Network Security Essentials Study Guide Local EN-US-strony-1-100-PL

Machine Translated by Google
Szkolenie WatchGuard
Podstawy bezpieczeństwa sieci dla
lokalnie zarządzanych Fireboxów
Przewodnik po studiach
WatchGuard zarządzane lokalnie Fireboxy
Przewodnik poprawiony dla: Fireware v12.9.2
Data aktualizacji: marzec 2023 r

O tym dokumencie
Informacje zawarte w tym dokumencie mogą ulec zmianie bez powiadomienia. Firmy, nazwy i dane użyte w przykładach są fikcyjne, chyba że zaznaczono inaczej.
Żadna część tego dokumentu nie może być powielana ani przekazywana w jakiejkolwiek formie lub w jakikolwiek sposób, elektroniczny lub mechaniczny, w jakimkolwiek
celu, bez wyraźnej pisemnej zgody firmy WatchGuard Technologies, Inc.
Przewodnik zaktualizowany: 9 marca 2023 r
Informacje o prawach autorskich, znakach towarowych i patentach
Copyright © 2023 WatchGuard Technologies, Inc. Wszelkie prawa zastrzeżone.

Wszystkie znaki towarowe lub nazwy handlowe wymienione w niniejszym dokumencie, jeśli istnieją, są własnością ich odpowiednich właścicieli.
O WatchGuardzie Adres
505 Piąta Aleja Południe

WatchGuard® Technologies, Inc. to światowy lider w dziedzinie bezpieczeństwa sieci,
Apartament 500
oferujący najlepsze w swojej klasie ujednolicone zarządzanie zagrożeniami, zaporę nowej
Seattle, Waszyngton 98104
generacji, bezpieczne Wi-Fi oraz produkty i usługi analizy sieci dla ponad 75 000 klientów na całym
świecie. Misją firmy jest udostępnianie zabezpieczeń klasy korporacyjnej firmom
wszystkich typów i rozmiarów poprzez prostotę, dzięki czemu WatchGuard jest idealnym
rozwiązaniem dla rozproszonych przedsiębiorstw i małych i średnich firm.

Wsparcie
www.watchguard.com/support Stany
Siedziba WatchGuard znajduje się w Seattle w stanie Waszyngton, a biura znajdują się w
Zjednoczone i Kanada +877.232.3531
Ameryce Północnej, Europie, regionie Azji i Pacyfiku oraz Ameryce Łacińskiej.
Wszystkie inne kraje +1.206.521.3575
Aby dowiedzieć się więcej, odwiedź WatchGuard.com.
Aby uzyskać dodatkowe informacje, promocje i aktualizacje, śledź WatchGuard na
Twitterze, @WatchGuard na Facebooku lub na stronie firmowej LinkedIn. Odwiedź także Obroty
nasz blog InfoSec, Secplicity, aby uzyskać aktualne informacje o najnowszych zagrożeniach i
sposobach radzenia sobie z nimi na stronie www.secplicity.org.

USA i Kanada +1.800.734.9905
Wszystkie inne kraje +1.206.613.0895
Przewodnik po podstawach bezpieczeństwa sieci dla lokalnie zarządzanych Fireboxów 2

Zawartość
Jak korzystać z tego podręcznika 7
Konfiguracja i zarządzanie paleniskiem 9
Skonfiguruj nowy Firebox 10
Narzędzia do zarządzania Fireboxem 16
Pliki konfiguracyjne i obrazy kopii zapasowych 18
Administracja oparta na rolach 23
Klucze funkcji 25
Ulepsz palenisko 28
Domyślna ochrona przed zagrożeniami 32
Ustawienia globalne i NTP 36
Zasady Wprowadzenie 39
Rejestrowanie i monitorowanie 43
Rejestrowanie i powiadamianie 44
Rodzaje komunikatów dziennika 46
Firebox Widoczność z WatchGuard Cloud 49
Skonfiguruj wymiar dla rejestrowania Firebox 51
Skonfiguruj logowanie Firebox do wymiaru 52
Monitorowanie za pomocą Firebox System Manager 53
Monitorowanie za pomocą Fireware Web UI 57
Czytaj komunikaty dziennika ruchu w Monitorze ruchu 60
Synchronizacja zagrożeń 62
Monitoruj zagrożenia i reaguj na nie za pomocą ThreatSync 63
Ustawienia sieci 68
Tryby routingu sieciowego 69
Interfejsy 71
WINS/DNS w trybie routingu mieszanego 75
Mosty sieciowe 76
Sieci drugorzędne 79
VLANy 82

Routing statyczny 90
Wiele sieci WAN 92
Awaryjne przełączanie wielu sieci WAN 99
Przepełnienie interfejsu Multi-WAN 102
Okrągły ruch wielu sieci WAN 104
Tabela routingu wielu sieci WAN 108
Monitor łącza 110
Logika decyzji o routingu 114
Sieć WAN zdefiniowana programowo (SD-WAN) 119
Dynamiczny NAT 123
Statyczny NAT (SNAT) 126
NAT 1 do 1 128
Pętla zwrotna NAT 130
Zarządzanie ruchem 132
Jakość usług (QoS) 139
Zasady zapory sieciowej 141
Źródło i miejsce docelowe zasad 142
Zasady zarządzania 145
Ogranicz zakres zasad 146
Priorytet polityki 148
Ukryte zasady 150
Rejestrowanie zasad i powiadamianie 152
Harmonogramy zasad 155
Filtry pakietów i zasady proxy 156
Służby Bezpieczeństwa 159
Przegląd usług bezpieczeństwa 160
Globalnie skonfigurowane usługi bezpieczeństwa 164
Usługa zapobiegania włamaniom 167
Kontrola aplikacji 169
Geolokalizacja 173
Blokowanie węzła wyjściowego Tora 176
Serwery proxy i usługi oparte na proxy 179

Pełnomocnicy i Akcje Pełnomocników 180
Skanowanie antywirusowe i serwery proxy 183
Bloker APT 188
Zasady serwera proxy SMTP 193
SpamBlocker 195
Zasady serwera proxy HTTP i działania serwera proxy 198
WebBlocker oraz serwery proxy HTTP i HTTPS 206
Zasady serwera proxy HTTPS 209
Akcje treści i akcje routingu 218
Uwierzytelnianie 222
Serwery uwierzytelniające 223
Uwierzytelnianie Fireboxa 224
Serwer uwierzytelniania AuthPoint 228
Serwery uwierzytelniające innych firm 230
Serwery uwierzytelniania LDAP 232
Serwery uwierzytelniania usługi Active Directory 235
Serwery uwierzytelniające RADIUS 239
Serwery uwierzytelniające SecurID 241
Użytkownicy i grupy w zasadach 242
Mobilny VPN 245
Wprowadzenie do mobilnej sieci VPN 246
Wybierz typ mobilnej sieci VPN 248
Mobilny VPN z IKEv2 251
Mobilny VPN z L2TP 252
Mobilny VPN z SSL 254
Przegląd konfiguracji 256
Pliki konfiguracyjne klienta 260
Opcje routingu mobilnego VPN 262
VPN oddziału 264
BOVPN Wprowadzenie 265
Topologia 266
Fireware typy BOVPN 267

Algorytmy i protokoły IPSec VPN 270
Zasady i ruch VPN 275
Negocjacje VPN 277
Konfiguracja BOVPN 281
Konfiguracja interfejsu wirtualnego BOVPN 290
BOVPN i NAT 295
BOVPN i dynamiczne publiczne adresy IP 297
BOVPN przez TLS 302
Topologie BOVPN 303
Rozwiązywanie problemów z tunelami BOVPN 305
Dodatkowe zasoby 313
Konfiguracja i zarządzanie Firebox Dodatkowe zasoby 314
Dodatkowe zasoby dotyczące rejestrowania i monitorowania 317
Dodatkowe zasoby ThreatSync 319
Dodatkowe zasoby dotyczące ustawień sieciowych 320
Zasady zapory Dodatkowe zasoby 322
Dodatkowe zasoby dotyczące usług bezpieczeństwa 324
Dodatkowe zasoby dotyczące serwerów proxy i usług opartych na serwerach proxy 327
Dodatkowe zasoby dotyczące uwierzytelniania 330
Dodatkowe zasoby mobilnej sieci VPN 331
Dodatkowe zasoby BOVPN 332
Informacje o egzaminie Podstawy zabezpieczeń sieci dla lokalnie zarządzanych Fireboxów 334
Opis egzaminu 335
Przykładowe pytania egzaminacyjne 339

Jak korzystać z tego podręcznika

Ten przewodnik obejmuje kurs Network Security Essentials for Locally-Managed Fireboxes i jest zasobem, który pomoże Ci przygotować się do egzaminu
certyfikacyjnego Network Security Essentials for Locally-Managed Fireboxes .
Skorzystaj z tego przewodnika w połączeniu ze szkoleniem prowadzonym przez instruktora, szkoleniem wideo online i demonstracjami oraz dokumentacją
Centrum pomocy WatchGuard, aby przygotować się do egzaminu.
Aby zapoznać się z listą zalecanej dokumentacji i zasobów wideo, które pomogą Ci przygotować się do egzaminu, zobacz Dodatkowe zasoby.
Aby uzyskać informacje na temat treści i formatu egzaminu, zobacz Informacje o egzaminie Network Security Essentials for Locally-Managed Fireboxes.
WatchGuard zapewnia szkolenia i kursy online, które pomogą Ci przygotować się do egzaminu Network Security
Essentials. Oprócz tego przewodnika, szkolenia i materiałów szkoleniowych zdecydowanie zalecamy zainstalowanie i
wdrożenie jednego lub kilku urządzeń Firebox z Fireware w wersji 12.9.2 lub nowszej oraz zarządzanie nimi przed
rozpoczęciem egzaminu.
Konwencje dokumentów
W tym dokumencie zastosowano następujące konwencje formatowania, aby wyróżnić określone typy informacji:
To kluczowy punkt. Podkreśla lub podsumowuje kluczowe informacje w sekcji.
To jest uwaga. Podkreśla ważne lub przydatne informacje.
To jest najlepsza praktyka. Opisuje zalecaną konfigurację funkcji Firebox.

PRZYPADEK UŻYCIA:
To jest przypadek użycia. Opisuje, w jaki sposób można skonfigurować Firebox w rzeczywistym scenariuszu.
To jest ostrzeżenie. Przeczytaj uważnie. Istnieje ryzyko, że możesz utracić dane, naruszyć integralność
systemu lub wpłynąć na wydajność urządzenia, jeśli nie zastosujesz się do instrukcji lub zaleceń.

Konfiguracja i zarządzanie paleniskiem

Aby skonfigurować nowy Firebox, musisz wiedzieć, jak go aktywować, jak korzystać z kreatorów konfiguracji i jak korzystać z
narzędzi do zarządzania.
W tej części dowiesz się o:
n Kreatory aktywacji i konfiguracji Firebox n
Domyślne zasady i usługi subskrypcji
n Narzędzia zarządzania Firebox n
Pliki konfiguracyjne Firebox i obrazy kopii zapasowych
n Klawisze
funkcyjne n Aktualizacje Fireware OS

n Domyślna ochrona przed zagrożeniami
n Ustawienia globalne, NTP i SNMP
n Podstawy polityki zapory
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz Dodatkowe zasoby dotyczące konfiguracji i zarządzania Firebox.
WatchGuard zapewnia szkolenia i kursy online, które pomogą Ci przygotować się do egzaminu Network
Security Essentials. Oprócz tego przewodnika, szkolenia i materiałów szkoleniowych zdecydowanie
zalecamy zainstalowanie i wdrożenie jednego lub kilku urządzeń Firebox z Fireware w wersji 12.9.2 lub
nowszej oraz zarządzanie nimi przed rozpoczęciem egzaminu.

Skonfiguruj nowy Firebox

Istnieją dwa sposoby konfiguracji nowego Fireboxa:
n Lokalnie zarządzane — Użyj kreatora konfiguracji, aby skonfigurować urządzenie. Po wstępnej konfiguracji użyj Fireware Web
UI lub WatchGuard System Manager do zarządzania konfiguracją.
n Zarządzanie w chmurze — Dodaj Firebox do WatchGuard Cloud i skonfiguruj go jako urządzenie zarządzane w chmurze. Kiedy Firebox
uruchamia się z domyślnymi ustawieniami fabrycznymi, łączy się z WatchGuard Cloud, aby pobrać swoją konfigurację.
W tym przewodniku opisano, jak korzystać z kreatorów konfiguracji, aby skonfigurować Firebox jako urządzenie zarządzane lokalnie z
podstawowymi ustawieniami sieciowymi i zalecanymi zasadami.
Kreatory konfiguracji konfigurują: n

Sieci zewnętrzne (Eth0) i zaufane (Eth1) n Hasła do kont
użytkowników administracyjnych n Domyślne zasady i
licencjonowane usługi bezpieczeństwa zezwalające na połączenia wychodzące
Firebox musi mieć klucz funkcji, aby kreatorzy konfiguracji mogli skonfigurować wszystkie funkcje i licencjonowane
usługi. Firebox może automatycznie pobrać klucz funkcji lub dodać go ręcznie podczas uruchamiania kreatorów
instalacji.
Aktywacja paleniska
Zanim skonfigurujesz nowy Firebox, musisz go aktywować na stronie WatchGuard. Aby aktywować Firebox, przejdź do www.watchguard.com/
activate.
Aby aktywować Firebox, musisz mieć:
n Konto na stronie WatchGuard — Aby utworzyć nowe konto WatchGuard, przejdź do

https://login.watchguard.com/AccountManager/Login/StartRegistration.
n Numer seryjny Firebox
Po aktywacji Firebox skopiuj i wklej klucz funkcji do pliku lokalnego.

Ustawienia Fabryczne
Nowy Firebox jest dostarczany z domyślnymi ustawieniami fabrycznymi. Możesz także zresetować Firebox do domyślnych ustawień fabrycznych, jeśli
niezbędny.
Domyślne ustawienia interfejsu
Ethernet 0 (Eth0) n Interfejs zewnętrzny/interfejs skierowany do dostawcy usług internetowych
n Włączony jako klient DHCP
n Nie jest wymagane podłączenie Eth0 do sieci podczas uruchamiania instalacji

kreatorów, ale zaleca się włączenie bardziej zautomatyzowanych opcji w kreatorze instalacji
Ethernet 1 (Eth1) n Zaufany interfejs
n Adres IP: 10.0.1.1/24
n Włączony jako serwer DHCP
n Firebox przydziela adresy IP w podsieci 10.0.1.0/24 podłączonym komputerom (jeśli podłączony

komputer jest skonfigurowany jako klient DHCP)
Ethernet 2 (Eth2) i nowsze n Opcjonalne interfejsy

n Domyślne adresy IP interfejsu to 10.0.x.1/24 gdzie x = numer interfejsu
n DHCP jest wyłączony
n Po uruchomieniu kreatora konfiguracji sieci te interfejsy są wyłączone
Ethernet 24 (Eth24) — n Zaufany interfejs

Tylko Firebox M4800 n Adres IP: 10.0.24.1
n Włączony jako serwer DHCP i skonfigurowany do przydzielania adresów IP na serwerze

Podsieć 10.0.24.0/24
n Po uruchomieniu Kreatora konfiguracji sieci Web lub Kreatora szybkiej instalacji należy
podłączyć komputer do interfejsu 24 lub do sieci podłączonej do interfejsu 24

Ethernet 32 (Eth32) — n Zaufany interfejs

Tylko Fireboxy M5600 i 5800
adres IP : 10.0.32.1
n Włączony jako serwer DHCP i skonfigurowany do przydzielania adresów IP na serwerze

Podsieć 10.0.32.0/24
n Po uruchomieniu Kreatora konfiguracji sieci Web lub Kreatora szybkiej instalacji należy podłączyć
komputer do interfejsu 32 lub do sieci podłączonej do interfejsu 32
Bezprzewodowe — Firebox n W oprogramowaniu Fireware w wersji 12.5.3 i nowszych łączność bezprzewodowa jest włączona z tymi domyślnymi sieciami Wi-Fi
tylko modele bezprzewodowe ustawienia:
n SSID: model Firebox plus ostatnia część bezprzewodowego adresu MAC.
n Hasło: numer seryjny paleniska z myślnikiem.
n Interfejs bezprzewodowy (Ath1) i interfejs zaufany (Eth1) są członkami a

bridge, który używa tych ustawień domyślnych:
n Zaufany interfejs
n Adres IP: 10.0.1.1/24
n Włączony jako serwer DHCP
n Firebox przypisuje adresy IP w podsieci 10.0.1.0/24 do

podłączonych komputerów (jeśli podłączony komputer jest skonfigurowany jako
klient DHCP)
Przy domyślnych ustawieniach fabrycznych Firebox umożliwia zarządzanie połączeniami na dowolnym zaufanym lub opcjonalnym interfejsie.
Ponieważ interfejs 1 (Eth1) jest domyślnie włączony jako serwer DHCP, zalecamy podłączenie komputera zarządzającego do interfejsu 1 w celu
uruchomienia kreatorów konfiguracji. Firebox umożliwia również jedno połączenie wychodzące z zaufanej sieci do dowolnej sieci zewnętrznej.
W przypadku bezprzewodowego Fireboxa z Fireware w wersji 12.5.3 lub nowszej możesz także połączyć się przez Wi-Fi, aby uruchomić kreatora
konfiguracji. Zobacz na naklejce dołączonej do Firebox domyślny identyfikator SSID i hasło sieci Wi-Fi.
Kreatory konfiguracji
Istnieją dwa kreatory konfiguracji, których możesz użyć do skonfigurowania Firebox.
Kreator konfiguracji sieci
Kiedy Firebox uruchamia się z domyślnymi ustawieniami fabrycznymi, możesz połączyć się z Firebox i uruchomić Web Setup Wizard, aby
skonfigurować Firebox. Kreatora konfiguracji sieci można uruchomić z dowolnego komputera wyposażonego w przeglądarkę internetową.
Aby uruchomić Kreatora konfiguracji sieci Web, w przeglądarce internetowej wpisz https://10.0.1.1:8080. Jeśli interfejs zewnętrzny jest podłączony
do sieci z dostępem do Internetu, kreator konfiguracji sieciowej może aktywować Firebox i pobrać wymagany klucz funkcyjny.
Kreator szybkiej instalacji
Kreator szybkiej instalacji jest elementem programu WatchGuard System Manager, za pomocą którego można wykryć i skonfigurować Firebox. Aby
uruchomić Kreatora szybkiej instalacji, w Menedżerze systemu WatchGuard wybierz Narzędzia > Kreator szybkiej konfiguracji.

Kreator szybkiej instalacji nie pomaga w aktywacji urządzenia, ale udostępnia dodatkowe opcje konfiguracji sieci, które nie są
dostępne w Kreatorze konfiguracji sieciowej, takie jak opcjonalna konfiguracja interfejsu.
W Kreatorze szybkiej instalacji, jeśli skonfigurujesz interfejs zewnętrzny ze statycznym adresem IP, możesz
wybrać opcję używania tego samego adresu IP dla zaufanego interfejsu. To konfiguruje Firebox w trybie Drop-In.
Aby uruchomić kreatora konfiguracji, potrzebujesz:
n Klucz funkcji — Klucz funkcji jest wymagany do pełnej funkcjonalności Firebox i umożliwia kreatorowi konfiguracji
automatycznie konfigurować usługi subskrypcji. o Jeśli Eth0
w Firebox jest podłączony do sieci z dostępem do Internetu, kreatorzy konfiguracji automatycznie pobiorą klucz funkcji z
WatchGuard.
o Jeśli Firebox nie ma dostępu do Internetu, musisz ręcznie skopiować klucz funkcji i wkleić go do kreatora instalacji. Aby otrzymać
klucz funkcji, zaloguj się do portalu WatchGuard, wybierz Centrum pomocy > Zarządzaj produktami i wyszukaj urządzenie
Firebox według numeru seryjnego. Na stronie Szczegóły produktu kliknij Uzyskaj klucz funkcji.
n Komputer z kartą interfejsu sieciowego Ethernet (lub Wi-Fi do połączenia z uruchomioną bezprzewodową Firebox
Fireware w wersji 12.5.3 lub
nowszej) n Konfiguracja sieci zewnętrznej (DHCP, statyczna lub PPPoE) n
Adres IP zaufanej sieci — Adres IP i pula DHCP dla sieci wewnętrznej.
Przed uruchomieniem kreatora instalacji podłącz komputer zarządzający do Eth1. Podłącz Eth0 do sieci z dostępem do Internetu.
Domyślnie interfejs zewnętrzny używa DHCP do żądania adresu IP, aby Firebox mógł połączyć się z Internetem.
Aby utworzyć nową konfigurację dla lokalnie zarządzanego Fireboxa, połącz się z Fireboxem za pomocą jednego z kreatorów instalacji i
wybierz metodę konfiguracji New Configuration.
W obu kreatorach konfiguracji można skonfigurować podstawowe ustawienia sieci dla Eth0 i Eth1 oraz ustawić hasła dla kont
użytkowników administracyjnych. Kreatorzy konfigurują zasady i usługi z zalecanymi ustawieniami, aby zezwalać tylko na połączenia
wychodzące.
W oprogramowaniu Fireware w wersji 12.5.3 i nowszych kreatory konfiguracji zawierają opcje konfiguracji ustawień sieci bezprzewodowej.
Kreator konfiguracji skonfiguruje interfejs bezprzewodowy jako członek zaufanego mostu sieciowego, który zawiera również interfejs 1. Most
korzysta z ustawień zaufanej sieci skonfigurowanych w kreatorze konfiguracji.

Inne metody konfiguracji

Kreator konfiguracji sieci zawiera następujące dodatkowe metody konfiguracji:
n Cloud Managed — Skonfiguruj ustawienia sieciowe, aby Firebox mógł połączyć się z WatchGuard Cloud w celu pobrania
konfiguracja.
n RapidDeploy — Skonfiguruj ustawienia sieciowe, aby Firebox mógł połączyć się z WatchGuard w celu pobrania
konfiguracja stworzona dla RapidDeploy.
n Obraz kopii zapasowej — Przywróć konfigurację z wyeksportowanego obrazu kopii zapasowej.
Te opcje nie są omówione w tym szkoleniu.
Domyślne zasady i usługi
Kreatory konfiguracji automatycznie tworzą nową konfigurację z następującymi domyślnymi zasadami i usługami:
Zasady domyślne
n FTP-proxy n
HTTP-proxy n
HTTPS-proxy
n Portal certyfikatów WatchGuard
n Internetowy interfejs użytkownika WatchGuard
n Ping
n DNS
n Strażnik
n Wychodzące
Włączone usługi (jeśli są licencjonowane w kluczu funkcji)
n WebBlocker
n Brama antywirusowa
n Zapobieganie włamaniom
n Kontrola aplikacji n
Ochrona oparta na reputacji
n Blokowanie APT
n Wykrywanie botnetów
n Geolokalizacja

Terminy przychodzące i wychodzące odnoszą się do tego, czy połączenie sieciowe wychodzi, czy
wchodzi do sieci chronionej przez zaporę ogniową. Połączenia wychodzące pochodzą z chronionej sieci i kierują
ruch do sieci zewnętrznej. Połączenia przychodzące pochodzą z sieci zewnętrznej i łączą się z lokalizacją w sieci
wewnętrznej (chronionej).
Domyślne zasady zezwalają na wychodzące połączenia FTP, Ping, TCP i UDP i nie zezwalają na połączenia przychodzące.
Domyślne akcje proxy FTP, HTTP i HTTPS włączają usługi i umożliwiają rejestrowanie raportów.

Narzędzia do zarządzania Fireboxem

Aby zarządzać i monitorować lokalnie zarządzaną Firebox, możesz użyć jednego z tych narzędzi:
n Menedżer systemu WatchGuard > Menedżer zasad

n Zaporowy interfejs sieciowy
n Interfejs wiersza poleceń Fireware (CLI)
Możesz także dodać swój Firebox do WatchGuard Cloud jako urządzenie zarządzane w chmurze, aby zarządzać
i monitorować urządzenie z WatchGuard Cloud. Jeśli skonfigurujesz Firebox jako urządzenie zarządzane w
chmurze, nie możesz korzystać z lokalnych narzędzi do zarządzania urządzeniami. Konfiguracja urządzeń
zarządzanych w chmurze wykracza poza zakres tego przewodnika.
Menedżer systemu WatchGuard

WatchGuard System Manager (WSM) jest podstawowym narzędziem do zarządzania używanym do monitorowania i zarządzania Fireboxami
i serwerami WatchGuard. WSM to aplikacja instalowana na komputerze z systemem Windows. Z WSM możesz otworzyć Policy Managera,
aby zbudować plik konfiguracyjny dla Fireboxa, całkowicie offline.
W WSM możesz:
n Wstępnie skonfiguruj Firebox — utwórz nowy plik konfiguracyjny, który później zapiszesz w Firebox n
Zaktualizuj istniejącą konfigurację, zapisz zmiany w lokalnym pliku, a następnie wdróż je do Firebox, kiedy
są gotowi
n Automatycznie zapisuj kopię zapasową pliku konfiguracyjnego na komputerze podczas zapisywania konfiguracji
do paleniska
n Otwórz poprzednio zapisany plik konfiguracyjny i zapisz go w Fireboxie n Przeprowadź
migrację konfiguracji z jednego Fireboxa do innego Fireboxa
Możesz także użyć WSM, aby połączyć się z serwerem zarządzania WatchGuard w celu scentralizowanego
zarządzania Fireboxami. WatchGuard Management Server wykracza poza zakres tego przewodnika.
Instalujesz program WatchGuard System Manager na komputerze zarządzającym systemem Windows. Aby pobrać najnowszą wersję
WatchGuard System Manager, przejdź do www.watchguard.com/support i kliknij Pobierz oprogramowanie.

Internetowy interfejs użytkownika Fireware
Fireware Web UI to oparte na przeglądarce narzędzie do zarządzania Firebox. Możesz połączyć się z interfejsem Fireware Web UI z przeglądarki
internetowej na dowolnym urządzeniu w sieci lokalnej.
Zmiany konfiguracji dokonane w interfejsie Fireware Web UI zaczynają obowiązywać natychmiast. W przeciwieństwie do WSM, nie zapisujesz zmian
w lokalnie przechowywanym pliku konfiguracyjnym i nie zapisujesz ich jednocześnie w Fireboxie. W Fireware Web UI podczas pracy zapisujesz
każdą zmianę w Fireboxie.
Kiedy zapisujesz zmianę konfiguracji Firebox z Fireware Web UI, zaktualizowany plik konfiguracyjny nie jest automatycznie zapisywany w pliku
lokalnym.
Jeśli używasz Fireware Web UI do modyfikowania konfiguracji, zalecamy ręczne zapisanie kopii konfiguracji w pliku przed i
po wprowadzeniu znaczących zmian.
Fireware Web UI może importować istniejące pliki konfiguracyjne XML, które zostały zapisane z Web UI lub zapisane
z Policy Manager za pomocą opcji Zapisz jako wersję .
Interfejs wiersza poleceń Fireware
Fireware zawiera również interfejs wiersza poleceń (CLI). Możesz użyć CLI do zarządzania Firebox przez interfejs sieciowy z połączeniem SSH
na porcie 4118 lub przez port szeregowy konsoli Firebox.
Chmura WatchGuard
W WatchGuard Cloud możesz dodać Firebox jako lokalnie zarządzane urządzenie. Zarządzasz konfiguracją urządzenia w WSM, Fireware Web UI
lub Command Line Interface. Możesz monitorować stan na żywo oraz wyświetlać komunikaty dziennika i raporty dla urządzeń zarządzanych
lokalnie, które dodajesz do chmury WatchGuard.
WatchGuard Cloud obsługuje tę funkcjonalność dla urządzeń zarządzanych lokalnie:
n Inicjowanie działań systemowych (RapidDeploy, aktualizacja oprogramowania układowego, tworzenie kopii zapasowych i
ponowne uruchamianie) n Monitorowanie stanu na żywo (status sieci, trasy, sieci VPN, użytkownicy itp.)
n Przeglądaj komunikaty dziennika i raporty

Pliki konfiguracyjne i obrazy kopii zapasowych

Zarówno pliki konfiguracyjne, jak i obrazy kopii zapasowych są ważne dla odzyskiwania po awarii.
Pliki konfiguracyjne i obrazy kopii zapasowych mają różną zawartość i zastosowania. n

Plik konfiguracyjny zawiera ustawienia konfiguracji urządzenia i może być użyty do przywrócenia wcześniejszej
konfiguracji lub migracji ustawień konfiguracyjnych z jednego Fireboxa do innego
n Obraz kopii zapasowej zawiera plik konfiguracyjny i inne elementy unikalne dla określonego
Firebox i można go przywrócić tylko do tego samego Firebox
Pliki konfiguracyjne
Ustawienia konfiguracyjne Firebox są przechowywane w pliku konfiguracyjnym. Kiedy edytujesz konfigurację Firebox za pomocą Policy
Manager, zapisujesz również konfigurację Firebox w pliku lokalnym.
Plik konfiguracyjny urządzenia zawiera wszystkie dane konfiguracyjne, opcje, adresy IP i inne informacje
dotyczące Firebox. Na urządzeniu Firebox plik konfiguracyjny współpracuje z systemem operacyjnym Fireware
w celu kontrolowania przepływu ruchu przez urządzenie Firebox. Rozszerzenie pliku konfiguracji urządzenia to
xml .
W Fireware Web UI za każdym razem, gdy dokonujesz zmiany w konfiguracji, zmiana jest natychmiast zapisywana
w Firebox. Z interfejsu internetowego można również pobrać konfigurację do skompresowanego pliku
konfiguracyjnego (.gz). Możesz przywrócić wcześniej pobrany plik konfiguracyjny.
W WatchGuard System Manager możesz tworzyć i zapisywać pliki konfiguracyjne. Możesz przywrócić lub skopiować
plik konfiguracyjny Firebox na wiele urządzeń.
Przed wprowadzeniem większych zmian w konfiguracji Firebox zalecamy zapisanie kopii pliku konfiguracyjnego. Jeśli
masz problemy z nową konfiguracją, możesz otworzyć zapisaną kopię starej konfiguracji w Policy Manager i zapisać
ją z powrotem w Firebox.
Pliki konfiguracyjne nie zawierają tych elementów, które są unikalne dla określonego urządzenia:
n Klucze funkcyjne
n Użytkownicy i hasła n
Certyfikaty
Oprogramowanie układowe

Możesz skopiować lub przenieść plik konfiguracyjny utworzony na jednym Fireboksie do innego Fireboxa. Możesz nawet zapisać plik
konfiguracyjny w innym modelu Firebox. Jest to przydatne, jeśli zarządzasz wieloma urządzeniami i chcesz używać tej samej konfiguracji.
Jeśli przeprowadzasz migrację pliku konfiguracyjnego z jednego urządzenia Firebox do innego modelu z mniejszą
liczbą interfejsów, pamiętaj o przejrzeniu ustawień interfejsu sieciowego. Jeśli zapiszesz plik konfiguracyjny w
modelu z mniejszą liczbą interfejsów niż oryginalny Firebox, ustawienia konfiguracji dla dodatkowych
interfejsów zostaną usunięte.
W Policy Manager możesz wybrać Plik > Zapisz > Jako wersję , aby zapisać plik konfiguracyjny dla określonej wersji Fireware. Jest to
przydatne, gdy chcesz zapisać plik konfiguracyjny w Fireboksie z inną wersją Fireware lub użyć RapidDeploy (nie omówionego w tym
przewodniku).
Aby zapisać plik konfiguracyjny, który można przywrócić za pomocą interfejsu Fireware Web UI, podczas
zapisywania pliku z programu Policy Manager należy użyć opcji Plik > Zapisz > Jako wersja .
Menedżer zasad
Policy Manager to narzędzie do zarządzania konfiguracją w trybie offline. W Menedżerze zasad:
n Możesz otworzyć plik konfiguracyjny aktualnie używany w palenisku lub plik konfiguracyjny zapisany na twoim
komputer lub sieć
n Możesz utworzyć nowy plik konfiguracyjny n
Zmiany w konfiguracji dokonane w Policy Manager nie mają wpływu na działanie Firebox, dopóki nie zapiszesz pliku
konfiguracja do Fireboxa
Za każdym razem, gdy zapisujesz zmiany konfiguracji w Firebox, Policy Manager zapisuje kopię konfiguracji w pliku lokalnym. Domyślnie nazwa
pliku jest taka sama przy każdym zapisywaniu konfiguracji. Możesz zmienić nazwę pliku, aby nie nadpisać wcześniej zapisanego pliku
konfiguracyjnego. Aby skonfigurować Policy Manager do automatycznego zapisywania dodatkowej kopii pliku konfiguracyjnego ze
znacznikiem czasu, wybierz Plik > Zapisz > Zawsze twórz kopię zapasową.
Internetowy interfejs użytkownika Fireware
Fireware Web UI to narzędzie do internetowej konfiguracji Firebox. W interfejsie sieciowym Fireware:
n Łączysz się bezpośrednio z Fireboxem, aby dokonać zmian w konfiguracji. n Zmiany
konfiguracji odnoszą skutek w Firebox natychmiast po zapisaniu każdej zmiany n Kopia pliku konfiguracyjnego nie
jest automatycznie zapisywana na komputerze zarządzającym
Aby pobrać plik konfiguracyjny do pliku lokalnego lub przywrócić zapisaną konfigurację, wybierz kolejno System > Plik konfiguracyjny > Pobierz
plik konfiguracyjny.

Kopie zapasowe obrazów
Obraz kopii zapasowej to plik zawierający plik konfiguracyjny Firebox, klucz funkcji urządzenia, użytkowników,
certyfikaty i inne. Możesz użyć obrazu kopii zapasowej, aby przywrócić Firebox do poprzedniego stanu.
Obrazy kopii zapasowych są zapisywane w formacie pliku .fxi i przechowywane w Firebox. Możesz także wyeksportować
obraz kopii zapasowej do komputera zarządzającego w celu usprawnienia odzyskiwania po awarii.
Zalecamy zapisanie obrazu kopii zapasowej urządzenia Firebox przed aktualizacją oprogramowania.
Zachowaj adres IP zarządzania Firebox i poświadczenia dla zarządzających kont użytkowników w zapisanym obrazie
kopii zapasowej. Jeśli przywrócisz obraz kopii zapasowej, będziesz potrzebować tych informacji, aby połączyć
się z Firebox.
Obraz zapasowy zawiera:
Plik konfiguracyjny
Certyfikaty _
Hasła _
n Klucz funkcji n
Inne informacje unikalne dla tego Fireboxa
Obraz kopii zapasowej można przywrócić tylko na urządzeniu, z którego został utworzony. Nie można użyć
obrazu kopii zapasowej do przenoszenia konfiguracji i ustawień z jednego urządzenia na drugie.
Automatyczne kopie zapasowe z aktualizacjami systemu operacyjnego
Kiedy aktualizujesz wersję Fireware OS w Fireboxie, obraz kopii zapasowej jest automatycznie zapisywany w Fireboxie. Możesz także użyć
Policy Manager, Fireware Web UI i WatchGuard Cloud (lokalnie zarządzany Firebox), aby zapisać obraz kopii zapasowej Firebox.
n Policy Manager — Plik > Kopia zapasowa i przywracanie n
Fireware Web UI — System > Kopia zapasowa i przywracanie obrazu n
WatchGuard Cloud — Konfiguruj > Urządzenia > Kopia zapasowa > Dodaj kopię zapasową
Ponieważ dostępna pamięć jest ograniczona, obrazy kopii zapasowych przechowywane w urządzeniu Firebox nie obejmują systemu operacyjnego
Fireware. Zawsze możesz pobrać różne wersje Fireware OS ze strony watchguard.com. Obrazy kopii zapasowych pozostają w Fireboksie, dopóki nie
zostaną usunięte ręcznie lub Firebox nie zostanie przywrócony do domyślnych ustawień fabrycznych.

Eksportuj obraz kopii zapasowej
Możesz wyeksportować obrazy kopii zapasowych z Firebox do komputera lub do katalogu w sieci lub innego podłączonego urządzenia pamięci masowej.
Ponieważ obraz kopii zapasowej zawiera poufne informacje, wyeksportowane obrazy kopii zapasowej są szyfrowane hasłem.
Zalecamy wyeksportowanie obrazu kopii zapasowej przed zresetowaniem Fireboksa do domyślnych ustawień fabrycznych.
Podczas eksportowania obrazu kopii zapasowej można wybrać dołączenie systemu operacyjnego Fireware. W niektórych przypadkach może to ułatwić
przywracanie.
Jeśli zresetujesz Firebox do domyślnych ustawień fabrycznych, wszystkie obrazy kopii zapasowych zostaną usunięte z Firebox. Jeśli
chcesz zresetować Firebox, ale nie chcesz usuwać obrazów kopii zapasowych, użyj polecenia CLI, aby przywrócić ustawienia fabryczne
bez parametru all.
Przywróć obraz kopii zapasowej
Przywróć zapisany obraz kopii zapasowej, aby przywrócić Firebox do znanego poprzedniego stanu.
Nie próbuj przywracać obrazu kopii zapasowej utworzonego z innego Fireboxa. Każdy obraz kopii zapasowej jest unikalny dla
urządzenia, które go utworzyło. Obraz kopii zapasowej zawiera certyfikaty i klucze prywatne dla tego urządzenia.
Ponieważ ustawienia konfiguracyjne różnią się w zależności od wersji Fireware, każdy obraz kopii zapasowej jest zgodny tylko z wersją Fireware OS, z której został
zapisany. Możesz przywrócić dowolny obraz kopii zapasowej, który został zapisany w tej samej wersji systemu operacyjnego Fireware, co bieżąca wersja systemu
operacyjnego zainstalowana w urządzeniu Firebox.
n Aby przywrócić kopię zapasową obrazu zapisaną z nowszej wersji systemu operacyjnego Fireware, przed przywróceniem obrazu kopii zapasowej
należy zaktualizować system operacyjny w urządzeniu Firebox.
n Aby przywrócić obraz kopii zapasowej, który został zapisany z niższej wersji systemu operacyjnego Fireware, należy obniżyć wersję
Firebox i wybierz obraz kopii zapasowej w ramach procesu obniżania wersji Fireware OS.
n Jeśli Firebox został zresetowany do ustawień fabrycznych, możesz użyć kreatora konfiguracji sieciowej lub połączyć się bezpośrednio z Firebox za pomocą
WatchGuard System Manager, aby przywrócić wyeksportowany obraz kopii zapasowej.
n W WatchGuard Cloud (lokalnie zarządzany Firebox) przywracanie jest dostępne tylko dla plików obrazów kopii zapasowych utworzonych za pomocą
oprogramowania Fireware w wersji 12.5.2 lub nowszej. Obrazy kopii zapasowych utworzone za pomocą oprogramowania Fireware w wersji 12.5.1
lub niższej mogą być widoczne w WatchGuard Cloud, ale nie można ich przywrócić.

n W WatchGuard Cloud (lokalnie zarządzany Firebox), jeśli wersja Fireware OS pliku kopii zapasowej różni się od wersji zainstalowanej
w Firebox, WatchGuard Cloud automatycznie aktualizuje lub obniża wersję systemu operacyjnego w Firebox do tej samej wersji w
obrazie kopii zapasowej.

Administracja oparta na rolach
Możesz użyć administracji opartej na rolach, aby podzielić obowiązki konfiguracji i monitorowania swojego Fireboxa między
kilka osób w Twojej organizacji. Utwórz osobne konta użytkowników dla każdego użytkownika administracyjnego, aby móc
uruchamiać raporty z audytu w celu monitorowania, kto wprowadza zmiany w konfiguracji urządzenia.
Rola użytkownika konta administratora określa, czy użytkownik może zapisywać zmiany w konfiguracji urządzenia. Domyślnie Twój Firebox
zawiera następujące domyślne konta i role użytkowników:
Domyślna rola konta użytkownika Domyślne hasło
Admin Administrator urządzenia (uprawnienia do odczytu i zapisu) do odczytu i zapisu
status Monitor urządzeń (uprawnienia tylko do odczytu) tylko czytać
wg-wsparcie Wyłączony
Zalecamy dodanie osobnych kont dla każdego użytkownika, który może logować się do Firebox. Przypisz każdemu
użytkownikowi rolę, która określa jego poziom dostępu.
Role administracyjne
Zaloguj się jako administrator urządzenia, aby zarządzać użytkownikami i rolami w Firebox System Manager lub Fireware Web UI.
n W Firebox System Manager — Narzędzia > Zarządzaj użytkownikami i rolami n W Fireware
Web UI — System > Użytkownicy i role
Dla każdego użytkownika administracyjnego rola określa uprawnienia.
Rola Uprawnienia
Administrator urządzenia (uprawnienia do odczytu i zapisu) Może przeglądać konfigurację i zapisywać zmiany
Monitor urządzeń (uprawnienia tylko do odczytu) Może wyświetlać konfigurację, ale nie może zapisywać zmian
Administrator gości Może zarządzać tylko kontami użytkowników-gości hotspotów

Więcej niż jeden Monitor urządzeń może łączyć się z Firebox w tym samym czasie. Ale jeśli chcesz zezwolić więcej niż
jednemu administratorowi urządzenia na logowanie się do Firebox w tym samym czasie, musisz włączyć opcję w
Ustawieniach globalnych. Aby uzyskać więcej informacji na temat ustawień globalnych, zobacz Ustawienia
globalne i NTP.
Serwery uwierzytelniające
Domyślnie użytkownicy administracyjni są zapisywani na serwerze autoryzacji Firebox-DB. Możesz także określić użytkowników na zewnętrznym
serwerze uwierzytelniania innej firmy, takim jak Active Directory.
Użytkowników można określić na dowolnym z tych serwerów uwierzytelniania:
n Firebox-DB
n Active Directory
n LDAP
n PROMIEŃ
n Identyfikator bezpieczeństwa
W przypadku zewnętrznych serwerów uwierzytelniających (nie Firebox-DB) pamiętaj o dodaniu konta użytkownika do serwera uwierzytelniającego
przed dodaniem konta użytkownika do Firebox.

Klucze funkcji
Nowy Firebox jest dostarczany z domyślnymi ustawieniami fabrycznymi bez zainstalowanego klucza funkcji. Musisz aktywować Firebox,
aby uzyskać klucz funkcji, który włącza licencjonowane funkcje i usługi.
Bez klucza funkcyjnego: n

Firebox umożliwia tylko jednemu urządzeniu połączenie wychodzące z Internetem n Nie można
zaktualizować systemu operacyjnego
Fireware n Nie można włączyć licencjonowanych usług
subskrypcji n Nie można włączyć funkcji, takich jak routing dynamiczny, VPN, multi-wan i inne
Klucz funkcji włącza zestaw licencjonowanych funkcji w Firebox. Kiedy otrzymujesz nowe urządzenie, aktywujesz je na stronie internetowej
WatchGuard, aby utworzyć klucz funkcji, a następnie zainstaluj klucz funkcji na swoim urządzeniu, aby włączyć wszystkie funkcje
urządzenia. Możesz dodać klucz funkcji do Firebox z Kreatora szybkiej instalacji, Kreatora konfiguracji sieci Web, Menedżera zasad lub
interfejsu sieciowego Fireware. Kreatory konfiguracji automatycznie pobierają klucz funkcji dla aktywowanego Fireboxa.
Kiedy aktywujesz nową usługę, aktualizację lub odnowienie Firebox na stronie WatchGuard, tworzony jest zaktualizowany klucz funkcji.
Musisz zaktualizować Firebox o nowy klucz funkcji, zanim będziesz mógł skonfigurować licencjonowane funkcje.
Klucz funkcji obejmuje pozycję dla każdej licencjonowanej funkcji lub usługi. Niektóre funkcje, takie jak subskrypcje usług,
mają daty wygaśnięcia. Te funkcje wygasają i przestają działać w określonym dniu wygaśnięcia. Jeśli linia funkcji ma datę wygaśnięcia
nigdy, nigdy nie wygaśnie i zawsze będzie działać.
Aby zainstalować aktualizacje Fireware, Firebox musi mieć klucz funkcji z aktywną subskrypcją pomocy
technicznej. Nazywa się to usługą LiveSecurity w kluczu funkcji.
Automatyczna synchronizacja klawiszy funkcji
Upewnij się, że ustawienie Automatycznej synchronizacji klawiszy funkcji jest włączone, aby automatycznie
dodawać nowe usługi uruchomione w ramach Total Security.
Automatyczna synchronizacja klucza funkcji umożliwia Fireboxowi automatyczne sprawdzanie aktualizacji klucza funkcji, gdy usługi w
bieżącym kluczu funkcji wygasną w ciągu 7 dni. Automatyczna synchronizacja klawiszy funkcji jest domyślnie włączona, aby zapewnić, że
Twoje usługi nie zostaną przerwane podczas odnawiania subskrypcji. Synchronizacja automatycznie dodaje również wszelkie nowe
usługi uruchomione w ramach Total Security Suite.

Co 12 godzin Firebox sprawdza, czy jakakolwiek funkcja w kluczu funkcji wygaśnie w ciągu 7 dni. Jeśli tak, Firebox automatycznie pobiera
najnowszy klucz funkcji z WatchGuard co 12 godzin, aż pomyślnie pobierze klucz funkcji bez wygasłych funkcji.
Gdy zarządzasz Fireboxem, zobaczysz ostrzeżenia w tych lokalizacjach, jeśli klucz funkcji wkrótce wygaśnie:
n Panel przedni Fireware Web UI — wyświetla ostrzeżenie o wygaśnięciu klucza funkcji w prawym górnym rogu n Menedżer zasad —
wyświetla ostrzeżenie podczas zapisywania pliku konfiguracyjnego, jeśli funkcja wygaśnie w ciągu 90 dni
Ostrzeżenia pojawiają się również w kluczu funkcji, gdy zarządzasz kluczem funkcji w Policy Manager.
Zarządzaj klawiszami funkcji
Aby zarządzać kluczem funkcji, w Policy Manager wybierz kolejno Konfiguracja > Klucz funkcji.
W tym miejscu możesz kliknąć Szczegóły , aby zobaczyć rzeczywisty tekst w pliku klucza funkcji.
Jeśli chcesz przywrócić klucz funkcji, możesz skopiować i wkleić szczegóły klucza funkcji z zapisanego pliku konfiguracyjnego lub portalu
WatchGuard do konfiguracji Firebox.

Plik klucza funkcji

Szczegóły klucza funkcji nie są przechowywane w pliku konfiguracyjnym. W Menedżerze zasad podczas zapisywania kopii konfiguracji
urządzenia w pliku lokalnym klucz funkcji jest zapisywany w osobnym pliku z rozszerzeniem *_lic.tgz w tej samej lokalizacji.
Na przykład, jeśli zapiszesz konfigurację urządzenia z nazwą pliku Przykład, Policy Manager zapisuje dwa pliki:
N Example.xml — plik konfiguracyjny urządzenia
N Example_lic.tgz — klucz funkcji urządzenia

Ulepsz palenisko
Aby Firebox był zawsze na bieżąco z najnowszymi funkcjami bezpieczeństwa, należy okresowo aktualizować Fireware OS.
Istnieją trzy metody aktualizacji Fireware OS na Firebox:

n Policy Manager — Może być wydajną metodą aktualizacji wielu Fireboxów n Fireware
Web UI — Łatwiejszy w użyciu, jeśli masz tylko kilka urządzeń do aktualizacji n WatchGuard
Cloud — Aktualizacja lokalnie zarządzanego Fireboxa z WatchGuard Cloud
Zanim dokonasz aktualizacji
Przed uaktualnieniem systemu operacyjnego Fireware upewnij się, że rozumiesz, co zawiera aktualizacja i że masz
pliki niezbędne do przejścia na poprzednią wersję, jeśli coś pójdzie nie tak.
n Przeczytaj informacje o wersji — zawierają one wszelkie specjalne uwagi dotyczące aktualizacji
n Zapisz kopię pliku konfiguracyjnego n Zapisz
kopię zapasową obrazu n
Zaplanuj aktualizację w zaplanowanym oknie serwisowym — Firebox uruchamia się ponownie po aktualizacji
Uaktualnij oprogramowanie Fireware z Menedżera zasad
Jeśli używasz WatchGuard System Manager do administrowania Fireboxami, musisz zaktualizować WatchGuard System Manager
przed aktualizacją Fireboxów, którymi zarządza. Wersja WatchGuard System Manager, której używasz, musi być taka sama lub wyższa niż
wersja Fireware OS na każdym Fireboxie, którym zarządza.
Zanim użyjesz Policy Manager do aktualizacji Firebox, pobierz i zainstaluj te pliki aktualizacji na swoim komputerze zarządzającym:
n WatchGuard System Manager — Instaluje oprogramowanie do zarządzania WSM, w tym Policy Manager n Fireware
OS — Instaluje obraz aktualizacji systemu operacyjnego, którego Policy Manager używa do aktualizacji Firebox
Plik aktualizacji Fireware OS jest inny dla każdego modelu Firebox. Jeśli zarządzasz wieloma modelami
Firebox, musisz pobrać i zainstalować osobny plik aktualizacji Fireware OS dla każdego modelu.

Aby zaktualizować Firebox z Menedżera zasad, wybierz Plik > Uaktualnij. Menedżer zasad poprosi o zapisanie kopii konfiguracji.
Automatycznie zapisuje również obraz kopii zapasowej przed rozpoczęciem aktualizacji.

Uaktualnij Fireware z Fireware Web UI
W Fireware Web UI proces aktualizacji jest prostszy, a Firebox może pobrać aktualizację bezpośrednio z WatchGuard. Strona
Uaktualnij system operacyjny pokazuje, czy dostępna jest nowa wersja systemu operacyjnego.
Aby pobrać i zainstalować aktualizację systemu operacyjnego, wybierz dostępną wersję. W razie potrzeby możesz także wybrać plik
aktualizacji systemu operacyjnego pobrany na komputer zarządzający. Proces aktualizacji automatycznie zapisuje obraz kopii zapasowej w
Firebox przed rozpoczęciem aktualizacji.
Po uaktualnieniu Firebox z Fireware Web UI, nadal musisz zaktualizować WatchGuard System Manager, zanim będziesz mógł otworzyć
konfigurację Firebox za pomocą Policy Manager.
Zaktualizuj oprogramowanie układowe z WatchGuard Cloud
Możesz zaktualizować oprogramowanie dla lokalnie zarządzanego Fireboxa w WatchGuard Cloud. Możesz natychmiast zaktualizować
oprogramowanie układowe lub zaplanować aktualizację na przyszły czas.
Pojedynczy Firebox musi działać z Fireware w wersji 12.5.2 lub nowszej, aby móc aktualizować oprogramowanie
z chmury WatchGuard.
W usłudze WatchGuard Cloud wybierz opcję Konfiguruj > Urządzenia > Aktualizacje oprogramowania układowego. W oknie Aktualizacje oprogramowania układowego kliknij opcję
Aktualizuj oprogramowanie układowe.

W przypadku lokalnie zarządzanych Fireboxów, Firebox automatycznie tworzy kopię zapasową po aktualizacji oprogramowania
układowego z WatchGuard Cloud.

Domyślna ochrona przed zagrożeniami

Przy domyślnej ochronie przed zagrożeniami zapora sprawdza źródło i miejsce docelowe każdego otrzymanego pakietu. Sprawdza adres IP i numer portu oraz
monitoruje pakiety w poszukiwaniu wzorców wskazujących na zagrożenie sieci. Jeśli istnieje ryzyko, możesz skonfigurować Firebox tak, aby automatycznie
blokował możliwy atak.
Domyślna ochrona przed zagrożeniami ma trzy konfigurowalne komponenty:
n Zablokowane porty
n Zablokowane witryny
n Domyślna obsługa pakietów
Domyślna ochrona przed zagrożeniami to pierwsza linia obrony, która ma pierwszeństwo przed skonfigurowanymi regułami polityki i innymi usługami.
Zablokowane porty
Domyślnie lista Zablokowane porty zawiera kilka portów związanych ze znanymi zagrożeniami. Możesz także ręcznie zablokować porty, o których wiesz, że
mogą zostać użyte do ataku na Twoją sieć. Uniemożliwia to określonym zewnętrznym usługom sieciowym łączenie się z Twoją siecią. Blokowanie
portów może chronić Twoje najbardziej wrażliwe usługi.
Kiedy blokujesz port, zastępujesz wszystkie reguły w definicjach zasad.
Firebox blokuje ruch przychodzący ze źródeł zewnętrznych korzystających z zablokowanych portów, ale te porty nie są blokowane dla ruchu wychodzącego.
WatchGuard zaleca przejrzenie domyślnej listy zablokowanych portów, aby upewnić się, że nie blokuje ona portów wymaganych dla
usług, które chcesz zezwolić w swojej sieci.
Zablokowane witryny
Zablokowana witryna to adres IP, który nie może nawiązać połączenia przez Firebox, niezależnie od skonfigurowanych zasad. Witryny mogą być
zablokowane na stałe lub tymczasowo. Możesz skonfigurować wyjątki dla witryn, których Firebox nigdy nie ma blokować.
Firebox wysyła wiadomość dziennika za każdym razem, gdy zablokowana witryna próbuje połączyć się z Twoją siecią. W pliku dziennika możesz zobaczyć
usługi, których źródła używają do przeprowadzania ataków.

Witryny zablokowane na stałe
Firebox odrzuca połączenia do lub z witryn, które są trwale zablokowane.
Możesz skonfigurować Firebox tak, aby blokował adresy IP określonych witryn, które są źródłami podejrzanego ruchu.
Witryny zablokowane na stałe to witryny, które dodajesz do listy zablokowanych witryn w konfiguracji Firebox.
n Domyślnie żadne witryny nie są blokowane, więc musisz dodać je ręcznie.
n Firebox blokuje połączenia do iz witryn znajdujących się na liście zablokowanych witryn.
n Możesz blokować na podstawie adresu IP, adresu sieciowego, nazwy hosta lub FQDN.
Dodanie nazwy FQDN witryny, która ma dużą liczbę nazw domen i zmiana adresów IP (takich jak Facebook) do
listy zablokowanych witryn, zazwyczaj nie jest skutecznym sposobem blokowania ruchu w tych witrynach. WebBlocker
to skuteczniejsza metoda blokowania aplikacji, takich jak Facebook.
Tymczasowo zablokowane witryny
Firebox odrzuca połączenia z witryn, które są tymczasowo zablokowane, ale nie odrzuca połączeń z tymi witrynami.
Oprócz trwale zablokowanych witryn, które konfigurujesz na liście Zablokowane witryny, Firebox może również automatycznie blokować witrynę, co
dodaje witrynę do listy Zablokowanych witryn z czasem wygaśnięcia. Witryny blokowane automatycznie są tymczasowo blokowane do upływu czasu
wygaśnięcia. Firebox odrzuca połączenia z automatycznie blokowanych witryn, ale nie blokuje połączeń z automatycznie blokowanymi witrynami.
Ustawienie Czas trwania automatycznie blokowanych witryn określa, jak długo automatycznie blokowane witryny pozostają na liście zablokowanych witryn.
Domyślny czas trwania to 20 minut. Za każdym razem, gdy Firebox blokuje ruch z zablokowanej witryny, czas wygaśnięcia blokady jest resetowany. Możesz
myśleć o czasie trwania automatycznego blokowania jako o ciągłym czasie trwania, używanym do resetowania czasu wygaśnięcia automatycznie
blokowanej witryny.
Firebox może automatycznie blokować witryny na podstawie wyzwalaczy w konfiguracji. Na przykład:

n Akcje i usługi proxy skonfigurowane za pomocą akcji Blokuj n Progi i ustawienia
domyślnej obsługi pakietów za pomocą akcji Blokuj
Możesz także ręcznie dodać tymczasowo zablokowane witryny do listy zablokowanych witryn i określić czas wygaśnięcia. W Fireware Web UI lub
Firebox System Manager możesz edytować czas wygaśnięcia automatycznie blokowanej witryny:

n Interfejs sieciowy Fireware — Stan systemu > Zablokowane witryny
n Menedżer systemu Firebox — zakładka Zablokowane witryny.
Po ponownym uruchomieniu Firebox wszystkie tymczasowo zablokowane witryny zostaną usunięte z listy zablokowanych witryn.
Wyjątki zablokowanych witryn
Ta funkcja jest zwykle używana w przypadku wewnętrznych hostów i serwerów, których nigdy nie chcesz umieszczać na liście zablokowanych
witryn. W przypadku witryn znajdujących się na liście wyjątków zablokowanych witryn, Firebox omija kontrole domyślnej obsługi
pakietów, z wyjątkiem ataków związanych z fałszowaniem adresów IP i trasami źródłowymi adresów IP.
Jeśli Firebox blokuje połączenia z witryną, którą uważasz za bezpieczną, możesz ręcznie dodać tę witrynę do listy wyjątków zablokowanych witryn.
Używaj tej opcji ostrożnie, ponieważ Firebox pomija sprawdzanie domyślnej obsługi pakietów w poszukiwaniu witryn znajdujących się na liście
wyjątków zablokowanych witryn (z wyjątkiem ataków IP Spoofing i IP Source Route).
Domyślnie lista wyjątków zablokowanych witryn zawiera domyślne wyjątki dla serwerów, z którymi muszą łączyć się produkty WatchGuard i usługi
subskrypcyjne.
Domyślna obsługa pakietów
Domyślna obsługa pakietów automatycznie odrzuca lub blokuje ruch, który odpowiada wzorcowi dobrze znanych
ataków sieciowych.
Gdy Firebox odbiera pakiet, sprawdza adres IP i numer portu źródła i miejsca docelowego pakietu. Urządzenie monitoruje pakiety, aby
zidentyfikować wzorce, które mogą wskazywać na zagrożenie sieci. Proces ten nazywany jest domyślną obsługą pakietów.
Aby mieć pewność, że domyślna obsługa pakietów nie wpłynie na ruch z Twojego serwera poczty e-mail lub innego
serwera o dużym natężeniu ruchu, dodaj ten serwer do listy Wyjątki zablokowanych witryn.
Domyślna obsługa pakietów może:
n Odrzuć pakiet, który może stanowić zagrożenie dla bezpieczeństwa, w tym pakiety, które mogą być częścią ataku typu spoofing lub SYN
atak powodzi.
n Automatycznie blokuj cały ruch do iz adresu IP.
n Powstrzymaj rozproszony atak typu „odmowa usługi”.
n Dodaj zdarzenie do pliku dziennika.

n Wyślij pułapkę SNMP do serwera zarządzania SNMP. n Wyślij powiadomienie
o możliwych zagrożeniach bezpieczeństwa. n Domyślnie blokuj
lub odrzucaj ruch związany z niebezpiecznymi działaniami. o Każda opcja

jest opisana jako działanie Porzuć lub Zablokuj: o Usuń — przerywa
połączenie o Blokuj — przerywa połączenie
i dodaje witrynę do listy automatycznie blokowanych witryn o W przypadku większości typów ataków
Firebox odrzuca ruch, ale nie -zablokować stronę.
o W przypadku skanowania portów i skanowania IP, Firebox automatycznie blokuje źródłowy adres IP.
o Możesz skonfigurować progi dla ataków powodziowych i limitów.
Nieobsłużone pakiety
Nieobsługiwany pakiet to pakiet, który nie pasuje do żadnej ze skonfigurowanych zasad zapory. Domyślnie Firebox odrzuca wszystkie nieobsłużone
pakiety i generuje komunikat dziennika. Źródło nieobsługiwanych pakietów nie jest domyślnie automatycznie blokowane.
Aby automatycznie blokować wszystkie połączenia przychodzące z witryn wysyłających nieobsługiwane pakiety, w ustawieniach Domyślnej obsługi
pakietów wybierz opcję Automatycznie blokuj źródłowy adres IP nieobsługiwanych pakietów zewnętrznych.
Używaj tej opcji ostrożnie. Powoduje to, że Firebox blokuje cały ruch ze zdalnego hosta, jeśli pakiet, taki jak żądanie ping,
nie jest zgodny z polityką zapory.

Ustawienia globalne i NTP

Ustawienia globalne, strefa czasowa i ustawienia Network Time Protocol (NTP) wpływają na ogólne działanie Firebox.
Ustawienia ogólne
W Ustawieniach globalnych możesz skonfigurować ustawienia ogólne, globalne ustawienia sieciowe i wyłączenie odpowiedzialności dotyczącej logowania.
Ustawienia główne
Port interfejsu internetowego
Określa port używany do łączenia się z interfejsem Fireware Web UI. Domyślnie interfejs Fireware Web UI używa portu 8080.
Automatyczne ponowne uruchomienie
Zaplanuj codzienne lub cotygodniowe ponowne uruchomienie Fireboxa. Ponowne uruchomienie może zwolnić pamięć RAM lub procesor i pomóc w
utrzymaniu prawidłowego działania.
Opinia o urządzeniu
To ustawienie umożliwia Fireboxowi wysyłanie informacji zwrotnych do WatchGuard. WatchGuard wykorzystuje informacje zwrotne od urządzeń, aby
ulepszać produkty i funkcje oraz wypełniać nasz Raport bezpieczeństwa internetowego. Informacje zwrotne dotyczące urządzenia obejmują
statystyki usługi subskrypcji, ale nie zawierają żadnych informacji o Twojej firmie ani żadnych danych firmowych przesyłanych przez Firebox. Wszystkie
informacje zwrotne dotyczące urządzenia wysyłane do WatchGuard są szyfrowane.
Raport o usterce
Włącz to ustawienie, aby raz dziennie automatycznie wysyłać raporty o błędach do WatchGuard. Wszystkie raporty o błędach wysyłane do WatchGuard są
szyfrowane. Twój Firebox zbiera i przechowuje informacje o usterkach, które wystąpiły w Twoim Fireboxie i generuje raporty diagnostyczne o usterkach.
Usterki są gromadzone dla następujących kategorii:
n Nieudane twierdzenia
n Awarie programów n
Wyjątki jądra n Problemy
sprzętowe
Połączenia administratora urządzenia
Jeśli to ustawienie jest wyłączone, tylko jeden administrator urządzenia może jednocześnie wprowadzać zmiany w dowolnym interfejsie zarządzania. Włącz to
ustawienie, aby umożliwić wielu użytkownikom z rolą administratora urządzenia jednoczesne logowanie się do Firebox. Gdy to ustawienie jest włączone,
administratorzy urządzeń, którzy logują się do interfejsu Fireware Web UI, muszą odblokować plik konfiguracyjny na każdej stronie, zanim będą mogli
wprowadzić zmiany.
Ruch generowany przez Firebox
To ustawienie umożliwia przeglądanie i konfigurowanie zasad kontrolujących ruch generowany przez Firebox. To ustawienie jest domyślnie wyłączone. W
większości przypadków zalecamy, aby nie włączać tego ustawienia.

To ustawienie ma duży wpływ na działanie Paleniska. Przed włączeniem tego ustawienia przeczytaj dokumentację,
aby upewnić się, że rozumiesz zmiany, które zachodzą po włączeniu tego ustawienia. Jeśli włączysz to
ustawienie, nieprawidłowa konfiguracja profilu może spowodować poważne problemy z działaniem Firebox. Na
przykład możesz utracić możliwość łączenia się z Firebox w celu zarządzania lub możesz spowodować awarię
usług subskrypcji.
Ustawienia sieciowe
Wiele globalnych ustawień sieciowych ma wartości domyślne ustawione na zalecane wartości. Zalecamy zachowanie ustawień domyślnych, chyba
że istnieje konkretny powód, aby je zmienić. Jest jedno ustawienie, które musisz zmienić, jeśli chcesz skonfigurować zarządzanie ruchem
i funkcje sieciowe QoS (jakość usług).
Zarządzanie ruchem i QoS
Nie zalecamy włączania tego ustawienia, chyba że konieczne jest wdrożenie zarządzania ruchem i QoS w Firebox. Włączenie tego
ustawienia będzie miało duży wpływ na wydajność Firebox.
W celu przetestowania wydajności lub debugowania sieci można wyłączyć funkcje zarządzania ruchem i QoS.
Jest jeszcze jedno ustawienie, które możesz chcieć zmienić, aby poprawić niezawodność wykrywania Path MTU (PMTU).
Sondowanie TCP MTU
Ta opcja jest domyślnie wyłączona. Możesz zmienić ustawienie TCP MTU Probing na Enabled tylko wtedy, gdy zostaną wykryte
problemy z siecią ICMP, aby umożliwić Fireboxowi używanie sondowania TCP MTU jako metody dodatkowej, gdy sondowanie ICMP nie
powiedzie się. Ta zmiana poprawia niezawodność sieci, jeśli w sieci występują problemy z siecią ICMP i nie ma negatywnego wpływu,
gdy nie zostaną wykryte żadne problemy z siecią ICMP.
Zastrzeżenie dotyczące logowania
Włącz wyłączenie odpowiedzialności dotyczące logowania, aby określić komunikat z warunkami, na które użytkownicy muszą wyrazić zgodę,
zanim będą mogli zalogować się w celu zarządzania Firebox. W Policy Manager konfigurujesz to w ustawieniach globalnych. W Fireware Web UI
jest to osobne ustawienie systemowe.

Strefa czasowa i NTP (Network Time Protocol)

Serwery NTP synchronizują czas w Twojej sieci. NTP jest domyślnie włączony w Fireboxie. Kiedy NTP jest włączone, Firebox kontaktuje się z
serwerem NTP w celu synchronizacji czasu. Ustawia czas na podstawie strefy czasowej określonej w ustawieniach systemu Firebox. Strefę
czasową wybierasz podczas uruchamiania kreatorów konfiguracji, aby skonfigurować Firebox. Możesz także zmienić strefę czasową w Ustawieniach
systemu. (Konfiguracja > System w Policy Manager).
Ważne jest, aby Firebox miał dokładny czas, aby komunikaty dziennika poprawnie pokazywały, kiedy wystąpiły zdarzenia.
Dokładny czas ma również kluczowe znaczenie dla:
Certyfikaty _
n VPN
n Usługi subskrypcyjne n
Aktualizacje klucza funkcji
Gdy NTP jest włączone, możesz opcjonalnie włączyć Firebox jako serwer NTP, aby klienci w sieciach prywatnych mogli kontaktować się z
Firebox w celu synchronizacji czasu.

Zasady Wprowadzenie
Zasada zapory zezwala lub odrzuca połączenia, które odpowiadają następującym ustawieniom konfiguracji zasad:
n Z i Do — źródło ruchu i miejsce docelowe
n Port i protokół — typ ruchu
Domyślne zasady zapory zezwalają na połączenia wychodzące do Internetu z chronionej sieci i odrzucają
połączenia z Internetu do chronionej sieci.
Po dodaniu zasady do konfiguracji Firebox kontrolujesz, jakie rodzaje ruchu Firebox zezwala, a jakie odrzuca.
Możesz ustawić zasady zezwalania na ruch lub odrzucania go na podstawie kryteriów, takich jak źródło i miejsce docelowe pakietu, port TCP/
IP lub protokół używany do przesyłania pakietu lub pora dnia. W ustawieniach polityki możesz przekazać Fireboxowi więcej instrukcji dotyczących
obsługi pakietu. Na przykład możesz zdefiniować parametry rejestrowania i powiadamiania dla zasad lub użyć translacji adresów sieciowych
(NAT).
Zasady zapory mogą pomóc w osiągnięciu kilku celów. Oto kilka typowych:
Zdefiniuj dozwoloną łączność w swojej sieci
n Zdefiniuj, jakie typy połączeń są dozwolone. n Zezwalaj na
połączenia z określonych źródeł do określonych miejsc docelowych

n Zezwól na ruch wewnętrzny między interfejsami lokalnymi
Chroń swoją sieć przed zagrożeniami
n Identyfikuj i blokuj wirusy, botnety i inne złośliwe oprogramowanie n
Zrzucaj lub blokuj połączenia na podstawie zawartości nagłówka IP lub zawartości pakietu n Odmawiaj
połączeń z witrynami o złej reputacji
Egzekwuj zasady korzystania z komputerów w swojej organizacji
n Kontroluj dostęp do serwisów społecznościowych
n Zapobiegaj pobieraniu określonych typów plików n
Kontroluj typy aplikacji działających w Twojej sieci n Ogranicz rodzaje ruchu do
określonych godzin
Włącz różne poziomy dostępu lub ustaw limity przepustowości dla różnych użytkowników
n Ustaw różne zasady według działu lub roli użytkownika. n
Zezwalaj gościom na bezpieczne łączenie się z Internetem
Aby osiągnąć niektóre z tych celów, musisz włączyć i skonfigurować usługi bezpieczeństwa w swoich zasadach. Na przykład, używasz Kontroli
aplikacji do kontrolowania aplikacji używanych w Twojej sieci, a Reputation Enabled Defence do odrzucania połączeń z witrynami o złej reputacji.
Jeśli Twój Firebox ma licencjonowane usługi, wiele usług jest domyślnie włączonych. Możesz zaktualizować domyślne zasady i usługi, aby
kontrolować typy ruchu, na które chcesz zezwalać w swojej sieci.

Domyślne zasady zapory
Domyślne zasady zapory uniemożliwiają połączenia przychodzące do chronionej sieci i bezpiecznie zezwalają na połączenia wychodzące
do Internetu z chronionej sieci. Możesz dodatkowo dostosować zasady i inne ustawienia konfiguracji w oparciu o wymagania swojej sieci.
Do i z pól
Każda polityka ma źródło i miejsce docelowe:
n Lista Od określa źródła połączeń, do których odnosi się polityka. n Lista Do określa miejsca
docelowe połączeń, do których odnosi się polityka.
Źródłem i miejscem docelowym zasad może być adres IP hosta, zakres adresów IP hosta, nazwa hosta, adres sieciowy, nazwa użytkownika, grupa,
alias, tunel VPN, nazwa FQDN lub dowolna kombinacja tych obiektów. Miejscem docelowym może być również statyczna akcja NAT.
Zasady zezwalające na połączenia inicjowane ze źródła do miejsca docelowego zezwalają również na ruch odpowiedzi
z miejsca docelowego z powrotem do źródła. Nie trzeba dodawać osobnych zasad, aby zezwalać na ruch odpowiedzi z
miejsca docelowego z powrotem do źródła, które zainicjowało połączenie.
Terminy przychodzące i wychodzące odnoszą się do tego, czy połączenie sieciowe wychodzi, czy wchodzi do sieci chronionej przez zaporę
ogniową. Połączenia wychodzące pochodzą z chronionej sieci i kierują ruch do sieci zewnętrznej.
Połączenia przychodzące pochodzą z sieci zewnętrznej i łączą się z lokalizacją w sieci wewnętrznej (chronionej).
Usposobienie
Dyspozycja określa, czy połączenia zgodne z ustawieniami zasad są dozwolone, czy odrzucane. Aby skonfigurować dyspozycję, wybierz jedno z
następujących ustawień:
n Dozwolone — Firebox zezwala na ruch zgodny z regułami w polityce. n Odmowa — Firebox
odrzuca cały ruch zgodny z regułami w polityce i nie wysyła do niego powiadomienia
urządzenie, które wysłało ruch.
n Odmowa (reset wysyłania) — Firebox odrzuca cały ruch zgodny z regułami w polityce i wysyła
powiadomienie, takie jak błąd TCP RST lub ICMP, do urządzenia, które wysłało ruch.

Port i protokół
Każda zasada ma zastosowanie do ruchu korzystającego z określonego portu i protokołu. Na liście zasad kolumna Port pokazuje port i protokół,
do którego odnosi się każda zasada. Na przykład szablony zasad FTP-Proxy tworzą zasady, które mają zastosowanie do ruchu TCP na
porcie 21.
Szablony zasad
Szablony zasad służą do dodawania nowych zasad. Szablony zasad definiują port i protokół, do którego odnosi się
polityka. Nie można edytować portu i protokołu w ramach zasad. Aby dodać politykę dla niestandardowego
protokołu lub portu, musisz utworzyć niestandardowy szablon zasad.
Nie można edytować domyślnych szablonów zasad.
Możesz edytować niestandardowe szablony zasad, nawet po utworzeniu na ich podstawie zasad.
Zmiany wprowadzone w portach lub protokołach w niestandardowym szablonie zasad są automatycznie
propagowane do wszystkich zasad utworzonych na podstawie tego szablonu.
Szablony zasad ułatwiają dodawanie zasad dla wielu typów ruchu korzystających ze standardowych portów i protokołów. Dodając zasadę zapory,
wybierasz szablon zasad, który określa typ ruchu, do którego ma zastosowanie ta zasada. Fireware zawiera wiele predefiniowanych
szablonów. Po wybraniu szablonu możesz zobaczyć porty i protokoły, których dotyczą zasady.

Po wybraniu szablonu i dodaniu zasad edytuj ustawienia zasad zgodnie z własnymi potrzebami. Podczas edytowania polityki nie można
zmienić portu ani protokołu zdefiniowanego w szablonie polityki.
Jeśli chcesz utworzyć politykę odnoszącą się do protokołu, którego nie ma na liście predefiniowanych szablonów zasad, musisz utworzyć
niestandardowy szablon zasad. Zasady niestandardowe mogą pasować do ruchu z co najmniej jednego portu TCP lub UDP.

Rejestrowanie i monitorowanie
Firebox może generować komunikaty dziennika i powiadomienia, aby pomóc Ci monitorować aktywność sieciową.
n Logowanie i powiadomienia
n Wiadomości i typy dziennika n
Widoczność Firebox za pomocą WatchGuard Cloud n Jak
skonfigurować logowanie Dimension dla Firebox n Jak logować
się do Dimension n Monitorowanie
za pomocą Firebox System Manager n Monitorowanie za
pomocą Fireware Web UI n Jak czytać
komunikaty dziennika ruchu
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz rejestrowanie i monitorowanie dodatkowych zasobów.

Rejestrowanie i powiadamianie
Rejestrowanie to proces rejestrowania aktywności, która ma miejsce w Fireboksie. Na przykład, gdy Firebox odrzuca pakiet, zdarzenie to jest
rejestrowane jako komunikat dziennika w pliku dziennika. Powiadomienie to proces informowania administratora o wystąpieniu określonej czynności.
Kiedy Firebox wykryje zagrożenie, które skonfigurowałeś do powiadamiania, takie jak sonda przestrzeni portu, generuje komunikat dziennika
alarmów. Aplikację Dimension lub WatchGuard Cloud można skonfigurować tak, aby wysyłała do administratora sieci powiadomienie e-mail o
wiadomościach dziennika alarmów. Gdy administrator otrzyma powiadomienie o zagrożeniu, może przejrzeć pliki dziennika i zdecydować, jak
zwiększyć bezpieczeństwo sieci. Na przykład administrator może zdecydować o zablokowaniu portów, na które sonda była skierowana,
zablokowaniu adresu IP, z którego wysłano pakiety, lub skontaktowaniu się z dostawcą usług internetowych, przez który pakiety zostały wysłane.
Firebox może wysyłać komunikaty dziennika do następujących typów serwerów:
n WatchGuard Chmura
Serwer wymiarów
n Syslog Server n
WatchGuard Log Server (obsługuje mniej raportów)
Komponenty rejestrowania i powiadamiania

System rejestrowania i powiadamiania WatchGuard obejmuje następujące komponenty:
Fireboxy i serwery WatchGuard
Firebox generuje komunikaty dziennika dla każdego zdarzenia, które ma miejsce. Możesz skonfigurować Firebox do wysyłania
komunikatów dziennika do WatchGuard Cloud lub Dimension. Jeśli zdarzenie ma powiązane działanie powiadamiające, Firebox wysyła
wiadomość z dziennika alarmów, aby WatchGuard Cloud lub Dimension mógł powiadomić administratora.
Serwery WatchGuard, takie jak Management Server, również generują komunikaty dziennika. Serwery WatchGuard mogą wysyłać
komunikaty dziennika do Dimension lub pliku lokalnego.
Chmura WatchGuard
WatchGuard Cloud to oparta na chmurze platforma widoczności, która zbiera komunikaty dziennika i automatycznie generuje pulpity
nawigacyjne i raporty na podstawie danych dziennika. WatchGuard Cloud zawiera niektóre raporty, które nie są dostępne w innych
narzędziach do monitorowania i raportowania. Kiedy dodasz Firebox do WatchGuard Cloud, Firebox wysyła komunikaty dziennika do
WatchGuard Cloud oprócz wszelkich innych skonfigurowanych serwerów dziennika.
WatchGuard Cloud może również wysłać wiadomość e-mail z powiadomieniem, gdy otrzyma alarm z Firebox.
Wymiar
WatchGuard Dimension integruje się z Fireboxami, zapewniając elastyczne, gotowe do pracy w chmurze rozwiązanie do rejestrowania,
raportowania i zarządzania. Wdrażasz Dimension jako maszynę wirtualną Hyper-V lub VMware (VM).

Dimension może gromadzić komunikaty dziennika z serwerów Firebox i WatchGuard. Twój Firebox może wysyłać komunikaty dziennika do
jednego lub więcej serwerów Dimension w tym samym czasie. Dimension może również wysłać wiadomość e-mail z powiadomieniem,
gdy otrzyma alarm z Firebox.
Serwer Syslog
Oprócz dowolnych innych skonfigurowanych serwerów dziennika, Fireboxy mogą wysyłać komunikaty dziennika do serwera syslog innej firmy
lub przechowywać lokalnie ograniczoną liczbę komunikatów dziennika.
Serwer logów WatchGuard
WatchGuard Log Server jest składnikiem WatchGuard Server Center, który gromadzi komunikaty dziennika, których serwer raportów może
używać do generowania raportów.
Serwer dziennika WatchGuard i serwer raportów nie są omawiane w tym szkoleniu.
WatchGuard Log Server i Report Server nie generują raportów ani powiadomień dla usług bezpieczeństwa i
funkcji dodanych w Fireware w wersji 11.8 lub nowszej, takich jak APT Blocker. Ponieważ usługi
bezpieczeństwa wymagają alertów i raportów, aby były w pełni skuteczne, zalecamy korzystanie z Dimension lub
WatchGuard Cloud do monitorowania Fireboxów.
Możesz skonfigurować Firebox do wysyłania komunikatów dziennika do wielu lokalizacji w tym samym czasie. Na przykład Firebox może wysyłać
komunikaty dziennika do chmury WatchGuard, Dimension i serwera syslog.

Rodzaje komunikatów dziennika

W ramach dobrej polityki bezpieczeństwa sieci ważne jest zbieranie komunikatów dziennika z systemów bezpieczeństwa, częste sprawdzanie tych komunikatów i
przechowywanie ich w archiwum plików dziennika. Tych plików dziennika można używać do monitorowania aktywności w sieci oraz do identyfikowania i reagowania na
wszelkie zagrożenia bezpieczeństwa.
Firebox wysyła pięć rodzajów komunikatów dziennika: Ruch, Alarm, Zdarzenie, Debugowanie i Statystyka. Każdy komunikat dziennika zawiera nazwę typu dziennika jako
część komunikatu dziennika.
Komunikaty dziennika ruchu
Firebox wysyła komunikaty dziennika ruchu, stosując filtr pakietów i zasady polityki proxy do ruchu przechodzącego przez urządzenie.
Aby Firebox generował komunikaty dziennika dla dozwolonego ruchu, należy włączyć rejestrowanie dozwolonego ruchu w zasadach
filtrowania pakietów lub rejestrowanie raportów w zasadach proxy. Rejestrowanie dozwolonego ruchu jest domyślnie włączone
w politykach tworzonych przez kreatory konfiguracji Firebox.
W przypadku reguł filtrowania pakietów, które zezwalają na ruch, można oddzielnie wybrać wysyłanie komunikatów dziennika do celów rejestrowania (co można
zobaczyć w Monitorze ruchu lub Menedżerze dzienników) lub tylko do celów raportowania (te komunikaty dziennika są używane tylko w raportach i nie pojawiają
się w Monitor ruchu).
W przypadku zasad serwera proxy, gdy rejestrowanie raportów jest włączone, komunikaty dziennika dotyczące dozwolonego ruchu są wyświetlane w
Monitorze ruchu.
Komunikaty dziennika alarmów
Firebox wysyła komunikaty dziennika alarmów, gdy wystąpi zdarzenie, które powoduje, że Firebox wysyła żądanie powiadomienia.
Komunikaty dziennika zdarzeń
Firebox wysyła komunikaty dziennika zdarzeń, gdy administrator urządzenia kończy zadania, gdy urządzenie uruchamia się lub wyłącza, a także gdy występują
problemy z komponentami sprzętowymi urządzenia.
Komunikaty dziennika debugowania
Komunikaty dziennika debugowania zawierają informacje pomocne w rozwiązywaniu problemów. Możesz wybrać poziom komunikatów dziennika
debugowania do wyświetlenia w Monitorze ruchu i możesz zmienić ustawienia poziomu dziennika diagnostycznego w konfiguracji Firebox.
Komunikaty dziennika statystyk
Komunikaty dziennika statystycznego zawierają informacje o wydajności Firebox. Domyślnie Firebox wysyła komunikaty dziennika dotyczące wydajności
interfejsu zewnętrznego i statystyk przepustowości VPN. Te komunikaty dziennika mogą pomóc Ci określić, jak zmienić ustawienia Firebox, aby poprawić wydajność.
Aby uzyskać więcej informacji na temat komunikatów dziennika, zobacz Katalog dzienników WatchGuard, dostępny w dokumentacji WatchGuard Firebox strona.

Pliki dziennika
Firebox może wysyłać komunikaty dziennika do chmury WatchGuard lub Dimension. W przypadku Dimension komunikaty dziennika są przechowywane w lokalnej
bazie danych PostgreSQL. Możesz także wybrać użycie zewnętrznej bazy danych PostgreSQL.
Poziomy dziennika diagnostycznego
Możesz ustawić poziom dziennika diagnostycznego dla różnych kategorii komunikatów dziennika. Dostępne poziomy, od najniższego do najwyższego to:
n Wył. — dla tej kategorii nie są wysyłane żadne komunikaty dziennika diagnostycznego.
n Błąd — zawiera komunikaty dziennika dotyczące poważnych błędów, które powodują zakończenie działania usługi lub procesu w Firebox.
Ten poziom dziennika obejmuje również komunikaty dziennika dotyczące błędów sieci VPN w oddziale (BOVPN).
n Ostrzeżenie — Zawiera szczegółowe informacje o nietypowych warunkach, które pomagają wyjaśnić problemy z procesem behawioralnym, jak również
informacje z poziomu błędu.
n Informacja — zawiera szczegóły udanej operacji dla komunikatów dziennika, a także informacje z poziomów błędów i ostrzeżeń.
n Debugowanie — obejmuje szczegółowe komunikaty dziennika dla wszystkich poziomów dziennika. Używaj tylko po wskazaniu WatchGuarda
przedstawiciel wsparcia technicznego.
Domyślnie poziom dziennika diagnostycznego dla wszystkich typów komunikatów dziennika jest ustawiony na Błąd.

Aby zobaczyć więcej informacji o ruchu i zdarzeniach w Fireboxie, możesz zwiększyć poziom dziennika diagnostycznego. Może to być pomocne przy
rozwiązywaniu problemów.
Użyj poziomu dziennika debugowania tylko do rozwiązywania problemów. Poziom dziennika debugowania generuje
dużą liczbę komunikatów dziennika, które mogą szybciej wypełnić bazę danych dziennika w wymiarze. Rejestrowanie
debugowania może również wpływać na wydajność Firebox. Po zakończeniu rozwiązywania problemów zresetuj
poziom dziennika diagnostycznego z powrotem do domyślnego poziomu błędu .
Ustawienia poziomu dziennika diagnostycznego obejmują dwie opcje, które umożliwiają rejestrowanie ruchu pochodzącego z samej Firebox. Te opcje
umożliwiają logowanie w ukrytej polityce Any From Firebox .
n Włącz rejestrowanie ruchu wysyłanego z tego urządzenia — umożliwia Fireboxowi wysyłanie komunikatów dziennika ruchu
Firebox wysyła.
n Włącz rejestrowanie raportów dotyczących ruchu wysyłanego z tego urządzenia — umożliwia Fireboxowi wysyłanie komunikatów dziennika
o ruchu wysyłanym przez Firebox, które mogą być użyte do generowania raportów.
Te ustawienia są domyślnie wyłączone.
Gdy te ustawienia są włączone, dodatkowe komunikaty dziennika mogą sprawić, że raporty będą mylące lub
wprowadzające w błąd. Zalecamy włączenie tych ustawień tylko tymczasowo w celu rozwiązania
problemu.
Aby uzyskać więcej informacji na temat ukrytych zasad, zobacz Ukryte zasady.

Firebox Widoczność z WatchGuard Cloud

Możesz dodać Firebox do WatchGuard Cloud, aby uzyskać widoczność, aby umożliwić monitorowanie i raportowanie w chmurze.
WatchGuard Cloud wykorzystuje komunikaty dziennika z Firebox do automatycznego generowania pulpitów nawigacyjnych i raportów.
Logowanie Firebox do WatchGuard Cloud jest kontrolowane niezależnie od innych ustawień logowania. Możesz także skonfigurować Firebox tak,
aby wysyłał komunikaty dziennika do serwerów Dimension Server oprócz WatchGuard Cloud.
Możesz użyć tych funkcji w WatchGuard Cloud do monitorowania Firebox. Większość z tych funkcji jest również dostępna w
Wymiar.
Logi
Zobacz i wyszukaj komunikaty dziennika Firebox.
Pulpity nawigacyjne
Zobacz podsumowanie informacji o ruchu, zagrożeniach i aktywności Firebox.
n Streszczenie — Zwięzły raport o atakach i ruchu blokowanym przez Firebox. Dostępne jako
PDF tylko ze strony Podsumowanie urządzenia. n
Executive Dashboard — Podsumowanie ruchu przez wybrany Firebox, klaster lub grupę. n Security Dashboard —
Podsumowanie najważniejszych zagrożeń w każdym obszarze bezpieczeństwa chronionym przez Twoją konfigurację
usługi abonamentowe.
n Pulpit nawigacyjny subskrypcji — ogólny widok aktywności usług subskrypcji w Firebox. n Mapa zagrożeń — Wizualna
reprezentacja lokalizacji źródła i miejsca docelowego ruchu przez Firebox. n FireWatch — gromadzone w czasie rzeczywistym informacje
o ruchu przez Firebox. to jest to samo

dostępne w Fireware Web UI i Dimension.
n Mapa zasad — interaktywne narzędzie do raportowania, które agreguje ruch przez Twoje Fireboxy i pokazuje
wizualizacja przepływów ruchu przez interfejsy i polityki. Może to pomóc w określeniu, które zasady są częściej używane.

Raporty
Raporty zapewniają wgląd w aktywność sieciową na Twoich urządzeniach. Raporty zawierają szczegółowe informacje o ruchu dozwolonym i
zabronionym przez urządzenie, włączonych usługach oraz inne informacje o urządzeniu. WatchGuard Cloud automatycznie generuje
raporty na podstawie komunikatów dziennika otrzymywanych z Firebox.
Aby zobaczyć raporty w WatchGuard Cloud, musisz włączyć rejestrowanie raportów w swoich zasadach i usługach.
Możesz także zaplanować generowanie raportów dla jednego lub więcej Fireboxów. Każdy zaplanowany raport może zawierać wiele raportów.
WatchGuard Cloud wysyła zaplanowane raporty jako spakowany załącznik e-mail w formacie PDF do wskazanych przez Ciebie odbiorców.
Ostatnio wygenerowane raporty są również dostępne do pobrania w WatchGuard Cloud.
Stan na żywo
Dzięki WatchGuard Cloud możesz monitorować stan na żywo i wykorzystanie lokalnie zarządzanych Fireboxów za pomocą raportów w
chmurze. Kiedy Firebox jest podłączony do chmury, możesz użyć tych stron, aby zobaczyć bieżące informacje o ruchu przechodzącym przez
Firebox:
n Traffic Monitor — wyświetlaj w czasie rzeczywistym dane dotyczące aktualnie aktywnych połączeń i dzienniki
na żywo. n FireCluster — Wyświetl wykres przedstawiający dostępność członków klastra w określonym czasie. Zobacz listę ostatnich
wydarzeń FireCluster. Kliknij wydarzenie, aby wyświetlić szczegółowe informacje i pobrać plik .JSON.
n Uwierzytelnianie — Wyświetl informacje o użytkownikach uwierzytelnionych w Firebox i włącz
diagnostyka.
n Sieci — Wyświetl informacje o ARP, DHCP i trasach skonfigurowanych w Firebox. n Geolokalizacja — Zobacz połączenia dozwolone
przez Geolokalizację dla każdego kraju. n VPN — Wyświetl informacje o wirtualnych sieciach
prywatnych (BOVPN) i mobilnych sieciach VPN w oddziale

skonfigurowany dla Twojego Fireboxa.
n Narzędzia diagnostyczne — Uruchom zadania diagnostyczne sieci (Ping, TCP Dump i DNS Lookup) i pobierz diagnostyczny plik migawki.
Dodaj Firebox do WatchGuard Cloud
Zanim będziesz mógł włączyć Firebox do wysyłania komunikatów dziennika do WatchGuard Cloud, musisz dodać urządzenie
do swojego konta WatchGuard Cloud.
Aby zalogować się do WatchGuard Cloud, przejdź do cloud.watchguard.com i użyj poświadczeń użytkownika portalu WatchGuard, aby się zalogować. Na
swoim koncie WatchGuard Cloud możesz dodać dowolny aktywowany Firebox, który ma wsparcie standardowe lub subskrypcję Total Security lub
Basic Security Suite. Kiedy dodajesz Firebox do WatchGuard Cloud, możesz zostać poproszony o skopiowanie kodu weryfikacyjnego do wklejenia w
konfiguracji Firebox, aby umożliwić Fireboxowi rejestrację w WatchGuard Cloud. Fireboxy z układem TPM i Fireware w wersji 12.5.3 lub nowszej nie
wymagają kodu weryfikacyjnego.

Skonfiguruj wymiar dla rejestrowania Firebox

WatchGuard Dimension integruje się z Twoimi Fireboxami i serwerami WatchGuard, zapewniając elastyczne, gotowe do pracy w chmurze rozwiązanie
do rejestrowania, raportowania i zarządzania. Z Dimension możesz zarządzać swoimi Fireboxami, przeglądać komunikaty dziennika oraz
planować, przeglądać i generować raporty.
Zainstaluj wymiar
Dimension musi być zainstalowany jako maszyna wirtualna (VM) z 64-bitowym systemem operacyjnym. Możesz zainstalować Dimension na VMware lub
na Hyper-V. Po zainstalowaniu i uruchomieniu maszyny wirtualnej uruchom internetowy kreator konfiguracji wymiarów WatchGuard, aby skonfigurować
podstawowe ustawienia dla nowej instancji Dimension.
Aby połączyć się z Dimension, użyj adresu IP przypisanego do maszyny wirtualnej Dimension. Na przykład, jeśli adres IP przypisany do Twojej
instancji Dimension to 203.0.113.201, łączysz się z Dimension pod adresem https://203.0.113.201.
Aby uzyskać pełne instrukcje dotyczące instalacji Dimension, zobacz Centrum pomocy WatchGuard.
Po skonfigurowaniu serwera Dimension skonfiguruj swoje Fireboxy, aby wysyłały komunikaty dziennika do Dimension i
włącz logowanie w swoich zasadach, aby generować komunikaty dziennika dla raportów. Aby uzyskać więcej informacji
na temat wysyłania komunikatów dziennika do Dimension, zobacz Konfigurowanie logowania Firebox do
Dimension.
Skonfiguruj wymiar do powiadomień e-mail i raportów

W Dimension możesz tworzyć zaplanowane raporty i automatycznie przesyłać je pocztą e-mail na określone adresy e-mail.
W ustawieniach systemu Dimension włącz wychodzącą pocztę e-mail i skonfiguruj adres serwera poczty e-mail, którego Dimension może
używać do wysyłania powiadomień i raportów.
Możesz także skonfigurować Dimension tak, aby wysyłał alerty z powiadomieniami e-mailem na określone adresy e-mail. Powiadomienia e-mail o
alertach Firebox nie są domyślnie włączone i są konfigurowane niezależnie od ustawień serwera poczty e-mail.

Skonfiguruj logowanie Firebox do wymiaru

Możesz skonfigurować każdy Firebox w swojej sieci, aby wysyłał komunikaty dziennika do jednego lub więcej serwerów Dimension.
n Możesz wysyłać komunikaty dziennika do wielu serwerów w tym samym czasie, na przykład do obu serwerów lokalnych
Serwer Dimension i serwer Dimension w lokalizacji zdalnej.
n Upewnij się, że klucz uwierzytelniający skonfigurowany w konfiguracji logowania Firebox jest taki sam jak na serwerze
Dimension.
Aby skonfigurować Firebox do wysyłania komunikatów dziennika do serwera Dimension, potrzebujesz następujących informacji o serwerze:
n Adres IP serwera
n Klucz autoryzacji serwera
Twój Firebox może wysyłać komunikaty dziennika do dwóch serwerów Dimension w tym samym czasie. W konfiguracji serwera dziennika każdy serwer określa
się na innej karcie.
Jeśli chcesz, aby Firebox jednocześnie wysyłał komunikaty dziennika do dwóch serwerów Dimension, dodaj pierwszy serwer do zakładki Log Servers 1 , a
drugi serwer do zakładki Log Servers 2 . Możesz także opcjonalnie dodać serwery kopii zapasowych na każdej karcie. Firebox wysyła komunikaty dziennika do
serwera zapasowego tylko wtedy, gdy nie może połączyć się z serwerem głównym.

Monitorowanie za pomocą Firebox System Manager

Dzięki Firebox System Manager (FSM) możesz szybko sprawdzić stan pojedynczego Fireboxa. Pomaga to zidentyfikować nietypowe działania i podjąć
natychmiastowe działania.
Zakładka Firebox System Manager Panel przedni
W Firebox System Manager pokazuje stan i aktywność Firebox, takie jak statystyki interfejsu, połączenia sieciowe, komunikaty dziennika i statystyki
usług bezpieczeństwa.
n Monitor ruchu wyświetla ciągłą listę komunikatów dziennika. Wiadomości odświeżają się co
domyślnie pięć sekund, co sprawia, że Traffic Monitor jest dobrym miejscem do rozpoczęcia
rozwiązywania problemów z Firebox.
n Z Firebox System Manager możesz używać traceroute, ping, wyszukiwania DNS i TCP
narzędzia zrzutu, które pomogą zdiagnozować problemy z ruchem w Twojej sieci.

Komunikaty dziennika Firebox w zakładce Monitor ruchu FSM
Omówienie Menedżera systemu Firebox

Firebox System Manager zawiera kilka metod monitorowania Twojego Fireboxa, każda w osobnej zakładce.
Patka Opis
Przedni panel Pokazuje stan interfejsów Firebox, informacje o certyfikatach, aktywnych tunelach VPN i usługach subskrypcji,
ruchu dla aktywnych połączeń, obciążeniu procesora i szczegółach systemu.
Monitor ruchu Pokazuje oznaczoną kolorami listę komunikatów dziennika wysłanych z Firebox.
Miernik przepustowości Zapewnia graficzne wyświetlanie wykorzystania przepustowości w czasie rzeczywistym dla każdego interfejsu.
Zegarek serwisowy Przedstawia wykres zasad skonfigurowanych w Firebox. Oś Y (pionowa) pokazuje liczbę połączeń lub
przepustowość używaną dla każdej zasady. Oś X (pozioma) pokazuje czas.
Raport o stanie Pokazuje statystyki dotyczące stanu Firebox, ruchu i wydajności. Raportu można użyć do rozwiązywania
problemów z konfiguracją. Możesz także pobrać plik pomocy, który zawiera dane dziennika, informacje o
połączeniu i inne informacje systemowe.
Zanim skontaktujesz się z pomocą techniczną WatchGuard w celu rozwiązania problemu z Firebox, zapisz plik
dziennika wsparcia dla swojego Firebox.
Lista uwierzytelniania Identyfikuje adresy IP i nazwy użytkowników wszystkich użytkowników uwierzytelnionych w programie
palenisko. Zawiera sekcję Podsumowanie z liczbą użytkowników uwierzytelnionych dla każdego typu
uwierzytelniania oraz całkowitą liczbą uwierzytelnionych użytkowników.

Patka Opis
Zablokowane witryny Pokazuje wszystkie witryny aktualnie zablokowane przez Firebox. Na tej stronie możesz także dodawać lub
usuwać witryny z listy tymczasowo zablokowanych witryn.
Subskrypcja Pokazuje stan Gateway AntiVirus, IntelligentAV, Intrusion Prevention Service, Application Control,
Usługi spamBlocker, WebBlocker, Botnet Detection, Tor Exit Node Blocking, APT Blocker, Geolokalizacja, Data Loss
Prevention, Reputation Enabled Defense i File Exceptions. Z tego miejsca można również przeprowadzić ręczną
aktualizację baz sygnatur.
Brama bezprzewodowa Pokazuje stan połączenia i aktywność punktów dostępowych WatchGuard zarządzanych przez kontroler
Kontroler bezprzewodowy bramy. Możesz także monitorować i zarządzać połączeniami klientów z punktami
dostępowymi WatchGuard.
SD-WAN Pokazuje utratę, opóźnienie lub jitter dla wybranych interfejsów zewnętrznych. Wyświetla listę wszystkich akcji
SD-WAN i trybu multi-WAN, powiązanych interfejsów oraz opcji powrotu po awarii dla każdej akcji SD-WAN.
Zarządzanie ruchem Pokazuje statystyki przepustowości dla ruchu zarządzanego przez akcje zarządzania ruchem skonfigurowane w
Firebox. Statystyki zawierają szczegółowe informacje o tym, które zasady i aplikacje wykorzystują
poszczególne działania zarządzania ruchem.
Limity użytkowników Pokazuje, którzy użytkownicy z zastosowaną przepustowością i limitami czasowymi są połączeni z
Firebox, a także pokazuje informacje o limitach dla każdego użytkownika.
Inne narzędzia do monitorowania
Z paska narzędzi Firebox System Manager możesz także otworzyć te narzędzia, aby monitorować Firebox:
Konsola wydajności
Wybierz liczniki wydajności, aby wygenerować wykresy dotyczące wydajności Firebox.
WatchGuard Cloud i Dimension zapewniają lepsze narzędzia do monitorowania wydajności Firebox.
Zegarek hosta
Pokazuje połączenia sieciowe między wybranymi sieciami.
FireWatch, dostępny w Fireware Web UI, Dimension i WatchGuard Cloud, jest lepszym narzędziem do monitorowania
połączeń sieciowych przez Firebox.

Ostrzeżenia o wygaśnięciu usługi subskrypcji
Jeśli którakolwiek z usług subskrypcji wygasła, na karcie Panel przedni pojawi się ostrzeżenie o wygaśnięciu usługi dla każdej wygasłej usługi .
Aby odnowić subskrypcję wygasłych usług, kliknij opcję Odnów teraz. Możesz także ukryć ostrzeżenia o wygasłych usługach.
Zadania diagnostyczne
W Firebox System Manager kliknij Narzędzia > Zadania diagnostyczne , aby uzyskać dostęp do kilku narzędzi diagnostycznych do rozwiązywania
problemów w sieci:
n Ping — Pinguj źródłowy lub docelowy adres IP.
n Traceroute — Śledź trasę do źródłowego lub docelowego adresu IP.
n Wyszukiwanie DNS — Wyszukiwanie informacji DNS dla adresu IP. n TCP Dump
— Zobacz informacje o pakietach przesyłanych przez twoją sieć. Możesz użyć tego narzędzia do przechwytywania pakietów i przesyłania
strumieniowego przechwyconych pakietów do lokalnego pliku .pcap. Następnie możesz użyć narzędzia innej firmy, aby przejrzeć plik .pcap
lub wysłać plik do pomocy technicznej WatchGuard w celu sprawdzenia.
Aby określić argumenty polecenia i wyświetlić inne opcje, zaznacz pole wyboru Opcje zaawansowane .
Karta VPN zawiera zadania diagnostyczne przydatne przy rozwiązywaniu problemów z VPN. Aby uzyskać więcej informacji, zobacz
Rozwiązywanie problemów z tunelami BOVPN

Monitorowanie za pomocą Fireware Web UI

Fireware Web UI zawiera wiele takich samych narzędzi do monitorowania, które są dostępne w Firebox System Manager, a także zapewnia kilka
dodatkowych narzędzi. Każde narzędzie znajduje się na innej stronie w sekcjach Dashboard i System Status interfejsu Fireware Web UI.
n FireWatch pokazuje graficzną reprezentację w czasie rzeczywistym, zagregowanych informacji o ruchu przez
Firebox. Jest dostępny w Fireware Web UI, Dimension i WatchGuard Cloud.
n Narzędzia diagnostyczne, takie jak ping, traceroute, wyszukiwanie DNS i zrzut TCP są dostępne na stronie Stan
systemu > Diagnostyka.
Panel
Z pulpitu nawigacyjnego możesz zobaczyć informacje w czasie rzeczywistym o swoim Fireboxie.

W tej tabeli opisano narzędzia do monitorowania dostępne z poziomu pulpitu nawigacyjnego:
Monitorowanie
Narzędzie Opis
Przedni panel Pokazuje podstawowe informacje o urządzeniu, połączonych serwerach, sieci i ruchu sieciowym.
Subskrypcja Pokazuje stan Gateway AntiVirus, IntelligentAV, Intrusion Prevention Service, Application Control,
Usługi spamBlocker, WebBlocker, Botnet Detection, Tor Exit Node Blocking, APT Blocker, Geolokalizacja, Data Loss
Prevention, Reputation Enabled Defense i File Exceptions.
Straż pożarna Pokazuje zbiorcze informacje w czasie rzeczywistym o ruchu przez Firebox.
Interfejsy Pokazuje aktualną przepustowość i szczegółowe informacje dotyczące aktywnych interfejsów urządzenia.
Obejmuje to interfejsy bezprzewodowe skonfigurowane dla urządzeń AP. Możesz także zwolnić lub odnowić
dzierżawę DHCP adresu IP dla dowolnego zewnętrznego interfejsu z włączonym DHCP.
Monitor ruchu Pokazuje komunikaty dziennika z Twojego Fireboxa w miarę ich pojawiania się. Może to być przydatne narzędzie do
rozwiązywania problemów związanych z bezpieczeństwem sieci i przepływem ruchu.
Wejście Pokazuje stan połączenia i aktywność punktów dostępowych WatchGuard zarządzanych przez kontroler bezprzewodowy
Bezprzewodowy
bramy. Możesz także monitorować i zarządzać połączeniami klientów z punktami dostępowymi WatchGuard.
Kontroler
Geolokalizacja Pokazuje aktywność ruchu sieciowego według lokalizacji geograficznej, identyfikowanej przez usługę Geolokalizacja.
Mobile Security Pokazuje urządzenia mobilne, które są podłączone do Twojej sieci. Możesz zobaczyć listę podłączonych
urządzenia mobilne, zobacz szczegółowe informacje o każdym urządzeniu i zobacz informacje o grupie dla każdego
urządzenia.
Sieć Pokazuje mapę drzewa wszystkich urządzeń w twojej sieci, które są podłączone do interfejsów twojego Fireboxa.
Odkrycie Możesz wyświetlić szczegółowe informacje o każdym podłączonym urządzeniu.

Status systemu
Sekcja Stan systemu w Fireware Web UI zawiera informacje podobne do tych, które są dostępne w Firebox System Manager. Wiele pozycji z
Raportu stanu w Firebox System Manager jest dostępnych tutaj i łatwiej je sprawdzić.
Zanim skontaktujesz się z pomocą techniczną WatchGuard w celu rozwiązania problemu z Firebox, przejdź do strony
stanu systemu Diagnostyka i zapisz plik dziennika wsparcia dla Firebox.
Strony stanu systemu w Fireware Web UI to:
n Tablica ARP — Lista urządzeń, które odpowiedziały na żądanie ARP (Address Resolution Protocol) z
palenisko
n Lista uwierzytelniania — Lista aktualnie uwierzytelnionych użytkowników

n Zablokowane witryny — Lista zablokowanych witryn
n Suma kontrolna — Suma kontrolna plików systemu operacyjnego (OS) aktualnie zainstalowanych w Firebox n Lista
komponentów — Lista komponentów oprogramowania zainstalowanych w Firebox
n Dzierżawy DHCP — Lista aktywnych dzierżaw DHCP dla Firebox
n Diagnostyka o
Plik diagnostyczny — Pobierz plik dziennika diagnostycznego, aby rozwiązać problem ze wsparciem technicznym WatchGuard o Sieć —
Zadania diagnostyczne do rozwiązywania problemów sieciowych o VPN —
Wygeneruj raport diagnostyczny BOVPN n Dynamiczny DNS
— Informacje o stanie dynamicznego DNS n Klienci Hotspot — Lista
podłączonych klientów do hotspotu Firebox n Procesy — Lista procesów uruchomionych
w Firebox
n Trasy — Informacje o trasach IPv4 i IPv6
n Trasy multiemisji — Informacje o trasach multiemisji w Firebox
n Połączenie z serwerem — przetestuj połączenie z serwerem uwierzytelniania Active Directory lub LDAP n Agenci SSO —
informacje o agentach SSO n Zarządzanie ruchem — statystyki
przepustowości dla ruchu zarządzanego przez działania zarządzania ruchem podłączony do Twojego Fireboxa n Quotas —
Informacje o przydziałach dla użytkowników z zastosowaną przepustowością i limitami czasowymi n Informacje o maszynie wirtualnej
— Informacje o maszynie wirtualnej (tylko modele Firebox Cloud)
n Statystyki VPN — Informacje o sieciach VPN oddziałów i sieciach VPN dla urządzeń mobilnych
n Stan SD-WAN — Informacje o stanie skonfigurowanych działań SD-WAN

n Modem 4G LTE — Informacje o stanie modemu 4G LTE.
n Rogue AP Detection — Skanuj w poszukiwaniu nieuczciwych punktów dostępowych (tylko bezprzewodowe
modele Firebox) n Wireless Statistics — Statystyki dotyczące sieci bezprzewodowych Firebox (tylko bezprzewodowe modele Firebox)

Czytaj komunikaty dziennika ruchu w Monitorze ruchu

W Firebox System Manager i Fireware Web UI możesz użyć Monitora ruchu, aby zobaczyć, która polityka zezwoliła na połączenie, a która odmówiła
połączenia i dlaczego.
Aby uzyskać więcej informacji na temat opcji rejestrowania zasad, zobacz Rejestrowanie zasad i powiadamianie w sekcji Zasady zapory tego przewodnika.
Aby wyświetlić tylko komunikaty dziennika dla ruchu Firebox, wybierz filtr Dzienniki ruchu .
Aby dostosować kolory, kliknij prawym przyciskiem myszy kartę Monitor ruchu i wybierz Ustawienia.
Możesz użyć pola wyszukiwania, aby znaleźć wiadomości zawierające określony tekst, taki jak nazwa zasady lub adres IP. Możesz także filtrować wyniki
wyszukiwania i wyróżniać elementy w wynikach wyszukiwania.
Komunikaty dziennika pokazują, które zasady zezwalają lub odrzucają ruch przez zaporę. Ten komunikat dziennika ruchu zawiera informacje
o dozwolonym pakiecie:
Firebox używa portu źródłowego do mapowania pakietów odpowiedzi otrzymanych z docelowego adresu IP i portu z powrotem na źródłowy adres IP,
który pierwotnie zainicjował połączenie.
W przypadku zasad proxy komunikaty dziennika zawierają wiele szczegółowych informacji o tym, dlaczego zasady zezwalają na pakiet lub go odrzucają.
Ten komunikat dziennika pokazuje, że zasady HTTP-proxy odrzuciły żądanie HTTP, ponieważ pasowało ono do odrzuconej kategorii WebBlocker.
Firebox używa dwóch ukrytych zasad o niskim priorytecie, aby odrzucić pakiety, które nie pasują do żadnej skonfigurowanej polityki:

n Nieobsłużony pakiet wewnętrzny — odrzuca pakiety odebrane przez interfejs wewnętrzny n
Nieobsługiwany pakiet zewnętrzny — odrzuca pakiety odebrane przez interfejs zewnętrzny
Aby uzyskać więcej informacji na temat ukrytych zasad, zobacz Ukryte zasady.

Synchronizacja zagrożeń
ThreatSync to usługa WatchGuard Cloud, która zapewnia technologię eXtended Detection and Response (XDR) dla sieci WatchGuard
(Firebox) i produktów Endpoint Security.
n Incydenty ThreatSync n
Poziomy ryzyka i punktacja ThreatSync n
Działania ThreatSync n
Zasady automatyzacji i szablony zasad automatyzacji
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz Dodatkowe zasoby ThreatSync.

Monitoruj zagrożenia i reaguj na nie za pomocą ThreatSync

ThreatSync zapewnia technologię eXtended Detection and Response (XDR) dla produktów WatchGuard. Ten serwis:
n Udostępnia interfejs użytkownika głównie dla osób reagujących na incydenty.
n Wyświetla złośliwe wykrycia jako incydenty
n Koreluje zdarzenia, aby tworzyć nowe złośliwe wykrycia
n Umożliwia respondentom reagowanie na żądanie lub konfigurowanie automatycznych odpowiedzi na złośliwe wykrycia i
nienormalne zachowania
Licencjonowanie ThreatSync
ThreatSync to ujednolicona funkcja zabezpieczeń WatchGuard, która jest dostępna w ramach tych licencji:
n Firebox Total Security Suite (TSS)
n WatchGuard EDPR
n WatchGuard EDR
Korelacja
ThreatSync zapewnia rozszerzone możliwości wykrywania poprzez korelację danych z tych produktów zabezpieczających WatchGuard:
n Paleniska
n WatchGuard Endpoint Security (EPDR, EDR i EDR Core)
Aby wysyłać dane do ThreatSync i odbierać działania, Fireboxy muszą działać z Fireware w wersji 12.9 lub nowszej
i być dodane do WatchGuard Cloud w celu rejestrowania i raportowania lub zarządzania chmurą.
Interfejs zarządzania ThreatSync przedstawia te skorelowane zdarzenia jako incydenty, które można przejrzeć i którymi można zarządzać.
Poziomy i oceny ryzyka incydentów ThreatSync
ThreatSync automatycznie przypisuje każdemu incydentowi ocenę ryzyka, która identyfikuje wagę incydentu.
Poziom ryzyka jest podzielony na następujące kategorie, w oparciu o punktację ryzyka:
n Krytyczne — wyniki 9 lub 10
n Wysoka — wyniki 7 lub 8

n Średni — wyniki 4, 5 lub 6
n Niski — wyniki 1, 2 lub 3
ThreatSync oblicza ocenę ryzyka dla incydentu na podstawie algorytmu, który koreluje dane z wielu produktów i usług WatchGuard.
Różne oceny ryzyka na każdym poziomie ryzyka wskazują względną wagę incydentu i dostarczają wskazówek dla osób
reagujących na incydenty, które incydenty powinny być traktowane priorytetowo do przeglądu. Na przykład, jeśli
ThreatSync przypisze jednemu incydentowi krytycznemu ocenę ryzyka 9, a innemu incydentowi krytycznemu ocenę ryzyka 10,
zalecamy przejrzenie najpierw tych 10, ponieważ oznacza to wyższe ryzyko.
Interfejs zarządzania ThreatSync

Aby skonfigurować i monitorować ThreatSync, użyj interfejsu zarządzania ThreatSync w WatchGuard Cloud.
Skonfiguruj ThreatSync
Aby skonfigurować ThreatSync, wybierz Konfiguruj > ThreatSync.
Subskrybenci mogą używać tych stron do konfigurowania ThreatSync w WatchGuard Cloud:
n Zasady automatyzacji — Konfiguruj zasady, aby automatycznie wykonywać działania w przypadku określonych incydentów. n
Ustawienia urządzenia — Wybierz, które urządzenia wysyłają dane o incydentach do ThreatSync. n
Adresy IP zablokowane przez ThreatSync — Odblokuj adresy IP zablokowane przez działanie ThreatSync na wszystkich kwalifikujących się
Paleniska.
Dostawcy usług widzą stronę, na której mogą konfigurować szablony zasad automatyzacji w celu przypisania zasad automatyzacji do zarządzanych
kont.
Monitoruj ThreatSync
Aby monitorować ThreatSync, wybierz Monitoruj > Zagrożenia.

Użyj tych stron do monitorowania ThreatSync w WatchGuard Cloud:
n Strona podsumowania — zawiera migawkę zdarzeń związanych z kontem. n Strona
incydentów — pokazuje listę incydentów w określonym przedziale czasu i umożliwia podjęcie odpowiednich działań
zaradzić incydentom.
Zasady usuwania skutków incydentów i automatyzacji
W ThreatSync istnieją dwa sposoby naprawy incydentów:
Ręczne akcje wykonywane przez użytkownika w ThreatSync
Podczas monitorowania zagrożeń wykrytych przez ThreatSync i przeglądania szczegółów incydentów możesz podjąć decyzję o
podjęciu ręcznych działań w celu naprawienia incydentu lub odwrócenia działań podjętych automatycznie przez produkt
lub usługę WatchGuard. Możesz na przykład zablokować adres IP, usunąć szkodliwy plik lub odizolować komputer. Możesz
ręcznie wykonywać działania z różnych lokalizacji w interfejsie zarządzania ThreatSync.
Akcje wykonywane automatycznie przez zasady automatyzacji
Możesz skonfigurować zasady automatyzacji, aby automatycznie wykonywały działania na incydentach, które spełniają
zdefiniowane przez Ciebie warunki. Możesz na przykład utworzyć zasady automatyzacji, aby automatycznie usuwać pliki związane
z określonym typem incydentu o ocenie ryzyka 9 lub 10.
Zalecamy, aby nie dodawać zasad automatyzacji, dopóki nie zapoznasz się z różnymi typami incydentów, które
mogą wystąpić w Twoim środowisku, oraz z działaniami zaradczymi, które możesz wykonać.

Typy zasad automatyzacji

W ThreatSync możesz skonfigurować dwa typy zasad automatyzacji:
Polityka naprawcza
Wykonuje określone działania naprawcze dla incydentów spełniających warunki zasad.
Zasady archiwizacji
Zmienia stan incydentów spełniających warunki zasad na Zarchiwizowane.
Warunki i działania zasad automatyzacji

Dla każdej zasady automatyzacji ThreatSync konfigurujesz warunki i działania.
Warunki
Warunki określają, kiedy ThreatSync wykonuje zasady. Jeśli incydent spełnia warunki zasady, ThreatSync wykonuje określone działania.
Dla każdej polityki możesz określić następujące warunki:
n Zakres ryzyka — Określ zakres poziomów ryzyka incydentu. n Typ
incydentu — Wybierz jeden lub więcej typów incydentów. n Typ
urządzenia — Wybierz Firebox lub Endpoint. n Wykonane
akcje — Wybierz jedną lub więcej akcji wykonanych na incydencie (tylko zasady archiwizacji).
działania
Akcje określają, co robi ThreatSync po wykonaniu zasady.
Dla każdej polityki należy określić, czy polityka wykonuje działania, czy zapobiega.
n Wykonaj — ThreatSync wykonuje określone działania w przypadku nowych incydentów, które spełniają warunki polityki. n Zapobiegaj
— ThreatSync zapobiega określonym działaniom. Aby stworzyć wyjątek od szerszej zasady Perform, ty
może dodać politykę z akcją Zapobiegaj i ustawić ją wyżej niż inne zasady na liście zasad.
W przypadku zasady korygowania wybierz jedną lub więcej z następujących akcji korygujących do wykonania:
n Blokuj adres IP pochodzenia zagrożenia (tylko zewnętrzne adresy IP) — blokuje zewnętrzny adres IP powiązany z incydentem.
Po wybraniu tej akcji wszystkie Fireboxy z włączoną funkcją ThreatSync na koncie WatchGuard Cloud blokują połączenia do iz adresu IP.
n Usuń plik — usuwa oflagowany plik powiązany z incydentem. n Izoluj urządzenie —
Izoluje komputer od sieci, aby zapobiec rozprzestrzenianiu się zagrożenia i zablokować

eksfiltracja poufnych danych.
n Zabij złośliwy proces — kończy proces, który wykazywał złośliwe zachowanie związane z incydentem.
W przypadku zasady archiwizacji jest tylko jedna czynność do wykonania:
n Archiwum — zmienia status zdarzenia na Zarchiwizowane.

Pierwszeństwo zasad automatyzacji ThreatSync
Zasady ThreatSync oceniasz według względnego priorytetu od góry do dołu. Jeśli incydent spełnia warunki skonfigurowane w
wielu politykach, ThreatSync wykonuje akcję określoną w obowiązującej polityce o najwyższym priorytecie.
Każde zalecane działanie w incydencie jest oceniane indywidualnie pod kątem zasad. Jeśli incydent nie ma zalecanej akcji zgodnej z
akcją określoną w zasadach, ta zasada jest pomijana.
Szablony zasad automatyzacji ThreatSync
Dostawcy usług mogą tworzyć szablony zasad automatyzacji, które obejmują wiele zasad automatyzacji, a następnie przypisywać
szablony do kont lub grup kont, którymi zarządzają. Dzięki temu dostawcy usług mogą konsekwentnie stosować zasady
automatyzacji na zarządzanych kontach i oszczędzać czas podczas konfigurowania technologii ThreatSync dla nowych kont lub grup
kont.
Polityki automatyzacji przypisane za pomocą szablonu pojawiają się jako pierwsze na liście polityk
na koncie Subskrybenta.

Ustawienia sieci
Ustawienia sieci
W tej sekcji znajdziesz podstawowe informacje potrzebne do skonfigurowania ustawień sieciowych w Firebox. To zawiera:
n Tryby routingu sieciowego

n DNS
n Typy interfejsów i aliasy n Mosty
sieciowe n Sieci
drugorzędne
sieci VLAN
n Wiele sieci WAN
n SD-WAN
n Routing statyczny
n Dynamiczny NAT
n Statyczny NAT
NAT 1 -do-1
Zarządzanie ruchem
Aby uzyskać listę dodatkowych zasobów na te tematy, zobacz Ustawienia sieci Dodatkowe zasoby.

Ustawienia sieci
Tryby routingu sieciowego
Możesz skonfigurować Firebox w trybie Mixed Routing, Drop-In lub Bridge.
Najbardziej powszechną metodą konfiguracji jest tryb mieszanego routingu. Używamy routingu mieszanego, aby wyjaśnić
większość funkcji i przykładów w tym przewodniku.
Kiedy korzystasz z kreatora konfiguracji sieci Web do utworzenia początkowej konfiguracji sieci, Firebox jest automatycznie
konfigurowany w trybie mieszanym. Kiedy używasz Kreatora szybkiej konfiguracji w WatchGuard System Manager do stworzenia
początkowej konfiguracji sieci, możesz skonfigurować Firebox w trybie mieszanym lub w trybie połączenia.
Tryb mieszanej trasy to jedyny tryb, który pozwala na korzystanie ze wszystkich funkcji Firebox. Inne tryby wyłączają niektóre funkcje.
Na przykład nie można skonfigurować VPN w trybie Bridge. Zanim wybierzesz tryb inny niż tryb wyznaczania trasy mieszanej, upewnij się,
że rozumiesz ograniczenia tego trybu.

Ustawienia sieci
Tryb Drop-In i Bridge Mode są rzadko używane i mają następujące cechy:
Tryb wrzutowy Tryb mostka
Wszystkie interfejsy Firebox są w tej samej sieci i Wszystkie interfejsy Firebox znajdują się w tej samej sieci.
mają ten sam adres IP. Określasz adres IP, który ma być używany do zarządzania
Fireboxem.
Komputery na zaufanych lub opcjonalnych Ruch ze wszystkich zaufanych lub opcjonalnych

interfejsach mogą mieć publiczny adres IP. NAT nie jest interfejsów jest badany i wysyłany do interfejsu zewnętrznego. Możesz
konieczny. określ statyczny adres IP lub użyj DHCP dla adresu IP

interfejsu. Ruch wysyłany lub odbierany przez Firebox wydaje się
pochodzić z pierwotnego źródła.
W trybie mostka Firebox nie obsługuje informacji warstwy 2 ani

warstwy 3, co oznacza, że nie można konfigurować
routingu, NAT ani sieci VLAN.

Ustawienia sieci
Interfejsy
Zapora fizycznie oddziela sieci w sieci lokalnej (LAN) od sieci rozległej (WAN), takiej jak Internet. Jedną z podstawowych funkcji zapory jest
przenoszenie pakietów z jednej strony zapory na drugą. Jest to znane jako routing. Aby prawidłowo kierować pakiety, zapora ogniowa musi
wiedzieć, jakie sieci są dostępne przez każdy z jej interfejsów.
Firebox zapewnia dodatkową funkcjonalność dla niektórych interfejsów. Możesz skonfigurować interfejsy zewnętrzne do pracy z dynamicznym
DNS. Możesz skonfigurować zaufane, opcjonalne i niestandardowe interfejsy, aby włączyć serwer DHCP (Dynamic Host Configuration
Protocol).
Firebox ma cztery typy interfejsów sieciowych, które są również znane jako strefy:
Interfejsy zewnętrzne
Zewnętrzny interfejs łączy Fireboxa z siecią rozległą (WAN), taką jak Internet, i może mieć statyczny lub dynamiczny adres IP. Firebox
otrzymuje dynamiczny adres IP dla zewnętrznego interfejsu z serwera DHCP lub serwera PPPoE (Point-to-Point Protocol over Ethernet).
W przypadku DHCP Firebox korzysta z serwera DHCP kontrolowanego przez dostawcę usług internetowych (ISP) w celu uzyskania
adresu IP dla interfejsu zewnętrznego, adresu IP bramy i maski podsieci. Z PPPoE, Firebox łączy się z serwerem PPPoE twojego
ISP, aby uzyskać te same informacje.
Modemy są dostępne jako interfejsy zewnętrzne w Fireboxach obsługujących modemy.
Interfejsy zewnętrzne są członkami aliasu Any-External . Interfejsy zewnętrzne zawsze mają trasę domyślną, zwaną również trasą
zerową (0.0.0.0/0).
Zaufane interfejsy
Zaufany interfejs łączy Firebox z prywatną siecią lokalną (LAN) lub siecią wewnętrzną, którą chcesz zabezpieczyć. Stacje robocze
użytkowników i prywatne serwery, do których nie można uzyskać dostępu spoza sieci, zwykle znajdują się w sieciach zaufanych. Zaufane
interfejsy są członkami aliasu Any-Trusted .
Opcjonalne interfejsy
Opcjonalne interfejsy łączą Firebox z opcjonalnymi sieciami, które są mieszanymi środowiskami zaufania lub DMZ
oddzielonymi od zaufanych sieci. Publiczne serwery WWW, FTP i pocztowe zwykle znajdują się w sieciach opcjonalnych. Ustawienia
opcjonalnego interfejsu są takie same jak w przypadku zaufanego interfejsu. Jedyna różnica polega na tym, że opcjonalne interfejsy
są członkami aliasu Any-Optional .
Niestandardowe interfejsy
Niestandardowy interfejs łączy Firebox z siecią wewnętrzną z niestandardowym poziomem zaufania, który różni się od zaufanego lub
opcjonalnego. Niestandardowy interfejs nie jest członkiem wbudowanych aliasów (Dowolny-Zaufany, Dowolny-Opcjonalny lub Dowolny-
Zewnętrzny), więc ruch dla niestandardowego interfejsu nie jest dozwolony przez Firebox, chyba że specjalnie skonfigurujesz zasady,
aby na to zezwolić. Dowolny alias zawiera niestandardowy interfejs .
Jedyna różnica między zaufanymi, opcjonalnymi i niestandardowymi interfejsami polega na tym, które aliasy należą do interfejsu. Wszystkie
interfejsy są częścią aliasu Dowolny , niezależnie od typu interfejsu.

Ustawienia sieci
Większość użytkowników konfiguruje co najmniej jeden zewnętrzny i jeden zaufany interfejs w swoim Fireboksie. Każdy
interfejs można skonfigurować jako zaufany, opcjonalny, zewnętrzny lub niestandardowy.
Interfejsy zaufane, opcjonalne i niestandardowe są interfejsami wewnętrznymi i wszystkie mają te same konfigurowalne ustawienia. Adres IP
interfejsu wewnętrznego musi być statyczny. Zwykle wewnętrzne interfejsy używają prywatnych lub zastrzeżonych adresów IP zgodnych z RFC
1918 i RFC 8190.
Zalecamy, aby nie używać publicznych adresów IP, które nie należą do Ciebie w sieci wewnętrznej.
Podczas konfigurowania adresów IPv4 dla interfejsów w Fireboksie należy użyć notacji z ukośnikiem do oznaczenia maski podsieci. Na przykład
określasz zakres sieci 192.168.0.0 z maską podsieci 255.255.255.0 jako 192.168.0.0/24.
Zaufany interfejs o adresie IP 10.0.1.1/16 ma maskę podsieci 255.255.0.0.
Aliasy interfejsów
Dla każdego interfejsu nazwa interfejsu jest aliasem używanym w zasadach w odniesieniu do ruchu wysyłanego lub odbieranego przez ten
interfejs. Każdy interfejs jest również członkiem jednego lub kilku wbudowanych aliasów, które odnoszą się do stref bezpieczeństwa sieci.
Po wybraniu typu interfejsu interfejs staje się członkiem jednego lub kilku wbudowanych aliasów definiujących różne strefy bezpieczeństwa.
Wbudowane aliasy dla interfejsów to:
n Any-External — alias dowolnej sieci dostępnej przez interfejs Firebox skonfigurowanej jako zewnętrzna n Any-Trusted — alias
dowolnej sieci dostępnej przez interfejs Firebox skonfigurowanej jako zaufana n Any-Optional — alias dowolnej sieci dostępnej
przez Firebox interfejs skonfigurowany jako opcjonalny n Dowolny — Alias dla dowolnego adresu. Obejmuje to dowolny adres IP,
interfejs, niestandardowy interfejs, tunel lub użytkownika

Grupa.
Wymagania dotyczące interfejsów Firebox
Każdy interfejs Firebox może łączyć się z inną siecią. Komputery i serwery chronione przez Firebox mogą używać prywatnych lub publicznych
adresów IP. Firebox używa translacji adresów sieciowych (NAT) do kierowania ruchu z sieci zewnętrznej do komputerów w sieciach zaufanych i
opcjonalnych.
W trybie routingu mieszanego wszystkie urządzenia znajdujące się za zaufanymi i opcjonalnymi interfejsami muszą mieć adres IP z sieci
przypisany do tego interfejsu. Aby było to łatwe do zapamiętania, wielu administratorów ustawia adres interfejsu na pierwszy lub ostatni adres IP
z zakresu używanego w danej sieci. Na przykład na poniższym obrazku adres IPv4 zaufanego interfejsu może mieć postać 10.0.1.1/24, a adres IPv4
interfejsu opcjonalnego może mieć postać 10.0.2.1/24.

Ustawienia sieci
Informacje o serwerze DHCP i przekaźniku DHCP
Możesz skonfigurować Firebox tak, aby adresy IP były automatycznie przydzielane przez DHCP urządzeniom w zaufanych,
opcjonalnych lub niestandardowych sieciach. Włączając serwer DHCP, określasz pulę adresów IP w tej samej podsieci co adres IP
interfejsu. Serwer DHCP przydziela te adresy urządzeniom żądającym dzierżawy DHCP.
Pamiętaj, aby dodać wystarczającą liczbę adresów IP do puli adresów, aby obsłużyć liczbę klientów w Twojej sieci. Na przykład w
pokazanej tutaj konfiguracji serwer DHCP może przypisać adresy IP maksymalnie 99 klientom DHCP. Gdy setny klient żąda
adresu IP, to żądanie kończy się niepowodzeniem i ten klient nie może się połączyć.

Ustawienia sieci
Możesz także skonfigurować Firebox dla przekaźnika DHCP. Gdy korzystasz z przekaźnika DHCP, komputery znajdujące się za
Fireboxem mogą korzystać z serwera DHCP w innej sieci, aby uzyskać adresy IP. Firebox wysyła żądanie DHCP do serwera DHCP w
innej lokalizacji niż klient DHCP. Firebox wysyła odpowiedź serwera DHCP do komputerów w zaufanej, opcjonalnej lub niestandardowej
sieci.

Ustawienia sieci
WINS/DNS w trybie routingu mieszanego
Aby upewnić się, że serwer DNS jest zawsze dostępny w Twojej sieci, zalecamy skonfigurowanie co najmniej dwóch
serwerów DNS w Firebox: jeden dla wewnętrznego serwera DNS, a drugi dla zewnętrznego serwera DNS. Zalecamy,
aby najpierw podać wewnętrzny serwer DNS, aby miał wyższy priorytet. Jeśli nie masz wewnętrznego serwera DNS,
zalecamy określenie dwóch zewnętrznych serwerów DNS od różnych dostawców w celu zapewnienia nadmiarowości.
Firebox używa serwerów DNS do:
Klienci sieciowi
n Mobilni klienci VPN
n Służby bezpieczeństwa
n NTP
n Aktualizacje kluczy funkcji
n Aktualizacje certyfikatów CA
Możesz skonfigurować różne rodzaje serwerów i usług DNS w swoim Fireboxie. Każdy serwer i usługa DNS ma inny cel i jest skonfigurowany w
innym miejscu w ustawieniach Firebox. Niektóre serwery DNS mają pierwszeństwo przed innymi.
Dzięki dostępnym serwerom i usługom DNS możesz:
n Skonfiguruj serwery DNS, które mają zastosowanie do wszystkich interfejsów i lokalnych procesów Firebox lub tylko do określonych
interfejsów. n Skonfiguruj reguły warunkowego przekierowania DNS, aby wysyłać zapytania DNS dla określonych domen do różnych DNS
serwery.
n Włącz DNSWatch, jeśli masz subskrypcję Total Security Suite.

DNSWatch to usługa oparta na chmurze, która monitoruje żądania DNS za pośrednictwem Firebox, aby zapobiegać połączeniom ze
znanymi złośliwymi domenami. W niektórych przypadkach serwery DNS DNSWatch mają pierwszeństwo przed niektórymi
serwerami DNS skonfigurowanymi w Firebox.

Ustawienia sieci
Mosty sieciowe
Most sieci lokalnej logicznie łączy wiele interfejsów fizycznych, aby działały jako pojedyncza sieć z jedną nazwą interfejsu i adresem IP.
Konfigurujesz adres IP interfejsu i inne ustawienia interfejsu w konfiguracji mostu, a następnie konfigurujesz interfejsy jako
elementy mostu. Most musi zawierać co najmniej jeden interfejs i może zawierać dowolną kombinację interfejsów fizycznych,
bezprzewodowych i interfejsów agregacji łączy.
Most działa w taki sam sposób, jak każdy inny interfejs sieciowy. Technicznie jest to nieoznakowana sieć VLAN, którą przypisujesz do
wielu interfejsów.
Most można skonfigurować w zaufanej, opcjonalnej lub niestandardowej strefie zabezpieczeń. Ustawienia konfiguracji mostka są
podobne do ustawień dowolnego innego zaufanego, opcjonalnego lub niestandardowego interfejsu sieciowego. Na przykład możesz
skonfigurować protokół DHCP, aby przydzielał adresy IP klientom na moście lub używał nazwy mostu jako aliasu w zasadach zapory.
Możesz użyć konfiguracji mostka sieciowego, jeśli chcesz, aby Firebox działał również jako przełącznik. Możesz to zrobić w małej sieci, jeśli
nie chcesz implementować przełącznika sieciowego.
Na przykład możesz utworzyć mostek sieciowy w zaufanej sieci, aby połączyć dwa wewnętrzne interfejsy. W naszym przykładzie
most sieciowy o nazwie Trusted-Bridge ma adres IP 10.0.100.1/24.

Ustawienia sieci
Interfejsy Trusted-1 i Trusted-2 są częścią konfiguracji mostu.

Ustawienia sieci
Nie zmieniaj interfejsu, którego obecnie używasz do łączenia się z Fireware Web UI, na interfejs mostka.
Powoduje to natychmiastową utratę połączenia zarządzania z Fireboxem.

Ustawienia sieci
Sieci drugorzędne
Sieć pomocnicza to sieć, która współużytkuje jedną z tych samych sieci fizycznych, co jeden z
interfejsów Firebox.
Podczas dodawania sieci dodatkowej do interfejsu dodawany jest drugi alias IP. Ten alias IP jest domyślną bramą dla
wszystkich komputerów w sieci dodatkowej. Sieci drugorzędne mogą być używane tylko w trybie Mixed Routing lub
Drop-In.
Oto kilka przykładów sytuacji, w których sieci pomocnicze mogą być przydatne:
Konsolidacja sieci
Jeśli chcesz usunąć router z sieci, możesz dodać adres IP routera jako dodatkowy adres IP w zaporze, gdy
router jest wyłączony. Wszelkie hosty lub routery, które nadal wysyłają ruch do starego adresu IP routera,
wysyłałyby ruch do zapory.
Migracja sieci
Adresy dodatkowe mogą pomóc uniknąć awarii sieci, jeśli chcesz przenieść zaufaną sieć z jednej podsieci do
drugiej. Na przykład, jeśli obecnie używasz 192.168.1.1/24 jako podstawowego adresu IP interfejsu i zmienisz
adres IP interfejsu na 10.0.10.1/24, może to spowodować awarię sieci, podczas gdy urządzenia korzystające z
DHCP otrzymają adres IP nowa podsieć. Ponadto żadne urządzenia korzystające ze statycznego adresu IP nie
mogą się łączyć, dopóki nie zostaną ponownie skonfigurowane z adresem IP w nowej podsieci. Aby uniknąć
przestoju, dodaj stary adres IP jako sieć pomocniczą, aby podczas migracji urządzenia mogły nadal używać
adresów IP ze starej podsieci.

Ustawienia sieci
Podczas konfigurowania sieci dodatkowej urządzenia korzystające z DHCP uzyskują adres IP w nowej podsieci, gdy odnawiają dzierżawę
DHCP, bez przerwy w działaniu. Urządzenia korzystające ze statycznego adresu IP mogą nadal korzystać ze starej podsieci, dopóki nie
będziesz mieć czasu na zaktualizowanie ich adresów IP. Po migracji wszystkich urządzeń do nowej podsieci możesz usunąć dodatkowy adres IP
z interfejsu.
Migracja do innego zakresu sieci lokalnej może być konieczna w następujących przypadkach:
n Dziedziczysz sieć korzystającą z sieci 192.168.0.0/24 lub 192.168.1.0/24. Ponieważ te sieci
zakresy są w konflikcie z wieloma zakresami sieci domowej, użytkownicy mobilnej sieci VPN nie mogą uzyskać dostępu do zasobów
lokalnych w Twojej sieci.
n Masz dwie lokalizacje z tym samym zasięgiem sieci lokalnej i chcesz je połączyć za pomocą BOVPN.
Statyczny NAT do wielu serwerów
Jeśli Twój Firebox używa statycznego zewnętrznego adresu IP, możesz dodać dodatkowy adres IP sieci. Następnie możesz skonfigurować
statyczne reguły NAT, aby wysyłać ruch do odpowiednich urządzeń w tej sieci.
Na przykład skonfiguruj zewnętrzną sieć pomocniczą z drugim publicznym adresem IP, jeśli masz dwa publiczne serwery internetowe i chcesz
skonfigurować statyczną regułę NAT dla każdego serwera.
Możesz także dodać sieci drugorzędne do zewnętrznego interfejsu Firebox, jeśli interfejs zewnętrzny jest skonfigurowany do uzyskiwania adresu IP
przez PPPoE lub DHCP. Możesz dodać do 2048 sieci dodatkowych dla każdego interfejsu.
Inspekcja ruchu wewnątrzinterfejsowego
Domyślnie Firebox sprawdza ruch przychodzący i wychodzący z tego samego interfejsu zewnętrznego i stosuje do tego ruchu zasady zapory. Firebox
domyślnie nie sprawdza ruchu przychodzącego i wychodzącego z wewnętrznych interfejsów.
Inspekcję wewnątrzinterfejsową można włączyć lub wyłączyć na interfejsach fizycznych i interfejsach agregacji łączy. Jeśli włączysz to ustawienie,
Firebox zastosuje zasady zapory sieciowej do ruchu wewnątrz interfejsu dla określonego interfejsu. W oprogramowaniu Fireware w wersji 12.9 lub
nowszej można włączać i wyłączać to ustawienie z poziomu interfejsu Fireware Web UI lub Policy Manager.

Ustawienia sieci

Ustawienia sieci
VLANy
Wirtualna sieć lokalna (VLAN) to zbiór komputerów w sieci LAN lub sieciach LAN zgrupowanych razem w jednej domenie rozgłoszeniowej,
niezależnie od ich fizycznej lokalizacji.
Dzięki sieci VLAN można grupować urządzenia według funkcji lub wzorców ruchu, a nie według lokalizacji lub
adresu IP. Członkowie sieci VLAN mogą współużytkować zasoby tak, jakby byli podłączeni do tej samej sieci LAN.
Korzyści z sieci VLAN
Sieci VLAN zapewniają trzy główne korzyści:
n Zwiększona wydajność dzięki ograniczeniu rozgłaszania — Każdy komputer dodany do sieci LAN zwiększa ilość ruchu rozgłoszeniowego
w tle, co może obniżyć wydajność. Dzięki sieciom VLAN można ograniczyć ten ruch i zmniejszyć przepustowość wykorzystywaną przez
sieć.
n Lepsze zarządzanie i uproszczone dostrajanie sieci — konsolidacja wspólnych zasobów w sieci VLAN zmniejsza liczbę przeskoków
tras wymaganych do komunikacji tych urządzeń. Możesz także łatwiej zarządzać ruchem z każdej grupy funkcjonalnej, gdy
każda grupa korzysta z innej sieci VLAN.
n Zwiększone opcje zabezpieczeń — Domyślnie członkowie jednej sieci VLAN nie widzą ruchu z innej sieci VLAN.
Do sieci VLAN można zastosować osobne zasady bezpieczeństwa. Z drugiej strony sieć pomocnicza na interfejsie Firebox nie
zapewnia dodatkowego bezpieczeństwa, ponieważ nie ma separacji ruchu. Firebox nie filtruje ruchu między główną siecią interfejsu a
drugorzędną siecią na tym interfejsie. Automatycznie kieruje ruchem między sieciami podstawowymi i drugorzędnymi na tym
samym interfejsie fizycznym bez ograniczeń dostępu.
Warunki i pojęcia dotyczące sieci VLAN

Interfejs magistrali VLAN
Interfejs fizyczny (interfejs przełącznika lub interfejs urządzenia), który łączy urządzenie VLAN z innym urządzeniem VLAN.
Niektórzy dostawcy używają tego terminu tylko w odniesieniu do interfejsu przełącznika, który przenosi ruch do więcej niż jednej sieci
VLAN. Używamy tego jako ogólnego terminu, aby wskazać interfejs Ethernet na urządzeniu obsługującym VLAN, który łączy
urządzenie z innym urządzeniem obsługującym VLAN.
Identyfikator sieci VLAN (VID)
Liczba od 1 do 4094 powiązana z siecią VLAN. Każda używana sieć VLAN ma unikalny numer.
Etykietka
Ten termin ma jedno znaczenie, gdy jest używany jako czasownik, a inne, gdy jest używany jako rzeczownik:
Znacznik [rzeczownik] — Informacja dodawana do nagłówka ramki Ethernet. Format znacznika jest określony przez standard IEEE
802.1Q.

Ustawienia sieci
Tag [czasownik] — Aby dodać znacznik VLAN do nagłówka Ethernet ramki danych. Znacznik jest dodawany przez urządzenie zgodne ze standardem
802.1Q, takie jak przełącznik lub router 802.1Q lub Firebox.
Ponieważ fizyczny segment między dwoma urządzeniami 802.1Q normalnie przenosi tylko pakiety danych ze znacznikami, nazywamy go
segmentem danych ze znacznikami.
Odznacz
Aby usunąć znacznik VLAN z nagłówka Ethernet ramki. Gdy urządzenie 802.1Q musi wysłać dane do urządzenia sieciowego, które nie może zrozumieć
tagów VLAN 802.1Q, ramki danych muszą być skonfigurowane jako nieoznaczone.
Segment fizyczny między urządzeniem VLAN a urządzeniem, które nie rozpoznaje znaczników VLAN, zwykle przenosi tylko nieoznakowane
pakiety danych, dlatego nazywamy go segmentem danych nieoznakowanych.
Klienci są domyślnie nieoznaczeni. Jako najlepszą praktykę zalecamy posiadanie jednej nieoznakowanej sieci VLAN do bezpośredniego dostępu
do zarządzania. Na przykład możesz chcieć fizycznie połączyć się z Fireboxem, aby rozwiązać problem. Niektóre urządzenia innych firm pozostawiają
VLAN ID 1 nieoznaczone na potrzeby zarządzania i rozwiązywania problemów.
Oznaczanie i usuwanie znaczników według interfejsu
Przypisując członkostwo w sieci VLAN dla interfejsu Ethernet na urządzeniu 802.1Q, określa się również, czy interfejs ma wysyłać i akceptować ramki
danych ze znacznikami lub bez znaczników. Niektóre urządzenia VLAN umożliwiają jednemu interfejsowi Ethernet akceptację zarówno
ramek oznaczonych, jak i nieoznakowanych. Zależy to od tego, do jakich sieci VLAN należy dany interfejs.
Podczas konfigurowania interfejsu Firebox Ethernet dla sieci VLAN interfejs akceptuje zarówno oznakowane, jak i nieoznakowane ramki danych.
Sieć VLAN może mieć więcej niż jeden fizyczny element interfejsu. Interfejs może jednocześnie należeć zarówno do zewnętrznej, jak i wewnętrznej
(zaufanej, opcjonalnej lub niestandardowej) sieci VLAN. Interfejs VLAN może wysyłać i odbierać nieoznakowany ruch dla zewnętrznej sieci VLAN.
Skorzystaj z tych dwóch reguł, aby zdecydować, czy skonfigurować interfejs przełącznika dla opcji Tag lub Untag:
n Jeśli interfejs łączy się z urządzeniem, które może odbierać i rozumieć znaczniki VLAN 802.1Q, skonfiguruj interfejs przełącznika dla
(przełączników zarządzanych) Etykietka. Urządzenia, które podłączasz do tego interfejsu, to zazwyczaj przełączniki VLAN
lub routerów.
n Jeśli interfejs łączy się z urządzeniem, które nie może odbierać i rozumieć tagów 802.1Q VLAN, . Takie urządzenia prawdopodobnie
skonfiguruj interfejs przełącznika dla Odznaczusuną tag VLAN z
nagłówka Ethernet lub całkowicie porzuć ramkę. Urządzeniami podłączanymi do tego interfejsu są zwykle komputery lub drukarki.
Przełączniki i routery
Podczas konfigurowania interfejsu Firebox Ethernet dla sieci VLAN przełączniki i routery podłączone do interfejsu urządzenia muszą mieć możliwość
używania znaczników VLAN zgodnie z definicją w standardzie IEEE 802.1Q.
Przełącznik tego typu jest powszechnie nazywany przełącznikiem zarządzanym lub przełącznikiem 802.1Q.
Typ sieci VLAN
Sieci VLAN mogą używać różnych parametrów do przypisywania członkostwa. Firebox korzysta z sieci VLAN 802.1Q. Instytut Inżynierów Elektryków i
Elektroników (IEEE) publikuje standard 802.1Q definiujący format znaczników VLAN.
Ten standard umożliwia korzystanie z sieci VLAN ze sprzętem dowolnego producenta, który jest zgodny ze standardami 802.1Q.

Ustawienia sieci
Wymagania i zalecenia dotyczące sieci VLAN

Zanim skonfigurujesz sieci VLAN w Fireboxie, rozważ te wymagania i zalecenia.
Aby użyć sieci VLAN z Fireboxem:
n Jeśli Firebox jest skonfigurowany w trybie Drop-In, nie możesz używać sieci VLAN. n
Jeśli Firebox jest skonfigurowany w trybie Bridge, nie można konfigurować sieci VLAN. o W
trybie pomostowym Firebox może przekazywać ruch oznaczony tagiem VLAN między mostami lub przełącznikami
802.1Q. o Możesz skonfigurować Firebox w trybie Bridge, aby był zarządzany z sieci VLAN, która ma określony znacznik VLAN.
o Możesz włączyć Spanning Tree Protocol w trybie Bridge.
n Ustawienia konfiguracji Multi-WAN są stosowane do ruchu VLAN. Jednak zarządzanie przepustowością może być łatwiejsze
gdy używasz tylko interfejsów fizycznych w konfiguracji z wieloma sieciami WAN.
n Model urządzenia i licencja określają liczbę sieci VLAN, które możesz utworzyć. Aby zobaczyć liczbę sieci VLAN, które możesz dodać
do Firebox, otwórz Menedżera zasad i wybierz Ustawienia > Klucze funkcji. Znajdź wiersz Łączna liczba interfejsów VLAN.
n Zalecamy, aby nie tworzyć więcej niż 10 sieci VLAN działających na zewnętrznych interfejsach. Zbyt wiele sieci VLAN na
zewnętrznych interfejsach wpływa na wydajność.
n Wszystkie segmenty sieci, które chcesz dodać do sieci VLAN, muszą mieć adresy IP w sieci VLAN.

Ustawienia sieci
Scenariusze konfiguracji sieci VLAN

Te przykłady ilustrują różne sposoby wykorzystania sieci VLAN do tworzenia sieci logicznych dla klientów sieciowych, gdy ruch przechodzi
przez jeden lub więcej interfejsów Firebox.
Wiele sieci VLAN z jednego interfejsu
PRZYPADEK UŻYCIA:
Używaj sieci VLAN do tworzenia oddzielnych sieci logicznych dla dwóch grup urządzeń, które łączą się z pojedynczym
interfejsem Firebox za pośrednictwem przełącznika. Utwórz oddzielną sieć VLAN dla komputera zarządzającego.
Na przykład, jeśli używasz sieci VLAN do logicznego rozdzielenia ruchu dla urządzeń znajdujących się w dwóch działach, schemat sieci może
wyglądać następująco:
Konfiguracja paleniska:
n Interfejs VLAN, który łączy się z przełącznikiem, ma jedną nieoznakowaną sieć VLAN i dwie oznakowane sieci VLAN.
Konfiguracja portu przełącznika:
n Port, z którym łączy się Firebox, ma jedną nieoznakowaną sieć VLAN i dwie oznakowane sieci VLAN, zgodnie z konfiguracją portu
VLAN w Fireboxie.
n Każdy port, z którym łączy się klient, jest skonfigurowany z pojedynczą siecią VLAN, która nie jest oznaczona.
W tej konfiguracji przełącznik dodaje i usuwa tagi VLAN dla ruchu sieciowego między klientami a Fireboxem.
n Cały ruch sieci VLAN 10 i VLAN 20 jest oznaczony między Firebox a przełącznikiem. n Cały ruch sieci VLAN
10 i VLAN 20 nie jest oznaczany między przełącznikiem a klientami sieciowymi.

Ustawienia sieci
n Przełącznik usuwa znaczniki dla ruchu wysyłanego z Firebox do klientów w tych sieciach VLAN. n Przełącznik dodaje
znaczniki dla ruchu od klientów w tych sieciach VLAN do Firebox.
Pojedyncza sieć VLAN zmostkowana przez wiele interfejsów
PRZYPADEK UŻYCIA:
Użyj sieci VLAN, aby utworzyć pojedynczą sieć logiczną dla urządzeń, które łączą się z dwoma interfejsami Firebox za pośrednictwem
dwóch różnych przełączników.
Na przykład, jeśli użyjesz VLAN do stworzenia jednej sieci logicznej dla urządzeń znajdujących się na dwóch piętrach budynku, schemat sieci może
wyglądać następująco:
n Interfejsy VLAN, które łączą się z obydwoma przełącznikami, są skonfigurowane jako elementy tej samej oznakowanej sieci VLAN.
Konfiguracja portu przełącznika na obu przełącznikach:
n Port, z którym łączy się Firebox, ma jedną oznaczoną sieć VLAN. n Każdy port, z
którym łączy się klient, jest skonfigurowany z tą samą siecią VLAN, która jest nieoznakowana.
W tej konfiguracji przełącznik dodaje i usuwa tagi VLAN dla ruchu sieciowego między klientami a Fireboxem.
n Cały ruch sieci VLAN 10 jest oznaczony między Firebox a przełącznikami. n Cały ruch sieci
VLAN 10 nie jest oznaczany między przełącznikami a klientami sieciowymi.

Ustawienia sieci
n Przełącznik usuwa znaczniki dla ruchu wysyłanego z Firebox do klientów w sieci VLAN. n Przełącznik
dodaje znaczniki dla ruchu od klientów w tej sieci VLAN do Firebox.

Ustawienia sieci
Segmentowy przełącznik VLAN podłączony do dwóch interfejsów
PRZYPADEK UŻYCIA:
Użyj dwóch interfejsów Firebox do obsługi ruchu dla dwóch oddzielnych sieci VLAN skonfigurowanych na tym samym podłączonym
przełączniku. Ten przypadek użycia nie wymaga żadnej konfiguracji VLAN na Fireboxie. Aby skonfigurować różne zasady dla każdej
sieci VLAN, określ interfejs, który łączy się z każdą siecią VLAN na przełączniku.
Na przykład, jeśli twój przełącznik jest skonfigurowany z dwoma sieciami VLAN dla komputerów w dwóch działach, a używasz innej
Interfejs Firebox dla ruchu z każdej sieci VLAN, schemat sieci mógłby wyglądać tak:
W tej konfiguracji Firebox nie rozpoznaje sieci VLAN i postrzega je jako dwie oddzielne sieci.
n Każdy interfejs podłączony do przełącznika jest interfejsem zaufanym, opcjonalnym lub niestandardowym.
Konfiguracja portu przełącznika:
n Każdy port łączący Firebox jest skonfigurowany z inną nieoznakowaną siecią VLAN. n Każdy port, z którym
łączy się klient, jest skonfigurowany z pojedynczą nieoznakowaną siecią VLAN.
W tej konfiguracji przełącznik kieruje ruch dla klientów w każdej sieci VLAN do innego interfejsu Firebox.
n Cały ruch między klientami VLAN 10 a Fireboxem przechodzi przez jeden interfejs Firebox. n Cały ruch między
klientami VLAN 20 a Fireboxem przechodzi przez inny interfejs Firebox.

Ustawienia sieci
Często Zadawane Pytania

Jeśli chcę zezwolić na ruch do sieci VLAN z urządzenia spoza sieci VLAN, czy potrzebuję do tego zasad?
Tak. Domyślnie Firebox nie zezwala na ruch do urządzenia w żadnej sieci VLAN. Aby zezwolić na ten ruch, dodaj dla niego zasady i umieść
nazwę aliasu VLAN lub podsieci w sekcji Do.
Jeśli chcę zezwolić na ruch rozpoczynający się w sieci VLAN i opuszczający tę sieć, czy potrzebuję dla niego zasad?
Tak. Ruch nie może opuszczać sieci chronionej przez Firebox, chyba że zezwala na to polityka.
Jednak domyślna konfiguracja, którą Kreator szybkiej instalacji tworzy dla Firebox, obejmuje politykę wychodzącą, która zezwala
na ruch z Dowolnego zaufanego lub Dowolnego opcjonalnego do Dowolnego zewnętrznego.
Sieć VLAN można skonfigurować jako strefę zaufaną lub opcjonalną.
Jeśli Twoja sieć VLAN korzysta ze strefy zabezpieczeń Zaufana lub Opcjonalna, każde urządzenie w sieci VLAN może używać zasad ruchu
wychodzącego do wysyłania ruchu do dowolnego zewnętrznego. Dzieje się tak, ponieważ sieć VLAN korzystająca ze strefy zabezpieczeń Zaufana
jest uwzględniona w aliasie Dowolny-zaufany, a sieć VLAN korzystająca z opcjonalnej strefy zabezpieczeń jest uwzględniona w aliasie Dowolny-opcjonalny.
Jeśli chcę zezwolić na ruch rozpoczynający się w jednej sieci VLAN i przechodzący do innej sieci VLAN, czy potrzebuję dla niego zasad?
Tak. Domyślnie urządzenia w jednej sieci VLAN nie widzą ruchu z innej sieci VLAN. Do sieci VLAN można zastosować osobne
zasady bezpieczeństwa.
Jeśli chcę zezwolić na ruch, który rozpoczyna się w sieci VLAN i trafia do urządzenia w tej samej sieci VLAN, czy potrzebuję dla niego zasady?
Nie. Jeśli komputer podłączony do przełącznika A wysyła ruch do komputera podłączonego do przełącznika B, a oba
komputery znajdują się w tej samej sieci VLAN, Firebox nie filtruje tego ruchu. W tej konfiguracji Firebox służy jako most VLAN między
dwoma komputerami i dwoma przełącznikami. Dwa komputery komunikują się tak, jakby znajdowały się w tej samej fizycznej sieci
LAN, nie oddzielonej przez Firebox.
Jeśli jednak chcesz zastosować zasady zapory do ruchu między klientami w dwóch sieciach należących do tej samej sieci VLAN,
możesz zaznaczyć pole wyboru Zastosuj zasady zapory do ruchu wewnątrz sieci VLAN w konfiguracji sieci VLAN.
Jeśli chcesz zastosować zasady do ruchu wewnątrz sieci VLAN, upewnij się, że między źródłem a miejscem docelowym nie istnieje
ścieżka alternatywna. Ruch sieci VLAN musi przechodzić przez Firebox, aby zasady zapory mogły zostać zastosowane.
Ile sieci VLAN mogę skonfigurować?
Liczba sieci VLAN, które możesz dodać do swojej konfiguracji, zależy od modelu Firebox. Aby zweryfikować liczbę sieci VLAN, które
można dodać do urządzenia, spójrz na wiersz Łączna liczba interfejsów VLAN w kluczu funkcji.
Ile zewnętrznych sieci VLAN mogę skonfigurować?
Zalecana maksymalna liczba zewnętrznych sieci VLAN to 10.

Ustawienia sieci
Routing statyczny
Trasa to sekwencja urządzeń, przez które musi przejść ruch sieciowy, aby dotrzeć od źródła do miejsca docelowego. Podróż z jednego urządzenia do
następnego nazywana jest przeskokiem .
Router lub urządzenie sieciowe, takie jak Firebox, przechowuje informacje o trasach w tablicy routingu. Urządzenie przeszukuje tablicę routingu, aby
znaleźć trasę, aby wysłać każdy odebrany pakiet do miejsca docelowego.
Trasy mogą być statyczne lub dynamiczne:
n Trasa statyczna — Ręcznie skonfigurowana trasa do określonej sieci lub hosta. n Trasa
dynamiczna — Trasa automatycznie poznawana i aktualizowana przez router na podstawie komunikacji z

sąsiednie routery sieciowe.
Każdy przeskok na trasie jest izolowany, co oznacza, że problemy z trasowaniem są spowodowane problemami z
połączeniem punkt-punkt między urządzeniami na trasie.
Informacje o trasach statycznych
Aby mieć pełną kontrolę nad tym, jak Firebox kieruje ruchem, możesz dodać trasy statyczne.
Trasy statyczne mogą być odpowiednie w niektórych przypadkach. Na przykład trasy statyczne mogą mieć sens w małych sieciach, gdy jest bardzo
mało przeskoków lub gdy wiadomo, że trasa prawdopodobnie się nie zmieni. Routing statyczny może być używany jako zapasowy dla routingu
dynamicznego. Jednak w przypadku zmiany struktury sieci lub awarii połączenia ruch sieciowy nie może dotrzeć do miejsca docelowego.
Aby dodać trasę statyczną, w Menedżerze zasad wybierz Sieć > Trasy.
Każda trasa statyczna zawiera następujące atrybuty:
n Typ trasy — jest automatycznie ustawiany na Trasę statyczną. Jeśli skonfigurowałeś wirtualny interfejs BOVPN, ty
można również wybrać trasę interfejsu wirtualnego BOVPN.
n Typ miejsca docelowego — Określa, czy miejscem docelowym jest sieć lub host IPv4 lub IPv6.
n Trasa do — docelowy adres IP.

Ustawienia sieci
n Brama — Adres IP, przez który ma być kierowany ruch. To kolejny przeskok na trasie. Adres IP bramy
adres musi należeć do sieci zawartej w tablicy routingu Firebox. Zwykle jest to podsieć skonfigurowana na jednym z interfejsów
Firebox.
n Metryczne lub Dystans — Dystans określa priorytet trasy. Jeśli tablica routingu zawiera więcej niż jeden
trasy do tego samego miejsca docelowego, Firebox korzysta z trasy o mniejszej odległości.
n Interfejs — W przypadku trasy do miejsca docelowego IPv6 można opcjonalnie wybrać interfejs obsługujący protokół IPv6, który ma być
używany w tej trasie. W przypadku trasy interfejsu wirtualnego BOVPN należy wybrać interfejs wirtualny BOVPN, który ma być używany
dla trasy.
Zobacz Trasy sieciowe
Możesz zobaczyć trasy swojego Fireboxa z Firebox System Manager na karcie Status Report .
Tablica routingu zawiera:
n Trasy do sieci dla wszystkich włączonych interfejsów Firebox i interfejsów wirtualnych BOVPN
n Statyczne trasy sieciowe lub trasy hosta, które dodajesz do swojej konfiguracji.
n Trasy , których Firebox uczy się z dynamicznych procesów routingu włączonych w urządzeniu . Jest to adres
IP bramy, który określasz dla interfejsu zewnętrznego.
Każda trasa w tablicy routingu ma powiązaną metrykę. Jeśli tablica tras zawiera więcej niż jedną trasę do tego samego miejsca
docelowego, Firebox używa trasy o niższej metryce. W przypadku trasy statycznej ręcznie ustawiasz odległość (metryczną), aby
kontrolować priorytet każdej trasy. W przypadku korzystania z routingu dynamicznego protokół routingu dynamicznego automatycznie
ustawia odległość dla każdej trasy.
Skonfigurowana trasa statyczna nie pojawia się w tabeli tras, jeśli nie ma trasy do bramy określonej w trasie
statycznej.

Ustawienia sieci
Wiele sieci WAN
Dzięki multi-WAN możesz skonfigurować wiele zewnętrznych interfejsów, każdy w innej podsieci. Pozwala to na
podłączenie Fireboxa do więcej niż jednego dostawcy usług internetowych (ISP). W przypadku skonfigurowania
dwóch lub więcej interfejsów zewnętrznych funkcja multi-WAN jest automatycznie włączana.
Jeśli twój Firebox ma wiele zewnętrznych interfejsów, multi-WAN jest opcją globalnego routingu, chyba że skonfigurujesz programowo
definiowaną sieć WAN (SD-WAN).
Domyślnie multi-WAN nie jest włączone dla modemów. Multi-WAN nie wpływa na BOVPN ani ruch przychodzący.
Fireware obsługuje te metody multi-WAN
Przełączanie awaryjne (domyślne)
Metoda Failover wysyła wszystkie połączenia wychodzące do interfejsu podstawowego. Algorytm ten wysyła połączenia
wychodzące przez interfejs zapasowy tylko wtedy, gdy interfejs podstawowy jest niedostępny. Po włączeniu wielu sieci WAN w
Firebox, przełączanie awaryjne jest domyślną metodą wielu sieci WAN.
Tabela routingu
Tablica routingu wykorzystuje protokół Equal-Cost Multi-Path Routing (ECMP) do dystrybucji połączeń wychodzących na podstawie
adresów IP src/dst (źródłowych i docelowych). Metoda Routing Table próbuje wyrównać liczbę połączeń wychodzących z każdego
interfejsu.
Aby uzyskać więcej informacji, zobacz tabelę routingu i routingu równych kosztów wielościeżkowych (ECMP). Sekcje.
Okrągły
Round-robin rozdziela połączenia wychodzące na podstawie liczby połączeń. Jeśli ustawisz wagę dla każdego interfejsu
zewnętrznego na 1 w trybie okrężnym, algorytm podejmie próbę wyrównania liczby połączeń przesyłanych przez
każdy interfejs.
W przypadku niewielkiego ruchu ruch okrężny ważony zachowuje się jak tryb okrężny oparty na połączeniu, ponieważ
używane wagi zwykle określają liczbę połączeń za pośrednictwem każdego interfejsu zewnętrznego. Gdy obciążenie ruchem wzrasta,
ważona metoda okrężna zachowuje się bardziej jak okrężna praca oparta na obciążeniu, ponieważ przypisane wagi mają tendencję
do określania obciążenia za pośrednictwem każdego interfejsu zewnętrznego.
Przepełnienie interfejsu
Metoda przepełnienia interfejsu umożliwia ustawienie limitu przepustowości w celu ograniczenia ilości ruchu przesyłanego przez
każdy interfejs WAN. Algorytm wysyła połączenia wychodzące do zewnętrznych interfejsów w określonej przez Ciebie kolejności.
Gdy wszystkie interfejsy osiągną limit przepustowości, Firebox używa tablicy routingu, aby znaleźć najlepszą ścieżkę.
Gdy włączysz wiele sieci WAN, domyślnie funkcja Link Monitor nie jest włączona.

Ustawienia sieci
Korzyści z wielu sieci WAN
Wiele połączeń zewnętrznych zapewnia kilka korzyści:
Nadmierność
Jeśli główne połączenie internetowe ulegnie awarii, możesz użyć połączenia zapasowego dla połączeń wychodzących.
Większa przepustowość dostępna dla połączeń wychodzących
Dodatkowe połączenie z Internetem może skrócić czas oczekiwania na nowe połączenia i pobieranie dużych plików inicjowanych zza
Fireboxa.
Dedykowany dostęp przez preferowane połączenie
Podczas konfigurowania bramek SD-WAN lub BOVPN można zmusić aplikacje o znaczeniu krytycznym lub wymagające dużej przepustowości
do korzystania z określonego interfejsu zewnętrznego.
Warunki i koncepcje
Aby skonfigurować Firebox dla wielu sieci WAN, powinieneś znać te terminy i koncepcje.
Ruch wychodzący i Multi-WAN
W Fireware możesz skonfigurować wiele interfejsów Firebox jako typu Zewnętrzny. Ponieważ każdy interfejs zewnętrzny musi mieć domyślną bramę,
każdy interfejs zewnętrzny zapewnia ścieżkę, której Fireware może używać do wysyłania ruchu do zewnętrznych miejsc docelowych.
Dla każdego połączenia rozpoczynającego się w sieci za Fireboxem i prowadzącego do zewnętrznego miejsca docelowego, Firebox musi zdecydować,
którego zewnętrznego interfejsu użyć do wysłania ruchu. Kilka czynników decyduje o tym, czy Firebox zezwala na połączenie wychodzące i jakiego
interfejsu zewnętrznego używa Firebox do dozwolonego ruchu:
n Reguły zapory, które zezwalają i odrzucają ruch
n Metoda wielu sieci WAN
n Trasy statyczne i dynamiczne w tabeli routingu Firebox n Które interfejsy
zewnętrzne mogą obecnie wysyłać ruch n Ustawienia poszczególnych zasad,
które mogą zastąpić metodę multi-WAN, z której korzystasz (SD-WAN i połączenia lepkie) n Ustawienia punktów końcowych bramki BOVPN
Sekcja Routing Decisions Logic tego przewodnika zawiera schemat blokowy, który pokazuje, w jaki sposób Firebox podejmuje te decyzje.
Ruch przychodzący
W przypadku połączeń przychodzących proces decyzyjny jest prostszy. Połączenie przychodzące jest dozwolone tylko wtedy, gdy zezwala na to zasada
zapory.
Każdy interfejs zewnętrzny może odbierać ruch, jeśli Firebox widzi, że interfejs jest aktywny.

Ustawienia sieci
Używana metoda wielu sieci WAN nie wpływa na ścieżkę, którą pokonuje ruch przychodzący, aby dostać się do Firebox. Ponieważ Firebox
nie może kontrolować, do którego interfejsu zewnętrznego dociera połączenie przychodzące, ten przewodnik nie omawia połączeń
przychodzących.
Ruch IPSec VPN
Ruch IPSec VPN odnosi się do ruchu przesyłanego przez połączenie BOVPN. Koncepcje wielu sieci WAN w tym przewodniku mają zastosowanie
tylko do ruchu innego niż IPSec. Metody używane przez Fireware do kierowania normalnego ruchu (nie IPSec) do sieci zewnętrznych
są odrębne i niezależne od sposobu, w jaki ruch jest wysyłany do zdalnej strony IPSec VPN. Gdy Firebox wysyła ruch na drugą stronę tunelu
VPN, wybiera interfejsy określone w ustawieniach bramy dla tego tunelu.
Wiele zewnętrznych interfejsów dla sieci VPN IPSec omówiono w osobnej sekcji.
Routing wielościeżkowy o równych kosztach (ECMP)
ECMP to algorytm kierowania pakietów do miejsc docelowych, gdy istnieje wiele ścieżek następnego przeskoku o jednakowym koszcie.
Metoda wielu sieci WAN w tablicy routingu wykorzystuje protokół ECMP do równomiernego rozdzielania ruchu wychodzącego na wiele
zewnętrznych interfejsów w oparciu o źródłowy i docelowy adres IP.
Tablica routingu to zbiór danych o miejscach docelowych w sieci i sposobach dotarcia do nich. Fireware zawsze sprawdza tablicę
routingu Firebox, niezależnie od metody multi-WAN. Z tego powodu ECMP nie ingeruje w trasy statyczne skonfigurowane w Fireboksie ani
w protokoły routingu dynamicznego, takie jak RIP, OSPF i BGP.
Grupa ECMP to grupa zewnętrznych interfejsów używanych do obliczeń ECMP. Kiedy Firebox stwierdzi, że interfejs zewnętrzny w grupie ECMP
nie może już przekazywać ruchu do sieci zewnętrznych, usuwa ten interfejs z grupy ECMP. Fireware umieszcza interfejs zewnętrzny z powrotem
w grupie ECMP, gdy ustali, że interfejs jest ponownie dostępny.
Lepkie połączenia
Dynamiczny NAT zmienia źródłowy adres IP połączenia wychodzącego, aby dopasować adres IP na zewnętrznym interfejsie, którego
Firebox używa do wysyłania połączenia. Używasz połączeń trwałych, aby mieć pewność, że po ustanowieniu przepływu ruchu wychodzącego
wszystkie połączenia między adresem IP użytkownika wewnętrznego a adresem IP witryny zewnętrznej będą przez określony czas korzystać z
tego samego interfejsu zewnętrznego.
Fireware przechowuje dynamiczną tabelę trwałych połączeń, która zawiera parę źródło/miejsce docelowe dla każdego połączenia
wychodzącego, zewnętrzny interfejs używany do połączenia oraz wiek połączenia. Jeśli nowe połączenie między parą nastąpi przed
upływem limitu czasu trwałego połączenia, wiek jest resetowany do zera. Gdy wiek wpisu osiągnie limit połączenia stałego, wpis zostanie
usunięty z tabeli połączeń trwałych. Nowe połączenia między dwoma adresami IP mogą korzystać z innego interfejsu zewnętrznego.
Możesz skonfigurować interwał stałego połączenia dla metod wielosieci WAN typu Round-robin lub Interface Overflow.
Nie możesz użyć opcji stałego połączenia, gdy:
n Używasz metod przełączania awaryjnego lub tablicy routingu dla wielu
sieci WAN. n Włączasz SD-WAN dla zasady.

Ustawienia sieci
Globalne ustawienia lepkiego połączenia
Konfigurujesz globalne ustawienia stałego połączenia w ustawieniach multi-WAN.
Zalecamy użycie domyślnych ustawień dla stałych połączeń. Trzyminutowy limit czasu zapobiega większości
problemów, które pojawiają się, gdy zmienia się źródłowy adres IP nowego ruchu zza Fireboxa.
Ustawienia trwałego połączenia oparte na zasadach
W przypadku dowolnej zasady można zastąpić globalne ustawienia stałego połączenia skonfigurowane w ustawieniach wielu sieci WAN.
Ustawienia stałego połączenia oparte na zasadach określają, że ruch wychodzący korzystający z zasad ma ustawienie stałego połączenia
krótszego lub dłuższego niż ustawienie globalnego połączenia stałego. Możesz także wyłączyć stałe połączenia dla zasady.
Niektóre aplikacje przerywają połączenie klienta, jeśli zmieni się źródłowy adres IP klienta. Najczęstszym przykładem jest sytuacja, gdy użytkownik
znajduje się w witrynie korzystającej z protokołu HTTPS. Niektóre witryny HTTPS używają sesyjnych plików cookie, które zawierają źródłowy
adres IP użytkownika. Jeśli użytkownik znajduje się w witrynie, a przeglądarka próbuje nawiązać nowe połączenie (na przykład nowe żądanie GET
lub POST do witryny powoduje nową sesję TCP), witryna może odrzucić nowe połączenie, jeśli źródłowy adres IP nie pasuje do znajduje się
w sesyjnym pliku cookie.
Jeśli użytkownicy zgłaszają, że muszą często ponownie uwierzytelniać się w witrynach korzystających z protokołu HTTPS, można skonfigurować
wyższy stały limit czasu dla zasad zezwalających na wychodzący ruch HTTPS.
Możesz także skonfigurować wyższe ustawienie stałego limitu czasu dla ruchu Voice Over IP (VoIP) i wideokonferencji, aby zapewnić lepszą
obsługę.

Ustawienia sieci
Jeśli nie używasz określonej polityki HTTPS w konfiguracji Firebox (na przykład masz politykę zezwalającą na połączenia wychodzące
przez dowolny port TCP), możesz dodać politykę zezwalającą tylko na ruch na porcie 443. Następnie możesz dostosować limit czasu
stałego połączenia w tej zasadzie bez wpływu na inne połączenia.
Wyklucz interfejsy z multi-WAN
W niektórych przypadkach możesz chcieć przeznaczyć niektóre interfejsy Firebox na BOVPN, mobilną sieć VPN lub zasady korzystające z
SD WAN. Możesz dołączyć lub wykluczyć interfejsy z wielu sieci WAN. Jednak wszystkie metody wielu sieci WAN, z wyjątkiem tablicy routingu,
muszą zawierać co najmniej dwa interfejsy.

Ustawienia sieci
SD-WAN
Gdy określisz akcję SD-WAN w polityce, Firebox kieruje ruch zgodny z polityką do interfejsów określonych w akcji SD-WAN. SD-WAN ma pierwszeństwo
przed decyzją o routingu, którą Fireware zastosowałby w innym przypadku na podstawie metody wielu sieci WAN lub tabeli tras.
Możesz użyć SD-WAN do kierowania ruchu dla zasad przez interfejs zewnętrzny, interfejs wewnętrzny lub interfejs wirtualny BOVPN.
Aby uzyskać więcej informacji na temat SD-WAN, zobacz Sieć WAN zdefiniowana programowo (SD-WAN).
Przełączanie awaryjne/powrót po awarii
Przełączenie awaryjne występuje, gdy interfejs, który był wcześniej aktywny, nie może wysyłać ruchu do sieci zewnętrznych.
Powrót po awarii następuje, gdy interfejs, który wcześniej nie był w stanie dotrzeć do lokalizacji zewnętrznych, ponownie staje się aktywny.
Przełączanie awaryjne na interfejsie zewnętrznym
Interfejs zewnętrzny może przestać działać z powodu awarii logicznej lub fizycznej. Na przykład, jeśli odłączysz kabel Ethernet od interfejsu Firebox,
wystąpi fizyczna awaria. Jeśli sonda ping monitora łącza ulegnie awarii, błąd logiczny
występuje.
Jeśli zewnętrzny interfejs ulegnie awarii, Firebox usuwa ten zewnętrzny interfejs ze wszystkich decyzji o routingu. Działanie, jakie podejmuje Firebox, zależy
od aktualnie używanej metody multi-WAN:
n Round-robin — Firebox usuwa uszkodzony interfejs z grupy Round-robin. Jeśli Twoja grupa okrężna ma tylko dwa interfejsy zewnętrzne,
wszystkie połączenia wychodzące korzystają teraz z pozostałego aktywnego interfejsu. Jeśli Twoja grupa okrężna ma więcej niż dwa zewnętrzne
interfejsy, Firebox zmniejsza rozmiar grupy, tak aby zawierała tylko pozostałe aktywne interfejsy. Firebox nadal wykorzystuje względne wagi
pozostałych interfejsów do podejmowania decyzji dotyczących routingu.
n Failover — Firebox usuwa uszkodzony interfejs z grupy przełączania awaryjnego. Ruch przechodzi przez następne
dostępny interfejs na liście przełączania awaryjnego.
n Przepełnienie interfejsu — Firebox usuwa uszkodzony interfejs z grupy Przepełnienie interfejsu. Firebox używa progu przepełnienia interfejsu
przypisanego do każdego interfejsu, aby określić, który z nich ma być używany dla ruchu wychodzącego. Jeśli grupa interfejsów przepełnienia
interfejsu ma tylko dwa interfejsy zewnętrzne, wszystkie połączenia wychodzące będą teraz korzystać z pozostałego aktywnego interfejsu.
n Tablica routingu — Firebox usuwa uszkodzony interfejs z grupy ECMP. ECMP nadal podejmuje decyzje dotyczące tras na podstawie zewnętrznych
interfejsów, które pozostają aktywne.
Powrót po awarii
Gdy ponownie podłączysz interfejs lub sondy Link Monitor stwierdzą, że interfejs jest ponownie aktywny, Firebox ponownie udostępnia interfejs dla
ruchu wychodzącego.
Ustawienia Interwał sondy i Reaktywacja po na karcie Link Monitor określają, jak długo trwa ten proces. Jeśli zachowasz ustawienia domyślne, Firebox
wysyła sondę co pięć sekund i ponownie aktywuje interfejs po trzech udanych próbach w celu wykrycia awarii łącza logicznego.
Nowe połączenia wychodzące, o ile nie pasują do wpisu w tabeli połączeń trwałych, zaczynają korzystać z aktywnego teraz interfejsu zewnętrznego w
oparciu o wybraną metodę wielu sieci WAN.

Ustawienia sieci
Istniejące połączenia (w tym ruch zgodny z wpisem w tabeli połączeń trwałych) zachowują się zgodnie z opcją wybraną na liście rozwijanej Powrót po awarii dla
aktywnych połączeń :
n Natychmiastowy powrót po awarii
o Firebox odrzuca wszystkie aktualnie aktywne połączenia. o Pakiety TCP
RST są wysyłane w celu zamknięcia wszystkich otwartych połączeń TCP. o Porty NAT, które
są otwarte dla zwrotnych pakietów UDP, są zamknięte. o Tabela lepkich połączeń jest
czyszczona.
n Stopniowe przywracanie po awarii
o Wszystkie aktualnie aktywne połączenia mogą zostać zakończone, zanim Fireware zacznie używać metody multi-WAN do wysyłania ich przez inny
interfejs zewnętrzny.
o Tabela stałych połączeń pozostaje taka sama.
n Bez powrotu po awarii
o Wszystkie połączenia korzystają z interfejsu powrotu po awarii i nigdy nie przełączają się na oryginalny interfejs.
Wybierz opcję Natychmiastowy powrót po awarii, jeśli linia zapasowa jest droga, chcesz używać linii zapasowej tylko w sytuacjach awaryjnych, a Twoja
organizacja może tolerować przerwanie połączeń w przypadku powrotu po awarii.
Wybierz opcję Stopniowy powrót po awarii , jeśli Twoja organizacja nie może tolerować przerwanych połączeń w przypadku powrotu po awarii.
Wybierz opcję Bez powrotu po awarii , jeśli nie masz preferencji, który interfejs jest aktywnym interfejsem po zdarzeniu przełączenia awaryjnego.

Ustawienia sieci
Awaryjne przełączanie wielu sieci WAN
Przełączanie awaryjne jest domyślną metodą wielu sieci WAN. Użyj tej metody, jeśli chcesz:
n Używaj jednego zewnętrznego interfejsu dla całego ruchu i masz innego dostawcę usług internetowych, z którego możesz skorzystać, jeśli główna linia przestanie działać
w dół.
n Zarezerwuj interfejs WAN2 dla specjalnego ruchu i używaj WAN1 dla całego innego ruchu. Jeśli podstawowa sieć WAN1
połączenie zostanie zerwane, cały ruch może korzystać z WAN2 w przypadku awarii awaryjnej.
Jak to działa
Firebox przesyła cały ruch przez zewnętrzny interfejs u góry listy w oknie dialogowym Multi-WAN Failover Configuration . Jeśli ten
interfejs nie jest aktywny, Firebox sprawdza następny zewnętrzny interfejs na liście. Pierwszy aktywny interfejs na liście jest bramą dla całego
ruchu wychodzącego.
Jeśli Firebox wykryje awarię łącza Ethernet, nastąpi natychmiastowe przełączenie awaryjne. Domyślne opcje sondy to:
n Wysyłaj sondę co pięć sekund n Dezaktywuj
interfejs po niepowodzeniu trzech sond z rzędu n Reaktywuj interfejs
po trzech udanych sondach z rzędu
Jeśli interfejs zewnętrzny, który wcześniej był wyłączony, ponownie stanie się aktywny i znajduje się wyżej na twojej liście niż aktualnie aktywny
interfejs zewnętrzny, Firebox natychmiast zacznie wysyłać wszystkie nowe połączenia przez aktywny interfejs zewnętrzny, który jest teraz najwyżej
na liście, chyba że wybierz opcję Brak powrotu po awarii .
Musisz określić, w jaki sposób Firebox obsługuje istniejące połączenia, które obecnie korzystają z interfejsu znajdującego się teraz niżej na
liście. Aby uzyskać informacje na temat opcji powrotu po awarii, zobacz poprzednią sekcję.
Jak to skonfigurować
Aby skonfigurować tę metodę, wybierz Failover w konfiguracji multi-WAN.

Ustawienia sieci
Wybierz Skonfiguruj, aby:
n Określ interfejsy uczestniczące w przełączaniu awaryjnym. n
Ustal sekwencję przełączania awaryjnego dla tych interfejsów.

Network Security Essentials Study Guide Local EN-US-strony-1-100-PL

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Network Security Essentials Study Guide Local EN-US-strony-1-100-PL

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

lokalnie zarządzanych Fireboxów

WatchGuard zarządzane lokalnie Fireboxy

Przewodnik poprawiony dla: Fireware v12.9.2

Data aktualizacji: marzec 2023 r

celu, bez wyraźnej pisemnej zgody firmy WatchGuard Technologies, Inc.

Przewodnik zaktualizowany: 9 marca 2023 r

Informacje o prawach autorskich, znakach towarowych i patentach

Copyright © 2023 WatchGuard Technologies, Inc. Wszelkie prawa zastrzeżone.

505 Piąta Aleja Południe

rozwiązaniem dla rozproszonych przedsiębiorstw i małych i średnich firm.

Aby uzyskać dodatkowe informacje, promocje i aktualizacje, śledź WatchGuard na

sposobach radzenia sobie z nimi na stronie www.secplicity.org.

Wszystkie inne kraje +1.206.613.0895

Przewodnik po podstawach bezpieczeństwa sieci dla lokalnie zarządzanych Fireboxów 2

Jak korzystać z tego podręcznika 7

Konfiguracja i zarządzanie paleniskiem 9

Skonfiguruj nowy Firebox 10

Narzędzia do zarządzania Fireboxem 16

Pliki konfiguracyjne i obrazy kopii zapasowych 18

Administracja oparta na rolach 23

Domyślna ochrona przed zagrożeniami 32

Ustawienia globalne i NTP 36

Rodzaje komunikatów dziennika 46

Firebox Widoczność z WatchGuard Cloud 49

Skonfiguruj wymiar dla rejestrowania Firebox 51

Skonfiguruj logowanie Firebox do wymiaru 52

Monitorowanie za pomocą Firebox System Manager 53

Monitorowanie za pomocą Fireware Web UI 57

Czytaj komunikaty dziennika ruchu w Monitorze ruchu 60

Monitoruj zagrożenia i reaguj na nie za pomocą ThreatSync 63

Tryby routingu sieciowego 69

WINS/DNS w trybie routingu mieszanego 75

Przewodnik po podstawach bezpieczeństwa sieci dla lokalnie zarządzanych Fireboxów 3

Wiele sieci WAN 92

Awaryjne przełączanie wielu sieci WAN 99

Przepełnienie interfejsu Multi-WAN 102

Okrągły ruch wielu sieci WAN 104

Tabela routingu wielu sieci WAN 108

Monitor łącza 110

Logika decyzji o routingu 114

Sieć WAN zdefiniowana programowo (SD-WAN) 119

Dynamiczny NAT 123

Statyczny NAT (SNAT) 126

Pętla zwrotna NAT 130

Zarządzanie ruchem 132

Jakość usług (QoS) 139

Zasady zapory sieciowej 141

Źródło i miejsce docelowe zasad 142

Zasady zarządzania 145

Ogranicz zakres zasad 146

Priorytet polityki 148

Ukryte zasady 150

Rejestrowanie zasad i powiadamianie 152

Harmonogramy zasad 155

Filtry pakietów i zasady proxy 156

Służby Bezpieczeństwa 159

Przegląd usług bezpieczeństwa 160

Globalnie skonfigurowane usługi bezpieczeństwa 164

Usługa zapobiegania włamaniom 167

Kontrola aplikacji 169

Blokowanie węzła wyjściowego Tora 176

Serwery proxy i usługi oparte na proxy 179