Professional Documents
Culture Documents
Network Security Essentials Study Guide Local EN-US-strony-1-100-PL
Network Security Essentials Study Guide Local EN-US-strony-1-100-PL
Szkolenie WatchGuard
Podstawy bezpieczeństwa sieci dla
Przewodnik po studiach
O tym dokumencie
Informacje zawarte w tym dokumencie mogą ulec zmianie bez powiadomienia. Firmy, nazwy i dane użyte w przykładach są fikcyjne, chyba że zaznaczono inaczej.
Żadna część tego dokumentu nie może być powielana ani przekazywana w jakiejkolwiek formie lub w jakikolwiek sposób, elektroniczny lub mechaniczny, w jakimkolwiek
O WatchGuardzie Adres
wszystkich typów i rozmiarów poprzez prostotę, dzięki czemu WatchGuard jest idealnym
www.watchguard.com/support Stany
Siedziba WatchGuard znajduje się w Seattle w stanie Waszyngton, a biura znajdują się w
Zjednoczone i Kanada +877.232.3531
Ameryce Północnej, Europie, regionie Azji i Pacyfiku oraz Ameryce Łacińskiej.
Wszystkie inne kraje +1.206.521.3575
Aby dowiedzieć się więcej, odwiedź WatchGuard.com.
Twitterze, @WatchGuard na Facebooku lub na stronie firmowej LinkedIn. Odwiedź także Obroty
nasz blog InfoSec, Secplicity, aby uzyskać aktualne informacje o najnowszych zagrożeniach i
Zawartość
Klucze funkcji 25
Ulepsz palenisko 28
Zasady Wprowadzenie 39
Rejestrowanie i monitorowanie 43
Rejestrowanie i powiadamianie 44
Synchronizacja zagrożeń 62
Ustawienia sieci 68
Interfejsy 71
Mosty sieciowe 76
Sieci drugorzędne 79
VLANy 82
Routing statyczny 90
NAT 1 do 1 128
Geolokalizacja 173
SpamBlocker 195
Uwierzytelnianie 222
Topologia 266
Dodatkowe zasoby dotyczące serwerów proxy i usług opartych na serwerach proxy 327
Informacje o egzaminie Podstawy zabezpieczeń sieci dla lokalnie zarządzanych Fireboxów 334
Skorzystaj z tego przewodnika w połączeniu ze szkoleniem prowadzonym przez instruktora, szkoleniem wideo online i demonstracjami oraz dokumentacją
Centrum pomocy WatchGuard, aby przygotować się do egzaminu.
Aby zapoznać się z listą zalecanej dokumentacji i zasobów wideo, które pomogą Ci przygotować się do egzaminu, zobacz Dodatkowe zasoby.
Aby uzyskać informacje na temat treści i formatu egzaminu, zobacz Informacje o egzaminie Network Security Essentials for Locally-Managed Fireboxes.
WatchGuard zapewnia szkolenia i kursy online, które pomogą Ci przygotować się do egzaminu Network Security
Essentials. Oprócz tego przewodnika, szkolenia i materiałów szkoleniowych zdecydowanie zalecamy zainstalowanie i
wdrożenie jednego lub kilku urządzeń Firebox z Fireware w wersji 12.9.2 lub nowszej oraz zarządzanie nimi przed
rozpoczęciem egzaminu.
Konwencje dokumentów
W tym dokumencie zastosowano następujące konwencje formatowania, aby wyróżnić określone typy informacji:
PRZYPADEK UŻYCIA:
To jest przypadek użycia. Opisuje, w jaki sposób można skonfigurować Firebox w rzeczywistym scenariuszu.
To jest ostrzeżenie. Przeczytaj uważnie. Istnieje ryzyko, że możesz utracić dane, naruszyć integralność
systemu lub wpłynąć na wydajność urządzenia, jeśli nie zastosujesz się do instrukcji lub zaleceń.
n Klawisze
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz Dodatkowe zasoby dotyczące konfiguracji i zarządzania Firebox.
WatchGuard zapewnia szkolenia i kursy online, które pomogą Ci przygotować się do egzaminu Network
Security Essentials. Oprócz tego przewodnika, szkolenia i materiałów szkoleniowych zdecydowanie
zalecamy zainstalowanie i wdrożenie jednego lub kilku urządzeń Firebox z Fireware w wersji 12.9.2 lub
nowszej oraz zarządzanie nimi przed rozpoczęciem egzaminu.
n Lokalnie zarządzane — Użyj kreatora konfiguracji, aby skonfigurować urządzenie. Po wstępnej konfiguracji użyj Fireware Web
UI lub WatchGuard System Manager do zarządzania konfiguracją.
n Zarządzanie w chmurze — Dodaj Firebox do WatchGuard Cloud i skonfiguruj go jako urządzenie zarządzane w chmurze. Kiedy Firebox
uruchamia się z domyślnymi ustawieniami fabrycznymi, łączy się z WatchGuard Cloud, aby pobrać swoją konfigurację.
W tym przewodniku opisano, jak korzystać z kreatorów konfiguracji, aby skonfigurować Firebox jako urządzenie zarządzane lokalnie z
podstawowymi ustawieniami sieciowymi i zalecanymi zasadami.
Firebox musi mieć klucz funkcji, aby kreatorzy konfiguracji mogli skonfigurować wszystkie funkcje i licencjonowane
usługi. Firebox może automatycznie pobrać klucz funkcji lub dodać go ręcznie podczas uruchamiania kreatorów
instalacji.
Aktywacja paleniska
Zanim skonfigurujesz nowy Firebox, musisz go aktywować na stronie WatchGuard. Aby aktywować Firebox, przejdź do www.watchguard.com/
activate.
Ustawienia Fabryczne
Nowy Firebox jest dostarczany z domyślnymi ustawieniami fabrycznymi. Możesz także zresetować Firebox do domyślnych ustawień fabrycznych, jeśli
niezbędny.
n Po uruchomieniu Kreatora konfiguracji sieci Web lub Kreatora szybkiej instalacji należy
podłączyć komputer do interfejsu 24 lub do sieci podłączonej do interfejsu 24
n Po uruchomieniu Kreatora konfiguracji sieci Web lub Kreatora szybkiej instalacji należy podłączyć
komputer do interfejsu 32 lub do sieci podłączonej do interfejsu 32
Bezprzewodowe — Firebox n W oprogramowaniu Fireware w wersji 12.5.3 i nowszych łączność bezprzewodowa jest włączona z tymi domyślnymi sieciami Wi-Fi
n Zaufany interfejs
Przy domyślnych ustawieniach fabrycznych Firebox umożliwia zarządzanie połączeniami na dowolnym zaufanym lub opcjonalnym interfejsie.
Ponieważ interfejs 1 (Eth1) jest domyślnie włączony jako serwer DHCP, zalecamy podłączenie komputera zarządzającego do interfejsu 1 w celu
uruchomienia kreatorów konfiguracji. Firebox umożliwia również jedno połączenie wychodzące z zaufanej sieci do dowolnej sieci zewnętrznej.
W przypadku bezprzewodowego Fireboxa z Fireware w wersji 12.5.3 lub nowszej możesz także połączyć się przez Wi-Fi, aby uruchomić kreatora
konfiguracji. Zobacz na naklejce dołączonej do Firebox domyślny identyfikator SSID i hasło sieci Wi-Fi.
Kreatory konfiguracji
Kiedy Firebox uruchamia się z domyślnymi ustawieniami fabrycznymi, możesz połączyć się z Firebox i uruchomić Web Setup Wizard, aby
skonfigurować Firebox. Kreatora konfiguracji sieci można uruchomić z dowolnego komputera wyposażonego w przeglądarkę internetową.
Aby uruchomić Kreatora konfiguracji sieci Web, w przeglądarce internetowej wpisz https://10.0.1.1:8080. Jeśli interfejs zewnętrzny jest podłączony
do sieci z dostępem do Internetu, kreator konfiguracji sieciowej może aktywować Firebox i pobrać wymagany klucz funkcyjny.
Kreator szybkiej instalacji jest elementem programu WatchGuard System Manager, za pomocą którego można wykryć i skonfigurować Firebox. Aby
uruchomić Kreatora szybkiej instalacji, w Menedżerze systemu WatchGuard wybierz Narzędzia > Kreator szybkiej konfiguracji.
Kreator szybkiej instalacji nie pomaga w aktywacji urządzenia, ale udostępnia dodatkowe opcje konfiguracji sieci, które nie są
dostępne w Kreatorze konfiguracji sieciowej, takie jak opcjonalna konfiguracja interfejsu.
W Kreatorze szybkiej instalacji, jeśli skonfigurujesz interfejs zewnętrzny ze statycznym adresem IP, możesz
wybrać opcję używania tego samego adresu IP dla zaufanego interfejsu. To konfiguruje Firebox w trybie Drop-In.
n Klucz funkcji — Klucz funkcji jest wymagany do pełnej funkcjonalności Firebox i umożliwia kreatorowi konfiguracji
automatycznie konfigurować usługi subskrypcji. o Jeśli Eth0
w Firebox jest podłączony do sieci z dostępem do Internetu, kreatorzy konfiguracji automatycznie pobiorą klucz funkcji z
WatchGuard.
o Jeśli Firebox nie ma dostępu do Internetu, musisz ręcznie skopiować klucz funkcji i wkleić go do kreatora instalacji. Aby otrzymać
klucz funkcji, zaloguj się do portalu WatchGuard, wybierz Centrum pomocy > Zarządzaj produktami i wyszukaj urządzenie
Firebox według numeru seryjnego. Na stronie Szczegóły produktu kliknij Uzyskaj klucz funkcji.
n Komputer z kartą interfejsu sieciowego Ethernet (lub Wi-Fi do połączenia z uruchomioną bezprzewodową Firebox
Fireware w wersji 12.5.3 lub
Przed uruchomieniem kreatora instalacji podłącz komputer zarządzający do Eth1. Podłącz Eth0 do sieci z dostępem do Internetu.
Domyślnie interfejs zewnętrzny używa DHCP do żądania adresu IP, aby Firebox mógł połączyć się z Internetem.
Aby utworzyć nową konfigurację dla lokalnie zarządzanego Fireboxa, połącz się z Fireboxem za pomocą jednego z kreatorów instalacji i
wybierz metodę konfiguracji New Configuration.
W obu kreatorach konfiguracji można skonfigurować podstawowe ustawienia sieci dla Eth0 i Eth1 oraz ustawić hasła dla kont
użytkowników administracyjnych. Kreatorzy konfigurują zasady i usługi z zalecanymi ustawieniami, aby zezwalać tylko na połączenia
wychodzące.
W oprogramowaniu Fireware w wersji 12.5.3 i nowszych kreatory konfiguracji zawierają opcje konfiguracji ustawień sieci bezprzewodowej.
Kreator konfiguracji skonfiguruje interfejs bezprzewodowy jako członek zaufanego mostu sieciowego, który zawiera również interfejs 1. Most
korzysta z ustawień zaufanej sieci skonfigurowanych w kreatorze konfiguracji.
n Cloud Managed — Skonfiguruj ustawienia sieciowe, aby Firebox mógł połączyć się z WatchGuard Cloud w celu pobrania
konfiguracja.
n RapidDeploy — Skonfiguruj ustawienia sieciowe, aby Firebox mógł połączyć się z WatchGuard w celu pobrania
konfiguracja stworzona dla RapidDeploy.
Kreatory konfiguracji automatycznie tworzą nową konfigurację z następującymi domyślnymi zasadami i usługami:
Zasady domyślne
n FTP-proxy n
HTTP-proxy n
HTTPS-proxy
n Portal certyfikatów WatchGuard
n Ping
n DNS
n Strażnik
n Wychodzące
n WebBlocker
n Brama antywirusowa
n Zapobieganie włamaniom
n Kontrola aplikacji n
n Blokowanie APT
n Wykrywanie botnetów
n Geolokalizacja
Terminy przychodzące i wychodzące odnoszą się do tego, czy połączenie sieciowe wychodzi, czy
wchodzi do sieci chronionej przez zaporę ogniową. Połączenia wychodzące pochodzą z chronionej sieci i kierują
ruch do sieci zewnętrznej. Połączenia przychodzące pochodzą z sieci zewnętrznej i łączą się z lokalizacją w sieci
wewnętrznej (chronionej).
Domyślne zasady zezwalają na wychodzące połączenia FTP, Ping, TCP i UDP i nie zezwalają na połączenia przychodzące.
Domyślne akcje proxy FTP, HTTP i HTTPS włączają usługi i umożliwiają rejestrowanie raportów.
Możesz także dodać swój Firebox do WatchGuard Cloud jako urządzenie zarządzane w chmurze, aby zarządzać
i monitorować urządzenie z WatchGuard Cloud. Jeśli skonfigurujesz Firebox jako urządzenie zarządzane w
chmurze, nie możesz korzystać z lokalnych narzędzi do zarządzania urządzeniami. Konfiguracja urządzeń
zarządzanych w chmurze wykracza poza zakres tego przewodnika.
W WSM możesz:
n Wstępnie skonfiguruj Firebox — utwórz nowy plik konfiguracyjny, który później zapiszesz w Firebox n
Zaktualizuj istniejącą konfigurację, zapisz zmiany w lokalnym pliku, a następnie wdróż je do Firebox, kiedy
są gotowi
n Automatycznie zapisuj kopię zapasową pliku konfiguracyjnego na komputerze podczas zapisywania konfiguracji
do paleniska
Możesz także użyć WSM, aby połączyć się z serwerem zarządzania WatchGuard w celu scentralizowanego
zarządzania Fireboxami. WatchGuard Management Server wykracza poza zakres tego przewodnika.
Instalujesz program WatchGuard System Manager na komputerze zarządzającym systemem Windows. Aby pobrać najnowszą wersję
WatchGuard System Manager, przejdź do www.watchguard.com/support i kliknij Pobierz oprogramowanie.
Fireware Web UI to oparte na przeglądarce narzędzie do zarządzania Firebox. Możesz połączyć się z interfejsem Fireware Web UI z przeglądarki
internetowej na dowolnym urządzeniu w sieci lokalnej.
Zmiany konfiguracji dokonane w interfejsie Fireware Web UI zaczynają obowiązywać natychmiast. W przeciwieństwie do WSM, nie zapisujesz zmian
w lokalnie przechowywanym pliku konfiguracyjnym i nie zapisujesz ich jednocześnie w Fireboxie. W Fireware Web UI podczas pracy zapisujesz
każdą zmianę w Fireboxie.
Kiedy zapisujesz zmianę konfiguracji Firebox z Fireware Web UI, zaktualizowany plik konfiguracyjny nie jest automatycznie zapisywany w pliku
lokalnym.
Jeśli używasz Fireware Web UI do modyfikowania konfiguracji, zalecamy ręczne zapisanie kopii konfiguracji w pliku przed i
po wprowadzeniu znaczących zmian.
Fireware Web UI może importować istniejące pliki konfiguracyjne XML, które zostały zapisane z Web UI lub zapisane
z Policy Manager za pomocą opcji Zapisz jako wersję .
Fireware zawiera również interfejs wiersza poleceń (CLI). Możesz użyć CLI do zarządzania Firebox przez interfejs sieciowy z połączeniem SSH
na porcie 4118 lub przez port szeregowy konsoli Firebox.
Chmura WatchGuard
W WatchGuard Cloud możesz dodać Firebox jako lokalnie zarządzane urządzenie. Zarządzasz konfiguracją urządzenia w WSM, Fireware Web UI
lub Command Line Interface. Możesz monitorować stan na żywo oraz wyświetlać komunikaty dziennika i raporty dla urządzeń zarządzanych
lokalnie, które dodajesz do chmury WatchGuard.
WatchGuard Cloud obsługuje tę funkcjonalność dla urządzeń zarządzanych lokalnie:
n Inicjowanie działań systemowych (RapidDeploy, aktualizacja oprogramowania układowego, tworzenie kopii zapasowych i
ponowne uruchamianie) n Monitorowanie stanu na żywo (status sieci, trasy, sieci VPN, użytkownicy itp.)
n Obraz kopii zapasowej zawiera plik konfiguracyjny i inne elementy unikalne dla określonego
Firebox i można go przywrócić tylko do tego samego Firebox
Pliki konfiguracyjne
Ustawienia konfiguracyjne Firebox są przechowywane w pliku konfiguracyjnym. Kiedy edytujesz konfigurację Firebox za pomocą Policy
Manager, zapisujesz również konfigurację Firebox w pliku lokalnym.
Plik konfiguracyjny urządzenia zawiera wszystkie dane konfiguracyjne, opcje, adresy IP i inne informacje
dotyczące Firebox. Na urządzeniu Firebox plik konfiguracyjny współpracuje z systemem operacyjnym Fireware
w celu kontrolowania przepływu ruchu przez urządzenie Firebox. Rozszerzenie pliku konfiguracji urządzenia to
xml .
W Fireware Web UI za każdym razem, gdy dokonujesz zmiany w konfiguracji, zmiana jest natychmiast zapisywana
w Firebox. Z interfejsu internetowego można również pobrać konfigurację do skompresowanego pliku
konfiguracyjnego (.gz). Możesz przywrócić wcześniej pobrany plik konfiguracyjny.
W WatchGuard System Manager możesz tworzyć i zapisywać pliki konfiguracyjne. Możesz przywrócić lub skopiować
plik konfiguracyjny Firebox na wiele urządzeń.
Przed wprowadzeniem większych zmian w konfiguracji Firebox zalecamy zapisanie kopii pliku konfiguracyjnego. Jeśli
masz problemy z nową konfiguracją, możesz otworzyć zapisaną kopię starej konfiguracji w Policy Manager i zapisać
ją z powrotem w Firebox.
Pliki konfiguracyjne nie zawierają tych elementów, które są unikalne dla określonego urządzenia:
n Klucze funkcyjne
n Użytkownicy i hasła n
Certyfikaty
Oprogramowanie układowe
Możesz skopiować lub przenieść plik konfiguracyjny utworzony na jednym Fireboksie do innego Fireboxa. Możesz nawet zapisać plik
konfiguracyjny w innym modelu Firebox. Jest to przydatne, jeśli zarządzasz wieloma urządzeniami i chcesz używać tej samej konfiguracji.
Jeśli przeprowadzasz migrację pliku konfiguracyjnego z jednego urządzenia Firebox do innego modelu z mniejszą
liczbą interfejsów, pamiętaj o przejrzeniu ustawień interfejsu sieciowego. Jeśli zapiszesz plik konfiguracyjny w
modelu z mniejszą liczbą interfejsów niż oryginalny Firebox, ustawienia konfiguracji dla dodatkowych
interfejsów zostaną usunięte.
W Policy Manager możesz wybrać Plik > Zapisz > Jako wersję , aby zapisać plik konfiguracyjny dla określonej wersji Fireware. Jest to
przydatne, gdy chcesz zapisać plik konfiguracyjny w Fireboksie z inną wersją Fireware lub użyć RapidDeploy (nie omówionego w tym
przewodniku).
Aby zapisać plik konfiguracyjny, który można przywrócić za pomocą interfejsu Fireware Web UI, podczas
zapisywania pliku z programu Policy Manager należy użyć opcji Plik > Zapisz > Jako wersja .
Menedżer zasad
n Możesz otworzyć plik konfiguracyjny aktualnie używany w palenisku lub plik konfiguracyjny zapisany na twoim
komputer lub sieć
Zmiany w konfiguracji dokonane w Policy Manager nie mają wpływu na działanie Firebox, dopóki nie zapiszesz pliku
konfiguracja do Fireboxa
Za każdym razem, gdy zapisujesz zmiany konfiguracji w Firebox, Policy Manager zapisuje kopię konfiguracji w pliku lokalnym. Domyślnie nazwa
pliku jest taka sama przy każdym zapisywaniu konfiguracji. Możesz zmienić nazwę pliku, aby nie nadpisać wcześniej zapisanego pliku
konfiguracyjnego. Aby skonfigurować Policy Manager do automatycznego zapisywania dodatkowej kopii pliku konfiguracyjnego ze
znacznikiem czasu, wybierz Plik > Zapisz > Zawsze twórz kopię zapasową.
konfiguracji odnoszą skutek w Firebox natychmiast po zapisaniu każdej zmiany n Kopia pliku konfiguracyjnego nie
Aby pobrać plik konfiguracyjny do pliku lokalnego lub przywrócić zapisaną konfigurację, wybierz kolejno System > Plik konfiguracyjny > Pobierz
plik konfiguracyjny.
Obraz kopii zapasowej to plik zawierający plik konfiguracyjny Firebox, klucz funkcji urządzenia, użytkowników,
certyfikaty i inne. Możesz użyć obrazu kopii zapasowej, aby przywrócić Firebox do poprzedniego stanu.
Obrazy kopii zapasowych są zapisywane w formacie pliku .fxi i przechowywane w Firebox. Możesz także wyeksportować
obraz kopii zapasowej do komputera zarządzającego w celu usprawnienia odzyskiwania po awarii.
Zalecamy zapisanie obrazu kopii zapasowej urządzenia Firebox przed aktualizacją oprogramowania.
Zachowaj adres IP zarządzania Firebox i poświadczenia dla zarządzających kont użytkowników w zapisanym obrazie
kopii zapasowej. Jeśli przywrócisz obraz kopii zapasowej, będziesz potrzebować tych informacji, aby połączyć
się z Firebox.
Plik konfiguracyjny
Certyfikaty _
Hasła _
n Klucz funkcji n
Obraz kopii zapasowej można przywrócić tylko na urządzeniu, z którego został utworzony. Nie można użyć
obrazu kopii zapasowej do przenoszenia konfiguracji i ustawień z jednego urządzenia na drugie.
Kiedy aktualizujesz wersję Fireware OS w Fireboxie, obraz kopii zapasowej jest automatycznie zapisywany w Fireboxie. Możesz także użyć
Policy Manager, Fireware Web UI i WatchGuard Cloud (lokalnie zarządzany Firebox), aby zapisać obraz kopii zapasowej Firebox.
WatchGuard Cloud — Konfiguruj > Urządzenia > Kopia zapasowa > Dodaj kopię zapasową
Ponieważ dostępna pamięć jest ograniczona, obrazy kopii zapasowych przechowywane w urządzeniu Firebox nie obejmują systemu operacyjnego
Fireware. Zawsze możesz pobrać różne wersje Fireware OS ze strony watchguard.com. Obrazy kopii zapasowych pozostają w Fireboksie, dopóki nie
zostaną usunięte ręcznie lub Firebox nie zostanie przywrócony do domyślnych ustawień fabrycznych.
Możesz wyeksportować obrazy kopii zapasowych z Firebox do komputera lub do katalogu w sieci lub innego podłączonego urządzenia pamięci masowej.
Ponieważ obraz kopii zapasowej zawiera poufne informacje, wyeksportowane obrazy kopii zapasowej są szyfrowane hasłem.
Zalecamy wyeksportowanie obrazu kopii zapasowej przed zresetowaniem Fireboksa do domyślnych ustawień fabrycznych.
Podczas eksportowania obrazu kopii zapasowej można wybrać dołączenie systemu operacyjnego Fireware. W niektórych przypadkach może to ułatwić
przywracanie.
Jeśli zresetujesz Firebox do domyślnych ustawień fabrycznych, wszystkie obrazy kopii zapasowych zostaną usunięte z Firebox. Jeśli
chcesz zresetować Firebox, ale nie chcesz usuwać obrazów kopii zapasowych, użyj polecenia CLI, aby przywrócić ustawienia fabryczne
Przywróć zapisany obraz kopii zapasowej, aby przywrócić Firebox do znanego poprzedniego stanu.
Nie próbuj przywracać obrazu kopii zapasowej utworzonego z innego Fireboxa. Każdy obraz kopii zapasowej jest unikalny dla
urządzenia, które go utworzyło. Obraz kopii zapasowej zawiera certyfikaty i klucze prywatne dla tego urządzenia.
Ponieważ ustawienia konfiguracyjne różnią się w zależności od wersji Fireware, każdy obraz kopii zapasowej jest zgodny tylko z wersją Fireware OS, z której został
zapisany. Możesz przywrócić dowolny obraz kopii zapasowej, który został zapisany w tej samej wersji systemu operacyjnego Fireware, co bieżąca wersja systemu
operacyjnego zainstalowana w urządzeniu Firebox.
n Aby przywrócić kopię zapasową obrazu zapisaną z nowszej wersji systemu operacyjnego Fireware, przed przywróceniem obrazu kopii zapasowej
n Aby przywrócić obraz kopii zapasowej, który został zapisany z niższej wersji systemu operacyjnego Fireware, należy obniżyć wersję
Firebox i wybierz obraz kopii zapasowej w ramach procesu obniżania wersji Fireware OS.
n Jeśli Firebox został zresetowany do ustawień fabrycznych, możesz użyć kreatora konfiguracji sieciowej lub połączyć się bezpośrednio z Firebox za pomocą
n W WatchGuard Cloud (lokalnie zarządzany Firebox) przywracanie jest dostępne tylko dla plików obrazów kopii zapasowych utworzonych za pomocą
oprogramowania Fireware w wersji 12.5.2 lub nowszej. Obrazy kopii zapasowych utworzone za pomocą oprogramowania Fireware w wersji 12.5.1
lub niższej mogą być widoczne w WatchGuard Cloud, ale nie można ich przywrócić.
n W WatchGuard Cloud (lokalnie zarządzany Firebox), jeśli wersja Fireware OS pliku kopii zapasowej różni się od wersji zainstalowanej
w Firebox, WatchGuard Cloud automatycznie aktualizuje lub obniża wersję systemu operacyjnego w Firebox do tej samej wersji w
obrazie kopii zapasowej.
Możesz użyć administracji opartej na rolach, aby podzielić obowiązki konfiguracji i monitorowania swojego Fireboxa między
kilka osób w Twojej organizacji. Utwórz osobne konta użytkowników dla każdego użytkownika administracyjnego, aby móc
uruchamiać raporty z audytu w celu monitorowania, kto wprowadza zmiany w konfiguracji urządzenia.
Rola użytkownika konta administratora określa, czy użytkownik może zapisywać zmiany w konfiguracji urządzenia. Domyślnie Twój Firebox
zawiera następujące domyślne konta i role użytkowników:
wg-wsparcie Wyłączony
Zalecamy dodanie osobnych kont dla każdego użytkownika, który może logować się do Firebox. Przypisz każdemu
użytkownikowi rolę, która określa jego poziom dostępu.
Role administracyjne
Zaloguj się jako administrator urządzenia, aby zarządzać użytkownikami i rolami w Firebox System Manager lub Fireware Web UI.
Rola Uprawnienia
Administrator urządzenia (uprawnienia do odczytu i zapisu) Może przeglądać konfigurację i zapisywać zmiany
Monitor urządzeń (uprawnienia tylko do odczytu) Może wyświetlać konfigurację, ale nie może zapisywać zmian
Więcej niż jeden Monitor urządzeń może łączyć się z Firebox w tym samym czasie. Ale jeśli chcesz zezwolić więcej niż
jednemu administratorowi urządzenia na logowanie się do Firebox w tym samym czasie, musisz włączyć opcję w
Ustawieniach globalnych. Aby uzyskać więcej informacji na temat ustawień globalnych, zobacz Ustawienia
globalne i NTP.
Serwery uwierzytelniające
Domyślnie użytkownicy administracyjni są zapisywani na serwerze autoryzacji Firebox-DB. Możesz także określić użytkowników na zewnętrznym
serwerze uwierzytelniania innej firmy, takim jak Active Directory.
n Firebox-DB
n Active Directory
n LDAP
n PROMIEŃ
n Identyfikator bezpieczeństwa
W przypadku zewnętrznych serwerów uwierzytelniających (nie Firebox-DB) pamiętaj o dodaniu konta użytkownika do serwera uwierzytelniającego
przed dodaniem konta użytkownika do Firebox.
Klucze funkcji
Nowy Firebox jest dostarczany z domyślnymi ustawieniami fabrycznymi bez zainstalowanego klucza funkcji. Musisz aktywować Firebox,
aby uzyskać klucz funkcji, który włącza licencjonowane funkcje i usługi.
subskrypcji n Nie można włączyć funkcji, takich jak routing dynamiczny, VPN, multi-wan i inne
Klucz funkcji włącza zestaw licencjonowanych funkcji w Firebox. Kiedy otrzymujesz nowe urządzenie, aktywujesz je na stronie internetowej
WatchGuard, aby utworzyć klucz funkcji, a następnie zainstaluj klucz funkcji na swoim urządzeniu, aby włączyć wszystkie funkcje
urządzenia. Możesz dodać klucz funkcji do Firebox z Kreatora szybkiej instalacji, Kreatora konfiguracji sieci Web, Menedżera zasad lub
interfejsu sieciowego Fireware. Kreatory konfiguracji automatycznie pobierają klucz funkcji dla aktywowanego Fireboxa.
Kiedy aktywujesz nową usługę, aktualizację lub odnowienie Firebox na stronie WatchGuard, tworzony jest zaktualizowany klucz funkcji.
Musisz zaktualizować Firebox o nowy klucz funkcji, zanim będziesz mógł skonfigurować licencjonowane funkcje.
Klucz funkcji obejmuje pozycję dla każdej licencjonowanej funkcji lub usługi. Niektóre funkcje, takie jak subskrypcje usług,
mają daty wygaśnięcia. Te funkcje wygasają i przestają działać w określonym dniu wygaśnięcia. Jeśli linia funkcji ma datę wygaśnięcia
nigdy, nigdy nie wygaśnie i zawsze będzie działać.
Aby zainstalować aktualizacje Fireware, Firebox musi mieć klucz funkcji z aktywną subskrypcją pomocy
technicznej. Nazywa się to usługą LiveSecurity w kluczu funkcji.
Upewnij się, że ustawienie Automatycznej synchronizacji klawiszy funkcji jest włączone, aby automatycznie
dodawać nowe usługi uruchomione w ramach Total Security.
Automatyczna synchronizacja klucza funkcji umożliwia Fireboxowi automatyczne sprawdzanie aktualizacji klucza funkcji, gdy usługi w
bieżącym kluczu funkcji wygasną w ciągu 7 dni. Automatyczna synchronizacja klawiszy funkcji jest domyślnie włączona, aby zapewnić, że
Twoje usługi nie zostaną przerwane podczas odnawiania subskrypcji. Synchronizacja automatycznie dodaje również wszelkie nowe
usługi uruchomione w ramach Total Security Suite.
Co 12 godzin Firebox sprawdza, czy jakakolwiek funkcja w kluczu funkcji wygaśnie w ciągu 7 dni. Jeśli tak, Firebox automatycznie pobiera
najnowszy klucz funkcji z WatchGuard co 12 godzin, aż pomyślnie pobierze klucz funkcji bez wygasłych funkcji.
Gdy zarządzasz Fireboxem, zobaczysz ostrzeżenia w tych lokalizacjach, jeśli klucz funkcji wkrótce wygaśnie:
n Panel przedni Fireware Web UI — wyświetla ostrzeżenie o wygaśnięciu klucza funkcji w prawym górnym rogu n Menedżer zasad —
wyświetla ostrzeżenie podczas zapisywania pliku konfiguracyjnego, jeśli funkcja wygaśnie w ciągu 90 dni
Ostrzeżenia pojawiają się również w kluczu funkcji, gdy zarządzasz kluczem funkcji w Policy Manager.
Aby zarządzać kluczem funkcji, w Policy Manager wybierz kolejno Konfiguracja > Klucz funkcji.
W tym miejscu możesz kliknąć Szczegóły , aby zobaczyć rzeczywisty tekst w pliku klucza funkcji.
Jeśli chcesz przywrócić klucz funkcji, możesz skopiować i wkleić szczegóły klucza funkcji z zapisanego pliku konfiguracyjnego lub portalu
WatchGuard do konfiguracji Firebox.
Na przykład, jeśli zapiszesz konfigurację urządzenia z nazwą pliku Przykład, Policy Manager zapisuje dwa pliki:
Ulepsz palenisko
Aby Firebox był zawsze na bieżąco z najnowszymi funkcjami bezpieczeństwa, należy okresowo aktualizować Fireware OS.
Web UI — Łatwiejszy w użyciu, jeśli masz tylko kilka urządzeń do aktualizacji n WatchGuard
Przed uaktualnieniem systemu operacyjnego Fireware upewnij się, że rozumiesz, co zawiera aktualizacja i że masz
pliki niezbędne do przejścia na poprzednią wersję, jeśli coś pójdzie nie tak.
n Przeczytaj informacje o wersji — zawierają one wszelkie specjalne uwagi dotyczące aktualizacji
Zaplanuj aktualizację w zaplanowanym oknie serwisowym — Firebox uruchamia się ponownie po aktualizacji
Jeśli używasz WatchGuard System Manager do administrowania Fireboxami, musisz zaktualizować WatchGuard System Manager
przed aktualizacją Fireboxów, którymi zarządza. Wersja WatchGuard System Manager, której używasz, musi być taka sama lub wyższa niż
wersja Fireware OS na każdym Fireboxie, którym zarządza.
Zanim użyjesz Policy Manager do aktualizacji Firebox, pobierz i zainstaluj te pliki aktualizacji na swoim komputerze zarządzającym:
n WatchGuard System Manager — Instaluje oprogramowanie do zarządzania WSM, w tym Policy Manager n Fireware
OS — Instaluje obraz aktualizacji systemu operacyjnego, którego Policy Manager używa do aktualizacji Firebox
Plik aktualizacji Fireware OS jest inny dla każdego modelu Firebox. Jeśli zarządzasz wieloma modelami
Firebox, musisz pobrać i zainstalować osobny plik aktualizacji Fireware OS dla każdego modelu.
Aby zaktualizować Firebox z Menedżera zasad, wybierz Plik > Uaktualnij. Menedżer zasad poprosi o zapisanie kopii konfiguracji.
Automatycznie zapisuje również obraz kopii zapasowej przed rozpoczęciem aktualizacji.
W Fireware Web UI proces aktualizacji jest prostszy, a Firebox może pobrać aktualizację bezpośrednio z WatchGuard. Strona
Uaktualnij system operacyjny pokazuje, czy dostępna jest nowa wersja systemu operacyjnego.
Aby pobrać i zainstalować aktualizację systemu operacyjnego, wybierz dostępną wersję. W razie potrzeby możesz także wybrać plik
aktualizacji systemu operacyjnego pobrany na komputer zarządzający. Proces aktualizacji automatycznie zapisuje obraz kopii zapasowej w
Firebox przed rozpoczęciem aktualizacji.
Po uaktualnieniu Firebox z Fireware Web UI, nadal musisz zaktualizować WatchGuard System Manager, zanim będziesz mógł otworzyć
konfigurację Firebox za pomocą Policy Manager.
Możesz zaktualizować oprogramowanie dla lokalnie zarządzanego Fireboxa w WatchGuard Cloud. Możesz natychmiast zaktualizować
oprogramowanie układowe lub zaplanować aktualizację na przyszły czas.
Pojedynczy Firebox musi działać z Fireware w wersji 12.5.2 lub nowszej, aby móc aktualizować oprogramowanie
z chmury WatchGuard.
W usłudze WatchGuard Cloud wybierz opcję Konfiguruj > Urządzenia > Aktualizacje oprogramowania układowego. W oknie Aktualizacje oprogramowania układowego kliknij opcję
W przypadku lokalnie zarządzanych Fireboxów, Firebox automatycznie tworzy kopię zapasową po aktualizacji oprogramowania
układowego z WatchGuard Cloud.
monitoruje pakiety w poszukiwaniu wzorców wskazujących na zagrożenie sieci. Jeśli istnieje ryzyko, możesz skonfigurować Firebox tak, aby automatycznie
n Zablokowane porty
n Zablokowane witryny
Domyślna ochrona przed zagrożeniami to pierwsza linia obrony, która ma pierwszeństwo przed skonfigurowanymi regułami polityki i innymi usługami.
Zablokowane porty
Domyślnie lista Zablokowane porty zawiera kilka portów związanych ze znanymi zagrożeniami. Możesz także ręcznie zablokować porty, o których wiesz, że
mogą zostać użyte do ataku na Twoją sieć. Uniemożliwia to określonym zewnętrznym usługom sieciowym łączenie się z Twoją siecią. Blokowanie
Firebox blokuje ruch przychodzący ze źródeł zewnętrznych korzystających z zablokowanych portów, ale te porty nie są blokowane dla ruchu wychodzącego.
WatchGuard zaleca przejrzenie domyślnej listy zablokowanych portów, aby upewnić się, że nie blokuje ona portów wymaganych dla
Zablokowane witryny
Zablokowana witryna to adres IP, który nie może nawiązać połączenia przez Firebox, niezależnie od skonfigurowanych zasad. Witryny mogą być
zablokowane na stałe lub tymczasowo. Możesz skonfigurować wyjątki dla witryn, których Firebox nigdy nie ma blokować.
Firebox wysyła wiadomość dziennika za każdym razem, gdy zablokowana witryna próbuje połączyć się z Twoją siecią. W pliku dziennika możesz zobaczyć
usługi, których źródła używają do przeprowadzania ataków.
Możesz skonfigurować Firebox tak, aby blokował adresy IP określonych witryn, które są źródłami podejrzanego ruchu.
Witryny zablokowane na stałe to witryny, które dodajesz do listy zablokowanych witryn w konfiguracji Firebox.
n Możesz blokować na podstawie adresu IP, adresu sieciowego, nazwy hosta lub FQDN.
Dodanie nazwy FQDN witryny, która ma dużą liczbę nazw domen i zmiana adresów IP (takich jak Facebook) do
listy zablokowanych witryn, zazwyczaj nie jest skutecznym sposobem blokowania ruchu w tych witrynach. WebBlocker
to skuteczniejsza metoda blokowania aplikacji, takich jak Facebook.
Firebox odrzuca połączenia z witryn, które są tymczasowo zablokowane, ale nie odrzuca połączeń z tymi witrynami.
Oprócz trwale zablokowanych witryn, które konfigurujesz na liście Zablokowane witryny, Firebox może również automatycznie blokować witrynę, co
dodaje witrynę do listy Zablokowanych witryn z czasem wygaśnięcia. Witryny blokowane automatycznie są tymczasowo blokowane do upływu czasu
wygaśnięcia. Firebox odrzuca połączenia z automatycznie blokowanych witryn, ale nie blokuje połączeń z automatycznie blokowanymi witrynami.
Ustawienie Czas trwania automatycznie blokowanych witryn określa, jak długo automatycznie blokowane witryny pozostają na liście zablokowanych witryn.
Domyślny czas trwania to 20 minut. Za każdym razem, gdy Firebox blokuje ruch z zablokowanej witryny, czas wygaśnięcia blokady jest resetowany. Możesz
myśleć o czasie trwania automatycznego blokowania jako o ciągłym czasie trwania, używanym do resetowania czasu wygaśnięcia automatycznie
blokowanej witryny.
Możesz także ręcznie dodać tymczasowo zablokowane witryny do listy zablokowanych witryn i określić czas wygaśnięcia. W Fireware Web UI lub
Firebox System Manager możesz edytować czas wygaśnięcia automatycznie blokowanej witryny:
Po ponownym uruchomieniu Firebox wszystkie tymczasowo zablokowane witryny zostaną usunięte z listy zablokowanych witryn.
Ta funkcja jest zwykle używana w przypadku wewnętrznych hostów i serwerów, których nigdy nie chcesz umieszczać na liście zablokowanych
witryn. W przypadku witryn znajdujących się na liście wyjątków zablokowanych witryn, Firebox omija kontrole domyślnej obsługi
pakietów, z wyjątkiem ataków związanych z fałszowaniem adresów IP i trasami źródłowymi adresów IP.
Jeśli Firebox blokuje połączenia z witryną, którą uważasz za bezpieczną, możesz ręcznie dodać tę witrynę do listy wyjątków zablokowanych witryn.
Używaj tej opcji ostrożnie, ponieważ Firebox pomija sprawdzanie domyślnej obsługi pakietów w poszukiwaniu witryn znajdujących się na liście
wyjątków zablokowanych witryn (z wyjątkiem ataków IP Spoofing i IP Source Route).
Domyślnie lista wyjątków zablokowanych witryn zawiera domyślne wyjątki dla serwerów, z którymi muszą łączyć się produkty WatchGuard i usługi
subskrypcyjne.
Domyślna obsługa pakietów automatycznie odrzuca lub blokuje ruch, który odpowiada wzorcowi dobrze znanych
ataków sieciowych.
Gdy Firebox odbiera pakiet, sprawdza adres IP i numer portu źródła i miejsca docelowego pakietu. Urządzenie monitoruje pakiety, aby
zidentyfikować wzorce, które mogą wskazywać na zagrożenie sieci. Proces ten nazywany jest domyślną obsługą pakietów.
Aby mieć pewność, że domyślna obsługa pakietów nie wpłynie na ruch z Twojego serwera poczty e-mail lub innego
serwera o dużym natężeniu ruchu, dodaj ten serwer do listy Wyjątki zablokowanych witryn.
n Odrzuć pakiet, który może stanowić zagrożenie dla bezpieczeństwa, w tym pakiety, które mogą być częścią ataku typu spoofing lub SYN
atak powodzi.
i dodaje witrynę do listy automatycznie blokowanych witryn o W przypadku większości typów ataków
o W przypadku skanowania portów i skanowania IP, Firebox automatycznie blokuje źródłowy adres IP.
Nieobsłużone pakiety
Nieobsługiwany pakiet to pakiet, który nie pasuje do żadnej ze skonfigurowanych zasad zapory. Domyślnie Firebox odrzuca wszystkie nieobsłużone
pakiety i generuje komunikat dziennika. Źródło nieobsługiwanych pakietów nie jest domyślnie automatycznie blokowane.
Aby automatycznie blokować wszystkie połączenia przychodzące z witryn wysyłających nieobsługiwane pakiety, w ustawieniach Domyślnej obsługi
pakietów wybierz opcję Automatycznie blokuj źródłowy adres IP nieobsługiwanych pakietów zewnętrznych.
Używaj tej opcji ostrożnie. Powoduje to, że Firebox blokuje cały ruch ze zdalnego hosta, jeśli pakiet, taki jak żądanie ping,
nie jest zgodny z polityką zapory.
Ustawienia ogólne
W Ustawieniach globalnych możesz skonfigurować ustawienia ogólne, globalne ustawienia sieciowe i wyłączenie odpowiedzialności dotyczącej logowania.
Ustawienia główne
Port interfejsu internetowego
Określa port używany do łączenia się z interfejsem Fireware Web UI. Domyślnie interfejs Fireware Web UI używa portu 8080.
Zaplanuj codzienne lub cotygodniowe ponowne uruchomienie Fireboxa. Ponowne uruchomienie może zwolnić pamięć RAM lub procesor i pomóc w
Opinia o urządzeniu
To ustawienie umożliwia Fireboxowi wysyłanie informacji zwrotnych do WatchGuard. WatchGuard wykorzystuje informacje zwrotne od urządzeń, aby
ulepszać produkty i funkcje oraz wypełniać nasz Raport bezpieczeństwa internetowego. Informacje zwrotne dotyczące urządzenia obejmują
statystyki usługi subskrypcji, ale nie zawierają żadnych informacji o Twojej firmie ani żadnych danych firmowych przesyłanych przez Firebox. Wszystkie
Raport o usterce
Włącz to ustawienie, aby raz dziennie automatycznie wysyłać raporty o błędach do WatchGuard. Wszystkie raporty o błędach wysyłane do WatchGuard są
szyfrowane. Twój Firebox zbiera i przechowuje informacje o usterkach, które wystąpiły w Twoim Fireboxie i generuje raporty diagnostyczne o usterkach.
n Nieudane twierdzenia
n Awarie programów n
sprzętowe
Jeśli to ustawienie jest wyłączone, tylko jeden administrator urządzenia może jednocześnie wprowadzać zmiany w dowolnym interfejsie zarządzania. Włącz to
ustawienie, aby umożliwić wielu użytkownikom z rolą administratora urządzenia jednoczesne logowanie się do Firebox. Gdy to ustawienie jest włączone,
administratorzy urządzeń, którzy logują się do interfejsu Fireware Web UI, muszą odblokować plik konfiguracyjny na każdej stronie, zanim będą mogli
wprowadzić zmiany.
To ustawienie umożliwia przeglądanie i konfigurowanie zasad kontrolujących ruch generowany przez Firebox. To ustawienie jest domyślnie wyłączone. W
To ustawienie ma duży wpływ na działanie Paleniska. Przed włączeniem tego ustawienia przeczytaj dokumentację,
aby upewnić się, że rozumiesz zmiany, które zachodzą po włączeniu tego ustawienia. Jeśli włączysz to
ustawienie, nieprawidłowa konfiguracja profilu może spowodować poważne problemy z działaniem Firebox. Na
przykład możesz utracić możliwość łączenia się z Firebox w celu zarządzania lub możesz spowodować awarię
usług subskrypcji.
Ustawienia sieciowe
Wiele globalnych ustawień sieciowych ma wartości domyślne ustawione na zalecane wartości. Zalecamy zachowanie ustawień domyślnych, chyba
że istnieje konkretny powód, aby je zmienić. Jest jedno ustawienie, które musisz zmienić, jeśli chcesz skonfigurować zarządzanie ruchem
i funkcje sieciowe QoS (jakość usług).
Nie zalecamy włączania tego ustawienia, chyba że konieczne jest wdrożenie zarządzania ruchem i QoS w Firebox. Włączenie tego
ustawienia będzie miało duży wpływ na wydajność Firebox.
W celu przetestowania wydajności lub debugowania sieci można wyłączyć funkcje zarządzania ruchem i QoS.
Jest jeszcze jedno ustawienie, które możesz chcieć zmienić, aby poprawić niezawodność wykrywania Path MTU (PMTU).
Ta opcja jest domyślnie wyłączona. Możesz zmienić ustawienie TCP MTU Probing na Enabled tylko wtedy, gdy zostaną wykryte
problemy z siecią ICMP, aby umożliwić Fireboxowi używanie sondowania TCP MTU jako metody dodatkowej, gdy sondowanie ICMP nie
powiedzie się. Ta zmiana poprawia niezawodność sieci, jeśli w sieci występują problemy z siecią ICMP i nie ma negatywnego wpływu,
gdy nie zostaną wykryte żadne problemy z siecią ICMP.
Włącz wyłączenie odpowiedzialności dotyczące logowania, aby określić komunikat z warunkami, na które użytkownicy muszą wyrazić zgodę,
zanim będą mogli zalogować się w celu zarządzania Firebox. W Policy Manager konfigurujesz to w ustawieniach globalnych. W Fireware Web UI
jest to osobne ustawienie systemowe.
Ważne jest, aby Firebox miał dokładny czas, aby komunikaty dziennika poprawnie pokazywały, kiedy wystąpiły zdarzenia.
Dokładny czas ma również kluczowe znaczenie dla:
Certyfikaty _
n VPN
n Usługi subskrypcyjne n
Gdy NTP jest włączone, możesz opcjonalnie włączyć Firebox jako serwer NTP, aby klienci w sieciach prywatnych mogli kontaktować się z
Firebox w celu synchronizacji czasu.
Zasady Wprowadzenie
Zasada zapory zezwala lub odrzuca połączenia, które odpowiadają następującym ustawieniom konfiguracji zasad:
Domyślne zasady zapory zezwalają na połączenia wychodzące do Internetu z chronionej sieci i odrzucają
połączenia z Internetu do chronionej sieci.
Po dodaniu zasady do konfiguracji Firebox kontrolujesz, jakie rodzaje ruchu Firebox zezwala, a jakie odrzuca.
Możesz ustawić zasady zezwalania na ruch lub odrzucania go na podstawie kryteriów, takich jak źródło i miejsce docelowe pakietu, port TCP/
IP lub protokół używany do przesyłania pakietu lub pora dnia. W ustawieniach polityki możesz przekazać Fireboxowi więcej instrukcji dotyczących
obsługi pakietu. Na przykład możesz zdefiniować parametry rejestrowania i powiadamiania dla zasad lub użyć translacji adresów sieciowych
(NAT).
Zasady zapory mogą pomóc w osiągnięciu kilku celów. Oto kilka typowych:
Zrzucaj lub blokuj połączenia na podstawie zawartości nagłówka IP lub zawartości pakietu n Odmawiaj
określonych godzin
Włącz różne poziomy dostępu lub ustaw limity przepustowości dla różnych użytkowników
Aby osiągnąć niektóre z tych celów, musisz włączyć i skonfigurować usługi bezpieczeństwa w swoich zasadach. Na przykład, używasz Kontroli
aplikacji do kontrolowania aplikacji używanych w Twojej sieci, a Reputation Enabled Defence do odrzucania połączeń z witrynami o złej reputacji.
Jeśli Twój Firebox ma licencjonowane usługi, wiele usług jest domyślnie włączonych. Możesz zaktualizować domyślne zasady i usługi, aby
kontrolować typy ruchu, na które chcesz zezwalać w swojej sieci.
Domyślne zasady zapory uniemożliwiają połączenia przychodzące do chronionej sieci i bezpiecznie zezwalają na połączenia wychodzące
do Internetu z chronionej sieci. Możesz dodatkowo dostosować zasady i inne ustawienia konfiguracji w oparciu o wymagania swojej sieci.
Do i z pól
n Lista Od określa źródła połączeń, do których odnosi się polityka. n Lista Do określa miejsca
Źródłem i miejscem docelowym zasad może być adres IP hosta, zakres adresów IP hosta, nazwa hosta, adres sieciowy, nazwa użytkownika, grupa,
alias, tunel VPN, nazwa FQDN lub dowolna kombinacja tych obiektów. Miejscem docelowym może być również statyczna akcja NAT.
Zasady zezwalające na połączenia inicjowane ze źródła do miejsca docelowego zezwalają również na ruch odpowiedzi
z miejsca docelowego z powrotem do źródła. Nie trzeba dodawać osobnych zasad, aby zezwalać na ruch odpowiedzi z
miejsca docelowego z powrotem do źródła, które zainicjowało połączenie.
Terminy przychodzące i wychodzące odnoszą się do tego, czy połączenie sieciowe wychodzi, czy wchodzi do sieci chronionej przez zaporę
ogniową. Połączenia wychodzące pochodzą z chronionej sieci i kierują ruch do sieci zewnętrznej.
Połączenia przychodzące pochodzą z sieci zewnętrznej i łączą się z lokalizacją w sieci wewnętrznej (chronionej).
Usposobienie
Dyspozycja określa, czy połączenia zgodne z ustawieniami zasad są dozwolone, czy odrzucane. Aby skonfigurować dyspozycję, wybierz jedno z
następujących ustawień:
odrzuca cały ruch zgodny z regułami w polityce i nie wysyła do niego powiadomienia
urządzenie, które wysłało ruch.
n Odmowa (reset wysyłania) — Firebox odrzuca cały ruch zgodny z regułami w polityce i wysyła
powiadomienie, takie jak błąd TCP RST lub ICMP, do urządzenia, które wysłało ruch.
Port i protokół
Każda zasada ma zastosowanie do ruchu korzystającego z określonego portu i protokołu. Na liście zasad kolumna Port pokazuje port i protokół,
do którego odnosi się każda zasada. Na przykład szablony zasad FTP-Proxy tworzą zasady, które mają zastosowanie do ruchu TCP na
porcie 21.
Szablony zasad
Szablony zasad służą do dodawania nowych zasad. Szablony zasad definiują port i protokół, do którego odnosi się
polityka. Nie można edytować portu i protokołu w ramach zasad. Aby dodać politykę dla niestandardowego
protokołu lub portu, musisz utworzyć niestandardowy szablon zasad.
Możesz edytować niestandardowe szablony zasad, nawet po utworzeniu na ich podstawie zasad.
Zmiany wprowadzone w portach lub protokołach w niestandardowym szablonie zasad są automatycznie
propagowane do wszystkich zasad utworzonych na podstawie tego szablonu.
Szablony zasad ułatwiają dodawanie zasad dla wielu typów ruchu korzystających ze standardowych portów i protokołów. Dodając zasadę zapory,
wybierasz szablon zasad, który określa typ ruchu, do którego ma zastosowanie ta zasada. Fireware zawiera wiele predefiniowanych
szablonów. Po wybraniu szablonu możesz zobaczyć porty i protokoły, których dotyczą zasady.
Po wybraniu szablonu i dodaniu zasad edytuj ustawienia zasad zgodnie z własnymi potrzebami. Podczas edytowania polityki nie można
zmienić portu ani protokołu zdefiniowanego w szablonie polityki.
Jeśli chcesz utworzyć politykę odnoszącą się do protokołu, którego nie ma na liście predefiniowanych szablonów zasad, musisz utworzyć
niestandardowy szablon zasad. Zasady niestandardowe mogą pasować do ruchu z co najmniej jednego portu TCP lub UDP.
Rejestrowanie i monitorowanie
Rejestrowanie i monitorowanie
Firebox może generować komunikaty dziennika i powiadomienia, aby pomóc Ci monitorować aktywność sieciową.
n Logowanie i powiadomienia
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz rejestrowanie i monitorowanie dodatkowych zasobów.
Rejestrowanie i monitorowanie
Rejestrowanie i powiadamianie
Rejestrowanie to proces rejestrowania aktywności, która ma miejsce w Fireboksie. Na przykład, gdy Firebox odrzuca pakiet, zdarzenie to jest
rejestrowane jako komunikat dziennika w pliku dziennika. Powiadomienie to proces informowania administratora o wystąpieniu określonej czynności.
Kiedy Firebox wykryje zagrożenie, które skonfigurowałeś do powiadamiania, takie jak sonda przestrzeni portu, generuje komunikat dziennika
alarmów. Aplikację Dimension lub WatchGuard Cloud można skonfigurować tak, aby wysyłała do administratora sieci powiadomienie e-mail o
wiadomościach dziennika alarmów. Gdy administrator otrzyma powiadomienie o zagrożeniu, może przejrzeć pliki dziennika i zdecydować, jak
zwiększyć bezpieczeństwo sieci. Na przykład administrator może zdecydować o zablokowaniu portów, na które sonda była skierowana,
zablokowaniu adresu IP, z którego wysłano pakiety, lub skontaktowaniu się z dostawcą usług internetowych, przez który pakiety zostały wysłane.
n WatchGuard Chmura
Serwer wymiarów
n Syslog Server n
Firebox generuje komunikaty dziennika dla każdego zdarzenia, które ma miejsce. Możesz skonfigurować Firebox do wysyłania
komunikatów dziennika do WatchGuard Cloud lub Dimension. Jeśli zdarzenie ma powiązane działanie powiadamiające, Firebox wysyła
wiadomość z dziennika alarmów, aby WatchGuard Cloud lub Dimension mógł powiadomić administratora.
Serwery WatchGuard, takie jak Management Server, również generują komunikaty dziennika. Serwery WatchGuard mogą wysyłać
komunikaty dziennika do Dimension lub pliku lokalnego.
Chmura WatchGuard
WatchGuard Cloud to oparta na chmurze platforma widoczności, która zbiera komunikaty dziennika i automatycznie generuje pulpity
nawigacyjne i raporty na podstawie danych dziennika. WatchGuard Cloud zawiera niektóre raporty, które nie są dostępne w innych
narzędziach do monitorowania i raportowania. Kiedy dodasz Firebox do WatchGuard Cloud, Firebox wysyła komunikaty dziennika do
WatchGuard Cloud oprócz wszelkich innych skonfigurowanych serwerów dziennika.
WatchGuard Cloud może również wysłać wiadomość e-mail z powiadomieniem, gdy otrzyma alarm z Firebox.
Wymiar
WatchGuard Dimension integruje się z Fireboxami, zapewniając elastyczne, gotowe do pracy w chmurze rozwiązanie do rejestrowania,
raportowania i zarządzania. Wdrażasz Dimension jako maszynę wirtualną Hyper-V lub VMware (VM).
Rejestrowanie i monitorowanie
Dimension może gromadzić komunikaty dziennika z serwerów Firebox i WatchGuard. Twój Firebox może wysyłać komunikaty dziennika do
jednego lub więcej serwerów Dimension w tym samym czasie. Dimension może również wysłać wiadomość e-mail z powiadomieniem,
gdy otrzyma alarm z Firebox.
Serwer Syslog
Oprócz dowolnych innych skonfigurowanych serwerów dziennika, Fireboxy mogą wysyłać komunikaty dziennika do serwera syslog innej firmy
lub przechowywać lokalnie ograniczoną liczbę komunikatów dziennika.
WatchGuard Log Server jest składnikiem WatchGuard Server Center, który gromadzi komunikaty dziennika, których serwer raportów może
używać do generowania raportów.
WatchGuard Log Server i Report Server nie generują raportów ani powiadomień dla usług bezpieczeństwa i
funkcji dodanych w Fireware w wersji 11.8 lub nowszej, takich jak APT Blocker. Ponieważ usługi
bezpieczeństwa wymagają alertów i raportów, aby były w pełni skuteczne, zalecamy korzystanie z Dimension lub
WatchGuard Cloud do monitorowania Fireboxów.
Możesz skonfigurować Firebox do wysyłania komunikatów dziennika do wielu lokalizacji w tym samym czasie. Na przykład Firebox może wysyłać
komunikaty dziennika do chmury WatchGuard, Dimension i serwera syslog.
Rejestrowanie i monitorowanie
przechowywanie ich w archiwum plików dziennika. Tych plików dziennika można używać do monitorowania aktywności w sieci oraz do identyfikowania i reagowania na
Firebox wysyła pięć rodzajów komunikatów dziennika: Ruch, Alarm, Zdarzenie, Debugowanie i Statystyka. Każdy komunikat dziennika zawiera nazwę typu dziennika jako
Firebox wysyła komunikaty dziennika ruchu, stosując filtr pakietów i zasady polityki proxy do ruchu przechodzącego przez urządzenie.
Aby Firebox generował komunikaty dziennika dla dozwolonego ruchu, należy włączyć rejestrowanie dozwolonego ruchu w zasadach
filtrowania pakietów lub rejestrowanie raportów w zasadach proxy. Rejestrowanie dozwolonego ruchu jest domyślnie włączone
W przypadku reguł filtrowania pakietów, które zezwalają na ruch, można oddzielnie wybrać wysyłanie komunikatów dziennika do celów rejestrowania (co można
zobaczyć w Monitorze ruchu lub Menedżerze dzienników) lub tylko do celów raportowania (te komunikaty dziennika są używane tylko w raportach i nie pojawiają
W przypadku zasad serwera proxy, gdy rejestrowanie raportów jest włączone, komunikaty dziennika dotyczące dozwolonego ruchu są wyświetlane w
Monitorze ruchu.
Firebox wysyła komunikaty dziennika alarmów, gdy wystąpi zdarzenie, które powoduje, że Firebox wysyła żądanie powiadomienia.
Firebox wysyła komunikaty dziennika zdarzeń, gdy administrator urządzenia kończy zadania, gdy urządzenie uruchamia się lub wyłącza, a także gdy występują
Komunikaty dziennika debugowania zawierają informacje pomocne w rozwiązywaniu problemów. Możesz wybrać poziom komunikatów dziennika
debugowania do wyświetlenia w Monitorze ruchu i możesz zmienić ustawienia poziomu dziennika diagnostycznego w konfiguracji Firebox.
Komunikaty dziennika statystycznego zawierają informacje o wydajności Firebox. Domyślnie Firebox wysyła komunikaty dziennika dotyczące wydajności
interfejsu zewnętrznego i statystyk przepustowości VPN. Te komunikaty dziennika mogą pomóc Ci określić, jak zmienić ustawienia Firebox, aby poprawić wydajność.
Aby uzyskać więcej informacji na temat komunikatów dziennika, zobacz Katalog dzienników WatchGuard, dostępny w dokumentacji WatchGuard Firebox strona.
Rejestrowanie i monitorowanie
Pliki dziennika
Firebox może wysyłać komunikaty dziennika do chmury WatchGuard lub Dimension. W przypadku Dimension komunikaty dziennika są przechowywane w lokalnej
bazie danych PostgreSQL. Możesz także wybrać użycie zewnętrznej bazy danych PostgreSQL.
Możesz ustawić poziom dziennika diagnostycznego dla różnych kategorii komunikatów dziennika. Dostępne poziomy, od najniższego do najwyższego to:
n Wył. — dla tej kategorii nie są wysyłane żadne komunikaty dziennika diagnostycznego.
n Błąd — zawiera komunikaty dziennika dotyczące poważnych błędów, które powodują zakończenie działania usługi lub procesu w Firebox.
Ten poziom dziennika obejmuje również komunikaty dziennika dotyczące błędów sieci VPN w oddziale (BOVPN).
n Ostrzeżenie — Zawiera szczegółowe informacje o nietypowych warunkach, które pomagają wyjaśnić problemy z procesem behawioralnym, jak również
informacje z poziomu błędu.
n Informacja — zawiera szczegóły udanej operacji dla komunikatów dziennika, a także informacje z poziomów błędów i ostrzeżeń.
n Debugowanie — obejmuje szczegółowe komunikaty dziennika dla wszystkich poziomów dziennika. Używaj tylko po wskazaniu WatchGuarda
przedstawiciel wsparcia technicznego.
Domyślnie poziom dziennika diagnostycznego dla wszystkich typów komunikatów dziennika jest ustawiony na Błąd.
Rejestrowanie i monitorowanie
Aby zobaczyć więcej informacji o ruchu i zdarzeniach w Fireboxie, możesz zwiększyć poziom dziennika diagnostycznego. Może to być pomocne przy
rozwiązywaniu problemów.
Użyj poziomu dziennika debugowania tylko do rozwiązywania problemów. Poziom dziennika debugowania generuje
dużą liczbę komunikatów dziennika, które mogą szybciej wypełnić bazę danych dziennika w wymiarze. Rejestrowanie
debugowania może również wpływać na wydajność Firebox. Po zakończeniu rozwiązywania problemów zresetuj
poziom dziennika diagnostycznego z powrotem do domyślnego poziomu błędu .
Ustawienia poziomu dziennika diagnostycznego obejmują dwie opcje, które umożliwiają rejestrowanie ruchu pochodzącego z samej Firebox. Te opcje
umożliwiają logowanie w ukrytej polityce Any From Firebox .
n Włącz rejestrowanie ruchu wysyłanego z tego urządzenia — umożliwia Fireboxowi wysyłanie komunikatów dziennika ruchu
Firebox wysyła.
n Włącz rejestrowanie raportów dotyczących ruchu wysyłanego z tego urządzenia — umożliwia Fireboxowi wysyłanie komunikatów dziennika
o ruchu wysyłanym przez Firebox, które mogą być użyte do generowania raportów.
Gdy te ustawienia są włączone, dodatkowe komunikaty dziennika mogą sprawić, że raporty będą mylące lub
wprowadzające w błąd. Zalecamy włączenie tych ustawień tylko tymczasowo w celu rozwiązania
problemu.
Aby uzyskać więcej informacji na temat ukrytych zasad, zobacz Ukryte zasady.
Rejestrowanie i monitorowanie
Logowanie Firebox do WatchGuard Cloud jest kontrolowane niezależnie od innych ustawień logowania. Możesz także skonfigurować Firebox tak,
aby wysyłał komunikaty dziennika do serwerów Dimension Server oprócz WatchGuard Cloud.
Możesz użyć tych funkcji w WatchGuard Cloud do monitorowania Firebox. Większość z tych funkcji jest również dostępna w
Wymiar.
Logi
Pulpity nawigacyjne
n Streszczenie — Zwięzły raport o atakach i ruchu blokowanym przez Firebox. Dostępne jako
PDF tylko ze strony Podsumowanie urządzenia. n
Executive Dashboard — Podsumowanie ruchu przez wybrany Firebox, klaster lub grupę. n Security Dashboard —
Podsumowanie najważniejszych zagrożeń w każdym obszarze bezpieczeństwa chronionym przez Twoją konfigurację
usługi abonamentowe.
n Pulpit nawigacyjny subskrypcji — ogólny widok aktywności usług subskrypcji w Firebox. n Mapa zagrożeń — Wizualna
reprezentacja lokalizacji źródła i miejsca docelowego ruchu przez Firebox. n FireWatch — gromadzone w czasie rzeczywistym informacje
n Mapa zasad — interaktywne narzędzie do raportowania, które agreguje ruch przez Twoje Fireboxy i pokazuje
wizualizacja przepływów ruchu przez interfejsy i polityki. Może to pomóc w określeniu, które zasady są częściej używane.
Rejestrowanie i monitorowanie
Raporty
Raporty zapewniają wgląd w aktywność sieciową na Twoich urządzeniach. Raporty zawierają szczegółowe informacje o ruchu dozwolonym i
zabronionym przez urządzenie, włączonych usługach oraz inne informacje o urządzeniu. WatchGuard Cloud automatycznie generuje
raporty na podstawie komunikatów dziennika otrzymywanych z Firebox.
Aby zobaczyć raporty w WatchGuard Cloud, musisz włączyć rejestrowanie raportów w swoich zasadach i usługach.
Możesz także zaplanować generowanie raportów dla jednego lub więcej Fireboxów. Każdy zaplanowany raport może zawierać wiele raportów.
WatchGuard Cloud wysyła zaplanowane raporty jako spakowany załącznik e-mail w formacie PDF do wskazanych przez Ciebie odbiorców.
Ostatnio wygenerowane raporty są również dostępne do pobrania w WatchGuard Cloud.
Stan na żywo
Dzięki WatchGuard Cloud możesz monitorować stan na żywo i wykorzystanie lokalnie zarządzanych Fireboxów za pomocą raportów w
chmurze. Kiedy Firebox jest podłączony do chmury, możesz użyć tych stron, aby zobaczyć bieżące informacje o ruchu przechodzącym przez
Firebox:
n Traffic Monitor — wyświetlaj w czasie rzeczywistym dane dotyczące aktualnie aktywnych połączeń i dzienniki
na żywo. n FireCluster — Wyświetl wykres przedstawiający dostępność członków klastra w określonym czasie. Zobacz listę ostatnich
wydarzeń FireCluster. Kliknij wydarzenie, aby wyświetlić szczegółowe informacje i pobrać plik .JSON.
diagnostyka.
n Sieci — Wyświetl informacje o ARP, DHCP i trasach skonfigurowanych w Firebox. n Geolokalizacja — Zobacz połączenia dozwolone
przez Geolokalizację dla każdego kraju. n VPN — Wyświetl informacje o wirtualnych sieciach
n Narzędzia diagnostyczne — Uruchom zadania diagnostyczne sieci (Ping, TCP Dump i DNS Lookup) i pobierz diagnostyczny plik migawki.
Zanim będziesz mógł włączyć Firebox do wysyłania komunikatów dziennika do WatchGuard Cloud, musisz dodać urządzenie
do swojego konta WatchGuard Cloud.
Aby zalogować się do WatchGuard Cloud, przejdź do cloud.watchguard.com i użyj poświadczeń użytkownika portalu WatchGuard, aby się zalogować. Na
swoim koncie WatchGuard Cloud możesz dodać dowolny aktywowany Firebox, który ma wsparcie standardowe lub subskrypcję Total Security lub
Basic Security Suite. Kiedy dodajesz Firebox do WatchGuard Cloud, możesz zostać poproszony o skopiowanie kodu weryfikacyjnego do wklejenia w
konfiguracji Firebox, aby umożliwić Fireboxowi rejestrację w WatchGuard Cloud. Fireboxy z układem TPM i Fireware w wersji 12.5.3 lub nowszej nie
wymagają kodu weryfikacyjnego.
Rejestrowanie i monitorowanie
Zainstaluj wymiar
Dimension musi być zainstalowany jako maszyna wirtualna (VM) z 64-bitowym systemem operacyjnym. Możesz zainstalować Dimension na VMware lub
na Hyper-V. Po zainstalowaniu i uruchomieniu maszyny wirtualnej uruchom internetowy kreator konfiguracji wymiarów WatchGuard, aby skonfigurować
podstawowe ustawienia dla nowej instancji Dimension.
Aby połączyć się z Dimension, użyj adresu IP przypisanego do maszyny wirtualnej Dimension. Na przykład, jeśli adres IP przypisany do Twojej
instancji Dimension to 203.0.113.201, łączysz się z Dimension pod adresem https://203.0.113.201.
Aby uzyskać pełne instrukcje dotyczące instalacji Dimension, zobacz Centrum pomocy WatchGuard.
Po skonfigurowaniu serwera Dimension skonfiguruj swoje Fireboxy, aby wysyłały komunikaty dziennika do Dimension i
włącz logowanie w swoich zasadach, aby generować komunikaty dziennika dla raportów. Aby uzyskać więcej informacji
na temat wysyłania komunikatów dziennika do Dimension, zobacz Konfigurowanie logowania Firebox do
Dimension.
W ustawieniach systemu Dimension włącz wychodzącą pocztę e-mail i skonfiguruj adres serwera poczty e-mail, którego Dimension może
używać do wysyłania powiadomień i raportów.
Możesz także skonfigurować Dimension tak, aby wysyłał alerty z powiadomieniami e-mailem na określone adresy e-mail. Powiadomienia e-mail o
alertach Firebox nie są domyślnie włączone i są konfigurowane niezależnie od ustawień serwera poczty e-mail.
Rejestrowanie i monitorowanie
n Możesz wysyłać komunikaty dziennika do wielu serwerów w tym samym czasie, na przykład do obu serwerów lokalnych
Serwer Dimension i serwer Dimension w lokalizacji zdalnej.
n Upewnij się, że klucz uwierzytelniający skonfigurowany w konfiguracji logowania Firebox jest taki sam jak na serwerze
Dimension.
Aby skonfigurować Firebox do wysyłania komunikatów dziennika do serwera Dimension, potrzebujesz następujących informacji o serwerze:
n Adres IP serwera
Twój Firebox może wysyłać komunikaty dziennika do dwóch serwerów Dimension w tym samym czasie. W konfiguracji serwera dziennika każdy serwer określa
się na innej karcie.
Jeśli chcesz, aby Firebox jednocześnie wysyłał komunikaty dziennika do dwóch serwerów Dimension, dodaj pierwszy serwer do zakładki Log Servers 1 , a
drugi serwer do zakładki Log Servers 2 . Możesz także opcjonalnie dodać serwery kopii zapasowych na każdej karcie. Firebox wysyła komunikaty dziennika do
serwera zapasowego tylko wtedy, gdy nie może połączyć się z serwerem głównym.
Rejestrowanie i monitorowanie
W Firebox System Manager pokazuje stan i aktywność Firebox, takie jak statystyki interfejsu, połączenia sieciowe, komunikaty dziennika i statystyki
usług bezpieczeństwa.
n Monitor ruchu wyświetla ciągłą listę komunikatów dziennika. Wiadomości odświeżają się co
domyślnie pięć sekund, co sprawia, że Traffic Monitor jest dobrym miejscem do rozpoczęcia
rozwiązywania problemów z Firebox.
n Z Firebox System Manager możesz używać traceroute, ping, wyszukiwania DNS i TCP
narzędzia zrzutu, które pomogą zdiagnozować problemy z ruchem w Twojej sieci.
Rejestrowanie i monitorowanie
Patka Opis
Przedni panel Pokazuje stan interfejsów Firebox, informacje o certyfikatach, aktywnych tunelach VPN i usługach subskrypcji,
ruchu dla aktywnych połączeń, obciążeniu procesora i szczegółach systemu.
Monitor ruchu Pokazuje oznaczoną kolorami listę komunikatów dziennika wysłanych z Firebox.
Miernik przepustowości Zapewnia graficzne wyświetlanie wykorzystania przepustowości w czasie rzeczywistym dla każdego interfejsu.
Zegarek serwisowy Przedstawia wykres zasad skonfigurowanych w Firebox. Oś Y (pionowa) pokazuje liczbę połączeń lub
przepustowość używaną dla każdej zasady. Oś X (pozioma) pokazuje czas.
Raport o stanie Pokazuje statystyki dotyczące stanu Firebox, ruchu i wydajności. Raportu można użyć do rozwiązywania
problemów z konfiguracją. Możesz także pobrać plik pomocy, który zawiera dane dziennika, informacje o
połączeniu i inne informacje systemowe.
Zanim skontaktujesz się z pomocą techniczną WatchGuard w celu rozwiązania problemu z Firebox, zapisz plik
dziennika wsparcia dla swojego Firebox.
Lista uwierzytelniania Identyfikuje adresy IP i nazwy użytkowników wszystkich użytkowników uwierzytelnionych w programie
palenisko. Zawiera sekcję Podsumowanie z liczbą użytkowników uwierzytelnionych dla każdego typu
uwierzytelniania oraz całkowitą liczbą uwierzytelnionych użytkowników.
Rejestrowanie i monitorowanie
Patka Opis
Zablokowane witryny Pokazuje wszystkie witryny aktualnie zablokowane przez Firebox. Na tej stronie możesz także dodawać lub
usuwać witryny z listy tymczasowo zablokowanych witryn.
Subskrypcja Pokazuje stan Gateway AntiVirus, IntelligentAV, Intrusion Prevention Service, Application Control,
Usługi spamBlocker, WebBlocker, Botnet Detection, Tor Exit Node Blocking, APT Blocker, Geolokalizacja, Data Loss
Prevention, Reputation Enabled Defense i File Exceptions. Z tego miejsca można również przeprowadzić ręczną
aktualizację baz sygnatur.
Brama bezprzewodowa Pokazuje stan połączenia i aktywność punktów dostępowych WatchGuard zarządzanych przez kontroler
Kontroler bezprzewodowy bramy. Możesz także monitorować i zarządzać połączeniami klientów z punktami
dostępowymi WatchGuard.
SD-WAN Pokazuje utratę, opóźnienie lub jitter dla wybranych interfejsów zewnętrznych. Wyświetla listę wszystkich akcji
SD-WAN i trybu multi-WAN, powiązanych interfejsów oraz opcji powrotu po awarii dla każdej akcji SD-WAN.
Zarządzanie ruchem Pokazuje statystyki przepustowości dla ruchu zarządzanego przez akcje zarządzania ruchem skonfigurowane w
Firebox. Statystyki zawierają szczegółowe informacje o tym, które zasady i aplikacje wykorzystują
poszczególne działania zarządzania ruchem.
Limity użytkowników Pokazuje, którzy użytkownicy z zastosowaną przepustowością i limitami czasowymi są połączeni z
Firebox, a także pokazuje informacje o limitach dla każdego użytkownika.
Z paska narzędzi Firebox System Manager możesz także otworzyć te narzędzia, aby monitorować Firebox:
Konsola wydajności
Zegarek hosta
FireWatch, dostępny w Fireware Web UI, Dimension i WatchGuard Cloud, jest lepszym narzędziem do monitorowania
połączeń sieciowych przez Firebox.
Rejestrowanie i monitorowanie
Jeśli którakolwiek z usług subskrypcji wygasła, na karcie Panel przedni pojawi się ostrzeżenie o wygaśnięciu usługi dla każdej wygasłej usługi .
Aby odnowić subskrypcję wygasłych usług, kliknij opcję Odnów teraz. Możesz także ukryć ostrzeżenia o wygasłych usługach.
Zadania diagnostyczne
W Firebox System Manager kliknij Narzędzia > Zadania diagnostyczne , aby uzyskać dostęp do kilku narzędzi diagnostycznych do rozwiązywania
problemów w sieci:
n Wyszukiwanie DNS — Wyszukiwanie informacji DNS dla adresu IP. n TCP Dump
— Zobacz informacje o pakietach przesyłanych przez twoją sieć. Możesz użyć tego narzędzia do przechwytywania pakietów i przesyłania
strumieniowego przechwyconych pakietów do lokalnego pliku .pcap. Następnie możesz użyć narzędzia innej firmy, aby przejrzeć plik .pcap
lub wysłać plik do pomocy technicznej WatchGuard w celu sprawdzenia.
Aby określić argumenty polecenia i wyświetlić inne opcje, zaznacz pole wyboru Opcje zaawansowane .
Karta VPN zawiera zadania diagnostyczne przydatne przy rozwiązywaniu problemów z VPN. Aby uzyskać więcej informacji, zobacz
Rozwiązywanie problemów z tunelami BOVPN
Rejestrowanie i monitorowanie
n FireWatch pokazuje graficzną reprezentację w czasie rzeczywistym, zagregowanych informacji o ruchu przez
Firebox. Jest dostępny w Fireware Web UI, Dimension i WatchGuard Cloud.
n Narzędzia diagnostyczne, takie jak ping, traceroute, wyszukiwanie DNS i zrzut TCP są dostępne na stronie Stan
systemu > Diagnostyka.
Panel
Z pulpitu nawigacyjnego możesz zobaczyć informacje w czasie rzeczywistym o swoim Fireboxie.
Rejestrowanie i monitorowanie
Monitorowanie
Narzędzie Opis
Przedni panel Pokazuje podstawowe informacje o urządzeniu, połączonych serwerach, sieci i ruchu sieciowym.
Subskrypcja Pokazuje stan Gateway AntiVirus, IntelligentAV, Intrusion Prevention Service, Application Control,
Usługi spamBlocker, WebBlocker, Botnet Detection, Tor Exit Node Blocking, APT Blocker, Geolokalizacja, Data Loss
Prevention, Reputation Enabled Defense i File Exceptions.
Straż pożarna Pokazuje zbiorcze informacje w czasie rzeczywistym o ruchu przez Firebox.
Interfejsy Pokazuje aktualną przepustowość i szczegółowe informacje dotyczące aktywnych interfejsów urządzenia.
Obejmuje to interfejsy bezprzewodowe skonfigurowane dla urządzeń AP. Możesz także zwolnić lub odnowić
dzierżawę DHCP adresu IP dla dowolnego zewnętrznego interfejsu z włączonym DHCP.
Monitor ruchu Pokazuje komunikaty dziennika z Twojego Fireboxa w miarę ich pojawiania się. Może to być przydatne narzędzie do
rozwiązywania problemów związanych z bezpieczeństwem sieci i przepływem ruchu.
Wejście Pokazuje stan połączenia i aktywność punktów dostępowych WatchGuard zarządzanych przez kontroler bezprzewodowy
Bezprzewodowy
bramy. Możesz także monitorować i zarządzać połączeniami klientów z punktami dostępowymi WatchGuard.
Kontroler
Geolokalizacja Pokazuje aktywność ruchu sieciowego według lokalizacji geograficznej, identyfikowanej przez usługę Geolokalizacja.
Mobile Security Pokazuje urządzenia mobilne, które są podłączone do Twojej sieci. Możesz zobaczyć listę podłączonych
urządzenia mobilne, zobacz szczegółowe informacje o każdym urządzeniu i zobacz informacje o grupie dla każdego
urządzenia.
Sieć Pokazuje mapę drzewa wszystkich urządzeń w twojej sieci, które są podłączone do interfejsów twojego Fireboxa.
Odkrycie Możesz wyświetlić szczegółowe informacje o każdym podłączonym urządzeniu.
Rejestrowanie i monitorowanie
Status systemu
Sekcja Stan systemu w Fireware Web UI zawiera informacje podobne do tych, które są dostępne w Firebox System Manager. Wiele pozycji z
Raportu stanu w Firebox System Manager jest dostępnych tutaj i łatwiej je sprawdzić.
Zanim skontaktujesz się z pomocą techniczną WatchGuard w celu rozwiązania problemu z Firebox, przejdź do strony
stanu systemu Diagnostyka i zapisz plik dziennika wsparcia dla Firebox.
n Tablica ARP — Lista urządzeń, które odpowiedziały na żądanie ARP (Address Resolution Protocol) z
palenisko
n Suma kontrolna — Suma kontrolna plików systemu operacyjnego (OS) aktualnie zainstalowanych w Firebox n Lista
n Diagnostyka o
Plik diagnostyczny — Pobierz plik dziennika diagnostycznego, aby rozwiązać problem ze wsparciem technicznym WatchGuard o Sieć —
w Firebox
n Połączenie z serwerem — przetestuj połączenie z serwerem uwierzytelniania Active Directory lub LDAP n Agenci SSO —
przepustowości dla ruchu zarządzanego przez działania zarządzania ruchem podłączony do Twojego Fireboxa n Quotas —
Informacje o przydziałach dla użytkowników z zastosowaną przepustowością i limitami czasowymi n Informacje o maszynie wirtualnej
n Statystyki VPN — Informacje o sieciach VPN oddziałów i sieciach VPN dla urządzeń mobilnych
modele Firebox) n Wireless Statistics — Statystyki dotyczące sieci bezprzewodowych Firebox (tylko bezprzewodowe modele Firebox)
Rejestrowanie i monitorowanie
Aby uzyskać więcej informacji na temat opcji rejestrowania zasad, zobacz Rejestrowanie zasad i powiadamianie w sekcji Zasady zapory tego przewodnika.
Aby wyświetlić tylko komunikaty dziennika dla ruchu Firebox, wybierz filtr Dzienniki ruchu .
Aby dostosować kolory, kliknij prawym przyciskiem myszy kartę Monitor ruchu i wybierz Ustawienia.
Możesz użyć pola wyszukiwania, aby znaleźć wiadomości zawierające określony tekst, taki jak nazwa zasady lub adres IP. Możesz także filtrować wyniki
wyszukiwania i wyróżniać elementy w wynikach wyszukiwania.
Komunikaty dziennika pokazują, które zasady zezwalają lub odrzucają ruch przez zaporę. Ten komunikat dziennika ruchu zawiera informacje
o dozwolonym pakiecie:
Firebox używa portu źródłowego do mapowania pakietów odpowiedzi otrzymanych z docelowego adresu IP i portu z powrotem na źródłowy adres IP,
który pierwotnie zainicjował połączenie.
W przypadku zasad proxy komunikaty dziennika zawierają wiele szczegółowych informacji o tym, dlaczego zasady zezwalają na pakiet lub go odrzucają.
Ten komunikat dziennika pokazuje, że zasady HTTP-proxy odrzuciły żądanie HTTP, ponieważ pasowało ono do odrzuconej kategorii WebBlocker.
Firebox używa dwóch ukrytych zasad o niskim priorytecie, aby odrzucić pakiety, które nie pasują do żadnej skonfigurowanej polityki:
Rejestrowanie i monitorowanie
Aby uzyskać więcej informacji na temat ukrytych zasad, zobacz Ukryte zasady.
Synchronizacja zagrożeń
Synchronizacja zagrożeń
ThreatSync to usługa WatchGuard Cloud, która zapewnia technologię eXtended Detection and Response (XDR) dla sieci WatchGuard
(Firebox) i produktów Endpoint Security.
n Incydenty ThreatSync n
Działania ThreatSync n
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz Dodatkowe zasoby ThreatSync.
Synchronizacja zagrożeń
n Umożliwia respondentom reagowanie na żądanie lub konfigurowanie automatycznych odpowiedzi na złośliwe wykrycia i
nienormalne zachowania
Licencjonowanie ThreatSync
ThreatSync to ujednolicona funkcja zabezpieczeń WatchGuard, która jest dostępna w ramach tych licencji:
n WatchGuard EDPR
n WatchGuard EDR
Korelacja
ThreatSync zapewnia rozszerzone możliwości wykrywania poprzez korelację danych z tych produktów zabezpieczających WatchGuard:
n Paleniska
Aby wysyłać dane do ThreatSync i odbierać działania, Fireboxy muszą działać z Fireware w wersji 12.9 lub nowszej
i być dodane do WatchGuard Cloud w celu rejestrowania i raportowania lub zarządzania chmurą.
Interfejs zarządzania ThreatSync przedstawia te skorelowane zdarzenia jako incydenty, które można przejrzeć i którymi można zarządzać.
ThreatSync automatycznie przypisuje każdemu incydentowi ocenę ryzyka, która identyfikuje wagę incydentu.
Synchronizacja zagrożeń
ThreatSync oblicza ocenę ryzyka dla incydentu na podstawie algorytmu, który koreluje dane z wielu produktów i usług WatchGuard.
Różne oceny ryzyka na każdym poziomie ryzyka wskazują względną wagę incydentu i dostarczają wskazówek dla osób
reagujących na incydenty, które incydenty powinny być traktowane priorytetowo do przeglądu. Na przykład, jeśli
ThreatSync przypisze jednemu incydentowi krytycznemu ocenę ryzyka 9, a innemu incydentowi krytycznemu ocenę ryzyka 10,
zalecamy przejrzenie najpierw tych 10, ponieważ oznacza to wyższe ryzyko.
Skonfiguruj ThreatSync
Aby skonfigurować ThreatSync, wybierz Konfiguruj > ThreatSync.
n Zasady automatyzacji — Konfiguruj zasady, aby automatycznie wykonywać działania w przypadku określonych incydentów. n
Adresy IP zablokowane przez ThreatSync — Odblokuj adresy IP zablokowane przez działanie ThreatSync na wszystkich kwalifikujących się
Paleniska.
Dostawcy usług widzą stronę, na której mogą konfigurować szablony zasad automatyzacji w celu przypisania zasad automatyzacji do zarządzanych
kont.
Monitoruj ThreatSync
Aby monitorować ThreatSync, wybierz Monitoruj > Zagrożenia.
Synchronizacja zagrożeń
incydentów — pokazuje listę incydentów w określonym przedziale czasu i umożliwia podjęcie odpowiednich działań
zaradzić incydentom.
Podczas monitorowania zagrożeń wykrytych przez ThreatSync i przeglądania szczegółów incydentów możesz podjąć decyzję o
podjęciu ręcznych działań w celu naprawienia incydentu lub odwrócenia działań podjętych automatycznie przez produkt
lub usługę WatchGuard. Możesz na przykład zablokować adres IP, usunąć szkodliwy plik lub odizolować komputer. Możesz
ręcznie wykonywać działania z różnych lokalizacji w interfejsie zarządzania ThreatSync.
Możesz skonfigurować zasady automatyzacji, aby automatycznie wykonywały działania na incydentach, które spełniają
zdefiniowane przez Ciebie warunki. Możesz na przykład utworzyć zasady automatyzacji, aby automatycznie usuwać pliki związane
z określonym typem incydentu o ocenie ryzyka 9 lub 10.
Zalecamy, aby nie dodawać zasad automatyzacji, dopóki nie zapoznasz się z różnymi typami incydentów, które
mogą wystąpić w Twoim środowisku, oraz z działaniami zaradczymi, które możesz wykonać.
Synchronizacja zagrożeń
Polityka naprawcza
Zasady archiwizacji
Warunki
Warunki określają, kiedy ThreatSync wykonuje zasady. Jeśli incydent spełnia warunki zasady, ThreatSync wykonuje określone działania.
akcje — Wybierz jedną lub więcej akcji wykonanych na incydencie (tylko zasady archiwizacji).
działania
Dla każdej polityki należy określić, czy polityka wykonuje działania, czy zapobiega.
n Wykonaj — ThreatSync wykonuje określone działania w przypadku nowych incydentów, które spełniają warunki polityki. n Zapobiegaj
— ThreatSync zapobiega określonym działaniom. Aby stworzyć wyjątek od szerszej zasady Perform, ty
może dodać politykę z akcją Zapobiegaj i ustawić ją wyżej niż inne zasady na liście zasad.
W przypadku zasady korygowania wybierz jedną lub więcej z następujących akcji korygujących do wykonania:
n Blokuj adres IP pochodzenia zagrożenia (tylko zewnętrzne adresy IP) — blokuje zewnętrzny adres IP powiązany z incydentem.
Po wybraniu tej akcji wszystkie Fireboxy z włączoną funkcją ThreatSync na koncie WatchGuard Cloud blokują połączenia do iz adresu IP.
n Zabij złośliwy proces — kończy proces, który wykazywał złośliwe zachowanie związane z incydentem.
Synchronizacja zagrożeń
Zasady ThreatSync oceniasz według względnego priorytetu od góry do dołu. Jeśli incydent spełnia warunki skonfigurowane w
wielu politykach, ThreatSync wykonuje akcję określoną w obowiązującej polityce o najwyższym priorytecie.
Każde zalecane działanie w incydencie jest oceniane indywidualnie pod kątem zasad. Jeśli incydent nie ma zalecanej akcji zgodnej z
akcją określoną w zasadach, ta zasada jest pomijana.
Dostawcy usług mogą tworzyć szablony zasad automatyzacji, które obejmują wiele zasad automatyzacji, a następnie przypisywać
szablony do kont lub grup kont, którymi zarządzają. Dzięki temu dostawcy usług mogą konsekwentnie stosować zasady
automatyzacji na zarządzanych kontach i oszczędzać czas podczas konfigurowania technologii ThreatSync dla nowych kont lub grup
kont.
Polityki automatyzacji przypisane za pomocą szablonu pojawiają się jako pierwsze na liście polityk
na koncie Subskrybenta.
Ustawienia sieci
Ustawienia sieci
W tej sekcji znajdziesz podstawowe informacje potrzebne do skonfigurowania ustawień sieciowych w Firebox. To zawiera:
sieciowe n Sieci
drugorzędne
sieci VLAN
n SD-WAN
n Routing statyczny
n Dynamiczny NAT
n Statyczny NAT
NAT 1 -do-1
Zarządzanie ruchem
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz Ustawienia sieci Dodatkowe zasoby.
Ustawienia sieci
Najbardziej powszechną metodą konfiguracji jest tryb mieszanego routingu. Używamy routingu mieszanego, aby wyjaśnić
większość funkcji i przykładów w tym przewodniku.
Kiedy korzystasz z kreatora konfiguracji sieci Web do utworzenia początkowej konfiguracji sieci, Firebox jest automatycznie
konfigurowany w trybie mieszanym. Kiedy używasz Kreatora szybkiej konfiguracji w WatchGuard System Manager do stworzenia
początkowej konfiguracji sieci, możesz skonfigurować Firebox w trybie mieszanym lub w trybie połączenia.
Tryb mieszanej trasy to jedyny tryb, który pozwala na korzystanie ze wszystkich funkcji Firebox. Inne tryby wyłączają niektóre funkcje.
Na przykład nie można skonfigurować VPN w trybie Bridge. Zanim wybierzesz tryb inny niż tryb wyznaczania trasy mieszanej, upewnij się,
że rozumiesz ograniczenia tego trybu.
Ustawienia sieci
Wszystkie interfejsy Firebox są w tej samej sieci i Wszystkie interfejsy Firebox znajdują się w tej samej sieci.
mają ten sam adres IP. Określasz adres IP, który ma być używany do zarządzania
Fireboxem.
Ustawienia sieci
Interfejsy
Zapora fizycznie oddziela sieci w sieci lokalnej (LAN) od sieci rozległej (WAN), takiej jak Internet. Jedną z podstawowych funkcji zapory jest
przenoszenie pakietów z jednej strony zapory na drugą. Jest to znane jako routing. Aby prawidłowo kierować pakiety, zapora ogniowa musi
wiedzieć, jakie sieci są dostępne przez każdy z jej interfejsów.
Firebox zapewnia dodatkową funkcjonalność dla niektórych interfejsów. Możesz skonfigurować interfejsy zewnętrzne do pracy z dynamicznym
DNS. Możesz skonfigurować zaufane, opcjonalne i niestandardowe interfejsy, aby włączyć serwer DHCP (Dynamic Host Configuration
Protocol).
Firebox ma cztery typy interfejsów sieciowych, które są również znane jako strefy:
Interfejsy zewnętrzne
Zewnętrzny interfejs łączy Fireboxa z siecią rozległą (WAN), taką jak Internet, i może mieć statyczny lub dynamiczny adres IP. Firebox
otrzymuje dynamiczny adres IP dla zewnętrznego interfejsu z serwera DHCP lub serwera PPPoE (Point-to-Point Protocol over Ethernet).
W przypadku DHCP Firebox korzysta z serwera DHCP kontrolowanego przez dostawcę usług internetowych (ISP) w celu uzyskania
adresu IP dla interfejsu zewnętrznego, adresu IP bramy i maski podsieci. Z PPPoE, Firebox łączy się z serwerem PPPoE twojego
ISP, aby uzyskać te same informacje.
Interfejsy zewnętrzne są członkami aliasu Any-External . Interfejsy zewnętrzne zawsze mają trasę domyślną, zwaną również trasą
zerową (0.0.0.0/0).
Zaufane interfejsy
Zaufany interfejs łączy Firebox z prywatną siecią lokalną (LAN) lub siecią wewnętrzną, którą chcesz zabezpieczyć. Stacje robocze
użytkowników i prywatne serwery, do których nie można uzyskać dostępu spoza sieci, zwykle znajdują się w sieciach zaufanych. Zaufane
interfejsy są członkami aliasu Any-Trusted .
Opcjonalne interfejsy
Opcjonalne interfejsy łączą Firebox z opcjonalnymi sieciami, które są mieszanymi środowiskami zaufania lub DMZ
oddzielonymi od zaufanych sieci. Publiczne serwery WWW, FTP i pocztowe zwykle znajdują się w sieciach opcjonalnych. Ustawienia
opcjonalnego interfejsu są takie same jak w przypadku zaufanego interfejsu. Jedyna różnica polega na tym, że opcjonalne interfejsy
są członkami aliasu Any-Optional .
Niestandardowe interfejsy
Niestandardowy interfejs łączy Firebox z siecią wewnętrzną z niestandardowym poziomem zaufania, który różni się od zaufanego lub
opcjonalnego. Niestandardowy interfejs nie jest członkiem wbudowanych aliasów (Dowolny-Zaufany, Dowolny-Opcjonalny lub Dowolny-
Zewnętrzny), więc ruch dla niestandardowego interfejsu nie jest dozwolony przez Firebox, chyba że specjalnie skonfigurujesz zasady,
aby na to zezwolić. Dowolny alias zawiera niestandardowy interfejs .
Jedyna różnica między zaufanymi, opcjonalnymi i niestandardowymi interfejsami polega na tym, które aliasy należą do interfejsu. Wszystkie
interfejsy są częścią aliasu Dowolny , niezależnie od typu interfejsu.
Ustawienia sieci
Większość użytkowników konfiguruje co najmniej jeden zewnętrzny i jeden zaufany interfejs w swoim Fireboksie. Każdy
interfejs można skonfigurować jako zaufany, opcjonalny, zewnętrzny lub niestandardowy.
Interfejsy zaufane, opcjonalne i niestandardowe są interfejsami wewnętrznymi i wszystkie mają te same konfigurowalne ustawienia. Adres IP
interfejsu wewnętrznego musi być statyczny. Zwykle wewnętrzne interfejsy używają prywatnych lub zastrzeżonych adresów IP zgodnych z RFC
1918 i RFC 8190.
Zalecamy, aby nie używać publicznych adresów IP, które nie należą do Ciebie w sieci wewnętrznej.
Podczas konfigurowania adresów IPv4 dla interfejsów w Fireboksie należy użyć notacji z ukośnikiem do oznaczenia maski podsieci. Na przykład
określasz zakres sieci 192.168.0.0 z maską podsieci 255.255.255.0 jako 192.168.0.0/24.
Zaufany interfejs o adresie IP 10.0.1.1/16 ma maskę podsieci 255.255.0.0.
Aliasy interfejsów
Dla każdego interfejsu nazwa interfejsu jest aliasem używanym w zasadach w odniesieniu do ruchu wysyłanego lub odbieranego przez ten
interfejs. Każdy interfejs jest również członkiem jednego lub kilku wbudowanych aliasów, które odnoszą się do stref bezpieczeństwa sieci.
Po wybraniu typu interfejsu interfejs staje się członkiem jednego lub kilku wbudowanych aliasów definiujących różne strefy bezpieczeństwa.
n Any-External — alias dowolnej sieci dostępnej przez interfejs Firebox skonfigurowanej jako zewnętrzna n Any-Trusted — alias
dowolnej sieci dostępnej przez interfejs Firebox skonfigurowanej jako zaufana n Any-Optional — alias dowolnej sieci dostępnej
przez Firebox interfejs skonfigurowany jako opcjonalny n Dowolny — Alias dla dowolnego adresu. Obejmuje to dowolny adres IP,
Każdy interfejs Firebox może łączyć się z inną siecią. Komputery i serwery chronione przez Firebox mogą używać prywatnych lub publicznych
adresów IP. Firebox używa translacji adresów sieciowych (NAT) do kierowania ruchu z sieci zewnętrznej do komputerów w sieciach zaufanych i
opcjonalnych.
W trybie routingu mieszanego wszystkie urządzenia znajdujące się za zaufanymi i opcjonalnymi interfejsami muszą mieć adres IP z sieci
przypisany do tego interfejsu. Aby było to łatwe do zapamiętania, wielu administratorów ustawia adres interfejsu na pierwszy lub ostatni adres IP
z zakresu używanego w danej sieci. Na przykład na poniższym obrazku adres IPv4 zaufanego interfejsu może mieć postać 10.0.1.1/24, a adres IPv4
interfejsu opcjonalnego może mieć postać 10.0.2.1/24.
Ustawienia sieci
Możesz skonfigurować Firebox tak, aby adresy IP były automatycznie przydzielane przez DHCP urządzeniom w zaufanych,
opcjonalnych lub niestandardowych sieciach. Włączając serwer DHCP, określasz pulę adresów IP w tej samej podsieci co adres IP
interfejsu. Serwer DHCP przydziela te adresy urządzeniom żądającym dzierżawy DHCP.
Pamiętaj, aby dodać wystarczającą liczbę adresów IP do puli adresów, aby obsłużyć liczbę klientów w Twojej sieci. Na przykład w
pokazanej tutaj konfiguracji serwer DHCP może przypisać adresy IP maksymalnie 99 klientom DHCP. Gdy setny klient żąda
adresu IP, to żądanie kończy się niepowodzeniem i ten klient nie może się połączyć.
Ustawienia sieci
Możesz także skonfigurować Firebox dla przekaźnika DHCP. Gdy korzystasz z przekaźnika DHCP, komputery znajdujące się za
Fireboxem mogą korzystać z serwera DHCP w innej sieci, aby uzyskać adresy IP. Firebox wysyła żądanie DHCP do serwera DHCP w
innej lokalizacji niż klient DHCP. Firebox wysyła odpowiedź serwera DHCP do komputerów w zaufanej, opcjonalnej lub niestandardowej
sieci.
Ustawienia sieci
Aby upewnić się, że serwer DNS jest zawsze dostępny w Twojej sieci, zalecamy skonfigurowanie co najmniej dwóch
serwerów DNS w Firebox: jeden dla wewnętrznego serwera DNS, a drugi dla zewnętrznego serwera DNS. Zalecamy,
aby najpierw podać wewnętrzny serwer DNS, aby miał wyższy priorytet. Jeśli nie masz wewnętrznego serwera DNS,
zalecamy określenie dwóch zewnętrznych serwerów DNS od różnych dostawców w celu zapewnienia nadmiarowości.
Klienci sieciowi
n Służby bezpieczeństwa
n NTP
n Aktualizacje certyfikatów CA
Możesz skonfigurować różne rodzaje serwerów i usług DNS w swoim Fireboxie. Każdy serwer i usługa DNS ma inny cel i jest skonfigurowany w
innym miejscu w ustawieniach Firebox. Niektóre serwery DNS mają pierwszeństwo przed innymi.
n Skonfiguruj serwery DNS, które mają zastosowanie do wszystkich interfejsów i lokalnych procesów Firebox lub tylko do określonych
interfejsów. n Skonfiguruj reguły warunkowego przekierowania DNS, aby wysyłać zapytania DNS dla określonych domen do różnych DNS
serwery.
Ustawienia sieci
Mosty sieciowe
Most sieci lokalnej logicznie łączy wiele interfejsów fizycznych, aby działały jako pojedyncza sieć z jedną nazwą interfejsu i adresem IP.
Konfigurujesz adres IP interfejsu i inne ustawienia interfejsu w konfiguracji mostu, a następnie konfigurujesz interfejsy jako
elementy mostu. Most musi zawierać co najmniej jeden interfejs i może zawierać dowolną kombinację interfejsów fizycznych,
bezprzewodowych i interfejsów agregacji łączy.
Most działa w taki sam sposób, jak każdy inny interfejs sieciowy. Technicznie jest to nieoznakowana sieć VLAN, którą przypisujesz do
wielu interfejsów.
Most można skonfigurować w zaufanej, opcjonalnej lub niestandardowej strefie zabezpieczeń. Ustawienia konfiguracji mostka są
podobne do ustawień dowolnego innego zaufanego, opcjonalnego lub niestandardowego interfejsu sieciowego. Na przykład możesz
skonfigurować protokół DHCP, aby przydzielał adresy IP klientom na moście lub używał nazwy mostu jako aliasu w zasadach zapory.
Możesz użyć konfiguracji mostka sieciowego, jeśli chcesz, aby Firebox działał również jako przełącznik. Możesz to zrobić w małej sieci, jeśli
nie chcesz implementować przełącznika sieciowego.
Na przykład możesz utworzyć mostek sieciowy w zaufanej sieci, aby połączyć dwa wewnętrzne interfejsy. W naszym przykładzie
most sieciowy o nazwie Trusted-Bridge ma adres IP 10.0.100.1/24.
Ustawienia sieci
Ustawienia sieci
Nie zmieniaj interfejsu, którego obecnie używasz do łączenia się z Fireware Web UI, na interfejs mostka.
Powoduje to natychmiastową utratę połączenia zarządzania z Fireboxem.
Ustawienia sieci
Sieci drugorzędne
Sieć pomocnicza to sieć, która współużytkuje jedną z tych samych sieci fizycznych, co jeden z
interfejsów Firebox.
Podczas dodawania sieci dodatkowej do interfejsu dodawany jest drugi alias IP. Ten alias IP jest domyślną bramą dla
wszystkich komputerów w sieci dodatkowej. Sieci drugorzędne mogą być używane tylko w trybie Mixed Routing lub
Drop-In.
Oto kilka przykładów sytuacji, w których sieci pomocnicze mogą być przydatne:
Konsolidacja sieci
Jeśli chcesz usunąć router z sieci, możesz dodać adres IP routera jako dodatkowy adres IP w zaporze, gdy
router jest wyłączony. Wszelkie hosty lub routery, które nadal wysyłają ruch do starego adresu IP routera,
wysyłałyby ruch do zapory.
Migracja sieci
Adresy dodatkowe mogą pomóc uniknąć awarii sieci, jeśli chcesz przenieść zaufaną sieć z jednej podsieci do
drugiej. Na przykład, jeśli obecnie używasz 192.168.1.1/24 jako podstawowego adresu IP interfejsu i zmienisz
adres IP interfejsu na 10.0.10.1/24, może to spowodować awarię sieci, podczas gdy urządzenia korzystające z
DHCP otrzymają adres IP nowa podsieć. Ponadto żadne urządzenia korzystające ze statycznego adresu IP nie
mogą się łączyć, dopóki nie zostaną ponownie skonfigurowane z adresem IP w nowej podsieci. Aby uniknąć
przestoju, dodaj stary adres IP jako sieć pomocniczą, aby podczas migracji urządzenia mogły nadal używać
adresów IP ze starej podsieci.
Ustawienia sieci
Podczas konfigurowania sieci dodatkowej urządzenia korzystające z DHCP uzyskują adres IP w nowej podsieci, gdy odnawiają dzierżawę
DHCP, bez przerwy w działaniu. Urządzenia korzystające ze statycznego adresu IP mogą nadal korzystać ze starej podsieci, dopóki nie
będziesz mieć czasu na zaktualizowanie ich adresów IP. Po migracji wszystkich urządzeń do nowej podsieci możesz usunąć dodatkowy adres IP
z interfejsu.
Migracja do innego zakresu sieci lokalnej może być konieczna w następujących przypadkach:
zakresy są w konflikcie z wieloma zakresami sieci domowej, użytkownicy mobilnej sieci VPN nie mogą uzyskać dostępu do zasobów
lokalnych w Twojej sieci.
n Masz dwie lokalizacje z tym samym zasięgiem sieci lokalnej i chcesz je połączyć za pomocą BOVPN.
Jeśli Twój Firebox używa statycznego zewnętrznego adresu IP, możesz dodać dodatkowy adres IP sieci. Następnie możesz skonfigurować
statyczne reguły NAT, aby wysyłać ruch do odpowiednich urządzeń w tej sieci.
Na przykład skonfiguruj zewnętrzną sieć pomocniczą z drugim publicznym adresem IP, jeśli masz dwa publiczne serwery internetowe i chcesz
skonfigurować statyczną regułę NAT dla każdego serwera.
Możesz także dodać sieci drugorzędne do zewnętrznego interfejsu Firebox, jeśli interfejs zewnętrzny jest skonfigurowany do uzyskiwania adresu IP
przez PPPoE lub DHCP. Możesz dodać do 2048 sieci dodatkowych dla każdego interfejsu.
Domyślnie Firebox sprawdza ruch przychodzący i wychodzący z tego samego interfejsu zewnętrznego i stosuje do tego ruchu zasady zapory. Firebox
domyślnie nie sprawdza ruchu przychodzącego i wychodzącego z wewnętrznych interfejsów.
Inspekcję wewnątrzinterfejsową można włączyć lub wyłączyć na interfejsach fizycznych i interfejsach agregacji łączy. Jeśli włączysz to ustawienie,
Firebox zastosuje zasady zapory sieciowej do ruchu wewnątrz interfejsu dla określonego interfejsu. W oprogramowaniu Fireware w wersji 12.9 lub
nowszej można włączać i wyłączać to ustawienie z poziomu interfejsu Fireware Web UI lub Policy Manager.
Ustawienia sieci
Ustawienia sieci
VLANy
Wirtualna sieć lokalna (VLAN) to zbiór komputerów w sieci LAN lub sieciach LAN zgrupowanych razem w jednej domenie rozgłoszeniowej,
niezależnie od ich fizycznej lokalizacji.
Dzięki sieci VLAN można grupować urządzenia według funkcji lub wzorców ruchu, a nie według lokalizacji lub
adresu IP. Członkowie sieci VLAN mogą współużytkować zasoby tak, jakby byli podłączeni do tej samej sieci LAN.
n Zwiększona wydajność dzięki ograniczeniu rozgłaszania — Każdy komputer dodany do sieci LAN zwiększa ilość ruchu rozgłoszeniowego
w tle, co może obniżyć wydajność. Dzięki sieciom VLAN można ograniczyć ten ruch i zmniejszyć przepustowość wykorzystywaną przez
sieć.
n Lepsze zarządzanie i uproszczone dostrajanie sieci — konsolidacja wspólnych zasobów w sieci VLAN zmniejsza liczbę przeskoków
tras wymaganych do komunikacji tych urządzeń. Możesz także łatwiej zarządzać ruchem z każdej grupy funkcjonalnej, gdy
każda grupa korzysta z innej sieci VLAN.
n Zwiększone opcje zabezpieczeń — Domyślnie członkowie jednej sieci VLAN nie widzą ruchu z innej sieci VLAN.
Do sieci VLAN można zastosować osobne zasady bezpieczeństwa. Z drugiej strony sieć pomocnicza na interfejsie Firebox nie
zapewnia dodatkowego bezpieczeństwa, ponieważ nie ma separacji ruchu. Firebox nie filtruje ruchu między główną siecią interfejsu a
drugorzędną siecią na tym interfejsie. Automatycznie kieruje ruchem między sieciami podstawowymi i drugorzędnymi na tym
samym interfejsie fizycznym bez ograniczeń dostępu.
Interfejs fizyczny (interfejs przełącznika lub interfejs urządzenia), który łączy urządzenie VLAN z innym urządzeniem VLAN.
Niektórzy dostawcy używają tego terminu tylko w odniesieniu do interfejsu przełącznika, który przenosi ruch do więcej niż jednej sieci
VLAN. Używamy tego jako ogólnego terminu, aby wskazać interfejs Ethernet na urządzeniu obsługującym VLAN, który łączy
urządzenie z innym urządzeniem obsługującym VLAN.
Liczba od 1 do 4094 powiązana z siecią VLAN. Każda używana sieć VLAN ma unikalny numer.
Etykietka
Ten termin ma jedno znaczenie, gdy jest używany jako czasownik, a inne, gdy jest używany jako rzeczownik:
Znacznik [rzeczownik] — Informacja dodawana do nagłówka ramki Ethernet. Format znacznika jest określony przez standard IEEE
802.1Q.
Ustawienia sieci
Tag [czasownik] — Aby dodać znacznik VLAN do nagłówka Ethernet ramki danych. Znacznik jest dodawany przez urządzenie zgodne ze standardem
802.1Q, takie jak przełącznik lub router 802.1Q lub Firebox.
Ponieważ fizyczny segment między dwoma urządzeniami 802.1Q normalnie przenosi tylko pakiety danych ze znacznikami, nazywamy go
segmentem danych ze znacznikami.
Odznacz
Aby usunąć znacznik VLAN z nagłówka Ethernet ramki. Gdy urządzenie 802.1Q musi wysłać dane do urządzenia sieciowego, które nie może zrozumieć
tagów VLAN 802.1Q, ramki danych muszą być skonfigurowane jako nieoznaczone.
Segment fizyczny między urządzeniem VLAN a urządzeniem, które nie rozpoznaje znaczników VLAN, zwykle przenosi tylko nieoznakowane
pakiety danych, dlatego nazywamy go segmentem danych nieoznakowanych.
Klienci są domyślnie nieoznaczeni. Jako najlepszą praktykę zalecamy posiadanie jednej nieoznakowanej sieci VLAN do bezpośredniego dostępu
do zarządzania. Na przykład możesz chcieć fizycznie połączyć się z Fireboxem, aby rozwiązać problem. Niektóre urządzenia innych firm pozostawiają
VLAN ID 1 nieoznaczone na potrzeby zarządzania i rozwiązywania problemów.
Przypisując członkostwo w sieci VLAN dla interfejsu Ethernet na urządzeniu 802.1Q, określa się również, czy interfejs ma wysyłać i akceptować ramki
danych ze znacznikami lub bez znaczników. Niektóre urządzenia VLAN umożliwiają jednemu interfejsowi Ethernet akceptację zarówno
ramek oznaczonych, jak i nieoznakowanych. Zależy to od tego, do jakich sieci VLAN należy dany interfejs.
Podczas konfigurowania interfejsu Firebox Ethernet dla sieci VLAN interfejs akceptuje zarówno oznakowane, jak i nieoznakowane ramki danych.
Sieć VLAN może mieć więcej niż jeden fizyczny element interfejsu. Interfejs może jednocześnie należeć zarówno do zewnętrznej, jak i wewnętrznej
(zaufanej, opcjonalnej lub niestandardowej) sieci VLAN. Interfejs VLAN może wysyłać i odbierać nieoznakowany ruch dla zewnętrznej sieci VLAN.
Skorzystaj z tych dwóch reguł, aby zdecydować, czy skonfigurować interfejs przełącznika dla opcji Tag lub Untag:
n Jeśli interfejs łączy się z urządzeniem, które może odbierać i rozumieć znaczniki VLAN 802.1Q, skonfiguruj interfejs przełącznika dla
(przełączników zarządzanych) Etykietka. Urządzenia, które podłączasz do tego interfejsu, to zazwyczaj przełączniki VLAN
lub routerów.
n Jeśli interfejs łączy się z urządzeniem, które nie może odbierać i rozumieć tagów 802.1Q VLAN, . Takie urządzenia prawdopodobnie
skonfiguruj interfejs przełącznika dla Odznaczusuną tag VLAN z
nagłówka Ethernet lub całkowicie porzuć ramkę. Urządzeniami podłączanymi do tego interfejsu są zwykle komputery lub drukarki.
Przełączniki i routery
Podczas konfigurowania interfejsu Firebox Ethernet dla sieci VLAN przełączniki i routery podłączone do interfejsu urządzenia muszą mieć możliwość
używania znaczników VLAN zgodnie z definicją w standardzie IEEE 802.1Q.
Przełącznik tego typu jest powszechnie nazywany przełącznikiem zarządzanym lub przełącznikiem 802.1Q.
Sieci VLAN mogą używać różnych parametrów do przypisywania członkostwa. Firebox korzysta z sieci VLAN 802.1Q. Instytut Inżynierów Elektryków i
Elektroników (IEEE) publikuje standard 802.1Q definiujący format znaczników VLAN.
Ten standard umożliwia korzystanie z sieci VLAN ze sprzętem dowolnego producenta, który jest zgodny ze standardami 802.1Q.
Ustawienia sieci
n Jeśli Firebox jest skonfigurowany w trybie Drop-In, nie możesz używać sieci VLAN. n
Jeśli Firebox jest skonfigurowany w trybie Bridge, nie można konfigurować sieci VLAN. o W
trybie pomostowym Firebox może przekazywać ruch oznaczony tagiem VLAN między mostami lub przełącznikami
802.1Q. o Możesz skonfigurować Firebox w trybie Bridge, aby był zarządzany z sieci VLAN, która ma określony znacznik VLAN.
n Ustawienia konfiguracji Multi-WAN są stosowane do ruchu VLAN. Jednak zarządzanie przepustowością może być łatwiejsze
gdy używasz tylko interfejsów fizycznych w konfiguracji z wieloma sieciami WAN.
n Model urządzenia i licencja określają liczbę sieci VLAN, które możesz utworzyć. Aby zobaczyć liczbę sieci VLAN, które możesz dodać
do Firebox, otwórz Menedżera zasad i wybierz Ustawienia > Klucze funkcji. Znajdź wiersz Łączna liczba interfejsów VLAN.
n Zalecamy, aby nie tworzyć więcej niż 10 sieci VLAN działających na zewnętrznych interfejsach. Zbyt wiele sieci VLAN na
zewnętrznych interfejsach wpływa na wydajność.
n Wszystkie segmenty sieci, które chcesz dodać do sieci VLAN, muszą mieć adresy IP w sieci VLAN.
Ustawienia sieci
PRZYPADEK UŻYCIA:
Używaj sieci VLAN do tworzenia oddzielnych sieci logicznych dla dwóch grup urządzeń, które łączą się z pojedynczym
interfejsem Firebox za pośrednictwem przełącznika. Utwórz oddzielną sieć VLAN dla komputera zarządzającego.
Na przykład, jeśli używasz sieci VLAN do logicznego rozdzielenia ruchu dla urządzeń znajdujących się w dwóch działach, schemat sieci może
wyglądać następująco:
Konfiguracja paleniska:
n Interfejs VLAN, który łączy się z przełącznikiem, ma jedną nieoznakowaną sieć VLAN i dwie oznakowane sieci VLAN.
n Port, z którym łączy się Firebox, ma jedną nieoznakowaną sieć VLAN i dwie oznakowane sieci VLAN, zgodnie z konfiguracją portu
VLAN w Fireboxie.
n Każdy port, z którym łączy się klient, jest skonfigurowany z pojedynczą siecią VLAN, która nie jest oznaczona.
W tej konfiguracji przełącznik dodaje i usuwa tagi VLAN dla ruchu sieciowego między klientami a Fireboxem.
n Cały ruch sieci VLAN 10 i VLAN 20 jest oznaczony między Firebox a przełącznikiem. n Cały ruch sieci VLAN
Ustawienia sieci
n Przełącznik usuwa znaczniki dla ruchu wysyłanego z Firebox do klientów w tych sieciach VLAN. n Przełącznik dodaje
PRZYPADEK UŻYCIA:
Użyj sieci VLAN, aby utworzyć pojedynczą sieć logiczną dla urządzeń, które łączą się z dwoma interfejsami Firebox za pośrednictwem
dwóch różnych przełączników.
Na przykład, jeśli użyjesz VLAN do stworzenia jednej sieci logicznej dla urządzeń znajdujących się na dwóch piętrach budynku, schemat sieci może
wyglądać następująco:
Konfiguracja paleniska:
n Interfejsy VLAN, które łączą się z obydwoma przełącznikami, są skonfigurowane jako elementy tej samej oznakowanej sieci VLAN.
n Port, z którym łączy się Firebox, ma jedną oznaczoną sieć VLAN. n Każdy port, z
którym łączy się klient, jest skonfigurowany z tą samą siecią VLAN, która jest nieoznakowana.
W tej konfiguracji przełącznik dodaje i usuwa tagi VLAN dla ruchu sieciowego między klientami a Fireboxem.
n Cały ruch sieci VLAN 10 jest oznaczony między Firebox a przełącznikami. n Cały ruch sieci
Ustawienia sieci
n Przełącznik usuwa znaczniki dla ruchu wysyłanego z Firebox do klientów w sieci VLAN. n Przełącznik
Ustawienia sieci
PRZYPADEK UŻYCIA:
Użyj dwóch interfejsów Firebox do obsługi ruchu dla dwóch oddzielnych sieci VLAN skonfigurowanych na tym samym podłączonym
przełączniku. Ten przypadek użycia nie wymaga żadnej konfiguracji VLAN na Fireboxie. Aby skonfigurować różne zasady dla każdej
sieci VLAN, określ interfejs, który łączy się z każdą siecią VLAN na przełączniku.
Na przykład, jeśli twój przełącznik jest skonfigurowany z dwoma sieciami VLAN dla komputerów w dwóch działach, a używasz innej
Interfejs Firebox dla ruchu z każdej sieci VLAN, schemat sieci mógłby wyglądać tak:
W tej konfiguracji Firebox nie rozpoznaje sieci VLAN i postrzega je jako dwie oddzielne sieci.
Konfiguracja paleniska:
n Każdy interfejs podłączony do przełącznika jest interfejsem zaufanym, opcjonalnym lub niestandardowym.
n Każdy port łączący Firebox jest skonfigurowany z inną nieoznakowaną siecią VLAN. n Każdy port, z którym
W tej konfiguracji przełącznik kieruje ruch dla klientów w każdej sieci VLAN do innego interfejsu Firebox.
n Cały ruch między klientami VLAN 10 a Fireboxem przechodzi przez jeden interfejs Firebox. n Cały ruch między
Ustawienia sieci
Tak. Domyślnie Firebox nie zezwala na ruch do urządzenia w żadnej sieci VLAN. Aby zezwolić na ten ruch, dodaj dla niego zasady i umieść
nazwę aliasu VLAN lub podsieci w sekcji Do.
Jeśli chcę zezwolić na ruch rozpoczynający się w sieci VLAN i opuszczający tę sieć, czy potrzebuję dla niego zasad?
Tak. Ruch nie może opuszczać sieci chronionej przez Firebox, chyba że zezwala na to polityka.
Jednak domyślna konfiguracja, którą Kreator szybkiej instalacji tworzy dla Firebox, obejmuje politykę wychodzącą, która zezwala
na ruch z Dowolnego zaufanego lub Dowolnego opcjonalnego do Dowolnego zewnętrznego.
Jeśli Twoja sieć VLAN korzysta ze strefy zabezpieczeń Zaufana lub Opcjonalna, każde urządzenie w sieci VLAN może używać zasad ruchu
wychodzącego do wysyłania ruchu do dowolnego zewnętrznego. Dzieje się tak, ponieważ sieć VLAN korzystająca ze strefy zabezpieczeń Zaufana
jest uwzględniona w aliasie Dowolny-zaufany, a sieć VLAN korzystająca z opcjonalnej strefy zabezpieczeń jest uwzględniona w aliasie Dowolny-opcjonalny.
Jeśli chcę zezwolić na ruch rozpoczynający się w jednej sieci VLAN i przechodzący do innej sieci VLAN, czy potrzebuję dla niego zasad?
Tak. Domyślnie urządzenia w jednej sieci VLAN nie widzą ruchu z innej sieci VLAN. Do sieci VLAN można zastosować osobne
zasady bezpieczeństwa.
Jeśli chcę zezwolić na ruch, który rozpoczyna się w sieci VLAN i trafia do urządzenia w tej samej sieci VLAN, czy potrzebuję dla niego zasady?
Nie. Jeśli komputer podłączony do przełącznika A wysyła ruch do komputera podłączonego do przełącznika B, a oba
komputery znajdują się w tej samej sieci VLAN, Firebox nie filtruje tego ruchu. W tej konfiguracji Firebox służy jako most VLAN między
dwoma komputerami i dwoma przełącznikami. Dwa komputery komunikują się tak, jakby znajdowały się w tej samej fizycznej sieci
LAN, nie oddzielonej przez Firebox.
Jeśli jednak chcesz zastosować zasady zapory do ruchu między klientami w dwóch sieciach należących do tej samej sieci VLAN,
możesz zaznaczyć pole wyboru Zastosuj zasady zapory do ruchu wewnątrz sieci VLAN w konfiguracji sieci VLAN.
Jeśli chcesz zastosować zasady do ruchu wewnątrz sieci VLAN, upewnij się, że między źródłem a miejscem docelowym nie istnieje
ścieżka alternatywna. Ruch sieci VLAN musi przechodzić przez Firebox, aby zasady zapory mogły zostać zastosowane.
Liczba sieci VLAN, które możesz dodać do swojej konfiguracji, zależy od modelu Firebox. Aby zweryfikować liczbę sieci VLAN, które
można dodać do urządzenia, spójrz na wiersz Łączna liczba interfejsów VLAN w kluczu funkcji.
Ustawienia sieci
Routing statyczny
Trasa to sekwencja urządzeń, przez które musi przejść ruch sieciowy, aby dotrzeć od źródła do miejsca docelowego. Podróż z jednego urządzenia do
następnego nazywana jest przeskokiem .
Router lub urządzenie sieciowe, takie jak Firebox, przechowuje informacje o trasach w tablicy routingu. Urządzenie przeszukuje tablicę routingu, aby
znaleźć trasę, aby wysłać każdy odebrany pakiet do miejsca docelowego.
n Trasa statyczna — Ręcznie skonfigurowana trasa do określonej sieci lub hosta. n Trasa
Każdy przeskok na trasie jest izolowany, co oznacza, że problemy z trasowaniem są spowodowane problemami z
połączeniem punkt-punkt między urządzeniami na trasie.
Aby mieć pełną kontrolę nad tym, jak Firebox kieruje ruchem, możesz dodać trasy statyczne.
Trasy statyczne mogą być odpowiednie w niektórych przypadkach. Na przykład trasy statyczne mogą mieć sens w małych sieciach, gdy jest bardzo
mało przeskoków lub gdy wiadomo, że trasa prawdopodobnie się nie zmieni. Routing statyczny może być używany jako zapasowy dla routingu
dynamicznego. Jednak w przypadku zmiany struktury sieci lub awarii połączenia ruch sieciowy nie może dotrzeć do miejsca docelowego.
Aby dodać trasę statyczną, w Menedżerze zasad wybierz Sieć > Trasy.
n Typ trasy — jest automatycznie ustawiany na Trasę statyczną. Jeśli skonfigurowałeś wirtualny interfejs BOVPN, ty
można również wybrać trasę interfejsu wirtualnego BOVPN.
n Typ miejsca docelowego — Określa, czy miejscem docelowym jest sieć lub host IPv4 lub IPv6.
Ustawienia sieci
n Brama — Adres IP, przez który ma być kierowany ruch. To kolejny przeskok na trasie. Adres IP bramy
adres musi należeć do sieci zawartej w tablicy routingu Firebox. Zwykle jest to podsieć skonfigurowana na jednym z interfejsów
Firebox.
n Metryczne lub Dystans — Dystans określa priorytet trasy. Jeśli tablica routingu zawiera więcej niż jeden
trasy do tego samego miejsca docelowego, Firebox korzysta z trasy o mniejszej odległości.
n Interfejs — W przypadku trasy do miejsca docelowego IPv6 można opcjonalnie wybrać interfejs obsługujący protokół IPv6, który ma być
używany w tej trasie. W przypadku trasy interfejsu wirtualnego BOVPN należy wybrać interfejs wirtualny BOVPN, który ma być używany
dla trasy.
Możesz zobaczyć trasy swojego Fireboxa z Firebox System Manager na karcie Status Report .
n Trasy do sieci dla wszystkich włączonych interfejsów Firebox i interfejsów wirtualnych BOVPN
n Statyczne trasy sieciowe lub trasy hosta, które dodajesz do swojej konfiguracji.
n Trasy , których Firebox uczy się z dynamicznych procesów routingu włączonych w urządzeniu . Jest to adres
Każda trasa w tablicy routingu ma powiązaną metrykę. Jeśli tablica tras zawiera więcej niż jedną trasę do tego samego miejsca
docelowego, Firebox używa trasy o niższej metryce. W przypadku trasy statycznej ręcznie ustawiasz odległość (metryczną), aby
kontrolować priorytet każdej trasy. W przypadku korzystania z routingu dynamicznego protokół routingu dynamicznego automatycznie
ustawia odległość dla każdej trasy.
Skonfigurowana trasa statyczna nie pojawia się w tabeli tras, jeśli nie ma trasy do bramy określonej w trasie
statycznej.
Ustawienia sieci
Dzięki multi-WAN możesz skonfigurować wiele zewnętrznych interfejsów, każdy w innej podsieci. Pozwala to na
podłączenie Fireboxa do więcej niż jednego dostawcy usług internetowych (ISP). W przypadku skonfigurowania
dwóch lub więcej interfejsów zewnętrznych funkcja multi-WAN jest automatycznie włączana.
Jeśli twój Firebox ma wiele zewnętrznych interfejsów, multi-WAN jest opcją globalnego routingu, chyba że skonfigurujesz programowo
definiowaną sieć WAN (SD-WAN).
Domyślnie multi-WAN nie jest włączone dla modemów. Multi-WAN nie wpływa na BOVPN ani ruch przychodzący.
Metoda Failover wysyła wszystkie połączenia wychodzące do interfejsu podstawowego. Algorytm ten wysyła połączenia
wychodzące przez interfejs zapasowy tylko wtedy, gdy interfejs podstawowy jest niedostępny. Po włączeniu wielu sieci WAN w
Firebox, przełączanie awaryjne jest domyślną metodą wielu sieci WAN.
Tabela routingu
Tablica routingu wykorzystuje protokół Equal-Cost Multi-Path Routing (ECMP) do dystrybucji połączeń wychodzących na podstawie
adresów IP src/dst (źródłowych i docelowych). Metoda Routing Table próbuje wyrównać liczbę połączeń wychodzących z każdego
interfejsu.
Aby uzyskać więcej informacji, zobacz tabelę routingu i routingu równych kosztów wielościeżkowych (ECMP). Sekcje.
Okrągły
Round-robin rozdziela połączenia wychodzące na podstawie liczby połączeń. Jeśli ustawisz wagę dla każdego interfejsu
zewnętrznego na 1 w trybie okrężnym, algorytm podejmie próbę wyrównania liczby połączeń przesyłanych przez
każdy interfejs.
W przypadku niewielkiego ruchu ruch okrężny ważony zachowuje się jak tryb okrężny oparty na połączeniu, ponieważ
używane wagi zwykle określają liczbę połączeń za pośrednictwem każdego interfejsu zewnętrznego. Gdy obciążenie ruchem wzrasta,
ważona metoda okrężna zachowuje się bardziej jak okrężna praca oparta na obciążeniu, ponieważ przypisane wagi mają tendencję
do określania obciążenia za pośrednictwem każdego interfejsu zewnętrznego.
Przepełnienie interfejsu
Metoda przepełnienia interfejsu umożliwia ustawienie limitu przepustowości w celu ograniczenia ilości ruchu przesyłanego przez
każdy interfejs WAN. Algorytm wysyła połączenia wychodzące do zewnętrznych interfejsów w określonej przez Ciebie kolejności.
Gdy wszystkie interfejsy osiągną limit przepustowości, Firebox używa tablicy routingu, aby znaleźć najlepszą ścieżkę.
Gdy włączysz wiele sieci WAN, domyślnie funkcja Link Monitor nie jest włączona.
Ustawienia sieci
Nadmierność
Jeśli główne połączenie internetowe ulegnie awarii, możesz użyć połączenia zapasowego dla połączeń wychodzących.
Dodatkowe połączenie z Internetem może skrócić czas oczekiwania na nowe połączenia i pobieranie dużych plików inicjowanych zza
Fireboxa.
Podczas konfigurowania bramek SD-WAN lub BOVPN można zmusić aplikacje o znaczeniu krytycznym lub wymagające dużej przepustowości
do korzystania z określonego interfejsu zewnętrznego.
Warunki i koncepcje
Aby skonfigurować Firebox dla wielu sieci WAN, powinieneś znać te terminy i koncepcje.
W Fireware możesz skonfigurować wiele interfejsów Firebox jako typu Zewnętrzny. Ponieważ każdy interfejs zewnętrzny musi mieć domyślną bramę,
każdy interfejs zewnętrzny zapewnia ścieżkę, której Fireware może używać do wysyłania ruchu do zewnętrznych miejsc docelowych.
Dla każdego połączenia rozpoczynającego się w sieci za Fireboxem i prowadzącego do zewnętrznego miejsca docelowego, Firebox musi zdecydować,
którego zewnętrznego interfejsu użyć do wysłania ruchu. Kilka czynników decyduje o tym, czy Firebox zezwala na połączenie wychodzące i jakiego
które mogą zastąpić metodę multi-WAN, z której korzystasz (SD-WAN i połączenia lepkie) n Ustawienia punktów końcowych bramki BOVPN
Sekcja Routing Decisions Logic tego przewodnika zawiera schemat blokowy, który pokazuje, w jaki sposób Firebox podejmuje te decyzje.
Ruch przychodzący
W przypadku połączeń przychodzących proces decyzyjny jest prostszy. Połączenie przychodzące jest dozwolone tylko wtedy, gdy zezwala na to zasada
zapory.
Każdy interfejs zewnętrzny może odbierać ruch, jeśli Firebox widzi, że interfejs jest aktywny.
Ustawienia sieci
Używana metoda wielu sieci WAN nie wpływa na ścieżkę, którą pokonuje ruch przychodzący, aby dostać się do Firebox. Ponieważ Firebox
nie może kontrolować, do którego interfejsu zewnętrznego dociera połączenie przychodzące, ten przewodnik nie omawia połączeń
przychodzących.
Ruch IPSec VPN odnosi się do ruchu przesyłanego przez połączenie BOVPN. Koncepcje wielu sieci WAN w tym przewodniku mają zastosowanie
tylko do ruchu innego niż IPSec. Metody używane przez Fireware do kierowania normalnego ruchu (nie IPSec) do sieci zewnętrznych
są odrębne i niezależne od sposobu, w jaki ruch jest wysyłany do zdalnej strony IPSec VPN. Gdy Firebox wysyła ruch na drugą stronę tunelu
VPN, wybiera interfejsy określone w ustawieniach bramy dla tego tunelu.
Wiele zewnętrznych interfejsów dla sieci VPN IPSec omówiono w osobnej sekcji.
ECMP to algorytm kierowania pakietów do miejsc docelowych, gdy istnieje wiele ścieżek następnego przeskoku o jednakowym koszcie.
Metoda wielu sieci WAN w tablicy routingu wykorzystuje protokół ECMP do równomiernego rozdzielania ruchu wychodzącego na wiele
zewnętrznych interfejsów w oparciu o źródłowy i docelowy adres IP.
Tablica routingu to zbiór danych o miejscach docelowych w sieci i sposobach dotarcia do nich. Fireware zawsze sprawdza tablicę
routingu Firebox, niezależnie od metody multi-WAN. Z tego powodu ECMP nie ingeruje w trasy statyczne skonfigurowane w Fireboksie ani
w protokoły routingu dynamicznego, takie jak RIP, OSPF i BGP.
Grupa ECMP to grupa zewnętrznych interfejsów używanych do obliczeń ECMP. Kiedy Firebox stwierdzi, że interfejs zewnętrzny w grupie ECMP
nie może już przekazywać ruchu do sieci zewnętrznych, usuwa ten interfejs z grupy ECMP. Fireware umieszcza interfejs zewnętrzny z powrotem
w grupie ECMP, gdy ustali, że interfejs jest ponownie dostępny.
Lepkie połączenia
Dynamiczny NAT zmienia źródłowy adres IP połączenia wychodzącego, aby dopasować adres IP na zewnętrznym interfejsie, którego
Firebox używa do wysyłania połączenia. Używasz połączeń trwałych, aby mieć pewność, że po ustanowieniu przepływu ruchu wychodzącego
wszystkie połączenia między adresem IP użytkownika wewnętrznego a adresem IP witryny zewnętrznej będą przez określony czas korzystać z
tego samego interfejsu zewnętrznego.
Fireware przechowuje dynamiczną tabelę trwałych połączeń, która zawiera parę źródło/miejsce docelowe dla każdego połączenia
wychodzącego, zewnętrzny interfejs używany do połączenia oraz wiek połączenia. Jeśli nowe połączenie między parą nastąpi przed
upływem limitu czasu trwałego połączenia, wiek jest resetowany do zera. Gdy wiek wpisu osiągnie limit połączenia stałego, wpis zostanie
usunięty z tabeli połączeń trwałych. Nowe połączenia między dwoma adresami IP mogą korzystać z innego interfejsu zewnętrznego.
Możesz skonfigurować interwał stałego połączenia dla metod wielosieci WAN typu Round-robin lub Interface Overflow.
Ustawienia sieci
Zalecamy użycie domyślnych ustawień dla stałych połączeń. Trzyminutowy limit czasu zapobiega większości
problemów, które pojawiają się, gdy zmienia się źródłowy adres IP nowego ruchu zza Fireboxa.
W przypadku dowolnej zasady można zastąpić globalne ustawienia stałego połączenia skonfigurowane w ustawieniach wielu sieci WAN.
Ustawienia stałego połączenia oparte na zasadach określają, że ruch wychodzący korzystający z zasad ma ustawienie stałego połączenia
krótszego lub dłuższego niż ustawienie globalnego połączenia stałego. Możesz także wyłączyć stałe połączenia dla zasady.
Niektóre aplikacje przerywają połączenie klienta, jeśli zmieni się źródłowy adres IP klienta. Najczęstszym przykładem jest sytuacja, gdy użytkownik
znajduje się w witrynie korzystającej z protokołu HTTPS. Niektóre witryny HTTPS używają sesyjnych plików cookie, które zawierają źródłowy
adres IP użytkownika. Jeśli użytkownik znajduje się w witrynie, a przeglądarka próbuje nawiązać nowe połączenie (na przykład nowe żądanie GET
lub POST do witryny powoduje nową sesję TCP), witryna może odrzucić nowe połączenie, jeśli źródłowy adres IP nie pasuje do znajduje się
w sesyjnym pliku cookie.
Jeśli użytkownicy zgłaszają, że muszą często ponownie uwierzytelniać się w witrynach korzystających z protokołu HTTPS, można skonfigurować
wyższy stały limit czasu dla zasad zezwalających na wychodzący ruch HTTPS.
Możesz także skonfigurować wyższe ustawienie stałego limitu czasu dla ruchu Voice Over IP (VoIP) i wideokonferencji, aby zapewnić lepszą
obsługę.
Ustawienia sieci
Jeśli nie używasz określonej polityki HTTPS w konfiguracji Firebox (na przykład masz politykę zezwalającą na połączenia wychodzące
przez dowolny port TCP), możesz dodać politykę zezwalającą tylko na ruch na porcie 443. Następnie możesz dostosować limit czasu
stałego połączenia w tej zasadzie bez wpływu na inne połączenia.
W niektórych przypadkach możesz chcieć przeznaczyć niektóre interfejsy Firebox na BOVPN, mobilną sieć VPN lub zasady korzystające z
SD WAN. Możesz dołączyć lub wykluczyć interfejsy z wielu sieci WAN. Jednak wszystkie metody wielu sieci WAN, z wyjątkiem tablicy routingu,
muszą zawierać co najmniej dwa interfejsy.
Ustawienia sieci
SD-WAN
Gdy określisz akcję SD-WAN w polityce, Firebox kieruje ruch zgodny z polityką do interfejsów określonych w akcji SD-WAN. SD-WAN ma pierwszeństwo
przed decyzją o routingu, którą Fireware zastosowałby w innym przypadku na podstawie metody wielu sieci WAN lub tabeli tras.
Możesz użyć SD-WAN do kierowania ruchu dla zasad przez interfejs zewnętrzny, interfejs wewnętrzny lub interfejs wirtualny BOVPN.
Aby uzyskać więcej informacji na temat SD-WAN, zobacz Sieć WAN zdefiniowana programowo (SD-WAN).
Przełączenie awaryjne występuje, gdy interfejs, który był wcześniej aktywny, nie może wysyłać ruchu do sieci zewnętrznych.
Powrót po awarii następuje, gdy interfejs, który wcześniej nie był w stanie dotrzeć do lokalizacji zewnętrznych, ponownie staje się aktywny.
Interfejs zewnętrzny może przestać działać z powodu awarii logicznej lub fizycznej. Na przykład, jeśli odłączysz kabel Ethernet od interfejsu Firebox,
wystąpi fizyczna awaria. Jeśli sonda ping monitora łącza ulegnie awarii, błąd logiczny
występuje.
Jeśli zewnętrzny interfejs ulegnie awarii, Firebox usuwa ten zewnętrzny interfejs ze wszystkich decyzji o routingu. Działanie, jakie podejmuje Firebox, zależy
od aktualnie używanej metody multi-WAN:
n Round-robin — Firebox usuwa uszkodzony interfejs z grupy Round-robin. Jeśli Twoja grupa okrężna ma tylko dwa interfejsy zewnętrzne,
wszystkie połączenia wychodzące korzystają teraz z pozostałego aktywnego interfejsu. Jeśli Twoja grupa okrężna ma więcej niż dwa zewnętrzne
interfejsy, Firebox zmniejsza rozmiar grupy, tak aby zawierała tylko pozostałe aktywne interfejsy. Firebox nadal wykorzystuje względne wagi
pozostałych interfejsów do podejmowania decyzji dotyczących routingu.
n Failover — Firebox usuwa uszkodzony interfejs z grupy przełączania awaryjnego. Ruch przechodzi przez następne
dostępny interfejs na liście przełączania awaryjnego.
n Przepełnienie interfejsu — Firebox usuwa uszkodzony interfejs z grupy Przepełnienie interfejsu. Firebox używa progu przepełnienia interfejsu
przypisanego do każdego interfejsu, aby określić, który z nich ma być używany dla ruchu wychodzącego. Jeśli grupa interfejsów przepełnienia
interfejsu ma tylko dwa interfejsy zewnętrzne, wszystkie połączenia wychodzące będą teraz korzystać z pozostałego aktywnego interfejsu.
n Tablica routingu — Firebox usuwa uszkodzony interfejs z grupy ECMP. ECMP nadal podejmuje decyzje dotyczące tras na podstawie zewnętrznych
interfejsów, które pozostają aktywne.
Powrót po awarii
Gdy ponownie podłączysz interfejs lub sondy Link Monitor stwierdzą, że interfejs jest ponownie aktywny, Firebox ponownie udostępnia interfejs dla
ruchu wychodzącego.
Ustawienia Interwał sondy i Reaktywacja po na karcie Link Monitor określają, jak długo trwa ten proces. Jeśli zachowasz ustawienia domyślne, Firebox
wysyła sondę co pięć sekund i ponownie aktywuje interfejs po trzech udanych próbach w celu wykrycia awarii łącza logicznego.
Nowe połączenia wychodzące, o ile nie pasują do wpisu w tabeli połączeń trwałych, zaczynają korzystać z aktywnego teraz interfejsu zewnętrznego w
oparciu o wybraną metodę wielu sieci WAN.
Ustawienia sieci
Istniejące połączenia (w tym ruch zgodny z wpisem w tabeli połączeń trwałych) zachowują się zgodnie z opcją wybraną na liście rozwijanej Powrót po awarii dla
aktywnych połączeń :
RST są wysyłane w celu zamknięcia wszystkich otwartych połączeń TCP. o Porty NAT, które
są otwarte dla zwrotnych pakietów UDP, są zamknięte. o Tabela lepkich połączeń jest
czyszczona.
o Wszystkie aktualnie aktywne połączenia mogą zostać zakończone, zanim Fireware zacznie używać metody multi-WAN do wysyłania ich przez inny
interfejs zewnętrzny.
o Wszystkie połączenia korzystają z interfejsu powrotu po awarii i nigdy nie przełączają się na oryginalny interfejs.
Wybierz opcję Natychmiastowy powrót po awarii, jeśli linia zapasowa jest droga, chcesz używać linii zapasowej tylko w sytuacjach awaryjnych, a Twoja
Wybierz opcję Stopniowy powrót po awarii , jeśli Twoja organizacja nie może tolerować przerwanych połączeń w przypadku powrotu po awarii.
Wybierz opcję Bez powrotu po awarii , jeśli nie masz preferencji, który interfejs jest aktywnym interfejsem po zdarzeniu przełączenia awaryjnego.
Ustawienia sieci
Przełączanie awaryjne jest domyślną metodą wielu sieci WAN. Użyj tej metody, jeśli chcesz:
n Używaj jednego zewnętrznego interfejsu dla całego ruchu i masz innego dostawcę usług internetowych, z którego możesz skorzystać, jeśli główna linia przestanie działać
w dół.
n Zarezerwuj interfejs WAN2 dla specjalnego ruchu i używaj WAN1 dla całego innego ruchu. Jeśli podstawowa sieć WAN1
połączenie zostanie zerwane, cały ruch może korzystać z WAN2 w przypadku awarii awaryjnej.
Jak to działa
Firebox przesyła cały ruch przez zewnętrzny interfejs u góry listy w oknie dialogowym Multi-WAN Failover Configuration . Jeśli ten
interfejs nie jest aktywny, Firebox sprawdza następny zewnętrzny interfejs na liście. Pierwszy aktywny interfejs na liście jest bramą dla całego
ruchu wychodzącego.
Jeśli Firebox wykryje awarię łącza Ethernet, nastąpi natychmiastowe przełączenie awaryjne. Domyślne opcje sondy to:
Jeśli interfejs zewnętrzny, który wcześniej był wyłączony, ponownie stanie się aktywny i znajduje się wyżej na twojej liście niż aktualnie aktywny
interfejs zewnętrzny, Firebox natychmiast zacznie wysyłać wszystkie nowe połączenia przez aktywny interfejs zewnętrzny, który jest teraz najwyżej
na liście, chyba że wybierz opcję Brak powrotu po awarii .
Musisz określić, w jaki sposób Firebox obsługuje istniejące połączenia, które obecnie korzystają z interfejsu znajdującego się teraz niżej na
liście. Aby uzyskać informacje na temat opcji powrotu po awarii, zobacz poprzednią sekcję.
Jak to skonfigurować
Aby skonfigurować tę metodę, wybierz Failover w konfiguracji multi-WAN.
Ustawienia sieci