Salam! Selamat datang di pelajaran
Memulai Fortinet keempat. Dalam
pelajaran terakhir, kami menerapkan tata letak untuk pekerjaan laboratorium di masa depan. Saatnya menggunakannya! Dalam pelajaran ini kita akan menganalisis dasar-dasar kebijakan keamanan yang membedakan akses antara segmen jaringan. Di bawah kucing, teori singkat dari video disajikan, serta pelajaran video itu sendiri.
Kebijakan firewall adalah kumpulan kriteria untuk memeriksa paket yang jatuh pada firewall. Perlu dicatat di sini bahwa FortiGate adalah firewall statfull, yaitu firewall dengan sesi mengingat. Ini berarti bahwa jika paket pertama dalam sesi itu diizinkan oleh kebijakan firewall, maka setiap paket dalam kerangka sesi ini tidak diperiksa untuk kepatuhan terhadap kebijakan - sesi ini diingat dan diizinkan. Selanjutnya, hanya lalu lintas yang diperiksa sebagai bagian dari inspeksi konten (tetapi lebih lanjut tentang itu nanti).
Catatan penting - lalu lintas diperiksa untuk kepatuhan terhadap kebijakan ketat dari atas ke bawah. Jika lalu lintas termasuk dalam semua kriteria kebijakan, tindakan yang ditentukan dalam kebijakan diterapkan untuk lalu lintas ini (menerima atau menolak). Jika lalu lintas tidak sesuai dengan kriteria semua kebijakan, kebijakan Tolak Tersirat diterapkan untuknya, dan lalu lintas ini dibuang.
Mari kita secara singkat membahas kriteria kebijakan.
Tiga kriteria pertama adalah antarmuka masuk, antarmuka keluar, dan sumber. Antarmuka masuk dan keluar dapat berupa satu atau beberapa antarmuka. Namun, secara default, penggunaan beberapa antarmuka dalam kebijakan dinonaktifkan, tutorial video menunjukkan cara mengaktifkan opsi ini. Kasus khusus menggunakan beberapa antarmuka adalah antarmuka Any. Ini mencakup semua kemungkinan antarmuka. Selain itu, sebagai antarmuka, Anda dapat menggunakan zona pra-konfigurasi - grup antarmuka logis.
Sejumlah besar objek dapat digunakan sebagai sumber, mereka disajikan pada slide. Tetapi ada aturan tertentu:
Setidaknya satu dari objek berikut ini harus ditentukan sebagai sumber: alamat IP atau rentang alamat IP, subnet, FQDN, lokasi geografis atau objek dari basis data layanan Internet. Lebih lanjut, jika diinginkan, Anda dapat menentukan kebijakan dengan memilih pengguna, grup pengguna atau perangkat tertentu. Pengguna dan grup pengguna dapat berupa lokal atau jarak jauh. Kami akan mempertimbangkan untuk bekerja dengan server otentikasi jarak jauh nanti dalam kursus. Sayangnya, kami tidak akan mempertimbangkan untuk bekerja dengan perangkat individual, materi ini berada di luar cakupan kursus kami.
Seperti kriteria sumber, kriteria tujuan dapat menggunakan objek berikut: alamat IP atau rentang alamat, subnet, FQDN, lokasi geografis atau objek basis data layanan Internet.
Jika Anda menggunakan FQDN, pastikan FortiGate dan server DNS berkomunikasi dengan benar, karena Fortigate menggunakan kueri DNS untuk menentukan alamat IP FQDN.
Objek Geografi mewakili grup atau rentang alamat IP yang dialokasikan untuk negara tertentu. Objek seperti itu diperbarui secara otomatis melalui FortiGuard.
Perlu juga mengatakan beberapa kata tentang Database layanan Internet. Ini berisi alamat IP, protokol dan nomor port dari layanan Internet populer seperti Amazon, Dropbox, Facebook dan sebagainya. Data ini juga diperbarui secara otomatis melalui FortiGuard.
Kriteria layanan mendefinisikan protokol transmisi (UDP / TCP dan sebagainya), serta nomor port. Anda dapat menggunakan layanan pra-instal, jika perlu, Anda juga dapat membuat sendiri.
Dan kriteria terakhir adalah jadwal. Ini dapat dibagi menjadi dua jenis: jangka panjang dan satu kali. Dalam jangka panjang, Anda dapat memilih hari yang diperlukan dalam seminggu dan menentukan waktu. Dalam hal ini, kebijakan yang mengikat kriteria tertentu dari jadwal akan memeriksa tanggal dan waktu paket berlalu. Tipe kedua adalah jadwal satu kali. Dalam hal ini, Anda dapat mengatur tanggal dan periode waktu yang diperlukan (misalnya, karena pekerjaan satu kali, karyawan akan memerlukan akses jarak jauh pada hari tertentu dan waktu tertentu).
Akhirnya, kami melihat semua kriteria untuk kebijakan firewall. Seperti yang saya katakan, jika paket jaringan berada di bawah semua kriteria ini, maka tindakan yang ditentukan dalam kebijakan diterapkan ke lalu lintas.
Sisanya terserah latihan. Teori dan bagian praktis di atas dibahas secara lebih rinci dalam tutorial video:
Dalam pelajaran berikutnya, kita akan berlatih menggunakan teknologi NAT, baik untuk melepaskan pengguna ke Internet dan untuk menerbitkan layanan internal. Agar tidak ketinggalan, tetap ikuti perkembangan di saluran berikut:
YoutubeGrup VKontakteYandex ZenSitus kamiSaluran telegram