
Aby firewall mógł w pełni kontrolować i zabezpieczać ruch w sieci lokalnej, jak i komunikację wychodzącą/przychodzącą z siecią globalną; należy mu zdefiniować logiczne jednostki bezpieczeństwa zwane strefami (Zone). Więcej o strefach w podręczniku: Zone (zabezpieczenia.it) i w poradniku: Wyznaczanie stref (zabezpieczenia.it)
2a. Strefa dla interfejsu łączącego się z siecią globalną
Wybieramy zakładkę Network -> Zone (1), następnie naciskamy New i w oknie Zone Configuration uzupełniamy pola:
– Zone – nazwa strefy (obowiązkowa; tu: „Strefa WAN”) (2)
– Virtual Router – router wirtualny (tu: „trust-vr”; domyślny) (3)
– Binding Interface – interfejs powiązany z strefą (tu: „ethernet0/3”) (4) (jeśli interfejs nie ma połączenia z Internetem, należy go skonfigurować wg instrukcji, o której mowa w pkt.1.
W sekcji Advanced włączamy opcje „WAN Zone” oraz „Application Identification” (opcjonalnie)
Założoną strefę zatwierdzamy przyciskiem OK
2b. Strefa dla interfejsu łączącego się z siecią lokalną
Wybieramy zakładkę Network -> Zone (1), następnie naciskamy New i w oknie Zone Configuration uzupełniamy pola:
– Zone – nazwa strefy (obowiązkowa; tu: „Strefa LAN”) (2)
– Virtual Router – router wirtualny (tu: „trust-vr”; domyślny) (3)
– Binding Interface – interfejs powiązany z strefą (tu: „ethernet0/5”) (4)
Założoną strefę zatwierdzamy przyciskiem OK
3. Ustalenie źródła translacji adresów sieciowych
Aby skonfigurować SNAT (Source Network Address Translation), wybieramy zakładkę Policy -> NAT -> SNAT (1) , potem New, a następnie w oknie SNAT Configuration ustawiamy pola:
– Virtual Router – router wirtualny (tu: „trust-vr”; domyślny) (2)
– Source Address – adres źródłowy (tu: „Address Entry” / „Any”; dowolny) (3)
– Destination Address – adres docelowy (tu: „Address Entry” / „Any”; dowolny) (4)
– Egress – interfejs sieciowy z dostępem do Internetu. z którego przeprowadzamy translację adresów (tu: „Egress Interface” / „ethernet0/3”) (5)
Całość zatwierdzamy przyciskiem OK.
4. Otwarcie sieci lokalnej
Wybieramy zakładkę Network -> Interface (1), zaznaczamy interfejs wybrany na bramę nowej, wewnętrznej sieci (tu: „ethernet0/5) i naciskamy Edit.
W oknie Ethernet Interface ustawiamy pola:
– Binding Zone – typ strefy powiązanej (tu: „Layer 3 Zone”) (2)
– Zone – nazwa strefy (tu: „Strefa LAN”) (3)
W sekcji IP Configuration:
– Type – typ adresowania (tu: “Static IP”) (4)
– IP Address – główny (bramowy) adres nowej sieci (tu: “192.168.25.1”) (5)
– Netmask – maska sieciowa (tu: “255.255.255.0”; 24-bitowa) (6)
– Management – wybrane protokoły sieciowe, z których zamierzamy korzystać na naszym interfejsie w celu zarządzania urządzeniem (7)
Ustawienia interfejsu zatwierdzamy przyciskiem OK.
5. Ustalenie polityki bezpieczeństwa dla połączenia
Aby umożliwić obustronny ruch sieciowy między siecią lokalną a globalną, konieczne jest zdefiniowanie polityki bezpieczeństwa, która na takowy ruch zezwala.
W tym celu definiujemy politykę między strefami, które zdefiniowaliśmy w pkt.2.
Wybieramy zakładkę Policy -> Security Policy -> Policy Configuration (1), naciskamy New, a następnie w polu Policy Configuration ustawiamy pola:
– Name – nazwa polityki (tu: „polityka_udostepniania”) (2)
– Source Zone – strefa źródłowa ruchu sieciowego (tu: „Strefa LAN”) (3)
– Destination Zone – strefa docelowa ruchu sieciowego (tu: „Strefa WAN”) (4)
Politykę bezpieczeństwa zatwierdzamy przyciskiem OK.
6. Podłączenie stacji roboczej do sieci lokalnej
Ustawiamy interfejs (kartę sieciową) w komputerze PC widocznym na schemacie. Poniżej przykładowa konfiguracja dla polskojęzycznej wersji środowiska Windows:
– Adres IP – dowolny adres z wyznaczonej klasy adresowej, a więc z przedziału [192.168.25.2 – 192.168.25.254] (tu: “192.168.25.71”) (1)
– Maska podsieci – maska adekwatna to klasy adresów (tu: “255.255.255.0”, 24-bitowa) (2)
– Brama domyślna – wyznaczony w pkt.3 adres bramy (tu: “192.168.25.1”) (3)
Ustawienia akceptujemy przyciskiem OK.
Poprawność ustawień możemy sprawdzić poleceniem „ipconfig” w systemowym wierszu poleceń (cmd):