Зона в NGFW — это логическое объединение сетевых интерфейсов. Политики безопасности NGFW используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности, а также существенно упрощает управление отказоустойчивым кластером. Зоны одинаковы на всех узлах кластера, то есть данная настройка является глобальной для кластера.
Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов, подключенных к сети партнера и т.п.
По умолчанию NGFW поставляется со следующими зонами:
Наименование
Описание
Management
Зона для подключения доверенных сетей, из которых разрешено управление NGFW.
Trusted
Зона для подключения доверенных сетей, например, LAN-сетей.
Untrusted
Зона для интерфейсов, подключенных к недоверенным сетям, например, к интернету.
DMZ
Зона для интерфейсов, подключенных к сети DMZ.
Cluster
Зона для интерфейсов, используемых для работы кластера.
VPN for Site-to-Site
Зона, в которую помещаются все клиенты типа Офис-Офис, подключаемые к NGFW по VPN.
VPN for remote access
Зона, в которую помещаются все мобильные пользователи, подключаемые к NGFW по VPN.
Tunnel inspection zone
Зона для инспектирования туннелей. Зона, которой будут принадлежать все адреса источников и назначения инкапсулированных в туннель пакетов.
Администраторы NGFW могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.
ПримечаниеМожно создать не более 255 зон.
Для создания зоны необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Создать зону.
Нажать на кнопку Добавить и дать название зоне
Шаг 2. Настроить параметры защиты зоны от DoS (опционально).
Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Агрегировать — если установлено, то считаются все пакеты, входящие в интерфейсы данной зоны. Если не установлено, то считаются пакеты отдельно для каждого IP-адреса.
Порог уведомления — при превышении количества запросов над указанным значением происходит запись события в системный журнал.
Порог отбрасывания пакетов — при превышении количества запросов над указанным значением NGFW начинает отбрасывать пакеты и записывает данное событие в системный журнал.
Рекомендованные значения для порога уведомления — 3000 запросов в секунду, для порога отбрасывания пакетов — 6000 запросов в секунду. Рекомендуется включать защиту от флуда на всех интерфейсах, за исключением интерфейсов зоны Cluster.
Необходимо увеличить пороговое значение отбрасывания пакетов для протокола UDP, если через интерфейсы зоны проходит трафик таких сервисов, как IP-телефония или L2TP VPN.
Исключения защиты от DoS — позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для сервиса IP-телефонии, так как он шлет большое количество UDP-пакетов.
Важно! NGFW позволят произвести более гранулированную защиту от DoS атак. Для получения дополнительной информации обратитесь в раздел Защита от DoS атак.
Шаг 3. Настроить параметры контроля доступа зоны (опционально).
Указать предоставляемые NGFW сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы.
Сервисы:
Ping — позволяет пинговать NGFW.
SNMP — доступ к NGFW по протоколу SNMP (UDP 161).
Captive-портал и страница блокировки — необходимы для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).
XML-RPC для управления — позволяет управлять продуктом по API (TCP 4040).
Кластер — сервис, необходимый для объединения нескольких узлов NGFW в кластер (TCP 4369, TCP 9000-9100).
VRRP — сервис, необходимый для объединения нескольких узлов NGFW в отказоустойчивый кластер (IP протокол 112).
Консоль администрирования — доступ к веб-консоли управления (TCP 8001).
DNS — доступ к сервису DNS-прокси (TCP 53, UDP 53).
HTTP(S)-прокси — доступ к сервису HTTP(S)-прокси (TCP 8090).
Агент авторизации — доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).
SMTP(S)-прокси — сервис фильтрации SMTP-трафика от спама. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика.
POP3(S)-прокси — сервис фильтрации POP3-трафика от спама. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика.
CLI по SSH — доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.
VPN — доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).
SCADA — сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.
Web-портал- сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN. Более подробно смотрите раздел Веб-портал.
Log Analyzer — сервис для подключения к анализатору журналов Log Analyzer (TCP 2023 и 9713).
OSPF — сервис динамической маршрутизации OSPF. Более подробно смотрите раздел OSPF.
BGP- сервис динамической маршрутизации BGP. Более подробно смотрите раздел BGP.
NTP service — разрешает доступ к сервису точного времени, запущенному на NGFW.
Сборщик логов — сервис для разрешения получения информации с удалённых устройств по протоколу Syslog (по умолчанию используется порт TCP 514). (Присутствует начиная с версии 7.1)
Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально).
Атаки на основе IP-спуфинга позволяют передать пакет из внешней сети, например, из Untrusted, во внутреннюю, например, в Trusted. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес внутренней сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес.
Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.
С помощью чекбокса Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, для зоны Untrusted можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 и включить опцию Инвертировать.