Зоны

Обзор

Зона доступа объединяет в себе несколько интерфейсов и делит сетевую инфраструктуру на сегменты с разным уровнем доступа для трафика. На границах зоны устанавливаются правила фильтрации. Когда трафик переходит из одной зоны в другую, межсетевой экран проверяет пакеты на соответствие заданным правилам.

Поток LOCAL также можно настроить как зону доступа. Это позволит дополнительно защитить входящие и исходящие соединения для процессов внутри маршрутизатора Факел.

Ряд особенностей при настройке зон:

  • Сначала необходимо создать зону, а затем добавить в нее интерфейс;

  • Один интерфейс может быть назначен только одной зоне;

  • На интерфейсе должен быть разрешен входящий и исходящий трафик;

  • Движение трафика между зонами зависит от заданных наборов правил;

  • Только интерфейсы внутри зоны могут общаться друг с другом. Интерфейсы вне зоны не смогут связаться с интерфейсами внутри зоны;

  • Необходимо задать отдельные наборы правил на границах зон для входящего и исходящего трафика.

Совет

Рекомендуем настраивать зоны зеркально и создавать один набор правил для каждой пары зон.

Пример настройки

Шаг

Команда

Описание

  1. Настроить интерфейсы Ethernet

set interfaces ethernet eth0 address dhcp

DHCPv4-сервер автоматически назначит IPv4-адрес интерфейсу Ethernet eth0

set interfaces ethernet eth1 address 192.168.1.1/24

Назначает интерфейсу Ethernet eth1 диапазон IPv4-адресов с префиксом подсети 192.168.1.1/24

set interfaces ethernet eth2 address 192.168.2.1/24

Назначает интерфейсу Ethernet eth2 диапазон IPv4-адресов с префиксом подсети 192.168.2.1/24

  1. Создать зоны доступа

set firewall zone WAN description Internet

Создает зону доступа с именем WAN и добавляет описание Internet

set firewall zone WAN interface eth0

Добавляет в зону WAN интерфейс eth0

set firewall zone LAN description Local network

Создает зону доступа с именем LAN и добавляет описание Local network

set firewall zone LAN interface eth1

Добавляет в зону доступа LAN интерфейс eth1

set firewall zone LAN interface eth2

Добавляет в зону доступа LAN интерфейс eth2

  1. Настроить движение трафика из зоны LAN в WAN

set firewall ipv4 name LAN-to-WAN default-action drop

Создает набор правил с именем LAN-to-WAN и по умолчанию отбрасывает IPv4-трафик при переходе из зоны LAN в WAN

set firewall ipv4 name LAN-to-WAN rule 10 action accept

Создает набор правил с именем LAN-to-WAN, создает правило с порядковым номером 10 и принимает IPv4-трафик при переходе из зоны LAN в WAN

set firewall ipv4 name LAN-to-WAN rule 10 state established enable

Добавляет в набор правил с именем LAN-to-WAN правило с порядковым номером 10 и разрешает трафику от установленных соединений переходить из LAN в WAN

set firewall ipv4 name LAN-to-WAN rule 10 state related enable

Добавляет в набор правил с именем LAN-to-WAN правило с порядковым номером 10 и разрешает трафику от производных соединений переходить из LAN в WAN

set firewall ipv4 name LAN-to-WAN rule 20 action accept

Добавляет в набор правил с именем с именем LAN-to-WAN правиол с порядковым номером 20 и принимает IPv4-трафик при переходе из зоны LAN в WAN

set firewall ipv4 name LAN-to-WAN rule 20 description Allow DNS, HTTP, HTTPS, Email

Добавляет в набор правил с именем LAN-to-WAN правило с порядковым номером 20 и добавляет описание Allow DNS, HTTP, HTTPS, Email

set firewall ipv4 name LAN-to-WAN rule 20 protocol tcp_udp

Добавляет в набор правил с именем LAN-to-WAN правило с порядковым номером 20 и выбирает соединения по протоколам TCP и UDP

set firewall ipv4 name LAN-to-WAN rule 20 destination port 53,80,443,465,587,993,995

Добавляет в набор правил с именем LAN-to-WAN правило с порядковым номером 20 и указывает порты назначения 53,80,443,465,587,993,995

  1. Настроить движение трафика из зоны WAN в LAN

set firewall ipv4 name WAN-to-LAN default-action drop

Создает набор правил с именем WAN-to-LAN и по умолчанию отбрасывает трафик при переходе из WAN в LAN

set firewall ipv4 name WAN-to-LAN rule 10 action accept

Создает набор правил с именем WAN-to-LAN, создает правило с порядковым номером 10 и принимает трафик при переходе из WAN в LAN

set firewall ipv4 name WAN-to-LAN rule 10 state established enable

Добавляет в набор правил с именем WAN-to-LAN правило с порядковым номером 10 и разрешает трафику от установленных соединений переходить из WAN в LAN

set firewall ipv4 name WAN-to-LAN rule 10 state related enable

Добавляет в набор правил с именем WAN-to-LAN правило с порядковым номером 10 и разрешает трафику от производных соединений переходить из WAN в LAN

  1. Применить набор правил к зоне

set firewall zone LAN from WAN firewall name WAN-to-LAN

Применяет к зоне с именем LAN from WAN набор правил WAN-to-LAN

set firewall zone WAN from LAN firewall name LAN-to-WAN

Применяет к зоне с именем WAN from LAN набор правил WAN-to-LAN

Список команд

Режим «Конфигурирование»


firewall zone <name>

Описание:
Создает зону с указанным именем.

Синтаксис:

  • set firewall zone <name>

  • delete firewall zone <name>

  • show firewall zone

Аргументы:

  • <name>— имя зоны.

Режим: «Конфигурирование».

firewall zone <name> interface <interface>

Описание:
Добавляет интерфейс в состав зоны.

Синтаксис:

  • set firewall zone <name> interface <interface>

  • delete firewall zone <name> interface <interface>

  • show firewall zone <name> interface

Аргументы:

  • <name>— имя зоны;

  • <interface> — имя интерфейса, который будет добавлен с состав зоны.

Режим: «Конфигурирование».

firewall zone <name> local-zone

Описание:
Использует поток LOCAL в качестве зоны. Позволяет настраивать фильтрацию входящих и исходящих соединений для процессов внутри маршрутизатора Факел. В локальную зону нельзя добавить интерфейсы. Создать можно только одну локальную зону.

Синтаксис:

  • set firewall zone <name> local-zone

  • delete firewall zone <name> local-zone

  • show firewall zone <name>

Аргументы:

  • <name>— имя локальной зоны.

Режим: «Конфигурирование».

firewall zone <name> default-action [drop | reject]

Описание:
Устанавливает действие по умолчанию для трафика, адресованного выбранной зоне. Действия по умолчанию автоматически не применяются к трафику из зоны источника.

Синтаксис:

  • set firewall zone <name> default-action [drop | reject]

  • delete firewall zone <name> default-action [drop | reject]

  • show firewall zone <name> default-action

Аргументы:

  • <name>— имя зоны;

  • <drop> — отбрасывает пакет без оповещения. Значение по умолчанию;

  • <reject> — отбрасывает пакет и оповещает отправителя.

Режим: «Конфигурирование».

firewall zone <name> default-log

Описание:
Включает журналирование для выбранной зоны тогда, когда применяется действие по умолчанию.

Синтаксис:

firewall zone <name> default-log firewall zone <name> default-log firewall zone <name> default-log

Аргументы:

  • <name> — имя зоны.

Режим: «Конфигурирование».

firewall zone <name> description <text>

Описание:
Добавляет описание выбранной зоне.

Синтаксис:

  • set firewall zone <name> description <text>

  • delete firewall zone <name> description <text>

  • show firewall zone <name> description

Аргументы:

  • <name> — имя зоны;

  • <text> — описание зоны.

Режим: «Конфигурирование».

firewall zone <destination-zone> from <source-zone> firewall name <ipv4-rule-set-name>

Описание:
Применяет набор правил фильтрации к пакетам IPv4, когда трафик переходит из зоны источника в зону назначения.

Синтаксис:

set firewall zone <destination-zone> from <source-zone> firewall name <ipv4-rule-set-name> delete firewall zone <destination-zone> from <source-zone> firewall name <ipv4-rule-set-name> show firewall zone <destination-zone> from <source-zone> firewall name

Аргументы:

  • <destination-zone> — имя зоны назначения;

  • <source-zone> — имя зоны источника;

  • <ipv4-rule-set-name> — имя набора правил фильтрации для пакетов IPv4. Задается командой set firewall ipv4 name <name> rule <1-999999> […]

Режим: «Конфигурирование».

firewall zone <destination-zone> from <source-zone> firewall ipv6-name <ipv6-rule-set-name>

Описание:
Применяет набор правил фильтрации к пакетам IPv6, когда трафик переходит из зоны источника в зону назначения.

Синтаксис:

  • set firewall zone <destination-zone> from <source-zone> firewall ipv6-name <ipv6-rule-set-name>

  • delete firewall zone <destination-zone> from <source-zone> firewall ipv6-name <ipv6-rule-set-name>

  • show firewall zone <destination-zone> from <source-zone> firewall ipv6-name

Аргументы:

  • <destination-zone> — зона назначения;

  • <source-zone> — зона источника;

  • <ipv6-rule-set-name> — имя набора правил фильтрации для пакетов IPv6. Задается командой set firewall ipv6 name <name> rule <1-999999> […]

Режим: «Конфигурирование».

Режим «Администрирование»


show firewall zone-policy

Описание:
Отображает сводную информацию о всех зонах на межсетевом экране.

Синтаксис:

  • show firewall zone-policy

Режим: «Администрирование».

Уровень привилегий: «Администратор».

show firewall zone-policy zone <zone>

Описание:
Отображает сводную информацию о конкретной зоне на межсетевом экране.

Синтаксис:

show firewall zone-policy zone <zone>

Аргументы:

  • <zone> — имя зоны.

Режим: «Администрирование».

Уровень привилегий: «Администратор».