Ana Sayfa / Genel / UniFi – USG Firewall: Güvenlik Duvarı Kurallarına Giriş

UniFi – USG Firewall: Güvenlik Duvarı Kurallarına Giriş

UniFi – USG Firewall: Güvenlik Duvarı Kurallarına Giriş

Genel bakış

Bu makale, UniFi Ağ Denetleyicisindeki güvenlik duvarı kurallarının nerede ve nasıl yapılandırılacağını açıklar ve güvenlik duvarının UniFi – USG Firewall: Güvenlik Duvarı Kurallarına Giriş USG ile nasıl yönetileceği hakkında bazı öneriler sunarBu makale tüm USG modelleri için geçerlidir.

İçindekiler


  1. Giriş
  2. UniFi’de Güvenlik Duvarı Kurallarını Anlama
  3. Yerel, Giriş ve Çıkış Kuralları
  4. Önceden Tanımlanmış LAN, Konuk ve WAN Kuralları
  5. İlgili Makaleler

Giriş

UniFi Güvenlik Ağ Geçidi (USG), yöneticilere, UniFi ağlarını yönetmeleri için ağ güvenliği sağlamak için güvenlik duvarı kuralları oluşturma ve yönetme yeteneği de dahil olmak üzere birçok yararlı özellik sunar. Bu kılavuz UniFi Controller‘da güvenlik duvarı kurallarının nasıl yapılandırılacağını ve USG’yi kullanarak güvenlik duvarını yönetmek için bazı öneriler sunacaktır.

Yeni bir kural oluşturulduğunda, listedeki konumunun – önceden tanımlanmış kurallardan önce veya sonra, güvenlik duvarı kuralları yukarıdan aşağıya sırayla işlendiğinden büyük bir fark yaratacağına dikkat etmek önemlidir. Bir kural oluşturulursa, ancak önceden tanımlanmış kuralların eşleştiği trafiğe uygulanması amaçlanan önceden tanımlanmış kuralların ardından yerleştirilirse , bu kural hiçbir zaman eşleştirilmez. Bu akılda tutularak, LAN IN’deki “reddet” veya “bırakma” kuralları, önceden tanımlanmış “izin ver” kurallarının her şeyle eşleşeceğinden, eşleşmek için her zaman önceden tanımlanmış kuralların üstüne gelmelidir.
Güvenlik duvarı kurallarının VLAN arası yönlendirmeyi engelleyecek şekilde nasıl yapılandırılacağı hakkında bilgi için aşağıdaki İlgili Makalelerimize bakın.

UniFi’de Güvenlik Duvarı Kurallarını Anlama

UniFi Ağ Denetleyicisi’nde Güvenlik Duvarı Kurallarını yapılandırmak için,  Ayarlar> Yönlendirme ve Güvenlik Duvarı> Güvenlik Duvarı’nın gösterildiği gibi gidin:

Kurallar şu anda ağ türüne göre üç grupta gruplandırılmıştır: WAN , LAN ve GUEST . Kontrol cihazında tanımlanan şirket tipi ağlar LAN kurallarını, Misafir tipi ağlar GUEST kurallarını ve USG’nin Özellikler panelindeki USG Yapılandırmasında tanımlanan WAN’ları WAN  kurallarını kullanır. UGS’nin özellikler panelini görmek için  Kontrol Cihazının Cihazlar bölümüne gidin , Özellikler panelini açmak için USG’ye tıklayın ve ardından  Yapılandırsekmesi. Aynı kural bu tipteki tüm arayüzlere uygulanır. Bu, belirli bir arayüz için bir kural setine alışmış olanlara biraz kafa karıştırıcı olabilir, ancak aynı şeyler her iki metodolojiyle de yapılabilir. IN / OUT / LOCAL yaklaşımı daha genel ayrıntı düzeyi sağlar.

 

Yerel, Giriş ve Çıkış Kuralları

WAN YEREL / LAN YEREL / KONUK YEREL

YEREL kurallar, USG’nin arayüzüne yönlendirilen trafik için kendilerine hitap eder .
LAN
Bir Kurumsal Ağ  192.168.1.1/24 bir LAN IP ile yapılandırma:
192.168.1.1 IP adresindeki adresleri olan ana bilgisayarlardan kaynaklanan trafik, 192.168.1.1’e yazılmıştır.
BİTİK
USG’nin 1.1.1.1 WAN IP’sine sahip olduğu bir yapılandırma:
1.1.1.1 varış noktasıyla İnternet’teki ana bilgisayarlardan kaynaklanan trafik ve bir hedef bağlantı noktası veya protokol WAN_LOCAL kapsamında kurallara varacaktır.
Konuk
Bir  Misafir Ağ 192.168.2.1/24 bir LAN IP ile yapılandırma:
192.168.2.1 IP adresindeki 192.168.2.2-254 IP aralığında adresleri olan konuk ev sahiplerinden kaynaklanan trafik GUEST_LOCAL altındaki kurallara uyacaktır.

WAN GİRİŞİ / LAN GİRİŞİ / KONUK GİRİŞİ

IN kuralları, söz konusu arayüze / arayüzlere giren ve farklı bir arayüz oluşturan trafiğe uygulanır.
LAN
Kurallar , başka herhangi bir ağa yönlendirilen orporate Ağ  LAN’larındaki ana bilgisayarlardan başlatılan trafiğe uygulanır (en çok Internet’tir, ancak VLAN’lar ile LAN / LAN2 arasında yönlendirilmiş trafik).
BİTİK
WAN_IN kapsamındaki kurallar, USG LAN üzerindeki ana bilgisayarlara gönderilen dönüş trafiğiyle tipik olarak uygulanır. Bazen yeni veya istenmeyen trafik de bu kural kümesinde filtrelenir.
Konuk
Kurallar  , başka bir ağa yönlendirilen Konuk Ağ LAN’larındaki ana bilgisayarlardan başlatılan trafiğe uygulanır (en çok Internet’tir, ayrıca VLAN’lar ve LAN / LAN2 arasında yönlendirilmiş trafik).

WAN ÇIKIŞI / LAN ÇIKIŞI / KONUK ÇIKIŞI

OUT kuralları, söz konusu arayüzleri bırakan trafik için geçerlidir. Varsayılan OUT kuralları tüm trafiğe izin verir, filtreleme “IN” yönünde yapılmalıdır. Sadece OUT’da engellenecekse, IN yolunda trafik aktarmasına gerek yoktur. Trafiği mümkün olan en kısa sürede kesmek ve gerekenden daha fazla kaynak tüketmemesi en iyi yöntemdir. Bir OUT kuralının belirli bir hedefe daha uygun olabileceği nadir durumlar vardır, ancak çoğu zaman IN kurallarının kullanılması gerekir.
Yön için, USG perspektifinden düşünün :  IN trafiği, arayüze giren trafiktir (ve farklı bir arayüz bırakmaya mahkumdur). YEREL, USG’nin arayüz adresine yönlendirilen arayüze giren trafiktir. OUT bu arayüzü terk eden ve o ağdaki bir cihaza yönlendirilen trafiktir.

Önceden Tanımlanmış LAN, Konuk ve WAN Kuralları

LAN

Denetleyicide görünmese de, üç LAN kural kümesinin her birinin varsayılan bir “Kabul Et” eylemi vardır. UniFi yöneticileri, güvenlik ve / veya uyumun arttırılması için bir bırakma kuralı oluşturmak ve buna göre yerleştirmek zorunda kalabilir.

  • LAN_IN: Önceden tanımlanmış kurallar tüm trafiğe giden trafiğe kısıtlama olmadan izin verir: LAN’ları diğer LAN’lara, LAN’ları İnternet’e, hatta LAN’dan “Misafir” tipine kadar ağlara izin verir.
  • LAN_LOCAL:  Önceden tanımlanmış kurallar, “Şirket” tipi bir ağdaki herhangi bir ana makinenin USG’nin kendisindeki hizmetlere erişmesine izin verir (örn. SSH, DNS, RADIUS vb.).
  • LAN_OUT:  Önceden tanımlanmış kural, “Kurumsal” tür ağlarda ana makinelere yönlendirilen tüm gelen trafiğe izin verir.

Konuk

Denetleyicide görünmese de, GUEST_IN ve GUEST_OUT kural kümeleri varsayılan olarak “Kabul Et” işlemine sahiptir. GUEST_LOCAL varsayılan bir “bırakma” eylemine sahip.

  • Guest_IN:  Önceden tanımlanmış kurallar konuk portalının çalışması için gereken trafiğe izin verir; ancak kurumsal ağlara, “Konuk Denetimi” nde tanımlanan tüm kısıtlı ağlara ve uzak kullanıcı VPN alt ağlarına yönelik trafiği engeller. Diğer herkese izin verecek (İnternet trafiği için).
  • Guest_LOCAL: Önceden tanımlanmış kurallar, yönlendiriciye gönderilen USG’nin DNS, ping ve trafiğine izin verir . RADIUS kimlik doğrulama ve muhasebe trafiğine izin vermek için kurallar otomatik olarak GUEST_LOCAL’a eklenir.
  • Guest_OUT:  Önceden tanımlanmış kural, “Misafir” tipi ağlarda ana bilgisayarlara yönlendirilen tüm gelen trafiğe izin verir.

BİTİK

Yapılandırılmış bağlantı noktası yönlendirme trafiğine ve DPI engelleme yapılandırmasına yönelik trafiğe izin vermek için kurallar otomatik olarak WAN_IN’e eklenir. Yapılandırılmış uzak kullanıcı VPN ağları için trafiğe izin vermek için kurallar WAN_LOCAL’a otomatik olarak eklenir.

  • WAN_IN:  Önceden tanımlanmış kurallar yalnızca belirlenmiş / ilgili cevap trafiğine izin verir (örneğin, bir dahili ağdan başlatılan trafiğe cevap verir).
  • WAN_LOCAL:  Önceden tanımlanmış kurallar yalnızca USG’nin kendisine gelen yerleşik / ilgili trafiğe izin verir.
  • WAN_OUT: Önceden tanımlanmış kural, kabul edilen gizli bir varsayılan eylemdir.

 

Hakkında admin

Bu habere de bakabilirisiniz

Ubnt AirMax Powerbeam Ac Özellikler ve Datasheet

Entegre Radyo Tasarımı  Ubiquiti Powerbeam Ac, Ubiquiti’nin InnerFeed® teknolojisi, radyoyu bir antenin besleyicisine entegre eder, böylece …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir