Политика фильтрации на основе зон#
Описание#
В концепции политики фильтрации на основе зон интерфейсы назначаются зонам, а политика проверки применяется к трафику, проходящему между зонами, и действует в соответствии с правилами межсетевого экрана. Зона - это группа интерфейсов, имеющих схожие функции или возможности. Она устанавливает границы безопасности сети. Зона определяет границу, на которую накладываются ограничения политики при переходе трафика в другую область сети.
Ключевые понятия#
Зона должна быть сконфигурирована до назначения ей интерфейса, а интерфейс может быть назначен только одной зоне.
Весь трафик, входящий на интерфейс и исходящий с интерфейса разрешен в зоне.
Весь трафик между зонами регулируется существующими политиками.
Трафик не может проходить между интерфейсом, входящим в зону, и любым интерфейсом, не входящим в нее.
Для определения движения трафика необходимы два отдельных межсетевых экрана - по одному на каждое направление движения.
Далее представлен пример с предоставлением доступа по протоколу SSH к маршрутизатору.
Настройка#
Пример настройки#
Пример создания правил межсетевого экрана для предоставлением доступа по протоколу SSH к маршрутизатору.
Создание правил межсетевого экрана:
set firewall name lan-local default-action 'drop'
set firewall name lan-local rule 1 action 'accept'
set firewall name lan-local rule 1 state established 'enable'
set firewall name lan-local rule 1 state related 'enable'
set firewall name lan-local rule 2 action 'drop'
set firewall name lan-local rule 2 state invalid 'enable'
set firewall name lan-local rule 2 log enable
set firewall name lan-local rule 100 action 'accept'
set firewall name lan-local rule 100 destination port '22'
set firewall name lan-local rule 100 log 'enable'
set firewall name lan-local rule 100 protocol 'tcp'
set firewall name local-lan default-action 'drop'
set firewall name local-lan rule 1 action 'accept'
set firewall name local-lan rule 1 state established 'enable'
set firewall name local-lan rule 1 state related 'enable'
set firewall name local-lan rule 2 action 'drop'
set firewall name local-lan rule 2 state invalid 'enable'
set firewall name local-lan rule 2 log enable
set firewall name local-lan rule 100 action 'accept'
set firewall name local-lan rule 100 destination address '192.168.0.0/24'
set firewall name local-lan rule 100 log 'enable'
set firewall name local-lan rule 100 protocol 'tcp'
Настройка политики фильтрации на основе зон:
set zone-policy zone lan default-action 'drop'
set zone-policy zone lan description 'Local Area Network'
set zone-policy zone lan interface 'eth2'
set zone-policy zone lan from local firewall name 'lan-local'
set zone-policy zone local default-action 'drop'
set zone-policy zone local description 'system-defined zone'
set zone-policy zone local from lan firewall name 'local-lan'
set zone-policy zone local local-zone
Список команд#
Создание зоны#
Примечание
Прежде, чем применить набор правил к зоне, необходимо ее создать путем определения состава сетевых интерфейсов, входящих в нее.
- • set zone-policy zone <name> interface <interfacenames>#
Определяет состав сетевых интерфейсов <interfacenames>, входящих в зону <name>. Каждая зона может содержать несколько сетевых интерфейсов, но каждый сетевой интерфейс может входить только в одну зону.
- • set zone-policy zone <name> local-zone#
Определяет зону <name> как локальную. Локальная зона не имеет интерфейсов и соответствует самому устройству.
- • set zone-policy zone <name> default-action [drop | reject]#
Определяет действие по умолчанию [drop | reject] для зоны <name>.
- • set zone-policy zone <name> description <text>#
Добавляет текстовое описание <text> для созданной зоны <name>.
Применение набора правил к зоне#
- • set zone-policy zone <name-1> from <namе-2> firewall name <rule-set>#
Применяет набор правил фильтрации IPv4 трафика <rule-set> из одной зоны <name-1> в другую <name-2>.
- • set zone-policy zone <name> from <name> firewall ipv6-name <rule-set>#
Применяет набор правил фильтрации IPv6 трафика <rule-set> из одной зоны <name-1> в другую <name-2>.
Примечание
Набор правил всегда применяется к определенной зоне с учетом другой зоны, откуда ожидается трафик, то есть к паре зон. Рекомендуется применять по одному набору правил к каждой паре зон.